Remote Administration Tool

En Remote Administration Tool, RAT, är ett program som låter en användare fjärrstyra en annan dator. En RAT i sig är inte ett sabotageprogram då syftet med RAT:s är att först efter godkännande styra en annan persons dator; däremot kan RAT:s paketeras i exempelvis en trojansk häst för att skapa ett skadligt spionprogram.^[1]

RAT:s kan också användas för att till exempel fjärrstyra sina egna datorer inom ett lokalt nätverk eller ha full kontroll över sin hemdator från arbetsplatsen.

En RAT består av två delar: En klient och en server. Den användare (master) som vill kontrollera en annan dator (slave) använder sig av en klient, som oftast är en gränssnittsbaserad applikation, medan "slave" kör ett program som kallas för server. Servern är ett program som oftast körs i ett dolt läge, för att göra hela processen smidigare.

Funktionalitet

Funktioner som erbjuds för fjärrstyrningen är till exempel:

1. Visning av webbkamera
2. Ansluta till servern via proxy, eller kryptera trafik
3. Filhantering för filöverföring
4. Söka bland serverns filer på datorn
5. Keylogger (en funktion som memorerar alla tangentryck som slave gjort, och sparar det till en fil som kan hämtas av Master)
6. Spara lösenord på datorn, för att till exempel återställa ett glömt lösenord
7. Aktivitetshanterare (visa alla processer på slaves dator)
8. Registerediterare (precis som regedit, fast fjärrstyrt)
9. Fjärrbaserad DOS (programmet "CMD" på slavens dator)
10. Möjlighet att visa skärmdump på slavs dator (se slaves skärm i realtid)
11. Möjlighet att visa slavs datorprestanda, som till exempel processer, hårddisk och RAM
12. Servern kan (i vissa avancerade RAT:s) stödja en funktion som kallas för FWB (firewall bypass) för att enkelt kringgå en brandvägg. Detta görs för att slippa en massa varningar från brandväggen, vilka kan ställa till det om någon vill bli fjärrstyrd, vid till exempel fjärrsupport.

Anslutning/kommunikation mellan Master(Klient) och Slave(Server)

Det finns två olika anslutningsmetoder för RAT:s: Direct Connection och Reverse Connection.

Direct Connection

Denna variant var mycket populär före år 2002. Den går till så att Master ansluter till Slave, som i sin tur inväntar anslutningen från Master. Detta kräver att Master håller reda på Slaves IP-adress för att kunna ansluta. Eftersom folk alltmer använder sig av routers så misslyckas anslutningen till Slave. Routers är designade att blockera inkommande trafik utifrån, men Slave kan fortfarande acceptera inkommande trafik genom att göra en liten konfiguration i sin router, som kallas för portforwarding. Detta är alltså inte så smidigt i dagens läge.

Reverse Connection

Denna anslutningsmetod är mest aktuell i dag. Här görs alltid precis som ovan, men istället så ansluter servern automatiskt till Master, som då inväntar anslutningen. Här kan Master även hantera flera anslutningar mot andra Slaves. Detta är smidigare och bäst för fjärrsupport, då Slave inte behöver göra några som helst konfigureringar. Slave behöver bara exekvera servern som ansluter till sin master, och kontrolleringen kan påbörjas.

Referenser

1. ^ ”"Danger: Remote Access Trojans".”. Microsoft TechNet. 1 september 2002. https://technet.microsoft.com/en-us/library/dd632947.aspx. Läst 5 februari 2011.