Auf RAT-Datei auf Festplatte prüfen
Führe systemspezifische Befehle aus, um zu überprüfen, ob die Remote Access Trojan-Datei tatsächlich auf deiner Maschine installiert wurde. Dies ist die definitive Überprüfung für eine Systemkompromittierung.
Originalvideo ansehen: Millions of JS devs just got penetrated by a RAT…3 Schritte
1
Wähle den richtigen Befehl für dein Betriebssystem
Basierend auf deinem Betriebssystem (Mac, Windows, Linux) nutze den entsprechenden Suchbefehl
# Mac/Linux:
find ~ -name "*rat*" -type f 2>/dev/null
# Windows PowerShell:
Get-ChildItem -Path $env:USERPROFILE -Recurse -Filter "*rat*" -ErrorAction SilentlyContinueTipp: Führe diese Befehle mit erhöhten Rechten aus, um alle Verzeichnisse zu durchsuchen
Warnung: Der RAT-Dateiname könnte obfuskiert oder versteckt sein - sei gründlich
2
Überprüfe Systemprozesse
Suche nach verdächtigen Prozessen, die sich mit Remote-Servern verbinden
# Mac/Linux:
netstat -tuln | grep LISTEN
# Windows:
netstat -anoTipp: Achte auf unbekannte ausgehende Verbindungen zu IP-Adressen
Warnung: Stelle sicher, dass du weißt, welche Prozesse legitim sind
3
Dokumentiere die Ergebnisse
Speichere alle Findings und fahre entsprechend fort (siehe nächster Tipp, falls positiv)
Tipp: Erstelle einen Screenshot oder eine Protokolldatei der Ergebnisse
Warnung: Falls RAT gefunden wird, führe KEINE weiteren Arbeiten auf dieser Maschine durch