El troyano de acceso remoto, o RAT, es uno de losLos tipos de malware más desagradables que uno pueda imaginar. Pueden causar todo tipo de daños y también pueden ser responsables de costosas pérdidas de datos. Tienen que ser combatidos activamente porque, además de ser desagradables, son relativamente comunes. Hoy, haremos nuestro mejor esfuerzo para explicar qué son y cómo funcionan, además le informaremos qué se puede hacer para protegerse contra ellos.
Comenzaremos nuestra discusión hoy porexplicando qué es una RAT. No profundizaremos demasiado en los detalles técnicos, pero haremos todo lo posible para explicar cómo funcionan y cómo te llegan. A continuación, mientras tratamos de no sonar demasiado paranoico, veremos cómo las RAT casi se pueden ver como armas. De hecho, algunos han sido utilizados como tales. Después de eso, presentaremos algunas de las RAT más conocidas. Le dará una mejor idea de lo que son capaces de hacer. Luego veremos cómo se pueden usar las herramientas de detección de intrusos para protegerse de las RAT y revisaremos algunas de las mejores herramientas.
Entonces, ¿qué es una rata?
los Troyano de acceso remoto es un tipo de malware que permite a un hacker de forma remota(de ahí el nombre) tomar el control de una computadora. Analicemos el nombre. La parte troyana trata sobre la forma en que se distribuye el malware. Se refiere a la antigua historia griega del caballo de Troya que Ulises construyó para recuperar la ciudad de Troya, que había sido asediada durante diez años. En el contexto del malware informático, un caballo de Troya (o simplemente un troyano) es una pieza de malware que se distribuye como otra cosa. Por ejemplo, un juego que descargue e instale en su computadora podría ser un caballo de Troya y podría contener algún código de malware.
En cuanto a la parte de acceso remoto del nombre de la RAT,tiene que ver con lo que hace el malware. En pocas palabras, le permite a su autor tener acceso remoto a la computadora infectada. Y cuando obtiene acceso remoto, apenas hay límites para lo que puede hacer. Puede variar desde explorar su sistema de archivos, ver sus actividades en pantalla, obtener sus credenciales de inicio de sesión o cifrar sus archivos para exigir un rescate. También podría robar sus datos o, peor aún, los de su cliente. Una vez que se instala la RAT, su computadora puede convertirse en un centro desde donde se lanzan ataques a otras computadoras en la red local, evitando así cualquier seguridad perimetral.
RAT en la historia
Desafortunadamente, las RAT han existido durante más de undécada. Se cree que la tecnología ha desempeñado un papel en el saqueo extenso de la tecnología estadounidense por parte de piratas informáticos chinos en 2003. Una investigación del Pentágono descubrió el robo de datos de contratistas de defensa estadounidenses, con el desarrollo de datos clasificados y pruebas que se transfieren a ubicaciones en China.
Quizás recuerdes el este de los Estados UnidosCortes de la red eléctrica costera de 2003 y 2008. Estos también se remontan a China y parecen haber sido facilitados por las RAT. Un pirata informático que puede obtener una RAT en un sistema puede aprovechar cualquiera de los programas que los usuarios del sistema infectado tienen a su disposición, a menudo sin que se den cuenta.
RAT como armas
Un desarrollador RAT malicioso puede tomar el control decentrales eléctricas, redes telefónicas, instalaciones nucleares o gasoductos. Como tal, las RAT no solo representan un riesgo para la seguridad corporativa. También pueden permitir que las naciones ataquen a un país enemigo. Como tales, pueden ser vistos como armas. Los hackers de todo el mundo usan las RAT para espiar a las empresas y robar sus datos y dinero. Mientras tanto, el problema de la RAT se ha convertido en una cuestión de seguridad nacional para muchos países, incluido Estados Unidos.
Originalmente utilizado para espionaje industrial ysabotaje de hackers chinos, Rusia ha llegado a apreciar el poder de las RAT y las ha integrado en su arsenal militar. Ahora son parte de la estrategia de ofensiva rusa que se conoce como "guerra híbrida". Cuando Rusia se apoderó de parte de Georgia en 2008, empleó ataques DDoS para bloquear los servicios de Internet y las RAT para reunir inteligencia, controlar e interrumpir el hardware militar georgiano y elementos esenciales. servicios públicos
Algunas ratas famosas (en)
Echemos un vistazo a algunas de las RAT más conocidas. Nuestra idea aquí no es glorificarlos, sino darle una idea de lo variados que son.
Orificio trasero
Back Orifice es una RAT de fabricación estadounidense que tieneha existido desde 1998. De alguna manera es el abuelo de las RAT. El esquema original explotó una debilidad en Windows 98. Las versiones posteriores que se ejecutaron en los sistemas operativos Windows más nuevos se llamaron Back Orifice 2000 y Deep Back Orifice.
Esta RAT puede ocultarse dentro delsistema operativo, lo que hace que sea particularmente difícil de detectar. Hoy, sin embargo, la mayoría de los sistemas de protección contra virus tienen los archivos ejecutables Back Orifice y el comportamiento de oclusión como firmas a tener en cuenta. Una característica distintiva de este software es que tiene una consola fácil de usar que el intruso puede usar para navegar y navegar por el sistema infectado. Una vez instalado, este programa de servidor se comunica con la consola del cliente mediante protocolos de red estándar. Por ejemplo, se sabe que usa el número de puerto 21337.
DarkComet
DarkComet fue creado en 2008 por francesesel hacker Jean-Pierre Lesueur, pero solo llamó la atención de la comunidad de ciberseguridad en 2012 cuando se descubrió que una unidad de hackers africanos estaba usando el sistema para atacar al gobierno y al ejército de los EE. UU.
DarkComet se caracteriza por un fácil de usarinterfaz que permite a los usuarios con poca o ninguna habilidad técnica realizar ataques de hackers. Permite espiar mediante el registro de teclas, la captura de pantalla y la recolección de contraseñas. El hacker que controla también puede operar las funciones de alimentación de una computadora remota, permitiendo que una computadora se encienda o apague de forma remota. Las funciones de red de una computadora infectada también se pueden aprovechar para usar la computadora como un servidor proxy y enmascarar la identidad de su usuario durante las redadas en otras computadoras. El proyecto DarkComet fue abandonado por su desarrollador en 2014 cuando se descubrió que estaba en uso por el gobierno sirio para espiar a sus ciudadanos.
Espejismo
Mirage es una famosa RAT utilizada por un estado patrocinadoGrupo de hackers chinos. Después de una campaña de espionaje muy activa de 2009 a 2015, el grupo se quedó en silencio. Mirage fue la herramienta principal del grupo desde 2012. La detección de una variante de Mirage, llamada MirageFox en 2018, es una pista de que el grupo podría volver a la acción.
MirageFox fue descubierto en marzo de 2018 cuandofue utilizado para espiar a los contratistas del gobierno del Reino Unido. En cuanto a la RAT Mirage original, se utilizó para ataques contra una compañía petrolera en Filipinas, el ejército taiwanés, una compañía de energía canadiense y otros objetivos en Brasil, Israel, Nigeria y Egipto.
Esta RAT se entrega incrustada en un PDF. Al abrirlo, se ejecutan los scripts que instalan la RAT. Una vez instalado, su primera acción es informar al sistema de Comando y Control con una auditoría de las capacidades del sistema infectado. Esta información incluye la velocidad de la CPU, la capacidad y la utilización de la memoria, el nombre del sistema y el nombre de usuario.
Protección contra las RAT: herramientas de detección de intrusiones
El software de protección antivirus a veces es inútil endetección y prevención de RAT. Esto se debe en parte a su naturaleza. Se esconden a simple vista como algo más que es totalmente legítimo. Por esa razón, a menudo son mejor detectados por sistemas que analizan las computadoras en busca de un comportamiento anormal. Dichos sistemas se denominan sistemas de detección de intrusos.
Hemos buscado en el mercado la mejor intrusiónSistemas de detección. Nuestra lista contiene una mezcla de sistemas de detección de intrusiones de buena fe y otro software que tiene un componente de detección de intrusiones o que se puede utilizar para detectar intentos de intrusión. Por lo general, harán un mejor trabajo al identificar troyanos de acceso remoto que otros tipos de herramientas de protección contra malware.
1. Monitor de amenazas SolarWinds - Edición IT Ops (Prueba gratis)
Vientos solares es un nombre común en el campo de las herramientas de administración de redes. Después de haber existido durante unos 20 años, nos trajo algunas de las mejores herramientas de administración de redes y sistemas. Su producto estrella, el Monitor de rendimiento de red, puntúa constantemente entre las principales herramientas de monitoreo de ancho de banda de red. Vientos solares también hace excelentes herramientas gratuitas, cada una de ellas aborda una necesidad específica de los administradores de red. los Kiwi Syslog Server y el Calculadora de subred avanzada son dos buenos ejemplos de esos.
- Prueba gratis: Monitor de amenazas SolarWinds - Edición IT Ops
- Enlace de descarga oficial: https://www.solarwinds.com/threat-monitor/registration
Para la detección de intrusiones basada en la red, Vientos solares ofrece el Monitor de amenazas - Edición IT Ops. Contrario a la mayoría de los otros Vientos solares herramientas, este es un servicio basado en la nube más bienque un software instalado localmente. Simplemente suscríbase, configúrelo, y comienza a observar su entorno en busca de intentos de intrusión y algunos tipos más de amenazas. los Monitor de amenazas - Edición IT Ops combina varias herramientas. Tiene detección de intrusiones basada en la red y en el host, así como centralización y correlación de registros, e información de seguridad y gestión de eventos (SIEM). Es un conjunto de monitoreo de amenazas muy completo.
los Monitor de amenazas - Edición IT Ops siempre está actualizado y se actualiza constantementeinteligencia de amenazas de múltiples fuentes, incluidas las bases de datos de reputación de IP y dominio. Vigila amenazas conocidas y desconocidas. La herramienta presenta respuestas inteligentes automatizadas para remediar rápidamente los incidentes de seguridad, dándole algunas características similares a la prevención de intrusiones.
Las características de alerta del producto son bastanteimpresionante. Existen alarmas multicondicionales, con correlación cruzada, que funcionan en conjunto con el motor de Respuesta activa de la herramienta y ayudan a identificar y resumir eventos importantes. El sistema de informes es tan bueno como sus alertas y puede usarse para demostrar el cumplimiento mediante el uso de plantillas de informes preconstruidos existentes. Alternativamente, puede crear informes personalizados para adaptarse con precisión a las necesidades de su negocio.
Precios para el Monitor de amenazas SolarWinds - Edición IT Ops comienza en $ 4 500 para hasta 25 nodos con 10 días de índice. Puedes contactar Vientos solares para una cotización detallada adaptada a sus necesidades específicas. Y si prefiere ver el producto en acción, puede solicitar una demostración gratuita de Vientos solares.
2. Administrador de registro y eventos de SolarWinds (Prueba gratis)
No dejes que el Administrador de registro y eventos de SolarWindsEl nombre te engaña. Es mucho más que un simple sistema de gestión de registros y eventos. Muchas de las características avanzadas de este producto lo colocan en el rango de Información de Seguridad y Administración de Eventos (SIEM). Otras características lo califican como un Sistema de detección de intrusiones e incluso, hasta cierto punto, como un Sistema de prevención de intrusiones. Esta herramienta presenta correlación de eventos en tiempo real y remediación en tiempo real, por ejemplo.
- Prueba gratis: Administrador de registro y eventos de SolarWinds
- Enlace de descarga oficial: https://www.solarwinds.com/log-event-manager-software/registration
los Administrador de registro y eventos de SolarWinds cuenta con detección instantánea de sospechososactividad (una funcionalidad de detección de intrusos) y respuestas automáticas (una funcionalidad de prevención de intrusos). También puede realizar investigaciones de eventos de seguridad y análisis forenses tanto para fines de mitigación como de cumplimiento. Gracias a sus informes probados por auditoría, la herramienta también se puede utilizar para demostrar el cumplimiento de HIPAA, PCI-DSS y SOX, entre otros. La herramienta también tiene monitoreo de integridad de archivos y monitoreo de dispositivos USB, lo que la convierte en una plataforma de seguridad integrada mucho más que un simple sistema de administración de eventos y registros.
Precios para el Administrador de registro y eventos de SolarWinds comienza en $ 4 585 para hasta 30 nodos monitoreados. Se pueden comprar licencias para hasta 2 500 nodos haciendo que el producto sea altamente escalable. Si desea llevar el producto a una prueba de funcionamiento y ver por usted mismo si es adecuado para usted, hay disponible una versión de prueba gratuita de 30 días con todas las funciones.
3. OSSEC
Seguridad de código abiertoo OSSEC, es, con mucho, el principal sistema de detección de intrusos de código abierto basado en host. El producto es propiedad de Trend Micro, uno de los nombres líderes en seguridad de TI y elfabricante de una de las mejores suites de protección antivirus. Cuando se instala en sistemas operativos tipo Unix, el software se centra principalmente en los archivos de registro y configuración. Crea sumas de verificación de archivos importantes y los valida periódicamente, alertándolo cada vez que ocurre algo extraño. También monitoreará y alertará sobre cualquier intento anormal de obtener acceso de root. En los hosts de Windows, el sistema también está atento a modificaciones de registro no autorizadas que podrían ser un signo revelador de actividad maliciosa.
En virtud de ser un sistema de detección de intrusos basado en host, OSSEC debe instalarse en cada computadora que desea proteger. Sin embargo, una consola centralizada consolida la información de cada computadora protegida para una administración más fácil. Mientras que la OSSEC la consola solo se ejecuta en sistemas operativos tipo Unix,Hay un agente disponible para proteger los hosts de Windows. Cualquier detección activará una alerta que se mostrará en la consola centralizada, mientras que las notificaciones también se enviarán por correo electrónico.
4. Bufido
Bufido es probablemente el código abierto más conocidoSistema de detección de intrusiones basado en la red. Pero es más que una herramienta de detección de intrusos. También es un rastreador de paquetes y un registrador de paquetes y también incluye algunas otras funciones. La configuración del producto recuerda a la configuración de un firewall. Se hace usando reglas. Puede descargar las reglas básicas desde Bufido sitio web y úselos tal cual o personalícelos según sus necesidades específicas. También puedes suscribirte a Bufido reglas para obtener automáticamente las últimas reglas a medida que evolucionan o cuando se descubren nuevas amenazas.
Ordenar es muy completo e incluso sus reglas básicas puedenDetecta una amplia variedad de eventos como escaneos de puertos furtivos, ataques de desbordamiento de búfer, ataques CGI, sondas SMB y huellas digitales del sistema operativo. Prácticamente no hay límite para lo que puede detectar con esta herramienta y lo que detecta depende únicamente del conjunto de reglas que instale. En cuanto a los métodos de detección, algunos de los básicos Bufido las reglas se basan en firmas, mientras que otras se basan en anomalías. Bufido puede, por lo tanto, darle lo mejor de ambos mundos.
5. Samhain
Samhain es otra intrusión de host gratuito conocidaSistema de detección. Sus características principales, desde el punto de vista de IDS, son la verificación de integridad de archivos y el monitoreo / análisis de archivos de registro. Sin embargo, hace mucho más que eso. El producto realizará la detección de rootkits, monitoreo de puertos, detección de ejecutables SUID no autorizados y procesos ocultos.
La herramienta fue diseñada para monitorear múltiples hosts que ejecutan varios sistemas operativos al tiempo que proporciona registro centralizado y mantenimiento. Sin embargo, Samhain también se puede usar como una aplicación independiente enUna sola computadora. El software se ejecuta principalmente en sistemas POSIX como Unix, Linux u OS X. También se puede ejecutar en Windows bajo Cygwin, un paquete que permite ejecutar aplicaciones POSIX en Windows, aunque solo el agente de monitoreo ha sido probado en esa configuración.
Uno de SamhainLa característica más singular es su modo sigiloso quele permite correr sin ser detectado por posibles atacantes. Se sabe que los intrusos eliminan rápidamente los procesos de detección que reconocen tan pronto como ingresan a un sistema antes de ser detectados, lo que les permite pasar desapercibidos. Samhain utiliza técnicas esteganográficas para ocultar sus procesos de otros. También protege sus archivos de registro centrales y copias de seguridad de configuración con una clave PGP para evitar la manipulación.
6. Suricata
Suricata no es solo un sistema de detección de intrusiones. También tiene algunas características de prevención de intrusiones. De hecho, se anuncia como un ecosistema completo de monitoreo de seguridad de red. Uno de los mejores activos de la herramienta es cómo funciona hasta la capa de aplicación. Esto lo convierte en un sistema híbrido basado en la red y el host que permite que la herramienta detecte amenazas que probablemente pasarán desapercibidas para otras herramientas.
Suricata es una verdadera detección de intrusiones basada en la redSistema que no solo funciona en la capa de aplicación. Supervisará los protocolos de red de nivel inferior como TLS, ICMP, TCP y UDP. La herramienta también comprende y decodifica protocolos de nivel superior como HTTP, FTP o SMB y puede detectar intentos de intrusión ocultos en solicitudes normales. La herramienta también presenta capacidades de extracción de archivos que permiten a los administradores examinar cualquier archivo sospechoso.
SuricataLa arquitectura de la aplicación es bastante innovadora. La herramienta distribuirá su carga de trabajo en varios núcleos y subprocesos del procesador para obtener el mejor rendimiento. Si es necesario, incluso puede descargar parte de su procesamiento a la tarjeta gráfica. Esta es una gran característica cuando se utiliza la herramienta en los servidores, ya que su tarjeta gráfica generalmente está infrautilizada.
7. Bro Network Security Monitor
los Bro Network Security Monitor, otro sistema gratuito de detección de intrusos en la red. La herramienta opera en dos fases: registro de tráfico y análisis de tráfico. Al igual que Suricata, Bro Network Security Monitor opera en múltiples capas hasta la aplicacióncapa. Esto permite una mejor detección de intentos de intrusión dividida. El módulo de análisis de la herramienta está formado por dos elementos. El primer elemento se llama motor de eventos y rastrea eventos desencadenantes, como conexiones TCP netas o solicitudes HTTP. Luego, los eventos se analizan mediante scripts de políticas, el segundo elemento, que deciden si activar o no una alarma y / o iniciar una acción. La posibilidad de iniciar una acción le da al Bro Network Security Monitor alguna funcionalidad similar a IPS.
los Bro Network Security Monitor le permite rastrear la actividad HTTP, DNS y FTP yTambién monitorea el tráfico SNMP. Esto es bueno porque SNMP a menudo se usa para el monitoreo de la red, pero no es un protocolo seguro. Y dado que también se puede usar para modificar configuraciones, podría ser explotado por usuarios malintencionados. La herramienta también le permitirá ver los cambios de configuración del dispositivo y las trampas SNMP. Se puede instalar en Unix, Linux y OS X, pero no está disponible para Windows, lo cual es quizás su principal inconveniente.
Comentarios