自宅でネットワークのセキュリティを強化しようとしています。家の中で他の人が常に「無料」のゲームに付随するウイルスをダウンロードしているので、私が心配することの1つはRATです。 RATがどのように機能するかについての無知な理解では、基本的に、「クライアント」がホストマシン上で開くポートを介して接続する「サーバー」をダウンロードするようにしています。ただし、ホストマシンがルーターの背後にある場合でも、安全ですか?
コンピュータ間の通信は双方向なので、次の2つの場合があります。
ハッキングの初期の頃にのみ、RATはコントローラーが接続するためにファイアウォールの欠如を必要としました。 SubSevenの有名な例を見てみましょう-RATがインストールされ、IRCチャネルがポートとIPアドレスをアドバタイズします。被害者がファイアウォールの背後にいる場合、マシンを操作できませんでした-ハッカーは接続タイムアウトを取得するだけです。
しかし、それらの時代はもう終わりました。最近、RATは通常、コマンドアンドコントロールサーバーへのクライアント接続を使用して仲介者として機能するため、サーバー上でポートを開く必要がなくなります。彼らが必要とするのは、インターネットへの自由なアクセスです。
Metasploitフレームワークでは、「reverse_tcp」接続を介して非常に単純な方法でこれを行うようにmeterpreterを構成できます。本質的に、あなたはインターネットのあるポートでリッスンし、感染したコンピュータはハッカーに接続し直します。
コンピューターへのインターネットへのアクセスがロックダウンされている場合、たとえばhttpとhttpsのみにアクセスし、他のポートにはアクセスしない場合、meterpreterは同様にそれを回避できます。一部の侵入検知システムを作動させないHTTPまたはHTTPS経由の整形式のActiveXセッションを使用して、コントロールサーバーに接続するように構成できます。これは、コマンドとコントロールの接続を難読化する氷山の一角です。
UPnPを介してRATで開いている着信ポートをセットアップすることは可能ですが、これは信頼性が低く(多くのルーターはUPnPをサポートしていないか、有効にしていないため)、一般的な方法ではありません。
攻撃者がRATを実行しているネットワーク上の別のマルウェア感染マシンは、「ただRATする」ことはできませんが、マシンをゼロデイにして同じマルウェアをインストールし、RATタスクを実行しようとする可能性があります。
Zeus/SpyEye/Citadel
etcマルウェアなどは通常、標準としてプロキシ(SOCKS4-5)/ RAT/ftp-backconnect機能を備えており、感染したプラットフォームを介して攻撃者のトラフィック/攻撃を「ピボット」し、マシンを標的にすることができます。
So .....
1) Install local firewall/AV (the standard measures)
2) Keep your applications! & Operating system up 2 date, its very important to also update your applications while you update your OS.
3) Only install apps from locations you trust.
4) On a extreme note, stop/uninstall services or applications that you dont use, this reduces your attack surface.
幸運を。