Dipl.-Inform. Carsten Eilers

Remote Administration Toolkits – Fernwartung in der Grauzone

Geschrieben von Carsten Eilers am

Ein Remote Administration Toolkit, teilweise auch als Remote Administration
Trojan oder Tool bezeichnet, aber in allen Fällen mit RAT
abgekürzt, erlaubt die Fernwartung eines Rechners. Die kann sowohl von
Administratoren z.B. zur Beseitigung von Störungen als auch von
Cyberkriminellen z.B. zum Ausspähen des Benutzers erfolgen. Daher:
Willkommen in der Grauzone zwischen legitimen Programmen und Schadsoftware.

Grau in Theorie und Praxis

Fernwartungstools erlauben es, aus der Ferne auf einen Rechner zuzugreifen,
diesen zu steuern und die Bildschirmausgabe auf den entfernten Rechner zu
leiten. Das ist durchaus praktisch, z.B. um Probleme zu untersuchen
und/oder zu beheben, ohne sich selbst zum betroffenen Rechner begeben zu
müssen. Überspitzt könnte so z.B. ein Administratorenteam
im preisgünstigen Indien Support für alle Rechner eines
weltweiten Konzerns leisten.

So eine Fernsteuerung ist natürlich auch für Cyberkriminelle
interessant: Wenn sie entsprechende Software auf einen Rechner installieren
können, haben sie danach die vollständige Kontrolle über
diesen Rechner. Verwenden sie dazu ein eigentlich für harmlose Zwecke
entworfenes Programm, wird es im für den Benutzer schlechtesten Fall
von seinem Virenscanner als legitimes Programm angesehen und völlig
ignoriert. Die Cyberkriminellen sind also vor Entdeckung sicher – und das
ganz ohne das sonst dafür eingesetzte
Rootkit.
Die meisten Virenscanner erkennen aber alle bekannten Fernwartungstools
und warnen vor ihnen, teilweise dann eben nicht als Schadsoftware sondern
als “möglicherweise unerwünschtes Programm” oder ähnliches.

Fernwartungstools bestehen immer aus zwei Komponenten: Dem Client- und dem
Host-Programm (manchmal auch als Server bezeichnet). Auf den zu steuernden
Rechnern wird das Host-Programm installiert, dass dann vom Client-Programm
gesteuert wird.

Ein Werkzeugkasten voller Tools

Remote Administration Toolkits können sehr umfangreich sein.
Während einfache Varianten lediglich Shellbefehle ausführen und
den Bildschirminhalt an den Client schicken können, können
ausgefeiltere Varianten alle Aktionen durchführen und deren Ausgaben
an den Client senden, die auch der lokale Benutzer ausführen kann, vom
Zugriff auf Webcam und Mikrofon über beliebiger Dateioperationen zum
Ausschalten des Rechners (sofern der das über Software zulässt).
Und auch noch weitergehende Aktionen sind möglich.

Der Klassiker: Back Orifice

Back Orifice
oder kurz BO ist wohl das bekannteste RAT. Es unterstützt
Windows 95 und 98, ein Client ist auch für Unix verfügbar. Nach
der Installation erscheint BO nicht in der Task- oder Programmliste,
außerdem wird es bei jedem Neustart automatisch mit gestartet. Seine
Funktionsliste ist beeindruckend und stellt dem entfernten Benutzer mehr
Funktionen bereit, als das System dem Benutzer auf den Host zur
Verfügung stellt:

  • System-Kontrolle
    • Anzeigen von Dialogboxen mit beliebigen Text
    • Keylogger
    • Sperren oder Rebooten des Host-Rechners
    • Abfrage detaillierter Systeminformationen
  • Dateisystem-Kontrolle
    • Kopieren, Umbenennen, Löschen, Betrachten und Suchen von/nach
      Dateien und Verzeichnissen

    • Komprimieren und Dekomprimieren von Dateien
  • Prozess-Kontrolle
    • Auflisten, Beenden und Abspalten von Prozessen
  • Registry-Kontrolle
    • Auflisten, Anlegen, Löschen und Setzen von Keys und
      Werten in der
      Registry
  • Netzwerk-Kontrolle
    • Zugriff auf alle verfügbaren Netzwerk-Ressourcen
    • Zugriff auf alle ein- und ausgehenden Netzwerkverbindungen
    • Auflisten, Erzeugen und Löschen von Netzwerkverbindungen
    • Auflisten aller bereitgestellten Ressourcen samt deren
      Passwörtern sowie Erzeugen und Löschen von Bereitstellungen
  • Multimedia-Kontrolle
    • Abspielen von wav-Dateien
    • Erzeugen von Bildschirmfotos
    • Aufnehmen von Videos oder Standbildern mit jeder angeschlossenen
      Kamera
  • Packet Redirection
    • Umleiten jedes eingehenden TCP- oder UDP-Ports zu einer anderen
      Adresse und Port
  • Anwendungen umleiten
    • Verbinden der meisten Konsolenanwendungen wie command.com
      mit einem beliebigen TCP-Port
  • Bereitstellen eines HTTP-Servers
    • Up- und Download beliebiger Dateien über einen Webbrowser
  • Integrierter Paket-Sniffer
    • Überwachen aller Netzwerkpakete und Protokollieren aller in
      Klartext übertragenen Passwörter
  • Plugin-Interface
    • Über eine Plugin-Schnittstelle kann eigener Code im versteckten
      BO-Prozess ausgeführt werden

BO wurde von Mitgliedern der Hackergruppe
Cult of the Dead Cow
entwickelt und auf der vom 31. Juli bis 2. August 1998 abgehaltenen
Sicherheitskonferenz
Defcon 6
vorgestellt
(Pressemitteilung)
Das Programm sollte sowohl Administratoren die Arbeit erleichtern als auch
auf die laxen Sicherheitsmaßnahmen von Windows 98 hinweisen. Die
Reaktionen
auf BO waren gespalten, und das zu recht. Für einige der Funktionen gibt
es kaum eine Berechtigung, wenn man das Programm als reguläres
Fernwartungstool einsetzen will. Entsprechend wird BO von den
Virenscannern i.A. auch als Schadsoftware erkannt, z.B. von F-Secure als
Trojan.Win32.BO.

Einige RATs im Schnelldurchlauf

Es gibt sehr viele RATs, von denen hier nur einige wenige vorgestellt
werden sollen. Ebenso bekannt wie BO dürfte Sub7 (auch
SubSeven oder Sub7Server genannt) sein. Dessen
offizielle Website
ist zur Zeit
in Folge eines Defacements
im März 2010 mehr oder weniger leer, es gibt aber die je nach Standpunkt
Ankündigung oder Drohung “We will return.”

Sub7 unterstützt Windows XP bis 2000 und wurde z.B. im Juli 2003 als
Trojaner über eine gefälschte Symantec-Mail
verbreitet,
die zum Download eines angeblichen Updates aufforderte. Die meisten
Virenscanner erkennen Sub7 als Schadsoftware, z.B. F-Secure als
Backdoor:W32/SubSeven.

NetBus
wurde vom schwedischen Programmierer Carl-Fredrik Neikter entwickelt und im
März 1998 veröffentlicht. Unterstützt wurden anfangs Windows NT 4.0, ME,
95 und 98, ab Version 1.70 auch Windows 2000 und XP. Das Tool wird von den
meisten Virenscannern erkannt, z.B. von F-Secure als
NetBus
(ohne zusätzliche Einstufung wie Backdoor oder Trojan). NetBus 2.0 Pro
wurde als kommerzielle Software vertrieben, die zugehörige Website
www.netbus.org steht inzwischen aber in keinem Zusammenhang mehr mit dem
NetBus-Entwickler oder NetBus.

Poison Ivy
läuft unter Windows 2000, XP, 2003 und Vista (über neuere Systeme liegen
keine Informationen vor), die Entwicklung ruht anscheinend seit 2008. Das
besondere an Poison Ivy ist seine weitgehende Konfigurierbarkeit sowie die
leichte Erweiterbarkeit durch Plugins. Von den Virenscannern wird Poison
Ivy i.A. als Schadsoftware erkannt, z.B. von F-Secure als
Backdoor:W32/PoisonIvy.


Eine Variante von Poison Ivy kam z.B. im Rahmen des
Angriffs auf RSA
zum Einsatz, bei dem die Daten der SecurID-Token
ausgespäht wurden.

Auch für Mac OS X gibt es RATs, z.B. das Anfang 2011 aufgetauchte
BlackHole,
das anfangs nur ein besserer Proof-of-Concept
war,
inzwischen aber
mehrmals
verbessert
wurde.

Ein weiteres RAT für Mac OS X ist HellRTS, von dem im April 2010 eine neue
Variante,
HellRTS.D,
entdeckt wurde. Diese wurde auch von
Symantec
und
McAfee
unter dem Namen HellRTS in ihre Virendatenbanken aufgenommen, während
Sophos
die Bezeichnung
OSX/Pinhead-B
wählte.

Es gibt auch systemübergreifende RATs. Entweder in Form getrennter
Binaries für die verschiedenen unterstützten Systeme – oder z.B.
in Form eines
Java-RAT,
von McAfee JV/IncognitoRAT genannt. Als Host können Windows und Mac OS X
dienen, als Client zusätzlich iPhone und iPad.

Die gute Seite…

Außer den i.A. bösartig eingesetzten RATs gibt es auch viele
für legitime Zwecke eingesetzte Fernwartungstools (die natürlich
auch missbraucht werden können), z.B.
pcAnywhere
von Symantec (ja, auch die Hersteller von Virenscannern entwickeln
Fernwartungstools),
Apple Remote Desktop
(ARD),
Timbuktu,
die
Remote Desktop Services
in Windows Server und eine Vielzahl vom Implementierungen auf Basis des
Virtual Network Computing
(VNC) .

Schadsoftware ohne Verbreitungsfunktion

Alle RATs teilen eine Gemeinsamkeit: Sie enthalten keine
Verbreitungsfunktion und müssen z.B. als Trojaner auf dem Zielrechner
eingeschleust oder von bereits zuvor eingeschleuster Schadsoftware
nachgeladen und installiert werden. Ist aber ein RAT erst einmal
installiert, hat der Angreifer i.A. die vollständige Kontrolle
über den Rechner.

Und damit nähert sich unsere Reise durch die Welt der Schadsoftware
ihrem Ende. In der
nächsten Folge
gibt es einen Überblick
über Botnets, die aus mit entsprechender Schadsoftware infizierten
Rechnern gebildet werden.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware

Ransomware: Geld her, oder die Daten sind weg

Spyware – Der Spion in Ihrem Computer

Viren – Infektiöse Schadsoftware mit langer Ahnenreihe

Würmer – Schadsoftware, die sich selbst verbreitet

Trojaner – Der Feind im harmlosen Programm

Zeus – Trojaner, Botnet, Schädlingsbaukasten, …

Exploit-Kits – Die Grundlage für Drive-by-Infektionen

Rootkits – Schadsoftware im System

Remote Administration Toolkits – Fernwartung in der Grauzone

Botnets – Zombie-Plagen im Internet

Schadsoftware – Infektionen verhindern

Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : Das RAT, das aus dem Stuxnet kam

Vorschau anzeigen
Mehrere Antiviren-Hersteller haben einen neuen Schädling entdeckt, der teilweise als Stuxnet-Ableger bezeichnet wird. Da ist aber zumindest etwas irreführend. Der Duqu genannte neue Schädling weist einige Parallelen zu Stuxnet auf,

Dipl.-Inform. Carsten Eilers am : Clickjacking gegen Flash, urchin.js und Duqu – nichts als Wiederholungen!

Vorschau anzeigen
Wiederholungen, nichts als Wiederholungen. Nein, ich meine nicht das TV-Programm im Sommer(loch). Auch die Cyberkriminellen haben in letzter Zeit auf Bewährtes gesetzt: Clickjacking gegen Flash, Massen-SQL-Injection und Code-Recycling sind ang

Dipl.-Inform. Carsten Eilers am : Ein bekannter Advanced Persistent Threat: Operation Aurora

Vorschau anzeigen
Nachdem geklärt ist, was ein APT ist, wollen wir jetzt einen Blick auf den Ablauf so eines Angriffs richten. Als erstes Beispiel dient der Angriff, der den Begriff "Advanced Persistent Threat" im Januar 2010 bekannt gemacht hat: Operation

Dipl.-Inform. Carsten Eilers am : Noch ein bekannter Advanced Persistent Threat: Der Angriff auf RSA

Vorschau anzeigen
Der Angriff auf RSA zum Ausspähen der Seeds der SecurID-Token ist ein weiterer bekannter Advanced Persistent Threat (APT), der noch dazu relativ gut dokumentiert ist. Zumindest wissen wir, wie der Angreifer "den Fuss in die Tür bekommen

Dipl.-Inform. Carsten Eilers am : Kann man Advanced Persistent Threats erkennen?

Vorschau anzeigen
Die "Operation Aurora", Stuxnet und der Angriff auf RSA – drei bekannte Advanced Persistent Threats und zwei entscheidende Fragen: Kann man solche Angriffe erkennen, und wenn ja: Wie? Der eigentliche Angriff Fangen wir mit dem eigentlic

Dipl.-Inform. Carsten Eilers am : Ungewöhnlich: Drive-by-Infektionen über 0-Day-Exploits

Vorschau anzeigen
Zur Zeit laufen Angriffe über zwei Schwachstellen in Microsoft-Programmen, die beide die Ausführung von eingeschleustem Code erlauben: Eine 0-Day-Schwachstelle in den XML Core Services und eine am Juni-Patchday gepatchte Schwachstelle im In

Dipl.-Inform. Carsten Eilers am : Angriffe über zwei 0-Day-Schwachstellen in Java

Vorschau anzeigen
Zur Zeit gibt es zwei 0-Day-Schwachstellen in Java, ein Exploit befindet sich bereits im Exploit-Kit "Black Hole", und Angriffe darüber wurden auch schon gemeldet. Falls Sie das Java-Plug-In ihres Browsers noch nicht deaktiviert haben, wird

Dipl.-Inform. Carsten Eilers am : Die aktuelle 0-Day-Schwachstelle im Internet Explorer

Vorschau anzeigen
Seit einigen Tagen wird eine 0-Day-Schwachstelle im Internet Explorer im Rahmen von Drive-by-Infektionen ausgenutzt. Microsoft hat soeben die sofortige Veröffentlichung eines FixIt-Tools sowie die Veröffentlichung eines Updates

Dipl.-Inform. Carsten Eilers am : Der neueste Schädling im Cyberwar ist eine kleine Flamme: miniFlame

Vorschau anzeigen
Kaspersky hat mal wieder einen neuen Cyberwar-Schädling gefunden: miniFlame. Was hat es damit auf sich? Vom Flame-C&C-Server zu miniFlame Bei der Analyse der Command&Control-Server von Flame hatte man festgestellt, dass die S

Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle Nummer 3/2013 entdeckt

Vorschau anzeigen
Es gibt mal wieder eine neue 0-Day-Schwachstelle. Diesmal mal wieder in Java. Ich kann hier also gleich da weiter machen, wo ich vorigen Donnerstag aufgehört habe: 28. Februar: FireEye meldet die nächste Java-0-Day-Schwachstelle F

Dipl.-Inform. Carsten Eilers am : Schon wieder eine 0-Day-Schwachstelle, diesmal im IE 8

Vorschau anzeigen
Es gibt schon wieder eine 0-Day-Schwachstelle. Diesmal mal wieder im Internet Explorer, allerdings nur in Version 8. Und wie die 0-Day-Schwachstelle im Dezember 2012 wird auch diese Schwachstelle für Wasserloch-Angriffe ausgenutzt. Werfen w

Dipl.-Inform. Carsten Eilers am : Statt Kommentaren Lesetipps zum Wochenanfang

Vorschau anzeigen
Es gibt eigentlich nichts, was sich diese Woche zu kommentieren lohnt, also gibt es von mir diese Woche nur ein paar Lesetipps: Android-App gegen Windows Es gibt eine Android-App, die beim Anschluss des Geräts an einen Windows-Rechn

Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle im Flash Player, die zweite (im Februar 2014)

Vorschau anzeigen
Die dritte 0-Day-Schwachstelle des Jahres befindet sich im Flash Player. Und weil das so harmlos klingt: Es ist nicht nur die dritte 0-Day-Schachstelle des Jahres, sondern auch des Monats – die erste wurde von Adobe am 4. Februar behoben, am 13.

Kommentare

Ansicht der Kommentare:
Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben






Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.



Standard-Text Smilies wie 🙂 und 😉 werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Formular-Optionen

Kommentare werden erst nach redaktioneller Prüfung freigeschaltet!