طروادة الوصول عن بعد ، أو RAT ، هي واحدة منأكثر أنواع البرامج الضارة سوءًا يمكن للمرء التفكير فيه. يمكن أن تسبب جميع أنواع الأضرار ويمكن أن تكون مسؤولة أيضا عن فقدان البيانات باهظة الثمن. يجب أن يقاتلوا بنشاط لأنهم ، إلى جانب كونهم سيئين ، شائعون نسبياً. اليوم ، سنبذل قصارى جهدنا لشرح ما هي وكيف تعمل بالإضافة إلى أننا سنعلمك بما يمكن القيام به للحماية ضدهم.
سنبدأ مناقشتنا اليوم بواسطةشرح ما هو RAT. نحن لا نتعمق في التفاصيل الفنية ولكن نبذل قصارى جهدنا لشرح كيفية عملها وكيف تصل إليك. بعد ذلك ، بينما نحاول ألا نسمع بجنون العظمة ، سنرى كيف يمكن اعتبار الفئران تقريبًا كأسلحة. في الواقع ، تم استخدام بعض على هذا النحو. بعد ذلك ، سنقدم بعضًا من أفضل الفئران المعروفة. سوف يعطيك فكرة أفضل عما يمكنهم القيام به. سنرى بعد ذلك كيف يمكن للمرء استخدام أدوات الكشف عن الاختراق للحماية من RATs وسنراجع بعضًا من أفضل هذه الأدوات.
لذلك ، ما هو الفئران؟
ال الوصول عن بعد طروادة هو نوع من البرامج الضارة التي تسمح للمتسلل عن بعد(وبالتالي الاسم) السيطرة على جهاز الكمبيوتر. دعنا نحلل الاسم. يتعلق جزء طروادة بالطريقة التي يتم بها توزيع البرامج الضارة. إنه يشير إلى القصة اليونانية القديمة لحصان طروادة التي بناها أوليسيس لاستعادة مدينة طروادة التي كانت محاصرة منذ عشر سنوات. في سياق البرامج الضارة للكمبيوتر ، يعد حصان طروادة (أو ببساطة حصان طروادة) جزءًا من البرامج الضارة التي يتم توزيعها كشيء آخر. على سبيل المثال ، يمكن أن تكون اللعبة التي تقوم بتنزيلها وتثبيتها على جهاز الكمبيوتر الخاص بك عبارة عن حصان طروادة وقد تحتوي على بعض رموز البرامج الضارة.
بالنسبة لجزء الوصول عن بُعد من اسم RAT ،لها علاقة مع ما يفعله البرمجيات الخبيثة. ببساطة ، يسمح لمؤلفه بالوصول عن بعد إلى الكمبيوتر المصاب. وعندما يحصل على إمكانية الوصول عن بُعد ، بالكاد توجد حدود لما يمكن أن يفعله. يمكن أن تختلف من استكشاف نظام الملفات الخاص بك ، ومشاهدة الأنشطة الخاصة بك على الشاشة ، وحصد بيانات اعتماد تسجيل الدخول الخاصة بك أو تشفير الملفات الخاصة بك لطلب فدية. يمكنه أيضًا سرقة بياناتك ، أو الأسوأ من ذلك ، عميلك. بمجرد تثبيت RAT ، يمكن أن يصبح جهاز الكمبيوتر الخاص بك محورًا من حيث يتم شن الهجمات على أجهزة كمبيوتر أخرى على الشبكة المحلية ، وبالتالي تجاوز أي أمان محيط.
الفئران في التاريخ
الفئران كانت للأسف حول لأكثر منعقد. من المعتقد أن التكنولوجيا لعبت دوراً في عمليات نهب التكنولوجيا الأمريكية على نطاق واسع من قبل المتسللين الصينيين في عام 2003. اكتشف تحقيق البنتاغون سرقة البيانات من مقاولي الدفاع الأمريكيين ، مع نقل بيانات التطوير والاختبار السرية إلى مواقع في الصين.
ربما تتذكر شرق الولايات المتحدةتم إيقاف تشغيل شبكة كهرباء الساحل في عامي 2003 و 2008. كما تم إرجاعها أيضًا إلى الصين ويبدو أنه تم تسهيلها بواسطة RATs. يمكن للمتسلل الذي يمكنه الحصول على RAT على نظام ما الاستفادة من أي من البرامج الموجودة لدى مستخدمي النظام المصاب ، وغالبًا دون أن يلاحظوا ذلك.
الفئران كأسلحة
يمكن لمطور RAT الضار السيطرة علىمحطات توليد الطاقة أو شبكات الهاتف أو المنشآت النووية أو خطوط أنابيب الغاز. على هذا النحو ، لا تشكل RATs خطراً على أمن الشركات. يمكنهم أيضًا تمكين الدول من مهاجمة دولة معادية. على هذا النحو ، يمكن اعتبارها أسلحة. يستخدم المتسللون حول العالم RATs للتجسس على الشركات وسرقة بياناتهم وأموالهم. وفي الوقت نفسه ، أصبحت مشكلة RAT الآن مسألة الأمن القومي لكثير من البلدان ، بما في ذلك الولايات المتحدة الأمريكية.
تستخدم أصلا للتجسس الصناعي والتخريب من قبل المتسللين الصينيين ، أصبحت روسيا لتقدير قوة الفئران ودمجهم في ترسانتها العسكرية. وهم الآن جزء من استراتيجية الجريمة الروسية المعروفة باسم "الحرب الهجينة". عندما استولت روسيا على جزء من جورجيا في عام 2008 ، استخدمت هجمات DDoS لمنع خدمات الإنترنت و RAT لجمع المعلومات الاستخباراتية والسيطرة عليها وتعطيل الأجهزة العسكرية الجورجية والضرورية خدمات.
قليلة (في) الفئران الشهيرة
دعونا نلقي نظرة على عدد قليل من أفضل الفئران المعروفة. فكرتنا هنا ليست تمجيدهم ولكن بدلاً من ذلك تمنحك فكرة عن مدى تنوعها.
فتحة الظهر
رجوع الفتح هو RAT الأمريكية الصنع التي لديهاكان حولها منذ عام 1998. وهو نوع من الجد من الفئران. استغل المخطط الأصلي نقطة ضعف في نظام التشغيل Windows 98. وكانت الإصدارات الأحدث التي تم تشغيلها على أنظمة تشغيل Windows الأحدث تسمى Back Orifice 2000 و Deep Back Orifice.
هذا RAT قادر على إخفاء نفسه داخلنظام التشغيل ، مما يجعل من الصعب اكتشافه. ومع ذلك ، فإن معظم أنظمة الحماية من الفيروسات لديها اليوم الملفات القابلة للتنفيذ لـ Back Orifice وسلوك الإطباق كتوقيعات للبحث عنها. تتمثل الميزة المميزة لهذا البرنامج في أنه يحتوي على وحدة تحكم سهلة الاستخدام يمكن للمتطفل استخدامها للتنقل والتصفح حول النظام المصاب. بمجرد التثبيت ، يتصل برنامج الخادم هذا بوحدة تحكم العميل باستخدام بروتوكولات الشبكات القياسية. على سبيل المثال ، من المعروف استخدام رقم المنفذ 21337.
DarkComet
تم إنشاء DarkComet مرة أخرى في عام 2008 من قبل الفرنسيةالمتسلل جان بيير ليسور ، لكنه لم يلفت انتباه مجتمع الأمن السيبراني إلا في عام 2012 عندما اكتشف أن وحدة متسلل أفريقية كانت تستخدم النظام لاستهداف الحكومة والجيش الأمريكيين.
يتميز DarkComet سهلة الاستخدامالواجهة التي تمكن المستخدمين الذين لديهم مهارات تقنية قليلة أو معدومة من أداء هجمات القراصنة. انها تسمح بالتجسس من خلال keylogging ، القبض على الشاشة والحصاد كلمة المرور. يمكن أيضًا للمتطفل المتحكم في تشغيل وظائف الطاقة للكمبيوتر البعيد ، مما يسمح بتشغيل الكمبيوتر أو إيقاف تشغيله عن بُعد. يمكن أيضًا استخدام وظائف الشبكة الخاصة بجهاز الكمبيوتر المصاب باستخدام الكمبيوتر كخادم وكيل وإخفاء هوية المستخدم أثناء الغارات على أجهزة الكمبيوتر الأخرى. تم التخلي عن مشروع DarkComet من قبل المطور في عام 2014 عندما اكتشف أنه كان قيد الاستخدام من قبل الحكومة السورية للتجسس على مواطنيها.
سراب
سراب هو RAT الشهيرة التي تستخدمها الدولة برعايةمجموعة القراصنة الصينية. بعد حملة تجسس نشطة للغاية من 2009 إلى 2015 ، أصبحت المجموعة هادئة. كانت Mirage هي الأداة الأساسية للمجموعة منذ عام 2012. يعد اكتشاف متغير Mirage ، الذي يطلق عليه MirageFox في عام 2018 ، تلميحًا إلى أن المجموعة قد تعود إلى العمل.
تم اكتشاف MirageFox في مارس 2018 عندماكان يستخدم للتجسس على المقاولين الحكومة البريطانية. بالنسبة إلى Mirage RAT الأصلية ، تم استخدامه للهجمات على شركة نفط في الفلبين ، والجيش التايواني ، وشركة طاقة كندية ، وأهداف أخرى في البرازيل وإسرائيل ونيجيريا ومصر.
يتم تسليم RAT هذا في PDF. يؤدي فتحه إلى تنفيذ البرامج النصية التي تقوم بتثبيت RAT. بمجرد التثبيت ، يكون أول إجراء هو إرسال تقرير إلى نظام القيادة والتحكم مع مراجعة قدرات النظام المصاب. تتضمن هذه المعلومات سرعة وحدة المعالجة المركزية وسعة الذاكرة واستخدامها واسم النظام واسم المستخدم.
الحماية من الجرذان - أدوات كشف التسلل
في بعض الأحيان تكون برامج الحماية من الفيروسات عديمة الفائدةكشف ومنع الفئران. هذا يرجع جزئيا إلى طبيعتها. إنهم يختبئون في مرأى من الجميع كشيء آخر شرعي تمامًا. لهذا السبب ، غالبًا ما يتم اكتشافها بشكل أفضل بواسطة الأنظمة التي تقوم بتحليل أجهزة الكمبيوتر بحثًا عن سلوك غير طبيعي. وتسمى هذه الأنظمة أنظمة كشف التسلل.
لقد بحثنا في السوق عن أفضل تطفلأنظمة الكشف. تحتوي قائمتنا على مزيج من أنظمة كشف التسلل bona fide والبرامج الأخرى التي لها مكون لاكتشاف التسلل أو التي يمكن استخدامها للكشف عن محاولات التسلل. سيقومون عادةً بعمل أفضل في تحديد أحصنة طروادة عن بعد للوصول إلى أنواع أخرى من أدوات الحماية من البرامج الضارة.
1. SolarWinds مراقبة التهديد - تكنولوجيا المعلومات العمليات الطبعة (عرض تجريبي مجاني)
سولارويندز هو الاسم الشائع في مجال أدوات إدارة الشبكة. بعد أن أمضينا حوالي 20 عامًا ، أتاح لنا بعضًا من أفضل أدوات إدارة الشبكات والنظام. المنتج الرئيسي ، و مراقبة أداء الشبكة، يسجل باستمرار بين أعلى أدوات مراقبة عرض النطاق الترددي الشبكة. سولارويندز كما يجعل أدوات مجانية ممتازة ، كل منها تلبي حاجة محددة لمسؤولي الشبكات. ال خادم كيوي سيسلوغ و ال حاسبة الشبكة الفرعية المتقدمة مثالان جيدان على تلك.
- عرض تجريبي مجاني: SolarWinds مراقبة التهديد - تكنولوجيا المعلومات العمليات الطبعة
- رابط التحميل الرسمي: https://www.solarwinds.com/threat-monitor/registration
للكشف عن التسلل القائم على الشبكة ، سولارويندز يقدم تهديد مراقب - تكنولوجيا المعلومات العمليات الطبعة. خلافا لمعظم الآخرين سولارويندز الأدوات ، هذا هو خدمة سحابة المستندة إلى حد مامن البرامج المثبتة محليا. يمكنك ببساطة الاشتراك فيه ، وتكوينه ، ويبدأ بمراقبة بيئتك لمحاولات الاقتحام وبعض أنواع التهديدات الأخرى. ال تهديد مراقب - تكنولوجيا المعلومات العمليات الطبعة يجمع بين العديد من الأدوات. إنه يحتوي على كل من كشف التسلل المستند إلى الشبكة والمضيف وكذلك مركزية السجل والارتباط ، ومعلومات الأمان وإدارة الأحداث (SIEM). إنها مجموعة شاملة لمراقبة التهديدات.
ال تهديد مراقب - تكنولوجيا المعلومات العمليات الطبعة دائما ما يصل إلى التاريخ ، باستمرار الحصول على تحديثمعلومات استخبارية عن التهديدات من مصادر متعددة ، بما في ذلك قواعد بيانات IP وسمعة المجال إنه يراقب كل من التهديدات المعروفة وغير المعروفة. تتميز الأداة باستجابات ذكية تلقائية لإصلاح حوادث الأمان بسرعة مما يوفر لها بعض الميزات الشبيهة بمنع التسلل.
ميزات المنتج التنبيه تمامامحرج. توجد إنذارات متعددة الشرط ومترابطة عبر بعضها البعض تعمل مع محرك الاستجابة النشطة للأداة وتساعد في تحديد الأحداث الهامة وتلخيصها. نظام الإبلاغ بنفس جودة التنبيه ويمكن استخدامه لإثبات الامتثال باستخدام قوالب التقارير المعدة مسبقًا. بدلاً من ذلك ، يمكنك إنشاء تقارير مخصصة لتناسب احتياجات عملك بدقة.
أسعار ل SolarWinds مراقبة التهديد - تكنولوجيا المعلومات العمليات الطبعة تبدأ من 4 500 دولار لمدة تصل إلى 25 عقدة مع 10 أيام من الفهرس. يمكنك التواصل سولارويندز للحصول على اقتباس مفصل تتكيف مع الاحتياجات المحددة الخاصة بك. وإذا كنت تفضل رؤية المنتج قيد التنفيذ ، فيمكنك طلب عرض توضيحي مجاني من سولارويندز.
2. SolarWinds سجل & مدير الأحداث (تجربة مجانية)
لا تدع SolarWinds سجل & مدير الأحداثاسم يخدعك. إنه أكثر بكثير من مجرد نظام إدارة سجلات والأحداث. وضعت العديد من الميزات المتقدمة لهذا المنتج في نطاق إدارة المعلومات الأمنية وإدارة الأحداث (SIEM). تؤهله ميزات أخرى كنظام كشف التسلل وحتى ، إلى حد ما ، كنظام لمنع التسلل. تتميز هذه الأداة بعلاقة حدث في الوقت الفعلي ومعالجة في الوقت الفعلي ، على سبيل المثال.
- تجربة مجانية: SolarWinds سجل & مدير الأحداث
- رابط التحميل الرسمي: https://www.solarwinds.com/log-event-manager-software/registration
ال SolarWinds سجل & مدير الأحداث ميزات الكشف الفوري عن المشبوهةالنشاط (وظيفة كشف التسلل) والاستجابات الآلية (وظيفة منع التسلل). يمكن أيضًا إجراء التحقيق في الأحداث الأمنية والطب الشرعي لأغراض التخفيف والامتثال. بفضل إعداد التقارير التي أثبتت جدواها في المراجعة ، يمكن أيضًا استخدام الأداة لإثبات التوافق مع HIPAA و PCI-DSS و SOX ، من بين أمور أخرى. تحتوي الأداة أيضًا على مراقبة تكامل الملفات ومراقبة جهاز USB ، مما يجعلها نظامًا أمنيًا متكاملًا أكثر بكثير من مجرد نظام لإدارة الأحداث والسجلات.
التسعير ل SolarWinds سجل & مدير الأحداث يبدأ من 4 $ 585 لمدة تصل إلى 30 عقدة مراقبة. يمكن شراء التراخيص لما يصل إلى 500 2 عقد ، مما يجعل المنتج قابلاً للتطوير بدرجة عالية. إذا كنت تريد أن تأخذ المنتج لإجراء اختبار وترى بنفسك ما إذا كان مناسبًا لك ، فستتوفر نسخة تجريبية مجانية كاملة الميزات مدتها 30 يومًا.
3. OSSEC
المصدر المفتوح الأمنأو OSSEC، هو إلى حد بعيد نظام الكشف عن الاقتحام المصدر المفتوح المصدر. المنتج مملوك من قبل تريند مايكرو، واحدة من الأسماء الرائدة في أمن تكنولوجيا المعلومات وصانع واحدة من أفضل أجنحة الحماية من الفيروسات. عند تثبيته على أنظمة التشغيل المشابهة لـ Unix ، يركز البرنامج في المقام الأول على ملفات السجل والتكوين. يخلق اختباريًا للملفات المهمة ويقوم بالتحقق من صحتها بشكل دوري ، لتنبيهك كلما حدث شيء غريب. سيقوم أيضًا بمراقبة وتنبيه أي محاولة غير طبيعية للوصول إلى الجذر. في مضيفات Windows ، يراقب النظام أيضًا تعديلات التسجيل غير المصرح بها والتي قد تكون علامة واضحة على نشاط ضار.
بحكم كونه نظام كشف التسلل القائم على المضيف ، OSSEC يحتاج إلى تثبيت على كل كمبيوتر تريد حمايته. ومع ذلك ، فإن وحدة التحكم المركزية تقوم بدمج المعلومات من كل كمبيوتر محمي لإدارة أسهل. بينما ال OSSEC تعمل وحدة التحكم فقط على أنظمة تشغيل Unix-Like ،وكيل متاح لحماية المضيفين ويندوز. سيؤدي أي كشف إلى تنبيه سيتم عرضه على وحدة التحكم المركزية بينما سيتم أيضًا إرسال الإشعارات عبر البريد الإلكتروني.
4. تذمر
تذمر ربما هو المصدر المفتوح الأكثر شهرةنظام كشف التسلل القائم على الشبكة. لكنه أكثر من مجرد أداة كشف التسلل. إنه أيضًا حزمة شم ومسجل حزمة ، كما أنه يحتوي على وظائف أخرى قليلة. تكوين المنتج يذكرنا بتكوين جدار الحماية. يتم ذلك باستخدام القواعد. يمكنك تنزيل القواعد الأساسية من تذمر الموقع واستخدامها كما هي أو تخصيصها لاحتياجاتك المحددة. يمكنك أيضا الاشتراك في تذمر قواعد للحصول على أحدث القواعد تلقائيًا عند تطورها أو اكتشاف تهديدات جديدة.
فرز دقيق جدا وحتى قواعده الأساسية يمكناكتشاف مجموعة واسعة من الأحداث مثل عمليات فحص منفذ التسلل ، وهجمات تجاوز سعة المخزن المؤقت ، وهجمات CGI ، وتحقيقات SMB ، وبصمات نظام التشغيل. لا يوجد حد فعليًا لما يمكنك اكتشافه باستخدام هذه الأداة وما تعتمده فقط يعتمد على القاعدة التي تقوم بتثبيتها. أما بالنسبة لطرق الكشف ، فبعضها أساسي تذمر تعتمد القواعد على التوقيع ، بينما تستند القواعد الأخرى إلى الحالات الشاذة. تذمر يمكن ، بالتالي ، تعطيك أفضل ما في العالمين.
5. سامهاين
سامهاين هو آخر معروف التسلل الحر المضيفنظام الكشف. ميزاته الرئيسية ، من وجهة نظر IDS ، هي فحص سلامة الملف ومراقبة / تحليل ملف السجل. يفعل أكثر من ذلك ، رغم ذلك. سيقوم المنتج بإجراء الكشف عن الجذور الخفية ومراقبة المنفذ والكشف عن الملفات التنفيذية SUID المارقة والعمليات الخفية.
تم تصميم الأداة لمراقبة العديد من المضيفين الذين يقومون بتشغيل أنظمة تشغيل مختلفة مع توفير التسجيل المركزي والصيانة. ومع ذلك، سامهاين ويمكن أيضا أن تستخدم كتطبيق قائم بذاته علىكمبيوتر واحد. يتم تشغيل البرنامج بشكل أساسي على أنظمة POSIX مثل Unix أو Linux أو OS X. كما يمكن تشغيله على Windows تحت Cygwin ، وهي حزمة تسمح بتشغيل تطبيقات POSIX على Windows ، على الرغم من أنه تم اختبار وكيل المراقبة فقط في هذا التكوين.
واحد من سامهاينالميزة الفريدة هي وضع التخفي الذييسمح لها بالعمل دون أن يتم اكتشافها بواسطة المهاجمين المحتملين من المعروف أن المتسللين يقتلون بسرعة عمليات الكشف التي يتعرفون عليها بمجرد دخولهم النظام قبل أن يتم الكشف عنه ، مما يسمح لهم بالمرور دون أن يلاحظوا أحد. سامهاين يستخدم تقنيات إخفاء المعلومات لإخفاء عملياته عن الآخرين. كما أنه يحمي ملفات السجل المركزي والنسخ الاحتياطية التكوين مع مفتاح PGP لمنع العبث.
6. Suricata
Suricata ليس فقط نظام كشف التسلل. كما أن لديها بعض ميزات منع الاختراق. في الواقع ، يتم الإعلان عنها كنظام بيئي كامل لمراقبة أمن الشبكة. واحدة من أفضل أصول الأداة هي كيف تعمل طوال الطريق حتى طبقة التطبيق. هذا يجعله نظامًا مختلطًا قائمًا على الشبكة والمضيف يتيح للأداة اكتشاف التهديدات التي من المحتمل أن تمر دون أن تلاحظها أدوات أخرى.
Suricata هو كشف التسلل الحقيقي القائم على الشبكةالنظام الذي لا يعمل فقط في طبقة التطبيق. ستراقب بروتوكولات الشبكات ذات المستوى الأدنى مثل TLS و ICMP و TCP و UDP. تقوم الأداة أيضًا بفهم وفك تشفير البروتوكولات ذات المستوى الأعلى مثل HTTP أو FTP أو SMB ويمكنها اكتشاف محاولات التسلل المخفية في الطلبات العادية. تتميز الأداة أيضًا بقدرات استخراج الملفات مما يسمح للمسؤولين بفحص أي ملف مشبوه.
Suricataبنية التطبيق مبتكرة للغاية. ستقوم الأداة بتوزيع عبء العمل على العديد من مراكز المعالجة والخيوط للحصول على أفضل أداء. إذا لزم الأمر ، يمكن أن تفريغ بعض معالجتها إلى بطاقة الرسومات. هذه ميزة رائعة عند استخدام الأداة على الخوادم حيث أن بطاقة الرسومات الخاصة بهم لا تستخدم بشكل جيد.
7. إخوانه شبكة مراقبة الأمن
ال إخوانه شبكة مراقبة الأمن، آخر نظام كشف التسلل الشبكة الحرة. تعمل الأداة على مرحلتين: تسجيل حركة المرور وتحليل حركة المرور. تماما مثل سوريكاتا ، إخوانه شبكة مراقبة الأمن يعمل في طبقات متعددة حتى التطبيقطبقة. هذا يسمح للكشف عن أفضل محاولات التسلل. تتكون وحدة تحليل الأداة من عنصرين. يسمى العنصر الأول مشغل الحدث ويتتبع أحداث التشغيل مثل اتصالات TCP أو طلبات HTTP. ثم يتم تحليل الأحداث عن طريق البرامج النصية للسياسة ، والعنصر الثاني ، الذي يقرر ما إذا كان سيتم تشغيل إنذار أو عدم تشغيله أم لا. توفر إمكانية بدء إجراء ما لـ Bro Network Security Monitor بعض الوظائف الشبيهة بـ IPS.
ال إخوانه شبكة مراقبة الأمن يتيح لك تتبع نشاط HTTP و DNS و FTP وتراقب أيضا SNMP المرور. هذا شيء جيد لأن SNMP يستخدم غالبًا لمراقبة الشبكة ولكنه ليس بروتوكولًا آمنًا. ونظرًا لأنه يمكن استخدامه أيضًا لتعديل التكوينات ، يمكن استغلاله من قِبل المستخدمين الضارين. ستتيح لك الأداة أيضًا مشاهدة تغييرات تكوين الجهاز و SNMP Traps. يمكن تثبيته على أنظمة التشغيل Unix و Linux و OS X ولكنه غير متوفر لنظام التشغيل Windows ، والذي ربما يكون العيب الرئيسي.
تعليقات