Deed RAT

RAT (Remote Access Trojan) -uhat on suunniteltu tarjoamaan verkkorikollisille luvaton etäkäyttö rikottuihin järjestelmiin. Tyypillisesti nämä uhat voivat sisältää monia häiritseviä ominaisuuksia, ja niitä voidaan käyttää osana erilaisia hyökkäystoimintoja. Deed RAT ei ole poikkeus ja sitä voidaan ohjata suorittamaan useita toimintoja hyökkääjien erityisten tavoitteiden perusteella. On huomattava, että Deed RAT ei ole uusi uhka. Itse asiassa se on ollut olemassa jo jonkin aikaa. Äskettäin infosec-tutkijat kuitenkin huomasivat nousun Deed RAT -toiminnassa, joka koski uusia muunnelmia päivitetyillä uhkaavilla ominaisuuksilla. Uhkaa kohtaan lisääntyneen kiinnostuksen takana uskotaan olevan kybervakoilussa mukana olevat kiinalaiset uhkatoimijat.

Deed RAT on modulaarinen uhka, joka toimitetaan päämoduulilataimen kautta. Se koostuu kolmesta erillisestä osiosta, joista jokaisella on eri käyttöoikeudet. Päätakaovi puolestaan pystyy lataamaan ja hallitsemaan laajennuksia tietyillä toiminnoilla. Esimerkiksi dataosio sisältää kahdeksan salattua laajennusta. Yleensä jokainen tunnistetuista laajennuksista pystyy suorittamaan viisi aputoimintoa. Verkkolaajennus vastaa Command-and-Control (C2, C&C) -palvelimen osoitteen purkamisesta URL-merkkijonona.

Uhka voi kerätä järjestelmätietoja, luoda erillisen etäyhteyden, jonka avulla hyökkääjät voivat työskennellä lisäosien kanssa, deaktivoida etäyhteyden ja poistaa itsensä peittääkseen hakkereiden jäljet. Lisäksi Deed RAT voi olla vuorovaikutuksessa Windowsin rekisterin kanssa ja muokata sitä.