Borat RAT – Bösartiger Schadcode im Dreierpack
von Tina Siering
Was ist der Borat RAT?
Borat ist ein Remote Access Trojaner (RAT), der den Fernzugriff auf infizierte IT-Systeme ermöglicht. Borat kann für unterschiedliche Angriffe verwendet werden, beispielsweise zum Einschleusen von Ransomware, für das Aufzeichnen von Tastatureingaben und Mauszeigerbewegungen, für die Durchführung von DDoS-Angriffen oder zum Erlangen von Admin-Berechtigungen durch User Account Control Bypassing. Borat RAT ist dabei ein überaus flexibles Tool, dass von Cyberkriminellen ganz individuell auf den jeweiligen „Bedarf“ angepasst werden kann.
Angeboten wird Borat über Hacking-Boards und Foren im Darknet. Sicherheitsforscher gehen daher davon aus, dass der Funktionsumfang des Tools in naher Zukunft noch deutlich erweitert werden wird. Ob das Tool verkauft wird oder im Darknet frei verfügbar verteilt wird, ist weiterhin unklar.
Auffällig an Borat RAT sind Funktionen, mit denen Cyberangreifer ihre Opfer nicht nur ausspionieren und erpressen, sondern auch komplett verwirren können. So ermöglicht das Tool das Vertauschen der Maustasten, ein Ausblenden der Taskleiste, ein Ausschalten des Bildschirms oder ein vollständiges “Aufhängen” des Systems. Auch das Abspielen von Audiofiles gehört zum Repertoire von Borat.
Wie verbreitet sich der gefährliche Schädling?
Borat wird von Cyberkriminellen bevorzugt über Links oder Anhänge in E-Mails oder auch über Webseiten verbreitet. Die beliebte Verbreitung über E-Mails funktioniert nach wie vor erschreckend effizient. Versteckt in auf den ersten Blick harmlos aussehenden Dateianhängen, beispielsweise in MS-Word-Dokumenten, in ZIP-Archiven oder in Form ausführbarer Dateien, aktiviert sich die Malware nach einem initialen Mausklick durch den Empfänger. Auf Webseiten versteckt sich Borat hinter Links, die mit dem Download von kostenloser Software locken. Auch in P2P-Netzwerken oder bei File Hostern verteilt sich Borat fleißig – und wartet auf unbedarfte User.
Welche Schäden können Hacker mit dem Borat RAT anrichten?
Schon eine „klassische“ RAT-Malware kann auf den befallenen Systemen massive Schäden anrichten. Die Remote Access Trojaner ermöglichen es Cyberangreifern, die komplette Kontrolle über ein kompromittiertes System zu übernehmen. Ist die Malware erst einmal auf dem Rechner aktiv, können die Angreifer auf Netzwerkressourcen, Dateien und angeschlossene Peripherie-Geräte wie Tastatur, Maus oder Webcam zugreifen. So lassen sich Daten auslesen, Passwörter abgreifen und User sogar aus ihrem eigenen System aussperren. Borat RAT geht aber noch einen – oder besser gesagt: zwei – Schritte weiter. Denn zusätzlich zu den RAT Funktionen bietet Borat auch die Möglichkeit, DDoS-Angriffe durchzuführen und als Ransomware für Cybererpressungen eingesetzt zu werden.
Für Cyberkriminelle bietet Borat RAT einen umfangreichen Baukasten, der ein Anpassen des Schädlings für den individuellen Bedarf jedes Hackers ermöglicht: Das Borat-Paket enthält einen Builder, verschiedene Module und ein Serverzertifikat. Jeder Cyberkriminelle kann sich „sein“ Borat RAT so mit wenig Aufwand und zu geringen Kosten ganz individuell zusammenstellen. Über ein Dashboard können die Cyberkriminellen dann RAT-Aktivitäten ausführen, DDoS-Angriffe starten oder Ransomware auf kompromittierte Systeme schleusen und so Erpressungsversuche starten. Borat kann Discord-Tokens stehlen, Schadcode in Prozesse einspielen und sogar tief in die „analoge“ Privatsphäre der Opfer eindringen. Denn mühelos kann ein Cyberangreifer aus der Ferne die Webcam und das Mikrofon eines betroffenen Rechners einschalten und die Aktivitäten vor dem Rechner aufzeichnen.
Extrem gefährlich kann auch die Remote-Desktop-Funktion sein, die Borat RAT bietet. Cyberkriminellen ist es dadurch möglich, gespeicherte Daten zu löschen oder zu stehlen, Anmeldedaten zu Online-Konten oder Sharepoints aufzuzeichnen und weiterzuleiten. In kürzester Zeit können Cyberkriminelle so wertvolle, hochsensible Unternehmensdaten entwenden oder zerstören, Arbeitsabläufe unmöglich machen oder durch ein Lahmlegen des gesamten Systems gar das komplette (digitale) Tagesgeschäft zum Stillstand bringen.
Zusammengefasst kann Borat RAT unter anderem folgende Schäden anrichten:
- Fernsteuerung des kompletten IT-Systems durch Cyberangreifer ermöglichen
- Daten löschen, stehlen oder Aktivitäten vor der Webcam aufzeichnen
- DDoS-Angriffe durchführen
- Ransomware einschleusen
So schützen sich Organisationen vor dem neuen Borat RAT
Wie bereits erwähnt, ist Borat RAT ein recht neuer Schädling, dessen genauer Funktionsumfang noch nicht abschließend bekannt ist. Experten erwarten jedoch, dass sich die Malware in naher Zukunft zu einem extrem beliebten Tool für Cyberkriminelle entwickeln wird und um entsprechend neue Funktionalitäten ergänzt wird. Umso wichtiger ist es für Unternehmen, Organisationen und auch Privatanwender, sich bereits heute auf Borat RAT vorzubereiten und grundlegende Maßnahmen durchzuführen, um der Malware möglichst wenig Angriffsfläche zu bieten.
Generell gilt es, vorhandene Schwachstellen zu erkennen und Sicherheitslücken zu stopfen. Der Einsatz zuverlässiger Antiviren-Software ist Pflicht, genau wie das regelmäßige Updaten und Patchen von Betriebssystemen und eingesetzter Software. Anmeldedaten aller Art sollten mit mehrstufigen Authentifizierungsverfahren abgesichert und Daten regelmäßig durch ein Backup für den Fall der Fälle gesichert werden. Mit Sicherheitslösungen für E-Mail-Programme lassen sich Mails mit bösartigen Anhängen klassifizieren und filtern, noch bevor sie an unbedarfte Anwender weitergeleitet werden. Apropos Anwender: Die „Schwachstelle Mensch“ gilt nach wie vor als eines der beliebtesten Einfallstore für Hacker überhaupt. Ob Social Engineering oder gefälschte E-Mails: Am Ende benötigt jede Malware einen initialen Start durch einen Anwender. Wenn Mitarbeiter in regelmäßigen Schulungen für die Gefahren sensibilisiert werden, die durch Unwissenheit und Unbedarftheit entstehen können, ist ein großer Schritt in Richtung Cyber Resilienz des gesamten Unternehmens getan.
Mit ACD als Managed Detection and Response (MDR) Lösung bietet Allgeier secion einen weiteren, aktiven Security Layer für Unternehmen, der den Schutzfaktor nochmals deutlich erhöht. Aktiv reagieren, statt nur zu reagieren: Der Active Cyber Defense Service von Allgeier secion unterscheidet sich durch relevante Features aus der Threat Hunting Technologie maßgeblich von anderen Incident Detection & Response-Lösungen. So bietet ACD unter anderem:
- Kontinuierliche Überwachung aller Systeme innerhalb eines Netzwerkes, inklusive Laptops, Mobiltelefonen, Tablets, Servern oder Netzwerkgeräten
- Schutz ohne Installation von Agents auf Clients: ACD prüft auf Netzwerkebene ob Systeme kompromittiert sind oder mit C&C Servern kommunizieren
- Zuverlässige Detektion von auffälligem Kommunikationsverhalten, dadurch schnellste, zielgenaue Isolation und Eliminierung von Schadsoftware
Die angemessene Behandlung von Sicherheitsvorfällen wie eine Kompromittierung durch Borat RAT erfordert zusätzlich detaillierte Richtlinien und Prozesse, um im Ernstfall schnell und zielführend reagieren zu können. Mit dem IR-Readiness-Programm von Allgeier secion erhalten Unternehmen eine umfassende Unterstützung bei der Bereitstellung von notwendigen Werkzeugen und maßgeschneiderten Handlungsempfehlungen.
Fazit
Borat RAT hat das Potenzial, in den kommenden Wochen und Monaten zu einer der äußerst gefährlichen Malware heranzuwachsen. Der noch recht neue Schädling bietet bereits jetzt schon ein breites Portfolio an Angriffsmethoden – kombiniert die Heimtücke von RAT-Malware mit der brachialen Gewalt von DDoS-Angriffen und würzt das Ganze mit Ransomware, die kostspielige Erpressungsversuche möglich macht. Aktuell haben Sicherheitsforscher Borat noch nicht vollständig analysiert, auch die Verbreitungswege sind nur in Ansätzen bekannt. Umso wichtiger ist es aber, dass sich Organisationen mit der neuen Gefahr auseinandersetzen und mit entsprechenden Maßnahmen reagieren. Mit ACD als Managed Detection and Response (MDR) Lösung und ergänzt durch das IR-Readiness Programm bietet Allgeier secion maßgeschneiderte, kosteneffiziente Sicherheitslösungen, die auch kleinen und mittleren Unternehmen ohne eigene IT-Security Teams oder Inhouse-SIEM den dringend benötigten Schutz vor Cyberangriffen ermöglichen.