Remote Access Tool (RAT)
Een Remote Access/Administration Tool (RAT) is software die een ICT'er de mogelijkheid geeft om op alle geregistreerde computers in te loggen vanaf één basiscomputer en deze op afstand te beheren. Bijvoorbeeld voor probleemoplossing, hulp op afstand en een goede werking van de computers binnen het netwerk.
Gevaren van RAT
Bij verkeerd gebruik kan een RAT nadelige gevolgen hebben. Cybercriminelen kunnen een RAT namelijk ook gebruiken om jouw computer voor hackdoeleinden te gebruiken. Ze sturen je de RAT dan als een e-mailbijlage toe in de hoop dat je deze opent, of ze zoeken telefonisch contact met je op en vragen je bepaalde software te installeren. Men spreekt dan van een Remote Access Trojan.
Als een cybercrimineel je bedrijfsnetwerk met een RAT benadert, krijgt hij toegang tot niet alleen je netwerk maar ook tot je volledige besturingssysteem (bijvoorbeeld Windows of macOS). Zonder dat je het zelf doorhebt, kan de cybercrimineel nu geld wegsluizen van je zakelijke rekeningen, maar bijvoorbeeld ook klant- en personeelsgegevens downloaden en andere gevoelige bedrijfsinformatie stelen.
Hoe herken ik een kwaadaardige RAT?
Malafide RAT-software is over het algemeen zo ontworpen dat het zich volledig verbergt binnen het systeem en niet zichtbaar is voor de eindgebruiker. De legitieme RAT zal daarentegen de gebruiker en het systeem op de hoogte stellen dat de software is geïnstalleerd. Ook worden er regelmatig meldingen verstuurd naar het systeem om het gebruik aan te geven en toegang te vragen om bepaalde handelingen uit te voeren.
Meestal wordt kwaadaardige RAT-programmatuur verstopt in executables (.exe) die er uitzien als een vertrouwd bestand zoals een .doc of .pdf. Na het uitvoeren van de kwaadaardige software heeft de aanvaller volledige controle over de besmette systemen zoals computers, smartphones, printers of IoT-apparaat.
Bepaalde varianten van RAT’s worden ook verspreid binnen HTTP- en HTTPS-datapakketjes en doet zich voor als 'normaal' netwerkverkeer waardoor ze nog lastiger zijn op te sporen. Wil je toch echt weten welk verkeer te vertrouwen is en wat niet, dan kun je overwegen gebruik te maken van veelal specialistische Intrusion Detection Systems (IDS) en/of Intrusion Prevention System (IPS). Deze vind je in zowel betaalde als gratis open source variant. De volgende stap is het uitvoeren van een “deep pakket inspection” (DPI) waarmee je al het elektronisch dataverkeer tussen zender en ontvanger inhoudelijk analyseert .
Tot slot is het verstandig om (naast geüpdatet antivirus/ malware software) ongebruikte netwerkpoorten te blokkeren en niet gebruikte diensten uit te zetten.
Wat te doen in geval van een kwaadaardige RAT?
Als je het idee hebt dat een cybercrimineel toegang heeft tot jouw bedrijfsnetwerk door middel van een RAT is het belangrijk direct alle netwerkverbindingen te verbreken.
- Verwijder de netwerkkabel en schakel de wifi-verbinding uit.
- Laat je computer of het systeem aanstaan.
- Bel de politie (0800-8844) om aangifte te doen en waarschuw je bank en volg hun instructies op.
7 Momenten om een aanval te stoppen
De inlichtingendiensten AIVD en MIVD geven tips om cyberaanvallen tegen te gaan. Hoe gaan statelijke actoren te werk? Hoe kun je cyberaanvallen herkennen en voorkomen? De brochure neemt je mee in de verschillende fasen van een cyberaanval naar het model van de Cyber Kill Chain.
Deze publicatie is weliswaar gericht aan bestuurders, beleidsadviseurs en managers van de Rijksoverheid en de vitale sector, maar is ook interessant voor cybersecurity professionals, CISO's en CIO's. Weten wat de 7 fasen zijn die cyberaanvallers kunnen doorlopen, helpt om hen de pas af te snijden.