Троянецът с отдалечен достъп или RAT е един отнай-опасни видове злонамерен софтуер, за който човек може да се сети. Те могат да причинят всякакви щети и могат да бъдат отговорни за скъпи загуби на данни. Те трябва да се борят активно, защото освен че са гадни, те са сравнително често срещани. Днес ще направим всичко възможно да обясним какво представляват и как работят, плюс ще ви уведомим какво може да се направи, за да се защити срещу тях.
Ще започнем нашата дискусия днес отобяснявайки какво е RAT. Няма да се задълбочаваме в техническите подробности, но правим всичко възможно да обясним как работят и как да стигнат до вас. На следващо място, докато се опитваме да не звучи твърде параноично, ще видим как RATs почти могат да се разглеждат като оръжия. Всъщност някои са били използвани като такива. След това ще ви представим няколко от най-добре познатите RAT. Това ще ви даде по-добра представа за какво са способни. След това ще видим как човек може да използва инструменти за откриване на проникване за защита от RAT и ще разгледаме някои от най-добрите от тези инструменти.
И така, какво е RAT?
Най- Троянец за отдалечен достъп е вид зловреден софтуер, който позволява на хакер дистанционно(оттук и името) поемат контрола над компютър. Нека анализираме името. Троянската част е свързана с начина, по който се разпространява зловредният софтуер. Тя се отнася до древногръцката история за троянския кон, който Улис построил, за да вземе обратно град Троя, който бил обсаден от десет години. В контекста на компютърен злонамерен софтуер, троянски кон (или просто троян) е парче злонамерен софтуер, който се разпространява като нещо друго. Например игра, която изтегляте и инсталирате на компютъра си, всъщност може да бъде троянски кон и може да съдържа код за злонамерен софтуер.
Що се отнася до частта за отдалечен достъп на името на RAT,тя има общо с това, което прави зловредният софтуер. Просто казано, той позволява на автора му да има отдалечен достъп до заразения компютър. А когато получи дистанционен достъп, едва ли има ограничения за това, което може да направи. Тя може да варира от проучване на вашата файлова система, гледане на вашите дейности на екрана, събиране на вашите идентификационни данни за вход или криптиране на вашите файлове, за да поискате откуп. Той може също да открадне вашите данни или, още по-лошо, клиентите на вашия клиент. След като RAT е инсталиран, вашият компютър може да се превърне в център, откъдето стартират атаки към други компютри в локалната мрежа, като по този начин заобикаля всякаква периметрова сигурност.
RATs в историята
За съжаление RATs са били повече от aдесетилетие. Смята се, че технологията е изиграла роля в широкото разграбване на американски технологии от китайски хакери през 2003 г. Разследване на Пентагона откри кражба на данни от американските контрагенти по отбрана, като класифицираните данни за разработка и тестване са прехвърлени на места в Китай.
Може би ще си припомните Изтока на САЩСпиране на мрежата на бреговата мрежа през 2003 г. и 2008 г. Те също бяха проследени до Китай и изглежда, че са улеснени от RATs. Хакер, който може да получи RAT на система, може да се възползва от всеки софтуер, който потребителите на заразената система имат на разположение, често без те дори да го забележат.
RATs като оръжие
Злобен разработчик на RAT може да поеме контрола наделектроцентрали, телефонни мрежи, ядрени съоръжения или газопроводи. Като такива, RATs не представляват само риск за корпоративната сигурност. Те могат също така да позволят на нациите да атакуват вражеска страна. Като такива те могат да се разглеждат като оръжия. Хакерите по света използват RATs, за да шпионират компаниите и да откраднат техните данни и пари. Междувременно проблемът с RAT вече се превърна във въпрос за националната сигурност за много страни, включително САЩ.
Първоначално се използва за индустриален шпионаж исаботаж от китайски хакери, Русия оцени мощта на RATs и ги интегрира във военния си арсенал. Сега те са част от руската стратегия за престъпления, известна като "хибридна война". Когато Русия завзе част от Грузия през 2008 г., тя използва DDoS атаки за блокиране на интернет услуги и RAT за събиране на разузнаване, контрол и прекъсване на грузинския военен хардуер и необходимото комунални услуги.
Малко (в) известни RATs
Нека да разгледаме няколко от най-известните RATs. Нашата идея тук не е да ги прославим, а вместо това да ви дадем представа колко разнообразни са те.
Заден отвор
Back Orifice е американска RAT, която имасъществува от 1998 г. Това нещо е дядото на RATs. Първоначалната схема използваше слабост в Windows 98. По-късните версии, работещи на по-нови операционни системи Windows, бяха наречени Back Orifice 2000 и Deep Back Orifice.
Тази RAT може да се скрие в рамките наоперационна система, което прави особено трудно да се открие. Днес обаче повечето системи за защита от вируси имат изпълними файлове и поведение на оклузия като подписи, за които трябва да се внимава. Отличителна черта на този софтуер е, че той има лесна за използване конзола, която натрапникът може да използва за навигация и сърфиране около заразената система. Веднъж инсталирана, тази сървърна програма комуникира с клиентската конзола, използвайки стандартни мрежови протоколи. Например, известно е да се използва номер на порта 21337.
DarkComet
DarkComet е създаден през 2008 г. от френски езикхакер Жан-Пиер Лесуер, но попадна на вниманието на общността на киберсигурността едва през 2012 г., когато бе открито, че африкански хакерски отряд използва системата за насочване към правителството на САЩ и военните.
DarkComet се характеризира с лесен за използванеинтерфейс, който позволява на потребители с малко или никакви технически умения да извършват хакерски атаки. Това позволява шпиониране чрез програмиране на клавиши, заснемане на екрана и събиране на парола. Контролиращият хакер може също да управлява функциите за захранване на отдалечен компютър, като позволява на компютъра да бъде включен или изключен дистанционно. Мрежовите функции на заразен компютър могат също да бъдат използвани за използване на компютъра като прокси сървър и маскиране на идентичността на потребителя му по време на нападения на други компютри. Проектът DarkComet беше изоставен от неговия предприемач още през 2014 г., когато бе открито, че се използва от сирийското правителство за шпиониране на своите граждани.
мираж
Mirage е известен RAT, използван от държавно спонсориранКитайска хакерска група. След много активна шпионска кампания от 2009 до 2015 г. групата затихна. Mirage беше основният инструмент на групата от 2012 г. Откриването на вариант Mirage, наречен MirageFox през 2018 г., е намек, че групата може да се върне в действие.
MirageFox беше открит през март 2018 г., когато гое използван за шпиониране на британските държавни изпълнители. Що се отнася до оригиналния RAT Mirage, той е използван за атаки срещу петролна компания във Филипините, тайванските военни, канадската енергийна компания и други цели в Бразилия, Израел, Нигерия и Египет.
Този RAT се доставя вграден в PDF. Отварянето му води до изпълнение на скриптове, които инсталират RAT. След като бъде инсталиран, първото му действие е да се отчете обратно в системата за управление и контрол с одит на възможностите на заразената система. Тази информация включва скоростта на процесора, капацитета на паметта и използването, името на системата и потребителското име.
Защита от RATs - инструменти за откриване на проникване
Софтуерът за защита от вируси понякога е безполезеноткриване и предотвратяване на RAT. Това се дължи отчасти на естеството им. Те се крият пред очите като нещо друго, което е напълно законно. Поради тази причина те често се откриват най-добре от системи, които анализират компютрите за ненормално поведение. Такива системи се наричат системи за откриване на проникване.
Търсихме пазара за най-доброто проникванеСистеми за откриване Нашият списък съдържа комбинация от добросъвестни системи за откриване на проникване и друг софтуер, който има компонент за откриване на проникване или който може да се използва за откриване на опити за проникване. Обикновено те ще свършат по-добра работа за идентифициране на трояни от отдалечен достъп от другите видове инструменти за защита от злонамерен софтуер.
1. SolarWinds Threat Monitor - IT Ops Edition (БЕЗПЛАТНА демонстрация)
SolarWinds е често срещано име в областта на инструментите за мрежово администриране. Имайки около 20 години, това ни донесе едни от най-добрите инструменти за мрежова и системна администрация. Нейният водещ продукт, the Монитор на ефективността на мрежатапоследователно оценява сред най-добрите инструменти за мониторинг на пропускателната способност на мрежата. SolarWinds също така прави отлични безплатни инструменти, всеки от които адресира конкретна нужда от мрежови администратори. Най- Киви Syslog сървър и на Разширен калкулатор на подмрежата са два добри примера за това.
- БЕЗПЛАТНА демонстрация: SolarWinds Threat Monitor - IT Ops Edition
- Официална връзка за изтегляне: https://www.solarwinds.com/threat-monitor/registration
За мрежово откриване на проникване, SolarWinds предлага Threat Monitor - IT Ops Edition, Противно на повечето други SolarWinds инструменти, тази е по-скоро облачна услугаотколкото локално инсталиран софтуер. Вие просто се абонирате за него, конфигурирате го и той започва да наблюдава вашата среда за опити за проникване и още няколко вида заплахи. Най- Threat Monitor - IT Ops Edition комбинира няколко инструмента. Той разполага както с мрежова, така и с хостово разпознаване на проникване, както и централизация и корелация на журнала, и информация за сигурност и управление на събития (SIEM). Това е много задълбочен пакет за наблюдение на заплахите.
Най- Threat Monitor - IT Ops Edition винаги е актуален, постоянно се актуализираразузнавателна информация за заплахите от множество източници, включително IP бази данни и репутация на домейни. Той следи както известни, така и неизвестни заплахи. Инструментът разполага с автоматизирани интелигентни отговори за бързо преодоляване на инциденти със сигурността, като му дава някои функции, подобни на предотвратяване на проникване.
Функциите за предупреждение на продукта са доставпечатляваща. Има много условни, кръстосано свързани кореспонденции, които работят съвместно с механизма за активно реагиране на инструмента и помагат при идентифицирането и обобщаването на важни събития. Системата за докладване е също толкова добра, колкото и нейното сигнализиране и може да се използва за демонстриране на съответствие, като се използват съществуващи предварително изградени шаблони за отчети. Като алтернатива можете да създадете персонализирани отчети, които да отговарят точно на вашите бизнес нужди.
Цени за SolarWinds Threat Monitor - IT Ops Edition започнете от $ 4 500 за до 25 възли с 10 дни индекс. Можете да се свържете SolarWinds за подробна оферта, адаптирана към вашите специфични нужди. И ако предпочитате да видите продукта в действие, можете да поискате безплатна демонстрация от SolarWinds.
2. SolarWinds Log & Event Manager (Безплатен пробен период)
Не позволявайте SolarWinds Log & Event ManagerИмето ти глупак. Тя е много повече от просто система за управление на журнали и събития. Много от усъвършенстваните функции на този продукт го поставят в обхвата на информацията за сигурност и управление на събития (SIEM). Други функции го определят като система за откриване на проникване и дори, до известна степен, като система за предотвратяване на проникване. Този инструмент включва например корелация на събития в реално време и отстраняване в реално време.
- Безплатен пробен период: SolarWinds Log & Event Manager
- Официална връзка за изтегляне: https://www.solarwinds.com/log-event-manager-software/registration
Най- SolarWinds Log & Event Manager функции мигновено откриване на подозрителниактивност (функционалност за откриване на проникване) и автоматизирани отговори (функционалност за предотвратяване на проникване). Той може също така да извършва разследване на събития в областта на сигурността и криминалистика както за целите на смекчаването, така и за спазването на изискванията. Благодарение на доказаното от одита отчитане, инструментът може да се използва и за демонстриране на съответствие с HIPAA, PCI-DSS и SOX, наред с други. Инструментът има и мониторинг на целостта на файловете и наблюдение на USB устройството, което го прави много повече от интегрирана платформа за сигурност, отколкото просто система за управление на журнали и събития.
Цени за SolarWinds Log & Event Manager започва от $ 4 585 за до 30 наблюдавани възли. Лицензи за до 2 500 възли могат да бъдат закупени, което прави продукта силно мащабируем. Ако искате да вземете продукта за тест и да се уверите сами дали той е подходящ за вас, е налична безплатна пълнофункционална 30-дневна пробна версия.
3. OSSEC
Сигурност с отворен код, или OSSEC, е най-голямата водеща система за откриване на прониквания, базирана на отворен код. Продуктът е собственост на Trend Micro, едно от водещите имена в ИТ сигурността ипроизводител на един от най-добрите апартаменти за защита от вируси. Когато е инсталиран на операционни системи, подобни на Unix, софтуерът се фокусира предимно върху журнални и конфигурационни файлове. Той създава контролни суми от важни файлове и периодично ги валидира, като ви предупреждава винаги, когато се случи нещо странно. Той също така ще следи и сигнализира за всеки необичаен опит за получаване на root достъп. На хостовете на Windows системата също следи за неоторизирани модификации на системния регистър, които биха могли да бъдат показател за злонамерена активност.
Благодарение на системата за откриване на проникване, базирана на хост, OSSEC трябва да бъде инсталиран на всеки компютър, който искате да защитите. Централизираната конзола обаче консолидира информация от всеки защитен компютър за по-лесно управление. Докато OSSEC конзолата работи само на Unix-Like операционни системи,на разположение е агент за защита на хостовете на Windows. Всяко откриване ще задейства сигнал, който ще бъде показан на централизираната конзола, докато известията ще бъдат изпращани и по имейл.
4. сумтене
сумтене е може би най-известният отворен кодмрежова система за откриване на проникване. Но това е нещо повече от инструмент за откриване на проникване. Освен това е sniffer за пакети и логър за пакети и също така има няколко други функции. Конфигурирането на продукта напомня на конфигурирането на защитна стена. Извършва се с помощта на правила. Можете да изтеглите основни правила от сумтене уебсайт и да ги използвате като такива или да ги персонализирате според вашите специфични нужди. Можете също да се абонирате за сумтене правила за автоматично получаване на всички най-нови правила с развитието им или с откриването на нови заплахи.
Вид е много задълбочен и дори основните му правила могатоткрийте голямо разнообразие от събития като сканиране на скрит порт, атаки на преливане на буфер, CGI атаки, SMB сонди и отпечатъци на ОС. На практика няма ограничение за това какво можете да откриете с този инструмент и това, което открива, зависи единствено от правилото, което инсталирате. Що се отнася до методите за откриване, някои от основните сумтене правилата са базирани на подпис, докато други са базирани на аномалия. сумтене следователно може да ви даде най-доброто от двата свята.
5. Samhain
Samhain е друго добре познато проникване на безплатен хостсистема за откриване. Основните му характеристики, от гледна точка на IDS, са проверка на целостта на файловете и наблюдение / анализ на лог файл. Това обаче прави много повече от това. Продуктът ще извърши откриване на rootkit, мониторинг на портове, откриване на нелоялни SUID изпълними файлове и на скрити процеси.
Инструментът е проектиран да следи множество хостове, работещи с различни операционни системи, като същевременно осигурява централизирана регистрация и поддръжка. Въпреки това, Samhain може да се използва и като самостоятелно приложение наедин компютър. Софтуерът работи основно на POSIX системи като Unix, Linux или OS X. Може да работи и в Windows под Cygwin, пакет, който позволява да се изпълняват POSIX приложения в Windows, въпреки че в тази конфигурация е тестван само мониторинг агентът.
Един от SamhainНай-уникалната особеност е неговият стелт режим, койтому позволява да работи без да бъде открит от потенциални нападатели. Известно е, че натрапниците бързо убиват процесите на откриване, които разпознават веднага след като влязат в система, преди да бъдат открити, което им позволява да останат незабелязани. Samhain използва стеганографски техники, за да скрие своите процеси от другите. Той също така защитава централните си журнални файлове и архивиране на конфигурация с PGP ключ, за да предотврати подправяне.
6. Suricata
Suricata е не само система за откриване на проникване. Той също има някои функции за предотвратяване на проникване. Всъщност той се рекламира като цялостна екосистема за мониторинг на сигурността на мрежата. Едно от най-добрите предимства на инструмента е как работи до целия слой на приложението. Това го прави хибридна система, базирана на мрежа и хост, която позволява на инструмента да открива заплахи, които вероятно ще останат незабелязани от други инструменти.
Suricata е истинско мрежово разпознаване на проникванеСистема, която не работи само на приложения слой. Той ще следи протоколи на мрежи от по-ниско ниво като TLS, ICMP, TCP и UDP. Инструментът също така разбира и декодира протоколи от по-високо ниво като HTTP, FTP или SMB и може да открие опити за проникване, скрити в иначе нормални заявки. Инструментът разполага и с възможности за извличане на файлове, което позволява на администраторите да изследват всеки подозрителен файл.
SuricataАрхитектурата на приложението е доста иновативна. Инструментът ще разпредели работното си натоварване в няколко процесорни ядра и нишки за най-добра производителност. Ако е необходимо, той дори може да зареди част от обработката си на графичната карта. Това е чудесна функция, когато използвате инструмента на сървърите, тъй като тяхната графична карта обикновено не се използва.
7. Бро монитор за мрежова сигурност
Най- Бро монитор за мрежова сигурност, друга безплатна система за откриване на проникване в мрежа. Инструментът работи на две фази: регистриране на трафика и анализ на трафика. Точно като Суриката, Бро монитор за мрежова сигурност работи на няколко слоя до приложениетослой. Това позволява по-добро откриване на опити за разбиване на раздвоени. Модулът за анализ на инструмента е съставен от два елемента. Първият елемент се нарича двигател на събитията и той проследява задействащи събития като мрежови TCP връзки или HTTP заявки. След това събитията се анализират чрез скриптове на политиката, вторият елемент, който решава дали да се задейства аларма и / или да започне действие. Възможността за стартиране на действие дава на Bro Network Security Monitor някои функции, подобни на IPS.
Най- Бро монитор за мрежова сигурност ви позволява да проследявате HTTP, DNS и FTP активност и тосъщо следи SNMP трафика. Това е добре, защото SNMP често се използва за мониторинг на мрежата, но не е защитен протокол. И тъй като може да се използва и за промяна на конфигурации, може да бъде използван от злонамерени потребители. Инструментът също така ще ви позволи да наблюдавате промени в конфигурацията на устройството и SNMP капани. Може да бъде инсталиран в Unix, Linux и OS X, но не е наличен за Windows, което е може би основният му недостатък.
Коментари