リモートアクセス型トロイの木馬(Remote Access Trojans)(RAT)は、コンピューターを乗っ取ったり、友達といたずらをしたりする場合、この世界にとって常に大きなリスクであることが証明されています。RATは、オペレーターがコンピューターを攻撃し、コンピューターへの不正なリモートアクセスを取得できるようにする悪意のあるソフトウェアです。RATは何年も前から存在しており、最新の(RATs)ウイルス対策(Antivirus)ソフトウェアでもRAT(RATs)を見つけるのは難しい作業であるため、 RATは存続しています。
この投稿では、リモートアクセストロイ(Access Trojan)の木馬とは何かを確認し、利用可能な検出と削除の手法について説明します。また、簡単に言えば、Cyber Gate(CyberGate)、DarkComet、Optix、Shark、Havex、ComRat、 VorteX Rat、Sakula、KjW0rmなどの一般的なRAT(RATs)のいくつかについても説明します。
リモートアクセス型トロイの木馬とは
リモートアクセス型トロイの木馬(Remote Access Trojan)のほとんどは、悪意のある電子メール、無許可のプログラム、およびWebリンクでダウンロードされます。RATは、(RATs)キーロガー(Keylogger)プログラムのように単純ではありません。攻撃者に、次のような多くの機能を提供します。
- キーロギング(Keylogging):キーストロークを監視し、ユーザー名、パスワード、およびその他の機密情報をそこから回復することができます。
- スクリーンキャプチャ(Screen Capture):スクリーンショットを取得して、コンピュータで何が起こっているかを確認できます。
- ハードウェアメディアキャプチャ(Hardware Media Capture):RATは、Webカメラとマイクにアクセスして、プライバシーを完全に侵害しているあなたとあなたの周囲を記録することができます。
- 管理者権限(Administration Rights):攻撃者は、ユーザーの許可なしに、設定を変更したり、レジストリ値を変更したり、コンピューターに対してさらに多くのことを行ったりする可能性があります。RATは、攻撃者に管理者レベルの特権を提供できます。
- オーバークロック(Overclocking):攻撃者はプロセッサの速度を上げる可能性があり、システムをオーバークロックするとハードウェアコンポーネントに害を及ぼし、最終的にはそれらを焼却して灰にする可能性があります。
- その他のシステム固有(Other system-specific capabilitie)の機能:攻撃者は、コンピューター上のあらゆるもの、ファイル、パスワード、チャットなど、あらゆるものにアクセスできます。
リモートアクセス型トロイの木馬はどのように機能しますか
リモートアクセス(Remote Access) トロイ(Trojans)の木馬は、サーバーが被害者のPCに密かにインストールされているサーバークライアント構成で提供され、クライアントを使用してGUIまたはコマンドインターフェイスを介して被害者のPCにアクセスできます。サーバーとクライアント間のリンクは特定のポートで開かれ、サーバーとクライアント間で暗号化された通信またはプレーンな通信が発生する可能性があります。送受信されるネットワークとパケットが適切に監視されている場合、RAT(RATs)を識別して削除できます。
RAT攻撃防止
RATは、(RATs)スパムメール(spam emails)、悪意を持ってプログラムされたソフトウェア、または他のソフトウェアやアプリケーションの一部としてパックされたものからコンピューターに到達します。RAT(RATs)を検出して排除できる、優れたウイルス対策プログラムをコンピュータに常にインストールしておく必要があります。RATは(RATs)、他の一般的なアプリケーションと同じように見えるランダムな名前でインストールされるため、非常に難しい作業です。そのためには、非常に優れたウイルス対策(Antivirus)プログラムが必要です。
ネットワークを監視する(Monitoring your network)ことは、インターネットを介して個人データを送信するトロイの木馬(Trojan)を検出するための良い方法でもあります。
リモート管理ツール(Remote Administration Tools)を使用しない場合は、コンピューターへのリモートアシスタンス接続を無効にしてください。(disable Remote Assistance connections)SystemProperties > Remote]タブ> Uncheck このコンピューターへのリモートアシスタンス接続を許可する](Allow Remote Assistance connections to this computer)オプションのチェックを外します。
オペレーティングシステム、インストールされているソフトウェア、特にセキュリティプログラム(security programs updated)を常に最新の状態に保ちます。また、信頼できない送信元が不明な電子メールはクリックしないようにしてください。公式ウェブサイトまたはミラー以外のソースからソフトウェアをダウンロードしないでください。
RAT攻撃後
攻撃を受けたことを知ったら、最初のステップは、接続している場合はシステムをインターネット(Internet)およびネットワーク(Network)から切断することです。すべてのパスワードとその他の機密情報を変更し、別のクリーンなコンピューターを使用してアカウントのいずれかが侵害されていないかどうかを確認します。(Change)銀行口座に不正な取引がないか確認し、すぐにコンピューター内のトロイの木馬について銀行に通知してください。(Trojan)次に、コンピューターをスキャンして問題を探し、 RAT(RAT)を削除するための専門家の助けを求めます。ポート80(Port 80)を閉じることを検討してください。ファイアウォールポートスキャナーを使用して、すべてのポートを確認します。
誰が攻撃の背後にいたのかをさかのぼって知ることもできますが、そのためには専門家の助けが必要になります。RATは通常、検出されたら削除できます。または、Windowsを新規インストールして、完全に削除することもできます。
一般的なリモートアクセス型トロイの木馬
現在、多くのリモートアクセス(Remote Access) 型トロイの木馬が活動しており、何百万ものデバイスに感染しています。(Trojans)最も悪名高いものは、この記事でここで説明されています:
- Sub7:NetBus(古いRAT)を逆に綴ることによって派生した「Sub7」は、ホストPCを制御できる無料のリモート管理ツールです。このツールはセキュリティの専門家によってトロイの木馬に分類されており、コンピュータにインストールすることは潜在的に危険です。
- Back Orifice :BackOrifice(Orifice)とその後継のBackOrifice 2000は、もともとリモート管理を目的とした無料のツールですが、ツールがリモート(Back Orifice 2000)アクセス型トロイの木馬(Access Trojan)に変換されるまでに時間はかかりませんでした。このツールがトロイの木馬(Trojan)であるという論争がありましたが、開発者は、リモート管理アクセスを提供する正当なツールであるという事実に立っています。このプログラムは現在、ほとんどのウイルス対策プログラムによってマルウェアとして識別されています。
- DarkComet:これは、スパイに使用される可能性のある多くの機能を備えた非常に拡張可能なリモート管理ツールです。このツールはシリア内戦とも関連があり、(Civil War)政府(Government)がこのツールを使用して民間人をスパイしたと報告されています。このツールはすでに多くの誤用があり、開発者はそれ以上の開発を中止しました。
- sharK:高度なリモート管理ツールです。初心者やアマチュアハッカー向けではありません。セキュリティの専門家や上級ユーザー向けのツールと言われています。
- Havex:このトロイの木馬は、産業部門に対して広く使用されています。産業用制御システム(Industrial Control System)の存在を含む情報を収集し、同じ情報をリモートのWebサイトに渡します。
- Sakula:選択したインストーラーに含まれるリモートアクセス型トロイの木馬(Trojan)。それはそれがあなたのコンピュータにいくつかのツールをインストールしていることを描写しますが、それと一緒にマルウェアをインストールします。
- KjW0rm:このトロイの木馬(Trojan)には多くの機能が搭載されていますが、多くのウイルス対策(Antivirus)ツールによってすでに脅威としてマークされています。
これらのリモートアクセストロイ(Remote Access Trojan)の木馬は、多くのハッカーが何百万ものコンピューターを危険にさらすのを助けてきました。これらのツールに対する保護は必須であり、これらのトロイの木馬がコンピュータを危険にさらすのを防ぐために必要なのは、アラートユーザーによる優れたセキュリティプログラムだけです。
この投稿は、RATに関する有益な記事であり、RAT(RATs)の使用を促進するものではありません。いずれにせよ、あなたの国でのそのようなツールの使用に関していくつかの法律が存在する可能性があります。
リモート管理ツール(Remote Administration Tools)の詳細については、こちらをご覧ください。
What is Remote Access Trojan? Prevention, Detection & Removal
Remote Access Trojans (RAT) have always proved to be a big risk to this world when it comes to hijacking a computer or just playing a prank with a friend. A RAT is malicious software that lets the operator attack a computer and gain unauthorized remote access to it. RATs have been here for years, and they persist as finding some RATs is a difficult task even for the modern Antivirus software out there.
In this post, we will see what is Remote Access Trojan and talks about detection & removal techniques available. It also explains, in short, some of the common RATs like CyberGate, DarkComet, Optix, Shark, Havex, ComRat, VorteX Rat, Sakula and KjW0rm.
What are Remote Access Trojans
Most of the Remote Access Trojan are downloaded in malicious emails, unauthorized programs and web links that take you nowhere. RATs are not simple like Keylogger programs – they provide the attacker with a lot of capabilities such as:
- Keylogging: Your keystrokes could be monitored, and usernames, passwords, and other sensitive information could be recovered from it.
- Screen Capture: Screenshots can be obtained to see what is going on your computer.
- Hardware Media Capture: RATs can take access to your webcam and mic to record you and your surroundings completely violating privacy.
- Administration Rights: The attacker may change any settings, modify registry values and do a lot more to your computer without your permission. RAT can provide an administrator-level privileges to the attacker.
- Overclocking: The attacker may increase processor speeds, overclocking the system can harm the hardware components and eventually burn them to ashes.
- Other system-specific capabilities: Attacker can have access to anything on your computer, your files, passwords, chats and just anything.
How do Remote Access Trojans work
Remote Access Trojans come in a server-client configuration where the server is covertly installed on the victim PC, and the client can be used to access the victim PC through a GUI or a command interface. A link between server and client is opened on a specific port, and encrypted or plain communication can happen between the server and the client. If the network and packets sent/received are monitored properly, RATs can be identified and removed.
RAT attack Prevention
RATs make their way to computers from spam emails, maliciously programmed software or they come packed as a part of some other software or application. You must always have a good antivirus program installed on your computer that can detect and eliminate RATs. Detecting RATs is quite a difficult task as they are installed under a random name that may seem like any other common application, and so you need to have a really good Antivirus program for that.
Monitoring your network can also be a good way to detect any Trojan sending your personal data over the internet.
If you don’t use Remote Administration Tools, disable Remote Assistance connections to your computer. You will get the setting in SystemProperties > Remote tab > Uncheck Allow Remote Assistance connections to this computer option.
Keep your operating system, installed software and particularly security programs updated at all times. Also, try not to click on emails that you don’t trust and are from an unknown source. Do not download any software from sources other than its official website or mirror.
After the RAT attack
Once you know you’ve been attacked, the first step is to disconnect your system from the Internet and the Network if you are connected. Change all your passwords and other sensitive information and check if any of your accounts has been compromised using another clean computer. Check your bank accounts for any fraudulent transactions and immediately inform your bank about the Trojan in your computer. Then scan the computer for issues and seek professional help for removing the RAT. Consider closing Port 80. Use a Firewall Port Scanner to check all your Ports.
You can even try to back-track and know who was behind the attack, but you’ll need professional help for that. RATs can usually be removed once they are detected, or you can have a fresh installation of Windows to completely remove it off.
Common Remote Access Trojans
Many Remote Access Trojans are currently active now and infecting millions of devices. The most notorious ones are discussed here in this article:
- Sub7: ‘Sub7’ derived by spelling NetBus (an older RAT) backward is a free remote administration tool that lets you have control over the host PC. The tool has been categorized into Trojans by security experts, and it can be potentially risky to have it on your computer.
- Back Orifice: Back Orifice and its successor Back Orifice 2000 is a free tool that was originally meant for remote administration – but it didn’t take the time that the tool got converted into a Remote Access Trojan. There has been a controversy that this tool is a Trojan, but developers stand upon the fact that it is a legitimate tool that provides remote administration access. The program is now identified as malware by most of antivirus programs.
- DarkComet: It is a very extensible remote administration tool with a lot of features that could be potentially used for spying. The tool also has its links with the Syrian Civil War where it is reported that the Government used this tool to spy on civilians. The tool has already been misused a lot, and the developers have stopped its further development.
- sharK: It is an advanced remote administration tool. Not meant for beginners and amateur hackers. It is said to be a tool for security professionals and advanced users.
- Havex: This trojan has been extensively used against the industrial sector. It collects information including the presence of any Industrial Control System and then passes on the same information to remote websites.
- Sakula: A remote access Trojan that comes in an installer of your choice. It will depict that it is installing some tool on your computer but will install the malware along with it.
- KjW0rm: This Trojan comes packed with a lot of capabilities but already marked as a threat by many Antivirus tools.
These Remote Access Trojan have helped many hackers compromise millions of computers. Having protection against these tools is a must, and a good security program with an alert user is all it takes to prevent these Trojans from compromising your computer.
This post was meant to be an informative article about RATs and does not in any way promote their usage. There may be some legal laws about the usage of such tools in your country, in any case.
Read more about Remote Administration Tools here.