O que é um Trojan de Acesso Remoto (RAT)

Software mal-intencionado para aquisição 
e exploração de endpoints

 

Os RATs (Remote Access Trojans) fornecem aos cibercriminosos acesso ilimitado aos endpoints infectados. Usando os privilégios de acesso da vítima, eles podem acessar e roubar dados comerciais e pessoais confidenciais, incluindo propriedade intelectual, informações de identificação pessoal (PII e PHI), enquanto ataques cibernéticos automáticos (por exemplo, Man-in-the-Browser ) permitem que os cibercriminosos Para atacar o acesso baseado em navegador a aplicativos confidenciais, os RATs são usados ​​para roubar informações por meio da operação manual do endpoint em nome da vítima.A maioria das Ameaças Persistentes Avançadas (APT)os ataques aproveitam a tecnologia RAT para reconhecimento, ignorando a autenticação forte, espalhando a infecção e acessando aplicativos confidenciais para exfiltrar dados. Os RATs estão comercialmente disponíveis (por exemplo, Poison Ivy, Dark Comet) e podem ser instalados maliciosamente em endpoints usando táticas de drive-by-download e spear-phishing. 

 

A organização deve abordar especificamente os RATs em sua estratégia de defesa corporativa na camada do terminal. O risco é especialmente alto quando ocorre a infecção por RAT, pois a detecção de RATs em tempo de execução é extremamente difícil de ser feita. 

 

• REQUISITOS

Detectar e bloquear atividades de acesso remoto mal-intencionado 

Os RATs permitem que os cibercriminosos executem o registro de chaves e o registro de sessão da atividade do usuário como uma forma de capturar credenciais, dados confidenciais e coletar informações sobre fluxos e estruturas de aplicativos internos. Ao impedir essas atividades de tempo de execução quando aplicativos confidenciais, como VPN e clientes VDI (ou o navegador) são usados, a capacidade dos invasores de aproveitar o RAT para executar um ataque é drasticamente reduzida. 

Bloquear Infecção por Malware, Remover Malware Existente

Os controles devem ser implementados para evitar que o malware RAT infecte dispositivos gerenciados e não gerenciados. Se um dispositivo estiver infectado, os controles precisarão detectar e remover rapidamente os RATs das máquinas dos usuários finais. Infecções futuras devem ser interrompidas, bloqueando processos de instalação de malware e ataques de spear-phishing. Um foco especial deve ser dado ao consumo de recursos e sobrecarga de gerenciamento ao equilibrar a força da proteção e a redução de riscos com o usuário final e o impacto da segurança de TI. 

Implantação e gerenciamento controlados pela empresa

As soluções antimalware devem cobrir a grande maioria das plataformas de dispositivos gerenciados e não gerenciados, incluindo PCs, Macs e dispositivos móveis (dispositivos iOS e Android). A solução deve estar prontamente disponível para que os usuários finais protejam instantaneamente seus dispositivos. Uma opção de implantação sob demanda é necessária quando os recursos da empresa são acessados ​​em computadores domésticos ou em trânsito. As organizações devem ter a capacidade de exigir que todo o acesso VPN seja executado a partir de endpoints seguros (ou seja, garantir que um controle de segurança de endpoint esteja instalado e funcionando).