リモートアクセストロイの木馬(RAT)は、考えられる最も厄介なタイプのマルウェア。それらはあらゆる種類の損傷を引き起こす可能性があり、また高価なデータ損失の原因にもなります。意地悪であることに加えて、彼らは比較的一般的であるため、彼らは積極的に戦わなければなりません。今日は、彼らが何であり、どのように機能するかを説明するために最善を尽くします。さらに、それらから保護するために何ができるかをお知らせします。
今日から議論を始めましょうRATとは何かを説明する。技術的な詳細に深く入り込むことはありませんが、それらがどのように機能し、どのようにあなたに到達するかを説明するために最善を尽くします。次に、過度に偏執的に聞こえないようにしようとしながら、RATを武器と見なす方法を確認します。実際、一部はそのように使用されています。その後、いくつかの最もよく知られているRATを紹介します。それは彼らが何ができるかについてのより良いアイデアを提供します。次に、侵入検知ツールを使用してRATから保護する方法を確認し、これらのツールの一部を確認します。
だから、RATとは何ですか?
の リモートアクセストロイの木馬 ハッカーがリモートで操作できるマルウェアの一種です(名前の由来)コンピューターを制御します。名前を分析しましょう。トロイの木馬の部分は、マルウェアの配布方法に関するものです。それは、ユリシーズがトロイアの街を取り戻すために10年間包囲されていたトロイの木馬の古代ギリシャの物語を指します。コンピューターマルウェアのコンテキストでは、トロイの木馬(または単にトロイの木馬)は、他の何かとして配布されるマルウェアの一部です。たとえば、コンピューターにダウンロードしてインストールするゲームは、実際にはトロイの木馬であり、マルウェアコードが含まれている可能性があります。
RATの名前のリモートアクセス部分については、マルウェアが行うことと関係しています。簡単に言えば、作成者は感染したコンピューターにリモートアクセスできます。そして、彼がリモートアクセスを取得した場合、彼ができることにはほとんど制限がありません。ファイルシステムの調査、画面上のアクティビティの監視、ログイン資格情報の取得、または身代金を要求するためのファイルの暗号化とは異なる場合があります。彼はまた、あなたのデータを盗むか、さらに悪いことにあなたのクライアントのものを盗む可能性があります。 RATをインストールすると、コンピューターがハブになり、そこからローカルネットワーク上の他のコンピューターへの攻撃が開始され、境界セキュリティが回避されます。
歴史上のRAT
RATは残念ながら、10年。ペンタゴンの調査により、米国の防衛請負業者からのデータ窃盗が発見され、分類された開発データとテストデータが中国の場所に転送されました。
おそらく、米国東部を思い出すでしょう2003年と2008年の沿岸電力網の停止。これらは中国にまでさかのぼり、RATによって促進されたようです。システムにRATを取得できるハッカーは、感染したシステムのユーザーが自由に使えるソフトウェアを利用できます。
武器としてのRAT
悪意のあるRAT開発者は、発電所、電話網、原子力施設、またはガスパイプライン。そのため、RATは企業のセキュリティにリスクをもたらすだけではありません。また、国家が敵国を攻撃できるようにすることもできます。そのため、それらは武器として見ることができます。世界中のハッカーはRATを使用して企業をスパイし、データとお金を盗みます。一方、RAT問題は現在、米国を含む多くの国の国家安全保障の問題となっています。
もともとは産業スパイと中国のハッカーによる妨害行為により、ロシアはRATの力を高く評価するようになり、RATを軍事兵器に統合しました。彼らは現在、「ハイブリッド戦争」として知られるロシアの攻撃戦略の一部です。2008年にロシアがジョージアの一部を占領したとき、インターネットサービスとRATをブロックするためにDDoS攻撃を採用し、ジョージアの軍事ハードウェアと不可欠のユーティリティ。
少数の(イン)有名なRAT
最も有名なRATのいくつかを見てみましょう。ここでの私たちのアイデアは、それらを美化することではなく、それらがどれほど多様であるかのアイデアを提供することです。
バックオリフィス
バックオリフィスはアメリカ製のRATで、それは、RATの祖父です。元のスキームはWindows 98の弱点を悪用しました。新しいWindowsオペレーティングシステムで実行された新しいバージョンは、Back Orifice 2000およびDeep Back Orificeと呼ばれていました。
このRATは、オペレーティングシステム。これにより、検出が特に難しくなります。ただし、現在、ほとんどのウイルス対策システムには、Back Orifice実行可能ファイルと、注目すべきシグネチャとしてのオクルージョン動作があります。このソフトウェアの際立った特徴は、侵入者が感染したシステムをナビゲートおよびブラウズするために使用できる使いやすいコンソールを備えていることです。このサーバープログラムをインストールすると、標準のネットワークプロトコルを使用してクライアントコンソールと通信します。たとえば、ポート番号21337を使用することが知られています。
DarkComet
DarkCometは2008年にフランス人によって作成されましたハッカーのJean-Pierre Lesueurが2012年にサイバーセキュリティコミュニティの注目を集めたのは、アフリカのハッカー部隊がこのシステムを使用して米国政府と軍隊を標的にしていることが発見されたときだけでした。
DarkCometは使いやすいという特徴があります技術的スキルがほとんどまたはまったくないユーザーがハッカー攻撃を実行できるようにするインターフェース。キーロギング、スクリーンキャプチャ、パスワードハーベストを介したスパイを許可します。制御するハッカーは、リモートコンピューターの電源機能を操作して、コンピューターをリモートでオンまたはオフにすることもできます。感染したコンピューターのネットワーク機能を利用して、コンピューターをプロキシサーバーとして使用し、他のコンピューターでの襲撃中にユーザーの身元を隠すこともできます。 DarkCometプロジェクトは、シリア政府が市民をスパイするために使用していることが判明した2014年に開発者によって放棄されました。
ミラージュ
ミラージュは、国が後援している有名なRATです。中国のハッカーグループ。 2009年から2015年までの非常に活発なスパイキャンペーンの後、グループは静かになりました。 Mirageは2012年からグループの主要なツールでした。2018年にMirageFoxと呼ばれるMirageバリアントの検出は、グループが活動を再開できることを示唆しています。
MirageFoxは2018年3月に発見されました英国政府の請負業者をスパイするために使用されました。オリジナルのMirage RATに関しては、フィリピンの石油会社、台湾軍、カナダのエネルギー会社、およびブラジル、イスラエル、ナイジェリア、エジプトのその他の標的に対する攻撃に使用されました。
このRATはPDFに埋め込まれて提供されます。 開くと、RATをインストールするスクリプトが実行されます。インストールされると、最初のアクションは、感染したシステムの機能の監査とともに、コマンドアンドコントロールシステムに報告することです。この情報には、CPU速度、メモリ容量と使用率、システム名とユーザー名が含まれます。
RATからの保護–侵入検知ツール
ウイルス対策ソフトウェアは時々役に立たないRATの検出と防止。これは、その性質に一部起因しています。彼らは完全に合法である他の何かとして明白な視界に隠れます。そのため、コンピューターの異常な動作を分析しているシステムで最もよく検出されることがよくあります。このようなシステムは、侵入検知システムと呼ばれます。
最高の侵入を求めて市場を検索しました検出システム。このリストには、真正な侵入検知システムと、侵入検知コンポーネントを備えた、または侵入の試みを検知するために使用できる他のソフトウェアが混在しています。通常、彼らは他の種類のマルウェア保護ツールよりもリモートアクセストロイの木馬を特定するのにより良い仕事をします。
1. SolarWinds Threat Monitor – IT Opsエディション (無料デモ)
SolarWinds ネットワーク管理ツールの分野では一般的な名前です。約20年間存在していたため、最高のネットワークおよびシステム管理ツールのいくつかをもたらしました。その主力製品、 ネットワークパフォーマンスモニター、トップネットワーク帯域幅監視ツールの中で一貫してスコアを付けています。 SolarWinds また、ネットワーク管理者の特定のニーズに対応する優れた無料ツールも作成しています。の Kiwi Syslogサーバー そしてその 高度なサブネット計算機 それらの2つの良い例です。
- 無料デモ: SolarWinds Threat Monitor – IT Opsエディション
- 公式ダウンロードリンク: https://www.solarwinds.com/threat-monitor/registration
ネットワークベースの侵入検知の場合、 SolarWinds 提供しています 脅威モニター-IT Ops Edition。他のほとんどとは反対 SolarWinds ツール、これはむしろクラウドベースのサービスですローカルにインストールされたソフトウェアよりも。単にサブスクライブし、設定するだけで、侵入の試みやその他のいくつかの種類の脅威がないか環境を監視し始めます。の 脅威モニター-IT Ops Edition いくつかのツールを組み合わせます。 ネットワークベースとホストベースの両方の侵入検知、ログの集中化と相関、セキュリティ情報とイベント管理(SIEM)があります。非常に徹底的な脅威監視スイートです。
の 脅威モニター-IT Ops Edition 常に最新であり、常に更新されていますIPおよびドメイン評価データベースを含む複数のソースからの脅威インテリジェンス。既知および未知の脅威を監視します。このツールは、自動化されたインテリジェントな応答を特長としており、セキュリティインシデントを迅速に修正して、侵入防止のような機能を提供します。
製品のアラート機能はかなり印象的。ツールのアクティブレスポンスエンジンと連携して動作し、重要なイベントの識別と要約を支援する、複数条件の相互相関アラームがあります。レポートシステムはアラートと同じくらい優れており、既存の事前作成済みレポートテンプレートを使用してコンプライアンスを実証するために使用できます。または、ビジネスニーズに正確に適合するカスタムレポートを作成できます。
の価格 SolarWinds Threat Monitor – IT Opsエディション 10日間のインデックスで最大25ノードの$ 4 500で開始します。連絡できる SolarWinds 特定のニーズに合わせた詳細な見積もりについては。製品の動作を確認したい場合は、無料のデモをリクエストできます SolarWinds.
2. SolarWinds Log&Event Manager (無料トライアル)
させないで SolarWinds Log&Event Manager名前にだまされます。 それは単なるログおよびイベント管理システム以上のものです。この製品の高度な機能の多くは、セキュリティ情報とイベント管理(SIEM)の範囲に入れています。その他の機能は、侵入検知システムとして、さらにはある程度、侵入防止システムとしても認定されています。このツールは、たとえば、リアルタイムのイベント相関とリアルタイムの修復を備えています。
- 無料トライアル: SolarWinds Log&Event Manager
- 公式ダウンロードリンク: https://www.solarwinds.com/log-event-manager-software/registration
の SolarWinds Log&Event Manager 疑わしいものを瞬時に検出する機能アクティビティ(侵入検知機能)および自動応答(侵入防止機能)。また、緩和とコンプライアンスの両方の目的で、セキュリティイベントの調査とフォレンジックを実行できます。監査で実証されたレポートのおかげで、このツールはHIPAA、PCI-DSS、SOXなどへの準拠を実証するためにも使用できます。このツールには、ファイルの整合性の監視とUSBデバイスの監視もあり、単なるログおよびイベント管理システムというよりも、統合されたセキュリティプラットフォームになります。
の価格 SolarWinds Log&Event Manager 最大30の監視対象ノードで4 585ドルから。 最大2 500ノードのライセンスを購入して、製品のスケーラビリティを高めることができます。製品を試運転して、自分に合っているかどうかを確認したい場合は、フル機能の30日間無料試用版を利用できます。
3. OSSEC
オープンソースセキュリティ、 または OSSECは、圧倒的に優れたオープンソースのホストベースの侵入検知システムです。製品の所有者 トレンドマイクロ、ITセキュリティの主要な名前の1つ、最高のウイルス対策スイートのメーカー。 Unixライクなオペレーティングシステムにインストールすると、ソフトウェアは主にログと設定ファイルに焦点を合わせます。重要なファイルのチェックサムを作成し、定期的にそれらを検証し、何か変なことが起こると警告します。また、rootアクセスを取得しようとする異常な試みを監視および警告します。 Windowsホストでは、システムは不正なレジストリの変更にも注意を払っていますが、これは悪意のあるアクティビティの兆候である可能性があります。
ホストベースの侵入検知システムであるため、 OSSEC 保護する各コンピューターにインストールする必要があります。ただし、集中コンソールは、管理を容易にするために、保護された各コンピューターからの情報を統合します。ながら OSSEC コンソールはUnixライクなオペレーティングシステムでのみ動作します。Windowsホストを保護するためにエージェントを使用できます。検出されるとアラートがトリガーされ、集中コンソールに表示されますが、通知は電子メールでも送信されます。
4. 鼻水
鼻水 おそらく最も有名なオープンソースですネットワークベースの侵入検知システム。しかし、それは単なる侵入検知ツールではありません。また、パケットスニファーとパケットロガーであり、他のいくつかの機能も搭載しています。製品の構成は、ファイアウォールの構成を連想させます。ルールを使用して行われます。から基本ルールをダウンロードできます 鼻水 ウェブサイトをそのまま使用するか、特定のニーズに合わせてカスタマイズします。購読することもできます 鼻水 ルールの進化や新しい脅威の発見に応じて、最新のルールをすべて自動的に取得するルール。
ソート 非常に徹底的であり、その基本的なルールでさえステルスポートスキャン、バッファオーバーフロー攻撃、CGI攻撃、SMBプローブ、OSフィンガープリントなど、さまざまなイベントを検出します。このツールで検出できるものに実質的に制限はなく、検出するものはインストールするルールセットのみに依存します。検出方法については、いくつかの基本的な 鼻水 ルールは署名ベースですが、他のルールは異常ベースです。 鼻水 したがって、両方の長所を提供できます。
5. サムハイン
サムハイン 別の有名な無料ホスト侵入です検出システム。 IDSの観点から見た主な機能は、ファイルの整合性チェックとログファイルの監視/分析です。ただし、それ以上のことを行います。この製品は、ルートキットの検出、ポートの監視、不正なSUID実行可能ファイル、および隠しプロセスの検出を実行します。
このツールは、さまざまなオペレーティングシステムを実行している複数のホストを監視しながら、集中ログとメンテナンスを提供するように設計されています。しかしながら、 サムハイン 上のスタンドアロンアプリケーションとしても使用できます単一のコンピューター。このソフトウェアは主に、Unix、Linux、OS XなどのPOSIXシステムで実行されます。また、Windows上でPOSIXアプリケーションを実行できるパッケージであるCygwinの下で、Windows上で実行できます。
の一つ サムハイン最もユニークな機能は、ステルスモードです潜在的な攻撃者に検出されることなく実行できるようにします。侵入者は、検出される前にシステムに入るとすぐに認識される検出プロセスを迅速に終了させ、気付かれないようにすることが知られています。 サムハイン ステガノグラフィ技術を使用して、他のプロセスを隠します。また、中央ログファイルと構成バックアップをPGPキーで保護して、改ざんを防ぎます。
6. すりかた
すりかた 侵入検知システムだけではありません。 また、いくつかの侵入防止機能も備えています。実際、完全なネットワークセキュリティ監視エコシステムとして宣伝されています。ツールの最高の資産の1つは、アプリケーション層までの動作方法です。これにより、ネットワークベースとホストベースのハイブリッドシステムとなり、他のツールが気付かないような脅威をツールで検出できるようになります。
すりかた ネットワークベースの真の侵入検知アプリケーション層でのみ機能するシステムではありません。 TLS、ICMP、TCP、UDPなどの低レベルのネットワークプロトコルを監視します。また、このツールはHTTP、FTP、SMBなどの高レベルのプロトコルを理解してデコードし、通常のリクエストでは隠されている侵入の試みを検出できます。このツールは、ファイル抽出機能も備えており、管理者は疑わしいファイルを調べることができます。
すりかたのアプリケーションアーキテクチャは非常に革新的です。 このツールは、いくつかのプロセッサコアとスレッドにワークロードを分散して、最高のパフォーマンスを実現します。必要に応じて、処理の一部をグラフィックカードにオフロードすることもできます。グラフィックカードは通常十分に使用されないため、サーバーでツールを使用する場合、これは優れた機能です。
7. Broネットワークセキュリティモニター
の Broネットワークセキュリティモニター、別の無料のネットワーク侵入検知システム。このツールは、トラフィックロギングとトラフィック分析という2つのフェーズで動作します。 Suricataと同じように、 Broネットワークセキュリティモニター アプリケーションまで複数のレイヤーで動作します層。これにより、スプリット侵入の試みをより適切に検出できます。ツールの分析モジュールは2つの要素で構成されています。最初の要素はイベントエンジンと呼ばれ、ネットTCP接続やHTTP要求などのトリガーイベントを追跡します。次に、イベントは2番目の要素であるポリシースクリプトによって分析され、アラームをトリガーするかアクションを起動するかを決定します。アクションを起動する可能性により、Bro Network Security MonitorにIPSのような機能が提供されます。
の Broネットワークセキュリティモニター HTTP、DNS、およびFTPアクティビティを追跡できます。SNMPトラフィックも監視します。 SNMPはネットワーク監視によく使用されますが、安全なプロトコルではないため、これは良いことです。また、構成の変更にも使用できるため、悪意のあるユーザーに悪用される可能性があります。このツールでは、デバイス構成の変更とSNMPトラップも監視できます。 Unix、Linux、OS Xにインストールできますが、Windowsでは利用できません。これはおそらく主な欠点です。
コメント