Ο Trojan απομακρυσμένης πρόσβασης, ή RAT, είναι ένας από τουςοι πιο γενναίοι τύποι κακόβουλου λογισμικού που μπορεί κανείς να σκεφτεί. Μπορούν να προκαλέσουν κάθε είδους ζημιά και μπορούν επίσης να ευθύνονται για ακριβές απώλειες δεδομένων. Πρέπει να αγωνιστούν ενεργά επειδή, εκτός από το ότι είναι δυσάρεστο, είναι σχετικά συχνές. Σήμερα, θα κάνουμε το καλύτερο δυνατό για να εξηγήσουμε τι είναι και πώς δουλεύουν, και θα σας ενημερώσουμε τι μπορεί να γίνει για να προστατευθεί από αυτούς.
Θα ξεκινήσουμε τη συζήτησή μας σήμεραεξηγώντας τι είναι RAT. Δεν θα πάμε πολύ βαθιά στις τεχνικές λεπτομέρειες αλλά κάνουμε το καλύτερο δυνατό για να εξηγήσουμε πώς λειτουργούν και πώς φτάνουν σε εσάς. Στη συνέχεια, προσπαθώντας να μην ακούγεται πάρα πολύ παρανοϊκός, θα δούμε πώς τα RATs μπορούν σχεδόν να θεωρηθούν ως όπλα. Στην πραγματικότητα, μερικά έχουν χρησιμοποιηθεί ως τέτοια. Μετά από αυτό, θα εισαγάγουμε μερικά από τα καλύτερα γνωστά RATs. Θα σας δώσει μια καλύτερη ιδέα για το τι είναι ικανό. Στη συνέχεια θα δούμε πώς μπορούμε να χρησιμοποιήσουμε εργαλεία ανίχνευσης εισβολών για προστασία από τους RAT και θα αναθεωρήσουμε μερικά από τα καλύτερα από αυτά τα εργαλεία.
Έτσι, τι είναι RAT;
ο Απομακρυσμένη πρόσβαση Trojan είναι ένας τύπος κακόβουλου λογισμικού που επιτρέπει σε έναν χάκερ από απόσταση(εξ ου και το όνομα) παίρνουν τον έλεγχο ενός υπολογιστή. Ας αναλύσουμε το όνομα. Το τμήμα Trojan αφορά τον τρόπο κατανομής του κακόβουλου λογισμικού. Αναφέρεται στην αρχαία ελληνική ιστορία του Δούρειου ίππου που ο Οδυσσέας έχτισε για να πάρει πίσω την πόλη της Τροίας που είχε πολιορκηθεί για δέκα χρόνια. Στο πλαίσιο του κακόβουλου λογισμικού, ένας δούρειος ίππος (ή απλά trojan) είναι ένα κομμάτι malware που διανέμεται ως κάτι άλλο. Για παράδειγμα, ένα παιχνίδι που κατεβάζετε και εγκαθιστάτε στον υπολογιστή σας θα μπορούσε στην πραγματικότητα να είναι δούρειος ίππος και θα μπορούσε να περιέχει κάποιο κώδικα κακόβουλου λογισμικού.
Όσον αφορά το τμήμα απομακρυσμένης πρόσβασης του ονόματος της RAT,έχει να κάνει με το τι κάνει το κακόβουλο λογισμικό. Με απλά λόγια, επιτρέπει στον συντάκτη της να έχει απομακρυσμένη πρόσβαση στον μολυσμένο υπολογιστή. Και όταν αποκτά απομακρυσμένη πρόσβαση, ελάχιστα όρια υπάρχουν σε ό, τι μπορεί να κάνει. Μπορεί να διαφέρει από την εξερεύνηση του συστήματος αρχείων σας, την παρακολούθηση των ενεργειών σας στην οθόνη, τη συλλογή των διαπιστευτηρίων σύνδεσης ή την κρυπτογράφηση των αρχείων σας για να ζητήσετε λύτρα. Θα μπορούσε επίσης να κλέψει τα δεδομένα σας ή, ακόμα χειρότερα, τον πελάτη σας. Μόλις εγκατασταθεί το RAT, ο υπολογιστής σας μπορεί να γίνει ένας κόμβος από τον οποίο εκτελούνται οι επιθέσεις σε άλλους υπολογιστές του τοπικού δικτύου, παρακάμπτοντας έτσι οποιαδήποτε περιμετρική ασφάλεια.
RATs στην ιστορία
Τα RATs ήταν δυστυχώς περίπου για πάνω από έναδεκαετία. Πιστεύεται ότι η τεχνολογία έχει παίξει ρόλο στην εκτεταμένη λεηλασία της αμερικανικής τεχνολογίας από τους κινέζους χάκερς το 2003. Μια έρευνα του Πενταγώνου ανακάλυψε την κλοπή δεδομένων από τους εργολάβους άμυνας των ΗΠΑ, με ταξινομημένα δεδομένα ανάπτυξης και δοκιμών να μεταφέρονται σε τοποθεσίες στην Κίνα.
Ίσως θα θυμηθείτε τις Ανατολικές Ηνωμένες ΠολιτείεςΠαράλειψη διακοπής του ηλεκτρικού ρεύματος των ακτών του 2003 και του 2008. Αυτά εντοπίστηκαν επίσης στην Κίνα και φάνηκαν ότι διευκολύνθηκαν από τους RATs. Ένας χάκερ που μπορεί να πάρει ένα RAT σε ένα σύστημα μπορεί να επωφεληθεί από οποιοδήποτε από το λογισμικό που έχουν οι χρήστες του μολυσμένου συστήματος στη διάθεσή τους, συχνά χωρίς να το παρατηρούν καν.
RAT ως όπλα
Ένας κακόβουλος προγραμματιστής RAT μπορεί να πάρει τον έλεγχο τουσταθμών ηλεκτροπαραγωγής, τηλεφωνικών δικτύων, πυρηνικών εγκαταστάσεων ή αγωγών φυσικού αερίου. Ως εκ τούτου, τα RAT δεν θέτουν μόνο κίνδυνο για την εταιρική ασφάλεια. Μπορούν επίσης να επιτρέψουν στα έθνη να επιτεθούν σε εχθρική χώρα. Ως εκ τούτου, μπορούν να θεωρηθούν ως όπλα. Οι χάκερ σε όλο τον κόσμο χρησιμοποιούν RATs για να κατασκοπεύουν εταιρείες και να κλέψουν τα δεδομένα και τα χρήματά τους. Εν τω μεταξύ, το πρόβλημα RAT έχει πλέον γίνει θέμα εθνικής ασφάλειας για πολλές χώρες, συμπεριλαμβανομένων των ΗΠΑ.
Χρησιμοποιήθηκε αρχικά για βιομηχανική κατασκοπεία καισαμποτάζ από κινέζους χάκερς, η Ρωσία έρχεται να εκτιμήσει τη δύναμη των RATs και τις ενσωμάτωσε στο στρατιωτικό της οπλοστάσιο. Σήμερα, η Ρωσία κατέλαβε τμήμα της Γεωργίας το 2008, χρησιμοποίησε επιθέσεις DDoS για να αποκλείσει τις υπηρεσίες διαδικτύου και τα RAT για να συλλέξει πληροφορίες, έλεγχο και να διαταράξει το στρατιωτικό υλικό της Γεωργίας και βασικές βοηθητικά προγράμματα.
Λίγα (στα) διάσημα RATs
Ας ρίξουμε μια ματιά σε μερικά από τα πιο γνωστά RATs. Η ιδέα μας εδώ δεν είναι να τους δοξάσουμε, αλλά να δώσουμε μια ιδέα για το πόσο ποικίλοι είναι αυτοί.
Όπισθεν
Το Back Orifice είναι ένας Αμερικανικός RAT που έχειήταν γύρω από το 1998. Είναι είδος του παππού των RATs. Το αρχικό σχέδιο εκμεταλλεύτηκε μια αδυναμία στα Windows 98. Οι μεταγενέστερες εκδόσεις που λειτουργούσαν σε νεότερα λειτουργικά συστήματα των Windows ονομάζονταν Back Orifice 2000 και Deep Back Orifice.
Αυτό το RAT μπορεί να κρυφτεί μέσα στολειτουργικό σύστημα, γεγονός που καθιστά ιδιαίτερα δύσκολο να εντοπιστεί. Σήμερα, όμως, τα περισσότερα συστήματα προστασίας από ιούς έχουν τα εκτελέσιμα αρχεία οπίσθιας όψης και τη συμπεριφορά απόφραξης ως υπογραφές για να κοιτάξουν έξω. Ένα χαρακτηριστικό γνώρισμα αυτού του λογισμικού είναι ότι διαθέτει μια κονσόλα εύκολη στη χρήση την οποία μπορεί να χρησιμοποιήσει ο εισβολέας για να περιηγηθεί και να περιηγηθεί στο μολυσμένο σύστημα. Μόλις εγκατασταθεί, αυτό το πρόγραμμα διακομιστή επικοινωνεί με την κονσόλα πελάτη χρησιμοποιώντας πρότυπα πρωτόκολλα δικτύωσης. Για παράδειγμα, είναι γνωστό ότι χρησιμοποιείται αριθμός θύρας 21337.
DarkComet
Το DarkComet δημιουργήθηκε το 2008 από τους Γάλλουςο χάκερ Jean-Pierre Lesueur, αλλά το μόνο που ήρθε στην προσοχή της κοινότητας στον κυβερνοχώρο το 2012, όταν ανακαλύφθηκε ότι μια μονάδα αφρικανικής χάκερ χρησιμοποίησε το σύστημα για να στοχεύσει την κυβέρνηση και τον στρατό των ΗΠΑ.
Το DarkComet χαρακτηρίζεται από ένα εύκολο στη χρήσηπου επιτρέπει στους χρήστες με ελάχιστες ή καθόλου τεχνικές δεξιότητες να εκτελούν επιθέσεις χάκερ. Επιτρέπει την κατασκοπεία μέσω keylogging, συλλογή οθόνης και συλλογή κωδικού πρόσβασης. Ο χάκερ ελέγχου μπορεί επίσης να χειριστεί τις λειτουργίες τροφοδοσίας ενός απομακρυσμένου υπολογιστή, επιτρέποντας στον υπολογιστή να ενεργοποιηθεί ή να απενεργοποιηθεί εξ αποστάσεως. Οι λειτουργίες δικτύου ενός μολυσμένου υπολογιστή μπορούν επίσης να χρησιμοποιηθούν για να χρησιμοποιήσουν τον υπολογιστή ως διακομιστή μεσολάβησης και να αποκρύψουν την ταυτότητα του χρήστη κατά τη διάρκεια επιδρομών σε άλλους υπολογιστές. Το έργο DarkComet εγκαταλείφθηκε από τον κύριο του έργου του το 2014, όταν ανακαλύφθηκε ότι χρησιμοποιήθηκε από τη συριακή κυβέρνηση για να κατασκοπεύει τους πολίτες της.
Αντικατοπτρισμός
Το Mirage είναι ένα διάσημο RAT που χρησιμοποιείται από μια κρατική χορηγίαΚινεζική ομάδα χάκερ. Μετά από μια πολύ δραστήρια εκστρατεία κατασκοπίας από το 2009 έως το 2015, η ομάδα παρέμεινε ήσυχη. Το Mirage ήταν το κύριο εργαλείο του ομίλου από το 2012. Η ανίχνευση μιας παραλλαγής Mirage, που ονομάζεται MirageFox το 2018, είναι ένας υπαινιγμός ότι η ομάδα θα μπορούσε να ξαναγίνει σε δράση.
Το MirageFox ανακαλύφθηκε το Μάρτιο του 2018 όταν το έκανανχρησιμοποιήθηκε για να κατασκοπεύσει εργολάβους του Ηνωμένου Βασιλείου. Όσο για το αρχικό Mirage RAT, χρησιμοποιήθηκε για επιθέσεις εναντίον μιας πετρελαϊκής εταιρείας στις Φιλιππίνες, του Ταϊβάν στρατού, μιας καναδικής εταιρείας ενέργειας και άλλων στόχων στη Βραζιλία, το Ισραήλ, τη Νιγηρία και την Αίγυπτο.
Αυτό το RAT παραδίδεται ενσωματωμένο σε PDF. Το άνοιγμα αυτό προκαλεί εκτέλεση σεναρίων τα οποία εγκαθιστούν το RAT. Αφού εγκατασταθεί, η πρώτη του ενέργεια είναι να υποβάλει αναφορά στο σύστημα εντολών και ελέγχου με έλεγχο των δυνατοτήτων του μολυσμένου συστήματος. Αυτές οι πληροφορίες περιλαμβάνουν την ταχύτητα CPU, την χωρητικότητα μνήμης και τη χρήση, το όνομα του συστήματος και το όνομα χρήστη.
Προστασία από RAT - Εργαλεία ανίχνευσης εισβολών
Το λογισμικό προστασίας από ιούς είναι μερικές φορές άχρηστοανίχνευση και πρόληψη RAT. Αυτό οφείλεται εν μέρει στη φύση τους. Κρύβονται με απλό βλέμμα ως κάτι άλλο που είναι εντελώς νόμιμο. Για το λόγο αυτό, εντοπίζονται συχνά καλύτερα από συστήματα που αναλύουν υπολογιστές για μη φυσιολογική συμπεριφορά. Τέτοια συστήματα ονομάζονται συστήματα ανίχνευσης εισβολής.
Έχουμε ψάξει στην αγορά για την καλύτερη εισβολήΣυστήματα ανίχνευσης. Ο κατάλογός μας περιέχει ένα μείγμα συστημάτων bona fide ανίχνευσης εισβολής και άλλου λογισμικού που έχει συστατικό ανίχνευσης εισβολής ή το οποίο μπορεί να χρησιμοποιηθεί για την ανίχνευση προσπαθειών εισβολής. Θα κάνουν συνήθως μια καλύτερη δουλειά για την αναγνώριση των Trojans Remote Access ότι άλλα είδη εργαλείων προστασίας από κακόβουλα προγράμματα.
1. SolarWinds απειλή παρακολούθησης - IT Ops Edition (ΔΩΡΕΑΝ επίδειξη)
SolarWinds είναι ένα κοινό όνομα στο πεδίο των εργαλείων διαχείρισης δικτύου. Έχοντας περάσει περίπου 20 χρόνια, μας έφερε μερικά από τα καλύτερα εργαλεία διαχείρισης δικτύων και συστημάτων. Το προϊόν της ναυαρχίδας, το Παρακολούθηση επιδόσεων δικτύου, βαθμολογείται σταθερά μεταξύ των κορυφαίων εργαλείων παρακολούθησης του εύρους ζώνης δικτύου. SolarWinds κάνει επίσης εξαιρετικά δωρεάν εργαλεία, καθένα από τα οποία αντιμετωπίζει μια συγκεκριμένη ανάγκη διαχειριστών δικτύου. ο Διακομιστή Syslog Kiwi και το Προηγμένος υπολογιστής υποδικτύου είναι δύο καλά παραδείγματα αυτών.
- ΔΩΡΕΑΝ επίδειξη: SolarWinds απειλή παρακολούθησης - IT Ops Edition
- Επίσημη Λήψη Link: https://www.solarwinds.com/threat-monitor/registration
Για την ανίχνευση εισβολής με βάση το δίκτυο, SolarWinds προσφέρει το Παρακολούθηση απειλών - Έκδοση Ops. Αντίθετα με τα περισσότερα SolarWinds εργαλεία, αυτό είναι μια υπηρεσία που βασίζεται σε σύννεφο, μάλλοναπό ένα τοπικά εγκατεστημένο λογισμικό. Απλά εγγραφείτε σε αυτό, ρυθμίστε το και αρχίστε να βλέπετε το περιβάλλον σας για απόπειρες εισβολής και μερικές άλλες απειλές. ο Παρακολούθηση απειλών - Έκδοση Ops συνδυάζει διάφορα εργαλεία. Διαθέτει ανίχνευση εισβολών με βάση το δίκτυο και τον κεντρικό υπολογιστή, καθώς και συγκεντρωτική καταγραφή και συσχέτιση λογοτύπου, καθώς και πληροφορίες ασφάλειας και διαχείρισης συμβάντων (SIEM). Πρόκειται για μια πολύ εξονυχιστική σουίτα παρακολούθησης απειλών.
ο Παρακολούθηση απειλών - Έκδοση Ops είναι πάντα ενημερωμένη, ενημερώνεται συνεχώςαπειλών από πολλές πηγές, συμπεριλαμβανομένων των βάσεων δεδομένων IP και Domain Reputation. Παρακολουθεί τόσο τις γνωστές όσο και τις άγνωστες απειλές. Το εργαλείο διαθέτει αυτοματοποιημένες έξυπνες απαντήσεις για την ταχεία αποκατάσταση των συμβάντων ασφαλείας, δίνοντάς του ορισμένα χαρακτηριστικά παρόμοια με την πρόληψη της εισβολής.
Τα χαρακτηριστικά προειδοποίησης του προϊόντος είναι αρκετάΕΝΤΥΠΩΣΙΑΚΟ. Υπάρχουν συναγερμοί πολλαπλών συνθηκών, πολλαπλής συσχέτισης που λειτουργούν σε συνδυασμό με τον κινητήρα Active Response του εργαλείου και βοηθούν στον εντοπισμό και τη σύνοψη σημαντικών συμβάντων. Το σύστημα αναφοράς είναι εξίσου καλό με την ειδοποίησή του και μπορεί να χρησιμοποιηθεί για να αποδείξει τη συμμόρφωσή του χρησιμοποιώντας τα υπάρχοντα πρότυπα πρότυπα αναφοράς. Εναλλακτικά, μπορείτε να δημιουργήσετε προσαρμοσμένες αναφορές για να ταιριάζουν με ακρίβεια τις επιχειρηματικές σας ανάγκες.
Τιμές για το SolarWinds απειλή παρακολούθησης - IT Ops Edition ξεκινήστε από $ 4 500 για μέχρι 25 κόμβους με 10 ημέρες δείκτη. Μπορείτε να επικοινωνήσετε SolarWinds για λεπτομερή προσφορά προσαρμοσμένη στις συγκεκριμένες ανάγκες σας. Και αν προτιμάτε να βλέπετε το προϊόν σε δράση, μπορείτε να ζητήσετε δωρεάν επίδειξη SolarWinds.
2. Διαχείριση SolarWinds Log & Event (Δωρεάν δοκιμή)
Μην αφήνετε το Διαχείριση SolarWinds Log & EventΤο όνομα σας ξεγελάει. Είναι κάτι περισσότερο από ένα σύστημα καταγραφής και διαχείρισης συμβάντων. Πολλά από τα προηγμένα χαρακτηριστικά αυτού του προϊόντος το έθεσαν στη σειρά ασφάλειας πληροφοριών και διαχείρισης συμβάντων (SIEM). Άλλες λειτουργίες χαρακτηρίζουν το σύστημα ανίχνευσης εισβολής και ακόμη, σε κάποιο βαθμό, ως σύστημα πρόληψης εισβολών. Αυτό το εργαλείο διαθέτει συσχετισμό γεγονότων σε πραγματικό χρόνο και αποκατάσταση σε πραγματικό χρόνο, για παράδειγμα.
- Δωρεάν δοκιμή: Διαχείριση SolarWinds Log & Event
- Επίσημη Λήψη Link: https://www.solarwinds.com/log-event-manager-software/registration
ο Διαχείριση SolarWinds Log & Event διαθέτει στιγμιαία ανίχνευση ύποπτων(λειτουργία ανίχνευσης εισβολής) και αυτοματοποιημένες απαντήσεις (λειτουργία αποτροπής εισβολής). Μπορεί επίσης να διεξάγει έρευνες συμβάντων ασφαλείας και ιατροδικαστικά για σκοπούς μετριασμού και συμμόρφωσης. Χάρη στην εξακρίβωσή του από τον έλεγχο, το εργαλείο μπορεί επίσης να χρησιμοποιηθεί για να αποδείξει τη συμμόρφωση με τα HIPAA, PCI-DSS και SOX, μεταξύ άλλων. Το εργαλείο διαθέτει επίσης παρακολούθηση ακεραιότητας αρχείων και παρακολούθηση συσκευής USB, καθιστώντας πολύ περισσότερο μια ολοκληρωμένη πλατφόρμα ασφαλείας από ένα σύστημα διαχείρισης αρχείων καταγραφής και συμβάντων.
Τιμολόγηση για το Διαχείριση SolarWinds Log & Event ξεκινά από $ 4 585 για μέχρι 30 παρακολουθούμενους κόμβους. Μπορούν να αγοραστούν άδειες για έως και 2.500 κόμβους, καθιστώντας το προϊόν εξαιρετικά επεκτάσιμο. Εάν θέλετε να πάρετε το προϊόν για δοκιμή και να δείτε μόνοι σας αν είναι σωστό για εσάς, είναι διαθέσιμη μια δωρεάν δοκιμή 30 ημερών.
3. OSSEC
Ασφάλεια ανοικτού κώδικα, ή OSSEC, είναι μακράν το κορυφαίο σύστημα ανίχνευσης εισβολών ανοιχτής προέλευσης. Το προϊόν ανήκει Trend Micro, ένα από τα κορυφαία ονόματα στην ασφάλεια πληροφορικής και τοκατασκευαστής μιας από τις καλύτερες σουίτες προστασίας από ιούς. Όταν εγκαθίσταται σε λειτουργικά συστήματα που μοιάζουν με Unix, το λογισμικό επικεντρώνεται κυρίως σε αρχεία καταγραφής και διαμόρφωσης. Δημιουργεί αθροίσματα ελέγχου σημαντικών αρχείων και τα επικυρώνει περιοδικά, προειδοποιώντας σας κάθε φορά που συμβαίνει κάτι περίεργο. Επίσης, θα παρακολουθεί και θα ειδοποιεί για οποιαδήποτε μη φυσιολογική προσπάθεια πρόσβασης στο root. Στους οικοδεσπότες των Windows, το σύστημα παρακολουθεί επίσης μη εξουσιοδοτημένες τροποποιήσεις μητρώου, οι οποίες θα μπορούσαν να αποτελέσουν ενδεικτικό σημάδι κακόβουλης δραστηριότητας.
Λόγω του ότι είναι ένα σύστημα ανίχνευσης εισβολής που βασίζεται σε κεντρικό υπολογιστή, OSSEC πρέπει να εγκατασταθεί σε κάθε υπολογιστή που θέλετε να προστατεύσετε. Ωστόσο, μια κεντρική κονσόλα ενοποιεί πληροφορίες από κάθε προστατευμένο υπολογιστή για ευκολότερη διαχείριση. Ενώ το OSSEC κονσόλα λειτουργεί μόνο σε λειτουργικά συστήματα παρόμοια με το Unix,ένας πράκτορας είναι διαθέσιμος για την προστασία των φιλοξενουμένων των Windows. Οποιαδήποτε ανίχνευση θα ενεργοποιήσει μια ειδοποίηση η οποία θα εμφανίζεται στην κεντρική κονσόλα, ενώ οι ειδοποιήσεις θα αποστέλλονται επίσης μέσω ηλεκτρονικού ταχυδρομείου.
4. Φύσημα
Φύσημα είναι ίσως η πιο γνωστή ανοιχτή πηγήδικτυακό σύστημα ανίχνευσης εισβολής. Αλλά είναι κάτι παραπάνω από ένα εργαλείο ανίχνευσης εισβολής. Είναι επίσης ένα πακέτο sniffer και ένα πακέτο καταγραφής και πακέτα μερικές άλλες λειτουργίες επίσης. Η διαμόρφωση του προϊόντος θυμίζει τη διαμόρφωση ενός τείχους προστασίας. Αυτό γίνεται χρησιμοποιώντας κανόνες. Μπορείτε να κατεβάσετε τους βασικούς κανόνες από το Φύσημα και να τα χρησιμοποιήσετε ως έχουν ή να τα προσαρμόσετε στις συγκεκριμένες ανάγκες σας. Μπορείτε επίσης να εγγραφείτε Φύσημα κανόνες για την αυτόματη λήψη όλων των τελευταίων κανόνων καθώς εξελίσσονται ή καθώς ανακαλύπτονται νέες απειλές.
Είδος είναι πολύ εμπεριστατωμένη και ακόμη και οι βασικοί της κανόνες μπορούνανίχνευση μιας ευρείας ποικιλίας συμβάντων, όπως σάρωση θύρας κρυφής μνήμης, επιθέσεις υπερχείλισης buffer, επιθέσεις CGI, ανιχνευτές SMB και αποτυπώματα λειτουργικού συστήματος. Δεν υπάρχει σχεδόν κανένα όριο σε ό, τι μπορείτε να εντοπίσετε με αυτό το εργαλείο και αυτό που ανιχνεύει εξαρτάται αποκλειστικά από το κανόνα που έχετε εγκαταστήσει. Όσον αφορά τις μεθόδους ανίχνευσης, μερικές από τις βασικές Φύσημα οι κανόνες βασίζονται στην υπογραφή, ενώ άλλοι βασίζονται σε ανωμαλίες. Φύσημα μπορεί να σας δώσει το καλύτερο και των δύο κόσμων.
5. Samhain
Samhain είναι μια άλλη πολύ γνωστή εισβολή δωρεάν υποδοχήςσύστημα ανίχνευσης. Τα κύρια χαρακτηριστικά του, από άποψη IDS, είναι ο έλεγχος ακεραιότητας αρχείων και η παρακολούθηση / ανάλυση αρχείων καταγραφής. Αυτό κάνει περισσότερο από αυτό, όμως. Το προϊόν θα εκτελέσει ανίχνευση rootkit, παρακολούθηση θύρας, ανίχνευση εκτεταμένων αρχείων SUID και κρυφών διαδικασιών.
Το εργαλείο σχεδιάστηκε για να παρακολουθεί πολλούς κεντρικούς υπολογιστές που εκτελούν διάφορα λειτουργικά συστήματα, παρέχοντας ταυτόχρονα κεντρική καταγραφή και συντήρηση. Ωστόσο, Samhain μπορεί επίσης να χρησιμοποιηθεί ως αυτόνομη εφαρμογήέναν υπολογιστή. Το λογισμικό λειτουργεί κυρίως σε POSIX συστήματα όπως το Unix, το Linux ή το OS X. Μπορεί επίσης να εκτελεστεί σε Windows υπό το Cygwin, ένα πακέτο που επιτρέπει την εκτέλεση εφαρμογών POSIX σε Windows, αν και έχει δοκιμαστεί μόνο ο παράγοντας παρακολούθησης σε αυτή τη διαμόρφωση.
Ενας από Samhain'S πιο μοναδικό χαρακτηριστικό είναι η μυστική λειτουργία τουεπιτρέπει να εκτελείται χωρίς ανίχνευση από πιθανούς επιτιθέμενους. Οι εισβολείς είναι γνωστό ότι καταστρέφουν γρήγορα τις διαδικασίες ανίχνευσης που αναγνωρίζουν μόλις εισέλθουν σε ένα σύστημα πριν εντοπιστούν, επιτρέποντάς τους να περάσουν απαρατήρητες. Samhain χρησιμοποιεί τεχνικές steganographic για να κρύψει τις διαδικασίες του από άλλους. Προστατεύει επίσης τα κεντρικά αρχεία καταγραφής και τα αντίγραφα ασφαλείας των παραμέτρων με ένα κλειδί PGP για την αποφυγή παραβιάσεων.
6. Suricata
Suricata δεν είναι μόνο ένα σύστημα ανίχνευσης εισβολών. Έχει επίσης κάποια χαρακτηριστικά πρόληψης εισβολής. Στην πραγματικότητα, διαφημίζεται ως πλήρες οικοσύστημα παρακολούθησης της ασφάλειας του δικτύου. Ένα από τα καλύτερα πλεονεκτήματα του εργαλείου είναι το πώς λειτουργεί μέχρι το επίπεδο εφαρμογής. Αυτό το καθιστά ένα υβριδικό σύστημα βασισμένο σε δίκτυο και κεντρικό υπολογιστή το οποίο επιτρέπει στο εργαλείο να ανιχνεύει απειλές που πιθανόν να παραβλεφθούν από άλλα εργαλεία.
Suricata είναι μια πραγματική ανίχνευση εισβολής με βάση το δίκτυοΣύστημα που δεν λειτουργεί μόνο στο επίπεδο εφαρμογής. Θα παρακολουθεί πρωτόκολλα δικτύωσης χαμηλότερου επιπέδου όπως TLS, ICMP, TCP και UDP. Το εργαλείο κατανοεί επίσης και αποκωδικοποιεί πρωτόκολλα υψηλότερου επιπέδου όπως HTTP, FTP ή SMB και μπορεί να ανιχνεύσει απόπειρες εισβολής κρυμμένες σε αλλιώς κανονικά αιτήματα. Το εργαλείο διαθέτει επίσης δυνατότητες εξαγωγής αρχείων που επιτρέπουν στους διαχειριστές να εξετάζουν κάθε ύποπτο αρχείο.
SuricataΗ αρχιτεκτονική εφαρμογής είναι αρκετά καινοτόμος. Το εργαλείο θα διανείμει το φόρτο εργασίας του σε διάφορους πυρήνες και νήματα επεξεργαστών για την καλύτερη απόδοση. Αν χρειαστεί, μπορεί ακόμη και να αφαιρέσει μέρος της επεξεργασίας του στην κάρτα γραφικών. Αυτό είναι ένα μεγάλο χαρακτηριστικό όταν χρησιμοποιείτε το εργαλείο σε διακομιστές, καθώς η κάρτα γραφικών τους είναι συνήθως ανεπαρκώς χρησιμοποιημένη.
7. Παρακολούθηση ασφάλειας δικτύου Bro
ο Παρακολούθηση ασφάλειας δικτύου Bro, ένα άλλο δωρεάν σύστημα ανίχνευσης εισβολής. Το εργαλείο λειτουργεί σε δύο φάσεις: καταγραφή κυκλοφορίας και ανάλυση κυκλοφορίας. Ακριβώς όπως το Suricata, Παρακολούθηση ασφάλειας δικτύου Bro λειτουργεί σε πολλαπλά επίπεδα μέχρι την εφαρμογήστρώμα. Αυτό επιτρέπει την καλύτερη ανίχνευση των προσπαθειών διασπασμένης εισβολής. Η ενότητα ανάλυσης του εργαλείου αποτελείται από δύο στοιχεία. Το πρώτο στοιχείο ονομάζεται μηχανισμός συμβάντων και παρακολουθεί γεγονότα ενεργοποίησης όπως είναι οι καθαρές συνδέσεις TCP ή οι αιτήσεις HTTP. Τα γεγονότα αναλύονται στη συνέχεια με δέσμες ενεργειών πολιτικής, το δεύτερο στοιχείο, το οποίο αποφασίζει αν θα ενεργοποιήσει ή όχι ένα συναγερμό ή / και θα ξεκινήσει μια ενέργεια. Η δυνατότητα έναρξης μιας δράσης δίνει στο Bro Network Security Monitor κάποια λειτουργικότητα που μοιάζει με IPS.
ο Παρακολούθηση ασφάλειας δικτύου Bro σας επιτρέπει να παρακολουθείτε τη δραστηριότητα HTTP, DNS και FTP και αυτόπαρακολουθεί επίσης την κυκλοφορία SNMP. Αυτό είναι καλό, επειδή το SNMP χρησιμοποιείται συχνά για παρακολούθηση δικτύου, αλλά δεν είναι ασφαλές πρωτόκολλο. Και επειδή μπορεί επίσης να χρησιμοποιηθεί για να τροποποιήσει τις διαμορφώσεις, θα μπορούσε να χρησιμοποιηθεί από κακόβουλους χρήστες. Το εργαλείο θα σας επιτρέψει επίσης να παρακολουθήσετε τις αλλαγές διαμόρφωσης συσκευών και τις παγίδες SNMP. Μπορεί να εγκατασταθεί σε Unix, Linux και OS X, αλλά δεν είναι διαθέσιμο για Windows, το οποίο ίσως είναι το κύριο μειονέκτημα.
Σχόλια