Программы удаленного администрирования (RAT - Remote Administration Tools)

Программы удаленного администрирования (RAT - Remote Administration Tools)

Программы удаленного администрирования (Remote Administration Tools, сокращенно — RAT) используются для удаленного управления рабочими станциями или другими компьютерными устройствами, являются разновидностью потенциально опасного программного обеспечения. Через них можно выполнять почти любые действия с удаленной системой: передавать файлы, вести наблюдение за действиями пользователя, производить настройки системы, управлять функциями ввода/вывода и т.п. Чаще всего такие программы состоят из двух частей — агент на целевом компьютере, предоставляющий доступ к системе, и панель управления на другом конце канала связи. Есть, впрочем, и варианты, позволяющие управлять из браузера — для тех, кому необходимо иметь доступ с любого компьютера без предварительно установленных программ.

В легальных целях RAT используются для доступа к ресурсам другого компьютера (например, с домашнего ПК можно управлять рабочим) или при удаленной технической поддержке пользователей. Однако существует и нелегальный вариант — удаленное подключение злоумышленника с целью получить полный контроль над компьютером и всеми возможностями, которые этот контроль предоставляет. Большинство таких инструментов позволяет не только красть данные или выполнять файловые операции, но и транслировать изображение с веб-камеры, захватывать аудиопоток из микрофона, узнавать местоположение зараженного устройства (если на нем есть GPS), получать доступ к рабочему столу и командной строке. Всё перечисленное — лишь минимальный набор возможностей RAT.

Классификация программ удаленного администрирования

Программы класса RAT (Remote Administration Tools) бывают как легальными, так и нелегальными. В первом сценарии они являются отличным инструментом для системного администратора, который удаленно может провести диагностику, настройку и исправление ошибок. Нелегально же RAT часто используют хакеры для слежки или сбора информации о жертве. Каждый разработчик стремится реализовать свой набор доступных функций в зависимости от задач, сегмента использования и квалификации пользователей, ориентации на платное или бесплатное распространение.

Чаще всего программы удаленного администрирования делят по возможности работы на различных операционных системах — инструменты для Windows, macOS, Linux, способные работать с несколькими ОС, дающие доступ с мобильных устройств.

В плане безопасности различают программы, предоставляющие доступ при наличии пароля и такие, где необходимо разрешение пользователя удаленного компьютера, системы с встроенными протоколами шифрования, возможностью фильтрации по ID и IP.

Как используются программы удаленного администрирования?

Злоумышленники используют RAT для слежки за человеком, сбора информации о нем. При этом целью может стать кто угодно: известный политический деятель или обычный гражданин, о жизни которого кто-то хочет узнать больше.

Имея физический доступ к серверу, злоумышленник может украсть идентификатор и пароль для клиента либо создать собственные. Можно поработать на компьютере в отсутствие владельца или опять же скопировать пароль доступа. Другой тип атаки — заражение троянцем-кейлогером либо иной программой, крадущей пароли. Наконец, можно украсть популярные среди офисных работников стикеры с записанными на них паролями.

Еще одним объектом воздействия может стать канал, по которому владелец управляемого компьютера передает пароль на подключение. Для передачи используют телефоны (SMS или устный разговор), электронную почту, Skype, любой из мессенджеров, и если преступник сумеет получить доступ к каналу передачи, то он захватит пароль и возможность управлять чужой машиной.

Как распространяются программы удаленного администрирования?

Как отмечено выше, хакер может внедрить RAT при физическом контакте с компьютером. Не менее распространенный способ — социальная инженерия. Злоумышленник способен представить этот инструмент как интересную, полезную программу, заставив жертву установить ее самостоятельно.

Помимо программ, доступны для использования компоненты ОС, которые уязвимы или защищены слабым паролем — например, RDP или Telnet. Также входной точкой для хакера может стать установленная когда-то и забытая системным администратором программа удаленного управления, к которой взломщик подберет пароль, получив тем самым контроль над ПК.

Следующая уязвимость — настройка прав доступа к удаленной системе. Можно разрешить доступ лишь по запросу пользователя, с определенными идентификаторами и только с некоторых IP, но нередко люди выбирают автозапуск с любого адреса. Это удобно, когда необходим доступ к машине, за которой никто не сидит (например, к собственному рабочему компьютеру), но в то же время открывает дорогу и преступникам.

Последнее — человеческий фактор. Чаще всего удаленный доступ используют не внешние злоумышленники, а собственные уволенные сотрудники. Как уже упоминалось, на десятках компьютеров могут быть установлены утилиты удаленного управления. В результате бывший сотрудник может либо сам проникнуть в систему, либо продать информацию конкурентам.

Программы удаленного администрирования (RAT - Remote Administration Tools)

Опасность может представлять и установка программ удаленного доступа втайне от пользователя. В ряде случаев она вообще никак себя не проявляет, но при этом злоумышленник получит возможность копировать нужную информацию и нарушать работу системы.

Риски использования программ удаленного администрирования

Удаленное администрирование охотно применяют для получения помощи от товарищей либо служб поддержки. Неопытные пользователи разрешают доступ с любого IP-адреса без подтверждения, устанавливают слабый пароль. Взломать такой компьютер сможет даже начинающий злоумышленник.

Важно использовать уникальные и сильные пароли для каждой машины и каждого сервиса, ведь учетные данные наподобие root:toor или admin:admin хакер может быстро подобрать, получив полный или частичный контроль над компьютером и использовав его как отправную точку для взлома всей инфраструктуры компании.

Универсального решения не существует, ведь любое усиление безопасности, введение дополнительных ограничений неизбежно усложняет, а порой и делает невозможной нормальную работу. И все же не следует разрешать удаленный доступ тем, кому он явно не требуется. Важно следить за штатными средствами ОС и программами, установленными на компьютере (компьютерах), ведь они также могут быть взломаны и предоставлять хакеру контроль над машиной.

И службам информационной безопасности, и пользователям очень важно отслеживать установленные на компьютере программы, а также контролировать настройки штатных утилит. Кроме этого, необходимо установить актуальный сетевой экран и надежную антивирусную программу, в которой предусмотрен поведенческий анализ. Такая функция позволит обнаруживать RAT как потенциально опасные или вредоносные программы.