web-dev-qa-db-ja.com

RATはどのようにルーター経由でコンピューターにアクセスしますか?

自宅でネットワークのセキュリティを強化しようとしています。家の中で他の人が常に「無料」のゲームに付随するウイルスをダウンロードしているので、私が心配することの1つはRATです。 RATがどのように機能するかについての無知な理解では、基本的に、「クライアント」がホストマシン上で開くポートを介して接続する「サーバー」をダウンロードするようにしています。ただし、ホストマシンがルーターの背後にある場合でも、安全ですか?

6
Joshua Terrill

コンピュータ間の通信は双方向なので、次の2つの場合があります。

  • RATはサーバーです。これは、リモートデスクトップ、VNCなど、よく知られた正当なリモートアクセスツールの多くに当てはまります。この場合、ルーターにポート転送を許可して、コンピューターにアクセスできるようにする必要があります。 。
  • RATはクライアントです。ツールは、ハッカーがインバウンド接続を受け入れることができる「コマンドセンター」に接続しようとします。次に、クライアントはリモートシェルを提供します。この場合、ルーターでポート転送を行う必要はありません。
9
M'vy

ハッキングの初期の頃にのみ、RATはコントローラーが接続するためにファイアウォールの欠如を必要としました。 SubSevenの有名な例を見てみましょう-RATがインストールされ、IRCチャネルがポートとIPアドレスをアドバタイズします。被害者がファイアウォールの背後にいる場合、マシンを操作できませんでした-ハッカーは接続タイムアウトを取得するだけです。

しかし、それらの時代はもう終わりました。最近、RATは通常、コマンドアンドコントロールサーバーへのクライアント接続を使用して仲介者として機能するため、サーバー上でポートを開く必要がなくなります。彼らが必要とするのは、インターネットへの自由なアクセスです。

Metasploitフレームワークでは、「reverse_tcp」接続を介して非常に単純な方法でこれを行うようにmeterpreterを構成できます。本質的に、あなたはインターネットのあるポートでリッスンし、感染したコンピュータはハッカーに接続し直します。

コンピューターへのインターネットへのアクセスがロックダウンされている場合、たとえばhttpとhttpsのみにアクセスし、他のポートにはアクセスしない場合、meterpreterは同様にそれを回避できます。一部の侵入検知システムを作動させないHTTPまたはHTTPS経由の整形式のActiveXセッションを使用して、コントロールサーバーに接続するように構成できます。これは、コマンドとコントロールの接続を難読化する氷山の一角です。

UPnPを介してRATで開いている着信ポートをセットアップすることは可能ですが、これは信頼性が低く(多くのルーターはUPnPをサポートしていないか、有効にしていないため)、一般的な方法ではありません。

6
Herringbone Cat

攻撃者がRATを実行しているネットワーク上の別のマルウェア感染マシンは、「ただRATする」ことはできませんが、マシンをゼロデイにして同じマルウェアをインストールし、RATタスクを実行しようとする可能性があります。

Zeus/SpyEye/Citadel etcマルウェアなどは通常、標準としてプロキシ(SOCKS4-5)/ RAT/ftp-backconnect機能を備えており、感染したプラットフォームを介して攻撃者のトラフィック/攻撃を「ピボット」し、マシンを標的にすることができます。

So .....

1) Install local firewall/AV (the standard measures)
2) Keep your applications! & Operating system up 2 date, its very important to also update your applications while you update your OS. 
3) Only install apps from locations you trust.
4) On a extreme note, stop/uninstall services or applications that you dont use, this reduces your attack surface. 

幸運を。

0
Dusty Boshoff