Solo en los primeros días de la piratería, las RAT requerían la falta de firewall para que el controlador se conecte. Tome el famoso ejemplo de SubSeven: se instalaría la RAT y únase a un canal IRC que anuncie un puerto y una dirección IP. Si la víctima estaba detrás de un firewall, la máquina no podría ser manipulada, el hacker solo tendría un tiempo de espera de conexión.
Sin embargo, esos días han terminado. En estos días, las RAT suelen utilizar una conexión de cliente a un servidor de comando y control para actuar como intermediarios, evitando así la necesidad de tener un puerto abierto en un servidor. Todo lo que necesitan es acceso ilimitado a Internet.
En el marco de Metasploit, meterpreter puede configurarse para hacer esto de una manera muy simple a través de una conexión "reverse_tcp". En esencia, escuchas en algún puerto de Internet y la computadora infectada se conecta de nuevo al pirata informático.
Si el acceso a Internet está bloqueado en la computadora, digamos solo a http y https y no a otros puertos, el medidor de metro también puede hacer eso. Puede configurarse para conectarse de nuevo a su servidor de control mediante una sesión ActiveX bien formada a través de HTTP o HTTPS que incluso puede no hacer tropezar algunos sistemas de detección de intrusos. Esta es la punta del iceberg para ofuscar conexiones de control y comando.
Tenga en cuenta que es posible configurar un puerto entrante abierto con una RAT a través de UPnP, pero esto no es confiable (ya que muchos enrutadores no admiten o tienen habilitado UPnP) y no es un método común.