Remote Access Trojan (RAT) là một loại phần mềm độc hại, rất giống với những chương trình truy cập từ xa hợp pháp. Điểm khác biệt chính là RAT được cài đặt trên máy tính mà người dùng không hề hay biết. Hầu hết các chương trình truy cập từ xa hợp pháp được thực hiện cho mục đích hỗ trợ kỹ thuật và chia sẻ file, còn RAT được tạo ra để do thám, chiếm quyền điều khiển giám sát và kiểm soát máy tính hoặc mạng của nạn nhân nhằm phá hủy máy tính. RAT hoạt động như thế nào, tại sao tin tặc lại sử dụng chúng và làm thế nào để tránh phần mềm độc hại này?
Cách thức hoạt động của RAT
Người dùng đã rất quen với khái niệm truy cập vào máy tính từ xa, khi kích hoạt tính năng truy cập này, máy tính và máy chủ được ủy quyền có thể kiểm soát mọi thứ xảy ra trên PC của mình. Máy được ủy quyền có thể mở tài liệu, tải xuống phần mềm và làm mọi thứ trên màn hình trong thời gian thực.
Giống như hầu hết các phần mềm độc hại khác, RAT ẩn mình dưới các file trông có vẻ hợp pháp. Tin tặc có thể đính kèm RAT vào tài liệu trong email hoặc trong một gói phần mềm lớn, như video game. Quảng cáo và các trang web bất chính cũng có thể chứa RAT, nhưng hầu hết các trình duyệt đều có tính năng ngăn tải xuống tự động từ trang web hoặc thông báo cho người dùng khi phát hiện một trang web không an toàn.
Không giống như một số phần mềm độc hại và virus khác, có thể khó biết khi nào người dùng đã tải nhầm RAT xuống máy tính. RAT không làm chậm máy tính và tin tặc cũng không dễ dàng để người dùng phát hiện bằng việc xóa file hoặc lăn con trỏ quanh màn hình. Trong một số trường hợp, máy tính bị nhiễm RAT trong nhiều năm mà người dùng không hề biết điều đó. Nhưng tại sao RAT lại có khả năng ẩn nấp giỏi như vậy? Chúng hữu ích như thế nào đối với tin tặc?
Phạm vi hoạt động của RAT
Các virus máy tính được tạo ra với mục đích như Keylogger tự động ghi lại mọi thứ người dùng nhập, ransomware hạn chế quyền truy cập vào máy tính hoặc các file cho đến khi người dùng trả tiền chuộc và phần mềm quảng cáo đưa quảng cáo đáng ngờ vào máy tính để kiếm lợi…
Nhưng RAT rất đặc biệt, chúng cung cấp cho tin tặc quyền kiểm soát toàn diện, ẩn danh trên các máy tính bị nhiễm. Một hacker nắm trong tay RAT có thể làm bất cứ thứ gì, miễn là mục tiêu không nghi ngờ.
Trong hầu hết các trường hợp, RAT được sử dụng như spyware (phần mềm gián điệp). Một hacker có thể sử dụng RAT để đánh cắp keystroke (những tổ hợp phím mà người dùng nhấn trên bàn phím, chẳng hạn như khi nhập mật khẩu) và file từ máy tính bị nhiễm. Các keystroke và file này có thể chứa thông tin ngân hàng, mật khẩu, ảnh nhạy cảm hoặc những cuộc hội thoại riêng tư. Ngoài ra, tin tặc có thể sử dụng RAT để kích hoạt webcam hoặc micrô của máy tính một cách kín đáo. Việc bị theo dõi bởi một số kẻ ẩn danh khá khó chịu, nhưng cũng chưa là gì so với những gì một số tin tặc làm thông qua RAT.
Vì RAT cung cấp cho tin tặc quyền truy cập admin vào các máy tính bị nhiễm, nên hacker có thể tự do thay đổi hoặc tải xuống bất kỳ file nào. Có nghĩa là một hacker nắm trong tay RAT có thể xóa sạch ổ cứng, tải xuống nội dung bất hợp pháp từ Internet thông qua máy tính của nạn nhân hoặc cài đặt thêm phần mềm độc hại. Tin tặc cũng có thể điều khiển máy tính từ xa để thực hiện các hành động bất hợp pháp trực tuyến dưới danh nghĩa nạn nhân hoặc sử dụng mạng gia đình làm máy chủ proxy để thực hiện những tội ác ẩn danh.
Một hacker cũng có thể sử dụng RAT để kiểm soát mạng gia đình và tạo một mạng nguy hiểm cho máy tính (botnet). Về cơ bản, botnet cho phép tin tặc sử dụng tài nguyên máy tính cho những nhiệm vụ bất hợp pháp, như tấn công DDOS, đào Bitcoin, lưu trữ file... Đôi khi, kỹ thuật này được sử dụng bởi các nhóm tin tặc vì lợi ích của tội phạm mạng và tạo ra chiến tranh mạng. Một mạng botnet gồm có hàng ngàn máy tính có thể tạo ra rất nhiều Bitcoin hoặc phá hủy các mạng lớn (hoặc thậm chí là cả một quốc gia) thông qua những cuộc tấn công DDOS.
Cách phòng tránh RAT
Để phòng tránh RAT, người dùng không nên tải file từ những nguồn không tin tưởng. Không nên mở các file đính kèm email từ người lạ, không nên tải xuống những game hoặc phần mềm từ các trang web vui nhộn hay torrent file trừ khi chúng xuất phát từ một nguồn đáng tin cậy. Luôn cập nhật trình duyệt và hệ điều hành bằng các bản vá bảo mật.
RAT tìm đường đến máy tính từ spam email, phần mềm được lập trình độc hại hoặc chúng được đóng gói như một phần của một số phần mềm hoặc ứng dụng khác. Người dùng phải luôn luôn có một chương trình chống virus tốt được cài đặt trên máy tính để có thể phát hiện và loại bỏ RAT. Phát hiện RAT là một nhiệm vụ khá khó khăn vì chúng được cài đặt dưới một tên ngẫu nhiên có thể giống như bất kỳ ứng dụng phổ biến nào khác, vì vậy, cần có một chương trình Antivirus thực sự tốt để phòng tránh RAT.
Người dùng nên kích hoạt phần mềm diệt virus, Windows Defender được tích hợp trong PC là một phần mềm diệt virus hiệu quả, nhưng nếu cảm thấy cần một số biện pháp bảo mật bổ sung, thì có thể tải xuống một phần mềm diệt virus thương mại như Kaspersky hoặc Malwarebytes.
Tìm và tiêu diệt RAT
Nếu người dùng không nhận thấy bất kỳ hoạt động kỳ lạ nào trên máy tính hoặc không bị đánh cắp danh tính gần đây, thì có thể máy tính vẫn an toàn. Nhưng hãy thường xuyên kiểm tra máy tính để biết chắc rằng hệ thống không bị nhiễm RAT.
Hầu hết tin tặc đều sử dụng những RAT nổi tiếng (thay vì tự phát triển), nên phần mềm diệt virus là cách tốt nhất và dễ nhất để tìm và loại bỏ RAT khỏi máy tính. Kaspersky hoặc Malwarebytes có cơ sở dữ liệu RAT khá lớn và không ngừng mở rộng, vì vậy, người dùng không cần phải lo lắng về việc phần mềm diệt virus bị lỗi thời.
Nếu đã chạy chương trình diệt virus, nhưng vẫn lo rằng RAT có thể vẫn còn trên PC, thì hãy format lại máy tính. Đây là một biện pháp quyết liệt nhưng có tỷ lệ thành công 100%, loại bỏ hoàn toàn những phần mềm độc hại có thể đã ăn sâu vào firmware UEFI của máy tính. Các malware RAT mới chưa được phát hiện bởi phần mềm diệt virus mất rất nhiều thời gian để tạo và chúng thường được dành để “đối phó” với các tập đoàn lớn, người nổi tiếng, quan chức chính phủ và những người giàu có. Nếu phần mềm diệt virus không tìm thấy bất kỳ RAT nào, như vậy, hệ thống vẫn rất an toàn.
Nguyễn Minh Ngọc
Nguồn: TCNH chuyên đề THNH số 5/2019