Trojan de acesso remoto (RAT)

O que é um cavalo de Troia de acesso remoto?

Um Trojan de acesso remoto (RAT) é um tipo de malware que permite que um agente de ameaça execute comandos em um sistema infectado a partir de um local remoto - ele não precisa de acesso físico para controlar o sistema. Os RATs são uma porta dos fundos para um sistema e são ferramentas práticas para roubar informações, como arquivos, pressionamentos de teclas, senhas, capturas de tela e vídeo ou áudio de webcam, e podem ser aproveitados para realizar outros ataques, como movimentação lateral em uma rede e para importar malware adicional com recursos estendidos, como ransomware.

O malware RAT pode infectar qualquer dispositivo com acesso à rede, inclusive computadores desktop e laptop, telefones celulares, tablets, dispositivos de IoT, periféricos como impressoras, faxes, produtos de segurança doméstica e dispositivos domésticos inteligentes, e pode ser projetado para qualquer sistema operacional padrão. Algumas RATs são malwares projetados especificamente, mas muitas ferramentas legítimas de administração de rede destinadas a operações de rede legítimas também podem ser usadas como RATs, pois oferecem recursos de controle remoto do sistema.

Os RATs são uma subcategoria do malware Trojan. Os cavalos de Troia são aplicativos, documentos ou arquivos executáveis com código executável incorporado que aparecem como funções típicas e inócuas. Os cavalos de Troia contêm componentes maliciosos e ocultos que infectam ou danificam o dispositivo do alvo.

Como funcionam os cavalos de Troia de acesso remoto

Os arquivos troianizados são normalmente apresentados como aplicativos de software legítimos ou pirateados, documentos do Microsoft Office ou arquivos compactados (normalmente .zip ou .rar) e são incluídos em campanhas de engenharia social para induzir os alvos a abri-los. Em alguns casos, um arquivo trojanizado pode usar uma extensão de arquivo falsa ou ofuscada para aparecer como um arquivo de imagem e passar por firewalls que filtram arquivos de alto risco. Os cavalos de Troia podem ser distribuídos por meio de campanhas de phishing ou malspam ou disponibilizados para download em sites mal-intencionados e até mesmo legítimos. Eles também podem ser instalados por meio de vetores de ataque, como explorações de vulnerabilidades, acesso físico direto ou uma chave USB como isca.

Depois que o alvo infecta involuntariamente o dispositivo, a RAT gera um novo processo mal-intencionado ou sequestra um processo legítimo para evitar a detecção e inicializa uma conexão de volta a um servidor de comando e controle remoto (C2). Depois que a RAT estabelece uma conexão com o C2 do invasor, ela pode baixar e executar automaticamente códigos adicionais, dependendo das especificações do sistema do alvo, ou oferecer ao invasor acesso manual para executar comandos de shell. 

As RATs geralmente são acompanhadas por um arquivo executável, como um arquivo .exe, mas algumas incluem malware sem arquivo que existe apenas como um processo na RAM para maior discrição. Se uma RAT puder estabelecer persistência, ela será executada sempre que o sistema infectado for reiniciado. A extensão do controle que uma RAT tem sobre o host infectado é determinada pelo seu nível de permissão no tempo de execução. Se a RAT for executada com privilégios de nível de usuário, ela só poderá executar ações permitidas pelo usuário. No entanto, se a RAT for executada com privilégios em nível de sistema (por exemplo, permissões em nível de administrador, administrador ou raiz) ou puder obtê-los por meio de exploração adicional, o invasor terá um escopo de ataque quase ilimitado. 

Como evitar um ataque de Trojan de acesso remoto

Há várias maneiras de reduzir o risco de infecção por um RAT ou outro malware do tipo Trojan. A melhor maneira é executar ou abrir apenas arquivos de uma fonte conhecida e confiável. Isso significa iniciar apenas software que venha diretamente do fornecedor oficial ou de uma loja de aplicativos oficial. O mesmo cuidado é garantido para documentos que chegam como anexos de e-mail ou que estão disponíveis para download. Em alguns casos, a configuração de regras rígidas de firewall pode reduzir as chances de infecção ou pode ser usada para impedir que uma RAT se comunique com seu servidor C2, mas isso nem sempre é uma estratégia defensiva eficaz - os atacantes podem encontrar maneiras de contornar essas regras.

A instalação, a configuração e a atualização frequente do software de segurança de endpoint oferecem proteção adicional contra o malware RAT.

CylanceGUARD para proteção contra malware

Como um serviço de XDR gerenciado 24x7x365 centrado no ser humano e baseado em assinatura, CylanceGUARD® oferece o conhecimento e o suporte de que as empresas precisam para prevenir e proteger contra ataques de malware. CylanceGUARD combina o conhecimento abrangente incorporado pelo BlackBerry Cybersecurity Services com a proteção de endpoints (EPP) baseada em IA por meio de CylancePROTECT®e detecção e correção de ameaças no dispositivo por meio de CylanceOPTICS®. Em resumo, o site CylanceGUARD fornece aos negócios as pessoas e a tecnologia necessárias para proteger a empresa contra o cenário moderno de ameaças.
SAIBA MAIS

Recursos relacionados:

Ícone de recurso Prevenção contra perda de dados (DLP) Ícone de recurso Segurança de endpoint Ícone de recurso Plataformas de proteção de endpoints (EPP) Ícone de recurso Detecção e resposta de endpoint (EDR) Ícone de recurso Detecção e resposta estendidas (XDR) Ícone de recurso Gerenciamento de identidade e acesso (IAM) Ícone de recurso Detecção e resposta gerenciadas Ícone de recurso XDR gerenciado Ícone de recurso Estrutura MITRE ATT&CK Ícone de recurso Defesa contra ameaças móveis (MTD) Ícone de recurso Análise de comportamento de usuários e entidades (UEBA) Ícone de recurso Arquitetura Zero Trust Ícone de recurso Acesso à rede de confiança zero (ZTNA) Ícone de recurso Segurança Zero Trust Ícone de recurso Gerenciamento de eventos e informações de segurança (SIEM) Ícone de recurso Serviço de acesso seguro na borda (SASE)
Mais recursos