RAT вирус написанный на Python использует протокол Telegram. Программы удаленного администрирования (RAT - Remote Administration Tools) Как работает программа RAT

Признаки беременности после имплантации эмбриона

Что означает аббревиатура RAT?
RAT - крыса (английский). Под аббревиатурой RAT скрывается не очень приятное для каждого пользователя обозначение трояна, с помощью которого злоумышленник может получить удалённый доступ к компьютеру. Многие ошибочно переводят эту аббревиатуру как Remote Administration Tool - инструмент для удалённого администрирования, но на самом же деле аббревиатура RAT означает Remote Access Trojan – программа троян для удалённого доступа.

На самом деле шпионская Для просмотра ссылки Войди или Зарегистрируйся программа RAT это один из наиболее опасных вредоносных программ, который дает возможность злоумышленнику получить не просто доступ к вашему компьютеру но и полный контроль над ним. Используя программу RAT, взломщик может удалённо установить клавиатурный шпион или другую вредоносную программу. Также с помощью данной программы хакер может заразить файлы и много чего ещё наделать без вашего ведома.

Как работает программа RAT?
RAT состоит из двух частей: клиент и сервер. В самой программе RAT(Клиент) которая работает на компьютере злоумышленника создается программа сервер которая посылается жертве. После запуска жертвой сервера в окне программы клиента появляется удалённый компьютер(хост), к которому можно удалённо подключиться. Всё.., с этого момента компьютер жертвы под полным контролем злоумышленника.

Возможности трояна RAT

  • Следить за действиями пользовотеля
  • Запускать файлы
  • Отключать и останавливать сервисы Windows
  • Снимать и сохранять скрины рабочего стола
  • Запускать Веб-Камеру
  • Сканировать сеть
  • Скачивать и модифицировать файлы
  • И многое другое
Популярные RAT-программы
  • DarkComet Rat
  • CyberGate
  • ProRAT
  • Turkojan
  • Back Orifice
  • Cerberus Rat
  • Spy-Net
Какая самая лучшая программа RAT?
Лучший троян RAT на сегодня это DarkComet Rat

Как происходит заражение RAT-трояном?
Заражение вирусом RAT происходит почти также как другими вредоносными программами через:

  • Массовое заражение на варез и торрент сайтах.
  • Скрипты(эксплойты) на сайтах, которые без вашего ведома загружают RAT на ваш компьютер.
  • Стоит отметить что, в большинстве заражение RAT-трояном происходит не от массового а от целенаправленное заражение вашего компьютера друзьями или коллегами.
Кстати не всегда антивирусное по в силах предотвратить заражение, некоторые антивирусы попросту не детектируют вирус, так как сегодня уже никто не посылает просто трояна, сегодня его предварительно криптуют.
Как предотвратить заражение троянской программой RAT?
  • Не открывать не знакомые файлы, которые вы получаете по почте.
  • Пользоваться безопасными браузерами.
  • Качать и устанавливать программы только с сайта разработчика.
  • Не допускать физического контакта с компьютером посторонних людей.
  • Удалить антивирус и поставить хороший фаервол и хороший сниффер.
Как понять что у вас троянская программа RAT?
Понять что у вас на компьютере установлен РАТ очень не легко, но можно. Вот признаки которые могут говорить о наличии троянской программы на вашем компьютере:
  • Странная сетевая активность в фаерволе, в частности высокий исходящий трафик.
  • Комп начал тормозить или скорость интернета значительно просела.
  • У вас увели пароль от соц. сетей или почты.
  • Подозрительный трафик в снифере
Как вылечить заражённый трояном компьютер?
Обнаружить троян RAT довольно сложно. Можно скачать сканер Для просмотра ссылки

Программы удаленного администрирования (Remote Administration Tools, сокращенно RAT) используются для удаленного управления рабочими станцими или другими компьютерными устройствами, являются разновидностью потенциально опасного программного обеспечения . Через них можно выполнять практически любые действия с удаленной системой: передавать файлы, вести наблюдение за действиями пользователя, производить настройки системы, управлять функциями ввода/вывода и тп. Чаще всего такие программы состоят из двух частей – вредонос на зараженном компьютере, предоставляющий доступ к системе. Есть, впрочем, и варианты, позволяющие управлять из браузера, для тех, кому необходимо иметь доступ с любого компьютера без предварительно установленных программ.

В легальных целях они используются для доступа к ресурсам другого компьютера (например, с домашнего компьютера управлять рабочим), и удаленной технической поддерхке пользователей с низкой квалификацией в решении технических проблем.

Однако существует и третий, нелегальный вариант – удаленное подключение злоумышленника с целью получения полного контроля над компьютером и всеми возможностями которые этот контроль предоставляет. Однако, только кражей информации и выводом компьютера из строя арсенал инструментов RAT-троянов не ограничивается: большинство предоставляет хакеру возможность “подсмотреть” в веб-камеру, послушать данные из микрофона, узнать местоположение зараженного устройства (если на нем есть GPS), предоставляют они и доступ к рабочему столу (RDP) и к командной строке, и это только минимальный набор возможностей RAT!

Классификация программ удаленного администрирования

RAT (Remote Administration Tools) - программы бывают как легальными, так и нелегальными. В легальном смысле эти программы - отличный инструмент для системного администратора, который удаленно может провести работу с клиентом. Нелегально же RAT часто используют хакеры для слежки или сбора информации о жертве. Каждый разработчик стремится реализовать свой набор доступных функций в зависимости от задач, сегмента использования и квалификации пользователей, ориентации на платное или бесплатное распространение.

Чаще всего программы удаленного администрирования делят по возможности работы на различных операционных системах – Windows, macOS, Linux, способные работать с несколькими ОС, дающие доступ с мобильных устройств.

В плане безопасности различают программы, предоставляющие доступ при наличии пароля и такие, где необходимо разрешение пользователя удаленного компьютера, системы с встроенными протоколам шифрования, возможностью фильтрования по ID и IP.

Как используются программы удаленного администрирования?

RAT (Remote Administration Tools) хакеры используют для слежки за человеком, или сборе информации о нем. При этом целью может стать кто угодно: известный политический деятель, или обычный человек, о жизни которого кто-то хочет узнать подробней.

Имея физический доступ к серверу, злоумышленник может украсть идентификатор и пароль для клиента, либо создать собственные. На машине клиенте можно поработать в отсутствие владельца, либо опять же скопировать пароль доступа. Другой тип атаки – заражение троянцем-кейлоггером либо иной программой, крадущей пароли. Наконец, можно украсть бумажку, где пароль записан.

Еще одним объектом воздействия может стать канал, по которому владелец управляемого компьютера передает пароль на подключение. Для передачи используют телефоны (SMS или устный разговор), электронную почту, Skype, любой из мессенджеров, и если преступник сумеет получить доступ к каналу передачи – он получит пароль и возможность управлять чужой машиной.

Как распространяются программ удаленного администрирования?

Обычно RAT заносится злоумышленником на компьютер при физическом контакте. Не менее распространенный способ - социальная инженерия. Хакер может предоставить жертве RAT (Remote Administration Tools) как интересную, полезную программу, заставив жертву установить ее себе.

Помимо программ, хакер может использовать предустановленные в ОС утилиты, которые недостаточно защищены, или защищены слабым паролем, например, такие как RDP или Telnet.

Также входной точкой для хакера может стать установленная когда-то и забытая системным администратором программа удаленного администрирования, к которой хакер может подобрать пароль и получить контроль над ПК.

Следующая уязвимость – настройка прав доступа к удаленной системе. Можно разрешить доступ лишь по запросу пользователя, с определенными идентификаторами и только с некоторых IP, но зачастую пользователи выбирают автозапуск с любого адреса. Это удобно, когда необходим доступ к машине, за которой никто не сидит (например, собственному рабочему компьютеру), но в то же время открывает дорогу и преступникам.

И последнее – человеческий фактор. Чаще всего удаленный доступ используют не внешние хакеры, а собственные уволенные сотрудники. Как уже упоминалось, на десятках компьютеров могут быть установлены утилиты удаленного управления. В результате бывший сотрудник может либо сам проникнуть в систему, либо продать информацию конкурентам.

Опасность может представлять и установка программ удаленного доступа втайне от пользователя. Она может вообще никак себя не выдавать себя, при этом злоумышленник получит возможность копировать нужную информацию и нарушать работу системы.

Риски использования программ удаленного администрирования

Нередко удаленное администрирование использует для помощи более продвинутых товарищей либо служб поддержки. Доступ разрешает с любого IP без подтверждения, а используется слабый пароль. Взломать такой компьютер сможет даже начинающий злоумышленник.

Важно использовать уникальные и сильные пароли для каждой машины и каждого сервиса, ведь root:toor или admin:admin хакер может быстро подобрать и получить полный или частичный контроль над компьютером, который может стать отправной точкой для взлома всей инфраструктуры компании.

Универсального решения тут не существует, ведь любое усиление безопасности, введение дополнительных ограничений неизбежно усложняет, а порой и делает невозможной нормальную работу.

И все же не следует разрешать удаленный доступ тем, кому он явно не требуется. Важно следить за штатными средствами ОС и программами, установленными на компьютере (компьютерах), ведь они также могут быть взломаны и предоставлять хакеру контроль над машиной.

Нужно установить на компьютер (компьютеры) хороший антивирус, который сможет следить за активностью программ и трафиком, пресекая любые несанкционированные действия.

Очень важно со стороны служб информационной безопасности, а также со стороны пользователей отслеживать установленные на компьютере программы, а также контролировать за настройками штатных средств. Кроме этого необходимо установить актуальный фаервол и надежную антивирусную программу, в которой предусмотрен поведенческий анализ. Такая функция позволит обнаруживать программы удаленного администрирования как потенциально опасные или вредоносные программы.

Что означает аббревиатура RAT?

RAT — крыса (английский). Под аббревиатурой RAT скрывается не очень приятное для каждого пользователя обозначение трояна, с помощью которого злоумышленник может получить удалённый доступ к компьютеру. Многие ошибочно переводят эту аббревиатуру как Remote Administration Tool — инструмент для удалённого администрирования, но на самом же деле аббревиатура RAT означает Remote Access Trojan – программа троян для удалённого доступа.

На самом деле RAT это один из наиболее опасных вредоносных программ, который позволяет злоумышленнику получить не просто доступ к вашему компьютеру но и полный контроль над ним. Используя программу RAT, взломщик может удалённо установить клавиатурный шпион или другую вредоносную программу. Также с помощью данной программы хакер может заразить файлы и много чего ещё наделать без вашего ведома.

Как работает программа RAT?

RAT состоит из двух частей: клиент и сервер. В самой программе RAT(Клиент) которая работает на компьютере злоумышленника создается программа сервер которая посылается жертве. После запуска жертвой сервера в окне программы клиента появляется удалённый компьютер(хост), к которому можно удалённо подключиться. Всё.., с этого момента компьютер жертвы под полным контролем злоумышленника.

Возможности трояна RAT

  • Запускать файлы
  • Отключать и останавливать сервисы Windows
  • Снимать и сохранять скрины рабочего стола
  • Сканировать сеть
  • Скачивать и модифицировать файлы
  • Мониторить, открывать и закрывать порты
  • Прикалываться над чайниками и ещё многое другое

Популярные RAT-программы

  • DarkComet Rat
  • CyberGate
  • ProRAT
  • Turkojan
  • Back Orifice
  • Cerberus Rat
  • Spy-Net

Какая самая лучшая программа RAT?
Лучший троян RAT на сегодня это DarkComet Rat(на хаЦкерском жаргоне просто Камета)

Как происходит заражение RAT-трояном?

Заражение вирусом RAT происходит почти также как другими вредоносными программами через:

  • Массовое заражение на варез и торрент сайтах.
  • Скрипты(эксплойты) на сайтах, которые без вашего ведома загружают RAT на ваш компьютер.
  • Стои отметить что, в большинстве заражение RAT-трояном происходит не от массового а от целенаправленное заражение вашего компьютера друзьями или коллегами.

Кстати не всегда антивирусное по в силах предотвратить заражение, некоторые антивирусы попросту не детектируют , так как сегодня уже никто не посылает просто трояна, сегодня его предварительно криптуют(что такое крипт и как это делают мы расскажем в другой статье).

Как предотвратить заражение троянской программой RAT?

  • Не открывать не знакомые файлы, которые вы получаете по почте.
  • Пользоваться безопасными браузерами.
  • Качать и устанавливать программы только с сайта разработчика.
  • Не допускать физического контакта с компьютером посторонних людей.
  • Удалить к чертям антивирус и поставить хороший фаервол и хороший сниффер. Можете конечно оставить антивирус, я понимаю привычка дело такое…, но фаерволом пользоваться вам надо обязательно. Но а если научитесь юзать сниффер, то в моих глазах станете продвинутыми юзверями, без пяти минут специалистами в области компьютерной безопасности))!

Как понять что у вас троянская программа RAT?

Понять что у вас на компьютере установлен РАТ очень не легко, но можно. Вот признаки которые могут говорить о наличии троянской программы на вашем компьютере:

  • Странная сетевая активность в фаерволе, в частности высокий исходящий трафик.
  • Комп начал тормозить или скорость интернета значительно просела.
  • У вас увели пароль от соц. сетей или почты.
  • Подозрительный трафик в

Как вылечить заражённый трояном компьютер?

Обнаружить троян RAT довольно сложно. Можно скачать бесплатные антивирусы с обновлёнными базами, к примеру отличный на мой взгляд сканер и просканировать компьютер. На самом деле если вы мало разбираетесь в компьютерах легче не искать иголку в стоге, а предварительно сохранив важные документы отформатировать комп и установить Windows заново.

Кстати устанавливая взломанную Windows вы рискуете заразится уже на этапе установки. Так как некоторые левые сборки которые раздаются в сети имеют уже вшитые закладки, шпионы, вирусы, скрытые радмины, рмсы и другую красоту. Я знал одного компьютерного мастера который само того не зная устанавливал на машины клиентов левую сборку Windows, знаменитую протрояненную ZverCD

Видео: Работа RAT трояна DarkComet

Недавно был создан Remote Access Trojan (RAT), который использует протокол Telegram для кражи пользовательских данных через зараженное устройство. RAT написан в Python и в данный момент находится в свободном доступе для скачивания на порталах обмена кодами (Github ).

Создатель RAT, утверждает, что целью создания RAT была исключительно оптимизация и улучшение выполняемой работы для RAT. Автор подчеркивает, что главная проблема с большей частью RAT в том, что они не используют шифрование и запрашивают включение переадресации порта на устройстве жертвы для контроля зараженных хостов. Разработчик предлагает его собственный инструмент, под названием RATAtack, который использует протокол Telegram для поддержки зашифрованного канала жертвы и создателя канала, и не требует переадресации портов, так как протокол Telegram предусматривает простой метод связи с целью без предварительной настройки порта.

RAT работает через ботов в Telegram

Перед появлением RATatack, пользователь RAT должен создать бота в Telegram, взять маркер этого бота и поместить его в конфигурационный файл RAT. После заражения жертвы RATAttack, все хосты соединяются с каналом бота. Владелец RATAttack может подключиться к тому же каналу и пользоваться простыми инструкциями для управления клиентами RATatack в зараженных хостах. В соответствии с нынешней версией RATAttack, поддерживаются следующие команды:

Python

/pc_info - Получение информации о ПК /msg_box - Выводит окошко с текстом /snapshot - Делает снимок с вебкамеры /ip_info - Выводит IP /download_file - Скачивает файл /list_dir - Список файлов в текущей папке /run_file - Выполняет файл /capture_pc - Скрин рабочего стола /keylogs - Кейлогер /self_destruct - Уничтожает сам себя

Интерфейс RAT в Telegram

Ниже указаны некоторые функции RATAttack, а также находящиеся в доработке:

  • Запуск кейлоггера на ПК цели;
  • Получение информации о ПК цели, а именно: версии Windows, процессоре, и т.д.;
  • Получение информации об IP адресе цели и её приблизительное расположение на карте;
  • Показать окно сообщений с пользовательским текстом в компьютере цели;
  • Список всех каталогов в компьютере цели;
  • Локальная загрузка любого файла с компьютера цели в фоновом режиме;
  • Загрузка локальных файлов на компьютер цели. Отправка изображений, документов pdf, exe, и любого другого файла боту Telegram;
  • Скриншоты компьютера цели;
  • Выполнение любого файла на компьютере цели.

Функции в разработке:

  • Самоуничтожение RAT на компьютере цели;
  • Снимки с вебкамеры (если имеется);
  • Удаление файлов на компьютере цели

RATAttack написан на Python 2.7 , но автор обещал версию для Python 3.X .

Мистический «отказ от ответственности» будет держать плохих ребят подальше

Как и большинство «темных» разработчиков, которые создают RAT с двойным назначением, разработчик назвал свое творение Remote Administration Tool (Инструмент удаленного администрирования). Даже если часть функций, над которыми он в данный момент работает, обычно обнаруживается во вредоносных троянах . Они не являются легальными инструментами удаленного администрирования, такими как Teamviewer и другие.

Разработчик также не забыл исполнить старый номер, и обязательный «отказ от ответственности» в конце описания RATAttack , надеясь избежать последствий, к которым приведут злоумышленники, используя его код, который находится в свободном доступе для слежки за супругами, взлома компаний, или держать диссидентов под наблюдением. Предположительно, этот инструмент должен использоваться только в авторизированных системах. Любое неавторизированное использование данного инструмента без разрешения является нелегальным . Вопрос ПО с двойным назначением, используемым для легальных и преступных целей, недавно обсуждался в новостях.

Точка зрения в поддержку разработчиков RAT выражена в статье под названием «ФБР арестовало хакера, который никого не хакнул », пока журналист Infosec Брайан Кребс выдвинул контраргумент в виде статьи, под названием «Криминал и ПО с двойным назначением — это не так уж и ново ». Обе статьи рекомендуются к прочтению, для понимания того, почему не стоит обманывать власти и органы правопорядка в частности, называя свой софт Инструментом удаленного администрирования, который содержит явные функции вредоносного ПО. Автор кода поделился своей разработкой на GitHub, так что, основываясь на печальном опыте, вопрос времени, когда мы увидим его в руках настоящих компаниях вредоносного ПО.

Обновление (April 19, 2017, 03:55 ) : Ritiek Malhotra (@Ritiek) Удалил свой репозиторий на Github. На гитхабе уже успели сделать форки. Пользователь @mvrozanti даже начал расширение функционала.

Публикации по теме