Comencé a intentar aumentar la seguridad de mi red en mi casa. Una cosa que me preocupa (porque otras personas en la casa siempre están descargando virus que vienen con juegos "gratuitos") son las RAT. En mi comprensión ignorante de cómo funcionan las RAT, básicamente hacen que descargues un 'servidor' al que se conecta un 'cliente' a través de un puerto que se abre en la máquina host. Sin embargo, si mi máquina host está detrás de un enrutador, ¿estoy seguro?
La comunicación entre la computadora va en ambos sentidos, por lo que puede haber dos casos:
Solo en los primeros días de la piratería, las RAT requerían la falta de firewall para que el controlador se conecte. Tome el famoso ejemplo de SubSeven: se instalaría la RAT y únase a un canal IRC que anuncie un puerto y una dirección IP. Si la víctima estaba detrás de un firewall, la máquina no podría ser manipulada, el hacker solo tendría un tiempo de espera de conexión.
Sin embargo, esos días han terminado. En estos días, las RAT suelen utilizar una conexión de cliente a un servidor de comando y control para actuar como intermediarios, evitando así la necesidad de tener un puerto abierto en un servidor. Todo lo que necesitan es acceso ilimitado a Internet.
En el marco de Metasploit, meterpreter puede configurarse para hacer esto de una manera muy simple a través de una conexión "reverse_tcp". En esencia, escuchas en algún puerto de Internet y la computadora infectada se conecta de nuevo al pirata informático.
Si el acceso a Internet está bloqueado en la computadora, digamos solo a http y https y no a otros puertos, el medidor de metro también puede hacer eso. Puede configurarse para conectarse de nuevo a su servidor de control mediante una sesión ActiveX bien formada a través de HTTP o HTTPS que incluso puede no hacer tropezar algunos sistemas de detección de intrusos. Esta es la punta del iceberg para ofuscar conexiones de control y comando.
Tenga en cuenta que es posible configurar un puerto entrante abierto con una RAT a través de UPnP, pero esto no es confiable (ya que muchos enrutadores no admiten o tienen habilitado UPnP) y no es un método común.
Aunque otra máquina infectada con malware en su red que está siendo procesada por un atacante no puede "solo RAT", puede intentar que su máquina instale el mismo malware para realizar la tarea de RAT.
El malware Zeus/SpyEye/Citadel etc y similares generalmente tienen capacidades de proxy (SOCKS4-5) / RAT / ftp-backconnect como estándar, y pueden "girar" el tráfico / ataque de los atacantes a través de las plataformas infectadas para atacar su máquina.
So.....
1) Install local firewall/AV (the standard measures)
2) Keep your applications! & Operating system up 2 date, its very important to also update your applications while you update your OS.
3) Only install apps from locations you trust.
4) On a extreme note, stop/uninstall services or applications that you dont use, this reduces your attack surface.
Buena suerte.
Lea otras preguntas en las etiquetas network penetration-test