Troyanos de Acceso Remoto (RATs)

Como contraparte de las mejoras que se introducen en los antivirus y otras  soluciones de seguridad, los atacantes han creado nuevos métodos y herramientas para lograr sus objetivos.

Entre estas nuevas formas de malware[1] se encuentran los Troyanos de Acceso Remoto conocidos comúnmente como RAT[2], que se basan en el principio de funcionamiento de algunas herramientas de acceso remoto[3], utilizadas generalmente por administradores de redes, para acceder, configurar y monitorear equipos y dispositivos de forma remota.

Un Troyano de Acceso Remoto, es un programa maligno que se ejecuta en un equipo comprometido sin el consentimiento del usuario, permitiéndole al atacante el acceso remoto y el control del sistema infectado.

Están diseñados con arquitectura “cliente-servidor”, donde  un Centro de Comando y Control (C&C, panel de control o servidor)  se ejecuta en el equipo del atacante (con capacidad para controlar varias computadoras infectadas), y un cliente (bot) instalado en cada  sistema comprometido se comunica con el  C&C a través de una conexión TCP[4] o UDP[5] o vía correo electrónico.

Estos troyanos pueden ser configurados, actualizados, detenidos, reiniciados y eliminados de forma remota mediante  comandos. Sus funcionalidades permiten a los atacantes subir y bajar  ficheros (documentos), capturar y transmitir las entradas de teclado realizadas por los usuarios, operar la cámara web de las víctimas, y robar las credenciales almacenadas en los navegadores webs, así como instalar y ejecutar programas,  y  manipular los procesos activos y el registro de Windows de forma remota.

Están diseñados para ocultarse y actuar sin ser invasivos, evitando su detección por el usuario, y se protegen implementando técnicas de ofuscación de código[6] en sus ficheros ejecutables e inyectando código en procesos genuinos del sistema operativo.

Una característica de  este tipo malware es que el atacante puede decidir, cuando y como ordenarle al programa maligno cliente, que se comience a propagar, lo cual puede ser realizado de manera personalizada, mediante escaneos de otros sistemas o recursos de la red, con el fin de lograr lo que se conoce, como movimientos laterales para la toma de nuevos objetivos, a diferencia de otros códigos maliciosos, que lo realizan masivamente.

La infección se produce cuando se ejecuta su código que puede transmitirse por múltiples vías: una memoria USB, un correo electrónico, ingeniería social, redes P2P[7], descarga de ficheros infectados (juegos, protectores de pantallas,..), o embebidos en otras aplicaciones.

El principal objetivo de los Troyanos de Acceso Remoto es garantizar su persistencia el mayor tiempo posible en sistemas críticos, aunque no se descarta su uso de forma masiva y en sistemas de menor importancia.

Entre las variantes más conocidas, se encuentran “njRAT”, “Darkcomet”, “Netwire” y “NanoCore”. A partir del   segundo semestre del año 2014, se ha detectado   actividad de varios de estos  troyanos en las redes cubanas. 

A pesar de su complejidad y alto nivel de sofisticación, pueden instrumentarse un conjunto de medidas que refuercen la seguridad y posibiliten prevenir y limitar su acción. Con este objetivo se recomienda a los usuarios, como medidas básicas:

  • Mantener antivirus actualizados.
  • No descargar ficheros o complementos (plugin) de origen y/o con objetivo no conocido, así como  no acceder a sitios reportados como dañinos por los antivirus.

Los administradores de redes deben reforzar las medidas de seguridad en la infraestructura,  particularmente:

  • Reservar las cuentas de administración para las acciones que lo requieran y por el personal designado para ello, debiendo instrumentar el empleo de cuentas con privilegios mínimos en los clientes, y para las operaciones habituales de procesamiento de información.
  • Aplicar medidas organizativas y  técnicas que permitan registrar y controlar la conexión de soportes removibles a las computadoras de la entidad, y desactivar la reproducción automática.
  • Reforzar el esquema de  filtrado básico (direcciones, puertos y protocolos) en los equipos de la infraestructura y los servidores, ajustándolo al flujo de información y a las  características, topología y  servicios que se prestan en la red.

La  detección  de estas amenazas  no es simple, y requiere de preparación y acciones sistemáticas de control.  En este sentido se les recomienda a los administradores:  

  • Monitorear las características del tráfico de red en la frontera con Internet para detectar indicios de flujos de datos no usuales, hacia Centros de Comando y Control.
  • Analizar máquinas con indicios de estar comprometidas y monitorear el consumo de recursos, sus puertos, las conexiones establecidas y los procesos en ejecución que utilizan dichos puertos.
  • Utilizar herramientas de seguridad (como el IDS SNORT) que disponen de reglas que permiten identificar indicios de la presencia de  este tipo de malware.

De ser detectada la presencia de estas amenazas, se debe notificar a las entidades especializadas (OSRI y Segurmática) del país.

 


[1] Software capaz de realizar acciones o procedimientos no autorizados sobre un sistema con un deliberado propósito de ser perjudicial, código maligno.

[2] Remote Access Trojan

[3] También identificadas por la sigla RAT proveniente de Remote Access Tool.

[4] Transmission Control Protocol (Protocolo de Control de Transmisión),  protocolo de transporte de Internet.

[5] User Datagram Protocol, protocolo de transporte de  Internet.

[6] Técnicas  empleadas por los códigos malignos  (a través de un cambio no destructivo del código)  para ocultar su  funcionalidad y dificultar la interpretación o la realización de  ingeniería inversa.

[7] Red que se establece para el intercambio de información entre nodos que se comportan como iguales, actuando  como clientes y servidores.

Español