Троянские программы, распространяемые удаленным образом (RATs)

В качестве противоположной стороны во внедренные в антивирусные средства и другие решения для обеспечения безопасности улучшения, взломщиками созданы новые способы и инструменты для достижения их целей.

Среди новых видов вредоносных программ [1] можно найти троянские программы, распространенные удаленным образом. Такие программы часто называют RAT [2], и их функционирование обосновано в принципе работы некоторых инструментов удаленного доступа [3], обычно используемые сетевыми администраторами для получения доступа, конфигурирования и мониторинга устройств удаленным образом.

Троянская программа, распространяемая удаленным образом – это вредоносное программное обеспечение, которое запускается без согласия пользователя в одном скомпрометированном устройстве его сети, позволяя взломщику удаленно получать доступ к зараженной системе и управлять ей.

Указанные троянские программы работают архитектурным принципом «Клиент-сервером». В данном случае в машине взломщика запускается Центр управления зараженными машинами (C&C, панель управления или сервер с возможностью управления несколькими зараженными машинами) и соединяют его с установленным в каждой зараженной системе клиентом (бот), через TCP[4] o UDP[5] соединения, либо путем электронной почты.

Эти троянские могут быть удаленно настроены, обновлены, остановлены, перезапущены и удалены посредством команд. Функциональные возможности данных программ позволяют взломщикам отправлять и принимать файлы (документы); снимать и передавать клавиатурные манипуляционные действия пользователей; задействовать веб-камеру у пострадавших; украсть сохраненные в веб-браузерах удостоверения, а также устанавливать и запускать программы; манипулировать активные процессы и Windows реестр удаленным образом.

Рассматриваемые программы разработаны таким образом, чтобы смогли пассивным режимом работать скрыто, во избежание обнаружения пользователем, применяя при этом процедуры обфускации кода[6] в исполняемых файлах и внедряя код в подлинные текущие процессы операционной системы.

Другая характеристика данной вредоносной программы является возможностью у взломщика принимать решение о выдаче вредоносной клиентской программе команду о начале его распространения в определенном виде и сроке. Собственно данное распространение можно осуществлять персонализированным способом, путем сканирования других систем или сетевых ресурсов, с целью довиться так называемыми боковыми движениями для взятия новых целей, в отличие от других видов вредоносных код, которые делают это массированным образом.

Заражение приводится тогда, когда исполняется его код, который может быть переданным многообразными путями – через память USB, электронную почту, социальную инженерию, P2P- сеть [7], загрузку зараженных файлов (игры, заставки.), или внедренных в другие приложения.

Основная цель троянских программ, распространенных удаленным образом – Обеспечить их нахождение в максимальный возможный период времени в критических системах, хотя и не исключено их массированное использование в менее важных системах.

Среди самых распространенных вариантов находятся “njRAT”, “Darkcomet”, “Netwire” y “NanoCore”. Со второй половины 2014 года, несколькие видов данных троянских программ стали обнаруживаться в кубинских сетях. 

Несмотря на высшей степени сложности данных программ, можно внедрять ряд мер для укрепления безопасности и предотвращения последствий от их срабатывания. В этих целях, в качестве основных мер рекомендуется пользователям:

  • Периодически обновлять использованные антивирусные программы.
  • Не скачать файлы или плагины неизвестного происхождения и (или) назначения, а также не зайти в сайты, заранее объявленные вредоносными антивирусными программами.

Сетевые администраторы должны усиливать меры безопасности в инфраструктуре, в частности:

  • Зарезервировать учетные записи для надлежащих операций, соответствующим для этих целей персоналом. При этом надо использовать учетных записей с минимальными привилегиями, как в клиентах, так и в обычных операциях по обработке информации;
  • Применять организационные и технические меры, позволяющие зарегистрировать и контролировать подключение съемных носителей к ведомственным компьютерам, а также блокировать автоматическое воспроизведение;
  • Усилить схему основной фильтрации (адреса, порты и протоколы) в устройствах инфраструктуры и в серверах, привязывая ее к информационному потоку и характеристикам, топологии и предоставляемым в сети услуг.

Обнаружение этих угроз не является простым, и требует соответствующей подготовки и систематических контрольных действий. Таким образом, рекомендуется администраторам:

  • Осуществлять мониторинг характеристик сетевого трафика на границе с сетью Интернета, с целью обнаружения наличия признаков необычных сетевых потоков, направленных в центр управления;
  • Провести анализ машин с признаками заражения и следить за потреблением ресурсов, состоянием портов, установленными соединениями и активными процессами с использованием данных портов;
  • Использовать инструменты, обеспечивающие безопасность (Таких как IDS SNORT), располагающие правилами обнаружения признаков присутствуя данного вида вредоносной программы.

В случае обнаружения наличия этих угроз, надо уведомлять специализированные организации страны: Офис по обеспечению безопасности компьютерных сетей (OSRI) и Segurmática. 


[1] ПО способное осуществлять неавторизированные действия и процедуры в отношении любой системы, с преднамеренной целью причинения вреди; «зловред»;

[2] Remote Access Trojan;

[3] Также идентифицируются аббревиатурой RAT, с английского термина Remote Access Tool;

[4] Transmission Control Protocol (Протокол управления передачей) – интернетовский транспортный протокол;

[5] User Datagram Protocol – интернетовский транспортный протокол;

[6] Применяемые вредоносными кодами техники (Через неразрушительное изменение кода) для скрытия их функциональные возможности и затруднения в их интерпретацию или осуществления обратной разработки.

[7] Установленная для обмена информацией сеть, между узлами, с одинаковым поведением, действуя как клиенты и сервера.

Русский язык

Russian