RAT, Trojaner zurückverfolgen und strafbar?
Hallo, ich habe vorhin eine RAT geschickt bekommen, welche ich natürlich nicht ausgeführt habe. Nun ist meine frage wie verfolge ich diesen server zurück und kann ich das anzeigen?
2 Antworten
Hol dir Fiddler und such die Conection vom RAT raus.
Und wenn er es nicht über VPN oder RDP hast kannst du damit dann zur Polizei gehen.
Allerdings werden viele Baukasten-RATs so konfiguriert, dass die Adresse des C&C-Servers, eines Kontroll IRC-Channels, o. ä. direkt in Platzhalter innerhalb der ausführbaren Datei geschrieben werden. Evtl. auch ganz ans Ende der Datei. Wenn du Glück hast, liegen diese Daten dann als (Nullterminierter) Klartext (in ASCII oder UCS-2) vor.
Du könntest also mit einem Hex-Editor oder dem "strings"-Werkzeug unter *ix versuchen, etwas zu entdecken, das wie eine Art Adresse bzw. IP aussieht.
Die RAT-Binary wird vermutlich sehr klein sein und evtl. musst du sie vorher entpacken (aber auf keinen Fall ausführen!). Dazu musst du aber auch erst mal wissen, WIE sie gepackt wurde ... auch hier hilft das "file"-Werkzeug auf *ix Systemen.
Naja ... als Laie hast du da nicht allzu viele Möglichkeiten und dir zu erklären, wie ein Disassembler o. Debugger funktioniert, würde leider den Rahmen sprengen.
Versuch mal dein Glück mit einem Hex-Editor! Mehr wirst du als Einsteiger nicht tun können, sorry! ><Trotzdem viel Erfolg! :)
PS: Dein Vorhaben ist erst mal nicht strafbar, vorausgesetzt du dringst beim "Zurückverfolgen" nicht selber in fremde Rechner ein, die als Jump-Hosts o. ä. missbraucht werden!
Wenn du allerdings den Kontroll-IRC-Channel von dummen Kindern innerhalb von Deutschland identifizierst, könnte es sich lohnen, die gewonnenen Daten an die Polizei weiter zu geben ... auch wenn das oft nichts bringt. ><