Για τους φίλους που γνωρίζουν κάποια βασικά αγγλικά το RAT θυμίζει την λέξη του αρουραίου . Ναι κι όμως αν και δεν δημιουργήθηκαν με αυτό το σκεπτικό αλλά αποτελεί τα αρχικά των λέξεων τα RAT δουλεύουν σαν τρωκτικά που μπαίνουν στο σύστημα σας και μπορούν να περιφέρονται χωρίς να τους αντιλαμβάνεστε . Το RAT έιναι τα αρχικά της φράσης “Remote Administration Tool” , δηλαδή εργαλείο απομακρυσμένου ελέγχου με δικαιώματα κατόχου του εκάστοτε υπολογιστή . Για όσους γνωρίζετε το TeamViewer που είναι πλήρως νόμιμο σκεφτείτε ένα εργαλείο όπου δουλεύει ακριβώς με τον ίδιο τρόπο μόνο που περιέχει και κάποια πιο “βρώμικα” στοιχεία . Για παράδειγμα εδώ θα δούμε τις επιλογές που έχει κάποιος χρήστης του DarkComet (ενός εκ των πιο διαδεδομένων RAT).
Για να καταλάβετε καλύτερα , μερικές από αυτές τις επιλογές είναι οι εξής : Προβολή εργασιών του χρήστη που έχουμε μολύνει , επεξεργασία μητρώου συστήματος , απομακρυσμένος έλεγχος αρχείων , βασικές λειτουργίες του υπολογιστή όπως απενεργοποίηση και προσθαφαίρεση προγραμμάτων , λήψη όλων των αποθηκευμένων κωδικών και άλλες πιο δευτερεύοντες δυνατότητες .
Το χειρότερο σε όλη αυτή την κατάσταση είναι πως εάν ο εκάστοτε hacker έχει τεχνογνωσία πάνω στους ιούς τότε είναι δύσκολο να βρείτε ότι είστε μολυσμένος χρήστης . Όπως αναφέραμε στο προηγούμενο άρθρο οι κακόβουλοι χρήστες μπορούν να ξεγελάσουν τα antivirus ότι το αρχείο που σας έχει μολύνει ολόκληρο τον υπολογιστή είναι τελείως καθαρό με αποτέλεσμα ,ειδικά οι άπειροι χρήστες , να υπάρχει πλήρης άγνοια ότι έχετε μολυνθεί . Όσο περίεργο κι αν ακούγεται , δεν είναι μόνο τα αρχεία .exe που μπορούν να “κουβαλήσουν έναν ιό ” . Συνήθως όταν ακούμε για ιούς το μυαλό μας πάει στο γνωστό .exe αρχείο λόγω του ότι , όπως έχουμε μάθει να λέμε , είναι το μόνο αρχείο που μπορεί να εκτελέσει ένα πρόγραμμα στον υπολογιστή . ΛΑΘΟΣ , ΜΕΓΑ ΛΑΘΟΣ .Στην πραγματικότητα υπάρχουν πάνω απο 5 τύποι αρχείων που μπορεί να είναι RAT’s . Παρακάτω σας δίνουμε τα πιο γνωστά ως ύποπτα αρχεία . Είναι τα αρχεία με καταλήξεις τις : .exe , .pif , .com , .scr , .bat . Κάπου εδώ θα τρομάξετε . Το γνωρίζατε ότι ένα αρχείο εγγράφου κειμένου όπως τα .doc ή αρχεία εγγράφων όπως τα .pdf μπορεί να είναι ιοί ? Κι όμως . Υπολογίζεται δε , οτι με τους 2 παραπάνω τύπους αρχείων έχουνε μολυνθεί πάνω απο 5 εκατομμύρια υπολογιστές παγκοσμίως.
Τρόποι επιθέσεων ....
Social Engineering , το λεγόμενο ψάρεμα .
Για να πιαστείτε στα δίχτυα του κακόβουλου χρήστη ο πιο απλός τρόπος είναι να σας στείλει το αρχείο να το τρέξετε και να σας μολύνει . Ωστόσο αν και είναι ο πιο σύντομος δρόμος είναι σίγουρο πως είναι και ο πιο δύσκολος κι αυτό γιατί θα πρέπει ο εκάστοτε χρήστης που δέχεται το αρχειο να πειστεί για την “αυθεντικοτητα” του αρχείου . Ο hacker πολύ πιθανόν να προσπαθήσει να εισβάλλει πρώτα στο μυαλό σας και αυτός είναι ένας τρόπος σίγουρα πιο αποτελεσματικός από το να σας το στείλει έτσι απλά .
Παρακάτω θα σας αναφέρω ένα σενάριο όπου κάποιος κακόβουλος χρήστης (υποθετικά είμαι εγώ ) σας μολύνει χρησιμοποιώντας τεχνικές επικοινωνίας που σας πείθουν για τους καλούς του σκοπούς (που στην πραγματικότητα είναι ολέθριοι) .
Με συγκεκριμένη μέθοδο που λέγετε email spoofing προσποιούμαι πως είμαι ο γνωστός σας . Ας υποθέσουμε ότι εγώ (ο hacker) έχει κάνει μια υποτυπώδη έρευνα για εσάς και γνωρίζει ότι έχετε έναν φίλο με το αρχικά Χ.Θ και πως αυτός ο φίλος σας , έχει ένα email που ονομάζεται ofilosmou@hotmail.com . Χρησιμοποιώντας λοιπόν email spoofing στέλνω στο emal σας ένα μήνυμα με τίτλο “Φίλε δεν παίζει , δες τι φτιάξανε για να έχεις μεγαλύτερη ταχύτητα Ίντερνετ” . Φυσικά έχω προνοήσει και εφώσον είναι φίλος σας δεν θα σας στείλω email με θέμα “Φίλτατε αν θέλετε ανοίξτε αυτό το email να δείτε τις νέες εξελίξεις στον χώρο της παιδείας” . Με έναν παρόμοιο τρόπο είναι πιθανόν να σας κάνουν επίθεση . Ακόμα πιο πιθανό είναι να έχετε συναντήσει παρόμοια μηνύματα κάποια στιγμή στο διαδίκτυο έιτε στα ελληνικά είτε στα αγγλικά .
Java Drive By
To java drive by είναι μια πιο παλιά σχετικά μέθοδος όπου μέσα από το java του κάθε υπολογιστή ο επιτιθέμενος μπορούσε να σας μολύνει . Η διαδικάσια ήταν η εξής . Έφτιαχνε ένα αρχείο java το οποίο ανέβαζε στο site οπού εσείς θα επισκεπτόσασταν ( πολύ πιθανόν να σας πρότεινε εκείνος να το επισκεπτείτε ) . Μόλις εσείς επισκεπτείτε το site ανοίγει ένα παράθυρο σαν της παραπάνω εικόνας το οποίο συνήθως σας λέει πως για αν δείτε ενα υποτιθέμενο video πρέπει να πατήσετε αποδοχή . Εσείς πολύ πιθανόν απο βιασύνη ή από άγνοια του κινδύνου να πατήσετε αποδοχή με αποτέλεσμα να πέσετε θύματα των κακόβουλων χρηστών. Εάν ποτέ συναντήσετε την παραπάνω εικόνα μην πατήσετε αποδοχή παρά μόνο εάν γνωρίζετε ότι η σελίδα είναι 100% ασφαλής ( για παράδειγμα Facebook , Youtube , Twitter και γενικότερα όλες οι σελίδες κολοσσοι !
Με αυτό το άρθρο θέλουμε πιο πολύ να σας ανοίξουμε το μυαλό και να βλέπετε κάποια πράγματα που πριν αγνοούσατε . Κάπως έτσι όμως καταλήγετε πολλές φορές να σας κλέβουν στοιχεία πιστωτικών καρτών και άλλες φορές ( ίσως χειρότερο ) προσωπικές στιγμές !
ΑΚΟΛΟΥΘΕΙ ΔΕΥΤΕΡΟ ΜΕΡΟΣ ΣΕΜΙΝΑΡΙΩΝ ΠΡΟΣΕΓΓΙΣΕΙ ΜΕΣΩ PDF ΚΑΙ ΚΡΥΦΑ SCRIPTS ΜΕΣΑ ΣΕ SITES
Katohika Sec Team .
Social Plugin