RAT(Remote Access Trojan)
Rat nedir ?
Rat, kullanıcının izni ve bilgisi olmadan bir bilgisayarı uzaktan kontrol etmek için kullanılan bir kötü amaçlı yazılımdır. Hem zararlı niyetlerle hem de bazen yasal uzaktan yönetim araçları olarak kullanılabilir. Ancak, kötü amaçlı RAT’ lar, genellikle siber suçlular tarafından izinsiz erişim için kullanılır.
RAT’ların kullanım alanları;
Kötü Amaçlı Kullanımlar
Bilgi Hırsızlığı: Şifreler, kredi kartı bilgileri, ve kişisel veriler.
Keylogging: Kullanıcıların tuş vuruşlarını kaydetme.
Kamera ve Mikrofon Erişimi: Gizlice ses ve görüntü kaydetme.
Dosya Transferi: Sistemden dosya çekme veya sisteme kötü amaçlı dosya yükleme.
Sistem Kontrolü: Bilgisayarı tamamen kontrol etme, dosyaları silme, değiştirme.
Botnet Üyeliği: Bilgisayarı bir botnet'in parçası haline getirme.
Meşru Kullanımlar
Uzak masaüstü desteği sağlama.
Sistem yönetimi ve bakımı.
Eğitim ve destek hizmetleri.
Çalışma Aşamaları;
Enfeksiyon Aşaması;
Rat genellikle bir e-posta eki, sosyal mühendislik, web sitesi linki veya sahte bir yazılım güncellemsi ile bulaşır.
Kurulum Aşaması;
Sistem dosyaları arasında gizlenir ve antivirüs tespitinden kaçınmak için kendini gizler.
Komuta ve Kontrol (C&C)
RAT, saldırganın sunucusuyla bağlantı kurar.
Şifreli protokollerle iletişim kurarak saldırganın komutlarını alır ve sistem bilgilerini gönderir.
Uzaktan Kontrol
Saldırgan, C&C sunucusu aracılığıyla hedef sistemi tamamen kontrol eder.
RAT Çeşitleri;
Kötü Amaçlı RAT'ler:
Blackshades: Özellikle kamera ve mikrofon erişimi için kullanılır.
njRAT: Keylogging ve dosya hırsızlığı özellikleriyle popülerdir.
DarkComet: Tümleşik özellikleriyle geniş kullanım alanı sunar.
PlugX: Özellikle Asya'daki hedeflerde kullanılan gelişmiş RAT.
Meşru Araçlar (Yanlış Kullanılabilir):
TeamViewer
AnyDesk
RemotePC
RAT Tespit ve Korunma Yöntemleri
Tespit:
Sistem Analizi:
Görev Yöneticisi'nde anormal çalışan uygulamalar.
Bilinmeyen ağ bağlantıları (Netstat ile analiz yapılabilir).
Antivirüs ve EDR Kullanımı:
Güncel bir antivirüs yazılımı ile düzenli tarama.
EDR çözümleri (Endpoint Detection and Response) ile derinlemesine analiz.
Log ve Ağ İzleme:
SIEM (Security Information and Event Management) kullanarak şüpheli aktiviteleri analiz etme.
Anormal DNS sorguları ve ağ trafiği.
Koruma:
Eğitim:
Kullanıcılar, kimlik avı ve kötü amaçlı eklere karşı eğitilmelidir.
Güvenlik Araçları:
Firewall ve IDS/IPS cihazlarının yapılandırılması.
Sandboxing araçlarıyla şüpheli dosyaların incelenmesi.
Güncel Kalma
Yazılım ve işletim sisteminin güncel tutulması.
Adli Analiz Süreci
RAT bulaşan sistemde şu adımlar izlenmelidir.
Bellek dökümü Analizi
Ram üzerindeki rat süreçlerinin detaylı analizi
Ağ trafiği izleme
RAT'ın C&C sunucusuna olan bağlantılarını tespit edin.
Disk ve Dosya Analizi
Rat tarafından bırakılan artifakt izlerinin analizi
Windows Registry inceleme
Kalıcılık mekanizmalarını kontrol edilmelidir.
Kaynaklar ;
https://www.btkakademi.gov.tr/portal/blog/remote-access-trojan-rat-nedir-1550
https://www.checkpoint.com/cyber-hub/threat-prevention/what-is-remote-access-trojan/
https://www.turkhackteam.org/konular/isinize-yarayabilecek-rat-turleri.1446700/
0 Yorumlar