Le cheval de Troie d’accès à distance, ou RAT, est l’un desLes types de malware les plus dangereux auxquels on puisse penser. Ils peuvent causer toutes sortes de dommages et peuvent également être responsables de pertes de données coûteuses. Ils doivent être activement combattus car, en plus d'être méchants, ils sont relativement courants. Aujourd’hui, nous ferons de notre mieux pour vous expliquer ce qu’ils sont et comment ils fonctionnent et nous vous ferons savoir ce qui peut être fait pour vous protéger contre eux.
Nous allons commencer notre discussion aujourd'hui parexpliquer ce qu'est un RAT. Nous ne détaillerons pas trop les détails techniques, mais nous ferons de notre mieux pour vous expliquer leur fonctionnement et leur contact. Ensuite, tout en essayant de ne pas paraître trop paranoïaque, nous verrons comment les RAT peuvent presque être considérées comme des armes. En fait, certains ont été utilisés comme tels. Après cela, nous présenterons quelques-uns des meilleurs RAT. Cela vous donnera une meilleure idée de ce dont ils sont capables. Nous verrons ensuite comment utiliser des outils de détection d’intrusion pour se protéger des RAT et examinerons certains des meilleurs de ces outils.
Alors, quel est un rat?
le Cheval de Troie d'accès à distance est un type de malware qui permet à un pirate informatique à distance(d'où son nom) prend le contrôle d'un ordinateur. Analysons le nom. Le cheval de Troie concerne la manière dont le logiciel malveillant est distribué. Il fait référence à l'ancienne histoire grecque du cheval de Troie qu'Ulysse a construit pour reprendre la ville de Troie, assiégée depuis dix ans. Dans le contexte des logiciels malveillants informatiques, un cheval de Troie (ou simplement un cheval de Troie) est un logiciel malveillant qui est distribué sous une autre forme. Par exemple, un jeu que vous téléchargez et installez sur votre ordinateur pourrait en fait être un cheval de Troie et pourrait contenir du code malveillant.
En ce qui concerne la partie accès distant du nom du RAT,cela a à voir avec ce que fait le malware. En termes simples, cela permet à son auteur d’avoir un accès à distance à l’ordinateur infecté. Et quand il obtient un accès à distance, il n’ya pratiquement aucune limite à ce qu’il peut faire. Cela peut aller de l'exploration de votre système de fichiers à la surveillance de vos activités à l'écran en passant par la collecte de vos identifiants de connexion ou le cryptage de vos fichiers pour demander une rançon. Il pourrait également voler vos données ou, pire encore, celles de votre client. Une fois le RAT installé, votre ordinateur peut devenir un concentrateur à partir duquel des attaques sont lancées sur d'autres ordinateurs du réseau local, contournant ainsi toute sécurité de périmètre.
RATs dans l'histoire
Les RAT existent malheureusement depuis plus d'un mois.décennie. On pense que la technologie a joué un rôle dans le grand pillage de la technologie américaine par des pirates chinois en 2003. Une enquête du Pentagone a révélé que des entrepreneurs de la défense américains avaient volé des données, les données de développement et de test classifiées étant transférées vers des sites en Chine.
Vous vous souviendrez peut-être de l’Est des États-UnisArrêts du réseau côtier en 2003 et en 2008. Ils ont également été remontés en Chine et semblent avoir été facilités par les RAT. Un pirate informatique qui peut obtenir un fichier RAT sur un système peut tirer parti de n’importe quel logiciel mis à la disposition des utilisateurs du système infecté, souvent sans même s’en rendre compte.
RATs comme armes
Un développeur RAT malveillant peut prendre le contrôle decentrales électriques, réseaux téléphoniques, installations nucléaires ou gazoducs. En tant que tels, les RAT ne représentent pas seulement un risque pour la sécurité de l’entreprise. Ils peuvent également permettre aux pays d’attaquer un pays ennemi. En tant que tels, ils peuvent être considérés comme des armes. Les pirates du monde entier utilisent les RAT pour espionner les entreprises et leur voler leurs données et leur argent. Entre-temps, le problème des RAT est devenu un problème de sécurité nationale dans de nombreux pays, y compris les États-Unis.
Utilisé à l'origine pour l'espionnage industriel etsabotage par des pirates chinois, la Russie a compris le pouvoir des RAT et les a intégrés à son arsenal militaire. Ils font maintenant partie de la stratégie d'infraction russe connue sous le nom de «guerre hybride». Lorsque la Russie s'est emparée d'une partie de la Géorgie en 2008, elle a utilisé des attaques par déni de service pour bloquer les services Internet et les RAT afin de recueillir des renseignements, de contrôler et de perturber le matériel militaire géorgien et les éléments essentiels. utilitaires.
Quelques RAT célèbres
Voyons quelques-uns des RAT les plus connus. Notre idée ici n'est pas de les glorifier, mais plutôt de vous donner une idée de leur diversité.
Orifice arrière
Back Orifice est un RAT de fabrication américaine qui aIl existe en quelque sorte le grand-père des RAT. Le schéma d'origine exploitait une faiblesse de Windows 98. Les versions ultérieures exécutées sur les systèmes d'exploitation Windows les plus récents s'appelaient Back Orifice 2000 et Deep Back Orifice.
Ce RAT est capable de se cacher dans lesystème d'exploitation, ce qui le rend particulièrement difficile à détecter. Aujourd'hui, cependant, la plupart des systèmes de protection antivirus utilisent les fichiers exécutables et le comportement d'occlusion de Back Orifice comme signatures à surveiller. Une caractéristique distinctive de ce logiciel est qu’il dispose d’une console facile à utiliser que l’intrus peut utiliser pour naviguer et parcourir le système infecté. Une fois installé, ce programme serveur communique avec la console du client à l'aide de protocoles réseau standard. Par exemple, il est connu d'utiliser le numéro de port 21337.
DarkComet
DarkComet a été créé en 2008 par FrenchLe pirate informatique Jean-Pierre Lesueur n’a attiré l’attention de la communauté de la cybersécurité qu’en 2012, il a été découvert qu’une unité de hackers africains utilisait le système pour prendre pour cible le gouvernement et l’armée américains.
DarkComet se caractérise par une facilité d'utilisationinterface qui permet aux utilisateurs ayant peu ou pas de compétences techniques de mener des attaques de hackers. Il permet l’espionnage via l’enregistrement au clavier, la capture d’écran et la récupération de mots de passe. Le pirate informatique contrôlant peut également utiliser les fonctions d'alimentation d'un ordinateur distant, ce qui permet d'allumer ou d'éteindre un ordinateur à distance. Les fonctions réseau d’un ordinateur infecté peuvent également être utilisées pour utiliser l’ordinateur en tant que serveur proxy et masquer l’identité de son utilisateur lors de raids sur d’autres ordinateurs. Le projet DarkComet a été abandonné par son développeur en 2014 lorsqu'il a été découvert qu'il était utilisé par le gouvernement syrien pour espionner ses citoyens.
Mirage
Mirage est un célèbre RAT utilisé par un État parrainéGroupe de hacker chinois. Après une campagne d'espionnage très active de 2009 à 2015, le groupe s'est calmé. Mirage était le principal outil du groupe à partir de 2012. La détection d’une variante de Mirage, appelée MirageFox en 2018, laisse présager que le groupe pourrait être de nouveau opérationnel.
MirageFox a été découvert en mars 2018 quandétait utilisé pour espionner les entrepreneurs du gouvernement britannique. Quant au Mirage RAT original, il a été utilisé pour attaquer une compagnie pétrolière aux Philippines, l’armée taïwanaise, une entreprise énergétique canadienne et d’autres cibles au Brésil, en Israël, au Nigéria et en Égypte.
Ce fichier RAT est livré intégré dans un fichier PDF. En l'ouvrant, les scripts qui exécutent l'installation du RAT sont exécutés. Une fois installé, sa première action consiste à faire rapport au système de commandement et de contrôle avec un audit des capacités du système infecté. Ces informations incluent la vitesse du processeur, la capacité de la mémoire et son utilisation, le nom du système et le nom d'utilisateur.
Protéger des RAT - Outils de détection d'intrusion
Les logiciels antivirus sont parfois inutilesdétecter et prévenir les RAT. Cela est dû en partie à leur nature. Ils se cachent à la vue comme d’autre chose qui est totalement légitime. Pour cette raison, ils sont souvent mieux détectés par les systèmes analysant les comportements anormaux des ordinateurs. De tels systèmes sont appelés systèmes de détection d'intrusion.
Nous avons cherché sur le marché du meilleur intrusionSystèmes de détection. Notre liste contient une combinaison de systèmes de détection d'intrusion authentiques et d'autres logiciels dotés d'un composant de détection d'intrusion ou pouvant être utilisés pour détecter des tentatives d'intrusion. En général, ils identifient mieux les chevaux de Troie d'accès distant que d'autres types d'outils de protection contre les programmes malveillants.
1. Moniteur de menaces SolarWinds - Édition IT Ops (Demo gratuite)
SolarWinds est un nom commun dans le domaine des outils d'administration de réseau. Notre présence depuis environ 20 ans nous a fourni certains des meilleurs outils d’administration de réseau et de système. Son produit phare, le Analyseur de performances réseau, se classe régulièrement parmi les meilleurs outils de surveillance de la bande passante du réseau. SolarWinds fait également d'excellents outils gratuits, chacun répondant à un besoin spécifique des administrateurs réseau. le Kiwi Syslog Server et le Calculateur de sous-réseau avancé sont deux bons exemples de ceux-ci.
- Demo gratuite: Moniteur de menaces SolarWinds - Édition IT Ops
- Lien de téléchargement officiel: https://www.solarwinds.com/threat-monitor/registration
Pour la détection d'intrusion sur le réseau, SolarWinds offre le Surveillance des menaces - Edition IT Ops. Contrairement à la plupart des autres SolarWinds outils, celui-ci est un service basé sur le cloud plutôtqu'un logiciel installé localement. Vous vous y abonnez simplement, vous le configurez et il commence à surveiller votre environnement pour détecter les tentatives d'intrusion et quelques types de menaces. le Surveillance des menaces - Edition IT Ops combine plusieurs outils. Il possède à la fois une détection d'intrusion sur le réseau et sur un hôte, ainsi qu'une centralisation et une corrélation des journaux, ainsi qu'une gestion des informations et des événements de sécurité (SIEM). Il s'agit d'une suite de surveillance des menaces très complète.
le Surveillance des menaces - Edition IT Ops est toujours à jour, constamment mis à jourrenseignements sur les menaces provenant de sources multiples, y compris les bases de données IP et de réputation de domaine. Il surveille les menaces connues et inconnues. L'outil comporte des réponses intelligentes automatisées permettant de remédier rapidement aux incidents de sécurité, ce qui lui confère des fonctionnalités de type prévention des intrusions.
Les fonctionnalités d’alerte du produit sont assezimpressionnant. Il existe des alarmes multi-conditionnelles à corrélation croisée qui fonctionnent conjointement avec le moteur de réponse active de l'outil et aident à identifier et à résumer les événements importants. Le système de génération de rapports est aussi efficace que son système d’alerte et peut être utilisé pour démontrer la conformité à l’aide de modèles de rapport prédéfinis existants. Vous pouvez également créer des rapports personnalisés pour répondre précisément aux besoins de votre entreprise.
Prix pour le Moniteur de menaces SolarWinds - Édition IT Ops commencer à 4 500 $ pour un maximum de 25 nœuds avec 10 jours d'index. Vous pouvez contacter SolarWinds pour un devis détaillé adapté à vos besoins spécifiques. Et si vous préférez voir le produit en action, vous pouvez demander une démonstration gratuite à SolarWinds.
2. Gestionnaire de journaux et d'événements SolarWinds (Essai gratuit)
Ne laissez pas le Gestionnaire de journaux et d'événements SolarWindsLe nom te trompe. C'est beaucoup plus qu'un simple système de gestion des journaux et des événements. La plupart des fonctionnalités avancées de ce produit le classent dans la gamme SIEM (Security Information and Event Management). D'autres caractéristiques le qualifient de système de détection d'intrusion et même, dans une certaine mesure, de système de prévention d'intrusion. Cet outil comporte, par exemple, une corrélation d'événements en temps réel et une correction en temps réel.
- Essai gratuit: Gestionnaire de journaux et d'événements SolarWinds
- Lien de téléchargement officiel: https://www.solarwinds.com/log-event-manager-software/registration
le Gestionnaire de journaux et d'événements SolarWinds fonctionnalités de détection instantanée de suspectactivité (une fonctionnalité de détection d'intrusion) et des réponses automatisées (une fonctionnalité de prévention d'intrusion). Il peut également effectuer des enquêtes sur les événements de sécurité et des analyses judiciaires à des fins d'atténuation et de conformité. Grâce à ses rapports éprouvés en vérification, l'outil peut également être utilisé pour démontrer la conformité aux normes HIPAA, PCI-DSS et SOX, entre autres. L'outil permet également la surveillance de l'intégrité des fichiers et des périphériques USB, ce qui en fait une plateforme de sécurité intégrée bien plus qu'un simple système de gestion des journaux et des événements.
Prix pour le Gestionnaire de journaux et d'événements SolarWinds commence à 4 585 USD pour un maximum de 30 nœuds surveillés. Vous pouvez acheter des licences pour un maximum de 2 500 nœuds, ce qui rend le produit hautement évolutif. Si vous souhaitez tester le produit et voir par vous-même s'il vous convient, une version d'essai gratuite et complète de 30 jours est disponible.
3. OSSEC
Sécurité Open Source, ou OSSEC, est de loin le principal système de détection d’intrusion basé sur un hôte open source. Le produit appartient à Trend Micro, l’un des grands noms de la sécurité informatique et de lafabricant de l’une des meilleures suites de protection antivirus. Lorsqu'il est installé sur des systèmes d'exploitation de type Unix, le logiciel se concentre principalement sur les fichiers journaux et de configuration. Il crée des totaux de contrôle des fichiers importants et les valide périodiquement, vous alertant chaque fois que quelque chose d'étrange se produit. Il va également surveiller et alerter sur toute tentative anormale d'obtenir un accès root. Sur les hôtes Windows, le système garde également un œil sur les modifications de registre non autorisées qui pourraient être un signe révélateur d’une activité malveillante.
En tant que système de détection d'intrusion basé sur l'hôte, OSSEC doit être installé sur chaque ordinateur que vous souhaitez protéger. Cependant, une console centralisée consolide les informations de chaque ordinateur protégé pour une gestion plus facile. Tandis que le OSSEC la console ne fonctionne que sur les systèmes d'exploitation de type Unix,un agent est disponible pour protéger les hôtes Windows. Toute détection déclenchera une alerte qui sera affichée sur la console centralisée, tandis que les notifications seront également envoyées par courrier électronique.
4. Renifler
Renifler est probablement l'open source le plus connusystème de détection d'intrusion basé sur le réseau. Mais c'est plus qu'un outil de détection d'intrusion. C’est aussi un renifleur de paquets et un enregistreur de paquets, ainsi que quelques autres fonctions. La configuration du produit rappelle la configuration d'un pare-feu. C'est fait en utilisant des règles. Vous pouvez télécharger les règles de base à partir du Renifler site Web et utilisez-les tels quels ou personnalisez-les selon vos besoins. Vous pouvez également vous abonner à Renifler règles pour obtenir automatiquement les dernières règles au fur et à mesure de leur évolution ou de la découverte de nouvelles menaces.
Trier est très complet et même ses règles de base peuventDétectez une grande variété d'événements tels que des analyses de port furtif, des attaques par dépassement de mémoire tampon, des attaques CGI, des sondes SMB et des empreintes digitales de système d'exploitation. Il n’ya pratiquement aucune limite à ce que vous pouvez détecter avec cet outil et ce qu’il détecte dépend uniquement du jeu de règles que vous installez. En ce qui concerne les méthodes de détection, certaines des bases Renifler les règles sont basées sur la signature alors que d'autres sont basées sur les anomalies. Renifler peut donc vous donner le meilleur des deux mondes.
5. Samhain
Samhain est une autre intrusion d'hôte gratuit bien connuesystème de détection. Ses principales caractéristiques, du point de vue de l'IDS, sont la vérification de l'intégrité des fichiers et la surveillance / analyse des fichiers journaux. Il fait beaucoup plus que cela, cependant. Le produit effectuera la détection des rootkits, la surveillance des ports, la détection des exécutables non fiables SUID et des processus cachés.
L'outil a été conçu pour surveiller plusieurs hôtes exécutant divers systèmes d'exploitation tout en assurant une journalisation et une maintenance centralisées. cependant, Samhain peut également être utilisé comme une application autonome surun seul ordinateur. Le logiciel fonctionne principalement sur des systèmes POSIX tels que Unix, Linux ou OS X. Il peut également fonctionner sous Windows sous Cygwin, un package permettant d'exécuter des applications POSIX sous Windows, même si seul l'agent de surveillance a été testé dans cette configuration.
Un des SamhainLa caractéristique la plus unique est son mode furtif quilui permet de fonctionner sans être détecté par des attaquants potentiels. Les intrus sont connus pour tuer rapidement les processus de détection qu’ils reconnaissent dès qu’ils entrent dans un système avant d’être détectés, ce qui leur permet de passer inaperçus. Samhain utilise des techniques stéganographiques pour cacher ses processus aux autres. Il protège également ses fichiers journaux centraux et ses sauvegardes de configuration avec une clé PGP pour empêcher toute altération.
6. Suricata
Suricata n'est pas seulement un système de détection d'intrusion. Il possède également certaines fonctionnalités de prévention des intrusions. En fait, il est présenté comme un écosystème complet de surveillance de la sécurité du réseau. L’un des meilleurs atouts de cet outil est son fonctionnement jusqu’au niveau de la couche application. Cela en fait un système hybride basé sur un réseau et sur un hôte, qui permet à l'outil de détecter les menaces qui ne passeraient probablement pas inaperçues avec les autres outils.
Suricata est une véritable détection d'intrusion sur le réseauSystème qui ne fonctionne pas seulement au niveau de l'application. Il surveillera les protocoles réseau de niveau inférieur tels que TLS, ICMP, TCP et UDP. L'outil comprend et décode également les protocoles de niveau supérieur, tels que HTTP, FTP ou SMB, et peut détecter les tentatives d'intrusion cachées dans des requêtes normalement normales. L'outil comporte également des fonctionnalités d'extraction de fichiers permettant aux administrateurs d'examiner tout fichier suspect.
SuricataL’architecture d’application est assez innovante. L'outil répartira sa charge de travail sur plusieurs cœurs et threads de processeur pour optimiser les performances. Au besoin, il peut même décharger une partie de son traitement sur la carte graphique. C'est une fonctionnalité intéressante lorsque vous utilisez l'outil sur des serveurs car leur carte graphique est généralement sous-utilisée.
7. Moniteur de sécurité réseau
le Moniteur de sécurité réseau, un autre système de détection d’intrusion sur le réseau libre. L'outil fonctionne en deux phases: la journalisation du trafic et l'analyse du trafic. Tout comme le Suricata, Moniteur de sécurité réseau fonctionne à plusieurs niveaux jusqu'à l'applicationcouche. Cela permet une meilleure détection des tentatives d'intrusion fractionnée. Le module d’analyse de l’outil est composé de deux éléments. Le premier élément s'appelle le moteur d'événements et suit les événements déclencheurs tels que les connexions TCP ou les requêtes HTTP. Les événements sont ensuite analysés par des scripts de politique, le deuxième élément, qui décident de déclencher ou non une alarme et / ou de lancer une action. La possibilité de lancer une action confère au Bro Network Security Monitor des fonctionnalités de type IPS.
le Moniteur de sécurité réseau vous permet de suivre les activités HTTP, DNS et FTP et lesurveille également le trafic SNMP. C'est une bonne chose, car SNMP est souvent utilisé pour la surveillance du réseau, mais ce n'est pas un protocole sécurisé. Et puisqu'il peut également être utilisé pour modifier des configurations, il pourrait être exploité par des utilisateurs malveillants. L'outil vous permettra également d'observer les modifications de configuration de périphérique et les interruptions SNMP. Il peut être installé sous Unix, Linux et OS X, mais il n’est pas disponible sous Windows, ce qui constitue peut-être son principal inconvénient.
commentaires