A Remote Access Trojan, vagy a RAT az egyika legrosszabb típusú rosszindulatú programok, amelyekre gondolhatunk. Mindenféle kárt okozhatnak, és felelősek lehetnek a drága adatvesztésekért is. Aktívan harcolni kell velük, mert amellett, hogy csúnyaak, viszonylag gyakoriak. Ma megteszünk minden tőlem telhetőt, hogy elmagyarázzuk, mi ezek és hogyan működnek, plusz tudatjuk velünk, hogy mit lehet tenni az ellenük.
A mai vitánkkal kezdjükelmagyarázza, mi a RAT. Nem mélyülünk el a műszaki részletekbe, de mindent megteszünk annak magyarázata érdekében, hogy működnek és hogyan jutnak hozzád. Ezután, miközben megpróbálunk nem hangolni túl paranoidnak, meglátjuk, hogy a RAT-ok szinte fegyvernek tekinthetők. Valójában néhányat használtak ilyenként. Ezt követően bemutatunk néhány, a legismertebb RAT-ot. Ez jobb képet ad arról, hogy mire képesek. Ezután meglátjuk, hogyan lehet a behatolás-észlelő eszközöket felhasználni a RAT-okkal szembeni védelemhez, és átnézzük ezen eszközök legjobbjait.
Szóval, mi az a minősítés?
A Távoli hozzáférésű trójai egy olyan rosszindulatú program, amely távolról lehetővé teszi a hackert(innen a név) átveszi a számítógép irányítását. Elemezzük a nevet. A trójai rész a rosszindulatú programok terjesztésének módjáról szól. Ez utal az ókori görög történetről a trójai lóról, amelyet Ulysses épített Troy városának visszafogadására, amelyet tíz évig ostromoltak. A számítógépes malware vonatkozásában a trójai (vagy egyszerűen a trójai) rosszindulatú szoftverek egy darabja, amelyet valami másként terjesztnek. Például egy játék, amelyet letölt és telepít a számítógépére, valójában trójai lehet, és tartalmazhat rosszindulatú kódot.
Ami a RAT név távoli elérésű részét illeti,ahhoz kapcsolódik, amit a rosszindulatú program tesz. Egyszerűen fogalmazva, lehetővé teszi a szerző számára, hogy távoli hozzáférést biztosítson a fertőzött számítógéphez. És amikor távoli hozzáférést szerez, alig van korlátozás arra, amit tehet. Ez változhat attól, hogy megvizsgálja a fájlrendszert, megfigyeli a képernyőn megjelenő tevékenységeket, begyűjti a bejelentkezési adatokat vagy titkosítja a fájlokat a váltságdíj igénylése érdekében. Ő is ellophatja az Ön adatait, vagy, ami még rosszabb, az ügyfelek adatait. A RAT telepítése után a számítógépe válhat hub-ként, ahonnan támadásokat indíthat a helyi hálózat más számítógépeire, megkerülve ezzel a kerület biztonságát.
RAT a történelemben
A RAT-ok sajnos több mint egy éve fennállnakévtized. Úgy gondolják, hogy a technológia már 2003-ban szerepet játszott az amerikai technológia kiterjedt fosztogatásában a kínai hackerek között. A Pentagon vizsgálata adatlopásokat fedezett fel az amerikai védelmi vállalkozók részéről, a besorolt fejlesztési és tesztelési adatokat pedig Kínában helyezték el.
Talán emlékeztet az Egyesült Államok keleti oldaláraA tengerparti villamosenergia-hálózat 2003. és 2008. évi leállítása. Ezek Kínába vezethetők vissza, és úgy tűnik, hogy a RAT elősegítette azokat. A hackerek, akik RAT-t kaphatnak egy rendszerre, kihasználhatják a fertőzött rendszer felhasználóinak rendelkezésére álló szoftvereket, gyakran anélkül, hogy észrevennék.
RAT mint fegyver
Egy rosszindulatú RAT-fejlesztő átveheti az irányításterőművek, telefonhálózatok, nukleáris létesítmények vagy gázvezetékek. Mint ilyen, a RAT-ok nem csak a vállalati biztonságot jelentik. Ezenkívül lehetővé teszik a nemzetek számára az ellenséges ország megtámadását. Mint ilyen, fegyvereknek tekinthetők. A hackerek szerte a világon a RAT-okat használják a vállalatok kémkedésére, adatok és pénz ellopására. Időközben a RAT-probléma sok ország, köztük az Egyesült Államok nemzeti biztonságának kérdévé vált.
Eredetileg ipari kémkedéshez ésA kínai hackerek szabotázsával Oroszország felismerte a RAT-ok erejét, és beépítette őket katonai arzenáljába. Most ezek az orosz bűncselekmény-stratégia részei, amelyet úgynevezett „hibrid hadviselésnek” hívnak. Amikor Oroszország 2008-ban megragadta Grúzia egy részét, DDoS támadásokat alkalmazott az internetszolgáltatások és a RAT-ok blokkolására, hogy hírszerzést gyűjtsön, ellenőrizze és megzavarja a grúz katonai hardvert és az alapvető eszközöket. segédprogramok.
Néhány híres RAT
Vessen egy pillantást néhány legismertebb RAT-ra. A mi ötletünk nem az, hogy dicsőítsük őket, hanem hogy képet kapjunk arról, mennyire változatosak.
Hátsó nyílás
A Back Orifice egy amerikai gyártmányú RAT, amely rendelkezik1998 óta körül van. Ez a RAT nagyapja. Az eredeti rendszer kihasználta a Windows 98 gyengeségét. A későbbi verziók, amelyek újabb Windows operációs rendszereken futottak, a Back Orifice 2000 és a Deep Back Orifice elnevezést kapják.
Ez a RAT képes elrejteni magát aoperációs rendszer, ami különösen nehezen érzékelhető. Ma azonban a legtöbb vírusvédelmi rendszer rendelkezik a Back Orifice futtatható fájljaival és az elzáródási viselkedéssel, mint aláírással, amelyre figyelnie kell. A szoftver megkülönböztető tulajdonsága, hogy rendelkezik egy könnyen használható konzollal, amelyet a betolakodó személy használhat a navigációra és a fertőzött rendszer körüli böngészésre. Telepítés után a kiszolgáló program a szabványos hálózati protokollokkal kommunikál az ügyfélkonzollal. Például ismert a 21337 portszám használata.
DarkComet
A DarkComet-t 2008-ban hozta létre franciahacker Jean-Pierre Lesueur, de csak a kiberbiztonsági közösség figyelmébe került 2012-ben, amikor felfedezték, hogy egy afrikai hacker egység a rendszert használja az USA kormányának és katonaságának célzására.
A DarkComet egyszerűen használhatófelület, amely lehetővé teszi a kevés technikai ismeretekkel rendelkező vagy semmiféle képességgel nem rendelkező felhasználók számára a hackerek támadásait. Ez lehetővé teszi a kémkedést a keylogging, a képernyővédelem és a jelszóbegyűjtés révén. Az irányító hackerek egy távoli számítógép energiaellátási funkcióit is működtethetik, lehetővé téve a számítógép távoli be- vagy kikapcsolását. A fertőzött számítógép hálózati funkcióit kihasználhatjuk úgy is, hogy a számítógépet proxykiszolgálóként használjuk, és elrejtsük felhasználójának identitását más számítógépeknél zajló támadások során. A DarkComet projektet fejlesztője 2014-ben feladta, amikor felfedezték, hogy a szír kormány használja állampolgárainak kémkedéséhez.
Délibáb
A Mirage egy híres RAT, amelyet állami támogatással használnakKínai hacker csoport. A 2009 és 2015 közötti nagyon aktív kémkedés után a csoport csendben ment. A Mirage volt a csoport elsődleges eszköze 2012-től. A Mirage változat, melynek neve MirageFox 2018-ban, észlelése arra utal, hogy a csoport újra működhet.
A MirageFox-ot 2018 márciusában fedezték felaz Egyesült Királyság kormányzati vállalkozóinak kémkedésére használták fel. Az eredeti Mirage RAT-et a Fülöp-szigeteken, a tajvani katonaság, a kanadai energiavállalat és más célok Brazíliában, Izraelben, Nigériában és Egyiptomban támadó olajvállalatok elleni támadásokhoz használták.
Ezt a RAT-t PDF formátumba ágyazottként szállítják. Ennek megnyitása végrehajtja a RAT telepítő szkripteket. A telepítés után az első lépés, hogy jelentést tegyen a Parancs- és Vezérlőrendszernek a fertőzött rendszer képességeinek ellenőrzésével. Ez az információ tartalmazza a CPU sebességét, a memória kapacitását és kihasználtságát, a rendszer nevét és felhasználónevét.
Védelem a RAT-ok ellen - behatolás-észlelő eszközök
A vírusvédelmi szoftverek időnként haszontalanoka RAT észlelése és megelőzése. Ez részben a természetüknek köszönhető. Rejtett látványban rejtőznek, mint valami teljesen legitim. Ezért gyakran a legjobban észlelhetők azok a rendszerek, amelyek a számítógépeket rendellenes viselkedés szempontjából elemezik. Az ilyen rendszereket behatolás-érzékelő rendszereknek hívják.
Megvizsgáltuk a piacon a legjobb behatolástÉrzékelő rendszerek. A listánkban szerepel a jóhiszemű behatolásérzékelő rendszerek és más olyan szoftverek keveréke, amelyek behatolás-érzékelő komponenssel rendelkeznek, vagy amelyek felhasználhatók a betolakodási kísérletek észlelésére. Általában jobb munkát végeznek a távoli elérésű trójaiak azonosításában, mint más típusú rosszindulatú szoftverek elleni védelmi eszközök.
1. SolarWinds Threat Monitor - IT Ops kiadás (INGYENES bemutató)
SolarWinds egy általános név a hálózati adminisztrációs eszközök területén. Körülbelül 20 éve járva hozta nekünk a legjobb hálózati és rendszergazdai eszközöket. Kiemelkedő terméke, a Hálózati teljesítményfigyelő, következetesen szerepel a legjobb hálózati sávszélességet figyelő eszközök között. SolarWinds kiváló ingyenes eszközöket is készít, amelyek mindegyike a hálózati rendszergazdák speciális igényeinek felel meg. A Kiwi Syslog Server és a Speciális alhálózati számológép két jó példa erre.
- INGYENES bemutató: SolarWinds Threat Monitor - IT Ops kiadás
- Hivatalos letöltési link: https://www.solarwinds.com/threat-monitor/registration
Hálózati alapú behatolás-észleléshez, SolarWinds kínálja a Threat Monitor - IT Ops Edition. A legtöbb másnal ellentétben SolarWinds eszközök, ez inkább egy felhőalapú szolgáltatásmint egy helyileg telepített szoftver. Egyszerűen feliratkozik rá, konfigurálja azt, és elkezdi figyelni a környezetet a behatolási kísérletekre és néhány további fenyegetésre. A Threat Monitor - IT Ops Edition több eszközt kombinál. Mind hálózati, mind host alapú behatolás-észleléssel, napló-központosítással és korrelációval, valamint biztonsági információkkal és eseménykezeléssel (SIEM) rendelkezik. Ez egy nagyon alapos fenyegetésfigyelő csomag.
A Threat Monitor - IT Ops Edition mindig naprakész, folyamatosan frissültöbb forrásból származó fenyegetés-intelligencia, ideértve az IP és a Domain Reputation adatbázisokat is. Figyelemmel kíséri mind az ismert, mind az ismeretlen veszélyeket. Az eszköz automatizált intelligens válaszokat kínál a biztonsági események gyors kiküszöbölésére, adva néhány behatolás-megelőző funkciót.
A termék riasztási tulajdonságai meglehetősen jóakhatásos. Vannak többfeltételes, keresztkorrelációs riasztások, amelyek az eszköz aktív válaszmotorjával együtt működnek, és segítenek a fontos események azonosításában és összefoglalásában. A jelentési rendszer éppen olyan jó, mint a riasztás, és a meglévő előre elkészített jelentéssablonok használatával kimutatható a megfelelés. Alternatív megoldásként egyedi jelentéseket készíthet, amelyek pontosan megfelelnek üzleti igényeinek.
Az árak a SolarWinds Threat Monitor - IT Ops kiadás Kezdje a 4 500 dollárt akár 25 csomópontra 10 napos indexeléssel. Vegye fel a kapcsolatot SolarWinds az Ön egyedi igényeihez igazított részletes árajánlatért. És ha inkább akarja látni a terméket működésben, kérhet egy ingyenes bemutatóját a SolarWinds.
2. SolarWinds Napló- és eseménykezelő (Ingyenes próbaverzió)
Ne hagyd, hogy a SolarWinds Napló- és eseménykezelőA neve becsap téged. Ez sokkal több, mint egy naplózás és eseménykezelő rendszer. A termék számos fejlett funkciója a biztonsági információk és eseménykezelés (SIEM) sorozatába helyezte. Más funkciók azt behatolás-felderítő rendszernek, és bizonyos mértékig még behatolás-megelőző rendszernek is minősítik. Ez az eszköz például valós idejű eseménykorrelációt és valósidejű helyreállítást tartalmaz.
- Ingyenes próbaverzió: SolarWinds Napló- és eseménykezelő
- Hivatalos letöltési link: https://www.solarwinds.com/log-event-manager-software/registration
A SolarWinds Napló- és eseménykezelő azonnali észlelést kínál a gyanús személyek számáratevékenység (behatolás-észlelési funkció) és automatizált válaszok (behatolás-megelőző funkció). Ezenkívül biztonsági események kivizsgálását és kriminalisztikáját is végezheti enyhítési és megfelelési célokból. Az audit által bevált jelentéseknek köszönhetően az eszköz felhasználható többek között a HIPAA, PCI-DSS és SOX megfelelés igazolására. Az eszköz rendelkezik a fájl integritásának megfigyelésével és az USB-eszközök megfigyelésével is, ami sokkal inkább egy integrált biztonsági platform, mint egy naplózás és eseménykezelő rendszer.
Árképzés a SolarWinds Napló- és eseménykezelő legfeljebb 30 megfigyelt csomópontnál 4 585 USD-tól kezdődik. Legfeljebb 2 500 csomópont engedélyét meg lehet vásárolni, ezáltal a termék nagyon skálázható. Ha el akarja vinni a terméket próbaüzemre, és meggyőződhet róla, hogy az Ön számára megfelelő-e, ingyenes, teljes értékű, 30 napos próbaverzió áll rendelkezésre.
3. OSSEC
Nyílt forráskódú biztonságvagy OSSEC, messze a vezető nyílt forrású gazdagép-behatolás-érzékelő rendszer. A termék tulajdonosa Trend Micro, az IT biztonság egyik vezető neve és aaz egyik legjobb vírusvédelmi lakosztály készítője. Unix-szerű operációs rendszerekre telepítve a szoftver elsősorban a napló- és a konfigurációs fájlokra összpontosít. Ez létrehozza a fontos fájlok ellenőrző összegeit és időről időre ellenőrzi azokat, figyelmeztetve, amikor furcsa történik. Ezenkívül figyelni fog és figyelmeztet minden olyan rendellenes kísérletre, amely a gyökér eléréséhez vezet. A Windows gazdagépeken a rendszer figyelemmel kíséri a jogosulatlan beállításjegyzék-módosításokat is, amelyek a rosszindulatú tevékenységek visszajelzőjelei lehetnek.
Annak köszönhetően, hogy host-alapú behatolás-érzékelő rendszer, OSSEC telepíteni kell minden védeni kívánt számítógépre. A központi konzol azonban egyesíti az egyes védett számítógépekről származó információkat az egyszerűbb kezelés érdekében. Amíg a OSSEC a konzol csak Unix-szerű operációs rendszereken fut,egy ügynök elérhető a Windows gazdagépek védelmére. Bármely észlelés riasztást vált ki, amely megjelenik a központi konzolon, miközben az értesítéseket e-mailben is elküldjük.
4. Horkant
Horkant valószínűleg a legismertebb nyílt forrásúhálózati alapú behatolás-érzékelő rendszer. De ez több, mint egy behatolás-észlelő eszköz. Ez is csomagszippantó és csomagnaplózó, és néhány egyéb funkciót is csomagol. A termék konfigurálása a tűzfal konfigurálására emlékeztet. Ez szabályok alkalmazásával történik. Az alapszabályokat a következőről töltheti le Horkant weboldalon, és használja őket a jelenlegi formájában, vagy testreszabhatja őket az Ön egyedi igényeihez. Feliratkozhat is Horkant szabályok, amelyek automatikusan megkapják a legújabb szabályokat, amint fejlődnek, vagy amikor új fenyegetéseket fedeznek fel.
Fajta nagyon alapos, és még az alapszabálya is képessokféle eseményt észlelhet, például lopakodó port-letapogatást, puffer túlcsordulási támadásokat, CGI-támadásokat, SMB-szondákat és az operációs rendszer ujjlenyomatait. Gyakorlatilag nincs korlátozás arra vonatkozóan, hogy mit észlelhet ezzel az eszközzel, és mit észlel, az kizárólag a telepített szabálytól függ. A detektálási módszerek közül néhány az alapvető Horkant a szabályok aláírás-alapúak, mások anomáliás-alapúak. Horkant tehát mind a két világ legjobbat megadhatja.
5. Samhain
Samhain egy másik jól ismert ingyenes host behatolásérzékelő rendszer. Főbb jellemzői, az IDS szempontjából, a fájl integritásának ellenőrzése és a naplófájl megfigyelése / elemzése. Ennél sokkal több. A termék végrehajtja a rootkit-észlelést, a portok figyelését, a gazember SUID végrehajtható fájlok és a rejtett folyamatok észlelését.
Az eszközt a különféle operációs rendszereket futtató több állomás figyelésére fejlesztették ki, miközben központosított naplózást és karbantartást biztosítanak. Azonban, Samhain önálló alkalmazásként is használhatóegyetlen számítógép. A szoftver elsősorban POSIX rendszereken fut, mint például Unix, Linux vagy OS X. Windows rendszeren is futtatható Cygwin alatt, egy olyan csomagban, amely lehetővé teszi a POSIX alkalmazások futtatását Windowson, bár csak a megfigyelő ügynököt tesztelték ebben a konfigurációban.
Az egyik SamhainA legegyedibb szolgáltatás a lopakodó mód, amelylehetővé teszi futtatását anélkül, hogy a potenciális támadók észlelnék. A betolakodókról ismert, hogy gyorsan megölik az észlelési folyamatokat, amelyeket felismernek, amint belépnek a rendszerbe, mielőtt felfedezik őket, lehetővé téve számukra, hogy észrevétlenül maradjanak. Samhain szteganográfiai technikákat alkalmaz, hogy elrejtse folyamatait másoktól. Ezenkívül egy PGP-kulcsmal védi a központi naplófájljait és a konfigurációs biztonsági másolatait is, hogy megakadályozzák a hamisítást.
6. suricata
suricata nem csak egy behatolás-érzékelő rendszer. Bizonyos behatolás-megelőző funkciókkal is rendelkezik. Valójában egy teljes hálózati biztonsági figyelő ökoszisztémaként reklámozzák. Az eszköz egyik legjobb eszköze, hogy miként működik egészen az alkalmazásrétegig. Ez hibrid hálózati és host alapú rendszerré teszi, amely lehetővé teszi az eszköz számára az olyan veszélyek észlelését, amelyek más eszközökkel valószínűleg észrevétlenek maradnak.
suricata egy igazi hálózati alapú behatolás-észlelésRendszer, amely nem csak az alkalmazásrétegen működik. Figyelemmel kíséri az alacsonyabb szintű hálózati protokollokat, mint például a TLS, ICMP, TCP és UDP. Az eszköz megérti és dekódolja a magasabb szintű protokollokat is, mint például a HTTP, FTP vagy SMB, és képes felismerni az egyébként normál kérésekben rejtett behatolási kísérleteket. Az eszköz rendelkezik a fájlkicsomagolási lehetőségekkel is, amelyek lehetővé teszik az adminisztrátorok számára, hogy megvizsgálja a gyanús fájlokat.
suricataAz alkalmazás architektúrája meglehetősen innovatív. Az eszköz a legjobb teljesítmény elérése érdekében elosztja munkaterhelését több processzormag és szál között. Szükség esetén feldolgozásának egy részét ki is töltheti a grafikus kártyára. Ez egy nagyszerű szolgáltatás, ha az eszközt szervereken használja, mivel a grafikus kártyáikat általában alulhasználják.
7. Bro hálózati biztonsági figyelő
A Bro hálózati biztonsági figyelő, egy másik ingyenes hálózati behatolás-érzékelő rendszer. Az eszköz két szakaszban működik: forgalom naplózása és forgalom elemzése. Csakúgy, mint Suricata, Bro hálózati biztonsági figyelő több rétegben működik az alkalmazásigréteg. Ez lehetővé teszi az osztott behatolási kísérletek jobb észlelését. Az eszköz elemző modulja két elemből áll. Az első elemet eseménymotornak nevezzük, és nyomon követi a kiváltó eseményeket, például a nettó TCP kapcsolatokat vagy a HTTP kéréseket. Az eseményeket ezután házirend-szkriptek elemzik, a második elemmel, amely eldönti, hogy indítson-e riasztást és / vagy indítson egy műveletet. A művelet elindításának lehetősége biztosítja a Bro Network Security Monitor számára néhány IPS-szerű funkciót.
A Bro hálózati biztonsági figyelő lehetővé teszi a HTTP, a DNS és az FTP tevékenység nyomon követését, és aztaz SNMP forgalmat is figyeli. Ez jó dolog, mert az SNMP-t gyakran használják hálózati megfigyeléshez, ám ez nem biztonságos protokoll. Mivel a konfigurációk módosítására is felhasználható, rosszindulatú felhasználók kihasználhatják azokat. Az eszköz lehetővé teszi az eszközkonfiguráció változásainak és az SNMP csapdák figyelését is. Telepíthető Unix, Linux és OS X rendszerekre, de a Windows számára nem érhető el, ami talán a legfontosabb hátránya.
Hozzászólások