Uzaktan Erişim Truva Atları^{(Remote Access Trojans)} ( RAT ), konu bir bilgisayarı ele geçirmek veya sadece bir arkadaşla şaka yapmak söz konusu olduğunda bu dünya için her zaman büyük bir risk olduğunu kanıtlamıştır. RAT , operatörün bir bilgisayara saldırmasına ve ona yetkisiz uzaktan erişim sağlamasına izin veren kötü amaçlı yazılımdır. RAT'ler^(RATs) yıllardır buradalar ve bazı RAT'leri bulmak, oradaki modern ^(RATs)Antivirüs^(Antivirus) yazılımı için bile zor bir iş olduğundan ısrar ediyorlar.

Bu yazıda, Uzaktan Erişim Truva Atı'nın^{(Access Trojan)} ne olduğunu göreceğiz ve mevcut algılama ve kaldırma tekniklerinden bahsedeceğiz. Ayrıca kısaca CyberGate , DarkComet , Optix , Shark , Havex , ComRat ,  VorteX Rat , Sakula ve KjW0rm gibi bazı yaygın RAT'ları^(RATs) da açıklar .

Uzaktan Erişim Truva Atları Nedir?

Uzaktan Erişim Truva Atı'nın^{(Remote Access Trojan)} çoğu , sizi hiçbir yere götürmeyen kötü amaçlı e-postalar, yetkisiz programlar ve web bağlantılarıyla indirilir. RAT'ler , ^(RATs)Keylogger programları gibi basit değildir – saldırgana aşağıdakiler gibi birçok yetenek sağlarlar:

• Keylogging : Tuş vuruşlarınız izlenebilir ve kullanıcı adları, şifreler ve diğer hassas bilgiler bundan kurtarılabilir.
• Ekran Yakalama^{(Screen Capture)} : Bilgisayarınızda neler olduğunu görmek için ekran görüntüleri alınabilir.
• Donanım Medya Yakalama^{(Hardware Media Capture)} : RAT'ler, sizi ve çevrenizi gizliliği tamamen ihlal ederek kaydetmek için web kameranıza ve mikrofonunuza erişebilir.
• Yönetim Hakları^{(Administration Rights)} : Saldırgan, izniniz olmadan herhangi bir ayarı değiştirebilir, kayıt defteri değerlerini değiştirebilir ve bilgisayarınızda çok daha fazlasını yapabilir. RAT , saldırgana yönetici düzeyinde ayrıcalıklar sağlayabilir.
• Hız^{(Overclocking)} aşırtma : Saldırgan işlemci hızlarını artırabilir, sistemi hızlandırmak donanım bileşenlerine zarar verebilir ve sonunda onları küle çevirebilir.
• Diğer sisteme özel yetenekler^{(Other system-specific capabilitie)} : Saldırgan, bilgisayarınızdaki her şeye, dosyalarınıza, şifrelerinize, sohbetlerinize ve herhangi bir şeye erişebilir.

Uzaktan Erişim Truva Atları nasıl çalışır?

Uzaktan Erişim ^{(Remote Access)} Truva Atları^(Trojans) , sunucunun kurban bilgisayarına gizlice yüklendiği bir sunucu-istemci yapılandırmasında gelir ve istemci, bir GUI veya bir komut arabirimi aracılığıyla kurban bilgisayarına erişmek için kullanılabilir. Sunucu ile istemci arasında belirli bir bağlantı noktasında bir bağlantı açılır ve sunucu ile istemci arasında şifreli veya düz iletişim gerçekleşebilir. Ağ ve gönderilen/alınan paketler düzgün bir şekilde izlenirse, RAT'ler^(RATs) tanımlanabilir ve kaldırılabilir.

RAT saldırısı Önleme

RAT'ler^(RATs) bilgisayarlara istenmeyen e-postalardan^{(spam emails)} , kötü amaçlı programlanmış yazılımlardan gelir veya başka bir yazılım veya uygulamanın parçası olarak paketlenir. Bilgisayarınızda her zaman RAT'leri^(RATs) algılayıp ortadan kaldırabilecek iyi bir virüsten koruma programı yüklü olmalıdır . RAT'leri tespit etmek^(RATs) , diğer yaygın uygulamalara benzeyen rastgele bir ad altında yüklendikleri için oldukça zor bir iştir ve bunun için gerçekten iyi bir Antivirüs^(Antivirus) programına sahip olmanız gerekir.

Ağınızı izlemek,^{(Monitoring your network)} kişisel verilerinizi internet üzerinden gönderen herhangi bir Truva^(Trojan) atını tespit etmenin iyi bir yolu olabilir .

Uzaktan Yönetim Araçları^{(Remote Administration Tools)} kullanmıyorsanız , bilgisayarınıza Uzaktan Yardım bağlantılarını devre dışı bırakın. ^{(disable Remote Assistance connections)}Ayarı, SystemProperties > Remote sekmesinde > Uncheck Bu bilgisayara Uzaktan Yardım bağlantılarına izin ver^{(Allow Remote Assistance connections to this computer)} seçeneğinin işaretini kaldırın .

İşletim sisteminizi, kurulu yazılımlarınızı ve özellikle güvenlik programlarınızı her zaman güncel^{(security programs updated)} tutun . Ayrıca, güvenmediğiniz ve bilinmeyen bir kaynaktan gelen e-postalara tıklamamaya çalışın. Resmi web sitesi veya aynası dışındaki kaynaklardan herhangi bir yazılım indirmeyin.

RAT saldırısından sonra

Saldırıya uğradığınızı öğrendikten sonra, ilk adım, bağlıysanız sisteminizin İnternet^(Internet) ve Ağ bağlantısını kesmektir. ^(Network)Tüm parolalarınızı ve diğer hassas bilgilerinizi değiştirin^(Change) ve başka bir temiz bilgisayar kullanılarak hesaplarınızdan herhangi birinin güvenliğinin ihlal edilip edilmediğini kontrol edin. Banka hesaplarınızda herhangi bir dolandırıcılık işlemi olup olmadığını kontrol edin ve bilgisayarınızdaki Truva Atı^(Trojan) hakkında derhal bankanızı bilgilendirin . Ardından bilgisayarı sorunlar için tarayın ve RAT'ı^(RAT) kaldırmak için profesyonel yardım alın . 80^{(Port 80)} numaralı bağlantı noktasını kapatmayı düşünün . Tüm Bağlantı Noktalarınızı kontrol etmek için bir Güvenlik Duvarı Bağlantı Noktası Tarayıcısı kullanın.

Geriye dönüp saldırının arkasında kimin olduğunu öğrenmeye bile çalışabilirsiniz, ancak bunun için profesyonel yardıma ihtiyacınız olacak. RAT'ler genellikle algılandıktan sonra kaldırılabilir veya tamamen kaldırmak için yeni bir Windows yüklemesine sahip olabilirsiniz.^(Windows)

Yaygın Uzaktan Erişim Truva Atları

Birçok Uzaktan Erişim ^{(Remote Access)} Truva Atı^(Trojans) şu anda aktif ve milyonlarca cihaza bulaşıyor. En ünlüleri bu makalede burada tartışılmaktadır:

1. Sub7 : NetBus'un^(NetBus) (eski bir RAT ) geriye doğru yazılmasıyla türetilen 'Sub7' , ana bilgisayar üzerinde kontrol sahibi olmanızı sağlayan ücretsiz bir uzaktan yönetim aracıdır. Araç, güvenlik uzmanları tarafından Truva atları olarak sınıflandırılmıştır ve bilgisayarınızda bulunması potansiyel olarak riskli olabilir.
2. Back Orifice : Back Orifice ve halefi Back Orifice 2000 , başlangıçta uzaktan yönetim için tasarlanmış ücretsiz bir araçtır - ancak aracın bir Uzaktan ^{(Back Orifice 2000)}Erişim Truva Atı'na^{(Access Trojan)} dönüştürülmesi zaman almadı . Bu aracın bir Truva Atı^(Trojan) olduğu konusunda bir tartışma var , ancak geliştiriciler, bunun uzaktan yönetim erişimi sağlayan meşru bir araç olduğu gerçeğine dayanıyor. Program artık çoğu antivirüs programı tarafından kötü amaçlı yazılım olarak tanımlanıyor.
3. DarkComet : Potansiyel olarak casusluk için kullanılabilecek birçok özelliğe sahip çok genişletilebilir bir uzaktan yönetim aracıdır. Aracın ayrıca, Hükümetin^(Government) bu aracı sivilleri gözetlemek için kullandığının bildirildiği Suriye İç Savaşı ile de bağlantıları vardır. ^{(Civil War)}Araç zaten çok fazla kötüye kullanıldı ve geliştiriciler daha fazla geliştirmeyi durdurdu.
4. sharK : Gelişmiş bir uzaktan yönetim aracıdır. Yeni başlayanlar ve amatör bilgisayar korsanları için tasarlanmamıştır. Güvenlik uzmanları ve ileri düzey kullanıcılar için bir araç olduğu söyleniyor.
5. Havex : Bu truva atı endüstriyel sektöre karşı yaygın olarak kullanılmaktadır. Herhangi bir Endüstriyel Kontrol Sisteminin^{(Industrial Control System)} varlığı da dahil olmak üzere bilgileri toplar ve ardından aynı bilgileri uzak web sitelerine iletir.
6. Sakula : Seçtiğiniz bir yükleyiciyle gelen bir uzaktan erişim Truva Atı . ^(Trojan)Bilgisayarınıza bir araç yüklediğini ancak kötü amaçlı yazılımı da onunla birlikte yüklediğini gösterecektir.
7. KjW0rm : Bu Truva Atı^(Trojan) pek çok yetenekle birlikte gelir, ancak birçok Antivirüs^(Antivirus) aracı tarafından zaten bir tehdit olarak işaretlenmiştir.

Bu Uzaktan Erişim Truva Atı^{(Remote Access Trojan)} , birçok bilgisayar korsanının milyonlarca bilgisayarı ele geçirmesine yardımcı oldu. Bu araçlara karşı korumaya sahip olmak bir zorunluluktur ve bu Truva atlarının bilgisayarınızı tehlikeye atmasını önlemek için tüm gereken uyarı kullanıcılı iyi bir güvenlik programıdır.

Bu gönderi, RAT'ler^(RATs) hakkında bilgilendirici bir makaledir ve hiçbir şekilde kullanımlarını teşvik etmez. Her halükarda ülkenizde bu tür araçların kullanımıyla ilgili bazı yasal yasalar olabilir.

Uzaktan Yönetim Araçları^{(Remote Administration Tools)} hakkında daha fazla bilgiyi buradan okuyun.

What is Remote Access Trojan? Prevention, Detection & Removal

Remote Access Trojans (RAT) have always proved to be a big risk to this world when it comes to hijacking a computer or just playing a prank with a friend. A RAT is malicious software that lets the operator attack a computer and gain unauthorized remote access to it. RATs have been here for years, and they persist as finding some RATs is a difficult task even for the modern Antivirus software out there.

In this post, we will see what is Remote Access Trojan and talks about detection & removal techniques available. It also explains, in short, some of the common RATs like CyberGate, DarkComet, Optix, Shark, Havex, ComRat, VorteX Rat, Sakula and KjW0rm.

What are Remote Access Trojans

Most of the Remote Access Trojan are downloaded in malicious emails, unauthorized programs and web links that take you nowhere. RATs are not simple like Keylogger programs – they provide the attacker with a lot of capabilities such as:

• Keylogging: Your keystrokes could be monitored, and usernames, passwords, and other sensitive information could be recovered from it.
• Screen Capture: Screenshots can be obtained to see what is going on your computer.
• Hardware Media Capture: RATs can take access to your webcam and mic to record you and your surroundings completely violating privacy.
• Administration Rights: The attacker may change any settings, modify registry values and do a lot more to your computer without your permission. RAT can provide an administrator-level privileges to the attacker.
• Overclocking: The attacker may increase processor speeds, overclocking the system can harm the hardware components and eventually burn them to ashes.
• Other system-specific capabilities: Attacker can have access to anything on your computer, your files, passwords, chats and just anything.

How do Remote Access Trojans work

Remote Access Trojans come in a server-client configuration where the server is covertly installed on the victim PC, and the client can be used to access the victim PC through a GUI or a command interface. A link between server and client is opened on a specific port, and encrypted or plain communication can happen between the server and the client. If the network and packets sent/received are monitored properly, RATs can be identified and removed.

RAT attack Prevention

RATs make their way to computers from spam emails, maliciously programmed software or they come packed as a part of some other software or application. You must always have a good antivirus program installed on your computer that can detect and eliminate RATs. Detecting RATs is quite a difficult task as they are installed under a random name that may seem like any other common application, and so you need to have a really good Antivirus program for that.

Monitoring your network can also be a good way to detect any Trojan sending your personal data over the internet.

If you don’t use Remote Administration Tools, disable Remote Assistance connections to your computer. You will get the setting in SystemProperties > Remote tab > Uncheck Allow Remote Assistance connections to this computer option.

Keep your operating system, installed software and particularly security programs updated at all times. Also, try not to click on emails that you don’t trust and are from an unknown source. Do not download any software from sources other than its official website or mirror.

After the RAT attack

Once you know you’ve been attacked, the first step is to disconnect your system from the Internet and the Network if you are connected. Change all your passwords and other sensitive information and check if any of your accounts has been compromised using another clean computer. Check your bank accounts for any fraudulent transactions and immediately inform your bank about the Trojan in your computer. Then scan the computer for issues and seek professional help for removing the RAT. Consider closing Port 80. Use a Firewall Port Scanner to check all your Ports.

You can even try to back-track and know who was behind the attack, but you’ll need professional help for that. RATs can usually be removed once they are detected, or you can have a fresh installation of Windows to completely remove it off.

Common Remote Access Trojans

Many Remote Access Trojans are currently active now and infecting millions of devices. The most notorious ones are discussed here in this article:

1. Sub7: ‘Sub7’ derived by spelling NetBus (an older RAT) backward is a free remote administration tool that lets you have control over the host PC. The tool has been categorized into Trojans by security experts, and it can be potentially risky to have it on your computer.
2. Back Orifice: Back Orifice and its successor Back Orifice 2000 is a free tool that was originally meant for remote administration – but it didn’t take the time that the tool got converted into a Remote Access Trojan. There has been a controversy that this tool is a Trojan, but developers stand upon the fact that it is a legitimate tool that provides remote administration access. The program is now identified as malware by most of antivirus programs.
3. DarkComet: It is a very extensible remote administration tool with a lot of features that could be potentially used for spying. The tool also has its links with the Syrian Civil War where it is reported that the Government used this tool to spy on civilians. The tool has already been misused a lot, and the developers have stopped its further development.
4. sharK: It is an advanced remote administration tool. Not meant for beginners and amateur hackers. It is said to be a tool for security professionals and advanced users.
5. Havex: This trojan has been extensively used against the industrial sector. It collects information including the presence of any Industrial Control System and then passes on the same information to remote websites.
6. Sakula: A remote access Trojan that comes in an installer of your choice. It will depict that it is installing some tool on your computer but will install the malware along with it.
7. KjW0rm: This Trojan comes packed with a lot of capabilities but already marked as a threat by many Antivirus tools.

These Remote Access Trojan have helped many hackers compromise millions of computers. Having protection against these tools is a must, and a good security program with an alert user is all it takes to prevent these Trojans from compromising your computer.

This post was meant to be an informative article about RATs and does not in any way promote their usage. There may be some legal laws about the usage of such tools in your country, in any case.

Read more about Remote Administration Tools here.

Related posts

• DLL Hijacking Vulnerability Attacks, Prevention & Detection

• Uzaktan Administration Tools: Riskler, Threats, Prevention

• Bundleware: Tanım, Prevention, Removal Guide

• Browser Hijacking and Free Browser Hijacker Removal Tools

• Specific Virus Windows 11/10'te Specific Virus'yi kaldırmak için ücretsiz Malware Removal Tools

• Bilgisayarınıza Uzaktan Erişim için Ücretsiz Dinamik DNS Nasıl Kurulur

• TeamViewer: Ücretsiz Remote Access and Control software

• Bilgisayarınızın ASUS Update Malware tarafından enfekte olup olmadığını kontrol edin

• Bilgisayarınızı Thunderspy attack'e karşı korumak için ipuçları

• Virus Alert Microsoft'ten Windows PC'den nasıl kaldırılır?

• Fileless Malware Attacks, Protection and Detection

• Chrome Malware Scanner çalıştırırken Fix Search başarısız hatası

• Chromium Virus Windows 11/10'dan nasıl kaldırılır

• Rogue Security Software or Scareware: Nasıl önlemek, kaldır kontrol etmek?

• Phishing Scams and Attacks Nasıl Kaçınılır?

• 26 En İyi Ücretsiz Kötü Amaçlı Yazılım Temizleme Aracı

• Remote Access Client Account Lockout'yi Windows Server'de yapılandırın

• Windows 10 kötü amaçlı yazılımlar için Registry nasıl kontrol edilir

• Prevent Drive-by İndirme ve ilgili kötü amaçlı yazılım saldırıları

• Windows'den güvenli bir şekilde kaldırmak için IDP.Generic and How nedir?