Was ist ein Remote Access Trojaner (RAT)?
von Tina Siering
Nach welchem Prinzip funktioniert ein Remote Access Trojaner?
Diese Form der Schadsoftware hat das Ziel, dem Angreifer Informationen über das infizierte System zu liefern oder dem Hacker die Kontrolle über den Rechner zu übertragen. Die Technik der Fernkontrolle ist in der IT nicht unbekannt und kommt auch bei regulärer Software zum Einsatz.
So nutzen Mitarbeitende aus dem Support gerne die Software TeamViewer, um Verbindungen zu räumlich entfernten Computern aufzubauen. Der Vorteil ist, dass TeamViewer einen Fernzugriff und auch eine Fernsteuerung ermöglicht. So muss der Support-Mitarbeitende nicht zu dem betroffenen PC fahren, sondern kann die Arbeiten vom eigenen Arbeitsplatz aus vornehmen.
Zu diesem Zweck erhält der Support-Mitarbeitende über die Verbindung weitreichende Zugriffsrechte auf das Zielsystem. Unter anderem wird der Bildschirminhalt übertragen oder die Steuerung der Maus sowie Tastatureingaben ist möglich. Auch ist der Support-Mitarbeitende über die Fernverbindung in der Lage, Software zu installieren und andere Veränderungen am System vorzunehmen.
Remote Access Trojaner funktionieren nach einem ganz ähnlichen Prinzip. Tatsächlich setzen einige Cyberkriminelle auch TeamViewer für kriminelle Machenschaften ein. TeamViewer fragt den Nutzer am Zielrechner jedoch, ob er der Verbindung zustimmt und die Fernsteuerung erlaubt. Wird diese Software also zum Angriff eingesetzt, muss das potenzielle Opfer auf die Tricks der Angreifer hereinfallen und den Zugriff selbst gewähren. Bei einem Remote Access Trojaner ist dies nicht der Fall, denn dieser baut die Verbindung heimlich und ohne Nachfrage auf. Das Opfer merkt also bei einem erfolgreichen Angriff mit einem solchen Trojaner nicht, dass eine fremde Person Zugriff auf seinen Rechner hat.
In unserem letzten Blogartikel haben wir auf Warnungen des Bundesamts für Verfassungsschutz aufmerksam gemacht, welches aktuell informiert, dass die RAT-Variante HyperBro bei Cyberangriffen derzeit häufig zum Einsatz kommt.
Was unterscheidet einen Remote Access Trojaner von anderen Trojanern?
RATs sind eine Unterkategorie von Trojanern. Diese Klasse an Schadsoftware eint, dass sie heimlich eine Funktion auf dem Rechner einschleusen, in deren Installation der Nutzer nicht eingewilligt hat. Andere Arten von Trojanern installieren beispielsweise Software, die Kryptowährungen für die Kriminellen farmt oder fügen das infizierte System einem Bot-Netzwerk hinzu. Es kommt auch vor, dass ein Trojaner das System für koordinierte DDoS-Attacken einsetzt. Im Gegensatz dazu zielen die Funktionen der Remote Access Trojaner darauf ab, dem Angreifer die Kontrolle über bestimmte Bereiche eines Computers zu geben.
Jetzt keinen Blogbeitrag mehr verpassen!
- 12x im Jahr aktuelle News aus der IT Security Welt
- 4x im Jahr exklusive Einladungen zu kostenlosen IT Security Webinaren
- 1 kostenloses Whitepaper zu unserem Threat Hunting Service Active Cyber Defense
Welche Eigenschaften haben Remote Access Trojaner?
Die Eigenschaften dieser Remote Access Trojaner sind recht verschieden. Einige Programme zeichnen beispielsweise die Tastatureingaben auf und leiten diese an den Angreifer weiter. Auf diese Weise sind die Hacker in der Lage, Passwörter, Accounts oder auch Bankdaten abzufangen. Andere Trojaner übertragen den Bildschirminhalt, sodass der Hacker in Echtzeit die Aktionen des Opfers beobachten kann. Auch dies gibt dem Angreifer die Möglichkeit, Passwörter und andere Informationen zu stehlen.
Weiterhin ist es möglich, dass der Trojaner gezielt nach Daten sucht und diese an den Hacker überträgt. Auf diese Weise lassen sich die Remote Access Trojaner auch für die Wirtschaftsspionage oder Erpressung einsetzen. Die Trojaner geben dem Angreifer unter anderem auch die Kontrolle über Peripheriegeräte, die mit dem Computer verbunden sind. Dies sind in erster Linie die Webcam oder das Mikrofon. Der Hacker hat dann die Möglichkeit, Audio- und Videodaten aufzunehmen und erhält Zugriff auf diese. Auf die gleiche Art und Weise ist der Angreifer in der Lage, Screenshots des aktiven Bildschirms zu erstellen. Die sichtbaren Informationen gelangen so an die Kriminellen, die den Trojaner steuern. Dies alles geschieht vollkommen verdeckt, ohne dass der Nutzer des Rechners etwas davon mitbekommt.
Eine weitere Funktion dieser Remote Access Trojaner ist es, die Möglichkeit für das Nachladen weiterer Schadsoftware zu öffnen. Auf diesem Weg schleust der Angreifer weiteren, gefährlichen Schadcode in das Netzwerk ein. Somit ist ein RAT auch ein Ausgangspunkt für Angriffe mit Ransomware oder anderer Schadsoftware. Danach erfolgen dann eine Verschlüsselung der Festplatteninhalte sowie eine Erpressung.
Remote Access Trojaner sind darüber hinaus häufig in der Lage, dem Angreifer vollen Zugriff auf das infizierte System zu gewähren. Somit hat der Hacker alle Rechte, die auch ein Administrator besitzt. Dies ist besonders gefährlich, denn dadurch ist der Angreifer in Lage, das gesamte Netzwerk anzugreifen. In dieser Situation sind alle Szenarien denkbar, von der Datenspionage bis hin zur Vorbereitung eines großangelegten Ransomware-Angriffs, der das gesamte Netzwerk einer Organisation kompromittiert.
Wie gelangen Remote Access Trojaner auf die Zielsysteme?
Bei der Verbreitung von Remote Access Trojanern setzen Cyberkriminelle auf die typischen Wege. Beliebt sind beispielsweise manipulierte Webseiten. Hier infizieren die Kriminellen Besucher mit Drive-by-Downloads oder verleiten die Nutzer zu Herunterladen eines als normale Software getarnten Trojaners.
Ebenso versuchen die Kriminellen arglose Nutzer mit Anhängen in E-Mails zum Download und der Installation des Trojaners zu verführen. Dieser Infektionsweg ist auch von anderer Malware und besonders Ransomware bekannt. Eine weitere Möglichkeit, wie RATs auf Systeme gelangen, sind Schwachstellen in Software. Solche Sicherheitslücken entstehen durch ungepatchte Programme oder auch durch Zero-Day-Exploits. In einigen Fällen erlauben solche Lücken die Ausführung beziehungsweise Übertragung von Schadcode auf ein Zielsystem.
Warum sind Remote Access Trojaner so gefährlich?
Es sind vor allem zwei Aspekte, die einen Remote Access Trojaner so bedrohlich machen. Der erste Faktor ist die heimliche Vorgehensweise bei einem Angriff. In vielen Fällen sind die Angreifer daran interessiert, möglichst lange oder sogar vollständig unentdeckt zu bleiben. Dies steht im Gegensatz zu Ransomware-Attacken, bei denen die Hacker die infizierten Systeme komplett blockieren. Hacker, die Angriffe mit einem Remote Access Trojaner durchführen, möchten unentdeckt bleiben. Dies gibt ihnen die Chance, die erbeuteten Informationen, beispielsweise Zugangsdaten zum Internetbanking, ungestört für die eigenen Zwecke einzusetzen.
Der zweite Faktor sind die weitreichenden Berechtigungen, die Angreifer durch einen Remote Access Trojaner erhalten. Der Trojaner baut eine direkte Verbindung zum Hacker auf und gibt diesem in vielen Fälle die volle Kontrolle über das System. Dementsprechend sind die Angreifer in der Lage, weitreichenden Schaden anzurichten. Potenziell ist das gesamte Netzwerk kompromittiert. Für den betroffenen Nutzern und sein System gilt, dass alle auf dem Rechner gespeicherten Passwörter als unsicher gelten.
Die Kombination aus diesen beiden Faktoren sorgt für eine enorm hohe Bedrohungssituation. Der Remote Access Trojaner ist zudem eine beliebte Wahl für Angriffe im Rahmen von Advanced Persistent Threats, also gezielten Attacken. Hierbei wählen die Angreifer eine bestimmte Organisation oder Person aus, weil sie Interesse an spezifischen Informationen haben. Dies sind beispielsweise Daten, die auf einem System gespeichert sind oder Zugangsinformationen, über die die Zielperson verfügt.
Gleichzeitig sind Remote Access Trojaner nur schwer aufzuspüren. Deshalb bleiben Angriffe mit einem solchen Trojaner immer wieder über lange Zeit hinweg unentdeckt. Haben Hacker über Wochen oder gar Monate Zugang zu Systemen und verfügen dabei über Administratorrechte, ist das gesamte Netzwerk in Gefahr. Die Angreifer nutzen die Zeit in vielen Fällen, um weitere Backdoors einzurichten oder Daten im großen Stil zu entwenden.
Beispiele für bekannte Remote Access Trojaner
Das Konzept des Remote Access Trojaners ist keineswegs neu. Einer der ersten bekannten Trojaner dieser Klasse, Back Orifice, war bereits 1998 aktiv. Dieser Trojaner war speziell auf Betriebssysteme vom Typ Windows angesetzt. Die Funktionsweise hat sich im Laufe der Jahre kaum verändert. Schon Back Orifice nutzte die Client-Server-Architektur, um dem Angreifer die Kontrolle über das System zu gewähren.
PoisonIvy ist ein weiteres Beispiel für einen Remote Access Trojaner. Diese Schadsoftware trat über viele Jahre hinweg immer wieder in Erscheinung, unter anderem im Rahmen der Nitro-Attacken 2011. Damals waren fast 50 große Unternehmen das Ziel einer großangelegten Spionageaktion. PoisonIvy kam zum Einsatz, weil der Trojaner in der Lage ist, Passwörter zu stehlen, Dateien zu übertragen sowie Screenshots des Bildschirminhalts anzufertigen.
Wie lassen sich Remote Access Trojaner entdecken?
Die meisten Remote Access Trojaner sind sehr raffiniert. Durch die spezielle Funktionsweise sind sie in der Lage, wenn sie erst einmal unbemerkt auf das Zielsystem gelangt sind, klassische IT-Sicherheitstechniken auszutricksen. Dazu gehören vor allem die Firewall und Virenscanner.
Der Remote Access Trojaner erstellt einen eigenen Server auf dem kompromittierten System. Hierbei erfolgt auch eine Öffnung des Ports in der Firewall. Somit wird die erste Sicherheitsmaßnahme direkt überwunden. Dann verbindet sich der Trojaner selbständig mit dem System des Hackers. Hierfür nutzt die Schadsoftware das Prinzip der Reverse-Verbindung. Der Trojaner meldet sich also bei seinem Auftraggeber, der Hacker selbst unternimmt keinen aktiven Verbindungsversuch.
Diese spezielle Vorgehensweise macht die Remote Access Trojaner so gefährlich. Es gibt jedoch trotzdem Techniken, mit denen es möglich ist, diese Trojaner aufzuspüren und Angriffe zu unterbinden. Geeignet dafür sind aktive Systeme für die Angriffsfrüherkennung.
Die Angriffsfrüherkennung identifiziert ungewöhnliche Aktivitäten im Netzwerk. Dies geschieht durch eine Kontrolle der Protokolle und Logs im Netzwerk. Die Angriffsfrüherkennung scannt beispielsweise Logs von Betriebssystemen und Routern. Genau in diesen Logs finden sich auch Spuren der Aktivitäten von Remote Access Trojanern. Dazu gehören beispielsweise das Erstellen eines Servers für die Datenübertragung sowie Änderungen an den Einstellungen der Firewall. Auch die Verbindungsaufnahme eines Rechners mit einer unbekannten IP außerhalb des eigenen Netzwerks ist eine verdächtige Aktion. Solche Aktivitäten meldet die Angriffsfrüherkennung unverzüglich den Verantwortlichen in der IT. Diese haben dann die Gelegenheit, sofort auf die Meldung zu reagieren und das betroffene System sowie die Einträge in den Logs genauer zu kontrollieren. Auf diese Weise lassen sich Attacken eines Remote Access Trojaners unterbinden, sobald dieser aktiv wird.
Fazit zu Remote Access Trojanern
Diese Form der Trojaner stellt aufgrund ihres speziellen Angriffsvektors eine besondere Gefahr für Netzwerke dar. Gerade Unternehmen und Organisationen sind immer wieder im Fokus von gezielten Attacken mit RATs. Einen vollständigen Schutz vor diesen Trojanern gibt es nicht, da diese auf unterschiedlichen Wegen ins Netzwerk gelangen. Es ist deshalb wichtig, sich auf die Erkennung der speziellen Angriffsmuster zu konzentrieren. Anhand dieser lässt sich ein aktiver Remote Access Trojaner im eigenen Netzwerk erkennen. Geeignet dafür sind Systeme für die Angriffsfrüherkennung.