Annonce

Réduire
Aucune annonce.

Qu'est ce qu'un RAT

Réduire
X
 
  • Filtre
  • Heure
  • Afficher
Tout nettoyer
nouveaux messages

  • Qu'est ce qu'un RAT

    Définition RAT : Remote Administration Tool.

    Est-ce qu'un RAT est un produit légitime ou illégitime ?

    - Légitime lorsqu'une personne ou une société a donné son accord à une autre personne ou une autre société pour prendre le contrôle à distance de son ordinateur. Le cas le plus habituel est celui de la télémaintenance et du télé diagnostique qu'une entreprise délègue à son fournisseur de produits et services informatiques. Ce dernier peut intervenir bien plus rapidement et efficacement en prenant le contrôle de l'ordinateur de son client sans quitter ses bureaux et sans perdre de temps en déplacement, surtout si le client est à plusieurs centaines ou milliers de kilomètres de là. Le serveur doit être lancé au dernier moment, lorsque le fournisseur et prêt à prendre le contrôle. Le serveur ne doit jamais rester en veille permanente. Il doit, en outre, n'être activable que sur présentation d'un solide mot de passe renouvelé après chaque intervention. Les droits du compte sous lequel la personne exerce sa prise de contrôle à distance devraient être limités au stricte nécessaire et au strict minimum (principe de moindre privilège).

    - Illégitime lorsqu'il a été implanté à l'insu de l'utilisateur. C'est un Trojan qui a probablement servi à le véhiculer et l'implanter ou une personne qui a accès physiquement à l'ordinateur. Dans les 2 cas il y a, outre la malveillance introduite, une faille de sécurité quelque part qui a permis son installation.

    Rappel : un RAT introduit à l'insu de l'utilisateur est un moyen par lequel une personne pénètre et se maintiend dans un système de traitement de l'information. Il faut immédiatement porter plainte au totre de la loi dite "Godfrain".

    Méthodes de diffusion du parasite:

    - Accès physique à l'ordinateur.

    Le plus simple reste, tout de même, d'accéder physiquement à la machine (vous-même, votre copain, votre copine, un employé, un technicien de surface, un détective privé, un parent, un enfant, un ami, le service de gardiennage, la maintenance technique etc. ...) et d'y installer le parasite. Ce n'est probablement pas le cas pour les adwares mais ça l'est pour les keyloggers, les backdoors, les Remote Admin Tools etc. ... La personne qui accède à l'ordinateur peut même en être son utilisateur normal qui a été manipulé et installe tout à fait inconsciemment le parasite après avoir été convaincue qu'elle faisait tout à fait autre chose en installant cette disquette, ce CD, etc. ... Il faut considérer cela comme une faille de sécurité (la première faille de sécurité, la plus importante, se trouve souvent entre la chaise et le clavier).

    - Abus de faiblesse :

    Un bon discours, un bon texte ou une démonstration trompeuse vous a convaincu qu'un truc était absolument indispensable et que vous ne pouviez pas vivre sans. C'est ainsi que bon nombre de parasites sont installés alors que vous croyez installez, vous-même, une simple barre d'outils (ToolsBar) dont vous êtes persuadé avoir besoin. De nombreux utilitaires de sécurités crapuleux, dont plusieurs embarquent, en sus, des parasites (agissent en Trojans) utilisent cette technique d'ingénierie sociale. Là aussi le problème est souvent entre la chaise et le clavier.

    - Usage d'un trojan :

    L'usage du Cheval de Troie ou Trojan pour installer un parasite est la méthode la plus répandue et c'est vous-même qui êtes allé chercher le vecteur (probablement un programme "gratuit" ou "freeware" ou "shareware") de l'infection et avez procédé à son rapatriement (téléchargé ou copié depuis un CD-ROM etc. ...) et à son installation. Par exemple, c'est vous-même qui installez KaZaA sur votre ordinateur : KaZaA ne vient pas tout seul s'installer. Mais KaZaA est le vecteur de très nombreux parasites dont un downloader permettant d'installer encore d'autres parasites dans un système pyramidal. C'est un trojan. Cette nécessité d'installer le trojan pour que soient installées les parasites contenus est importante car elle dénote bien qu'un trojan doit être installé pour pouvoir lâcher sa charge active. Il y a donc une faille des mesures et procédures de sécurité et elles sont inefficaces ou l'agresseur possède une complicité à l'intérieur.

    - L'ouverture d'un courrier piégé :

    Spam ou non, vous ne devez jamais ouvrir un courrier dont vous ne connaissez pas l'expéditeur et vous ne devez jamais cliquer sur un lien dans un courrier, spam ou non. Un tel courrier piégé peut être assimilé à un cheval de Troie. Vous devez être équipé d'un anti-spam et d'un antivirus.

    - Usage d'un Fake ou Hoax :

    Il s'agit de faux ayant l'apparence du vrai. On les trouve surtout sur les réseaux de P2P où les parasites portent, simplement, le nom des programmes les plus convoités (un jeu...), des chansons les plus téléchargées etc. ... et dans le courrier électronique (spam ou non). Le phishing est de cette nature.

    - Usage d'une faille de sécurité :

    Cas plus rares, le parasite est installé automatiquement depuis Internet, en exploitant des failles de sécurité. Techniques plus complexes comme le buffer-overflow et avec l'aide d'un downloader... Une technique consiste, par exemple, pour attaquer un système bien protégé, à utiliser un sniffer sur une liaison entre cet ordinateur et un ordinateur externe moins bien protégé auquel le premier fait appel régulièrement (par exemple transmissions quotidiennes depuis une filiale vers une maison mère). Le sniffer permet de repérer, dans les en-têtes, l'identité et le type des fichiers transmis régulièrement. Il suffit alors de faire passer le parasite pour l'un de ces fichiers sur la machine faillible pour infester la machine cible.

    - Usage de sites piégés :

    Les sites piégés malsains que vous visitez installent "à l'insu de votre plein gré", grâce à l'usage de contrôles ActiveX ou de langages de script, des parasites de toutes nature. Ils profitent d'un certain laxisme de votre part dans le réglage de votre navigateur (surtout Internet Explorer) en ce qui concerne l'acceptation des ActiveX et des scripts. L'un des pièges pour conduire les scripts est l'usage d'images piégées dont les fameuses images invisibles, les WebBugs.

    - Usage d'un binder :

    Le parasite est saucissonné (découpé) en un tas de petits bouts, chacun étant suffisamment anodin pour être indétectable. Le binder va assembler et créer le parasite à partir de petits bouts à l'apparence anodine. Le problème, en amont, est que le binder et les petits bouts du parasite ont pénétré le système. Il y a donc, également, une faille de sécurité à chercher.

    Fonctionnement d'un RAT

    Un RAT commercial s'installe là où on lui dit de s'installer et sous un nom que nous lui connaissons. Un RAT hostile s'installe furtivement dans un répertoire où il a peu de chance d'être repéré de visu par un utilisateur courant : par exemple les immenses répertoires système contenant des milliers de fichiers exécutables aux noms barbares et inconnus. Certains sont tellement furtifs que même en utilisant le gestionnaire de tâches (la combinaison de touches alt-ctrl-sup) il n'apparaît pas dans la liste des tâches actives ou, s'il apparaît, c'est sous un nom qui ne retiendra pas l'attention.

    Dès que le RAT est installé, la première chose qu'il fait est d'implanter un dispositif lui permettant d'être lui-même lancé automatiquement chaque fois que l'ordinateur est démarré. Il modifie pour cela la liste de démarrage et reste actif (à l'écoute) tant que l'ordinateur est allumé. L'usage d'outils d'analyse de la liste de démarrage de Windows peut aider.

    Une fois actif, son souci est d'ouvrir une porte (il commence par se comporter comme un Backdoor), toujours la même (il y en a 65.536 dans votre PC) puis de rester à l'écoute en la maintenant ouverte chaque fois que vous vous connectez sur le Net. Il utilise diverses méthodes de camouflage pour tenter de tromper les pare-feux (firewall). Il n'émet absolument jamais rien de lui-même, il n'appelle jamais (contrairement à ce qu'écrivent certains sites de sécurité) car ce serait le meilleur moyen de se faire repérer et de se faire bloquer. En sus, s'il appelait, il devrait donc appeler une adresse IP ou un serveur (un nom de domaine) donc il serait immédiatement possible de savoir "à qui le crime profite".

    Le pirate, depuis sa machine "cliente", va tenter de trouver et "réveiller" son "serveur". Il appelle donc une adresse IP sur le port de son serveur. Deux possibilités s'offrent à lui pour avoir cette adresse IP:

    Votre adresse IP est fixe. Le pirate va directement voir si vous êtes en ligne et si le port sur lequel écoute le serveur de son RAT est ouvert. Le pirate s'attaque donc à une cible choisie qui n'est pas celle de monsieur tout le monde. En principe, l'internaute "lambda" que vous êtes n'est pas visé car vous êtes "sans intérêt" (désolé pour votre ego). Tant que vous ne sortez pas la tête hors de l'eau vous êtes noyé dans les millions d'adresses IP et c'est une assez bonne planque.

    Votre adresse IP est dynamique, affectée à chaque connexion. C'est le cas de monsieur tout le monde. Le pirate utilise tout d'abord un scanner d'adresses IP et de ports afin de trouver, adresse par adresse, si son RAT est à l'écoute. Dans ce cas, le pirate s'attaque à une cible au hasard. Plusieurs pirates peuvent tomber sur le même backdoor.

    Le pirate "protège son RAT" par un mot de passe. Une fois entré, il est à votre place et peut observer ou intervenir sans que vous vous en apperceviez grace aux fonctionnalités multi-tâches de Windows et a sa capacité de faire tourner des applications et services en arrière plan.

    source : assiste.com
    Dernière modification par SAKAROV, 30 août 2011, 20h30. Motif: Mise en forme + source.

  • #2
    Qu'est-ce que vient faire un texte du genre sur un site qui s'affirme "hacker white hat" ?

    Commentaire


    • #3
      Etudier des sujets black n'a rien de black. Il faut savoir ces choses là. Je vais même te dire que l'on va construire des black tools pour en comprendre le mécanisme. Nous ne les utiliserons simplement pas. Par exemple, créer un crypter me paraît être une chose intéressante. Ce n'est pas parce-que tu apprends à utiliser Metasploit que tu es un Black. Ceci est absurde. A ce moment là, le fait de cracker une clé wifi est être black. Ne t'es tu jamais attelé à ce type de manoeuvre ? Nous avons dit White, nous n'avons pas dit "rose". L'étude de la sécu info passe forcément par du black.
      sigpic

      Cyprium Download Link

      Plus j'étudie plus j'me rends compte que je n'sais rien.

      †|

      Commentaire


      • #4
        Envoyé par kallimero Voir le message
        Qu'est-ce que vient faire un texte du genre sur un site qui s'affirme "hacker white hat" ?
        Bonne question ! Et la facon dont est abordée le sujet est un peu maladroite, mais il ne faut pas oublier qu'un RAT est avant tout un Remote Administration Tool, tout a fait legit, utilisé pour des raisons légales.
        De plus, il ne donne pas de noms, pas de liens, sur aucun des outils qu'il mentionne, donc pas d'incitation, ni de facilitation. Et parce que des gens l'utilisent à des fins "black hat", ne veut pas dire qu'il n'y en a pas pour les white hats ou qu'on ne peut pas en parler.

        C'est comme tout dans le hacking, chacun en fait ce qu'il veut, mais la technologie en elle-même est toujours neutre.

        Et dis-toi que ca vient d'un vrai white hat, pur et dur

        Commentaire


        • #5
          Etudier des sujets black n'a rien de black. Il faut savoir ces choses là. Je vais même te dire que l'on va construire des black tools pour en comprendre le mécanisme. Nous ne les utiliserons simplement pas. Par exemple, créer un crypter me paraît être une chose intéressante. Ce n'est pas parce-que tu apprends à utiliser Metasploit que tu es un Black. Ceci est absurde. A ce moment là, le fait de cracker une clé wifi est être black. Ne t'es tu jamais attelé à ce type de manoeuvre ? Nous avons dit White, nous n'avons pas dit "rose". L'étude de la sécu info passe forcément par du black.
          Je suis, pour la plus grande partie de ton message, d'accord. Mais personnellement je trouve plus intéressant de comprendre l'attaque par la défense (ça parait un peu tordu dit comme cela). Donnons un exemple : Contruire un ids est plus enrichissant que de construire un rootkit.

          Créer un crypteur n'est pas intéressant : créé un "runpe" est intéressant. Et je parle par expérience.

          Pour en revenir au sujet, un rat est indéniablement un outils qui fait tâche dans la culture du "hacking", et qui aujourd'hui en induit en erreur plus d'un . Y compris malheureusement les médias. Je ne voit pas l'intérêt de développer un tel sujet. C'est une perte de temps.
          Même si il y a effectivement une frontière entre comprendre et utiliser.

          Commentaire


          • #6
            Envoyé par kallimero Voir le message
            Pour en revenir au sujet, un rat est indéniablement un outils qui fait tâche dans la culture du "hacking", et qui aujourd'hui en induit en erreur plus d'un . Y compris malheureusement les médias.
            Certes, oui. Exact.

            Cependant, tel que Ghostweber l'a souligné, je ne peux pas me permettre, en tant qu'admin, de ne pas renseigner les gens sur tout ce qui est black. Les gens doivent savoir. Mais on ne fournira en aucun cas des tools comme Darkcomet ou autre. Ca c'est -1 direct. Suppression du topic. Après dans les sections supérieures, il y a des tas de choses plus... borderlines (il y a notamment une catégorie en Level III qui est réservée à ce genre de chose, faite pour décortiquer des sources de botnet, etc.). Comprendre comment ça fonctionne est un point essentiel. Et dans mon cas j'englobe le tout.

            Si je ne pensais qu'à moi, je ne me ferai pas chier à donner la définition d'un keylogger^^ Mais certains membres on une faible voir inexistante expérience et seront ravi d'en savoir plus à ce sujet.
            sigpic

            Cyprium Download Link

            Plus j'étudie plus j'me rends compte que je n'sais rien.

            †|

            Commentaire

            Chargement...
            X