- - Trojanere med fjernadgang (RATs) - Hvad er de, og hvordan man beskytter mod dem?

Trojanere med fjernadgang (RATs) - Hvad er de, og hvordan man beskytter mod dem?

Fjernadgang Trojan, eller RAT, er en afnastiest typer malware man kan tænke på. De kan forårsage alle slags skader, og de kan også være ansvarlige for dyre datatab. De skal kæmpes aktivt, fordi de ud over at være grimme er relativt almindelige. I dag gør vi vores bedste for at forklare, hvad de er, og hvordan de fungerer, og vi vil fortælle dig, hvad der kan gøres for at beskytte mod dem.

Vi starter vores diskussion i dag afforklarer hvad en RAT er. Vi går ikke for dybt i de tekniske detaljer, men gør vores bedste for at forklare, hvordan de fungerer, og hvordan de kommer til dig. Dernæst, mens vi prøver ikke at lyde for paranoide, ser vi, hvordan RATs næsten kan ses som våben. Faktisk er nogle blevet brugt som sådan. Derefter introducerer vi et par af de bedst kendte RATs. Det giver dig en bedre idé om, hvad de er i stand til. Vi vil derefter se, hvordan man kan bruge indtrængende detekteringsværktøjer til at beskytte mod RATs, og vi vil gennemgå nogle af de bedste af disse værktøjer.

Så hvad er en RAT?

Det Fjernadgang Trojan er en type malware, der lader en hacker eksternt(deraf navnet) tage kontrol over en computer. Lad os analysere navnet. Trojan-delen handler om, hvordan malware distribueres. Det henviser til den antikke græske historie om trojanske hesten, som Ulysses byggede for at tage byen Troy tilbage, som var blevet belejret i ti år. I forbindelse med computer malware er en trojansk hest (eller simpelthen trojan) et stykke malware, der distribueres som noget andet. For eksempel kan et spil, du downloader og installerer på din computer, faktisk være en trojansk hest, og det kan indeholde en vis malware-kode.

Hvad angår fjernadgangsdelen af ​​RAT's navn,det har at gøre med, hvad malware gør. Kort sagt giver det forfatteren mulighed for at få fjernadgang til den inficerede computer. Og når han får fjernadgang, er der knap nogen grænser for, hvad han kan gøre. Det kan variere fra at udforske dit filsystem, se dine aktiviteter på skærmen, høste dine loginoplysninger eller kryptere dine filer til at kræve løsepenge. Han kunne også stjæle dine data eller, endnu værre, din klients. Når RAT er installeret, kan din computer blive et knudepunkt, hvorfra angreb lanceres på andre computere på det lokale netværk og derved omgå enhver omkreds sikkerhed.

Rat i historien

Rat har desværre eksisteret i over aårti. Det antages, at teknologien har spillet en rolle i den omfattende plyndring af amerikansk teknologi af kinesiske hackere tilbage i 2003. En Pentagon-undersøgelse opdagede datatyveri fra amerikanske forsvarsentreprenører, hvor klassificerede udviklings- og testdata blev overført til lokationer i Kina.

Måske husker du Det Forenede Stater østLukninger i kystnettet i 2003 og 2008. Disse blev også sporet tilbage til Kina og syntes at være blevet lettet af RATs. En hacker, der kan få en RAT på et system, kan drage fordel af den software, som brugerne af det inficerede system har til rådighed, ofte uden at de engang bemærker det.

Rat som våben

En ondsindet RAT-udvikler kan tage kontrol overkraftværker, telefonnet, nukleare anlæg eller gasledninger. Som sådan udgør RATs ikke kun en risiko for virksomhedernes sikkerhed. De kan også sætte nationer i stand til at angribe et fjendeland. Som sådan kan de ses som våben. Hackere over hele verden bruger RATs til at spionere på virksomheder og stjæle deres data og penge. I mellemtiden er RAT-problemet nu blevet et spørgsmål om national sikkerhed for mange lande, inklusive USA.

Oprindeligt brugt til industriel spionage ogsabotage af kinesiske hackere, er Rusland kommet til at sætte pris på RAT's magt og har integreret dem i dets militære arsenal. De er nu en del af den russiske lovovertrædelsesstrategi, der er kendt som ”hybrid krigsførelse.” Da Rusland beslaglagde en del af Georgien i 2008, anvendte det DDoS-angreb for at blokere internettjenester og RATs for at samle efterretning, kontrol og forstyrre georgisk militær hardware og essentiel forsyningsselskaber.

Et par berømte rat

Lad os se på et par af de mest kendte RATs. Vores idé her er ikke at glorificere dem, men i stedet for at give dig en idé om, hvor varierede de er.

Tilbage åbning

Back Orifice er en amerikansk lavet RAT, der harværet omkring siden 1998. Den slags er bedstemødre til RATs. Det originale skema udnyttede en svaghed i Windows 98. Senere versioner, der kørte på nyere Windows-operativsystemer blev kaldt Back Orifice 2000 og Deep Back Orifice.

Denne RAT er i stand til at skjule sig inden foroperativsystem, hvilket gør det særligt svært at opdage. I dag har de fleste virusbeskyttelsessystemer dog de Back Orifice-eksekverbare filer og okklusionsadfærd som underskrifter til at passe på. Et kendetegn ved denne software er, at den har en brugervenlig konsol, som den ubudne gæst kan bruge til at navigere og gennemse det inficerede system. Når det er installeret, kommunikerer dette serverprogram med klientkonsollen ved hjælp af standardnetværksprotokoller. For eksempel er det kendt at bruge portnummer 21337.

DarkComet

DarkComet blev skabt tilbage i 2008 af Frenchhacker Jean-Pierre Lesueur, men blev kun opmærksom på cybersecurity-samfundet i 2012, da det blev opdaget, at en afrikansk hacker-enhed brugte systemet til at målrette den amerikanske regering og militæret.

DarkComet er kendetegnet ved en let at brugeinterface, der giver brugere med ringe eller ingen tekniske færdigheder mulighed for at udføre hackerangreb. Det tillader spionering gennem keylogging, skærmfangst og adgangskodehøstning. Den kontrollerende hacker kan også betjene strømfunktionerne på en ekstern computer, så en computer kan tændes eller slukkes eksternt. Netværksfunktionerne på en inficeret computer kan også udnyttes til at bruge computeren som en proxyserver og maske brugerens identitet under angreb på andre computere. DarkComet-projektet blev forladt af sin udvikler allerede i 2014, da det blev opdaget, at det var i brug af den syriske regering til at spionere på sine borgere.

Mirage

Mirage er en berømt RAT, der bruges af en stats sponsoreretKinesisk hacker-gruppe. Efter en meget aktiv spioneringskampagne fra 2009 til 2015 gik gruppen stille. Mirage var gruppens primære værktøj fra 2012. Opdagelsen af ​​en Mirage-variant, kaldet MirageFox i 2018, er en antydning af, at gruppen kunne være tilbage i aktion.

MirageFox blev opdaget i marts 2018, da detblev brugt til at spionere på britiske regeringsentreprenører. Hvad angår den oprindelige Mirage RAT, blev den brugt til angreb på et olieselskab i Filippinerne, det taiwanesiske militær, et canadisk energiselskab og andre mål i Brasilien, Israel, Nigeria og Egypten.

Denne RAT leveres indlejret i en PDF. Åbning af det får scripts til at udføre, som installerer RAT. Når den først er installeret, er dens første handling at rapportere tilbage til kommando- og kontrolsystemet med en revision af det inficerede systems muligheder. Disse oplysninger inkluderer CPU-hastighed, hukommelseskapacitet og anvendelse, systemnavn og brugernavn.

Beskyttelse mod rotter - Intrusionsdetekteringsværktøjer

Virusbeskyttelsessoftware er undertiden ubrugelig klopdage og forhindre RATs. Dette skyldes delvis deres art. De skjuler sig lige som noget andet, der er fuldstændig legitim. Af den grund opdages de ofte bedst af systemer, der analyserer computere for unormal opførsel. Sådanne systemer kaldes intrusionsdetekteringssystemer.

Vi har søgt markedet efter den bedste indtrængenRegistreringssystemer. Vores liste indeholder en blanding af bona fide-intrusionsdetektionssystemer og anden software, der har en intrusionsdetekteringskomponent, eller som kan bruges til at registrere intrusionsforsøg. De vil typisk gøre et bedre stykke arbejde med at identificere fjernadgangstrojaner som andre typer malware-beskyttelsesværktøjer.

1. SolarWinds Threat Monitor - IT Ops Edition (GRATIS demo)

SolarWinds er et almindeligt navn inden for netværksadministrationsværktøjer. Efter at have eksisteret i omkring 20 år bragte det os nogle af de bedste netværks- og systemadministrationsværktøjer. Dets flagskibsprodukt, Network Performance Monitor, scorer konsekvent blandt de øverste overvågningsværktøjer til båndbredde på netværket. SolarWinds gør også fremragende gratis værktøjer, der hver især imødekommer et specifikt behov hos netværksadministratorer. Det Kiwi Syslog Server og Avanceret undernetberegner er to gode eksempler på dem.

SolarWinds Threat Monitor - IT Ops Edition - Dashboard

  • GRATIS demonstration: SolarWinds Threat Monitor - IT Ops Edition
  • Officielt downloadlink: https://www.solarwinds.com/threat-monitor/registration

Til netværksbaseret indtrængningsdetektion, SolarWinds tilbyder Threat Monitor - IT Ops Edition. I modsætning til de fleste andre SolarWinds værktøjer, denne er snarere en skybaseret serviceend en lokalt installeret software. Du abonnerer simpelthen på det, konfigurerer det, og det begynder at se dit miljø for indtrængenforsøg og et par flere typer trusler. Det Threat Monitor - IT Ops Edition kombinerer flere værktøjer. Det har både netværks- og værtsbaseret intrusionsdetektion såvel som logcentralisering og korrelation samt Sikkerhedsinformation og begivenhedsstyring (SIEM). Det er en meget grundig trusselovervågningssuite.

Det Threat Monitor - IT Ops Edition er altid ajour og konstant bliver opdaterettrussel intelligens fra flere kilder, herunder IP og domæne omdømme databaser. Det holder øje med både kendte og ukendte trusler. Værktøjet indeholder automatiserede intelligente svar til hurtigt at afhjælpe sikkerhedshændelser, hvilket giver det nogle indtrængenforebyggelseslignende funktioner.

Produktets advarselsfunktioner er ganskeimponerende. Der er multikonditionelle, krydskorrelerede alarmer, der fungerer sammen med værktøjets Active Response-motor og hjælper med at identificere og sammenfatte vigtige begivenheder. Rapporteringssystemet er lige så godt som dets alarmering og kan bruges til at demonstrere overensstemmelse ved hjælp af eksisterende forudbyggede rapportskabeloner. Alternativt kan du oprette tilpassede rapporter, der præcist passer til dine forretningsbehov.

Priser for SolarWinds Threat Monitor - IT Ops Edition start ved $ 4 500 for op til 25 noder med 10 dages indeks. Du kan kontakte SolarWinds for et detaljeret tilbud tilpasset dine specifikke behov. Og hvis du foretrækker at se produktet i aktion, kan du anmode om en gratis demo fra SolarWinds.

2. SolarWinds Log & Event Manager (Gratis prøveversion)

Lad ikke det SolarWinds Log & Event ManagerNavn narre dig. Det er meget mere end bare et log- og eventstyringssystem. Mange af de avancerede funktioner i dette produkt lægger det i SIEM-området Security Information and Event Management. Andre funktioner kvalificerer det som et intrusionsdetektionssystem og endda til en vis grad som et intrusionsforebyggelsessystem. Dette værktøj har f.eks. Korrelation i realtid og genanvendelse i realtid.

SolarWinds Log- og Event Manager-skærmbillede

  • Gratis prøveversion: SolarWinds Log & Event Manager
  • Officielt downloadlink: https://www.solarwinds.com/log-event-manager-software/registration

Det SolarWinds Log & Event Manager indeholder øjeblikkelig registrering af mistænkeligeaktivitet (en funktionalitet til påvisning af indtrængen) og automatiserede svar (en funktion til forebyggelse af indtrængen). Det kan også udføre sikkerhedsbegivenhedsundersøgelse og kriminalteknologi til både formildende og overholdelsesformål. Takket være den gennemprøvede revisionsrapportering kan værktøjet også bruges til at demonstrere overensstemmelse med HIPAA, PCI-DSS og SOX, blandt andre. Værktøjet har også filintegritetsovervågning og USB-enhedsovervågning, hvilket gør det meget mere til en integreret sikkerhedsplatform end blot et log- og begivenhedsstyringssystem.

Priser for SolarWinds Log & Event Manager starter ved $ 4 585 for op til 30 overvågede noder. Licenser til op til 2 500 noder kan købes, hvilket gør produktet meget skalerbart. Hvis du vil tage produktet til en testkørsel og se selv, om det er rigtigt for dig, er en gratis komplet 30-dages prøveperiode tilgængelig.

3. OSSEC

Open Source Security, eller OSSEC, er langt det førende open-source værtbaserede intrusionsdetekteringssystem. Produktet ejes af Trend Micro, et af de førende navne inden for it-sikkerhed ogproducent af en af ​​de bedste virusbeskyttelses suiter. Når den er installeret på Unix-lignende operativsystemer, fokuserer softwaren primært på log- og konfigurationsfiler. Det opretter kontrolsummer af vigtige filer og validerer dem med jævne mellemrum og advarer dig, når der sker noget underligt. Det vil også overvåge og advare om ethvert unormalt forsøg på at få rodadgang. På Windows-værter holder systemet også øje med uautoriserede registreringsdatabaseændringer, der kan være et fortællende tegn på ondsindet aktivitet.

OSSEC Dashboard-skærmbillede

I kraft af at være et værtsbaseret system til detektion af indtrængen, OSSEC skal installeres på hver computer, du vil beskytte. En centraliseret konsol konsoliderer dog oplysninger fra hver beskyttet computer for lettere administration. Mens OSSEC konsol kører kun på Unix-lignende operativsystemer,en agent er tilgængelig for at beskytte Windows-værter. Enhver detektion udløser en alarm, der vises på den centraliserede konsol, mens underretninger også sendes via e-mail.

4. Snøfte

Snøfte er sandsynligvis den mest kendte open sourcenetværksbaseret intrusionsdetektionssystem. Men det er mere end et indtrængende detekteringsværktøj. Det er også en pakkesniffer og en pakkelogger, og den pakker også et par andre funktioner. Konfiguration af produktet minder om konfiguration af en firewall. Det gøres ved hjælp af regler. Du kan downloade basisregler fra Snøfte websted og brug dem som den er eller tilpas dem efter dine specifikke behov. Du kan også abonnere på Snøfte regler for automatisk at få alle de nyeste regler, når de udvikler sig, eller når nye trusler opdages.

Snort IDS-konsol på Windows

Sortere er meget grundig, og selv dens grundlæggende regler kanopdage en lang række begivenheder såsom stealth-port-scanninger, bufferoverløbsangreb, CGI-angreb, SMB-prober og OS-fingeraftryk. Der er næsten ingen grænse for, hvad du kan registrere med dette værktøj, og hvad det registrerer, afhænger udelukkende af det regelsæt, du installerer. Hvad angår detektionsmetoder, nogle af de grundlæggende Snøfte regler er signaturbaserede, mens andre er anomali-baserede. Snøfte kan derfor give dig det bedste fra begge verdener.

5. Samhain

Samhain er en anden velkendt gratis værtindtrængendetektionssystem. Dets vigtigste funktioner fra et IDS-synspunkt er filintegritetskontrol og logfilovervågning / -analyse. Det gør dog mere end det. Produktet udfører rootkit-detektion, portovervågning, detektion af slyngelige SUID-eksekverbare computere og skjulte processer.

Værktøjet var designet til at overvåge flere værter, der kører forskellige operativsystemer, mens det leverer centraliseret logning og vedligeholdelse. Imidlertid, Samhain kan også bruges som en selvstændig applikation påen enkelt computer. Softwaren kører primært på POSIX-systemer som Unix, Linux eller OS X. Den kan også køre på Windows under Cygwin, en pakke, der tillader at køre POSIX-applikationer på Windows, skønt kun overvågningsagenten er blevet testet i denne konfiguration.

Samhain IDS-skærmbillede

En af SamhainDen mest unikke funktion er dens stealth mode, somtillader det at køre uden at blive opdaget af potentielle angribere. Det har været kendt for indtrængende, at de hurtigt dræber detektionsprocesser, de genkender, så snart de kommer ind i et system, før de opdages, hvilket tillader dem at gå upåagtet hen. Samhain bruger steganografiske teknikker til at skjule sine processer for andre. Det beskytter også sine centrale logfiler og konfigurationssikkerhedskopier med en PGP-nøgle for at forhindre manipulation.

6. Suricata

Suricata er ikke kun et intrusionsdetektionssystem. Det har også nogle funktioner til forebyggelse af indtrængen. Faktisk annonceres det som et komplet økosystem til overvågning af netværkssikkerhed. Et af værktøjets bedste aktiver er, hvordan det fungerer helt op til applikationslaget. Dette gør det til et hybrid netværks- og værtsbaseret system, der lader værktøjet opdage trusler, der sandsynligvis ville blive bemærket af andre værktøjer.

Suricata-skærmbillede

Suricata er en ægte netværksbaseret intrusionsdetektionSystem, der ikke kun fungerer i applikationslaget. Det vil overvåge netværksprotokoller på lavere niveau som TLS, ICMP, TCP og UDP. Værktøjet forstår og afkoder også protokoller på højere niveau, såsom HTTP, FTP eller SMB, og kan detektere indbrudsforsøg, der er skjult i ellers normale anmodninger. Værktøjet indeholder også filekstraktionsfunktioner, der giver administratorer mulighed for at undersøge enhver mistænkelig fil.

Suricata'S applikationsarkitektur er ret nyskabende. Værktøjet vil distribuere sin arbejdsbelastning over flere processorkerner og tråde for den bedste ydelse. Hvis det er nødvendigt, kan det endda downloade en del af dens behandling til grafikkortet. Dette er en fantastisk funktion, når du bruger værktøjet på servere, da deres grafikkort typisk er underbrugt.

7. Bro Network Security Monitor

Det Bro Network Security Monitor, et andet gratis netværksindtrædelsesdetektionssystem. Værktøjet fungerer i to faser: trafikregistrering og trafikanalyse. Ligesom Suricata, Bro Network Security Monitor fungerer på flere lag op til applikationenlag. Dette muliggør en bedre registrering af splitindtrængningsforsøg. Værktøjets analysemodul består af to elementer. Det første element kaldes hændelsesmotoren, og det sporer udløsende begivenheder såsom netto TCP-forbindelser eller HTTP-anmodninger. Begivenhederne analyseres derefter ved hjælp af politikmanuskripter, det andet element, der bestemmer, om der skal udløses en alarm eller / eller iværksættes en handling. Muligheden for at starte en handling giver Bro Network Security Monitor nogle IPS-lignende funktionalitet.

Bro Network Security Monitor - Skærmbillede

Det Bro Network Security Monitor lader dig spore HTTP-, DNS- og FTP-aktivitet og detovervåger også SNMP-trafik. Dette er en god ting, fordi SNMP ofte bruges til netværksovervågning, men det er ikke en sikker protokol. Og da det også kan bruges til at ændre konfigurationer, kan det udnyttes af ondsindede brugere. Værktøjet giver dig også mulighed for at se enhedskonfigurationsændringer og SNMP-fælder. Det kan installeres på Unix, Linux og OS X, men det er ikke tilgængeligt for Windows, hvilket måske er dens største ulempe.

Kommentarer