RAT (Remote Access Trojan) Nedir ?

 







RAT(Remote Access Trojan)

  1. Rat nedir ?


  • Rat, kullanıcının izni ve bilgisi olmadan bir bilgisayarı uzaktan kontrol etmek için kullanılan bir kötü amaçlı yazılımdır. Hem zararlı niyetlerle hem de bazen yasal uzaktan yönetim araçları olarak kullanılabilir. Ancak, kötü amaçlı RAT’ lar, genellikle siber suçlular tarafından izinsiz erişim için kullanılır.





  1. RAT’ların kullanım alanları;


Kötü Amaçlı Kullanımlar


  • Bilgi Hırsızlığı: Şifreler, kredi kartı bilgileri, ve kişisel veriler.

  • Keylogging: Kullanıcıların tuş vuruşlarını kaydetme.

  • Kamera ve Mikrofon Erişimi: Gizlice ses ve görüntü kaydetme.

  • Dosya Transferi: Sistemden dosya çekme veya sisteme kötü amaçlı dosya yükleme.

  • Sistem Kontrolü: Bilgisayarı tamamen kontrol etme, dosyaları silme, değiştirme.

  • Botnet Üyeliği: Bilgisayarı bir botnet'in parçası haline getirme.


           Meşru Kullanımlar


  • Uzak masaüstü desteği sağlama.

  • Sistem yönetimi ve bakımı.

  • Eğitim ve destek hizmetleri.





  1. Çalışma Aşamaları;


  1. Enfeksiyon Aşaması;


  • Rat genellikle bir e-posta eki, sosyal mühendislik, web sitesi linki veya sahte bir yazılım güncellemsi ile bulaşır.


  1. Kurulum Aşaması;


  • Sistem dosyaları arasında gizlenir ve antivirüs tespitinden kaçınmak için kendini gizler.


  1. Komuta ve Kontrol (C&C)


  • RAT, saldırganın sunucusuyla bağlantı kurar.

  • Şifreli protokollerle iletişim kurarak saldırganın komutlarını alır ve sistem bilgilerini gönderir.


  1. Uzaktan Kontrol


  • Saldırgan, C&C sunucusu aracılığıyla hedef sistemi tamamen kontrol eder.





  1. RAT Çeşitleri;


Kötü Amaçlı RAT'ler:


  • Blackshades: Özellikle kamera ve mikrofon erişimi için kullanılır.

  • njRAT: Keylogging ve dosya hırsızlığı özellikleriyle popülerdir.

  • DarkComet: Tümleşik özellikleriyle geniş kullanım alanı sunar.

  • PlugX: Özellikle Asya'daki hedeflerde kullanılan gelişmiş RAT.



Meşru Araçlar (Yanlış Kullanılabilir):


  • TeamViewer

  • AnyDesk

  • RemotePC







  1. RAT Tespit ve Korunma Yöntemleri


Tespit:


  1. Sistem Analizi:


  • Görev Yöneticisi'nde anormal çalışan uygulamalar.

  • Bilinmeyen ağ bağlantıları (Netstat ile analiz yapılabilir).


  1. Antivirüs ve EDR Kullanımı:


  • Güncel bir antivirüs yazılımı ile düzenli tarama.

  • EDR çözümleri (Endpoint Detection and Response) ile derinlemesine analiz.



  1. Log ve Ağ İzleme:


  • SIEM (Security Information and Event Management) kullanarak şüpheli aktiviteleri analiz etme.

  • Anormal DNS sorguları ve ağ trafiği.


Koruma:


  1. Eğitim:


  • Kullanıcılar, kimlik avı ve kötü amaçlı eklere karşı eğitilmelidir.


  1. Güvenlik Araçları:


  • Firewall ve IDS/IPS cihazlarının yapılandırılması.

  • Sandboxing araçlarıyla şüpheli dosyaların incelenmesi.


  1. Güncel Kalma


  • Yazılım ve işletim sisteminin güncel tutulması.





  1. Adli Analiz Süreci 


RAT bulaşan sistemde şu adımlar izlenmelidir.


  1. Bellek dökümü Analizi


  • Ram üzerindeki rat süreçlerinin detaylı analizi


  1. Ağ trafiği izleme


  • RAT'ın C&C sunucusuna olan bağlantılarını tespit edin.


  1. Disk ve Dosya Analizi


  • Rat tarafından bırakılan artifakt izlerinin analizi


  1. Windows Registry inceleme


  • Kalıcılık mekanizmalarını kontrol edilmelidir.









Kaynaklar ;


https://www.btkakademi.gov.tr/portal/blog/remote-access-trojan-rat-nedir-1550


https://www.garantibbva.com.tr/blog/siber-saldirilarin-gorunmez-ati-rat-nedir#:~:text=RAT'lar%2C%20k%C3%B6t%C3%BC%20niyetli%20ki%C5%9Filerin,kontrol%20etmesini%20sa%C4%9Flayan%20zararl%C4%B1%20yaz%C4%B1l%C4%B1mlard%C4%B1r.


https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-remote-access-trojan/


https://www.turkhackteam.org/konular/isinize-yarayabilecek-rat-turleri.1446700/



           


Yorum Gönder

0 Yorumlar