הטרויאני של הגישה מרחוק, או RAT, הוא אחד מאלהסוגים זדוניים ביותר של תוכנות זדוניות שאפשר לחשוב עליהם. הם יכולים לגרום לכל מיני נזקים והם יכולים גם להיות אחראיים לאובדן נתונים יקר. עליהם להילחם באופן פעיל מכיוון שבנוסף להיותם מגעילים הם יחסית נפוצים. היום אנו נעשה כמיטב יכולתנו כדי להסביר מה הם ואיך הם עובדים ובנוסף נודיע לך מה ניתן לעשות כדי להגן עליהם.
נתחיל את הדיון היום עוד לפנימסביר מה זה RAT. לא נעמיק יותר מדי בפרטים הטכניים אלא נעשה כמיטב יכולתנו להסביר כיצד הם עובדים ואיך הם מגיעים אליך. בשלב הבא, בעודנו מנסים לא להישמע פרנואייים מדי, נראה כיצד ניתן לראות כמעט בדרגות הנשק כלי נשק. למעשה, חלקם שימשו ככאלה. לאחר מכן, נציג כמה ממערכי ה- RAT הידועים ביותר. זה ייתן לך מושג טוב יותר למה הם מסוגלים. לאחר מכן נראה כיצד ניתן להשתמש בכלים לגילוי חדירות כדי להגן מפני RAT ונסקור כמה מהטובים שבכלים אלה.
אז מה זה דרגה?
ה טרויאני עם גישה מרחוק הוא סוג של תוכנה זדונית המאפשרת להאקר מרחוק(מכאן השם) להשתלט על מחשב. בואו ננתח את השם. החלק הטרויאני עוסק באופן ההפצה של התוכנה הזדונית. זה מתייחס לסיפור היווני הקדום של סוס הטרויאני שבנה יוליסס להחזיר את העיר טרויה שנצורה במשך עשר שנים. בהקשר של תוכנות זדוניות למחשב, סוס טרויאני (או סתם טרויאני) הוא חתיכת תוכנה זדונית המופצת כמשהו אחר. למשל משחק שאתה מוריד ומתקין במחשב יכול להיות סוס טרויאני והוא יכול להכיל קוד זדוני.
באשר לחלק הגישה מרחוק בשם ה- RAT,זה קשור למה שהתוכנה הזדונית עושה. במילים פשוטות, היא מאפשרת למחבר שלה גישה מרחוק למחשב הנגוע. וכשהוא זוכה לגישה מרחוק, אין כמעט גבולות למה שהוא יכול לעשות. זה יכול להשתנות מבדיקת מערכת הקבצים שלך, צפייה בפעילויות שלך על המסך, קצירת תעודות ההתחברות שלך או הצפנת הקבצים שלך לדרוש כופר. הוא יכול גם לגנוב את הנתונים שלך, או גרוע מכך - את הלקוח שלך. לאחר התקנת ה- RAT, המחשב שלך יכול להפוך למוקד שממנו מתקפות התקפות למחשבים אחרים ברשת המקומית, ובכך לעקוף כל אבטחה היקפית.
דרגות בהיסטוריה
הדירוג של הצערים קיים לצערי יותר מ-עשור. ההערכה היא כי הטכנולוגיה מילאה חלק בביזה הנרחבת של הטכנולוגיה האמריקנית על ידי האקרים סיניים בשנת 2003. חקירת פנטגון גילתה גניבת נתונים של קבלני ההגנה האמריקניים, כאשר נתוני פיתוח ובדיקות מסווגים הועברו למקומות בסין.
אולי אתה זוכר את מזרח ארצות הבריתכיבוי רשת החשמל בחוף משנת 2003 ו- 2008. אלה הוחזרו גם לסין ונראו שהקלו על ידי RAT. האקר שיכול להעלות RAT למערכת יכול לנצל את כל התוכנות שעומדות לרשות המשתמשים במערכת הנגועה, לרוב מבלי שהם אפילו ישימו לב לכך.
נחשב כנשק
מפתח RAT זדוני יכול להשתלט עליותחנות כוח, רשתות טלפון, מתקנים גרעיניים או צינורות גז. מכיוון שכך, RATS אינם מהווים סיכון בלבד לאבטחת התאגידים. הם יכולים גם לאפשר למדינות לתקוף מדינה אויב. ככאלה, ניתן לראות בהם כלי נשק. האקרים ברחבי העולם משתמשים ב- RAT כדי לרגל אחרי חברות ולגנוב את הנתונים והכסף שלהם. בינתיים, בעיית ה- RAT הפכה כעת לנושא של ביטחון לאומי עבור מדינות רבות, כולל ארה"ב.
שימש במקור לריגול תעשייתימחבלה של האקרים סינים, רוסיה העריכה את כוחם של הרייטינג ושילבה אותם בארסנל הצבאי שלה. כעת הם חלק מאסטרטגיית העבירות הרוסית המכונה "לוחמה היברידית". כאשר רוסיה תפסה חלק מגאורגיה בשנת 2008, היא הפעילה פיגועי DDoS כדי לחסום שירותי אינטרנט ומערכות דרכים לאיסוף מודיעין, שליטה ושיבוש חומרה צבאית גרוזית וחיוניים. שירותים.
מעט דרגות מפורסמות (בתוך)
בואו נסתכל על כמה מהדרגות הידועות ביותר. הרעיון שלנו כאן הוא לא להאדיר אותם אלא לתת לך מושג עד כמה הם מגוונים.
פתח בחזרה
Back Orifice הוא RAT מתוצרת אמריקה שיש בוהיה קיים מאז 1998. זה סוג של סבא של RAT. התוכנית המקורית ניצלה חולשה במערכת Windows 98. גרסאות מאוחרות יותר שרצו על מערכות הפעלה חדשות יותר של Windows נקראו Back Orifice 2000 ו- Deep Back Orifice.
RAT זה מסוגל להסתיר את עצמו בתוךמערכת הפעלה שמקשה במיוחד על גילוי. אולם כיום, לרוב מערכות ההגנה מפני וירוסים יש את קבצי ההפעלה של Back Orifice והתנהגות הסגירה כחתימות שיש להיזהר מהן. מאפיין המבדיל בתוכנה זו הוא שיש לה קונסולה קלה לשימוש בה הפורץ יכול להשתמש כדי לנווט ולעיין במערכת הנגועה. לאחר התקנתה, תוכנית שרת זו מתקשרת עם מסוף הלקוחות באמצעות פרוטוקולי רשת רגילים. למשל, ידוע שהוא משתמש ביציאה מספר 21337.
DarkComet
DarkComet נוצר בשנת 2008 על ידי צרפתהאקר ז'אן-פייר לסאור, אך רק הגיע לידיעת קהילת האבטחה בתחום הסייבר בשנת 2012 כאשר התגלה כי יחידת האקרים אפריקאית משתמשת במערכת כדי לכוון את ממשלת ארה"ב וצבא.
DarkComet מתאפיין בשימוש קל לשימושממשק המאפשר למשתמשים עם כישורים טכניים מועטים או ללא יכולת לבצע התקפות האקרים. זה מאפשר ריגול באמצעות keylogging, לכידת מסך וקטיף סיסמאות. האקר השולט יכול גם להפעיל את פונקציות הכוח של מחשב מרוחק, ולאפשר הפעלה או כיבוי של מחשב מרחוק. ניתן לרתום גם את פונקציות הרשת של מחשב נגוע כדי להשתמש במחשב כשרת proxy ולסוות את זהות המשתמש שלו במהלך פשיטות על מחשבים אחרים. פרויקט DarkComet ננטש על ידי המפתח שלו בשנת 2014 כאשר התגלה כי הוא משמש את ממשלת סוריה כדי לרגל אחר אזרחיה.
מיראז '
מיראז 'הוא דרגה מפורסמת המשמשת בחסות מדינהקבוצת האקרים סינית. לאחר קמפיין ריגול פעיל מאוד בין השנים 2009-2015 הקבוצה השתתקה. Mirage היה הכלי העיקרי של הקבוצה משנת 2012. איתור גרסת Mirage, שנקראה MirageFox בשנת 2018, הוא רמז לכך שהקבוצה יכולה לחזור לפעולה.
MirageFox התגלה במרץ 2018 כאשר זהשימש לריגול על קבלני ממשלת בריטניה. באשר למיראז 'ראט המקורית, הוא שימש להתקפות על חברת נפט בפיליפינים, על צבא טייוואן, חברת אנרגיה קנדית ויעדים אחרים בברזיל, ישראל, ניגריה ומצרים.
RAT זה מועבר מוטבע ב- PDF. פתיחתו גורמת לביצוע סקריפטים שמתקינים את ה- RAT. לאחר התקנתה, הפעולה הראשונה היא לדווח חזרה למערכת הפיקוד והבקרה עם ביקורת על יכולות המערכת הנגועה. מידע זה כולל את מהירות ה- CPU, קיבולת הזיכרון וניצולו, שם המערכת ושם המשתמש.
הגנה מפני RATS - כלי איתור חדירות
תוכנת הגנה מפני וירוסים היא לפעמים חסרת תועלת בגילוי ומניעה של דרגות. זה נובע בחלקו מאופיים. הם מסתתרים באופק כמשהו אחר שהוא לגיטימי לחלוטין. מסיבה זו, הם בדרך כלל מזוהים על ידי מערכות המנתחות מחשבים לצורך התנהגות לא תקינה. מערכות כאלה נקראות מערכות גילוי חדירות.
חיפשנו בשוק את הפריצה הטובה ביותרמערכות איתור. הרשימה שלנו מכילה תערובת של מערכות איתור חדירות בונא פודה ותוכנות אחרות שיש בהן מרכיב לגילוי חדירות או שניתן להשתמש בהן לגילוי ניסיונות חדירה. בדרך כלל הם יעשו עבודה טובה יותר בזיהוי סוסים טרויאניים עם גישה מרחוק, כמו סוגים אחרים של כלי הגנה מפני תוכנות זדוניות.
1. SolarWinds Threat Monitor - מהדורת Ops IT (הדגמה בחינם)
SolarWinds הוא שם נפוץ בתחום כלי ניהול הרשת. זה היה קיים כבר כעשרים שנה וזה הביא לנו את כל כלי ניהול הרשת והמערכת הטובים ביותר. מוצר הדגל שלה, מוניטור ביצועי רשת, מביא בעקביות בין כלי ניטור רוחב הפס המובילים. SolarWinds עושה גם כלים חינמיים מעולים, שכל אחד מהם נותן מענה לצורך ספציפי של מנהלי רשת. ה שרת Kiwi Syslog וה מחשבון רשת משנה מתקדם הן שתי דוגמאות טובות לכך.
- הדגמה בחינם: SolarWinds Threat Monitor - מהדורת Ops IT
- קישור הורדה רשמי: https://www.solarwinds.com/threat-monitor/registration
לגילוי חדירה מבוסס רשת, SolarWinds מציע את מעקב איומים - מהדורת Ops IT. בניגוד לרוב האחרים SolarWinds כלים, זהו שירות מבוסס ענןמאשר תוכנה המותקנת באופן מקומי. אתה פשוט מנוי אליו, מגדיר אותו ומתחיל לצפות בסביבתך לניסיונות חדירה ועוד כמה סוגים של איומים. ה מעקב איומים - מהדורת Ops IT משלב מספר כלים. יש לו איתור חדירה בין רשת ומארח, כמו גם ריכוז ומתאם ביומן, ומידע בנושא אבטחה וניהול אירועים (SIEM). זוהי חבילת ניטור איומים יסודית מאוד.
ה מעקב איומים - מהדורת Ops IT תמיד מעודכן, מתעדכן כל הזמןמודיעין איומים ממקורות רבים, כולל מסדי נתונים של מוניטין IP ותחום. זה צופה באיומים ידועים ולא ידועים כאחד. הכלי כולל תגובות אינטליגנטיות אוטומטיות כדי לתקן במהירות אירועי אבטחה ומעניקים לו כמה תכונות דומות למניעת חדירות.
תכונות ההתראה של המוצר הן דימרשימים. יש אזעקות מרובות-תנאים, בין-צולבות, העובדות בשילוב עם מנוע ה- Active Response של הכלי ומסייעות בזיהוי וסיכום של אירועים חשובים. מערכת הדיווח טובה בדיוק כמו ההתראה שלה וניתן להשתמש בה כדי להפגין תאימות באמצעות תבניות דוחות קיימות שנבנו מראש. לחלופין, אתה יכול ליצור דוחות מותאמים אישית שיתאימו במדויק לצרכים העסקיים שלך.
מחירים עבור SolarWinds Threat Monitor - מהדורת Ops IT התחל ב -4 500 דולר עבור עד 25 צמתים עם 10 ימי אינדקס. אתה יכול ליצור קשר SolarWinds לקבלת הצעת מחיר מפורטת המותאמת לצרכים הספציפיים שלך. ואם אתה מעדיף לראות את המוצר בפעולה, אתה יכול לבקש הדגמה חינם מ- SolarWinds.
2. SolarWinds יומן ומנהל אירועים (ניסיון חינם)
אל תתנו SolarWinds יומן ומנהל אירועיםהשם שלך יטעות אותך. זה הרבה יותר מסתם מערכת יומן וניהול אירועים. רבים מהתכונות המתקדמות של מוצר זה מכניסים אותו לטווח מידע אבטחה וניהול אירועים (SIEM). תכונות אחרות מסמכות אותה כמערכת איתור חדירות ואף, במידה מסוימת, כמערכת למניעת חדירות. כלי זה כולל מתאם אירועים בזמן אמת ותיקון בזמן אמת, למשל.
- ניסיון חינם: SolarWinds יומן ומנהל אירועים
- קישור הורדה רשמי: https://www.solarwinds.com/log-event-manager-software/registration
ה SolarWinds יומן ומנהל אירועים כולל גילוי מיידי של חשודיםפעילות (פונקציונליות לזיהוי פריצות) ותגובות אוטומטיות (פונקציונליות למניעת פריצות). זה יכול גם לבצע חקירת אירועי אבטחה ומזכ"ל פלילי למטרות הקלה והתאמה. הודות לדיווחים המוכחים על ידי ביקורת ניתן להשתמש בכלי גם להפגנת ציות ל- HIPAA, PCI-DSS ו- SOX, בין היתר. הכלי כולל גם ניטור שלמות קבצים וניטור התקני USB, מה שהופך אותו לפלטפורמת אבטחה משולבת הרבה יותר מאשר רק מערכת ניהול יומנים וניהול אירועים.
תמחור עבור SolarWinds יומן ומנהל אירועים מתחיל מ- 4 585 $ עבור עד 30 צמתים מנוטרים. ניתן לרכוש רישיונות של עד 2 500 צמתים והופכים את המוצר למדרג ביותר. אם אתה רוצה לקחת את המוצר לביצוע בדיקה ולראות בעצמך אם הוא מתאים לך, ניתן לקבל ניסיון חינם למשך 30 יום בחינם במלואו.
3. OSSEC
אבטחת קוד פתוח, או OSSEC, היא ללא ספק מערכת איתור החדירה המבוססת על קוד פתוח מבוסס מארח. המוצר נמצא בבעלות מגמת מיקרו, אחד השמות המובילים בתחום אבטחת ה- IT וה-יצרנית אחת מסוויטות ההגנה הנגיף הטובות ביותר. כאשר היא מותקנת במערכות הפעלה דמויות Unix, התוכנה מתמקדת בעיקר בקבצי יומן ותצורה. זה יוצר סיכומי צ'קים של קבצים חשובים ומאמת אותם מעת לעת, ומתריע בפניך בכל פעם שקורה משהו מוזר. זה גם יפקח ויתריע על כל ניסיון חריג להשיג גישה לשורש. במארחי Windows, המערכת שומרת עין גם על שינויי רישום לא מורשים שיכולים להיות סימן סיפור לפעילות זדונית.
מתוקף היותה מערכת לגילוי חדירות מבוססת מארח, OSSEC צריך להתקין בכל מחשב שתרצה להגן עליו. עם זאת, קונסולה מרכזית אכן מגבשת מידע מכל מחשב מוגן לצורך ניהול קל יותר. בזמן ש OSSEC המסוף פועל רק במערכות הפעלה דמויות Unix,סוכן זמין להגנה על מארחי Windows. כל גילוי יפעיל התראה שתוצג במסוף הריכוזית בעוד הודעות יישלחו גם באמצעות הדואר האלקטרוני.
4. נחר
נחר הוא כנראה הקוד הפתוח הידוע ביותרמערכת איתור חדירות מבוססת רשת. אבל זה יותר מכלי לזיהוי פריצות. זה גם רחרוח מנות ולוגר מנות והוא כולל גם כמה פונקציות אחרות. הגדרת התצורה של המוצר מזכירה את תצורת חומת האש. זה נעשה באמצעות כללים. אתה יכול להוריד כללי בסיס מה - נחר אתר ולהשתמש בהם כפי שהוא או להתאים אותם לצרכים הספציפיים שלך. אתה יכול גם להירשם כמנוי נחר כללים לקבלת אוטומטית את כל הכללים האחרונים ככל שהם מתפתחים או כשמתגלים איומים חדשים.
סוג הוא יסודי מאוד ואפילו הכללים הבסיסיים שלו יכולים לעשות זאתלזהות מגוון רחב של אירועים כמו סריקות נמל התגנבות, התקפות הצפת מאגר, התקפות CGI, בדיקות SMB וטביעות אצבע של מערכת ההפעלה. אין כמעט גבול למה שאתה יכול לאתר באמצעות כלי זה, ומה שהוא מגלה תלוי אך ורק בכללי הכלול שאתה מתקין. באשר לשיטות איתור, חלק מהבסיסיות נחר הכללים מבוססים על חתימה ואילו אחרים מבוססים על חריגות. נחר לכן, יכול להעניק לך את הטוב שבשני העולמות.
5. סמהיין
סמהיין הוא עוד פריצה מוכרת לארח בחינםמערכת גילוי. התכונות העיקריות שלו, מבחינת IDS, הן בדיקת תקינות קבצים וניטור / ניתוח קבצי יומן. אבל זה עושה יותר מזה. המוצר יבצע איתור rootkit, ניטור יציאה, איתור של רשיונות SUID נוכלים ותהליכים נסתרים.
הכלי תוכנן לפקח על מספר מארחים המריצים מערכות הפעלה שונות תוך מתן רישום ותחזוקה מרכזיים. למרות זאת, סמהיין יכול לשמש גם כיישום עצמאי ב-מחשב יחיד. התוכנה פועלת בעיקר במערכות POSIX כמו יוניקס, לינוקס או מערכת ההפעלה X. היא יכולה לפעול גם ב- Windows תחת Cygwin, חבילה המאפשרת הפעלת יישומי POSIX במערכת Windows, אם כי רק סוכן הניטור נבדק בתצורה זו.
אחד מ סמהייןהתכונה הייחודית ביותר היא מצב ההתגנבות שלהמאפשר לו לרוץ מבלי שאותו תוקפים פוטנציאליים יתגלו. פורצים ידועים כמי שהורגים במהירות תהליכי גילוי שהם מזהים ברגע שהם נכנסים למערכת לפני שהם מתגלים, ומאפשרים להם לשים לב. סמהיין משתמש בטכניקות סטגנוגרפיות כדי להסתיר את התהליכים שלה מאחרים. זה גם מגן על קבצי היומן המרכזיים ועל גיבויי התצורה באמצעות מפתח PGP למניעת חבלה.
6. סוריקטה
סוריקטה היא לא רק מערכת גילוי חדירות. יש לו גם כמה תכונות למניעת חדירות. למעשה, הוא מפרסם כמערכת אקולוגית מלאה לניטור אבטחת רשת. אחד הנכסים הטובים ביותר של הכלי הוא כיצד הוא עובד עד לשכבת היישום. זה הופך אותה למערכת היברידית מבוססת רשת ומארח המאפשרת לכלי לגלות איומים שעלולים להסתכל על ידי כלים אחרים.
סוריקטה הוא גילוי חדירות אמיתי מבוסס רשתמערכת שלא רק עובדת בשכבת היישום. זה יפקח על פרוטוקולי רשת ברמה נמוכה יותר כמו TLS, ICMP, TCP ו- UDP. הכלי גם מבין ומפענח פרוטוקולים ברמה גבוהה יותר כמו HTTP, FTP או SMB והוא יכול לאתר ניסיונות חדירה מוסתרים בבקשות רגילות אחרת. הכלי כולל גם יכולות חילוץ קבצים המאפשר למנהלי מערכת לבדוק כל קובץ חשוד.
סוריקטהארכיטקטורת היישומים היא חדשנית למדי. הכלי יפיץ את עומס העבודה שלו על פני מספר ליבות וחוטים של מעבד לקבלת הביצועים הטובים ביותר. במידת הצורך הוא יכול אפילו להוריד חלק מעיבודו לכרטיס הגרפי. זוהי תכונה נהדרת כאשר משתמשים בכלי בשרתים מכיוון שכרטיס הגרפי שלהם בדרך כלל מנוצל.
7. אחי צג אבטחת רשת
ה אחי צג אבטחת רשת, מערכת גילוי פריצות רשת נוספת בחינם. הכלי פועל בשני שלבים: רישום תנועה וניתוח תנועה. בדיוק כמו סוריקטה, אחי צג אבטחת רשת פועל במספר שכבות עד ליישוםשכבה. זה מאפשר איתור טוב יותר של ניסיונות חדירה מפוצלים. מודול הניתוח של הכלי מורכב משני אלמנטים. האלמנט הראשון נקרא מנוע האירועים והוא עוקב אחר אירועים מפעילים כגון חיבורי TCP נטו או בקשות HTTP. לאחר מכן מנותחים את האירועים באמצעות סקריפטים של המדיניות, האלמנט השני, שמחליטים אם להפעיל אזעקה או לא, או לפתוח בפעולה. האפשרות לפתוח בפעולה מעניקה למסך האבטחה של רשת Bro אחיזה פונקציונליות דמוית IPS.
ה אחי צג אבטחת רשת מאפשר לך לעקוב אחר פעילות HTTP, DNS ו- FTP וזהכמו כן עוקב אחר תנועת SNMP. זה דבר טוב מכיוון שלרוב SNMP משמש לניטור רשת ובכל זאת זה לא פרוטוקול מאובטח. ומכיוון שאפשר להשתמש בו גם לשינוי תצורות, משתמשים עלולים לנצל אותם. הכלי יאפשר לך לצפות גם בשינויי תצורת מכשירים ומלכודות SNMP. ניתן להתקין אותו ב- Unix, Linux ו- OS X אך הוא אינו זמין עבור Windows, וזה אולי החיסרון העיקרי שלו.
הערות