Skip to content

Remote Administration Toolkits - Fernwartung in der Grauzone

Geschrieben von Carsten Eilers am um 12:01

Ein Remote Administration Toolkit, teilweise auch als Remote Administration Trojan oder Tool bezeichnet, aber in allen Fällen mit RAT abgekürzt, erlaubt die Fernwartung eines Rechners. Die kann sowohl von Administratoren z.B. zur Beseitigung von Störungen als auch von Cyberkriminellen z.B. zum Ausspähen des Benutzers erfolgen. Daher: Willkommen in der Grauzone zwischen legitimen Programmen und Schadsoftware.

Grau in Theorie und Praxis

Fernwartungstools erlauben es, aus der Ferne auf einen Rechner zuzugreifen, diesen zu steuern und die Bildschirmausgabe auf den entfernten Rechner zu leiten. Das ist durchaus praktisch, z.B. um Probleme zu untersuchen und/oder zu beheben, ohne sich selbst zum betroffenen Rechner begeben zu müssen. Überspitzt könnte so z.B. ein Administratorenteam im preisgünstigen Indien Support für alle Rechner eines weltweiten Konzerns leisten.

So eine Fernsteuerung ist natürlich auch für Cyberkriminelle interessant: Wenn sie entsprechende Software auf einen Rechner installieren können, haben sie danach die vollständige Kontrolle über diesen Rechner. Verwenden sie dazu ein eigentlich für harmlose Zwecke entworfenes Programm, wird es im für den Benutzer schlechtesten Fall von seinem Virenscanner als legitimes Programm angesehen und völlig ignoriert. Die Cyberkriminellen sind also vor Entdeckung sicher - und das ganz ohne das sonst dafür eingesetzte Rootkit. Die meisten Virenscanner erkennen aber alle bekannten Fernwartungstools und warnen vor ihnen, teilweise dann eben nicht als Schadsoftware sondern als "möglicherweise unerwünschtes Programm" oder ähnliches.

Fernwartungstools bestehen immer aus zwei Komponenten: Dem Client- und dem Host-Programm (manchmal auch als Server bezeichnet). Auf den zu steuernden Rechnern wird das Host-Programm installiert, dass dann vom Client-Programm gesteuert wird.

Ein Werkzeugkasten voller Tools

Remote Administration Toolkits können sehr umfangreich sein. Während einfache Varianten lediglich Shellbefehle ausführen und den Bildschirminhalt an den Client schicken können, können ausgefeiltere Varianten alle Aktionen durchführen und deren Ausgaben an den Client senden, die auch der lokale Benutzer ausführen kann, vom Zugriff auf Webcam und Mikrofon über beliebiger Dateioperationen zum Ausschalten des Rechners (sofern der das über Software zulässt). Und auch noch weitergehende Aktionen sind möglich.

Der Klassiker: Back Orifice

Back Orifice oder kurz BO ist wohl das bekannteste RAT. Es unterstützt Windows 95 und 98, ein Client ist auch für Unix verfügbar. Nach der Installation erscheint BO nicht in der Task- oder Programmliste, außerdem wird es bei jedem Neustart automatisch mit gestartet. Seine Funktionsliste ist beeindruckend und stellt dem entfernten Benutzer mehr Funktionen bereit, als das System dem Benutzer auf den Host zur Verfügung stellt:

  • System-Kontrolle
    • Anzeigen von Dialogboxen mit beliebigen Text
    • Keylogger
    • Sperren oder Rebooten des Host-Rechners
    • Abfrage detaillierter Systeminformationen
  • Dateisystem-Kontrolle
    • Kopieren, Umbenennen, Löschen, Betrachten und Suchen von/nach Dateien und Verzeichnissen
    • Komprimieren und Dekomprimieren von Dateien
  • Prozess-Kontrolle
    • Auflisten, Beenden und Abspalten von Prozessen
  • Registry-Kontrolle
    • Auflisten, Anlegen, Löschen und Setzen von Keys und Werten in der Registry
  • Netzwerk-Kontrolle
    • Zugriff auf alle verfügbaren Netzwerk-Ressourcen
    • Zugriff auf alle ein- und ausgehenden Netzwerkverbindungen
    • Auflisten, Erzeugen und Löschen von Netzwerkverbindungen
    • Auflisten aller bereitgestellten Ressourcen samt deren Passwörtern sowie Erzeugen und Löschen von Bereitstellungen
  • Multimedia-Kontrolle
    • Abspielen von wav-Dateien
    • Erzeugen von Bildschirmfotos
    • Aufnehmen von Videos oder Standbildern mit jeder angeschlossenen Kamera
  • Packet Redirection
    • Umleiten jedes eingehenden TCP- oder UDP-Ports zu einer anderen Adresse und Port
  • Anwendungen umleiten
    • Verbinden der meisten Konsolenanwendungen wie command.com mit einem beliebigen TCP-Port
  • Bereitstellen eines HTTP-Servers
    • Up- und Download beliebiger Dateien über einen Webbrowser
  • Integrierter Paket-Sniffer
    • Überwachen aller Netzwerkpakete und Protokollieren aller in Klartext übertragenen Passwörter
  • Plugin-Interface
    • Über eine Plugin-Schnittstelle kann eigener Code im versteckten BO-Prozess ausgeführt werden

BO wurde von Mitgliedern der Hackergruppe Cult of the Dead Cow entwickelt und auf der vom 31. Juli bis 2. August 1998 abgehaltenen Sicherheitskonferenz Defcon 6 vorgestellt (Pressemitteilung) Das Programm sollte sowohl Administratoren die Arbeit erleichtern als auch auf die laxen Sicherheitsmaßnahmen von Windows 98 hinweisen. Die Reaktionen auf BO waren gespalten, und das zu recht. Für einige der Funktionen gibt es kaum eine Berechtigung, wenn man das Programm als reguläres Fernwartungstool einsetzen will. Entsprechend wird BO von den Virenscannern i.A. auch als Schadsoftware erkannt, z.B. von F-Secure als Trojan.Win32.BO.

Einige RATs im Schnelldurchlauf

Es gibt sehr viele RATs, von denen hier nur einige wenige vorgestellt werden sollen. Ebenso bekannt wie BO dürfte Sub7 (auch SubSeven oder Sub7Server genannt) sein. Dessen offizielle Website ist zur Zeit in Folge eines Defacements im März 2010 mehr oder weniger leer, es gibt aber die je nach Standpunkt Ankündigung oder Drohung "We will return."
Sub7 unterstützt Windows XP bis 2000 und wurde z.B. im Juli 2003 als Trojaner über eine gefälschte Symantec-Mail verbreitet, die zum Download eines angeblichen Updates aufforderte. Die meisten Virenscanner erkennen Sub7 als Schadsoftware, z.B. F-Secure als Backdoor:W32/SubSeven.

NetBus wurde vom schwedischen Programmierer Carl-Fredrik Neikter entwickelt und im März 1998 veröffentlicht. Unterstützt wurden anfangs Windows NT 4.0, ME, 95 und 98, ab Version 1.70 auch Windows 2000 und XP. Das Tool wird von den meisten Virenscannern erkannt, z.B. von F-Secure als NetBus (ohne zusätzliche Einstufung wie Backdoor oder Trojan). NetBus 2.0 Pro wurde als kommerzielle Software vertrieben, die zugehörige Website www.netbus.org steht inzwischen aber in keinem Zusammenhang mehr mit dem NetBus-Entwickler oder NetBus.

Poison Ivy läuft unter Windows 2000, XP, 2003 und Vista (über neuere Systeme liegen keine Informationen vor), die Entwicklung ruht anscheinend seit 2008. Das besondere an Poison Ivy ist seine weitgehende Konfigurierbarkeit sowie die leichte Erweiterbarkeit durch Plugins. Von den Virenscannern wird Poison Ivy i.A. als Schadsoftware erkannt, z.B. von F-Secure als Backdoor:W32/PoisonIvy.
Eine Variante von Poison Ivy kam z.B. im Rahmen des Angriffs auf RSA zum Einsatz, bei dem die Daten der SecurID-Token ausgespäht wurden.

Auch für Mac OS X gibt es RATs, z.B. das Anfang 2011 aufgetauchte BlackHole, das anfangs nur ein besserer Proof-of-Concept war, inzwischen aber mehrmals verbessert wurde.

Ein weiteres RAT für Mac OS X ist HellRTS, von dem im April 2010 eine neue Variante, HellRTS.D, entdeckt wurde. Diese wurde auch von Symantec und McAfee unter dem Namen HellRTS in ihre Virendatenbanken aufgenommen, während Sophos die Bezeichnung OSX/Pinhead-B wählte.

Es gibt auch systemübergreifende RATs. Entweder in Form getrennter Binaries für die verschiedenen unterstützten Systeme - oder z.B. in Form eines Java-RAT, von McAfee JV/IncognitoRAT genannt. Als Host können Windows und Mac OS X dienen, als Client zusätzlich iPhone und iPad.

Die gute Seite...

Außer den i.A. bösartig eingesetzten RATs gibt es auch viele für legitime Zwecke eingesetzte Fernwartungstools (die natürlich auch missbraucht werden können), z.B. pcAnywhere von Symantec (ja, auch die Hersteller von Virenscannern entwickeln Fernwartungstools), Apple Remote Desktop (ARD), Timbuktu, die Remote Desktop Services in Windows Server und eine Vielzahl vom Implementierungen auf Basis des Virtual Network Computing (VNC) .

Schadsoftware ohne Verbreitungsfunktion

Alle RATs teilen eine Gemeinsamkeit: Sie enthalten keine Verbreitungsfunktion und müssen z.B. als Trojaner auf dem Zielrechner eingeschleust oder von bereits zuvor eingeschleuster Schadsoftware nachgeladen und installiert werden. Ist aber ein RAT erst einmal installiert, hat der Angreifer i.A. die vollständige Kontrolle über den Rechner.

Und damit nähert sich unsere Reise durch die Welt der Schadsoftware ihrem Ende. In der nächsten Folge gibt es einen Überblick über Botnets, die aus mit entsprechender Schadsoftware infizierten Rechnern gebildet werden.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Angst einflößende Schadsoftware: Scareware
Ransomware: Geld her, oder die Daten sind weg
Spyware - Der Spion in Ihrem Computer
Viren - Infektiöse Schadsoftware mit langer Ahnenreihe
Würmer - Schadsoftware, die sich selbst verbreitet
Trojaner - Der Feind im harmlosen Programm
Zeus - Trojaner, Botnet, Schädlingsbaukasten, ...
Exploit-Kits - Die Grundlage für Drive-by-Infektionen
Rootkits - Schadsoftware im System
Remote Administration Toolkits - Fernwartung in der Grauzone
Botnets - Zombie-Plagen im Internet
Schadsoftware - Infektionen verhindern
Schadsoftware im Überblick

Trackbacks

Dipl.-Inform. Carsten Eilers am : Das RAT, das aus dem Stuxnet kam

Vorschau anzeigen
Mehrere Antiviren-Hersteller haben einen neuen Schädling entdeckt, der teilweise als Stuxnet-Ableger bezeichnet wird. Da ist aber zumindest etwas irreführend. Der Duqu genannte neue Schädling weist einige Parallelen zu Stuxnet auf,

Dipl.-Inform. Carsten Eilers am : Clickjacking gegen Flash, urchin.js und Duqu - nichts als Wiederholungen!

Vorschau anzeigen
Wiederholungen, nichts als Wiederholungen. Nein, ich meine nicht das TV-Programm im Sommer(loch). Auch die Cyberkriminellen haben in letzter Zeit auf Bewährtes gesetzt: Clickjacking gegen Flash, Massen-SQL-Injection und Code-Recycling sind ang

Dipl.-Inform. Carsten Eilers am : Ein bekannter Advanced Persistent Threat: Operation Aurora

Vorschau anzeigen
Nachdem geklärt ist, was ein APT ist, wollen wir jetzt einen Blick auf den Ablauf so eines Angriffs richten. Als erstes Beispiel dient der Angriff, der den Begriff "Advanced Persistent Threat" im Januar 2010 bekannt gemacht hat: Operation

Dipl.-Inform. Carsten Eilers am : Noch ein bekannter Advanced Persistent Threat: Der Angriff auf RSA

Vorschau anzeigen
Der Angriff auf RSA zum Ausspähen der Seeds der SecurID-Token ist ein weiterer bekannter Advanced Persistent Threat (APT), der noch dazu relativ gut dokumentiert ist. Zumindest wissen wir, wie der Angreifer "den Fuss in die Tür bekommen

Dipl.-Inform. Carsten Eilers am : Kann man Advanced Persistent Threats erkennen?

Vorschau anzeigen
Die "Operation Aurora", Stuxnet und der Angriff auf RSA - drei bekannte Advanced Persistent Threats und zwei entscheidende Fragen: Kann man solche Angriffe erkennen, und wenn ja: Wie? Der eigentliche Angriff Fangen wir mit dem eigentlic

Dipl.-Inform. Carsten Eilers am : Ungewöhnlich: Drive-by-Infektionen über 0-Day-Exploits

Vorschau anzeigen
Zur Zeit laufen Angriffe über zwei Schwachstellen in Microsoft-Programmen, die beide die Ausführung von eingeschleustem Code erlauben: Eine 0-Day-Schwachstelle in den XML Core Services und eine am Juni-Patchday gepatchte Schwachstelle im In

Dipl.-Inform. Carsten Eilers am : Angriffe über zwei 0-Day-Schwachstellen in Java

Vorschau anzeigen
Zur Zeit gibt es zwei 0-Day-Schwachstellen in Java, ein Exploit befindet sich bereits im Exploit-Kit "Black Hole", und Angriffe darüber wurden auch schon gemeldet. Falls Sie das Java-Plug-In ihres Browsers noch nicht deaktiviert haben, wird

Dipl.-Inform. Carsten Eilers am : Die aktuelle 0-Day-Schwachstelle im Internet Explorer

Vorschau anzeigen
Seit einigen Tagen wird eine 0-Day-Schwachstelle im Internet Explorer im Rahmen von Drive-by-Infektionen ausgenutzt. Microsoft hat soeben die sofortige Veröffentlichung eines FixIt-Tools sowie die Veröffentlichung eines Updates

Dipl.-Inform. Carsten Eilers am : Der neueste Schädling im Cyberwar ist eine kleine Flamme: miniFlame

Vorschau anzeigen
Kaspersky hat mal wieder einen neuen Cyberwar-Schädling gefunden: miniFlame. Was hat es damit auf sich? Vom Flame-C&C-Server zu miniFlame Bei der Analyse der Command&Control-Server von Flame hatte man festgestellt, dass die S

Dipl.-Inform. Carsten Eilers am : Java 0-Day-Schwachstelle Nummer 3/2013 entdeckt

Vorschau anzeigen
Es gibt mal wieder eine neue 0-Day-Schwachstelle. Diesmal mal wieder in Java. Ich kann hier also gleich da weiter machen, wo ich vorigen Donnerstag aufgehört habe: 28. Februar: FireEye meldet die nächste Java-0-Day-Schwachstelle F

Dipl.-Inform. Carsten Eilers am : Schon wieder eine 0-Day-Schwachstelle, diesmal im IE 8

Vorschau anzeigen
Es gibt schon wieder eine 0-Day-Schwachstelle. Diesmal mal wieder im Internet Explorer, allerdings nur in Version 8. Und wie die 0-Day-Schwachstelle im Dezember 2012 wird auch diese Schwachstelle für Wasserloch-Angriffe ausgenutzt. Werfen w

Dipl.-Inform. Carsten Eilers am : Statt Kommentaren Lesetipps zum Wochenanfang

Vorschau anzeigen
Es gibt eigentlich nichts, was sich diese Woche zu kommentieren lohnt, also gibt es von mir diese Woche nur ein paar Lesetipps: Android-App gegen Windows Es gibt eine Android-App, die beim Anschluss des Geräts an einen Windows-Rechn

Dipl.-Inform. Carsten Eilers am : 0-Day-Schwachstelle im Flash Player, die zweite (im Februar 2014)

Vorschau anzeigen
Die dritte 0-Day-Schwachstelle des Jahres befindet sich im Flash Player. Und weil das so harmlos klingt: Es ist nicht nur die dritte 0-Day-Schachstelle des Jahres, sondern auch des Monats - die erste wurde von Adobe am 4. Februar behoben, am 13.