Программы удаленного администрирования (RAT - Remote Administration Tools)

Программы удаленного администрирования (Remote Administration Tools, сокращенно RAT) используются для удаленного управления рабочими станцими или другими компьютерными устройствами, являются разновидностью потенциально опасного программного обеспечения. Через них можно выполнять практически любые действия с удаленной системой: передавать файлы, вести наблюдение за действиями пользователя, производить настройки системы, управлять функциями ввода/вывода и тп. Чаще всего такие программы состоят из двух частей – вредонос на зараженном компьютере, предоставляющий доступ к системе. Есть, впрочем, и варианты, позволяющие управлять из браузера, для тех, кому необходимо иметь доступ с любого компьютера без предварительно установленных программ.

В легальных целях они используются для доступа к ресурсам другого компьютера (например, с домашнего компьютера управлять рабочим), и удаленной технической поддерхке пользователей с низкой квалификацией в решении технических проблем.

Однако существует и третий, нелегальный вариант – удаленное подключение злоумышленника с целью получения полного контроля над компьютером и всеми возможностями которые этот контроль предоставляет. Однако, только кражей информации и выводом компьютера из строя арсенал инструментов RAT-троянов не ограничивается: большинство предоставляет хакеру возможность “подсмотреть” в веб-камеру, послушать данные из микрофона, узнать местоположение зараженного устройства (если на нем есть GPS), предоставляют они и доступ к рабочему столу (RDP) и к командной строке, и это только минимальный набор возможностей RAT!

Классификация программ удаленного администрирования

RAT (Remote Administration Tools) - программы бывают как легальными, так и нелегальными. В легальном смысле эти программы - отличный инструмент для системного администратора, который удаленно может провести работу с клиентом. Нелегально же RAT часто используют хакеры для слежки или сбора информации о жертве. Каждый разработчик стремится реализовать свой набор доступных функций в зависимости от задач, сегмента использования и квалификации пользователей, ориентации на платное или бесплатное распространение.

Чаще всего программы удаленного администрирования делят по возможности работы на различных операционных системах – Windows, macOS, Linux, способные работать с несколькими ОС, дающие доступ с мобильных устройств.

В плане безопасности различают программы, предоставляющие доступ при наличии пароля и такие, где необходимо разрешение пользователя удаленного компьютера, системы с встроенными протоколам шифрования, возможностью фильтрования по ID и IP.

Как используются программы удаленного администрирования?

RAT (Remote Administration Tools) хакеры используют для слежки за человеком, или сборе информации о нем. При этом целью может стать кто угодно: известный политический деятель, или обычный человек, о жизни которого кто-то хочет узнать подробней.

Имея физический доступ к серверу, злоумышленник может украсть идентификатор и пароль для клиента, либо создать собственные. На машине клиенте можно поработать в отсутствие владельца, либо опять же скопировать пароль доступа. Другой тип атаки – заражение троянцем-кейлоггером либо иной программой, крадущей пароли. Наконец, можно украсть бумажку, где пароль записан.

Еще одним объектом воздействия может стать канал, по которому владелец управляемого компьютера передает пароль на подключение. Для передачи используют телефоны (SMS или устный разговор), электронную почту, Skype, любой из мессенджеров, и если преступник сумеет получить доступ к каналу передачи – он получит пароль и возможность управлять чужой машиной.

Как распространяются программ удаленного администрирования?

Обычно RAT заносится злоумышленником на компьютер  при физическом контакте. Не менее распространенный способ - социальная инженерия. Хакер может предоставить жертве RAT (Remote Administration Tools) как интересную, полезную программу, заставив жертву установить ее себе.

Помимо программ, хакер может использовать предустановленные в ОС утилиты, которые недостаточно защищены, или защищены слабым паролем, например, такие как RDP или Telnet.

Также входной точкой для хакера может стать установленная когда-то и забытая системным администратором программа удаленного администрирования, к которой хакер может подобрать пароль и получить контроль над ПК.

Следующая уязвимость – настройка прав доступа к удаленной системе. Можно разрешить доступ лишь по запросу пользователя, с определенными идентификаторами и только с некоторых IP, но зачастую пользователи выбирают автозапуск с любого адреса. Это удобно, когда необходим доступ к машине, за которой никто не сидит (например, собственному рабочему компьютеру), но в то же время открывает дорогу и преступникам.

И последнее – человеческий фактор. Чаще всего удаленный доступ используют не внешние хакеры, а собственные уволенные сотрудники. Как уже упоминалось, на десятках компьютеров могут быть установлены утилиты удаленного управления. В результате бывший сотрудник может либо сам проникнуть в систему, либо продать информацию конкурентам.

Программы удаленного администрирования (RAT - Remote Administration Tools)

Опасность может представлять и установка программ удаленного доступа втайне от пользователя. Она может вообще никак себя не выдавать себя, при этом злоумышленник получит возможность копировать нужную информацию и нарушать работу системы.

Риски использования программ удаленного администрирования

Нередко удаленное администрирование использует для помощи более продвинутых товарищей либо служб поддержки. Доступ разрешает с любого IP без подтверждения, а используется слабый пароль. Взломать такой компьютер сможет  даже начинающий злоумышленник.

Важно использовать уникальные и сильные пароли для каждой машины и каждого сервиса, ведь root:toor или admin:admin хакер может быстро подобрать и получить полный или частичный контроль над компьютером, который может стать отправной точкой для взлома всей инфраструктуры компании.

Универсального решения тут не существует, ведь любое усиление безопасности, введение дополнительных ограничений неизбежно усложняет, а порой и делает невозможной нормальную работу.

И все же не следует разрешать удаленный доступ тем, кому он явно не требуется. Важно следить за штатными средствами ОС и программами, установленными на компьютере (компьютерах), ведь они также могут быть взломаны и предоставлять хакеру контроль над машиной.

Нужно установить на компьютер (компьютеры) хороший антивирус, который сможет следить за активностью программ и трафиком, пресекая любые несанкционированные действия.  

Очень важно со стороны служб информационной безопасности, а также со стороны пользователей отслеживать установленные на компьютере программы, а также контролировать за настройками штатных средств. Кроме этого необходимо установить актуальный фаервол и надежную антивирусную программу, в которой предусмотрен поведенческий анализ. Такая функция позволит обнаруживать программы удаленного администрирования как потенциально опасные или вредоносные программы.