什麼是遠端存取木馬（RAT）？

遠程訪問特洛伊木馬如何工作？

RATS 可以像任何其他類型的惡意軟體一樣感染電腦。它們可能附加到電子郵件中、託管在惡意網站上或在未打補丁的電腦中利用脆弱性。

RAT 旨在允許攻擊者遠端控制電腦，類似遠端桌面通訊協定 (RDP) 和 TeamViewer 用於遠端存取或系統管理方式。 RAT 將與攻擊者的伺服器設定一個命令與控制 (C2) 通道，該通道可以將命令傳送到 RAT，並且可以傳回資料。 RAT 通常具有一組內置命令，並有隱藏其 C2 流量不受檢測的方法。

RAT 可以隨附其他功能，或以模組化方式設計，以根據需要提供其他功能。 例如，攻擊者可能會使用 RAT 取得足跡，並且在使用 RAT 探索受感染的系統之後，可能會決定要在受感染的機器上安裝鍵盤記錄器。 RAT 可能內置了此功能，可能是設計用於根據需要下載和添加鍵盤記錄器模塊，或者可以下載並啟動獨立的鍵盤記錄器。

RAT 的威脅

不同的攻擊需要對目標系統的不同層級存取，攻擊者獲得的存取量決定他們在網路攻擊期間可以完成什麼。 例如，利用 SQL 注入脆弱性可能只會允許他們從易受攻擊的資料庫中竊取數據，而成功的網路釣魚攻擊可能會導致憑證受損或在受損系統上安裝惡意軟體。

RAT 是危險的，因為它為攻擊者提供非常高水平的存取和控制受入侵的系統。 大多數 RAT 的設計旨在提供與合法的遠端系統管理工具相同等級的功能，這意味著攻擊者可以在受感染的機器上查看並執行任何其想要的操作。 RAT 也缺乏系統管理工具的相同限制，並且可能包括利用脆弱性並在受感染系統上獲得額外權限的能力，以幫助實現攻擊者的目標。

由於攻擊者對受感染的電腦及其活動具有高水平的控制權，因此這使他們能夠在受感染系統上實現幾乎任何目標，並根據需要下載和部署其他功能以實現其目標。

如何防範遠端存取特洛伊木馬

RAT 的設計旨在隱藏自己在受感染的機器上，為攻擊者提供秘密訪問權限。 他們通常透過在看似合法的應用程式上搭載惡意功能來實現這一點。例如，盜版視訊遊戲或商業應用程式可能免費提供，因為它已被修改為包含惡意軟體。

RAT 的隱形性會使它們難以抵禦。 檢測和最小化 RAT 的影響的一些方法包括：

• 注意感染媒介：RAT 與任何惡意軟體一樣，只有在目標電腦上安裝並執行時才會產生危險。部署網路釣魚防護和安全瀏覽解決方案並定期修補系統可以從一開始就使 RAT 更難感染計算機，從而降低 RAT 的風險。
• 尋找異常行為：RAT 是通常偽裝成合法應用程式的特洛伊木馬，並且可能由添加到真實應用程式的惡意功能組成。監視應用程式的異常行為，例如產生網路流量的 notepad.exe。
• 監控網路流量：RAT 使攻擊者能夠透過網路遠端控制受感染的計算機，向其發送命令並接收結果。尋找可能與這些通訊相關的異常網路流量。
• 實施最小權限：最小權限原則規定使用者、應用程式、系統等應僅擁有完成其工作所需的存取權和權限。實作和強制執行最低權限可協助限制攻擊者使用 RAT 可以實現的目標。
• 部署多重身份驗證 (MFA) ：RAT 通常會嘗試竊取線上帳戶的使用者名稱和密碼。部署 MFA 可以幫助最大程度地減少憑證妥協的影響。

使用 Check Point 預防 RAT 感染

Protecting against RAT infections requires solutions that can identify and block malware before it gains access to an organization’s systems. Check Point Endpoint Security provides comprehensive protection against RATs by preventing common infection vectors, monitoring applications for suspicious behavior, and analyzing network traffic for signs of C2 communications. To learn more about Check Point Endpoint Security and the complete suite of Workspace Security solutions, request a free demo today.