Il Trojan di accesso remoto, o RAT, è uno deitipi più dannosi di malware che si possa pensare. Possono causare danni di ogni genere e possono anche essere responsabili di costose perdite di dati. Devono essere combattuti attivamente perché, oltre ad essere cattivi, sono relativamente comuni. Oggi faremo del nostro meglio per spiegare cosa sono e come funzionano e ti faremo sapere cosa si può fare per proteggerli.
Inizieremo la nostra discussione oggi entrospiegando cos'è un RAT. Non approfondiremo troppo i dettagli tecnici ma faremo del nostro meglio per spiegare come funzionano e come ti arrivano. Successivamente, mentre cerchiamo di non sembrare troppo paranoici, vedremo come i RAT possono quasi essere visti come armi. In effetti, alcuni sono stati usati come tali. Successivamente, presenteremo alcuni dei RAT più noti. Ti darà un'idea migliore di cosa sono capaci. Vedremo quindi come utilizzare gli strumenti di rilevamento delle intrusioni per proteggere dai RAT e esamineremo alcuni dei migliori di questi strumenti.
Quindi, cos'è un RAT?
Il Trojan di accesso remoto è un tipo di malware che consente a un hacker da remoto(da qui il nome) prende il controllo di un computer. Analizziamo il nome. La parte Trojan riguarda il modo in cui il malware viene distribuito. Si riferisce all'antica storia greca del cavallo di Troia che Ulisse fece costruire per riprendere la città di Troia che era stata assediata per dieci anni. Nel contesto del malware per computer, un cavallo di Troia (o semplicemente un trojan) è un malware che viene distribuito come qualcos'altro. Ad esempio, un gioco scaricato e installato sul tuo computer potrebbe effettivamente essere un cavallo di Troia e potrebbe contenere del codice malware.
Per quanto riguarda la parte di accesso remoto del nome del RAT,ha a che fare con ciò che fa il malware. In poche parole, consente al suo autore di avere accesso remoto al computer infetto. E quando ottiene l'accesso remoto, non ci sono praticamente limiti a ciò che può fare. Può variare dall'esplorazione del file system, dalla visualizzazione delle attività su schermo, dalla raccolta delle credenziali di accesso o dalla crittografia dei file per richiedere il riscatto. Potrebbe anche rubare i tuoi dati o, peggio ancora, i tuoi clienti. Una volta installato il RAT, il computer può diventare un hub da cui vengono lanciati gli attacchi ad altri computer sulla rete locale, bypassando così qualsiasi sicurezza perimetrale.
RAT nella storia
Purtroppo i RAT sono in circolazione da oltre adecennio. Si ritiene che la tecnologia abbia avuto un ruolo nel vasto saccheggio della tecnologia statunitense da parte di hacker cinesi nel 2003. Un'indagine del Pentagono ha scoperto il furto di dati da parte di appaltatori della difesa degli Stati Uniti, con lo sviluppo di dati classificati e di test trasferiti in località in Cina.
Forse ricorderai l'Est degli Stati UnitiInterruzioni della rete elettrica costiera del 2003 e del 2008. Anche queste sono state fatte risalire alla Cina e sembra essere stato facilitato dai RAT. Un hacker che può ottenere un RAT su un sistema può trarre vantaggio da qualsiasi software che gli utenti del sistema infetto hanno a disposizione, spesso senza che nemmeno se ne accorgano.
RATs come armi
Uno sviluppatore RAT dannoso può assumere il controllo dicentrali elettriche, reti telefoniche, impianti nucleari o gasdotti. Pertanto, i RAT non rappresentano solo un rischio per la sicurezza aziendale. Possono anche consentire alle nazioni di attaccare un paese nemico. In quanto tali, possono essere visti come armi. Gli hacker di tutto il mondo usano i RAT per spiare le aziende e rubare i loro dati e denaro. Nel frattempo, il problema della RAT è ora diventato un problema di sicurezza nazionale per molti paesi, compresi gli Stati Uniti.
Originariamente utilizzato per lo spionaggio industriale esabotaggio da parte di hacker cinesi, la Russia ha imparato ad apprezzare il potere dei RAT e li ha integrati nel suo arsenale militare. Ora fanno parte della strategia di offesa russa che è nota come "guerra ibrida". Quando la Russia ha preso parte della Georgia nel 2008, ha impiegato attacchi DDoS per bloccare servizi Internet e RAT per raccogliere informazioni, controllo e interrompere l'hardware militare georgiano ed essenziale utilities.
Alcuni (in) famosi RAT
Diamo un'occhiata ad alcuni dei RAT più noti. La nostra idea qui non è di glorificarli, ma piuttosto di darti un'idea di quanto siano vari.
Orifizio posteriore
Back Orifice è un RAT di fabbricazione americana che haè in circolazione dal 1998. È una specie di nonno dei RAT. Lo schema originale sfruttava un punto debole in Windows 98. Le versioni successive che giravano su sistemi operativi Windows più recenti erano chiamate Back Orifice 2000 e Deep Back Orifice.
Questo RAT è in grado di nascondersi all'interno disistema operativo, che lo rende particolarmente difficile da rilevare. Oggi, tuttavia, la maggior parte dei sistemi di protezione antivirus ha i file eseguibili Back Orifice e il comportamento di occlusione come firme da tenere d'occhio. Una caratteristica distintiva di questo software è che ha una console di facile utilizzo che l'intruso può utilizzare per navigare e navigare nel sistema infetto. Una volta installato, questo programma server comunica con la console client utilizzando protocolli di rete standard. Ad esempio, è noto utilizzare il numero di porta 21337.
DarkComet
DarkComet è stato creato nel 2008 dal francesel'hacker Jean-Pierre Lesueur, ma è arrivato all'attenzione della comunità della sicurezza informatica solo nel 2012, quando è stato scoperto che un'unità di hacker africana stava usando il sistema per colpire il governo e le forze armate statunitensi.
DarkComet è caratterizzato da un facile da usareinterfaccia che consente agli utenti con competenze tecniche scarse o assenti di eseguire attacchi di hacker. Permette lo spionaggio tramite keylogging, cattura schermo e raccolta password. L'hacker di controllo può anche azionare le funzioni di alimentazione di un computer remoto, consentendo a un computer di essere acceso o spento da remoto. Le funzioni di rete di un computer infetto possono anche essere sfruttate per utilizzare il computer come server proxy e mascherare l'identità del suo utente durante i raid su altri computer. Il progetto DarkComet è stato abbandonato dal suo sviluppatore nel 2014 quando è stato scoperto che era in uso dal governo siriano per spiare i suoi cittadini.
Miraggio
Mirage è un famoso RAT utilizzato da uno stato sponsorizzatoGruppo di hacker cinesi. Dopo una campagna di spionaggio molto attiva dal 2009 al 2015, il gruppo è andato in silenzio. Mirage è stato lo strumento principale del gruppo dal 2012. Il rilevamento di una variante Mirage, chiamata MirageFox nel 2018, è un indizio del fatto che il gruppo potrebbe tornare in azione.
MirageFox è stato scoperto a marzo 2018 quandoè stato utilizzato per spiare gli appaltatori del governo del Regno Unito. Per quanto riguarda il Mirage RAT originale, è stato utilizzato per attacchi contro una compagnia petrolifera nelle Filippine, i militari di Taiwan, una compagnia energetica canadese e altri obiettivi in Brasile, Israele, Nigeria ed Egitto.
Questo RAT viene consegnato incorporato in un PDF. L'apertura provoca l'esecuzione di script che installano il RAT. Una volta installato, la sua prima azione è quella di riferire al sistema di comando e controllo con un controllo delle capacità del sistema infetto. Queste informazioni includono la velocità della CPU, la capacità e l'utilizzo della memoria, il nome del sistema e il nome utente.
Protezione dai RAT - Strumenti di rilevamento delle intrusioni
Il software di protezione antivirus a volte è inutilerilevare e prevenire i RAT. Ciò è dovuto in parte alla loro natura. Si nascondono in bella vista come qualcos'altro che è totalmente legittimo. Per questo motivo, vengono spesso rilevati meglio dai sistemi che analizzano i computer per comportamenti anomali. Tali sistemi sono chiamati sistemi di rilevamento delle intrusioni.
Abbiamo cercato sul mercato la migliore intrusioneSistemi di rilevamento. Il nostro elenco contiene un mix di sistemi di rilevamento delle intrusioni in buona fede e altri software che dispongono di un componente di rilevamento delle intrusioni o che possono essere utilizzati per rilevare i tentativi di intrusione. In genere eseguiranno un lavoro migliore nell'identificare i Trojan di accesso remoto rispetto ad altri tipi di strumenti di protezione da malware.
1. SolarWinds Threat Monitor - IT Ops Edition (Demo GRATUITA)
SolarWinds è un nome comune nel campo degli strumenti di amministrazione della rete. Essendo stato in giro per circa 20 anni ci ha portato alcuni dei migliori strumenti di amministrazione della rete e del sistema. Il suo prodotto di punta, il Network Performance Monitor, si classifica costantemente tra i principali strumenti di monitoraggio della larghezza di banda della rete. SolarWinds rende anche eccellenti strumenti gratuiti, ognuno dei quali risponde a un'esigenza specifica degli amministratori di rete. Il Kiwi Syslog Server e il Calcolatore di sottorete avanzato sono due buoni esempi di quelli.
- Demo GRATUITA: SolarWinds Threat Monitor - IT Ops Edition
- Link per il download ufficiale: https://www.solarwinds.com/threat-monitor/registration
Per il rilevamento delle intrusioni basato sulla rete, SolarWinds offre il Threat Monitor - IT Ops Edition. Contrariamente alla maggior parte degli altri SolarWinds strumenti, questo è piuttosto un servizio basato su clouddi un software installato localmente. Ti iscrivi semplicemente, configuralo e inizia a guardare il tuo ambiente per tentativi di intrusione e alcuni altri tipi di minacce. Il Threat Monitor - IT Ops Edition combina diversi strumenti. Ha sia il rilevamento delle intrusioni basato su rete che su host, nonché la centralizzazione e la correlazione dei registri e la gestione delle informazioni sulla sicurezza e degli eventi (SIEM). È una suite di monitoraggio delle minacce molto approfondita.
Il Threat Monitor - IT Ops Edition è sempre aggiornato, costantemente aggiornatoinformazioni sulle minacce provenienti da più fonti, inclusi database IP e di dominio. Controlla le minacce note e sconosciute. Lo strumento offre risposte intelligenti automatizzate per rimediare rapidamente agli incidenti di sicurezza fornendo alcune funzionalità simili alla prevenzione delle intrusioni.
Le funzionalità di avviso del prodotto sono abbastanzadegno di nota. Esistono allarmi multi-condizionali, con correlazione incrociata che funzionano in combinazione con il motore di risposta attiva dello strumento e aiutano a identificare e sintetizzare eventi importanti. Il sistema di reportistica è altrettanto efficace degli avvisi e può essere utilizzato per dimostrare la conformità utilizzando modelli di report pre-costruiti esistenti. In alternativa, è possibile creare report personalizzati per adattarsi con precisione alle esigenze aziendali.
Prezzi per il SolarWinds Threat Monitor - IT Ops Edition iniziare da $ 4 500 per un massimo di 25 nodi con 10 giorni di indice. Puoi contattare SolarWinds per un preventivo dettagliato adattato alle tue esigenze specifiche. E se preferisci vedere il prodotto in azione, puoi richiedere una demo gratuita da SolarWinds.
2. Log e gestore eventi di SolarWinds (Prova gratuita)
Non lasciare che il Log e gestore eventi di SolarWindsIl nome ti prende in giro. È molto più di un semplice sistema di gestione dei log e degli eventi. Molte delle funzionalità avanzate di questo prodotto lo inseriscono nella gamma Security Information and Event Management (SIEM). Altre caratteristiche lo qualificano come sistema di rilevamento delle intrusioni e persino, in una certa misura, come sistema di prevenzione delle intrusioni. Questo strumento offre, ad esempio, la correlazione degli eventi in tempo reale e la correzione in tempo reale.
- Prova gratuita: Log e gestore eventi di SolarWinds
- Link per il download ufficiale: https://www.solarwinds.com/log-event-manager-software/registration
Il Log e gestore eventi di SolarWinds presenta il rilevamento istantaneo di sospettiattività (una funzionalità di rilevamento delle intrusioni) e risposte automatiche (una funzionalità di prevenzione delle intrusioni). Può anche eseguire indagini sugli eventi di sicurezza e analisi forensi sia a fini di mitigazione che di conformità. Grazie alla sua reportistica comprovata da audit, lo strumento può essere utilizzato anche per dimostrare la conformità con HIPAA, PCI-DSS e SOX, tra gli altri. Lo strumento ha anche il monitoraggio dell'integrità dei file e il monitoraggio dei dispositivi USB, rendendolo molto più una piattaforma di sicurezza integrata che un semplice sistema di gestione dei log e degli eventi.
Prezzi per il Log e gestore eventi di SolarWinds inizia a $ 4 585 per un massimo di 30 nodi monitorati. È possibile acquistare licenze per un massimo di 2 500 nodi che rendono il prodotto altamente scalabile. Se vuoi portare il prodotto per una prova e vedere di persona se è giusto per te, è disponibile una versione di prova gratuita di 30 giorni con funzionalità complete.
3. OSSEC
Sicurezza open source, o OSSEC, è di gran lunga il principale sistema di rilevamento delle intrusioni basato su host open source. Il prodotto è di proprietà di Trend Micro, uno dei nomi più importanti nella sicurezza IT eproduttore di una delle migliori suite di protezione antivirus. Se installato su sistemi operativi simili a Unix, il software si concentra principalmente sui file di registro e di configurazione. Crea checksum di file importanti e li convalida periodicamente, avvisandoti ogni volta che succede qualcosa di strano. Inoltre monitorerà e avviserà in caso di tentativi anomali di ottenere l'accesso come root. Sugli host Windows, il sistema tiene anche d'occhio le modifiche non autorizzate del registro che potrebbero essere un segnale rivelatore di attività dannose.
In virtù dell'essere un sistema di rilevamento delle intrusioni basato su host, OSSEC deve essere installato su ogni computer che si desidera proteggere. Tuttavia, una console centralizzata consolida le informazioni di ciascun computer protetto per una gestione più semplice. Mentre il OSSEC la console funziona solo su sistemi operativi Unix-Like,un agente è disponibile per proteggere gli host Windows. Qualsiasi rilevamento attiverà un avviso che verrà visualizzato sulla console centralizzata mentre le notifiche verranno inviate anche via e-mail.
4. sbuffo
sbuffo è probabilmente il più noto open-sourcesistema di rilevamento delle intrusioni basato sulla rete. Ma è più di uno strumento di rilevamento delle intrusioni. È anche uno sniffer di pacchetti e un logger di pacchetti e racchiude anche alcune altre funzioni. La configurazione del prodotto ricorda la configurazione di un firewall. È fatto usando le regole. Puoi scaricare le regole di base dal sbuffo sito Web e usarli così come sono o personalizzali in base alle tue esigenze specifiche. Puoi anche iscriverti a sbuffo regole per ottenere automaticamente tutte le ultime regole man mano che si evolvono o quando vengono scoperte nuove minacce.
Ordinare è molto approfondito e anche le sue regole di base possonorilevare una vasta gamma di eventi come scansioni delle porte invisibili, attacchi buffer overflow, attacchi CGI, sonde SMB e fingerprinting del sistema operativo. Non esiste praticamente alcun limite a ciò che è possibile rilevare con questo strumento e ciò che rileva dipende esclusivamente dal set di regole installato. Per quanto riguarda i metodi di rilevamento, alcuni di base sbuffo le regole sono basate sulla firma mentre altre sono basate sull'anomalia. sbuffo può quindi darti il meglio di entrambi i mondi.
5. Samhain
Samhain è un'altra nota intrusione di host gratuitisistema di rilevamento. Le sue caratteristiche principali, dal punto di vista IDS, sono il controllo dell'integrità dei file e il monitoraggio / analisi dei file di registro. Fa molto di più, però. Il prodotto eseguirà il rilevamento di rootkit, il monitoraggio delle porte, il rilevamento di eseguibili SUID non autorizzati e i processi nascosti.
Lo strumento è stato progettato per monitorare più host che eseguono vari sistemi operativi fornendo al contempo registrazione e manutenzione centralizzate. Però, Samhain può essere utilizzato anche come applicazione autonoma suun singolo computer. Il software funziona principalmente su sistemi POSIX come Unix, Linux o OS X. Può anche funzionare su Windows con Cygwin, un pacchetto che consente di eseguire applicazioni POSIX su Windows, sebbene solo l'agente di monitoraggio sia stato testato in quella configurazione.
Uno di SamhainLa caratteristica più singolare è la sua modalità invisibile chegli consente di funzionare senza essere rilevato da potenziali aggressori. È noto che gli intrusi uccidono rapidamente i processi di rilevamento che riconoscono non appena entrano in un sistema prima di essere rilevati, consentendo loro di passare inosservati. Samhain usa tecniche steganografiche per nascondere i suoi processi agli altri. Protegge anche i suoi file di registro centrali e i backup di configurazione con una chiave PGP per evitare manomissioni.
6. Suricata
Suricata non è solo un sistema di rilevamento delle intrusioni. Ha anche alcune funzionalità di prevenzione delle intrusioni. In realtà, è pubblicizzato come un ecosistema completo di monitoraggio della sicurezza della rete. Una delle risorse migliori dello strumento è come funziona fino al livello dell'applicazione. Questo lo rende un sistema ibrido basato su rete e host che consente allo strumento di rilevare minacce che probabilmente passerebbero inosservate da altri strumenti.
Suricata è un vero rilevamento delle intrusioni basato sulla reteSistema che non funziona solo a livello di applicazione. Monitorerà i protocolli di rete di livello inferiore come TLS, ICMP, TCP e UDP. Lo strumento comprende inoltre e decodifica protocolli di livello superiore come HTTP, FTP o SMB e può rilevare tentativi di intrusione nascosti in richieste altrimenti normali. Lo strumento offre inoltre funzionalità di estrazione dei file che consentono agli amministratori di esaminare qualsiasi file sospetto.
SuricataL'architettura dell'applicazione è piuttosto innovativa. Lo strumento distribuirà il suo carico di lavoro su più core e thread del processore per le migliori prestazioni. Se necessario, può anche scaricare parte della sua elaborazione sulla scheda grafica. Questa è un'ottima funzionalità quando si utilizza lo strumento sui server poiché la loro scheda grafica è in genere sottoutilizzata.
7. Bro Network Security Monitor
Il Bro Network Security Monitor, un altro sistema di rilevamento delle intrusioni di rete gratuito. Lo strumento funziona in due fasi: registrazione del traffico e analisi del traffico. Proprio come il Suricata, Bro Network Security Monitor opera su più livelli fino all'applicazionestrato. Ciò consente un migliore rilevamento dei tentativi di intrusione divisa. Il modulo di analisi dello strumento è composto da due elementi. Il primo elemento è chiamato motore degli eventi e tiene traccia degli eventi scatenanti come connessioni TCP nette o richieste HTTP. Gli eventi vengono quindi analizzati da script di policy, il secondo elemento, che decidono se attivare o meno un allarme e / o avviare un'azione. La possibilità di avviare un'azione offre a Bro Network Security Monitor alcune funzionalità simili a IPS.
Il Bro Network Security Monitor ti consente di tenere traccia delle attività HTTP, DNS e FTP e di essamonitora anche il traffico SNMP. Questa è una buona cosa perché SNMP viene spesso utilizzato per il monitoraggio della rete ma non è un protocollo sicuro. E poiché può anche essere utilizzato per modificare le configurazioni, potrebbe essere sfruttato da utenti malintenzionati. Lo strumento ti consentirà anche di guardare le modifiche alla configurazione del dispositivo e le trap SNMP. Può essere installato su Unix, Linux e OS X ma non è disponibile per Windows, che è forse il suo principale svantaggio.
Commenti