Remote Administration Toolkits - Fernwartung in der Grauzone
Ein Remote Administration Toolkit, teilweise auch als Remote Administration Trojan oder Tool bezeichnet, aber in allen Fällen mit RAT abgekürzt, erlaubt die Fernwartung eines Rechners. Die kann sowohl von Administratoren z.B. zur Beseitigung von Störungen als auch von Cyberkriminellen z.B. zum Ausspähen des Benutzers erfolgen. Daher: Willkommen in der Grauzone zwischen legitimen Programmen und Schadsoftware.
Grau in Theorie und Praxis
Fernwartungstools erlauben es, aus der Ferne auf einen Rechner zuzugreifen, diesen zu steuern und die Bildschirmausgabe auf den entfernten Rechner zu leiten. Das ist durchaus praktisch, z.B. um Probleme zu untersuchen und/oder zu beheben, ohne sich selbst zum betroffenen Rechner begeben zu müssen. Überspitzt könnte so z.B. ein Administratorenteam im preisgünstigen Indien Support für alle Rechner eines weltweiten Konzerns leisten.
So eine Fernsteuerung ist natürlich auch für Cyberkriminelle interessant: Wenn sie entsprechende Software auf einen Rechner installieren können, haben sie danach die vollständige Kontrolle über diesen Rechner. Verwenden sie dazu ein eigentlich für harmlose Zwecke entworfenes Programm, wird es im für den Benutzer schlechtesten Fall von seinem Virenscanner als legitimes Programm angesehen und völlig ignoriert. Die Cyberkriminellen sind also vor Entdeckung sicher - und das ganz ohne das sonst dafür eingesetzte Rootkit. Die meisten Virenscanner erkennen aber alle bekannten Fernwartungstools und warnen vor ihnen, teilweise dann eben nicht als Schadsoftware sondern als "möglicherweise unerwünschtes Programm" oder ähnliches.
Fernwartungstools bestehen immer aus zwei Komponenten: Dem Client- und dem Host-Programm (manchmal auch als Server bezeichnet). Auf den zu steuernden Rechnern wird das Host-Programm installiert, dass dann vom Client-Programm gesteuert wird.
Ein Werkzeugkasten voller Tools
Remote Administration Toolkits können sehr umfangreich sein. Während einfache Varianten lediglich Shellbefehle ausführen und den Bildschirminhalt an den Client schicken können, können ausgefeiltere Varianten alle Aktionen durchführen und deren Ausgaben an den Client senden, die auch der lokale Benutzer ausführen kann, vom Zugriff auf Webcam und Mikrofon über beliebiger Dateioperationen zum Ausschalten des Rechners (sofern der das über Software zulässt). Und auch noch weitergehende Aktionen sind möglich.
Der Klassiker: Back Orifice
Back Orifice oder kurz BO ist wohl das bekannteste RAT. Es unterstützt Windows 95 und 98, ein Client ist auch für Unix verfügbar. Nach der Installation erscheint BO nicht in der Task- oder Programmliste, außerdem wird es bei jedem Neustart automatisch mit gestartet. Seine Funktionsliste ist beeindruckend und stellt dem entfernten Benutzer mehr Funktionen bereit, als das System dem Benutzer auf den Host zur Verfügung stellt:
- System-Kontrolle
- Anzeigen von Dialogboxen mit beliebigen Text
- Keylogger
- Sperren oder Rebooten des Host-Rechners
- Abfrage detaillierter Systeminformationen
- Dateisystem-Kontrolle
- Kopieren, Umbenennen, Löschen, Betrachten und Suchen von/nach Dateien und Verzeichnissen
- Komprimieren und Dekomprimieren von Dateien
- Prozess-Kontrolle
- Auflisten, Beenden und Abspalten von Prozessen
- Registry-Kontrolle
- Auflisten, Anlegen, Löschen und Setzen von Keys und Werten in der Registry
- Netzwerk-Kontrolle
- Zugriff auf alle verfügbaren Netzwerk-Ressourcen
- Zugriff auf alle ein- und ausgehenden Netzwerkverbindungen
- Auflisten, Erzeugen und Löschen von Netzwerkverbindungen
- Auflisten aller bereitgestellten Ressourcen samt deren Passwörtern sowie Erzeugen und Löschen von Bereitstellungen
- Multimedia-Kontrolle
- Abspielen von wav-Dateien
- Erzeugen von Bildschirmfotos
- Aufnehmen von Videos oder Standbildern mit jeder angeschlossenen Kamera
- Packet Redirection
- Umleiten jedes eingehenden TCP- oder UDP-Ports zu einer anderen Adresse und Port
- Anwendungen umleiten
- Verbinden der meisten Konsolenanwendungen wie
command.com
mit einem beliebigen TCP-Port
- Verbinden der meisten Konsolenanwendungen wie
- Bereitstellen eines HTTP-Servers
- Up- und Download beliebiger Dateien über einen Webbrowser
- Integrierter Paket-Sniffer
- Überwachen aller Netzwerkpakete und Protokollieren aller in Klartext übertragenen Passwörter
- Plugin-Interface
- Über eine Plugin-Schnittstelle kann eigener Code im versteckten BO-Prozess ausgeführt werden
BO wurde von Mitgliedern der Hackergruppe Cult of the Dead Cow entwickelt und auf der vom 31. Juli bis 2. August 1998 abgehaltenen Sicherheitskonferenz Defcon 6 vorgestellt (Pressemitteilung) Das Programm sollte sowohl Administratoren die Arbeit erleichtern als auch auf die laxen Sicherheitsmaßnahmen von Windows 98 hinweisen. Die Reaktionen auf BO waren gespalten, und das zu recht. Für einige der Funktionen gibt es kaum eine Berechtigung, wenn man das Programm als reguläres Fernwartungstool einsetzen will. Entsprechend wird BO von den Virenscannern i.A. auch als Schadsoftware erkannt, z.B. von F-Secure als Trojan.Win32.BO.
Einige RATs im Schnelldurchlauf
Es gibt sehr viele RATs, von denen hier nur einige wenige vorgestellt
werden sollen. Ebenso bekannt wie BO dürfte Sub7 (auch
SubSeven oder Sub7Server genannt) sein. Dessen
offizielle Website
ist zur Zeit
in Folge eines Defacements
im März 2010 mehr oder weniger leer, es gibt aber die je nach Standpunkt
Ankündigung oder Drohung "We will return."
Sub7 unterstützt Windows XP bis 2000 und wurde z.B. im Juli 2003 als
Trojaner über eine gefälschte Symantec-Mail
verbreitet,
die zum Download eines angeblichen Updates aufforderte. Die meisten
Virenscanner erkennen Sub7 als Schadsoftware, z.B. F-Secure als
Backdoor:W32/SubSeven.
NetBus wurde vom schwedischen Programmierer Carl-Fredrik Neikter entwickelt und im März 1998 veröffentlicht. Unterstützt wurden anfangs Windows NT 4.0, ME, 95 und 98, ab Version 1.70 auch Windows 2000 und XP. Das Tool wird von den meisten Virenscannern erkannt, z.B. von F-Secure als NetBus (ohne zusätzliche Einstufung wie Backdoor oder Trojan). NetBus 2.0 Pro wurde als kommerzielle Software vertrieben, die zugehörige Website www.netbus.org steht inzwischen aber in keinem Zusammenhang mehr mit dem NetBus-Entwickler oder NetBus.
Poison Ivy
läuft unter Windows 2000, XP, 2003 und Vista (über neuere Systeme liegen
keine Informationen vor), die Entwicklung ruht anscheinend seit 2008. Das
besondere an Poison Ivy ist seine weitgehende Konfigurierbarkeit sowie die
leichte Erweiterbarkeit durch Plugins. Von den Virenscannern wird Poison
Ivy i.A. als Schadsoftware erkannt, z.B. von F-Secure als
Backdoor:W32/PoisonIvy.
Eine Variante von Poison Ivy kam z.B. im Rahmen des
Angriffs auf RSA
zum Einsatz, bei dem die Daten der SecurID-Token
ausgespäht wurden.
Auch für Mac OS X gibt es RATs, z.B. das Anfang 2011 aufgetauchte BlackHole, das anfangs nur ein besserer Proof-of-Concept war, inzwischen aber mehrmals verbessert wurde.
Ein weiteres RAT für Mac OS X ist HellRTS, von dem im April 2010 eine neue Variante, HellRTS.D, entdeckt wurde. Diese wurde auch von Symantec und McAfee unter dem Namen HellRTS in ihre Virendatenbanken aufgenommen, während Sophos die Bezeichnung OSX/Pinhead-B wählte.
Es gibt auch systemübergreifende RATs. Entweder in Form getrennter Binaries für die verschiedenen unterstützten Systeme - oder z.B. in Form eines Java-RAT, von McAfee JV/IncognitoRAT genannt. Als Host können Windows und Mac OS X dienen, als Client zusätzlich iPhone und iPad.
Die gute Seite...
Außer den i.A. bösartig eingesetzten RATs gibt es auch viele für legitime Zwecke eingesetzte Fernwartungstools (die natürlich auch missbraucht werden können), z.B. pcAnywhere von Symantec (ja, auch die Hersteller von Virenscannern entwickeln Fernwartungstools), Apple Remote Desktop (ARD), Timbuktu, die Remote Desktop Services in Windows Server und eine Vielzahl vom Implementierungen auf Basis des Virtual Network Computing (VNC) .
Schadsoftware ohne Verbreitungsfunktion
Alle RATs teilen eine Gemeinsamkeit: Sie enthalten keine Verbreitungsfunktion und müssen z.B. als Trojaner auf dem Zielrechner eingeschleust oder von bereits zuvor eingeschleuster Schadsoftware nachgeladen und installiert werden. Ist aber ein RAT erst einmal installiert, hat der Angreifer i.A. die vollständige Kontrolle über den Rechner.
Und damit nähert sich unsere Reise durch die Welt der Schadsoftware ihrem Ende. In der nächsten Folge gibt es einen Überblick über Botnets, die aus mit entsprechender Schadsoftware infizierten Rechnern gebildet werden.
Übersicht über alle Artikel zum Thema
- Angst einflößende Schadsoftware: Scareware
- Ransomware: Geld her, oder die Daten sind weg
- Spyware - Der Spion in Ihrem Computer
- Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
- Würmer - Schadsoftware, die sich selbst verbreitet
- Trojaner - Der Feind im harmlosen Programm
- Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
- Exploit-Kits - Die Grundlage für Drive-by-Infektionen
- Rootkits - Schadsoftware im System
- Remote Administration Toolkits - Fernwartung in der Grauzone
- Botnets - Zombie-Plagen im Internet
- Schadsoftware - Infektionen verhindern
- Schadsoftware im Überblick
Trackbacks
Dipl.-Inform. Carsten Eilers am : Das RAT, das aus dem Stuxnet kam
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ein bekannter Advanced Persistent Threat: Operation Aurora
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Noch ein bekannter Advanced Persistent Threat: Der Angriff auf RSA
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kann man Advanced Persistent Threats erkennen?
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Ungewöhnlich: Drive-by-Infektionen über 0-Day-Exploits
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Angriffe über zwei 0-Day-Schwachstellen in Java
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Die aktuelle 0-Day-Schwachstelle im Internet Explorer
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Der neueste Schädling im Cyberwar ist eine kleine Flamme: miniFlame
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle Nummer 3/2013 entdeckt
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Schon wieder eine 0-Day-Schwachstelle, diesmal im IE 8
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Kommentare zu Webcam-Spannern, EMET 4.0 und einer neuen 0-Day-Schwachstelle
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Statt Kommentaren Lesetipps zum Wochenanfang
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle im Flash Player, die zweite (im Februar 2014)
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Nichts wirklich Neues: AV-Schutz wirkungslos, Webcams ausspioniert, eine CA ohne Vertrauen
Vorschau anzeigen