Vectra meldet Erfolg: Ermittlern gelang Schlag gegen RAT-Betreiber

Effektive Erkennung des „Imminent Monitor Remote Access Trojan“ im Netzwerk durch Maschinelles Lernen

[datensicherheit.de, 04.12.2019] Vectra meldet, dass als Ergebnis einer internationalen Ermittlung gegen Verkäufer und Benutzer von „Imminent Monitor Remote Access Trojan“ (IM-RAT) das Hosting dieses Hacking-Tools nun abgeschaltet worden sei. Das RAT-Tool habe Cyber-Kriminellen die vollständige Fernsteuerung des Computers eines Opfers ermöglicht.

IM-RAT kann von Käufern nicht mehr verwendet werden

An der von der australischen Bundespolizei (AFP) geleiteten Operation, deren internationale Aktivitäten von Europol und Eurojust demnach koordiniert wurden, waren laut Vectra „zahlreiche Justiz- und Strafverfolgungsbehörden in Europa, Kolumbien und Australien beteiligt“.
Im Zuge der Ermittlungen sei die Verfügbarkeit dieses Instruments beendet worden, „das zuvor bereits in 124 Ländern eingesetzt und an mehr als 14.500 Käufer verkauft worden war“. IM-RAT könne damit von den Käufern nicht mehr verwendet werden.

Netzwerke von 90 Prozent befragter Unternehmen weisen Form bösartigen RDP-Verhaltens auf

„Remote Access Trojaner (RATs) zählen zu einer Reihe von Angriffstools, die in fremde Systeme, Daten und Privatsphären eindringen. Angesichts eines regen legitimen Fernzugriffs über Netzwerke und Hosts hinweg gibt es für RATs viele Möglichkeiten, unentdeckt zu operieren, da sie sich gut verstecken können“, erläutert Andreas Müller, „Director DACH“ bei Vectra.
Es sei zwar erfreulich, dass die Strafverfolgungsbehörden den Verkauf und die Nutzung von RATs durch Kriminelle stoppten, „wobei die Wege und Dienste, die RATs nutzen, für viele Unternehmen offenbleiben und schwer zu überwachen sind“. Es gebe Signaturen für die gängigsten RATs, aber erfahrene Angreifer könnten RATs leicht anpassen oder ihre eigenen RATs mit gängigen Remote-Desktop-Tools wie RDP erstellen. „Dies wurde durch eine kürzlich durchgeführte Analyse von Live-Unternehmensnetzwerken bestätigt, die ergab, dass die Netzwerke von 90 Prozent der befragten Unternehmen eine Form von bösartigem RDP-Verhalten aufweisen“, so Müller.

Modelle des Maschinellen Lernens zum Einsatz gekommen

Bei den Ermittlungen seien Modelle des Maschinellen Lernens zum Einsatz gekommen, „die entwickelt wurden, um das einzigartige Verhalten von RATs zu identifizieren“. Diese Art der Verhaltenserkennung sei effektiver, anstatt zu versuchen, die Signatur jeder RATs perfekt mit dem Fingerabdruck zu erfassen.
Durch die Analyse einer großen Anzahl von RATs könne ein überwachtes Maschinelles Lernmodell eben lernen, „wie sich der Verkehr dieser Tools vom normalen legitimen Fernzugriffsverkehr unterscheidet“. Müller erläutert: „Auf diese Weise lässt sich RAT-typisches Verhalten ohne vorherige Kenntnis des Angriffs oder des individuellen RAT-Codes erkennen.“

Weitere Informationen zum Thema:

VECTRA
INDUSTRY RESEARCH / 2019 Spotlight Report on RDP

datensicherheit.de, 20.04.2017
Cardinal RAT: Aktive Malware zwei Jahre unentdeckt

datensicherheit.de, 16.08.2016
RAT-Trojaner Orcus beliebt bei Cyber-Kriminellen