Articles

Von Streichen zu APTs: Wie Remote-Access-Trojaner zu einer großen Sicherheitsbedrohung wurden

Was ist ein RAT?

In den späten 1990er Jahren, als das Internet noch jung war, war es üblich, dass technisch versierte Kinder ihre Freunde erschreckten, indem sie deren PCs fernsteuerten. Sie warfen die CD-Schublade aus, vertauschten die Maustasten oder änderten die Farben des Desktops. Für den unwissenden Benutzer sah es so aus, als würde ein Geist den Rechner übernehmen.

Das waren die Jahre, die die Geburtsstunde der Remote Access Trojaner (RATs) markierten, einer bösartigen Software, die es einem Angreifer ermöglicht, über das Internet unbefugten Zugriff auf den Computer eines Opfers zu erhalten. RATs werden in der Regel ohne Zustimmung des Benutzers installiert und bleiben versteckt, um nicht entdeckt zu werden.

Dadurch unterscheiden sie sich von einer gutartigen Art von Software mit einem etwas ähnlichen Namen, Remote Access/Administration Tool. Zu dieser Kategorie gehören Computerprogramme wie TeamViewer oder LogMeIn, die legitim von Systemadministratoren genutzt werden, aber auch von Teenagern, die versuchen, den PC ihrer Großeltern zu reparieren.

Es ist die bösartige Remote-Access-Software, die die Sicherheitsforscher Veronica Valeros und Sebastian García von der Tschechischen Technischen Universität in Prag interessiert. Die beiden haben die letzten Jahre damit verbracht, die Entwicklung dieser Art von Malware zu analysieren. Sie untersuchten nicht weniger als 337 bekannte Familien und betrachteten dabei Dinge wie Funktionalitäten, Qualität der Software und Zweck.

Valeros sagte während einer Virus Bulletin 2020-Präsentation, dass die Anzahl der RAT-Familien in den letzten Jahren rapide anstieg. Sie zählte mehr als 250 RATs, die in den 2010er Jahren aufgetaucht sind, im Gegensatz zu nur 70 in den 2000er Jahren. „Die Zahl der RATs ist wirklich sehr stark angestiegen“, sagte Valeros. „

Während sich die meisten früheren Ransomware-Familien auf Windows konzentrierten, sahen wir eine gewisse Vielfalt – andere Plattformen wie Mac, Linux und Android wurden unterstützt.“

Während Ransomware-Familien kommen und gehen, sind RATs für ihre Langlebigkeit und ihr Wiederauftauchen bekannt, sagt eine andere Forscherin, Lindsay Kaye, die Direktorin für operative Ergebnisse der Insikt Group bei Recorded Future. „Einige der RATs sind schon seit zehn Jahren auf dem Markt, und sie werden immer noch benutzt“, sagt sie. „

RATs sind für jede Art von cyberkriminellen Aktivitäten unverzichtbar geworden und werden von Cyberkriminellen, Hackern von Nationalstaaten und Stalkern eingesetzt. Der Markt ist gereift. RATs haben einen langen Weg hinter sich, seit NokNok auf Windows-Computern anklopfte und dieses neue Kapitel in der Geschichte der Computersicherheit aufschlug.

RATs created for fun

Die älteste legitime Fernzugriffssoftware wurde in den späten 1980er Jahren entwickelt, als Tools wie NetSupport auftauchten. Bald darauf, im Jahr 1996, wurden die ersten bösartigen Gegenstücke geschaffen. NokNok und D.I.R.T. gehörten zu den ersten, gefolgt von NetBus, Back Orifice und SubSeven.

Diese Tools wurden zum Vergnügen gebaut oder um zu zeigen, dass es möglich ist. Dennoch waren sie „innovativ und disruptiv“, sagt Valeros. NetBus zum Beispiel wurde 1998 von Carl-Fredrik Neikter entwickelt, und sein Name bedeutet aus dem Schwedischen übersetzt „NetPrank“.

Der Entwickler behauptete, dass er nicht wollte, dass NetBus böswillig verwendet wird, und sagte, es sei „ein legitimes Remote-Admin-Tool“, schrieb der Sicherheitsforscher Seth Kulakow in einem Papier, das er mit dem SANS Institute veröffentlichte. „Wenn man es aber nicht schon herausgefunden hat, ist es immer noch ein sehr nettes Tool, um es für den anderen Zweck zu verwenden“, schrieb Kulakow.

Was genau passiert ist. 1999 lud jemand NetBus herunter und hatte es auf Magnus Eriksson abgesehen, einen Jura-Professor an der Universität Lund in Schweden. Der Angreifer platzierte 12.000 pornografische Bilder auf seinem Computer, davon 3.500 mit kinderpornografischem Inhalt. Die Systemadministratoren entdeckten sie, und der Juraprofessor verlor seinen Job.

„Für mich war es unglaublich“, sagte Eriksson der schwedischen Publikation Expressen. Der darauf folgende Medienskandal zwang ihn, das Land zu verlassen, und obwohl er 2004 freigesprochen wurde, war der Schaden erheblich. „Ich kann die verlorenen Jahre nie wieder zurückholen“, sagte Eriksson.

NetBus inspirierte andere, darunter das berüchtigte Sub7 oder SubSeven. Tatsächlich wird angenommen, dass Sub7 NetBus rückwärts buchstabiert ist, wobei die „Zehn“ durch „Sieben“ ersetzt wurde. SubSeven, angeblich von Mobman gebaut, brachte das Spiel auf eine ganz neue Ebene. Es erreichte weltweite Popularität, und seine Funktionen unterschieden es deutlich von den legitimen Fernzugriffstools. SubSeven konnte zum Beispiel dazu verwendet werden, Passwörter zu stehlen und seine Identität zu verbergen – Dinge, die ein vernünftiger Systemadministrator nicht tun sollte.

„Sobald SubSeven installiert ist, können Hacker Angriffe initiieren, die von leicht irritierend bis extrem schädlich reichen“, schrieb der Sicherheitsforscher Jamie Crapanzano in seinem Artikel Deconstructing SubSeven, the Trojan Horse of Choice. „Die bemerkenswertesten Fähigkeiten von SubSeven sind die Fähigkeit, Windows auf dem Computer des Opfers neu zu starten, Maustasten umzudrehen, Tondateien vom Mikrofon des kompromittierten Rechners aufzuzeichnen, Bilder von einer angeschlossenen Videokamera aufzunehmen, die Farben des Desktops zu ändern, das CD-ROM-Laufwerk zu öffnen/zu schließen, Screenshots vom Computer des Opfers aufzunehmen und den Monitor des Opfers aus- und einzuschalten“, schrieb Crapanzano.

Doch es ging nicht nur um Spaß. Zu dieser Zeit behaupteten andere Hacker, sie hätten RATs gebaut, um ein Statement abzugeben. Der Kult der toten Kuh schuf Back Orifice, ein Name, der an Microsofts BackOffice Server-Software angelehnt ist.

Back Orifice war hauptsächlich das Werk von Josh Buchbinder, einem Hacker, der besser als „Sir Dystic“ bekannt ist, ein Handle, das auf einer Comicfigur aus den 1930er Jahren basiert. Diese Figur versucht, böse Dinge zu tun, „aber verpfuscht es immer und tut am Ende versehentlich Gutes“, sagte Buchbinder in dem Film Disinformation.

Die Mitglieder des Cult of the Dead Cow starteten Back Orifice auf der DEF CON 6 in Las Vegas im August 1998 und sagten, es sei dazu gedacht, das Bewusstsein für Sicherheitslücken in Microsoft-Software zu erhöhen. „Unsere Position ist, dass Windows ein grundlegend kaputtes Produkt ist“, sagte Death Veggie, der Propagandaminister des Cults.

Ende der 90er Jahre gab es mindestens 16 RATs, sagt Sicherheitsforscher Valeros. Im nächsten Jahrzehnt jedoch konzentrierten sich die Malware-Autoren weniger auf den Spaßfaktor und mehr auf das Geldverdienen.

RATs für Profit und Spionage

In den 2000er Jahren waren die RAT-Autoren keine naiven Kinder, die sehen wollten, wie weit sie gehen können. Die meisten von ihnen waren mit Tools wie NetBus, SubSeven oder Back Orifice vertraut, und sie wussten genau, was sie taten.

Nehmen Sie Beast, ein RAT, der erstmals 2002 auftauchte. Es behielt einige der frühen Trojaner-Funktionen bei – es hat „Fun Stuff“ und „Lamer Stuff“ -, war aber in der Lage, komplexere Dinge zu tun, sagt Valeros. Er verwendete eine Client/Server-Architektur, genau wie Back Orifice, aber er war einer der ersten, der eine umgekehrte Verbindung zu seinen Opfern herstellte. Der Client verbindet sich mit dem angegriffenen Computer über die Portnummer 6666 (nahe genug an der Nummer des Beasts), während der Server über die Portnummer 9999 Verbindungen zurück zum Client öffnet. Beast war auch in der Lage, eine Firewall zu umgehen und Antiviren-Prozesse zu töten, und es kam mit einem Datei-Binder, der mehrere Dateien zu einer ausführbaren Datei zusammenfügen konnte.

Je mehr Funktionen RATs bekamen, desto attraktiver wurden sie. Bald wurden sie als Teil komplexerer Angriffe sowohl von Cyberkriminellen als auch von staatlich gesponserten Angreifern eingesetzt. Es gab eine klare Unterscheidung zwischen Autoren und Betreibern, sagt Valeros.

Gh0st war einer der produktivsten Remote Access Trojaner seiner Zeit. Er wurde von einer chinesischen Gruppe entwickelt, die auf den Namen C. Rufus Security Team hörte. Die erste Version tauchte laut Valeros 2001 auf, erlangte aber erst einige Jahre später Popularität.

Gh0st ist berüchtigt für seine Rolle in der 2009 aufgedeckten GhostNet-Operation, die politische, wirtschaftliche und mediale Organisationen in mehr als 100 Ländern zum Ziel hatte. Die Angreifer infiltrierten in aller Stille Computersysteme, die mit Botschaften und Regierungsbüros verbunden waren. Sogar die tibetischen Exilzentren des Dalai Lama in Indien, London und New York City wurden gehackt. Laut mehreren Forschungsberichten sammelte die Malware Informationen, verschlüsselte sie und schickte sie an den Command-and-Control-Server.

In den späten 2000er Jahren konnte dieses RAT von jedem, der sich für Hacking interessierte, heruntergeladen und verwendet werden, schrieb der Forscher David Martin in seinem Artikel „Gh0st in the Dshell: Decoding Undocumented Protocols“: „Es ist relativ einfach, eine Kopie zu finden, mit nichts weiter als einer Suche und der Bereitschaft, Software von einer von mehreren verdächtigen Websites herunterzuladen.“

Ein weiteres berüchtigtes RAT war PoisonIvy, das 2005 auftauchte. Es konnte einfach und kostenlos von seiner eigenen Website heruntergeladen werden, und die Tatsache, dass es zugänglich war, trug dazu bei, dass es an Boden gewann. Forscher von FireEye schrieben, dass es 2011 beim Angriff auf die Sicherheitsorganisation RSA und bei der Nitro-Cyberspionage-Kampagne eingesetzt wurde, die auf Regierungsbehörden, Verteidigungsunternehmen, Chemiehersteller und Menschenrechtsgruppen abzielte.

Das DarkComet RAT war ebenfalls einfach herunterzuladen und zu verwenden. Es wurde 2008 von Jean-Pierre Lesueur entwickelt und ein paar Jahre später von der syrischen Regierung eingesetzt, um ihre Bürger auszuspionieren. Es wird vermutet, dass mehrere Personen deswegen verhaftet wurden. Das RAT konnte unter anderem Screenshots machen und Passwörter stehlen.

Sobald die Verbindung mit dem syrischen Regime hergestellt war, stellte Lesueur die Entwicklung des RAT ein und sagte in einem Interview für Wired: „Ich hätte nie gedacht, dass es von einer Regierung zum Spionieren verwendet wird. Wenn ich das gewusst hätte, hätte ich niemals ein solches Tool entwickelt.“

Obwohl er die Entwicklung von DarkComet einstellte, machten andere dort weiter, wo er aufgehört hatte. Das RAT gelangte in die Hände mehrerer Hackergruppen, darunter APT38, die von der nordkoreanischen Regierung gesponsert wird.

Die Auswirkungen dieser Tools können verheerend sein. Noch bedenklicher ist, dass ihre Preise oft lächerlich niedrig sind. Man kann ein RAT für so wenig wie 20 Dollar kaufen, sagt Valeros.

Die Kommerzialisierung von RATs

Die Anzahl neuer RAT-Familien ist zwischen 2011 und 2020 explodiert. „Wir haben mehr als 250 RATs in weniger als zehn Jahren“, sagt Valeros. CyberGate, NetWire, NanoCore, ImminentMonitor, Ozone RAT, OmniRAT, Luminosity Link, SpyNote, Android Voyager und WebMonitor waren darunter.

Luminosity Link, erstmals 2015 gesehen, infizierte nicht nur ein paar Rechner, sondern möglicherweise Hunderte. „Es sieht wie ein sehr professionelles Tool aus“, sagt Valeros. Es hatte eine einfach zu bedienende Oberfläche, und die Entwickler dachten darüber nach, wie sie die Informationen über die Opfer am besten visualisieren konnten.

In der Tat hörten die RAT-Unternehmer oft auf die Kunden, wenn sie entschieden, welche Funktionen sie einbauen wollten. Von ihnen wurde auch erwartet, dass sie viel mehr tun, als nur die Software bereitzustellen. Manchmal halfen sie sogar beim Hosting eines Teils der Infrastruktur.

Manchmal wollten sie die Grenzen unscharf halten und behaupteten, sie bauten Tools für den Fernzugriff und keine Trojaner. Quasar zum Beispiel wird immer noch als legitime Software angepriesen, die für eine Vielzahl von Dingen verwendet werden könnte, darunter Benutzerunterstützung, administrative Arbeiten und Mitarbeiterüberwachung. Dennoch wurde dieselbe Software bei gefährlichen Angriffen wie denen, die 2015 auf die Ukraine abzielten, gesehen. Dasselbe RAT wurde auch von dem chinesischen Bedrohungsakteur APT10 verwendet. QuasarRAT ist vielseitig – es funktioniert auf Windows XP SP3, Windows Server 2003/2008/2012 und Windows 7, 8/8.1 und 10.

Die meisten RATs sind für Windows-Rechner gebaut, aber einige wenige, wie NetWire und WebMonitor, sind plattformübergreifend und funktionieren auf Mac, Linux und Android. In den letzten Jahren gab es ein Wachstum bei Android-RATs. Android Voyager, das 2017 zum ersten Mal gesehen wurde, gehörte zu den bekannteren, aber es hat jetzt ernsthafte Konkurrenz. GravityRAT hat kürzlich begonnen, Android-Nutzer ins Visier zu nehmen. Sicherheitsforscher bemerkten ein Stück Schadcode, das in eine Android-Reise-App für indische Nutzer eingefügt wurde.

Valeros sagt, sie habe mehr Vielfalt erwartet, als sie begann, RATs zu untersuchen. Sie entdeckte bald, dass die derzeit verkauften Produkte meist „standardisiert“ sind, dass sie sich „nicht sehr voneinander unterscheiden.“

Die meisten haben die gleiche Struktur. Das Programm, das auf dem Rechner des Opfers installiert ist, wird als Server bezeichnet und soll eine Verbindung zum Angreifer herstellen. Der Client ist die Software, die der Angreifer verwendet, um die Opfer zu überwachen und zu kontrollieren, die Infektionen zu visualisieren und einzelne Aktionen manuell auszuführen.

Neben diesen grundlegenden RAT-Elementen gibt es noch ein paar ausgefallenere, wie Builder, Crypter und Plugins. Mit dem Builder lassen sich schnell neue RAT-Server erstellen, während die Plugins weitere Funktionen hinzufügen. Der Crypter wird verwendet, um die Erkennung durch Antivirenprogramme zu vermeiden. Crypter lesen den Code eines Programms und verschlüsseln ihn mit einem Schlüssel. Sie erstellen ein neues Programm, das den verschlüsselten Code und den Schlüssel enthält und bei der Ausführung automatisch entschlüsselt wird.

Einige staatliche Hacker neigen dazu, gängige RATs zu verwenden, die dieser Struktur folgen, anstatt Tools von Grund auf neu zu entwickeln, sagt Valeros. „Wenn Sie sich wirklich verstecken wollen, ist es vielleicht der richtige Weg, ein RAT von einem Forum zu kaufen.“

Valeros untersuchte RATs, die 2019 und 2020 auf Marktplätzen wie DaVinciCoders, Secret Hacker Society, buyallrat588, Dorian Docs, FUD Exploits und Ultra Hacks verkauft wurden. Android Voyager beispielsweise lag preislich zwischen 30 und 250 Dollar.

Die Preisunterschiede hängen oft mit Plugins und Zusatzleistungen wie technischem Support zusammen. „Die erfolgreichsten RATs haben keinen großen technologischen Vorsprung, aber bessere Bewertungen, Empfehlungen und letztendlich besseres Marketing“, schreibt Valeros in ihrem Paper für das Virus Bulletin 2020.

Während viele Bedrohungsakteure weiterhin Standard-RATs verwenden werden, werden einige wenige ihre eigenen bauen, sagt Kaye von Recorded Future. „Der MuddyWater APT hat eine Art von maßgeschneiderter RAT-Funktionalität verwendet.“ In den kommenden Jahren erwartet sie RATs mit komplexen Modulen, aber auch einfache, die in Python geschrieben sind. „Für die modulareren gibt es Leute, die neue Module schreiben, weil einige RATs Open Source sind“, sagt Kaye.

Wie man das Risiko von RATs minimiert

In den Anfängen ging es bei RATs darum, die CD-Schublade zu öffnen und Passwörter zu stehlen. „Heutzutage können sie fast alles“, sagt Avast-Sicherheitsevangelist Luis Corrons. Im Jahr 2020 sah er, dass Angreifer vor allem njRAT, NanoCore RAT, Blackshades und SpyNet verwenden. Manchmal sind Unternehmen zu langsam, um RATs zu erkennen. „Wir haben Angriffe gesehen, bei denen jemand ein halbes oder ganzes Jahr in einem Unternehmen war und niemand hat es bemerkt“, sagt er.

Deshalb empfiehlt Corrons, das Firmennetzwerk akribisch zu überwachen. „Jeder wird infiziert werden, und je früher man es entdeckt, desto besser, denn wenn man es wirklich früh entdeckt, kann man den größten Teil des Schadens vermeiden“, sagt er.

Er und Kaye von Recorded Future sagen, dass die meisten Angriffe immer noch auf Social-Engineering-Techniken beruhen, daher ist die Aufklärung der Benutzer von grundlegender Bedeutung. „Lassen Sie die Mitarbeiter wissen, wie ihr IT-Serviceteam sie kontaktieren wird“, sagt Kaye.

Europol, die Strafverfolgungsbehörde der Europäischen Union, listet ein paar andere Dinge auf, die Benutzer tun können:

  • Stellen Sie sicher, dass die Firewall aktiv ist
  • Halten Sie Software auf dem neuesten Stand.
  • Software nur von vertrauenswürdigen Quellen herunterladen.
  • Regelmäßig Daten sichern.
  • Klicken Sie nicht auf verdächtige Links, Pop-Ups oder Dialogfelder.
  • Klicken Sie nicht auf Links oder Anhänge in unerwarteten oder verdächtigen E-Mails.

Europol listet auch ein paar Anzeichen für eine Infektion auf:

  • Die Internetverbindung könnte ungewöhnlich langsam sein.
  • Dateien könnten verändert oder gelöscht werden.
  • Unbekannte Prozesse könnten im Task-Manager sichtbar sein.
  • Unbekannte Programme könnten installiert sein und in der Systemsteuerung gefunden werden.

Eine Antwort schreiben

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.