网络恶意攻击者的 “ 军火库 ” 里有各式各样强大的武器。下载程序、管理工具和间谍软件通常都会被用于发动此类攻击。但是在当下许多攻击场景中,最常用的工具却是远程访问木马,我们通常将它们称之为 “ RAT ” 。
什么是 RAT
RAT 是一种如 “ 瑞士军刀 ” 般的武器。许多 RAT 病毒不仅通过许多常见的载体( 如恶意下载文件和电子邮件附件 )进行传播,还会用到前面提到的所有武器,甚至更多,从而方便恶意攻击者在发动攻击时对每一个组件都加以利用。简言之,RAT 其实是把许多恶意工具整合到同一个工具包中。
RAT 与 RAT 之间也存在很多区别。有些 RAT 可谓全才,适用于多种攻击场景,而有些则是为发动特定攻击而量身定制的;有些 RAT 会借助预先设定好的代理来掩盖攻击者的最终位置,有些可能会借用 C2( 命令控制型 )基础设施达到同样的目的。
尽管不同的 RAT 会通过不同的功能和基础设施来发动攻击,但我们在分析许多 RAT 后总结出几个共同特征。为了阐明具体的攻击过程,我们不妨再回到文章开头提到的科技公司新产品资料外泄事件,通过这个具体案例来说明恶意攻击者如何利用 RAT 访问并窃取有关新产品的敏感文件。
收集系统信息
攻击者通过一封包含 RAT 链接的网络钓鱼邮件成功突破了您公司的网络防御机制。但这并不意味着它们会立即搞清楚自己在网络中的具体位置。针对已遭其黑手的计算机,它们自然想了解更多,比如这是行政助理的台式机,还是财务部的笔记本,或者就是一台 Web 服务器呢?攻击者可通过全面的系统侦查了解自己在目标企业中的渗透程度,比如是否还需要横向移动,或者是否已经抵达既定目标。有些网络侦察工具甚至允许恶意攻击者扫描其他系统,并收集相关信息。
盗取用户名和密码
攻击者成功入侵了一台设备,但这台设备并非它的预期目标。虽然他们破坏了工程部某位员工的一台计算机,但它们想要盗取的资料却保存在一台共享服务器中。如果要横向移动,它们可能需要想办法在它们已经入侵的系统上搜索登录凭据。许多 RAT 都具有抓取已保存和已缓存密码的功能,所以一旦恶意攻击者拿到用户名和密码,就会尝试登录共享服务器。
记录按键
攻击者扫描受损计算机以查找登录凭据,但一无所获。这算是个好消息吗?是的,然而这只是攻击者遇到的一个小小的挫折。许多 RAT 都包含诸如键盘监听程序之类的信息窃取组件,也就是说攻击者只需要启用这个组件,然后坐等已感染系统的用户登录共享服务器即可。用户将登录凭据输入系统,攻击者便随之将其捕获,之后便会自行尝试登录服务器。
下载更多恶意程序
攻击者虽然能够获得登录凭据;但它们的登陆尝试还是以失败告终。( 或许您公司采用多因素身份验证机制?)为了能够进入到工程部的共享服务器,攻击者将不得不请求增援。它们发现了共享服务器的一个漏洞,然后需要通过一套攻击工具对这个漏洞加以利用,以获取访问权限。鉴于不同网络间存在的巨大差异,许多 RAT 都能通过下载更多工具来帮助自己获得进一步的访问权限。在这种情况下, RAT 在运行时会模仿下载程序,即下载一套攻击工具来帮助攻击者继续前进。
访问并上传文件
假设攻击者终于访问了共享服务器,遍历了其目录结构,并找到了公司新产品功能的文档资料。接下来它们就要盗取这些文件。大部分 RAT 都能将文件上传到预先设定好的位置。这项工作通常需要代理协助或依托 C2 基础设施才能完成,攻击者在窃取相关文档资料时的踪迹也因此可被覆盖。
录制音视频及截屏
有时候,恶意攻击者可能并不满足止步于窃取设计文档。它们可能拿到了一组幻灯片,但其中几页缺少上下文。为了获得更多资料,它们会将目光转回最早攻击的那台计算机,然后通过 RAT 录制音频和/或视频资料。RAT 可能会偷听工程师与同事的对话,也可能会把旨在探讨新产品的演示会议过程录成一段视频。RAT 也经常通过截取屏幕图像的方式来捕获屏幕上正在显示的重要文档。
其他应用场景
这只是 RAT 贯穿攻击过程始终的一种场景。其实它也被用于其他很多情境。举个例子,如果攻击者要窃取财务数据,就可利用 RAT 从某台计算机中盗取银行信息,或通过键盘监听程序收集信用卡号码。
这里需要强调一点,那就是大多数 RAT 病毒都能通过命令行访问已遭入侵的系统。如果恶意攻击者对这类计算机获得了足够的管理权限,就可将 RAT 用作武器为所欲为。
如何抓住 “ 老鼠 ”
虽然这一次攻击者成功入侵了您公司的网络并拿到产品计划。您该如何防止它们重蹈覆辙?
幸运的是, RAT 进入系统的方式并没有什么特别之处。它们在系统内的散布方式与其他类型的恶意软件大致相同:通过电子邮件发送,由丢弃程序删除,并与其他几种常见的攻击载体一同被设置为漏洞攻击工具的有效载荷。我们建议您应考虑以下几点:
一款良好的端点保护应用程序能够非常有效地抵御 RAT 攻击。比如面向终端的思科AMP( AMP for Endpoints ),它会在入口点阻止恶意软件,然后针对各种高级威胁采取检测、遏制和修复等一系列措施。