RAT (원격 액세스 트로이 목마)는생각할 수있는 가장 악성 유형의 맬웨어. 모든 종류의 손상을 유발할 수 있으며 값 비싼 데이터 손실을 초래할 수도 있습니다. 그들은 불쾌한 것 외에도 비교적 흔하기 때문에 적극적으로 싸워야합니다. 오늘, 우리는 그들이 무엇인지, 어떻게 작동하는지 설명하기 위해 최선을 다할 것입니다.
오늘부터 토론을 시작하겠습니다RAT가 무엇인지 설명합니다. 기술적 인 세부 사항에 대해서는 자세히 다루지 않지만 작동 방식과 사용자에게 도달하는 방법을 설명하기 위해 최선을 다합니다. 다음으로 너무 편집증적인 소리를 내지 않으려 고 노력하면서 RAT를 무기로 볼 수있는 방법을 살펴 보겠습니다. 실제로 일부는 그대로 사용되었습니다. 그런 다음 가장 잘 알려진 RAT를 소개하겠습니다. 그것은 그들이 당신이 할 수있는 것에 대한 더 나은 아이디어를 줄 것입니다. 그런 다음 침입 탐지 도구를 사용하여 RAT를 보호하는 방법을 살펴보고 이러한 도구 중 가장 좋은 도구를 검토합니다.
그렇다면 RAT 란 무엇입니까?
그만큼 원격 액세스 트로이 목마 해커가 원격으로따라서 이름은 컴퓨터를 제어합니다. 이름을 분석해 봅시다. 트로이 목마 부분은 맬웨어가 배포되는 방식에 관한 것입니다. 이것은 율리시스가 10 년 동안 포위 된 트로이 도시를 되찾기 위해 지어 놓은 트로이 목마의 고대 그리스 이야기입니다. 컴퓨터 맬웨어와 관련하여 트로이 목마 (또는 간단히 트로이 목마)는 다른 것으로 배포되는 맬웨어입니다. 예를 들어 컴퓨터에 다운로드하여 설치 한 게임은 실제로 트로이 목마 일 수 있으며 일부 맬웨어 코드가 포함되어있을 수 있습니다.
RAT 이름의 원격 액세스 부분은악성 코드의 기능과 관련이 있습니다. 간단히 말해 작성자는 감염된 컴퓨터에 원격으로 액세스 할 수 있습니다. 그리고 그가 원격 액세스를 할 때, 그가 할 수있는 일에는 거의 한계가 없습니다. 파일 시스템 탐색, 화면상의 활동 확인, 로그인 자격 증명 수집 또는 파일을 암호화하여 몸값을 요구하는 것과 다를 수 있습니다. 또한 귀하의 데이터 또는 고객의 데이터를 도용 할 수도 있습니다. RAT가 설치되면 컴퓨터가 로컬 네트워크의 다른 컴퓨터에 대한 공격을 시작하는 허브가되어 주변 보안을 우회 할 수 있습니다.
역사의 RAT
RAT는 불행히도열개의. 이 기술은 2003 년 중국 해커들에 의해 미국 기술의 광범위한 약탈에 일조 한 것으로 여겨진다. 국방부 조사에 따르면 미 국방성 계약자로부터 데이터 도난이 발견되었으며, 분류 된 개발 및 테스트 데이터가 중국 내 위치로 이전되었다.
아마도 당신은 미국 동부를 기억할 것입니다2003 년과 2008 년의 해안 전력망 폐쇄. 이들은 중국으로 거슬러 올라가며 RAT에 의해 촉진 된 것으로 보인다. 시스템에 RAT를 제공 할 수있는 해커는 감염된 시스템 사용자가 자신의 처분에 따라 소프트웨어를 알아 차리지 않고도 이용할 수있는 소프트웨어를 활용할 수 있습니다.
무기로서의 쥐
악의적 인 RAT 개발자가발전소, 전화 네트워크, 원자력 시설 또는 가스 파이프 라인. 따라서 RAT는 기업 보안에만 위험을 초래하지 않습니다. 또한 국가가 적의 국가를 공격 할 수 있습니다. 따라서 무기로 볼 수 있습니다. 전 세계의 해커는 RAT를 사용하여 회사를 감시하고 데이터와 돈을 훔칩니다. 한편, RAT 문제는 이제 미국을 포함한 많은 국가의 국가 안보 문제가되었습니다.
산업 스파이 활동에 원래 사용되었으며중국 해커들에 의해 파괴 된 러시아는 RAT의 힘을 인식하고 군사 무기고에 통합했습니다. 그들은 이제 "하이브리드 전쟁"으로 알려진 러시아 공격 전략의 일부가되었습니다. 2008 년 러시아가 조지아의 일부를 점령했을 때, DDoS 공격을 사용하여 인터넷 서비스와 RAT를 차단하여 정보를 수집하고 조지아의 군사 하드웨어와 필수 요소를 방해했습니다. 유용.
몇 안되는 (들) 유명한 쥐
가장 잘 알려진 RAT 몇 가지를 살펴 보겠습니다. 여기서 우리의 생각은 그것들을 영화 롭게하는 것이 아니라 그것들이 얼마나 다양한 지에 대한 아이디어를주는 것입니다.
백 오리피스
Back Orifice은 미국산 RAT입니다.그것은 일종의 RAT의 할아버지입니다. 원래 체계는 Windows 98의 취약점을 악용했습니다. 최신 Windows 운영 체제에서 실행되는 최신 버전을 Back Orifice 2000 및 Deep Back Orifice이라고합니다.
이 RAT는특히 감지하기 어려운 운영 체제입니다. 그러나 오늘날 대부분의 바이러스 방지 시스템에는 Back Orifice 실행 파일과 폐색 동작이 서명으로 포함되어 있습니다. 이 소프트웨어의 특징은 침입자가 감염된 시스템을 탐색하고 탐색하는 데 사용할 수있는 사용하기 쉬운 콘솔이 있다는 것입니다. 일단 설치되면이 서버 프로그램은 표준 네트워킹 프로토콜을 사용하여 클라이언트 콘솔과 통신합니다. 예를 들어 포트 번호 21337을 사용하는 것으로 알려져 있습니다.
DarkComet
DarkComet은 2008 년 프랑스어로 다시 제작되었습니다.해커 장 피에르 레수 에르 (Jean-Pierre Lesueur)는 아프리카 해커 부대가이 시스템을 사용하여 미국 정부와 군대를 목표로 삼고 있다는 사실을 알게 된 2012 년 사이버 보안 커뮤니티의 주목을 받았습니다.
DarkComet은 사용하기 쉬운 것이 특징입니다기술적 인 기술이 거의 없거나 전혀없는 사용자가 해커 공격을 수행 할 수있는 인터페이스. 키 로깅, 화면 캡처 및 암호 수집을 통해 감시 할 수 있습니다. 제어하는 해커는 원격 컴퓨터의 전원 기능을 조작하여 컴퓨터를 원격으로 켜거나 끌 수 있습니다. 감염된 컴퓨터의 네트워크 기능을 사용하여 컴퓨터를 프록시 서버로 사용하고 다른 컴퓨터를 공격 할 때 사용자의 신원을 숨길 수도 있습니다. DarkComet 프로젝트는 2014 년 시리아 정부가 시민들을 감시하기 위해 사용하고 있음을 알게되면서 개발자가 포기했습니다.
신기루
미라지는 국가가 후원하는 유명한 RAT입니다중국 해커 그룹. 2009 년부터 2015 년까지 활발한 스파이 활동을 한 후이 그룹은 조용해졌습니다. Mirage는 2012 년부터이 그룹의 주요 도구였습니다. 2018 년 MirageFox라고하는 Mirage 변형 탐지는 그룹이 다시 작동 할 수 있다는 힌트입니다.
MirageFox는 2018 년 3 월에 발견되었습니다.영국 정부 계약자를 감시하는 데 사용되었습니다. 원래 Mirage RAT는 필리핀의 석유 회사, 대만 군대, 캐나다 에너지 회사 및 브라질, 이스라엘, 나이지리아 및 이집트의 다른 표적을 공격하는 데 사용되었습니다.
이 RAT는 PDF에 포함되어 제공됩니다. 이를 열면 RAT를 설치하는 스크립트가 실행됩니다. 일단 설치되면 첫 번째 조치는 감염된 시스템 기능에 대한 감사를 통해 명령 및 제어 시스템에 다시보고하는 것입니다. 이 정보에는 CPU 속도, 메모리 용량 및 사용률, 시스템 이름 및 사용자 이름이 포함됩니다.
RAT 방지 – 침입 탐지 도구
바이러스 보호 소프트웨어는 때때로 쓸모가 없습니다RAT 탐지 및 방지. 이것은 부분적으로 그 특성 때문입니다. 그들은 완전히 합법적 인 다른 것으로 눈에 잘 띄지 않습니다. 이러한 이유로 컴퓨터의 비정상적인 동작을 분석하는 시스템에서 가장 잘 감지됩니다. 이러한 시스템을 침입 탐지 시스템이라고합니다.
우리는 최고의 침입을 위해 시장을 검색했습니다탐지 시스템. 당사의 목록에는 침입 탐지 시스템과 침입 탐지 구성 요소가 있거나 침입 시도를 탐지하는 데 사용할 수있는 기타 소프트웨어가 포함되어 있습니다. 이들은 일반적으로 다른 유형의 맬웨어 방지 도구 인 원격 액세스 트로이 목마를 더 잘 식별합니다.
1. SolarWinds 위협 모니터 – IT 운영 에디션 (무료 데모)
태양풍 네트워크 관리 도구 분야의 일반적인 이름입니다. 약 20 년 동안 근무하면서 최고의 네트워크 및 시스템 관리 도구를 제공했습니다. 주력 제품인 네트워크 성능 모니터, 최고의 네트워크 대역폭 모니터링 도구 중 지속적으로 점수를 매 깁니다. 태양풍 또한 네트워크 관리자의 특정 요구를 해결하는 뛰어난 무료 도구를 제공합니다. 그만큼 키위 Syslog 서버 그리고 고급 서브넷 계산기 두 가지 좋은 예입니다.
- 무료 데모 : SolarWinds 위협 모니터 – IT 운영 에디션
- 공식 다운로드 링크 : https://www.solarwinds.com/threat-monitor/registration
네트워크 기반 침입 탐지의 경우 태양풍 제공합니다 위협 모니터 – IT 운영 에디션. 대부분의 다른 태양풍 이 도구는 오히려 클라우드 기반 서비스입니다.로컬로 설치된 소프트웨어보다. 단순히 가입하고 구성하면 침입 시도 및 몇 가지 유형의 위협에 대해 환경을 감시하기 시작합니다. 그만큼 위협 모니터 – IT 운영 에디션 여러 도구를 결합합니다. 네트워크 및 호스트 기반 침입 탐지와 로그 중앙 집중화 및 상관 관계, SIEM (Security Information and Event Management)이 있습니다. 매우 철저한 위협 모니터링 제품군입니다.
그만큼 위협 모니터 – IT 운영 에디션 항상 최신 상태이며 지속적으로 업데이트됩니다.IP 및 도메인 평판 데이터베이스를 포함한 여러 소스의 위협 인텔리전스. 알려진 위협과 알려지지 않은 위협을 모두 감시합니다. 이 도구는 자동화 된 지능형 대응 기능을 통해 보안 사고를 신속하게 해결하여 침입 방지와 유사한 기능을 제공합니다.
제품의 알림 기능은 상당히감동적인. 도구의 활성 응답 엔진과 함께 작동하고 중요한 이벤트를 식별하고 요약하는 데 도움이되는 다중 조건의 상호 관련 경보가 있습니다. 보고 시스템은 경고와 마찬가지로 우수하며 기존의 미리 작성된 보고서 템플릿을 사용하여 규정 준수를 입증하는 데 사용할 수 있습니다. 또는 비즈니스 요구에 정확하게 맞게 사용자 정의 보고서를 작성할 수 있습니다.
의 가격 SolarWinds 위협 모니터 – IT 운영 에디션 인덱스가 10 일인 최대 25 개의 노드에 대해 $ 4500에서 시작합니다. 연락 할 수 있습니다 태양풍 특정 요구 사항에 맞는 자세한 견적. 제품이 실제로 작동하는 것을 원한다면 무료 데모를 요청할 수 있습니다. 태양풍.
2. SolarWinds 로그 및 이벤트 관리자 (무료 시험판)
두 지마 SolarWinds 로그 및 이벤트 관리자이름은 당신을 바보입니다. 단순한 로그 및 이벤트 관리 시스템 그 이상입니다. 이 제품의 많은 고급 기능이 SIEM (Security Information and Event Management) 범위에 있습니다. 다른 기능은 침입 탐지 시스템으로, 심지어 침입 방지 시스템으로 어느 정도까지 자격이 있습니다. 이 도구는 예를 들어 실시간 이벤트 상관 관계 및 실시간 치료 기능을 갖추고 있습니다.
- 무료 시험판: SolarWinds 로그 및 이벤트 관리자
- 공식 다운로드 링크 : https://www.solarwinds.com/log-event-manager-software/registration
그만큼 SolarWinds 로그 및 이벤트 관리자 의심스러운 순간 탐지 기능활동 (침입 탐지 기능) 및 자동 응답 (침입 방지 기능). 또한 완화 및 규정 준수 목적으로 보안 이벤트 조사 및 법의학을 수행 할 수 있습니다. 검증 된보고 기능 덕분에이 도구를 사용하여 HIPAA, PCI-DSS 및 SOX 준수 여부를 입증 할 수도 있습니다. 이 도구에는 파일 무결성 모니터링 및 USB 장치 모니터링 기능이있어 로그 및 이벤트 관리 시스템보다 훨씬 통합 된 보안 플랫폼이됩니다.
에 대한 가격 SolarWinds 로그 및 이벤트 관리자 최대 30 개의 모니터링 노드에 대해 $ 4,585에서 시작합니다. 최대 2,500 개의 노드에 대한 라이센스를 구매하여 제품의 확장 성을 높일 수 있습니다. 테스트 실행을 위해 제품을 가져 가고 자신에게 적합한 지 직접 확인하고 싶다면 30 일 무료 평가판을 무료로 이용할 수 있습니다.
3. OSSEC
오픈 소스 보안또는 OSSEC는 최고의 오픈 소스 호스트 기반 침입 탐지 시스템입니다. 이 제품은 트렌드 마이크로IT 보안의 선두 주자 중 하나이며최고의 바이러스 보호 제품군 중 하나입니다. Unix 계열 운영 체제에 설치하면 소프트웨어는 주로 로그 및 구성 파일에 중점을 둡니다. 중요한 파일의 체크섬을 만들고 주기적으로 유효성을 검사하여 이상한 일이 발생할 때마다 경고합니다. 또한 루트 액세스 권한을 얻는 비정상적인 시도를 모니터링하고 경고합니다. Windows 호스트에서 시스템은 또한 악의적 인 활동의 징후 일 수있는 무단 레지스트리 수정을 감시합니다.
호스트 기반 침입 탐지 시스템이기 때문에 OSSEC 보호하려는 각 컴퓨터에 설치해야합니다. 그러나 중앙 콘솔은 관리가 용이하도록 각 보호 된 컴퓨터의 정보를 통합합니다. 동안 OSSEC 콘솔은 Unix-Like 운영 체제에서만 실행됩니다.Windows 호스트를 보호하기 위해 에이전트를 사용할 수 있습니다. 모든 탐지는 중앙 콘솔에 표시되는 알림을 트리거하며 알림은 전자 메일로도 전송됩니다.
4. 흡입
흡입 아마도 가장 잘 알려진 오픈 소스 일 것입니다네트워크 기반 침입 탐지 시스템. 그러나 이는 침입 탐지 도구 이상입니다. 또한 패킷 스니퍼 및 패킷 로거이며 몇 가지 다른 기능도 포함합니다. 제품 구성은 방화벽 구성을 연상시킵니다. 규칙을 사용하여 수행됩니다. 에서 기본 규칙을 다운로드 할 수 있습니다 흡입 웹 사이트를 그대로 사용하거나 특정 요구에 맞게 사용자 정의하십시오. 구독 할 수도 있습니다 흡입 규칙은 진화하거나 새로운 위협이 발견 될 때 모든 최신 규칙을 자동으로 가져옵니다.
종류 매우 철저하며 기본 규칙조차도스텔스 포트 스캔, 버퍼 오버 플로우 공격, CGI 공격, SMB 프로브 및 OS 지문과 같은 다양한 이벤트를 탐지합니다. 이 도구로 탐지 할 수있는 것에는 제한이 없으며, 탐지하는 것은 설치 한 규칙 세트에만 의존합니다. 탐지 방법은 기본 중 일부 흡입 규칙은 서명 기반이며 다른 규칙은 예외 기반입니다. 흡입 그러므로, 당신에게 두 세계의 최고를 줄 수 있습니다.
5. 삼하 인
삼하 인 또 다른 잘 알려진 무료 호스트 침입입니다탐지 시스템. IDS 관점에서 주요 기능은 파일 무결성 검사 및 로그 파일 모니터링 / 분석입니다. 그래도 그 이상입니다. 이 제품은 루트킷 탐지, 포트 모니터링, 불량 SUID 실행 파일 탐지 및 숨겨진 프로세스를 수행합니다.
이 도구는 중앙 집중식 로깅 및 유지 관리를 제공하면서 다양한 운영 체제를 실행하는 여러 호스트를 모니터링하도록 설계되었습니다. 하나, 삼하 인 독립 실행 형 응용 프로그램으로도 사용할 수 있습니다단일 컴퓨터. 이 소프트웨어는 주로 Unix, Linux 또는 OS X와 같은 POSIX 시스템에서 실행됩니다. 또한 모니터링 에이전트 만 해당 구성에서 테스트되었지만 Windows에서 POSIX 응용 프로그램을 실행할 수있는 패키지 인 Cygwin에서 Windows에서 실행될 수도 있습니다.
중 하나 삼하 인가장 독특한 기능은 스텔스 모드입니다.잠재적 인 공격자에 의해 탐지되지 않고 실행되도록합니다. 침입자는 탐지되기 전에 시스템에 진입하자마자 인식하는 탐지 프로세스를 신속하게 종료하여 눈에 띄지 않게하는 것으로 알려져 있습니다. 삼하 인 steganographic 기술을 사용하여 프로세스를 다른 프로세스로부터 숨 깁니다. 또한 PGP 키로 중앙 로그 파일 및 구성 백업을 보호하여 변조를 방지합니다.
6. 수리 카타
수리 카타 침입 탐지 시스템 만이 아닙니다. 또한 일부 침입 방지 기능이 있습니다. 사실, 완벽한 네트워크 보안 모니터링 에코 시스템으로 알려졌습니다. 이 도구의 최고의 자산 중 하나는 응용 프로그램 계층까지 작동하는 방식입니다. 따라서이 도구는 다른 도구에 의해 눈에 띄지 않을 위협을 탐지 할 수있는 하이브리드 네트워크 및 호스트 기반 시스템입니다.
수리 카타 진정한 네트워크 기반 침입 탐지응용 프로그램 계층에서만 작동하는 시스템. TLS, ICMP, TCP 및 UDP와 같은 하위 수준 네트워킹 프로토콜을 모니터링합니다. 또한이 도구는 HTTP, FTP 또는 SMB와 같은 고급 프로토콜을 이해하고 디코딩하며 일반적인 요청에 숨겨진 침입 시도를 탐지 할 수 있습니다. 이 도구에는 파일 추출 기능이있어 관리자가 의심스러운 파일을 검사 할 수 있습니다.
수리 카타의 애플리케이션 아키텍처는 매우 혁신적입니다. 이 도구는 최상의 성능을 위해 여러 프로세서 코어와 스레드에 작업 부하를 분산시킵니다. 필요한 경우 일부 처리를 그래픽 카드로 오프로드 할 수도 있습니다. 이것은 그래픽 카드가 일반적으로 사용되지 않기 때문에 서버에서 도구를 사용할 때 유용한 기능입니다.
7. Bro 네트워크 보안 모니터
그만큼 Bro 네트워크 보안 모니터또 다른 무료 네트워크 침입 탐지 시스템. 이 도구는 트래픽 로깅과 트래픽 분석의 두 단계로 작동합니다. Suricata와 마찬가지로 Bro 네트워크 보안 모니터 응용 프로그램까지 여러 계층에서 작동층. 이를 통해 분할 침입 시도를보다 잘 탐지 할 수 있습니다. 도구의 분석 모듈은 두 가지 요소로 구성됩니다. 첫 번째 요소는 이벤트 엔진이라고하며 net TCP 연결 또는 HTTP 요청과 같은 트리거 이벤트를 추적합니다. 그런 다음 두 번째 요소 인 정책 스크립트로 이벤트를 분석하여 경보를 트리거할지 및 / 또는 조치를 시작할지 여부를 결정합니다. 조치를 실행할 가능성은 Bro Network Security Monitor에 IPS와 유사한 기능을 제공합니다.
그만큼 Bro 네트워크 보안 모니터 HTTP, DNS 및 FTP 활동을 추적 할 수 있습니다.SNMP 트래픽도 모니터링합니다. SNMP는 종종 네트워크 모니터링에 사용되지만 보안 프로토콜이 아니기 때문에 좋은 방법입니다. 또한 구성을 수정하는데도 사용할 수 있으므로 악의적 인 사용자가 악용 할 수 있습니다. 이 도구를 사용하면 장치 구성 변경 및 SNMP 트랩을 볼 수 있습니다. Unix, Linux 및 OS X에 설치할 수 있지만 Windows의 경우 주요 단점 인 Windows에서는 사용할 수 없습니다.
코멘트