El declive de los RAT

Como todo en esta vida las modas van y vienen y parece que la moda de los RAT se fue. Para quien no los conozca, las siglas RAT responden a Remote Administration Tool, aunque a cualquiera que le preguntemos dirá que más que para administrar equipos remotamente sirve para espiar a vecinos, amigos y enemigos.

Se trata de programas para generar pequeños virus que una vez infectan un equipo permiten controlar remotamente el ordenador de la víctima permitiendo robar contraseñas, hacen las funciones de keylogger, pueden cargar o descargar ficheros, matar procesos, gastar bromas, grabar webcams, ver escritorios remotos, etc.

Su popularidad vino motivada en gran parte por su facilidad de uso ya que no son necesarios conocimientos avanzados de informática más allá de saber algo de inglés, saber que es una IP y poco más, lo cual provocó que muchos script kiddies se lanzaran a la caza de equipos para infectar. A pesar de su sencillez de uso los usuarios medios pueden llegar a conseguir un parque de equipos infectados decente y usable ya que disponen de opciones avanzadas como la gestión de equipos infectados desde IRC, ocultar el proceso en otros procesos o servicios del sistema, o camuflar el fichero ejecutable dentro de fotos o ficheros ofimáticos.

Por suerte los RAT no utilizan técnicas novedosas de infección por lo que sigue siendo necesario que el usuario ejecute un fichero para quedar infectado así que la mayoría de antivirus nos protegerán de este tipo de software, especialmente de los más conocidos, aunque como siempre, la mejor defensa contra los virus seguirá siendo el sentido común y sospechar de ficheros poco fiables.

Estos programas o virus se han visto obligados a evolucionar en el tiempo para adaptarse a las sucesivas versiones de Windows, principal plataforma que explotan, aunque tras hacer ligeras adaptaciones para funcionar en Windows 7 (con algunas limitaciones) parece que muchos desarrolladores han abandonado su mantenimiento. Desconocemos si este abandono se debe a la dificultad para ejecutarse en equipos con el control de cuentas de usuario, la llegada de Windows Defender para proteger a los incautos sin antivirus, o a que los desarrolladores han perdido el interés, pero el caso es que es complicado que veamos nuevas versiones de grandes glorias como SubSeven, Poison Ivy, o Bifrost, si bien han surgido algunos proyectos interesantes como Flu.

Para los curiosos que nunca hubiesen oído hablar de estos programas os invitamos a descargarlos y probarlos ya que son cuanto menos curiosos y se pueden utilizar incluso para escarmentar a algún usuario descuidado. Eso sí, probarlo en entornos lo más aislados y controlados posibles (máquinas virtuales, equipos de prueba, etc…) ya que a fin de cuentas estaréis infectando vuestros propios equipos con un software que no sabemos a ciencia cierta qué hace.

Solo queda pues esperar a ver si realmente es un “género muerto” o si el tema está en letargo a la espera de volver a florecer en nuevos sistemas operativos o incluso dispositivos.

Comments

  1. Hola,
    Pienso que están en declive los troyanos que has mencionado, los RATs en general no sé… Hay otros RAT que toman el relevo a los que has comentado en el artículo, por ejemplo DarkComet:
    http://www.darkcomet-rat.com/

    Hay troyanos que pueden saltarse el UAC según viene configurado por defecto en Windows 7 con la técnica que aquí se explica:
    http://www.pretentiousname.com/misc/win7_uac_whitelist2.html
    Así que el UAC no supone una limitación para ellos.

    Los antivirus los detectan si, pero las versiones publicas, se venden versiones privadas que no detectan por firmas ningún antivirus o sino existen Crypters encargados de hacer indetectable cualquier malware. Esto siempre ha sido así, todos los antivirus detectaban el bifrost y el poison ivy cuando salieron.

    Quizás es cierto, como comentáis, que para un usuario sin conocimientos hoy en día resulte mas difícil que hace unos años, la incorporación por defecto de antivirus en windows, las limitaciones de enviar ejecutables vía msn/gmail/hotmail que existen hoy en día… son cosas que lo ponen mas difícil, aunque quien quiere al final no lo tiene excesivamente difícil.

    Saludos!