원격 액세스 트로이 목마(Remote Access Trojans) ( RAT )는 컴퓨터를 하이재킹하거나 친구와 장난을 치는 것과 관련하여 항상 이 세상에 큰 위험이 있음이 입증되었습니다. RAT 는 운영자가 컴퓨터를 공격하고 무단 원격 액세스를 얻을 수 있도록 하는 악성 소프트웨어입니다 . RAT(RATs) 는 수년 동안 여기에 있었고 일부 RAT 를 찾는 것이 최신 (RATs)바이러스 백신(Antivirus) 소프트웨어 에도 어려운 작업 이기 때문에 계속됩니다.
이 게시물에서는 원격 액세스 트로이 목마(Access Trojan) 가 무엇인지 알아보고 사용 가능한 탐지 및 제거 기술에 대해 설명합니다. 또한 CyberGate , DarkComet , Optix , Shark , Havex , ComRat , VorteX Rat , Sakula 및 KjW0rm 과 같은 일반적인 RAT(RATs) 중 일부에 대해서도 간단히 설명 합니다.
원격 액세스 트로이 목마란?
대부분의 원격 액세스 트로이 목마(Remote Access Trojan) 는 악성 이메일, 승인되지 않은 프로그램 및 웹 링크를 통해 다운로드됩니다. RAT 는 (RATs)Keylogger 프로그램 처럼 단순하지 않습니다 . 공격자에게 다음과 같은 많은 기능을 제공합니다.
- 키 로깅(Keylogging) : 키 입력을 모니터링하고 사용자 이름, 암호 및 기타 민감한 정보를 복구할 수 있습니다.
- 화면 캡처(Screen Capture) : 컴퓨터에서 진행 중인 작업을 확인하기 위해 스크린샷을 얻을 수 있습니다.
- 하드웨어 미디어 캡처(Hardware Media Capture) : RAT는 웹캠과 마이크에 액세스하여 개인 정보를 완전히 침해하는 사용자와 주변 환경을 녹화할 수 있습니다.
- 관리 권한(Administration Rights) : 공격자는 사용자의 허가 없이 설정을 변경하고 레지스트리 값을 수정하며 컴퓨터에 더 많은 작업을 수행할 수 있습니다. RAT 는 공격자에게 관리자 수준의 권한을 제공할 수 있습니다.
- 오버클러킹(Overclocking) : 공격자는 프로세서 속도를 높일 수 있으며 시스템을 오버클러킹하면 하드웨어 구성 요소가 손상되어 결국에는 재가 될 수 있습니다.
- 기타 시스템별 기능(Other system-specific capabilitie) : 공격자는 컴퓨터의 모든 것, 파일, 암호, 채팅 및 모든 것에 액세스할 수 있습니다.
원격 액세스 트로이 목마는 어떻게 작동합니까?
원격 접속 (Remote Access) 트로이 목마(Trojans) 는 피해자 PC에 은밀히 서버를 설치하는 서버-클라이언트 구성으로 존재하며, 클라이언트는 GUI 나 명령 인터페이스를 통해 피해자 PC에 접근할 수 있다. 서버와 클라이언트 간의 링크는 특정 포트에서 열리고 서버와 클라이언트 간에 암호화 또는 일반 통신이 발생할 수 있습니다. 네트워크 및 송수신 패킷을 적절히 모니터링하면 RAT(RATs) 를 식별하여 제거할 수 있습니다.
RAT 공격 방지
RAT 는 (RATs)스팸 이메일(spam emails) , 악의적으로 프로그래밍된 소프트웨어 에서 컴퓨터로 이동 하거나 다른 소프트웨어 또는 응용 프로그램의 일부로 포장되어 제공됩니다. RAT(RATs) 를 탐지하고 제거할 수 있는 우수한 바이러스 백신 프로그램이 컴퓨터에 항상 설치되어 있어야 합니다 . RAT(RATs) 를 탐지 하는 것은 다른 일반적인 응용 프로그램처럼 보일 수 있는 임의의 이름으로 설치되기 때문에 상당히 어려운 작업이므로 이를 위해서는 정말 좋은 바이러스 백신(Antivirus) 프로그램이 필요합니다.
네트워크 모니터링(Monitoring your network) 은 인터넷을 통해 개인 데이터를 보내는 트로이 목마(Trojan) 를 탐지하는 좋은 방법이기도 합니다 .
원격 관리 도구(Remote Administration Tools) 를 사용하지 않는 경우 컴퓨터에 대한 원격 지원 연결(disable Remote Assistance connections) 을 비활성화합니다. SystemProperties > Remote 탭 > 이 컴퓨터에 대한 원격 지원 연결 허용 옵션을 (Allow Remote Assistance connections to this computer)> Uncheck 하면 설정 이 표시됩니다 .
운영 체제, 설치된 소프트웨어, 특히 보안 프로그램 을 항상 최신 상태로 유지하십시오. (security programs updated)또한 신뢰할 수 없고 출처를 알 수 없는 이메일은 클릭하지 마십시오. 공식 웹사이트나 미러 이외의 소스에서 소프트웨어를 다운로드하지 마십시오.
RAT 공격 후
공격을 받았다는 것을 알게 되면 첫 번째 단계는 인터넷(Internet) 과 네트워크(Network) 에 연결되어 있는 경우 시스템 연결을 끊는 것입니다. 모든 암호와 기타 민감한 정보를 변경 하고 깨끗한 다른 컴퓨터를 사용하여 계정이 손상되었는지 확인하십시오. (Change)은행 계좌에 사기 거래가 있는지 확인하고 즉시 컴퓨터에 있는 트로이 목마(Trojan) 에 대해 은행에 알리십시오. 그런 다음 컴퓨터에서 문제를 검색하고 RAT(RAT) 제거에 대한 전문가의 도움을 받으십시오 . 포트 80(Port 80) 을 닫는 것을 고려하십시오 . 방화벽 포트 스캐너 를 사용하여 모든 포트를 확인하십시오.
역추적을 시도하여 공격의 배후가 누구인지 알 수도 있지만 이를 위해서는 전문가의 도움이 필요합니다. RAT는 일반적으로 감지되면 제거하거나 Windows 를 새로 설치하여 완전히 제거할 수 있습니다.
일반적인 원격 액세스 트로이 목마
많은 원격 액세스 (Remote Access) 트로이 목마(Trojans) 가 현재 활성화되어 수백만 대의 장치를 감염시키고 있습니다. 이 기사에서 가장 악명 높은 것에 대해 설명합니다.
- Sub7 : NetBus (이전 RAT )의 철자법에서 파생된 'Sub7' 은 호스트 PC를 제어할 수 있는 무료 원격 관리 도구입니다. 이 도구는 보안 전문가에 의해 트로이 목마로 분류되었으며 컴퓨터에 설치하는 것은 잠재적으로 위험할 수 있습니다.
- Back Orifice : Back Orifice 와 그 후속 제품인 Back Orifice 2000 은 원래 원격 관리를 위한 무료 도구이지만 도구가 원격 액세스 트로이 목마(Access Trojan) 로 변환되는 데 시간이 걸리지 않습니다 . 이 도구가 트로이 목마(Trojan) 라는 논란이 있었지만 개발자들은 원격 관리 액세스를 제공하는 합법적인 도구라는 사실을 고수하고 있습니다. 이 프로그램은 이제 대부분의 바이러스 백신 프로그램에서 맬웨어로 식별됩니다.
- DarkComet : 잠재적으로 스파이 활동에 사용될 수 있는 많은 기능을 갖춘 매우 확장 가능한 원격 관리 도구입니다. 이 도구는 또한 정부(Government) 가 민간인을 염탐하기 위해 이 도구를 사용한 것으로 보고된 시리아 내전 과 관련이 있습니다. (Civil War)이 도구는 이미 많이 오용되었으며 개발자는 추가 개발을 중단했습니다.
- sharK : 고급 원격 관리 도구입니다. 초보자와 아마추어 해커를 위한 것이 아닙니다. 보안 전문가와 고급 사용자를 위한 도구라고 합니다.
- Havex : 이 트로이 목마는 산업 부문에 광범위하게 사용되었습니다. 산업 제어 시스템(Industrial Control System) 의 존재 여부를 포함한 정보를 수집 한 다음 동일한 정보를 원격 웹사이트에 전달합니다.
- Sakula : 선택한 설치 프로그램에 포함 된 원격 액세스 트로이 목마 입니다. (Trojan)컴퓨터에 일부 도구를 설치하고 있지만 맬웨어를 함께 설치하는 것으로 표시됩니다.
- KjW0rm : 이 트로이 목마(Trojan) 에는 많은 기능이 포함되어 있지만 이미 많은 안티바이러스(Antivirus) 도구에서 위협으로 표시됩니다.
이러한 원격 액세스 트로이 목마(Remote Access Trojan) 는 많은 해커가 수백만 대의 컴퓨터를 손상시키는 데 도움이 되었습니다. 이러한 도구에 대한 보호는 필수이며 경고 사용자가 있는 우수한 보안 프로그램만 있으면 이러한 트로이 목마가 컴퓨터를 손상시키는 것을 방지할 수 있습니다.
이 게시물은 RAT(RATs) 에 대한 정보를 제공하기 위한 것이며 어떤 식으로든 RAT의 사용을 홍보하지 않습니다. 어떤 경우에도 귀하의 국가에서 이러한 도구의 사용에 관한 법률이 있을 수 있습니다.
원격 관리 도구(Remote Administration Tools) 에 대한 자세한 내용은 여기를 참조하십시오.
What is Remote Access Trojan? Prevention, Detection & Removal
Remote Access Trojans (RAT) have always proved to be a big risk to this world when it comes to hijacking a computer or just playing a prank with a friend. A RAT is malicious software that lets the operator attack a computer and gain unauthorized remote access to it. RATs have been here for years, and they persist as finding some RATs is a difficult task even for the modern Antivirus software out there.
In this post, we will see what is Remote Access Trojan and talks about detection & removal techniques available. It also explains, in short, some of the common RATs like CyberGate, DarkComet, Optix, Shark, Havex, ComRat, VorteX Rat, Sakula and KjW0rm.
What are Remote Access Trojans
Most of the Remote Access Trojan are downloaded in malicious emails, unauthorized programs and web links that take you nowhere. RATs are not simple like Keylogger programs – they provide the attacker with a lot of capabilities such as:
- Keylogging: Your keystrokes could be monitored, and usernames, passwords, and other sensitive information could be recovered from it.
- Screen Capture: Screenshots can be obtained to see what is going on your computer.
- Hardware Media Capture: RATs can take access to your webcam and mic to record you and your surroundings completely violating privacy.
- Administration Rights: The attacker may change any settings, modify registry values and do a lot more to your computer without your permission. RAT can provide an administrator-level privileges to the attacker.
- Overclocking: The attacker may increase processor speeds, overclocking the system can harm the hardware components and eventually burn them to ashes.
- Other system-specific capabilities: Attacker can have access to anything on your computer, your files, passwords, chats and just anything.
How do Remote Access Trojans work
Remote Access Trojans come in a server-client configuration where the server is covertly installed on the victim PC, and the client can be used to access the victim PC through a GUI or a command interface. A link between server and client is opened on a specific port, and encrypted or plain communication can happen between the server and the client. If the network and packets sent/received are monitored properly, RATs can be identified and removed.
RAT attack Prevention
RATs make their way to computers from spam emails, maliciously programmed software or they come packed as a part of some other software or application. You must always have a good antivirus program installed on your computer that can detect and eliminate RATs. Detecting RATs is quite a difficult task as they are installed under a random name that may seem like any other common application, and so you need to have a really good Antivirus program for that.
Monitoring your network can also be a good way to detect any Trojan sending your personal data over the internet.
If you don’t use Remote Administration Tools, disable Remote Assistance connections to your computer. You will get the setting in SystemProperties > Remote tab > Uncheck Allow Remote Assistance connections to this computer option.
Keep your operating system, installed software and particularly security programs updated at all times. Also, try not to click on emails that you don’t trust and are from an unknown source. Do not download any software from sources other than its official website or mirror.
After the RAT attack
Once you know you’ve been attacked, the first step is to disconnect your system from the Internet and the Network if you are connected. Change all your passwords and other sensitive information and check if any of your accounts has been compromised using another clean computer. Check your bank accounts for any fraudulent transactions and immediately inform your bank about the Trojan in your computer. Then scan the computer for issues and seek professional help for removing the RAT. Consider closing Port 80. Use a Firewall Port Scanner to check all your Ports.
You can even try to back-track and know who was behind the attack, but you’ll need professional help for that. RATs can usually be removed once they are detected, or you can have a fresh installation of Windows to completely remove it off.
Common Remote Access Trojans
Many Remote Access Trojans are currently active now and infecting millions of devices. The most notorious ones are discussed here in this article:
- Sub7: ‘Sub7’ derived by spelling NetBus (an older RAT) backward is a free remote administration tool that lets you have control over the host PC. The tool has been categorized into Trojans by security experts, and it can be potentially risky to have it on your computer.
- Back Orifice: Back Orifice and its successor Back Orifice 2000 is a free tool that was originally meant for remote administration – but it didn’t take the time that the tool got converted into a Remote Access Trojan. There has been a controversy that this tool is a Trojan, but developers stand upon the fact that it is a legitimate tool that provides remote administration access. The program is now identified as malware by most of antivirus programs.
- DarkComet: It is a very extensible remote administration tool with a lot of features that could be potentially used for spying. The tool also has its links with the Syrian Civil War where it is reported that the Government used this tool to spy on civilians. The tool has already been misused a lot, and the developers have stopped its further development.
- sharK: It is an advanced remote administration tool. Not meant for beginners and amateur hackers. It is said to be a tool for security professionals and advanced users.
- Havex: This trojan has been extensively used against the industrial sector. It collects information including the presence of any Industrial Control System and then passes on the same information to remote websites.
- Sakula: A remote access Trojan that comes in an installer of your choice. It will depict that it is installing some tool on your computer but will install the malware along with it.
- KjW0rm: This Trojan comes packed with a lot of capabilities but already marked as a threat by many Antivirus tools.
These Remote Access Trojan have helped many hackers compromise millions of computers. Having protection against these tools is a must, and a good security program with an alert user is all it takes to prevent these Trojans from compromising your computer.
This post was meant to be an informative article about RATs and does not in any way promote their usage. There may be some legal laws about the usage of such tools in your country, in any case.
Read more about Remote Administration Tools here.