Che cos'è il Trojan di accesso remoto? Prevenzione, rilevamento e rimozione

I Trojan di accesso remoto(Remote Access Trojans) ( RAT ) si sono sempre rivelati un grosso rischio per questo mondo quando si tratta di dirottare un computer o semplicemente di fare uno scherzo con un amico. Un RAT è un software dannoso che consente all'operatore di attaccare(operator attack) un computer e ottenere l'accesso remoto non autorizzato ad esso. I RAT(RATs) sono qui da anni e persistono poiché trovare alcuni RAT(RATs) è un compito difficile anche per il moderno software antivirus(Antivirus software) là fuori.

In questo post, vedremo cos'è Remote Access Trojan e(Access Trojan and talks) parleremo delle tecniche di rilevamento e rimozione(detection & removal techniques) disponibili. Spiega anche, in breve, alcuni dei comuni RAT(RATs) come CyberGate , DarkComet , Optix , Shark , Havex , ComRatVorteX Rat , Sakula e KjW0rm(Sakula and KjW0rm) .

Cosa sono i Trojan di accesso remoto

Trojan di accesso remoto

La maggior parte dei Trojan di accesso remoto(Remote Access Trojan) vengono scaricati in e-mail dannose, programmi non autorizzati e collegamenti Web che non portano da nessuna parte. I RAT(RATs) non sono semplici come i programmi Keylogger : forniscono all'attaccante molte funzionalità come:

  • Keylogging : è possibile monitorare le sequenze di tasti e recuperare nomi utente, password e altre informazioni sensibili.
  • Cattura(Screen Capture) schermo: è possibile ottenere schermate per vedere cosa sta succedendo sul tuo computer.
  • Hardware Media Capture : i RAT possono accedere alla tua webcam e al tuo microfono per registrare te e l'ambiente circostante violando completamente la privacy.
  • Diritti di amministrazione(Administration Rights) : l'attaccante può modificare qualsiasi impostazione, modificare i valori del registro e fare molto di più sul tuo computer senza la tua autorizzazione. RAT può fornire all'attaccante privilegi a livello di amministratore.
  • Overclocking : l'utente malintenzionato può aumentare la velocità del processore, l'overclocking del sistema può danneggiare i componenti hardware e alla fine ridurli in cenere.
  • Altre capacità specifiche del sistema(Other system-specific capabilitie) : l'attaccante può avere accesso a qualsiasi cosa sul tuo computer, file, password, chat e qualsiasi cosa.

Come funzionano i Trojan di accesso remoto

(Remote Access) I Trojan di (Trojans)accesso remoto sono disponibili in una configurazione server-client in cui il server è installato di nascosto sul PC vittima(victim PC) e il client può essere utilizzato per accedere al PC vittima(victim PC) tramite una GUI o un'interfaccia di comando(command interface) . Un collegamento tra server e client(server and client) viene aperto su una porta specifica e può avvenire una comunicazione crittografata o semplice tra il server e il client. Se la rete ei pacchetti(network and packets) inviati/ricevuti vengono monitorati correttamente, i RAT(RATs) possono essere identificati e rimossi.

Prevenzione dell'attacco RAT

I RAT(RATs) si dirigono verso i computer da e-mail di spam(spam emails) , software programmato in modo dannoso o vengono imballati come parte di qualche altro software o applicazione(software or application) . Devi sempre avere un buon programma antivirus(antivirus program) installato sul tuo computer in grado di rilevare ed eliminare i RAT(RATs) . Rilevare i RAT(RATs) è un compito piuttosto difficile in quanto sono installati con un nome casuale(random name) che può sembrare qualsiasi altra applicazione comune, quindi è necessario disporre di un buon programma antivirus(Antivirus program) per questo.

Il monitoraggio della tua rete(Monitoring your network) può anche essere un buon modo per rilevare qualsiasi Trojan che invia i tuoi dati personali su Internet.

Se non utilizzi (t use) Strumenti di amministrazione remota(Remote Administration Tools) , disabilita le connessioni di Assistenza remota(disable Remote Assistance connections) al tuo computer. Otterrai l'impostazione in Proprietà di sistema SystemProperties > Remote tab > Uncheck Consenti connessioni di Assistenza remota a questo computer(Allow Remote Assistance connections to this computer) opzione.

Mantieni sempre aggiornato il tuo sistema operativo(operating system) , il software installato e in particolare i programmi(security programs updated) di sicurezza. Inoltre, cerca di non fare clic su e-mail di cui non ti fidi(t trust) e provengono da una fonte sconosciuta. Non scaricare alcun software da fonti diverse dal sito Web ufficiale o dal mirror(website or mirror) .

Dopo l'attacco del RAT

Una volta che sai di essere stato attaccato, il primo passo è disconnettere il tuo sistema da Internet e dalla rete(Network) se sei connesso. Modifica(Change) tutte le tue password e altre informazioni sensibili e controlla se qualcuno dei tuoi account è stato compromesso utilizzando un altro computer pulito. Controlla i tuoi conti bancari per eventuali transazioni fraudolente e informa immediatamente la tua banca del Trojan nel tuo computer. Quindi scansiona il computer per problemi e cerca un aiuto professionale(professional help) per rimuovere il RAT . Prendi in considerazione la chiusura della porta 80(Port 80) . Usa uno scanner per porte Firewall(Firewall Port Scanner) per controllare tutte le tue porte.

Puoi anche provare a tornare indietro e sapere chi c'era dietro l'attacco, ma avrai bisogno di un aiuto professionale per questo. I RAT di solito possono essere rimossi una volta rilevati, oppure è possibile eseguire una nuova installazione di Windows per rimuoverlo completamente.

Trojan di accesso remoto comuni

Molti Trojan di (Trojans)accesso remoto(Remote Access) sono attualmente attivi e stanno infettando milioni di dispositivi. I più famosi sono discussi qui in questo articolo:

  1. Sub7 : 'Sub7' derivato dall'ortografia di NetBus (un vecchio RAT ) è uno strumento di amministrazione remota(remote administration tool) gratuito che ti consente di avere il controllo sul PC host(host PC) . Lo strumento è stato classificato in Trojan da esperti di sicurezza e può essere potenzialmente rischioso averlo sul tuo computer.
  2. Back Orifice : Back Orifice e il suo successore Back Orifice 2000(successor Back Orifice 2000) è uno strumento gratuito originariamente pensato per l' amministrazione remota,(administration –) ma non ci volle molto tempo per convertire lo strumento in un Trojan di accesso(Access Trojan) remoto . C'è stata una controversia sul fatto che questo strumento sia un Trojan , ma gli sviluppatori sostengono che si tratta di uno strumento legittimo che fornisce l' accesso di amministrazione(administration access) remota . Il programma è ora identificato come malware dalla maggior parte dei programmi antivirus.
  3. DarkComet : è uno strumento di amministrazione(administration tool) remota molto estensibile con molte funzionalità che potrebbero essere potenzialmente utilizzate per lo spionaggio. Lo strumento ha anche i suoi collegamenti con la guerra civile(Civil War) siriana, dove è stato riferito che il governo ha(Government) utilizzato questo strumento per spiare i civili. Lo strumento è già stato molto utilizzato in modo improprio e gli sviluppatori hanno interrotto il suo ulteriore sviluppo.
  4. shark : è uno strumento avanzato di amministrazione(administration tool) remota . Non pensato per principianti e hacker dilettanti. Si dice che sia uno strumento per professionisti della sicurezza e utenti avanzati.
  5. Havex : questo trojan è stato ampiamente utilizzato contro il settore industriale. Raccoglie informazioni inclusa la presenza di qualsiasi sistema di controllo industriale(Industrial Control System) e quindi trasmette le stesse informazioni a siti Web remoti.
  6. Sakula : un (Sakula)Trojan di accesso remoto disponibile in un programma di installazione a tua scelta. Mostrerà che sta installando uno strumento sul tuo computer ma installerà il malware insieme ad esso.
  7. KjW0rm : questo Trojan è dotato di molte funzionalità ma è già contrassegnato come una minaccia da molti strumenti antivirus .

Questi Trojan di accesso remoto(Remote Access Trojan) hanno aiutato molti hacker a compromettere milioni di computer. Avere protezione contro questi strumenti è un must e un buon programma di sicurezza(security program) con un utente attento è tutto ciò che serve per evitare che questi trojan compromettano il tuo computer.

Questo post doveva essere un articolo informativo sui RAT(RATs) e non promuove in alcun modo il loro utilizzo. In ogni caso, potrebbero esserci alcune leggi legali sull'utilizzo di tali strumenti nel tuo paese.

Maggiori informazioni sugli strumenti di amministrazione remota(Remote Administration Tools) qui.



Samuele Milani

About the author

ingegnere audiofilo e specialista di prodotti audio con oltre 10 anni di esperienza. Sono specializzato nella creazione di altoparlanti e cuffie per musica di qualità dall'inizio alla fine. Sono un esperto nella risoluzione dei problemi audio e nella progettazione di nuovi altoparlanti e sistemi di cuffie. La mia esperienza va oltre la semplice realizzazione di buoni prodotti; Ho anche una passione per aiutare gli altri a essere il meglio di sé possibile, sia attraverso l'istruzione che il servizio alla comunità.


Related posts