Remote Access Trojans (RAT'lar), saldırganların hedef makineye bulaşarak yönetici düzeyinde erişim sağlamasına olanak tanıyan zararlı yazılımlardır. RAT'lar, saldırganın kurbanın bilgisayarını uzaktan kontrol etmesini sağlar. Bu tür trojanlar, kullanıcının haberi olmadan bilgisayarın tüm Grafiksel Kullanıcı Arayüzü'ne (GUI) erişim sağlar ve saldırganın ekran görüntüleri alma, kamera kaydı yapma, kod çalıştırma, tuş vuruşlarını kaydetme (keylogging), dosyalara erişme, şifreleri yakalama ve kayıt defteri yönetimi gibi birçok işlemi gerçekleştirmesine olanak tanır.
RAT'ların Bulaşma Yöntemleri
Phishing Saldırıları: Saldırganlar, kurbanı kandırmak için sahte e-postalar veya mesajlar göndererek, zararlı dosyaların indirilmesine ve çalıştırılmasına yol açar.
Drive-by İndirme: Kurbanın bir web sitesini ziyaret etmesiyle zararlı yazılımın otomatik olarak indirildiği ve çalıştırıldığı bir saldırı türüdür.
USB veya Ağ Sürücüleri: Bulaşmış USB sürücüleri veya ağ sürücüleri aracılığıyla RAT'lar yayılabilir.
RAT'ların Sağladığı Yetenekler
Ekstra Zararlı Yazılım İndirme ve Çalıştırma: RAT, ek zararlı yazılımlar indirip çalıştırabilir.
Kabuk Komutları Çalıştırma: Sistem üzerinde komut çalıştırabilir.
Kayıt Defteri Anahtarlarını Okuma ve Yazma: Windows kayıt defterine erişebilir ve üzerinde değişiklik yapabilir.
Ekran Görüntüleri ve Kamera Kayıtları: Kullanıcının ekran görüntülerini ve kamera kayıtlarını alabilir.
Tuş Vuruşlarını Kaydetme: Kullanıcının klavye girişlerini kaydedebilir.
Dosya İşlemleri: Dosya indirip yükleyebilir, dosyalar üzerinde manipülasyon yapabilir.
Örnek: njRAT
njRAT, güçlü veri çalma yeteneklerine sahip bir RAT'tır. Bu yazılım, tuş vuruşlarını kaydetmenin yanı sıra, kurbanın kamerasına erişebilir, tarayıcılarda saklanan kimlik bilgilerini çalabilir, dosya yükleme ve indirme işlemleri gerçekleştirebilir, işlemler ve dosyalar üzerinde değişiklikler yapabilir ve kurbanın masaüstünü görüntüleyebilir.
Bu RAT, saldırganın Botnet'leri (bir bilgisayar ağı) kontrol etmesine olanak tanır. Saldırgan, RAT'ı güncelleyebilir, kaldırabilir, bağlantısını kesebilir, yeniden başlatabilir ve kapatabilir, hatta kampanya kimliğini yeniden adlandırabilir. Saldırgan ayrıca, Command and Control (C2) sunucu yazılımı yardımıyla USB sürücüler aracılığıyla zararlı yazılımın yayılmasını da sağlayabilir.
Crypter Nedir?
Crypter, orijinal bir .exe dosyasının ikili kodunu şifreleyerek virüsleri, casus yazılımları, keylogger'ları ve RAT'ları gizleyen bir yazılımdır. Bu, zararlı yazılımın antivirüs programları tarafından tespit edilmesini zorlaştırır. SwayzCryptor, kullanıcıların programlarının kaynak kodunu şifrelemelerine olanak tanıyan bir şifreleyicidir.
Bu özellikleriyle RAT'lar, saldırganların hedef sistemler üzerinde uzun süreli ve derinlemesine bir kontrol sağlamasına olanak tanır ve ciddi güvenlik tehditleri oluşturur.