RAT

Een RAT, ofwel Remote Access Trojan, is een type kwaadaardige software dat een aanvaller de mogelijkheid geeft om op afstand volledige controle te krijgen over het geïnfecteerde apparaat. De naam verwijst naar het trojaans paard uit de Griekse mythologie: net als het houten paard vermomt een RAT zich als onschuldig bestand of programma om toegang te krijgen tot een systeem. Eenmaal geïnstalleerd opent de RAT een verborgen verbinding waardoor de aanvaller het apparaat kan bedienen alsof hij er fysiek achter zit.

RAT's behoren tot de meest veelzijdige en gevaarlijke vormen van malware. Waar andere malwaresoorten doorgaans een specifiek doel hebben, zoals het versleutelen van bestanden bij ransomware of het stelen van toetsaanslagen bij een keylogger, biedt een RAT de aanvaller onbeperkte mogelijkheden. Ze kunnen bestanden bekijken, kopiëren en verwijderen, de webcam en microfoon activeren, toetsaanslagen vastleggen, screenshots maken en het apparaat gebruiken als springplank voor verdere aanvallen op het netwerk.

RAT's worden ingezet door zowel cybercriminelen als statelijke actoren. Bij cyberspionagecampagnes worden geavanceerde RAT's gebruikt om langdurig onopgemerkt aanwezig te blijven in netwerken van doelwitten. Cybercriminelen gebruiken RAT's voor het stelen van bankgegevens, het opbouwen van botnets of het plegen van identiteitsfraude. De markt voor RAT's is actief op het darkweb, waar kant-en-klare RAT's beschikbaar zijn voor enkele tientallen euro's, waardoor ook minder technisch onderlegde criminelen deze krachtige tools kunnen inzetten.

Hoe werkt een RAT?

Een RAT bestaat uit twee componenten: een client (de malware die op het apparaat van het slachtoffer wordt geïnstalleerd) en een server (de besturingssoftware die de aanvaller gebruikt). Zodra de client is geïnstalleerd, maakt deze verbinding met de server van de aanvaller via een open TCP-poort of via versleutelde communicatiekanalen. Moderne RAT's gebruiken vaak HTTPS-verkeer of communiceren via legitieme diensten zoals social media of cloudopslag om detectie te bemoeilijken.

De installatie van een RAT vindt meestal plaats via social engineering. Het slachtoffer ontvangt een e-mail met een besmette bijlage die eruitziet als een factuur, sollicitatie of ander onschuldig document. Bij het openen wordt de RAT op de achtergrond geïnstalleerd zonder dat het slachtoffer iets merkt. Andere verspreidingsmethoden zijn drive-by downloads via gecompromitteerde websites, exploits in ongepatchte software of bundeling met illegaal gedownloade software en games.

Na installatie registreert de RAT zichzelf in het systeem om opnieuw te starten na een herstart van het apparaat (persistentie). De malware kan zichzelf verbergen door procesnamen te gebruiken die lijken op legitieme systeemprocessen, rootkit-technieken toe te passen om onzichtbaar te blijven voor beveiligingssoftware, of zichzelf te injecteren in bestaande vertrouwde processen. Geavanceerde RAT's kunnen hun eigen code wijzigen (polymorfisme) om detectie door antivirussoftware te vermijden.

Via de command-and-control verbinding ontvangt de RAT instructies van de aanvaller. Deze instructies kunnen bestaan uit het maken van screenshots, het activeren van de webcam, het downloaden van aanvullende malware, het verzamelen van opgeslagen wachtwoorden, het onderscheppen van netwerkverkeer of het uitvoeren van willekeurige commando's op het besturingssysteem. De veelzijdigheid van deze mogelijkheden maakt RAT's tot een van de krachtigste instrumenten in het arsenaal van cybercriminelen.

Hoe herken je een RAT?

RAT's zijn ontworpen om verborgen te blijven, maar er zijn signalen die kunnen wijzen op een infectie. Let op onverklaarbare prestatieproblemen van je computer: als je systeem plotseling trager is, de ventilator vaker draait of het geheugengebruik onverklaarbaar hoog is, kan dit duiden op malware die op de achtergrond actief is. Dit geldt vooral als deze problemen optreden wanneer je het apparaat nauwelijks gebruikt.

Verdachte netwerkactiviteit is een belangrijk signaal. Een RAT communiceert regelmatig met de server van de aanvaller, wat resulteert in onverklaarbaar uitgaand netwerkverkeer. Gebruik een netwerkmonitor om te controleren welke processen verbindingen maken met externe servers. Onbekende verbindingen naar buitenlandse IP-adressen, vooral op ongebruikelijke poorten, zijn verdacht en verdienen nader onderzoek.

Let op ongewone activiteit van je webcam of microfoon. Als het lampje van je webcam brandt terwijl je geen videogesprek voert, kan een RAT je camera hebben geactiveerd. Controleer ook of er onbekende programma's draaien in je taakbeheer. RAT's verbergen zich soms achter namen die lijken op Windows-systeemprocessen, maar subtiele spelfouten of ongebruikelijke bestandslocaties kunnen de vermomming verraden.

Antivirussoftware detecteert niet alle RAT's, maar regelmatige volledige scans verhogen de kans op detectie. Gebruik aanvullende tools zoals Endpoint Detection and Response (EDR)-software die gedragsanalyse toepast. EDR kijkt niet alleen naar bekende malware-handtekeningen, maar analyseert het gedrag van processen en kan verdachte activiteiten detecteren die wijzen op een RAT, zoals het onverwacht activeren van de camera of het uploaden van bestanden naar een onbekende server.

Hoe bescherm je je tegen een RAT?

De fundamentele bescherming tegen RAT's begint bij het voorkomen van de initiële infectie. Open nooit bijlagen of klik nooit op links in e-mails van onbekende afzenders. Wees ook voorzichtig met bijlagen van bekende afzenders als het bericht onverwacht is, want hun account kan zijn gecompromitteerd. Download software alleen van officiële bronnen en vermijd illegale downloads, die regelmatig gebundeld worden met RAT's en andere malware.

Houd je besturingssysteem, browser en alle software up-to-date. Beveiligingsupdates dichten kwetsbaarheden die door RAT's kunnen worden misbruikt voor installatie via drive-by downloads of exploits. Gebruik een firewall die zowel inkomend als uitgaand verkeer controleert. Een firewall die uitgaand verkeer monitort kan de communicatie tussen een RAT en de server van de aanvaller detecteren en blokkeren.

Installeer betrouwbare beveiligingssoftware en houd deze up-to-date. Kies voor een oplossing die real-time bescherming, gedragsanalyse en heuristische detectie combineert. Traditionele detectie op basis van handtekeningen alleen is onvoldoende tegen nieuwe of aangepaste RAT's. Overweeg daarnaast het gebruik van applicatie-whitelisting, waarbij alleen goedgekeurde programma's mogen draaien op je systeem.

Plak fysiek je webcam af wanneer je deze niet gebruikt. Dit is een eenvoudige maar effectieve maatregel die voorkomt dat een RAT je via de camera kan bespioneren. Gebruik tweefactorauthenticatie voor al je accounts, zodat gestolen inloggegevens via een RAT niet direct bruikbaar zijn. Voor organisaties is netwerksegmentatie essentieel: als een werkstation geïnfecteerd raakt, beperkt segmentatie de toegang die de aanvaller via de RAT kan verkrijgen tot de rest van het netwerk.

Veelgestelde vragen

Wat is het verschil tussen een RAT en een trojan?

Een trojan is de overkoepelende categorie voor malware die zich voordoet als legitieme software. Een RAT is een specifiek type trojan dat zich richt op het bieden van afstandsbediening aan de aanvaller. Niet alle trojans zijn RAT's: sommige trojans zijn ontworpen om data te stelen of andere malware te installeren zonder de uitgebreide afstandsbedieningsmogelijkheden van een RAT.

Kan een RAT mijn telefoon infecteren?

Ja, er bestaan RAT's voor zowel Android als iOS. Mobiele RAT's kunnen sms-berichten lezen, telefoongesprekken opnemen, de camera activeren, locatiegegevens verzamelen en berichten van messaging-apps onderscheppen. Installeer apps alleen via officiële appstores en wees voorzichtig met het verlenen van machtigingen aan apps.

Hoe verwijder je een RAT van je computer?

Start je computer op in veilige modus en voer een volledige scan uit met up-to-date antivirussoftware. Gebruik aanvullende anti-malware tools voor een tweede mening. In ernstige gevallen is het veiliger om het besturingssysteem volledig opnieuw te installeren, omdat geavanceerde RAT's rootkit-technieken gebruiken die moeilijk volledig te verwijderen zijn.

Zijn RAT's legaal?

Het ontwikkelen en bezitten van remote access software is op zichzelf niet illegaal. Veel legitieme programma's voor systeembeheer op afstand gebruiken vergelijkbare technologie. Het ongeautoriseerd installeren van een RAT op andermans systeem is echter strafbaar onder de Nederlandse Wet Computercriminaliteit, ongeacht het doel.

Hoeveel kosten RAT's op het darkweb?

Kant-en-klare RAT's zijn beschikbaar vanaf enkele tientallen euro's. Geavanceerde varianten met extra functies zoals cryptomining, DDoS-mogelijkheden of ingebouwde exploit-kits kosten honderden tot duizenden euro's. Sommige worden aangeboden als Malware-as-a-Service met maandelijkse abonnementen en klantenservice.

Wil je je organisatie beschermen tegen RAT's en andere malware? Vergelijk endpoint security oplossingen via cybersecurity vergelijken op IBgidsNL.