恶意软件
远程访问木马(RAT)
别称: RAT, 远程访问工具(恶意)
定义
一种使攻击者能够隐蔽、交互式地控制受感染设备的恶意软件,类似于隐藏的远程管理工具。
远程访问木马(RAT)会在受害设备上安装隐蔽的后门,使操作者可以查看屏幕、执行命令、操作文件、记录按键、采集音视频以及向其他系统横向移动。与正规远程管理软件不同,RAT 是在未经同意的情况下被安装,并会努力规避检测。常见的传播渠道包括钓鱼附件、破解软件、路过式下载,或作为入侵后的后续载荷。RAT 被网络犯罪分子和国家背景攻击组织广泛使用。常见防御措施包括 EDR、应用程序白名单、出站流量过滤、对异常远控协议的监控,以及最小权限账户。
示例
- 在钓鱼活动中传播的 AsyncRAT 和 njRAT。
- DarkComet 历史上曾被用于监控活动人士和记者。