RAT (remote access Trojan)

Apa itu RAT (remote access Trojan)?

RAT (remote access Trojan) adalah jenis malware yang digunakan oleh penyerang untuk mendapatkan hak administratif penuh dan kontrol jarak jauh terhadap komputer target. RAT sering kali ikut terunduh bersama program yang terlihat sah dan diminta oleh pengguna — seperti video game — atau dikirimkan ke target sebagai lampiran email melalui email phishing.

Begitu sistem host berhasil disusupi, penyerang menggunakan backdoor untuk mengendalikan host tersebut, atau mereka dapat menyebarkan RAT ke komputer lain yang rentan dan membentuk botnet.

Masuk dalam keluarga virus Trojan horse, RAT secara khusus dirancang agar terlihat seperti konten yang sah.

Bagaimana cara kerja remote access Trojan?

RAT biasanya disebarkan sebagai payload berbahaya menggunakan exploit kit seperti Metasploit. Setelah terinstal, RAT akan terhubung ke command-and-control server yang dikendalikan oleh hacker. Mereka membuat koneksi ini dengan memanfaatkan port TCP yang terbuka di perangkat target.

RAT juga bisa dipasang melalui email phishing, paket unduhan, tautan web, atau file torrent. Pengguna biasanya tertipu untuk mengunduh file berbahaya melalui teknik rekayasa sosial, atau RAT diinstal langsung oleh pelaku ancaman setelah mereka mendapatkan akses fisik ke mesin korban, misalnya lewat evil maid attack.

Karena RAT menyediakan backdoor dan kontrol administratif, penyerang bisa melakukan hampir apa saja pada komputer yang sudah terinfeksi, termasuk:

  • Memantau aktivitas pengguna seperti penekanan tombol lewat keylogger dan spyware.
  • Mengakses data sensitif seperti nomor kartu kredit dan nomor jaminan sosial.
  • Mengaktifkan webcam sistem dan merekam video.
  • Menangkap tangkapan layar (screenshot).
  • Menyebarkan virus dan malware, serta meluncurkan ransomware.
  • Memformat drive.
  • Menghapus, mengunduh, atau memodifikasi file dan sistem file.

Mengapa remote access Trojan berbahaya?

RAT sulit dideteksi karena biasanya tidak muncul dalam daftar program atau proses yang sedang berjalan. Aktivitasnya pun bisa mirip dengan aplikasi yang sah. Selain itu, pelaku ancaman sering kali membatasi penggunaan sumber daya agar tidak menimbulkan kecurigaan karena penurunan performa.

Tidak seperti vektor ancaman siber lainnya, RAT tetap berbahaya bahkan setelah dihapus dari sistem. RAT bisa memodifikasi file dan hard drive, mengubah data, serta merekam password dan kode melalui keylogger dan tangkapan layar — semua ini bisa berdampak jangka panjang.

Berikut beberapa cara RAT bisa membahayakan pengguna, sistem, dan organisasi:

  • Mata-mata dan pemerasan. RAT bisa mengakses kamera dan mikrofon pengguna, mengambil gambar untuk pemerasan, atau memaksa korban memberikan uang tebusan atau data penting.
  • Penambangan kripto (cryptomining). RAT sering digunakan untuk menambang Bitcoin dan cryptocurrency lain di komputer korban.
  • Serangan DDoS. RAT yang menyebar di banyak perangkat bisa dipakai untuk meluncurkan DDoS attack dengan membanjiri server target dengan lalu lintas palsu.
  • Penyimpanan file jarak jauh. Pelaku ancaman kadang menyimpan konten ilegal di perangkat korban untuk menghindari pelacakan oleh otoritas.
  • Komplikasi pada sistem industri. RAT bisa digunakan untuk mengambil alih sistem industri besar seperti air dan listrik, menimbulkan kerusakan dan gangguan layanan penting.

Cara mencegah serangan remote access Trojan

Cara pencegahan RAT mirip dengan pencegahan terhadap malware dan virus lainnya. Langkah-langkah berikut bisa mengurangi risiko terkena RAT:

Putuskan koneksi perangkat

Langkah pertama saat mendeteksi aktivitas mencurigakan adalah memutus koneksi perangkat dari jaringan. Ini akan menghentikan koneksi RAT ke server penyerang.

Perbarui antivirus dan firewall

Selalu perbarui antivirus dan firewall, serta hindari mengunduh program atau membuka lampiran dari sumber yang tidak tepercaya. Di level admin, blokir port yang tidak digunakan, matikan layanan yang menganggur, dan pantau lalu lintas keluar.

Gunakan autentikasi multifaktor

MFA menambahkan lapisan keamanan ekstra. Karena RAT sering mencuri kredensial, MFA bisa mencegah akses meskipun password berhasil dicuri.

Hindari tautan dan lampiran mencurigakan

Email phishing sering jadi pintu masuk RAT. Pelatihan keamanan siber sangat penting agar pengguna bisa mengenali email mencurigakan dan menghindari jebakan ini.

Selalu perbarui sistem

Sistem operasi harus selalu diperbarui dengan patch terbaru agar terlindungi dari bug, eksploit, dan malware terbaru, termasuk RAT.

Gunakan sistem deteksi intrusi

IDS bisa mendeteksi anomali dalam lalu lintas jaringan. Meskipun banyak RAT canggih, IDS modern dan alat APT bisa mendeteksi perilaku mencurigakan, seperti pergerakan mouse atau keyboard yang aneh.

Terapkan prinsip least privilege

POLP membatasi akses hanya sebatas yang diperlukan. Ini akan menghambat RAT dalam mengambil alih sistem secara penuh.

Cara mendeteksi remote access Trojan

RAT pandai menyembunyikan diri, bahkan dari antivirus. Berikut lima tanda yang bisa mengindikasikan keberadaan RAT:

  1. Antivirus gagal berfungsi. Jika antivirus sering crash atau lemot, bisa jadi ada RAT yang mengganggunya.
  2. Performa sistem melambat. RAT bekerja di latar belakang dan memakan banyak resource.
  3. Redirect website aneh. Jika browser sering mengarah ke situs yang tidak biasa, kemungkinan besar sistem telah disusupi.
  4. File tidak dikenal. File atau program asing yang tidak pernah diunduh pengguna harus diwaspadai.
  5. Webcam aktif sendiri. Jika lampu indikator webcam menyala tanpa alasan, bisa jadi itu RAT yang mengaksesnya.

Contoh umum remote access Trojan

  • Back Orifice. Salah satu RAT paling terkenal yang dibuat oleh Cult of the Dead Cow untuk menunjukkan kelemahan keamanan Windows.
  • Beast. Menggunakan arsitektur client-server dan masih digunakan hingga sekarang.
  • Sakula. Juga dikenal sebagai Sakurel dan Viper, digunakan untuk menjalankan perintah interaktif dan mengunduh komponen tambahan.
  • Blackshades. Menyebar dengan mengirimkan tautan ke kontak media sosial korban, lalu digunakan sebagai botnet.
  • CrossRAT. Sulit dideteksi dan dapat menyerang Linux, Windows, macOS, dan Solaris.
  • Saefko. Ditulis dalam .NET dan menargetkan histori browser untuk mencuri data transaksi kripto.
  • Mirage. Malware yang digunakan oleh kelompok hacker China yang disponsori negara untuk mencuri data dari target militer dan pemerintah.
Tagged:

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *