什么是远程访问木马?
远程访问木马(RAT)是一种恶意软件,它允许威胁者从远程位置对受感染的系统执行命令--他们不需要物理访问就能控制系统。RAT 是进入系统的后门,是窃取文件、按键、密码、屏幕截图、网络摄像头视频或音频等信息的实用工具,并可用于实施其他攻击,如通过网络横向移动和导入具有扩展功能(如勒索软件)的其他恶意软件。
RAT 恶意软件可以感染任何可以访问网络的设备,包括台式电脑和笔记本电脑、手机、平板电脑、物联网设备、打印机、传真机等外围设备、家庭安全产品和智能家居设备,而且可以针对任何标准操作系统设计。有些 RAT 是专门设计的恶意软件,但许多用于合法网络操作的合法网络管理工具也可用作 RAT,因为它们提供远程系统控制功能。
RAT 是木马恶意软件的一个子类。特洛伊木马是可执行应用程序、文档或文件,内嵌可执行代码,显示为典型的无害功能。特洛伊木马包含可感染或危害目标设备的恶意隐藏组件。
远程访问木马如何工作
木马文件通常以合法或盗版软件应用程序、微软 Office 文档或压缩文件(通常为.zip或.rar)的形式出现,并包含在社交工程活动中,以诱使目标打开这些文件。在某些情况下,木马文件可能会使用虚假或混淆的文件扩展名,以图像文件的形式出现,从而通过过滤高危文件的防火墙。木马可通过网络钓鱼或恶意垃圾邮件传播,或在恶意网站甚至合法网站上供下载。它们还可以通过漏洞利用、直接物理访问或作为诱饵投放 USB 密钥等攻击载体进行安装。
一旦目标在不知情的情况下感染了他们的设备,RAT 就会产生一个新的恶意进程或劫持一个合法进程以逃避检测,并初始化一个与远程命令和控制服务器(C2)的连接。一旦 RAT 与攻击者的 C2 建立了连接,它就会根据目标系统的规格自动下载并执行附加代码,或者为攻击者提供手动访问权限以执行 shell 命令。
RAT 通常附带一个可执行文件,如.exe文件,但有些 RAT 包括无文件恶意软件,仅作为一个进程存在于 RAM 中,以增加隐蔽性。如果 RAT 能够建立持久性,那么每次重新启动受感染系统时它都会运行。RAT 对受感染主机的控制程度取决于其运行时的权限级别。如果 RAT 以用户级权限执行,它只能执行用户允许的操作。但是,如果 RAT 以系统级权限(如管理员、admin 或 root 级权限)执行,或通过进一步利用获得系统级权限,攻击者的攻击范围几乎是无限的。
如何防范远程访问木马攻击
有几种方法可以降低 RAT 或其他木马恶意软件的感染风险。最好的方法是只执行或打开来自已知、可信来源的文件。这意味着只启动直接来自官方供应商或官方应用程序商店的软件。对于以电子邮件附件形式发送的文件或可供下载的文件,也要同样谨慎。在某些情况下,配置严格的防火墙规则可能会降低感染几率,或可用于阻止 RAT 与其 C2 服务器通信,但这并不总是有效的防御策略--攻击者可能会找到绕过这些规则的方法。
安装、配置和经常更新端点安全软件可以提供额外的保护,防止 RAT 恶意软件。
