تروجان های ایجاد کننده دسترسی RAT

فردی را در نظر بگیرید که برای یک شرکت فناوری سطح بالا کار می‌کند و در شرف معرفی محصولی متحول‌کننده برای عموم مردم است. فضای عرضه این محصول، فضایی بسیار رقابتی است و رقبای بسیاری، چه داخلی چه بین المللی، حضور دارند. همچنین برنامه‌های آنلاین و شایعات بسیاری در رسانه‌ها در مورد حوزه و تاثیر احتمالی این محصول جدید وجود دارد و تردیدی نیست که مشتریان مشتاق به دست آوردن اطلاعات بیشتر در مورد محصول آتی هستند.

هدف، حفظ اسرار تا زمان اعلان رسمی است ولی متاسفانه، مشخصات محصول شرکت در حال فاش شدن است. گاهی این مورد اتفاق می‌افتد، درست به همان اندازه که تلاش می‌َشود که از افشای جزییات محصولات جلوگیری گردد. اما در این مورد، احتمالا اتفاقی که رخ می‌دهد در بدترین شرایط ممکن بدین صورت است که شرکت دچار نفوذ امنیتی شده و اطلاعات مربوط به محصول افشا شده است.

متاسفانه نفوذ به ساختار امنیتی شرکت‌ها، اتفاق غیرعادی نیست و متخصصین امنیتی با آن بسیار آشنا هستند. این اتفاق در سرتاسر بخش‌ها رخ می‌دهد، با این حال نحوه‌ی سرقت اطلاعات غالبا شامل الگوهای آشنا و مشابهی است. مظنون‌های بسیاری وجود دارد و فهمیدن انگیزه‌ی آن‌ها دشوار است. در این بررسی امنیتی سایبری، یافتن شخص مقصر اهمیت کمتری دارد، مهم این است که چگونه این اتفاق رخ داده است و چگونه می‌توان در آینده از آن پیشگیری نمود.

مهاجمین از شیوه‌های گوناگونی می‌توانند استفاده کنند. Downloader‌ها، ابزار مدیریتی و سارقین اطلاعاتی (Infostealer) اغلب در چنین حملاتی نقش دارند. اما یکی از ابزار مهم در چنین وضعیت‌هایی، Remote Access Trojan می‌باشد که اغلب از آن‌ها با عنوان RAT یاد می‌شود.

ساختمان ساختار RAT

RAT به نوعی یک ابزار چندمنظوره است. بسیاری از RATها از طریق مسیرهای مشابه و آشنا، مانند ضمیمه‌های ایمیل و دانلود فایل‌های مخرب، توزیع شده و شامل تمام ابزار مذکور، و حتی بیشتر، می‌باشد که در توانمندسازی هر جزء در حین اجرای حمله، به مهاجم کمک می‌کند. به طور خلاصه، یک RAT چندین ابزار را در یک پکیج ادغام می‌کند.

تفاوت‌های بسیاری بین RATهای مختلف وجود دارد. برخی از آن‌ها ابزاری جامع هستند که برای چندین سناریوی حمله مورد استفاده قرار می‌گیرند. برخی دیگر تنها برای یک نوع حمله‌ی مشخص مناسب هستند. بعضی RATها از پروکسی‌های از قبل تعریف شده استفاده می‌کنند تا موقعیت مکانی نهایی مهاجم را پنهان نگاه دارند. برخی RATهای دیگر نیز ممکن است زیرساخت صدور و کنترل (C2) را توانمندسازی کنند تا همان کار را انجام دهند.

علی‌رغم این که عملکرد و زیرساخت مورد استفاده‌ی هر RAT متفاوت است، موارد ذیل ویژگی‌های مشترک بسیاری از RATها می‌باشد. برای نشان دادن یک حمله، باید به آسیب‌پذیری‌های امنیتی موجود در شرکت صاحب فناوری بازگشت و شیوه‌ای را که مهاجم یک RAT را جهت سرقت و دسترسی به فایل‌های حساس موجود در محصول توانمندسازی می‌کند، نشان داد.

گردآوری اطلاعات سیستم

مهاجم توانسته است سپر دفاعی شرکت را با استفاده از یک ایمیل Phishing که شامل یک لینک به RAT می‌باشد، دچار نقض امنیتی می‌کند. اما این بدین معنا نیست که مهاجمان بلافاصله فهمیده‌اند که در کجای شبکه قرار دارند. طبیعتا آن‌ها قصد دارند در مورد کامپیوتر آلوده‌شده بیشتر بدانند. به عنوان مثال، آیا دسکتاپ معاون اجرایی (لپ‌تاپ متعلق به امور مالی) است یا سرور وب؟ اجرای فرآیند شناسایی در سیستم به مهاجم کمک می‌کند که بفهمد تا چه حد به سازمان نفوذ کرده است و این که آیا باید حرکت جانبی داشته باشد یا به هدف مورد نظر خود رسیده‌اند. برخی ابزار شناسایی حتی به مهاجم اجازه می‌دهند که سیستم‌های دیگر را اسکن نموده و در مورد آن‌ها اطلاعات کسب کند.

سرقت نام کاربری و رمز عبور

مهاجم وارد یک سیستم شده اما هدف مورد نظر وی نبوده است. به کامپیوتر یکی از افراد گروه مهندسی آسیب رسانده‌اند اما اطلاعاتی که به دنبال آن بوده‌اند، در یک سرور مشترک قرار دارد. برای حرکت جانبی، ممکن است به دنبال اطلاعات اعتباری Login موجود در سیستم آلوده باشند. بسیاری از RATها می‌توانند به رمزهای عبور ذخیره‌شده و Cacheشده آسیب برسانند و زمانی که نام‌های کاربری و رمزهای عبور در دسترس قرار می‌گیرند، مهاجم می‌تواند برای وارد شدن به سرور مشترک اقدام کند.

ضربه بر کلید (Keystroke) برای Log

مهاجم در راستای جست‌وجو برای اطلاعات اعتباری Login کامپیوتر آلوده‌شده را اسکن کرده اما موفق نشده است. آیا خبر خوبی است؟ بله، اما این صرفا یک عقب‌نشینی جزئی است. بسیاری از RATها دارای قابلیت‌هایی برای سرقت اطلاعاتی نظیر Keyloggerها می‌باشند و تمام آنچه که مهاجم باید انجام بدهد این است که آن را فعال نموده و صبر کند تا کاربر سیستم آلوده وارد سرور مشترک شود. زمانی که کاربر اطلاعات اعتباری Login را وارد می‌کند مهاجم می‌تواند آن‌ها را ثبت نموده و بعدا برای وارد شدن به سرور استفاده کنند.

دانلود بدافزار بیشتر

مهاجم توانسته است اطلاعات اعتباری برای ورود را بدست آورد اما تلاش وی برای ورود با شکست مواجه شده است (شاید بدین خاطر که شرکت از احراز هویت چندمرحله‌ای استفاده می‌کند). جهت دستیابی به سرور مهندسی مشترک، مهاجم مجبور خواهد شد از ابزارهای کمکی استفاده کند. آن‌ها یک آسیب‌پذیری در سرور مشترک شناسایی کرده‌اند و به مجموعه ابزار (Toolkit) برای حمله نیاز دارند تا آن راExploit  کرده و بدان دسترسی یابند. با توجه به تنوع شبکه‌ها، بسیاری از RATها این قابلیت را دارند که ابزار بیشتری را دانلود کنند تا در به‌دست آوردن دسترسی بیشتر، به آن‌ها کمک کند. در این مورد، RAT مانند یک دانلودکننده (Downloader) عمل می‌کند و مجموعه ابزار حمله‌ای را در اختیار مهاجم قرار می‌دهد که به وی امکان پیشروی در ساختار را می‌دهد.

آپلود و دسترسی به فایل‌ها

مهاجم موفق شده است به سروری که به اشتراک گذاشته شده است، دسترسی یافته، از ساختار دایرکتوری آن عبور نموده و اسنادی را که ویژگی‌های محصول جدید را نشان می‌دهد مکان‌یابی کند. قدم بعدی این است که داده‌های به سرقت رفته را به صورت غیرمجاز انتقال دهد. اکثر RATها این قابلیت را دارند که فایل‌ها را به یک مکان از پیش نعیین شده آپلود کنند. این امر اغلب با کمک پروکسی یا از طریق یک زیرساخت C2 میسر می‌گردد و در حالی که مهاجم اسناد مورد نظر را به سرقت می‌برد، ردپای وی نیز مخفی می‌ماند و پوششی برای آن است.

ضبط صدا، تصویر و اسکرین‌شات

ممکن است برخی اوقات مهاجم تنها به سرقت اسناد طراحی کفایت نکند. شاید یک مجموعه‌ای از داده‌ها را به دست آورده باشند اما در برخی داده‌ها به تنهایی فاقد ارزش کافی می‌باشد. ممکن است مهاجم برای کسب اطلاعات بیشتر بخواهد توجه خود را به کامپیوتر آلوده‌شده ابتدایی معطوف نموده و از RAT برای ضبط صدا و یا تصویر استفاده نماید. RAT ممکن است صحبت‌های مهندس با یکی از همکارانش را استراق سمع کند یا از یک جلسه‌ی معارفه در مورد محصول، فیلم بگیرد. RATها اغلب می‌توانند اسکرین‌شات نیز بگیرند و اسناد حیاتی در معرض نمایش را ضبط کنند.

سایر کاربردها

تنها یک سناریو است که می‌توان در حملات از RAT به عنوان End-to-End در حمله استفاده نمود. RATها را می‌توان در موقعیت‌های دیگر نیز به کار برد. به عنوان مثال، چه می‌شود اگر یک مهاجم بخواهد داده‌های مالی را به صورت غیرمجاز منتقل کند؟ با قابلیت‌های مختلف RAT می‌توان داده‌های امور مالی یک کامپیوتر آلوده را مختل نموده یا شماره‌های کارت اعتباری را با استفاده از Keylogger گردآوری کرد.

چیزی که باید مورد تاکید قرار بگیرد این است که بیشتر RATها به سیستم‌های آسیب‌دیده، فرمان می‌دهند. اگر دسترسی‌های مدیریتی موجود در این کامپیوترها به دست آمده باشد، مهاجم می‌تواند از یک RAT استفاده کند تا هر کاری که خواست انجام دهد.

RATهای مشهور

RATها برای مدتی طولانی وجود داشته‌اند و بسیاری از RATهای مشهور در ابتدا رایج و سپس منسوخ شده‌اند. بعضی از RATهای اخیر که در چشم‌انداز تهدید رایج بوده‌اند عبارت‌اند از Orcus RAT و RevengeRAT، که توسط بسیاری از مهاجمان مورد استفاده قرار گرفته‌اند. یک RAT رایج دیگر ExileRAT می‌باشد که در حملاتی با انگیزه‌های جاسوسی هستند، مورد استفاده قرار می‌گیرد و همراه با بدافزارهای گونه‌ی LuckyCat از یک زیرساخت C2 مشترک استفاده می‌نمایند.

همه‌ی RATها به صورت کامل ساخته نشده است. برخی از آن‌ها ابزارهایی شبه قانونی هستند که برای کاربرد مخرب، مجددا پیکربندی و یا هدفمند شده‌اند. دو مورد از این نمونه‌ها عبارت است از Imminent RAT و Remcos. چندین گروه حمله وجود دارد که توسط Talos Intelligence مانیتور شده‌اند و در حملات مخرب خود از RATها استفاده کرده بودند. عامل تهدید SWEED اغلب از Agent Tesla استفاده می‌کرد و همچنین عامل تهدید Panda را در حال انتشار Gh0st RAT مشاهده کرده‌اند و گروه Tortoiseshell، که اخیرا در حین ارتکاب به کلاهبرداری از کهنه‌کارها (Veteran) گرفته شدند، از یک RAT به نام IvizTech استفاده می‌کند.

مقابله با RAT

مهاجم موفق شده است وارد شبکه شود و این بار اطلاعات حساس محصول را به دست آورده است. چگونه می‌توان در آینده از چنین اتفاقی پیشگیری کرد؟ متاسفانه هیچ وجه اشتراکی در مورد شیوه‌ی ورود‌ به سیستم، برای RATها وجود ندارد. آن‌ها مانند دیگر انواع بدافزار منتشر می‌شوند: توسط ایمیل فرستاده می‌شوند، توسط Dropperها منتشر می‌شوند و به عنوان Payload برای Exploit کردن تجهیزات، در کنار سایر مسیرهای رایج حمله، تنظیم شده‌اند. موارد ذیل را می‌توان در نظر گرفت:

• یک برنامه‌ی کاربردی محافظتی Endpoint در مقابله با RATها بسیار مفید واقع می‌شود. AMP for Endpoints بدافزار را در نقطه‌ی ورود بلاک نموده، سپس تهدیدات پیشرفته را شناسایی، مهار و ترمیم می‌کند.
• مانیتور نمودن ترافیک شبکه برای فعالیت‌های غیرمجاز نیز مهم است. Cisco Stealthwatch جامع‌ترین راهکار آنالیز امنیت ترافیک شبکه و قابلیت دید است که از فرآیند بررسی و انتقال داده‌های (Telemetry) سازمان از زیرساخت شبکه‌ی موجود استفاده می‌کند.
• بسیاری از RATها ترافیک خود را کدگذاری می‌کنند، پس باید اطمینان حاصل نمود که می‌توان چنین ترافیکی را نیز مانیتور کرد. Encrypted Traffic Analytics با استفاده از آنالیز شبکه و یادگیری ماشینی دید کافی نسبت به تهدیدات در ترافیک کدگذاری‌شده ارائه می‌کند، بدون این که نیاز به کدگشایی ترافیک عبوری داشته باشد.
• قابلیت اتصال به دامین‌های C2 برای عملکرد بسیاری از RATها بسیار حیاتی است. بلاک کردن دامین‌های مخرب شناخته‌شده تاثیر بسزایی در متوقف کردن RAT در مسیرهایش دارد. Cisco Umbrella از DNS استفاده می‌کند تا تهدیدات را در تمام پورت‌ها و پروتکل‌ها، حتی اتصالات Direct-to-IP، متوقف سازد و مانع اتصال به سرورهای مهاجم شود.
• محصولات احراز هویت با چندمرحله‌، این قابلیت را دارند که حتی اگرمهاجمان اطلاعات اعتباری ورود را به دست آورده باشند، مانع ورودشان به ساختار سازمان بشوند. باید هویت کاربران را با برنامه‌های کاربردی‌ای مانند Cisco Duo تایید نمود.
• یک راهکار امنیتی ایمیل مناسب، همانند یک فایروال داخلی قوی، برای اطمینان از مسدود شدن عبور فایل‌های آلوده به RATها کمک می‌کند. Cisco Email Security بهترین تجهیز امنیتی در مقابل حملاتی است که از طریق ایمیل صورت می‌گیرند، در حالی که Next-Generation Firewall سیسکو می‌تواند حملات دیگر را در مرزهای شبکه متوقف سازد.
• تجهیزات (Appliance) امنیتی وب با قابلیت Data Leak Prevention یا DLP نیز در مواردی که RAT وارد می‌شود و سعی در سرقت اطلاعات حساس از طریق شبکه دارد، کمک می‌کند. راهکار Cisco and Digital Guardian DLP یک راهکار امنیتی جامع با عملکرد بالا برای داده‌های در حال انتقال می‌باشد.