Vragen n.a.v. de docu RATs & Slaves

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • hyperdry
  • Registratie: Februari 2010
  • Laatst online: 26-01 14:52
Beste,

Gisteren heb ik de docu RATS & Slaves bekeken (YouTube: Gehackte computers kopen | Rats & Slaves | 3LAB DOCU) van Anthony van der Meer. Wat een aanrader voor de leek zoals ik! Voor mij toch wel even schrikken hoe gemakkelijk infecteren met RATs is en hoe onontdekbaar RATs zijn.

M.b.t. het infecteren zit ik nu met een paar vragen.

Vraag 1: RAT-infectie via dubieuze sites
Uit de docu is nu naar mij overgekomen dat je door een verkeerde website te bezoeken, de RAT zich al vanuit de browser kan installeren op je PC. Zonder dat jij daadwerkelijk een download vanaf die site uitvoert - bij wijze van spreke enkel door een blog te bezoeken, wat te lezen en rond te klikken. Is dat echt zo? Gaat dat echt zo makkelijk? Ik dacht dat ik altijd wel veilig was op dubieuze sites zolang ik daarvan maar geen bestanden download.

Vraag 2: RAT-infectie via getorrente bestanden
Deze manier van infectie, via torrent-bestanden (gecrackte programma's en keygens) begrijp ik veel beter, dat is veel intuïtiever. De hacker plaatst de RAT dan gewoon in het bestand, jij dubbelklikt expliciet op dat bestand om het uit te voeren en vervolgens krijgt jij zowel het programma dat je wilde als de RAT geïnstalleerd. Hierover heb ik dan ook weer vraag. Stel, hypothetisch, heb je één PC púúr voor torrent downloads. Echt een losse PC, geen VM. Je hebt daar verder geen bestanden en/of wachtwoorden etc op staan. Als je in die losse PC dan twee harde schijven hebt (C:/ en D:/) met op C:/ je OS, en je installeert een geïnfecteerd programma (bijv Photoshop) op D:/, komt de RAT dan terecht op C:/ of D:/? Stel de RAT komt dan standaard terecht op C:/ dan zou je dus geïnfecteerde setups kunnen installeren op die D:/-schijf, en die vervolgens weer veilig kunnen gebruiken in andere PC's. Of zie ik dat verkeerd? Nogmaals, puur hypothetisch. Ik ben met name even geïnteresseerd hoe dit werkt.

Bedankt!!

Acties:
  • 0 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 22:12
dubbel..

[ Voor 91% gewijzigd door HKLM_ op 01-12-2019 14:26 ]

Cloud ☁️


Acties:
  • 0 Henk 'm!

  • HKLM_
  • Registratie: Februari 2009
  • Laatst online: 22:12
Ik zou eens hier kijken: RAT's & Slaves Anthony van der Meer is/was daar zelf ook actief.

Cloud ☁️


Acties:
  • 0 Henk 'm!

  • CaiGil
  • Registratie: Februari 2019
  • Laatst online: 16-09-2020
Even snel antwoord op vraag 1, het antwoord is ja maar meestal moet je wel een bepaalde plugin/extensions geinstalleerd hebben staan waarin een lek is gevonden.

Acties:
  • 0 Henk 'm!

  • Rmg
  • Registratie: November 2003
  • Laatst online: 21:08

Rmg

Antwoord op vraag 2 is eigenlijk als je systeem eenmaal geïnfecteerd is dan is het niet meer te vertrouwen.

Het is een koud kunstje voor een rat of trojan om alle executables te zoeken, te hernoemen, zichzelf in de plaats te zetten en vervolgens als je denkt photoshop te starten eerst zichzelf te laden en dan de (hernoemde) photoshop executable


Als een kwaadaardig programma eenmaal toegang heeft tot je systeem is geen enkele schijf veilig, eigenlijk ook je netwerk schijven niet. (het een en ander afhankelijk van permissies en setup.)

Acties:
  • 0 Henk 'm!

  • Thralas
  • Registratie: December 2002
  • Laatst online: 00:15
CaiGil schreef op zondag 1 december 2019 @ 15:28:
Even snel antwoord op vraag 1, het antwoord is ja maar meestal moet je wel een bepaalde plugin/extensions geinstalleerd hebben staan waarin een lek is gevonden.
Waarop als aanvulling: een aantal jaar geleden had vrijwel iedereen nog een Adobe Reader, Java en Flash plugin geinstalleerd. Dat is waar het gros van de lekken in zat.

Tegenwoordig is dit allemaal deprecated of vervangen (en click-to-play) en is het risico hierop vrijwel nihil (terwijl je vroeger al uit moest kijken met de advertenties op nu.nl).

Tenzij je heel veel Bitcoins bezit...

Acties:
  • 0 Henk 'm!

  • hyperdry
  • Registratie: Februari 2010
  • Laatst online: 26-01 14:52
Bedankt voor de reacties en de verwijzing naar dat andere topic. Dat gezamenlijk maakt mij een en ander duidelijker.

Het identificeren van een RAT, als het zover is is dus wel een probleem. Zou het een idee zijn om een soort RAT-trap webcam te ontwikkelen? Ik zie voor me een USB device dat zich in het OS voordoet als webcam. Produceert enkel zwart beeld, dus net als een webcam met een tape erover. Maar, in de 'webcam' zit een processortje en een SD-kaartje waarop wordt gelogd wanneer de webcam aan en uit is gezet. Tevens wat LED-jes als indicators of het device afgelopen 2u/24u/7dagen is aangezet geweest. Belangrijk: het OS heeft geen toegang tot die SD-kaart. Of is dat dan weer zo snel achterhaald dat binnen een week elke nieuwe RAT-software weet dat jouw 'webcam' geen webcam is (dat vermoed ik - maar is dat dan weer te omzeilen met updates, dat je de 'webcam' elke dag laat voordoen als een andere bestaande webcam met een soort random walk)?
Pagina: 1