RATはどのようにルーター経由でコンピューターにアクセスしますか？

コンピュータ間の通信は双方向なので、次の2つの場合があります。

• RATはサーバーです。これは、リモートデスクトップ、VNCなど、よく知られた正当なリモートアクセスツールの多くに当てはまります。この場合、ルーターにポート転送を許可して、コンピューターにアクセスできるようにする必要があります。 。
• RATはクライアントです。ツールは、ハッカーがインバウンド接続を受け入れることができる「コマンドセンター」に接続しようとします。次に、クライアントはリモートシェルを提供します。この場合、ルーターでポート転送を行う必要はありません。

ハッキングの初期の頃にのみ、RATはコントローラーが接続するためにファイアウォールの欠如を必要としました。 SubSevenの有名な例を見てみましょう-RATがインストールされ、IRCチャネルがポートとIPアドレスをアドバタイズします。被害者がファイアウォールの背後にいる場合、マシンを操作できませんでした-ハッカーは接続タイムアウトを取得するだけです。

しかし、それらの時代はもう終わりました。最近、RATは通常、コマンドアンドコントロールサーバーへのクライアント接続を使用して仲介者として機能するため、サーバー上でポートを開く必要がなくなります。彼らが必要とするのは、インターネットへの自由なアクセスです。

Metasploitフレームワークでは、「reverse_tcp」接続を介して非常に単純な方法でこれを行うようにmeterpreterを構成できます。本質的に、あなたはインターネットのあるポートでリッスンし、感染したコンピュータはハッカーに接続し直します。

コンピューターへのインターネットへのアクセスがロックダウンされている場合、たとえばhttpとhttpsのみにアクセスし、他のポートにはアクセスしない場合、meterpreterは同様にそれを回避できます。一部の侵入検知システムを作動させないHTTPまたはHTTPS経由の整形式のActiveXセッションを使用して、コントロールサーバーに接続するように構成できます。これは、コマンドとコントロールの接続を難読化する氷山の一角です。

UPnPを介してRATで開いている着信ポートをセットアップすることは可能ですが、これは信頼性が低く（多くのルーターはUPnPをサポートしていないか、有効にしていないため）、一般的な方法ではありません。

攻撃者がRATを実行しているネットワーク上の別のマルウェア感染マシンは、「ただRATする」ことはできませんが、マシンをゼロデイにして同じマルウェアをインストールし、RATタスクを実行しようとする可能性があります。

Zeus/SpyEye/Citadel etcマルウェアなどは通常、標準としてプロキシ（SOCKS4-5）/ RAT/ftp-backconnect機能を備えており、感染したプラットフォームを介して攻撃者のトラフィック/攻撃を「ピボット」し、マシンを標的にすることができます。

So .....

1) Install local firewall/AV (the standard measures)
2) Keep your applications! & Operating system up 2 date, its very important to also update your applications while you update your OS. 
3) Only install apps from locations you trust.
4) On a extreme note, stop/uninstall services or applications that you dont use, this reduces your attack surface. 

幸運を。