TAHİR DİKMEN
22 Nisan 2020
48458 GörüntülenmeREMOTE ACCESS TROJAN
(RAT)
1) RAT nedir?
En kısa tanımıyla:
Bir cihazda (bilgisayar, telefon, tablet vb.) arka planda, cihaz sahibinin bilgisi dışında -gizlice- çalışan ve cihazın içindeki bilgilerin başka kişilerce 'yasa dışı bir şekilde' ele geçirilmesine veya cihazın yasa dışı işlemlerde kullanılmasına yardım eden trojan'ların genel ismidir.
2) RAT'lar bulaştığı bilgisayarda neler yapabilir?
➢ tarayıcıların geçmişine erişebilir.
➢ klavyede basılan tuşları kaydedebilir. (şifre vb.) (bkz. keylogger)
➢ kameraya erişebilir ve kayıt alabilir.
➢ ekran görüntüsüne erişebilir ve kayıt alabilir.
➢ web tarayıcılarındaki kayıtlı şifre/adres/form verilerine erişebilir.
➢ bilgisyarda bulunan tüm dosyalara erişebilir.
➢ bilgisayarın klavye ve faresine müdahale edebilir.
➢ bilgisyarı kullanılamaz hale getirebilir, kapatabilir, yeniden başlatabilir.
➢ program çalıştırabilir, web adresi açabilir.
➢ mikrofona erişebilir ve kayıt alabilir.
➢ windows kayıt defterine erişebilir.
➢ internet bağlantısı üzerinden yasa dışı işlem, dos saldırısı yapabilir.
➢ sohbet ekranı açarak, bilgisayar korsanı ile cihaz sahibi arasında iletişim kurabilir.
➢ mesaj kutusu ile ekrana mesaj bırakabilir.
➢ konum bilgisine erişebilir.
➢ cihaz ile aynı ağa bağlı bütün telefon, tablet, elektrikli ev aletlerine erişebilir. (ileri seviye RAT'larda bulunur)
gibi daha bir çok işlem yapabilir.
3) RAT'ları kimler kullanır?
RAT'lar, erişimi ve kullanımı kolay olan trojan yazılımlarıdır. Bulaşma şekli ve çalışma prensipleri dolayısıyla basit/orta düzey trojanlardır. Genellikle büyük yasa dışı işlemlerde kullanılmazlar, bilgisayar ile ilgilenen ve yasa dışı işlemlere meraklı olan genç kitle tarafından, öğrenmek veya eğlenmek amaçlı kullanılır fakat bu tür programların kullanımı tamamen yasa dışıdır. Bu trojanlar her ne kadar ileri düzey olmasada, herhangi bir cihaz/kişiye önemli ölçüde zarar verebilecek güçtedir.
4) RAT nasıl bulaşır?
Genellikle ücretli bilgisayar programlarını ücretsiz kullanmak için paylaşılan 'crack' adlı yazılımların veya oyunlar için kullanılan hile programlarının içine gizlenmekle birlikte; bir USB veya bir resim dosyası ile de bulaşabilmektedir.
5) RAT'ların çalışma prensibi nasıldır?
① Bu programı kullanan bir bilgisayar korsanı kendi cihazındaki yönetim programını çalıştırır.
② Kendi modeminde özel bir port açar. (örnek: 5570)
③ Yönetim programını kullanarak bilgisayarını tıpkı bir sunucuya çevirir.
④ Bağlantı, korsanın IP adresi üzerinden sağlandığı için; modemin yeniden başlatılması gibi durumlarda IP adresi sıfırlanınca bağlantı yolunun kaybolmasını engellemek için "DuckDNS" tarzı ücretsiz veya ücretli yazılımlar ile IP adresini bir alan adı gibi yaparak sabitler. (örnek: orneksabitip.duckdns.org)
⑤ Trojanın bulaştığı cihaz, p2p denilen eşler arası bağlantı yöntemiyle direkt korsanın açtığı sunucuya bağlanır ve bilgisayar korsanının yönetim programında bütün bilgileri gözükür. Bilgisayar korsanı bu aşamadan sonra istediği işlemleri kolayca yapabilir.
-örnek bir yönetim programı ekran fotoğrafı-
6) RAT'lardan nasıl korunabiliriz?
RAT'lardan korunmak için antivirüs yazılımları kullanılabilir. Çoğu antivirüs programı RAT gizlenmiş dosyaları tespit edebilmektedir. Bunun dışında kendimizi korumak için dikkat etmemiz gerekenler şunlardır:
》 güvensiz adreslerden dosya indirilmemelidir.
》 ücretli programlar, ücretsiz olarak kullanılmaya çalışılmamalı, benzeri başka ücretsiz uygulama bulunmalı veya resmi adresinden satın alınmalıdır.
》 internetten indirilen dosyalar, açılmadan önce antivirüs veya online dosya tarama siteleri (bkz. virustotal) ile taranmalıdır.
》 bilgisayarın başlangıcında çalışan programlar düzenli olarak kontrol edilmelidir.
》 dizüstü bilgisayarların, kameralı telefonların ve web kameralarının lensine bant vb. bir engel koyulmalı, kullanılmadıkça kapalı tutulmalıdır.
7) RAT'lar hangi programlama dili ile yazılır?
RAT'lar bir çok programlama dili ile yazılabilirken, en çok tercih edilenler şunlardır:
> VB.NET
> C#
> C++
