Was hinter Remote Administration Tool wirklich steckt…

Ich möchte euch in diesen etwas anderen Bericht einmal aufklären, was für Möglichkeiten einen erfahrenen User gegeben werden, um ein System komplett zu steuern, ohne auch nur eine einzige Zeile je in C programmiert zu haben.

Vorwort: Dieser Bericht dient zur Aufklärung und nicht um fremder Computer zu infizieren und auszuspähen. Jeder der dies tut, ist dafür selbst verantwortlich, ich übernehme keinerlei Haftung. Ich werde hier KEINE Downloads zur Verfügung stellen, auch nicht auf Nachfrage!

Trojaner nach Baukastenprinzip
Selber Programmieren war gestern: Moderne Spähsoftware wird über Baukästen erstellt. Man kann sich seine Funktionen einfach zusammen klicken und erhält am Schluss die fertige Exe oder Shellcode. Einen einfachen Baukasten stellt zum Beispiel Posion Yvy dar. Allerdings hat das ganze eben auch einen Hacken: Nicht selten enthalten die Baukästen aus unseriösen Quellen selbst ein Backdoor und man öffnet einen anderen Angreifer Tür und Tor.

Virenscanner und Firewall umgehen
Nach dem jedoch auf beinahe jedem PC ein Virenscanner installiert ist, wird diese erstellte Exe schnell erkannt und unschädlich macht. Allerdings kann man sich auch davor schützen: Der Schlüssel dazu lautet Verschlüsselung, Crypting oder bei scriptbasierenden Code auch Obfuscating. Dadurch wird der eigentliche Code so unkenntlich gemacht, das sich die eigentliche Virensignatur nicht wieder finden lässt. Allerdings werden gecryptete Viren bereits nach wenigen  Wochen von der Heuristik erkannt, die Antivirenhersteller schlafen nämlich nicht. Eine etwas einfachere (billigere) Variante ist es einen Laufzeitpacker wie UPX etc. zu verwenden. Dadurch kann die Erkennbarkeit meist auch schon reduziert werden.

Manche Funktionen wie Persistens verhindern wiederum das sich das Programm nach dem Beenden von selbst wieder startet und so ein einfacher Laufzeitscanner unter Umständen gar keine Chance hat, die Anwendung zu beenden und zu löschen. Auch eingebaute Rootkits sind keine Seltenheit. Durch die modifizierte API kann der Virenscanner die infizierte Datei gar nicht mehr finden, da das System nun behauptet das der Prozess, Verzeichnis, Datei XYZ nicht existiert, obwohl sich dort direkt der Schadcode befindet.

Andere Funktionen wie Melting kopieren die Anwendung zunächst in ein Tempverzeichnis und löschen dann die Quelldatei. Die ausgeführte Anwendung verschwindet für den User also einfach. Solche Verhaltensweisen sind in der Regel immer ein zuverlässiges Erkennungsmittel von einer Infektion.

Auch einfache Firewalls in Consumer-Rountern lassen sich leicht austricksen: man baut die Verbindung einfach anders herum auf. Auf dem Rechner wird also kein Server gestartet sondern ein Client, der in bestimmten Abständen versucht eine Verbindung zu einen C&C Server aufzubauen. Dieser Client wird dann durch den Server gesteuert.

Wie das ganze unbemerkt auf den Rechner kommt
Es ist immer das gleiche: Unerfahrene Spieler suchen Hacks oder Cracks für Ihre Spiele und bekommen in Wirklichkeit einen Trojaner unter geschoben. Sie denken sich nun, selbst schuld? Warten Sie nur ab:
Auch ist es möglich sich über gefälschte E-Mails so etwas ins Haus zu holen. Man bekommt eine letzte Mahnung in einer Mail und drückt sofort auf die EXE im Anhang welche als PDF getarnt ist.
Selbst in sozialen Netzwerken ist man nicht davor geschützt: Ihr Freund schickt ihnen einen Link auf eine merkwürdige Seite. Allerdings hat diese Nachricht nicht Ihr Freund verschickt sondern tatsächlich die Schadsoftware auf seinen Rechner welche neue Abnehmer sucht.

Sie können sich selbst dann schon Ihren Rechner infizieren wenn Sie auf die Seite ihres Pizzadienstes gehen, um sich etwas zu bestellen. Möglich machen das Sicherheitslücken zum einen auf der Webseite selbst (SQL-Injektion) aber zum anderen auch auf Ihren Rechner wie zum Beispiel eine uralte JAVA-Version oder einen Flash-Player der die letzten 20 Updates verpasst hat. Verursacher kann zum einen der User sein, welcher sich von den Update-Meldungen belästigt fühlt und vorsorglich alles abgeschaltet hat. Zum anderen kann es sich aber auch noch um eine Unbekannte Lücke in der Software handeln. Dann redet man von einen „zero day exploit“.

Fazit
Ich könnte hier wahrscheinlich noch ewig so weiter schreiben, aber ich möchte hier zum Ende des Artikels kommen. Zu Schluss sei gesagt das man seinen Rechner mit Internetverbindung nie 100% dicht bekommt. Aber man kann das Risiko eines Befalls deutlich minimieren, indem man regelmäßig Updates installiert, Unseriöse Seiten meidet oder nur in einer virtuellen Box ausführt. Auch spezielle Plugins im Browser wie z.B. NoScript können das Risiko minimieren.
Wer ein RAT mal in „Aktion“ sehen will ist auf Youtube gut aufgehoben. In den meisten Fällen werden hier unwissende User von einen Script Kiddie entweder erschreckt oder anderer Schabernack mit dem PC getrieben

Schreibe einen Kommentar