Los troyanos mugrientos que se escabullen …


Los troyanos de acceso remoto (RAT) pueden ser el comienzo de cosas muy malas en su purple o estaciones de trabajo.

Los troyanos de acceso remoto (RAT) pueden no provocar el mismo tipo de pesadillas que ratas caníbales enojadas, pero aún pueden ser terroristas si llegan a su red y estaciones de trabajo. Porque no hay nada como pasar el manage de sus recursos a alguien que no conoce para que el trabajo de seguridad de TI sea completamente fácil.

Hay muchas RAT diferentes y tienden a compartir varias características especiales. Ya sea que la RAT sea SubSeven, Back again Orifice, ProRat, Turkojan, Poison-Ivy, CyberGate, DarkComet, Optix, Shark o VorteX RatAs (entre cientos) la parte «troyana» de su nombre implica que llegan a la computadora de la víctima disfrazada como Un programa legítimo o inocuo. También implica que el usuario de la computadora ha desempeñado un papel activo en traer el troyano a su sistema, generalmente descargando un archivo de un sitio net malicioso o haciendo clic en un enlace en un mensaje de correo electrónico malicioso.

Una vez instalado, el RAT comienza la parte de «acceso remoto» de su vida cuando «llama a casa» a un servidor de comando y management (C&C) que regirá sus acciones futuras. Esta llamada saliente es crítica porque la mayoría de las redes empresariales están configuradas para ser mucho más indulgentes con los puertos de red utilizados y el tráfico enviado desde el interior de la empresa al mundo exterior, que desde el mundo exterior a las computadoras empresariales. Solo para hacerse más difícil de detectar, una RAT a menudo usará el puerto de red asociado con una comunicación legítima o una aplicación de acceso remoto, como las que usan los ingenieros de red para la administración remota del sistema. Y una vez que se establece la conexión, la RAT puede mantenerla abierta al tráfico bidireccional durante el tiempo que sea necesario.

Hasta ahora, la RAT no ha hecho nada realmente awful, pero eso está a punto de cambiar. Una vez que se contacta al servidor de C&C, enviará la carga maliciosa a la RAT y comenzará su trabajo «actual», que puede ser un keylogger, un invasor de privacidad (a través de cámara internet y micrófono), un participante de botnet, cryptominer o casi cualquier otra cosa. Una vez que la RAT ha abierto la conversación desde dentro de la red, prácticamente cualquier cosa puede fluir a través de la conexión. Y, para el legal, se pone mejor.

El crecimiento del «malware como servicio» ha visto cómo los delincuentes se apoderan de las computadoras de las víctimas y las mantienen como activos, alquilándolas a los clientes para una variedad de propósitos. Una vez infectada con una RAT, una computadora puede ser un criptominer un día y un bot de correo no deseado al siguiente. Si un keylogger puede obtener credenciales de cuenta para la banca y otras aplicaciones, eso es solo un ingreso adicional para el criminal.

Entonces, ¿qué puede hacer una organización sobre las RAT? La buena noticia es que las RAT no suelen ser una variedad de malware en rápida evolución, por lo que la mayoría del software package antimalware puede reconocer y poner en cuarentena las aplicaciones. Desde el lado de la red, los sistemas IDS / IPS deberían poder marcar o cerrar el tráfico saliente a servidores inusuales o desconocidos, o la comunicación utilizando puertos atípicos.

Por supuesto, el programa anti-RAT más efectivo comienza con enseñar a los usuarios a no visitar sitios world wide web sospechosos, hacer clic en enlaces sospechosos o abrir archivos adjuntos entregados a través de mensajes de correo electrónico poco fiables. En cada uno de estos casos, el esfuerzo tendrá el beneficio adicional de desacelerar la propagación de otro malware no ratín.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Curtis Franklin Jr. es editor sénior en Darkish Reading. En este puesto, se centra en la cobertura de productos y tecnología para la publicación. Además, trabaja en programación de audio y video clip para Dim Examining y contribuye a actividades en Interop ITX, Black Hat, INsecurity y … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia authentic