Trojan pro vzdálený přístup (RAT) je jedním znejhorší typy malwaru, na které si vzpomenete. Mohou způsobit nejrůznější škody a mohou být také zodpovědní za drahé ztráty dat. Musí se aktivně bojovat, protože kromě toho, že jsou ošklivé, jsou relativně běžné. Dnes se budeme snažit vysvětlit, co jsou a jak fungují, a my vám dáme vědět, co lze udělat, abychom je chránili před nimi.
Dnes začneme s naší diskusívysvětlit, co je RAT. Nebudeme příliš hluboko v technických detailech, ale snažíme se vysvětlit, jak fungují a jak se k vám dostanou. Dále, zatímco se snažíme neznít příliš paranoidně, uvidíme, jak lze RAT téměř vnímat jako zbraně. Ve skutečnosti byly některé použity jako takové. Poté představíme několik nejznámějších RAT. To vám poskytne lepší představu o tom, co jsou schopni. Uvidíme, jak lze pomocí nástrojů pro detekci narušení chránit před RAT, a zkontrolujeme některé z těchto nástrojů.
Co je tedy RAT?
The Trojan pro vzdálený přístup je typ malwaru, který umožňuje hackerovi vzdáleně(odtud název) převzít kontrolu nad počítačem. Pojďme analyzovat název. Trójská část se týká způsobu šíření malwaru. Poukazuje na starořecký příběh trojského koně, který Ulysses postavil, aby vzal zpět město Troy, které bylo deset let obléháno. V souvislosti s počítačovým malwarem je trojský kůň (nebo jednoduše trojský kůň) kus malwaru, který je distribuován jako něco jiného. Například hra, kterou si stáhnete a nainstalujete do svého počítače, by ve skutečnosti mohla být trojský kůň a mohla by obsahovat nějaký malware kód.
Pokud jde o část názvu RAT pro vzdálený přístup,to má co do činění s tím, co malware dělá. Jednoduše řečeno, umožňuje jeho autorovi mít vzdálený přístup k infikovanému počítači. A když získá vzdálený přístup, sotva existují omezení, co může dělat. Může se lišit od zkoumání systému souborů, sledování vašich aktivit na obrazovce, získávání přihlašovacích údajů nebo šifrování souborů, aby bylo možné výkupné. Mohl také ukrást vaše data nebo, ještě horší, údaje vašeho klienta. Jakmile je RAT nainstalován, váš počítač se může stát rozbočovačem, odkud jsou spouštěny útoky na jiné počítače v místní síti, čímž se obchází jakékoli zabezpečení obvodu.
RAT v historii
RAT byly bohužel již více než adesetiletí. Předpokládá se, že tato technologie sehrála roli v rozsáhlém rabování americké technologie čínskými hackery již v roce 2003. Vyšetřování Pentagonem objevilo krádež dat od amerických dodavatelů v oblasti obrany, přičemž klasifikované údaje o vývoji a testování byly přenášeny na místa v Číně.
Možná si vzpomenete na východ Spojených státůVypínání pobřežní elektrické sítě v letech 2003 a 2008. Tyto byly také vysledovány zpět do Číny a zdálo se, že byly usnadněny pomocí RAT. Hacker, který může získat RAT do systému, může využít jakýkoli software, který mají uživatelé infikovaného systému k dispozici, často aniž by si toho všimli.
RATs jako zbraně
Škodlivý vývojář RAT může převzít kontroluelektrárny, telefonní sítě, jaderná zařízení nebo plynovody. RAT tak nepředstavují pouze riziko pro firemní bezpečnost. Mohou také umožnit národům útočit na nepřátelskou zemi. Jako takové je lze považovat za zbraně. Hackeři po celém světě používají RAT ke špionáži společností a krádeži svých dat a peněz. Mezitím se problém RAT stal v mnoha zemích, včetně USA, otázkou národní bezpečnosti.
Původně se používá pro průmyslovou špionáž aSabotáž čínských hackerů si Rusko uvědomilo sílu RAT a začlenilo je do svého vojenského arzenálu. Nyní jsou součástí ruské trestné strategie, která je známá jako „hybridní válčení“. Když se Rusko v roce 2008 zmocnilo části Gruzie, využilo útoky DDoS k blokování internetových služeb a RAT ke shromažďování zpravodajských informací, kontroly a narušení gruzínského vojenského hardwaru a nezbytných utility.
Několik slavných RAT
Pojďme se podívat na několik nejznámějších RAT. Naším nápadem zde není oslavit je, ale místo toho vám poskytnout představu o jejich rozmanitosti.
Zadní otvor
Back Orifice je americká RAT, která mábyl kolem roku 1998. Je to pradědeček RATů. Původní schéma využívalo slabost v systému Windows 98. Pozdější verze, které běžely na novějších operačních systémech Windows, se nazývaly Back Orifice 2000 a Deep Back Orifice.
Tento RAT se dokáže skrýt v rámcioperační systém, což ztěžuje detekci. Dnes však většina systémů antivirové ochrany má spustitelné soubory Back Orifice a okluze jako signatury, které je třeba dávat pozor. Charakteristickým rysem tohoto softwaru je, že má snadno použitelnou konzolu, kterou může vetřelec použít k navigaci a procházení infikovaným systémem. Po instalaci tento serverový program komunikuje s klientskou konzolou pomocí standardních síťových protokolů. Například je známo použití čísla portu 21337.
DarkComet
DarkComet byl vytvořen již v roce 2008 francouzskyhacker Jean-Pierre Lesueur, ale na komunitu kybernetické bezpečnosti přišel až v roce 2012, kdy bylo zjištěno, že africká hackerská jednotka používá tento systém k zacílení na americkou vládu a armádu.
DarkComet se vyznačuje snadnou obsluhourozhraní, které umožňuje uživatelům s malými nebo žádnými technickými dovednostmi provádět útoky hackerů. Umožňuje špehování pomocí keyloggingu, snímání obrazovky a získávání hesel. Řídící hacker může také ovládat výkonové funkce vzdáleného počítače, což umožňuje dálkové zapnutí nebo vypnutí počítače. Síťové funkce infikovaného počítače lze také využít k použití počítače jako proxy serveru a maskování jeho identity uživatele během náletů na jiné počítače. Projekt DarkComet byl jeho vývojářem opuštěn v roce 2014, kdy bylo zjištěno, že syrská vláda používá špionáž na své občany.
Mirage
Mirage je slavný RAT používaný státem sponzorovanýmČínská skupina hackerů. Po velmi aktivní špionážní kampani v letech 2009 až 2015 skupina ztichla. Mirage byl primárním nástrojem skupiny od roku 2012. Detekce varianty Mirage, nazvané MirageFox v roce 2018, je náznakem, že by skupina mohla být v akci.
MirageFox byl objeven v březnu 2018, když to bylobyl zvyklý špehovat britské vládní dodavatele. Pokud jde o původní Mirage RAT, byl použit pro útoky na ropnou společnost na Filipínách, tchajwanskou armádu, kanadskou energetickou společnost a další cíle v Brazílii, Izraeli, Nigérii a Egyptě.
Tento RAT je dodáván zabudovaný do PDF. Otevření způsobí spuštění skriptů, které instalují RAT. Po instalaci je jeho první akcí hlášení zpět do systému Command and Control s auditem schopností infikovaného systému. Tyto informace zahrnují rychlost procesoru, kapacitu a využití paměti, název systému a uživatelské jméno.
Ochrana před RAT - Nástroje detekce narušení
Software na ochranu před viry je někdy k ničemudetekci a prevenci RAT. To je částečně způsobeno jejich povahou. Skryjí se před očima jako něco jiného, co je naprosto legitimní. Z tohoto důvodu jsou často nejlépe detekovány systémy, které analyzují počítače na neobvyklé chování. Takové systémy se nazývají systémy detekce narušení.
Hledali jsme na trhu to nejlepší narušeníDetekční systémy. Náš seznam obsahuje kombinaci systémů detekce narušení v dobré víře a dalšího softwaru, který obsahuje součást detekce narušení nebo který lze použít k detekci pokusů o narušení. Obvykle budou lépe identifikovat trojské koně ve vzdáleném přístupu, které mají jiné typy nástrojů na ochranu před malwarem.
1. SolarWinds Threat Monitor - IT Ops Edition (Ukázka ZDARMA)
SolarWinds je obecný název v oblasti nástrojů pro správu sítě. Po zhruba 20 letech nám přineslo některé z nejlepších nástrojů pro správu sítě a systému. Jeho stěžejní produkt, Sledování výkonu sítě, trvale patří mezi špičkové nástroje pro monitorování šířky pásma sítě. SolarWinds také vytváří vynikající bezplatné nástroje, z nichž každý řeší specifickou potřebu správců sítě. Server Kiwi Syslog a Pokročilá kalkulačka podsítě jsou dva dobré příklady.
- ZDARMA demo: SolarWinds Threat Monitor - IT Ops Edition
- Oficiální odkaz ke stažení: https://www.solarwinds.com/threat-monitor/registration
Pro detekci narušení v síti SolarWinds nabízí Monitor hrozeb - IT Ops Edition. Na rozdíl od většiny ostatních SolarWinds nástroje, jedná se spíše o cloudovou službunež lokálně nainstalovaný software. Jednoduše se přihlásíte k odběru, nakonfigurujete jej a začne sledovat vaše prostředí kvůli pokusům o narušení a několika dalším typům hrozeb. Monitor hrozeb - IT Ops Edition kombinuje několik nástrojů. Má detekci narušení v síti i hostitele, jakož i centralizaci a korelaci protokolu a bezpečnostní informace a správu událostí (SIEM). Jedná se o velmi důkladnou sadu pro sledování hrozeb.
The Monitor hrozeb - IT Ops Edition je vždy aktuální a neustále se aktualizujeinteligenci hrozeb z více zdrojů, včetně databází IP a doménových reputací. Sleduje známé i neznámé hrozby. Nástroj obsahuje automatizované inteligentní reakce na rychlou nápravu bezpečnostních incidentů a poskytuje tak některé funkce, jako je prevence narušení.
Výstražné funkce produktu jsou docela dostimpozantní. Existují vícepodmínečné, vzájemně korelované alarmy, které pracují ve spojení s aktivním modulem reakce nástroje a pomáhají identifikovat a shrnout důležité události. Systém hlášení je stejně dobrý jako jeho upozornění a lze jej použít k prokázání shody pomocí existujících předdefinovaných šablon sestav. Můžete také vytvořit vlastní přehledy, které přesně odpovídají vašim obchodním potřebám.
Ceny za SolarWinds Threat Monitor - IT Ops Edition začněte u 4 500 $ až pro 25 uzlů s indexem 10 dnů. Můžete kontaktovat SolarWinds pro podrobnou nabídku přizpůsobenou vašim konkrétním potřebám. Pokud chcete produkt vidět v akci, můžete požádat o bezplatné demo SolarWinds.
2. Správce protokolů a událostí SolarWinds (Zkušební verze zdarma)
Nenechte to Správce protokolů a událostí SolarWindsJméno vás zmást. Je to mnohem víc než jen systém pro správu protokolů a událostí. Mnoho pokročilých funkcí tohoto produktu jej zařadilo do řady bezpečnostních informací a správy událostí (SIEM). Jiné vlastnosti jej kvalifikují jako systém detekce narušení a do jisté míry dokonce jako systém prevence narušení. Tento nástroj obsahuje například korelaci událostí v reálném čase a nápravu v reálném čase.
- Zkušební verze zdarma: Správce protokolů a událostí SolarWinds
- Oficiální odkaz ke stažení: https://www.solarwinds.com/log-event-manager-software/registration
The Správce protokolů a událostí SolarWinds má okamžitou detekci podezřelýchaktivita (funkce detekce narušení) a automatické odpovědi (funkce prevence narušení). Může také provádět vyšetřování bezpečnostních událostí a forenzní šetření pro účely zmírňování a dodržování předpisů. Díky auditu prověřenému výkaznictví lze tento nástroj použít mimo jiné k prokázání shody s HIPAA, PCI-DSS a SOX. Tento nástroj má také monitorování integrity souborů a monitorování zařízení USB, což z něj dělá mnohem více integrované platformy zabezpečení než jen systém správy protokolů a událostí.
Ceny za Správce protokolů a událostí SolarWinds začíná na 4 585 $ až pro 30 sledovaných uzlů. Licence lze zakoupit až pro 2 500 uzlů, díky čemuž je produkt vysoce škálovatelný. Pokud chcete produkt vyzkoušet a zjistit, zda je pro vás to pravé, máte k dispozici bezplatnou 30denní zkušební verzi s plným výkonem.
3. OSSEC
Zabezpečení Open Source, nebo OSSEC, je zdaleka přední open-source hostitelský systém detekce narušení. Produkt je ve vlastnictví společnosti Trend Micro, jedno z předních jmen v oblasti IT bezpečnosti a internetuvýrobce jednoho z nejlepších antivirových balíčků. Při instalaci na unixové operační systémy se software zaměřuje především na protokolové a konfigurační soubory. Vytváří kontrolní součty důležitých souborů a pravidelně je ověřuje, upozorní vás, kdykoli se stane něco zvláštního. Bude také sledovat a upozorňovat na jakýkoli neobvyklý pokus o získání přístupu root. Na počítačích se systémem Windows také systém dohlíží na neoprávněné úpravy registru, které by mohly být známkou škodlivé činnosti.
Díky tomu, že se jedná o systém detekce narušení hostitele, OSSEC musí být nainstalován na každém počítači, který chcete chránit. Centralizovaná konzola však konsoliduje informace z každého chráněného počítače pro snazší správu. Zatímco OSSEC konzole běží pouze na operačních systémech Unix-Like,agent je k dispozici pro ochranu hostitelů Windows. Jakákoli detekce spustí varování, které se zobrazí na centralizované konzole, zatímco oznámení budou zaslána také e-mailem.
4. Šňupat
Šňupat je pravděpodobně nejznámější open-sourcesíťový systém detekce narušení. Je to však více než nástroj detekce narušení. Je to také čtečka paketů a záznamník paketů a také několik dalších funkcí. Konfigurace produktu připomíná konfiguraci brány firewall. To se provádí pomocí pravidel. Základní pravidla si můžete stáhnout z Šňupat a používejte je tak, jak jsou, nebo je přizpůsobte vašim konkrétním potřebám. Můžete se také přihlásit k odběru Šňupat pravidla, která automaticky získají všechna nejnovější pravidla, jak se vyvíjejí nebo jak se objevují nové hrozby.
Seřadit je velmi důkladný a dokonce i jeho základní pravidla mohoudetekovat širokou škálu událostí, jako jsou kontroly skrytých portů, útoky přetečení vyrovnávacích pamětí, útoky CGI, sondy SMB a otisky OS. To, co můžete pomocí tohoto nástroje zjistit, není prakticky žádné a to, co zjistí, závisí pouze na nainstalované sadě pravidel. Pokud jde o metody detekce, některé ze základních Šňupat pravidla jsou založena na podpisu, zatímco jiná jsou založena na anomáliích. Šňupat proto vám může dát to nejlepší z obou světů.
5. Samhain
Samhain je dalším dobře známým narušením hostiteledetekční systém. Jeho hlavní rysy, z hlediska IDS, jsou kontrola integrity souborů a monitorování / analýza souborů protokolu. Přesto to dělá mnohem víc. Produkt bude provádět detekci rootkitů, monitorování portů, detekci nepoctivých spustitelných souborů SUID a skrytých procesů.
Tento nástroj byl navržen tak, aby monitoroval více hostitelů provozujících různé operační systémy a zároveň poskytoval centralizované protokolování a údržbu. Nicméně, Samhain lze také použít jako samostatnou aplikaci najeden počítač. Tento software běží především na systémech POSIX, jako jsou Unix, Linux nebo OS X. Může také běžet na Windows pod Cygwinem, balíčkem, který umožňuje spouštění aplikací POSIX na Windows, i když v této konfiguraci byl testován pouze monitorovací agent.
Jeden z SamhainNejunikátnější funkcí je jeho stealth režim, kterýumožňuje běh, aniž by byl detekován potenciálními útočníky. Je známo, že vetřelci rychle zabíjejí detekční procesy, které rozpoznají, jakmile vstoupí do systému, než jsou detekováni, což jim umožňuje bez povšimnutí. Samhain používá steganografické techniky ke skrytí svých procesů před ostatními. Chrání také své centrální protokolové soubory a zálohy konfigurace pomocí klíče PGP, aby se zabránilo neoprávněné manipulaci.
6. Suricata
Suricata není jen systém detekce narušení. Má také některé funkce prevence narušení. Ve skutečnosti je inzerován jako kompletní ekosystém monitorování zabezpečení sítě. Jednou z nejlepších výhod tohoto nástroje je to, jak funguje až po aplikační vrstvu. Díky tomu je hybridním systémem založeným na síti a hostiteli, který umožňuje nástroji detekovat hrozby, které by pravděpodobně ostatní nástroje nevšimly.
Suricata je skutečná detekce narušení sítěSystém, který pracuje nejen na aplikační vrstvě. Bude monitorovat síťové protokoly nižší úrovně, jako jsou TLS, ICMP, TCP a UDP. Nástroj také rozumí a dekóduje protokoly vyšší úrovně, jako je HTTP, FTP nebo SMB, a dokáže detekovat pokusy o narušení skryté v jinak normálních požadavcích. Nástroj také obsahuje možnosti extrakce souborů, které správcům umožňují prozkoumat jakýkoli podezřelý soubor.
SuricataArchitektura aplikací je zcela inovativní. Nástroj rozdělí své pracovní zatížení do několika procesorových jader a vláken pro nejlepší výkon. V případě potřeby může dokonce část zpracování zpracovat na grafickou kartu. To je skvělá funkce, když se nástroj používá na serverech, protože jejich grafická karta je obvykle nedostatečně využívána.
7. Bro Network Security Monitor
The Bro Network Security Monitor, další systém detekce narušení sítě. Nástroj pracuje ve dvou fázích: protokolování provozu a analýza provozu. Stejně jako Suricata, Bro Network Security Monitor pracuje na více vrstvách až do aplikacevrstva. To umožňuje lepší detekci pokusů o rozdělené vniknutí. Analytický modul nástroje se skládá ze dvou prvků. První prvek se nazývá mechanismus událostí a sleduje spouštěcí události, jako jsou například připojení TCP nebo požadavky HTTP. Události jsou poté analyzovány skripty politik, druhým prvkem, který rozhoduje o tom, zda spustit alarm nebo spustit akci. Možnost spuštění akce poskytuje Bro Network Security Monitoru některé funkce podobné IPS.
The Bro Network Security Monitor umožňuje sledovat aktivity HTTP, DNS a FTP a dalšítaké monitoruje přenos SNMP. To je dobrá věc, protože SNMP se často používá pro monitorování sítě, nejedná se však o bezpečný protokol. A protože může být také použit k úpravám konfigurací, může být zneužíván uživateli se zlými úmysly. Tento nástroj vám také umožní sledovat změny konfigurace zařízení a SNMP Trapy. Může být nainstalován na Unixu, Linuxu a OS X, ale není k dispozici pro Windows, což je možná jeho hlavní nevýhoda.
Komentáře