Nuotolinės prieigos trojanas, arba RAT, yra vienas išbjauriausi kenkėjiškų programų tipai, apie kuriuos galima galvoti. Jie gali padaryti įvairaus pobūdžio žalą ir taip pat būti atsakingi už brangius duomenų praradimus. Su jais reikia aktyviai kovoti, nes jie yra ne tik nemalonūs, bet ir gana dažni. Šiandien mes padarysime viską, kad paaiškintume, kokie jie yra ir kaip jie veikia, ir mes jums pranešime, ką galima padaryti norint apsisaugoti nuo jų.
Šiandien pradėsime diskusijąpaaiškinantis, kas yra RAT. Mes per daug nesigilinsime į technines detales, bet padarysime viską, kad paaiškintume, kaip jie veikia ir kaip su jumis susisiekia. Toliau, stengdamiesi neatrodyti pernelyg paranojiškai, pamatysime, kaip RAT gali būti beveik laikoma ginklu. Tiesą sakant, kai kurie buvo naudojami kaip tokie. Po to pateiksime keletą geriausiai žinomų RAT. Tai leis jums geriau suprasti, ką jie sugeba. Tada pamatysime, kaip galima naudoti įsibrovimo aptikimo įrankius, kad apsisaugotume nuo RAT, ir apžvelgsime keletą geriausių šių priemonių.
Taigi, kas yra RAT?
Į Nuotolinės prieigos Trojos arklys yra kenkėjiškų programų rūšis, leidžianti įsilaužėliams nuotoliniu būdu(taigi vardas) perima kompiuterio valdymą. Paanalizuokime vardą. „Trojan“ dalis yra apie kenkėjiškų programų platinimą. Tai nurodo senovės Graikijos istoriją apie Trojos arklį, kurį Ulisas pastatė trojos miestui, kuris buvo apgultas dešimt metų, susigrąžinti. Kompiuterių kenkėjiškų programų kontekste Trojos arklys (arba tiesiog Trojos arklys) yra kenkėjiškos programos dalis, platinama kaip kažkas kitas. Pvz., Žaidimas, kurį atsisiunčiate ir įdiegiate į savo kompiuterį, iš tikrųjų gali būti Trojos arklys ir jame gali būti šiek tiek kenkėjiškų programų.
Dėl RAT vardo nuotolinės prieigos dalies,tai turi daryti su tuo, ką daro kenkėjiška programa. Paprasčiau tariant, tai leidžia jo autoriui nuotoliniu būdu pasiekti užkrėstą kompiuterį. Ir kai jis įgyja nuotolinę prieigą, tai, ką jis gali padaryti, beveik nėra. Tai gali skirtis nuo jūsų failų sistemos tyrinėjimo, ekrane vykdomos veiklos stebėjimo, prisijungimo duomenų rinkimo ar šifravimo failų, norint pareikalauti išpirkos. Jis taip pat galėtų pavogti jūsų duomenis arba, dar blogiau, jūsų kliento duomenis. Įdiegus RAT, jūsų kompiuteris gali tapti centru, iš kur pradedami išpuoliai į kitus vietinio tinklo kompiuterius, tokiu būdu apeinant bet kokią perimetro apsaugą.
RATs istorijoje
Deja, RAT buvo taikytos jau daugiau nei metusdešimtmetis. Manoma, kad ši technologija suvaidino vaidmenį 2003 m. Plėšiant kinų įsilaužėlius JAV. Pentagono tyrimu buvo aptiktos duomenų vagystės iš JAV gynybos rangovų, o įslaptinti kūrimo ir bandymų duomenys buvo perduoti į vietas Kinijoje.
Galbūt prisiminsite JAV Rytus2003 ir 2008 m. Pakrančių elektros tinklo nutraukimas. Tai taip pat atsekta Kinijoje ir atrodė, kad tam padėjo RAT. Piratai, kurie gali gauti RAT sistemoje, gali naudotis bet kuria programine įranga, kuria disponuoja užkrėsti sistemos vartotojai, dažnai net nepastebėdami.
RAT kaip ginklai
Kenkėjiškas RAT kūrėjas gali perimti valdymąelektrinės, telefonų tinklai, branduoliniai įrenginiai ar dujotiekiai. Iš esmės RAT nekelia tik pavojaus įmonių saugumui. Jie taip pat gali sudaryti galimybes tautoms pulti priešo šalį. Iš esmės juos galima laikyti ginklais. Piratai visame pasaulyje naudoja RAT šnipinėdami įmones ir vagiant jų duomenis bei pinigus. Tuo tarpu RAT problema tapo daugelio šalių, įskaitant JAV, nacionalinio saugumo problema.
Iš pradžių buvo naudojamas pramoniniam šnipinėjimui irKinijos įsilaužėlių sabotažas, Rusija įvertino RAT galią ir integravo juos į savo karinį arsenalą. Jie dabar yra Rusijos nusikaltimų strategijos, vadinamos „hibridiniu karu“, dalis. Kai Rusija 2008 m. Užgrobė dalį Gruzijos, ji panaudojo DDoS išpuolius, kad blokuotų interneto paslaugas ir RAT, kad surinktų žvalgybą, kontroliuotų ir sutrikdytų Gruzijos karinę techninę įrangą ir esminius dalykus. Komunalinės paslaugos.
Keletas garsių RAT
Pažvelkime į keletą geriausiai žinomų RAT. Mūsų idėja yra ne juos šlovinti, o suteikti jums supratimą apie jų įvairovę.
Užpakalinė anga
„Back Orifice“ yra amerikiečių sukurta RAT, kuri turimaždaug nuo 1998 m. Tai tarsi RAT anūkė. Originalioje schemoje buvo išnaudotas „Windows 98“ trūkumas. Vėlesnės versijos, kurios veikė naujesnėse „Windows“ operacinėse sistemose, buvo vadinamos „Back Orifice 2000“ ir „Deep Back Orifice“.
Ši RAT gali paslėpti saveoperacinę sistemą, todėl ją ypač sunku aptikti. Tačiau šiandien daugumoje apsaugos nuo virusų sistemų „Back Orifice“ vykdomieji failai ir okliuzijos elgesys yra parašas, į kuriuos reikia atkreipti dėmesį. Skiriamasis šios programinės įrangos bruožas yra tas, kad ji turi lengvai naudojamą konsolę, kurią įsibrovėlis gali naudoti naršydamas ir naršydamas po užkrėstą sistemą. Įdiegus šią serverio programą, ji bendrauja su kliento pultu naudodama standartinius tinklo protokolus. Pavyzdžiui, žinoma, kad naudojamas prievado numeris 21337.
„DarkComet“
„DarkComet“ 2008 m. Sukūrė prancūzaiįsilaužėlis Jeanas-Pierre'as Lesueuras, tačiau į kibernetinio saugumo bendruomenės dėmesį atkreipė tik 2012 m., kai buvo išsiaiškinta, kad afrikiečių įsilaužėlių būrys naudoja sistemą, kad nukreiptų JAV vyriausybę ir kariuomenę.
„DarkComet“ būdingas paprastas naudotisąsaja, leidžianti vartotojams, turintiems mažai techninių įgūdžių ar jų neturinčių, vykdyti įsilaužėlių atakas. Tai leidžia šnipinėti per slaptažodžių kaupimą, ekrano fiksavimą ir slaptažodžių rinkimą. Valdantysis įsilaužėlis taip pat gali valdyti nuotolinio kompiuterio maitinimo funkcijas, leisdamas kompiuterį įjungti arba išjungti nuotoliniu būdu. Užkrėsto kompiuterio tinklo funkcijos taip pat gali būti panaudotos naudoti kompiuterį kaip tarpinį serverį ir užmaskuoti jo vartotojo tapatybę reidų metu kituose kompiuteriuose. Projekto „DarkComet“ atsisakė jo kūrėjas dar 2014 m., Kai buvo išsiaiškinta, kad Sirijos vyriausybė juo naudojasi šnipinėdama savo piliečius.
Miražas
„Mirage“ yra garsioji RAT, kurią naudoja valstybės remiama įmonėKinijos įsilaužėlių grupė. Po labai aktyvios šnipinėjimo kampanijos nuo 2009 iki 2015 m., Grupė praėjo ramiai. „Mirage“ buvo pagrindinis grupės įrankis nuo 2012 m. „Mirage“ varianto, vadinamo „MirageFox“, 2018 m. Aptikimas yra užuomina, kad grupė galėtų vėl veikti.
„MirageFox“ buvo atrastas 2018 m. Kovo mėn., Kai jisbuvo naudojamas šnipinėti JK vyriausybės rangovus. Originalus „Mirage RAT“ buvo naudojamas atakoms prieš naftos kompaniją Filipinuose, Taivano kariuomenę, Kanados energetikos kompaniją ir kitus taikinius Brazilijoje, Izraelyje, Nigerijoje ir Egipte.
Šis RAT pateikiamas įdėjus į PDF. Atidarius jį, vykdomi scenarijai, kurie įdiegia RAT. Įdiegus pirmąjį veiksmą, reikia pranešti valdymo ir valdymo sistemai patikrinus užkrėstos sistemos galimybes. Ši informacija apima procesoriaus greitį, atminties talpą ir naudojimą, sistemos pavadinimą ir vartotojo vardą.
Apsaugojimas nuo RAT - įsibrovimo aptikimo įrankiai
Apsauga nuo virusų programinė įranga kartais nenaudingaaptikti ir užkirsti kelią RAT. Iš dalies taip yra dėl jų prigimties. Jie slepiasi akivaizdoje kaip kažkas visiškai teisėto. Dėl šios priežasties juos dažniausiai geriausiai aptinka sistemos, kurios analizuoja kompiuterius dėl neįprasto elgesio. Tokios sistemos vadinamos įsilaužimo aptikimo sistemomis.
Mes ieškojome geriausios įsibrovimo rinkosAptikimo sistemos. Mūsų sąraše yra sąžiningų įsibrovimų aptikimo sistemų ir kitos programinės įrangos, turinčios įsilaužimo aptikimo komponentą arba kurią galima naudoti norint aptikti įsibrovimus, derinys. Paprastai jie geriau atliks darbą, kad atpažintų nuotolinės prieigos trojanus kaip kitų tipų apsaugos nuo kenkėjiškų programų įrankius.
1. „SolarWinds Threat Monitor“ - „IT Ops“ leidimas (NEMOKAMA demonstracinė versija)
„Saulės vėjai“ yra bendras pavadinimas tinklo administravimo įrankių srityje. Baigę maždaug 20 metų, ji mums atnešė keletą geriausių tinklo ir sistemos administravimo įrankių. Jos pavyzdinis produktas yra Tinklo našumo monitorius, nuosekliai vertina aukščiausius tinklo pralaidumo stebėjimo įrankius. „Saulės vėjai“ taip pat sukuria puikius nemokamus įrankius, kurių kiekvienas patenkina specifinį tinklo administratorių poreikį. „Kiwi Syslog“ serveris ir Išplėstinė potinklio skaičiuoklė yra du geri pavyzdžiai.
- NEMOKAMA demonstracinė versija: „SolarWinds Threat Monitor“ - „IT Ops“ leidimas
- Oficiali atsisiuntimo nuoroda: https://www.solarwinds.com/threat-monitor/registration
Įsibrovimui tinkle nustatyti, „Saulės vėjai“ siūlo Grėsmių monitorius - „IT Ops“ leidimas. Priešingai nei dauguma kitų „Saulės vėjai“ įrankiai, tai veikiau debesija paremta paslauganei vietoje įdiegta programinė įranga. Jūs tiesiog jį užsiprenumeruojate, sukonfigūruojate ir jis pradeda stebėti jūsų aplinką, kad būtų bandoma įsiterpti ir dar kelios grėsmės. Grėsmių monitorius - „IT Ops“ leidimas sujungia keletą įrankių. Jis turi tiek tinklo, tiek pagrindinio kompiuterio įsibrovimo aptikimą, taip pat žurnalo centralizavimą ir koreliaciją, taip pat saugos informaciją ir įvykių valdymą (SIEM). Tai labai kruopštus grėsmių stebėjimo rinkinys.
Į Grėsmių monitorius - „IT Ops“ leidimas visada yra atnaujinamas, nuolat atnaujinamasgrėsmės žvalgyba iš kelių šaltinių, įskaitant IP ir domenų reputacijos duomenų bazes. Jis stebi žinomas ir nežinomas grėsmes. Įrankis pasižymi automatizuotomis intelektualiosiomis reakcijomis, leidžiančiomis greitai pašalinti saugumo įvykius, suteikiant jai keletą įsibrovimų prevencijos funkcijų.
Produkto įspėjamosios funkcijos yra gana gerosįspūdingas. Yra daugialypės, kryžminės koreliacijos, kurios veikia kartu su įrankio aktyviojo reagavimo varikliu ir padeda nustatyti bei apibendrinti svarbius įvykius. Ataskaitų teikimo sistema yra tokia pati gera, kaip ir jos perspėjimas, ir ją galima naudoti norint įrodyti atitiktį naudojant esamus iš anksto paruoštus ataskaitų šablonus. Arba galite sukurti pasirinktines ataskaitas, kad tiksliai atitiktų jūsų verslo poreikius.
Kainos už „SolarWinds Threat Monitor“ - „IT Ops“ leidimas Pradėkite nuo 4 500 USD iki 25 mazgų su 10 dienų indeksu. Galite susisiekti „Saulės vėjai“ už išsamią kainą, pritaikytą jūsų specifiniams poreikiams. Ir jei norite pamatyti produktą veikiantį, galite paprašyti nemokamos demonstracinės versijos „Saulės vėjai“.
2. „SolarWinds“ žurnalų ir renginių tvarkyklė (Nemokamas bandymas)
Neleisk „SolarWinds“ žurnalų ir renginių tvarkyklėVardas jus kvailys. Tai daug daugiau nei tik žurnalų ir įvykių valdymo sistema. Daugelis pažangių šio produkto savybių jį įtraukė į Saugumo informacijos ir įvykių valdymo (SIEM) asortimentą. Kitos savybės jį apibūdina kaip įsibrovimo aptikimo sistemą ir tam tikru mastu kaip įsibrovimo prevencijos sistemą. Ši priemonė, pvz., Apibūdina įvykių realaus laiko koreliaciją ir ištaisymą realiuoju laiku.
- NEMOKAMAS bandymas: „SolarWinds“ žurnalų ir renginių tvarkyklė
- Oficiali atsisiuntimo nuoroda: https://www.solarwinds.com/log-event-manager-software/registration
Į „SolarWinds“ žurnalų ir renginių tvarkyklė funkcijos akimirksniu įtartinosveikla (įsibrovimų aptikimo funkcija) ir automatiniai atsakymai (įsibrovimų prevencijos funkcija). Jis taip pat gali atlikti saugumo įvykių tyrimą ir kriminalistiką tiek švelninimo, tiek laikymosi tikslais. Dėl auditu patikrintų ataskaitų pateikimo įrankis taip pat gali būti naudojamas įrodyti atitiktį HIPAA, PCI-DSS ir SOX. Įrankis taip pat turi failų vientisumo stebėjimą ir USB įrenginių stebėjimą, todėl tai daug daugiau yra integruota saugos platforma, o ne tik žurnalo ir įvykių valdymo sistema.
Kainos už „SolarWinds“ žurnalų ir renginių tvarkyklė prasideda nuo 4 585 USD iki 30 stebimų mazgų. Galima įsigyti licencijas iki 2 500 mazgų, todėl produktas yra labai keičiamas. Jei norite paimti gaminį bandomam važiavimui ir patys įsitikinti, ar jis jums tinka, galite įsigyti nemokamą 30 dienų bandomąją versiją.
3. OSSEC
Atvirojo kodo sauga, arba OSSEC, iki šiol yra pirmaujanti atvirojo kompiuterio įsibrovimo aptikimo sistema. Produktas priklauso „Trend Micro“, vienas iš pirmaujančių vardų IT saugumo irvieno geriausių apsaugos nuo virusų rinkinio gamintojas. Įdiegus į „Unix“ panašias operacines sistemas, programinė įranga pirmiausia sutelkia dėmesį į žurnalo ir konfigūracijos failus. Tai sukuria svarbių failų kontrolines sumas ir periodiškai jas patvirtina, įspėdama apie įvykius kas nors keista. Jis taip pat stebės ir įspės apie bet kokius nenormalius bandymus gauti prieigą prie šaknies. „Windows“ pagrindiniuose kompiuteriuose sistema taip pat stebi neleistinus registro pakeitimus, kurie gali būti kenksmingos veiklos signalinis signalas.
Dėl to, kad ji yra kompiuterio įsibrovimo aptikimo sistema, OSSEC reikia įdiegti kiekviename kompiuteryje, kurį norite apsaugoti. Tačiau centralizuota konsolė sujungia informaciją iš kiekvieno apsaugoto kompiuterio, kad būtų lengviau valdyti. Kol OSSEC konsolė veikia tik „Unix“ tipo operacinėse sistemose,agentas yra prieinamas „Windows“ pagrindiniams kompiuteriams apsaugoti. Bet koks aptikimas suaktyvins įspėjimą, kuris bus rodomas centralizuotoje konsolėje, o pranešimai taip pat bus siunčiami el. Paštu.
4. Užkandžiaukite
Užkandžiaukite yra turbūt labiausiai žinomas atvirojo kodotinkle veikianti įsibrovimo aptikimo sistema. Bet tai daugiau nei įsibrovimų aptikimo įrankis. Tai taip pat yra paketų snifferis ir paketų kaupiklis, taip pat pakuojantis keletą kitų funkcijų. Produkto konfigūravimas primena ugniasienės konfigūravimą. Tai daroma naudojant taisykles. Pagrindines taisykles galite atsisiųsti iš Užkandžiaukite svetainę ir naudokite ją tokią, kokia yra, arba tinkinkite pagal savo specifinius poreikius. Taip pat galite užsiprenumeruoti Užkandžiaukite taisykles, kad būtų automatiškai gaunamos visos naujausios taisyklės, kai jos tobulėja ar atsiranda naujų grėsmių.
Rūšiuoti yra labai kruopštus ir netgi pagrindinės taisyklės gali tai padarytiaptikti daugybę įvairių įvykių, tokių kaip slaptas prievadų nuskaitymas, buferio perpildymo išpuoliai, CGI išpuoliai, SMB zondai ir OS pirštų atspaudai. Tai, ką galite aptikti naudodami šį įrankį, praktiškai neriboja, o tai, ką jis nustato, priklauso tik nuo jūsų įdiegtų taisyklių rinkinio. Kalbant apie aptikimo metodus, keletas pagrindinių Užkandžiaukite taisyklės yra paremtos parašu, o kitos - anomalijomis. Užkandžiaukite todėl gali duoti jums geriausią iš abiejų pasaulių.
5. Samhainas
Samhainas yra dar vienas gerai žinomas laisvojo kompiuterio įsiskverbimasaptikimo sistema. Pagrindinės jo funkcijos, IDS požiūriu, yra failų vientisumo tikrinimas ir žurnalo failų stebėjimas / analizė. Vis dėlto tai yra kur kas daugiau. Produktas atliks „rootkit“ aptikimą, prievadų stebėjimą, nesąžiningų SUID vykdomųjų programų ir paslėptų procesų aptikimą.
Įrankis buvo skirtas stebėti kelis pagrindinius kompiuterius, kuriuose veikia įvairios operacinės sistemos, kartu užtikrinant centralizuotą registravimą ir priežiūrą. Tačiau Samhainas taip pat gali būti naudojamas kaip atskira programavienas kompiuteris. Programinė įranga pirmiausia veikia POSIX sistemose, tokiose kaip „Unix“, „Linux“ ar „OS X“. Ji taip pat gali veikti „Windows“, naudojant „Cygwin“ - paketą, leidžiantį paleisti „POSIX“ programas „Windows“, nors toje konfigūracijoje buvo išbandytas tik stebėjimo agentas.
Vienas iš SamhainasUnikaliausia savybė yra slaptas režimas, kurisleidžia ją paleisti, kol jos neaptinka potencialūs užpuolikai. Buvo žinoma, kad įsibrovėliai greitai sunaikina aptikimo procesus, kuriuos atpažįsta vos įėję į sistemą prieš juos aptikdami, leisdami jiems likti nepastebėtiems. Samhainas paslėpia savo procesus nuo kitų, naudoja steganografinius metodus. Tai taip pat apsaugo savo centrinius žurnalo failus ir konfigūracijos atsargines kopijas naudodama PGP raktą, kad būtų išvengta klastojimo.
6. Surikata
Surikata yra ne tik įsibrovimo aptikimo sistema. Jis taip pat turi keletą įsibrovimų prevencijos funkcijų. Tiesą sakant, ji reklamuojama kaip visa tinklo saugumo stebėjimo ekosistema. Vienas iš geriausių įrankio pranašumų yra tai, kaip jis veikia iki pat programos sluoksnio. Tai daro ją hibridine tinklo ir pagrindinio kompiuterio sistema, leidžiančia įrankiui aptikti grėsmes, kurių kiti įrankiai greičiausiai nepastebėtų.
Surikata yra tikras tinklo įsibrovimo aptikimasSistema, kuri ne tik veikia programų lygmenyje. Tai stebės žemesnio lygio tinklo protokolus, tokius kaip TLS, ICMP, TCP ir UDP. Įrankis taip pat supranta ir iššifruoja aukštesnio lygio protokolus, tokius kaip HTTP, FTP ar SMB, ir gali aptikti įsibrovimų bandymus, paslėptus kituose įprastuose prašymuose. Įrankis taip pat pasižymi failų išgavimo galimybėmis, leidžiančiomis administratoriams ištirti bet kokį įtartiną failą.
SurikataProgramų architektūra yra gana novatoriška. Įrankis paskirstys savo darbo krūvį per keletą procesoriaus branduolių ir gijų, kad pasiektų geriausią našumą. Jei reikia, jis gali net dalį perdirbimo perkelti į vaizdo plokštę. Tai yra puiki funkcija, kai įrankis naudojamas serveriuose, nes jų vaizdo plokštė paprastai naudojama nepakankamai.
7. „Bro“ tinklo saugos monitorius
Į „Bro“ tinklo saugos monitorius, dar viena nemokama tinklo įsibrovimo aptikimo sistema. Įrankis veikia dviem etapais: srauto registravimas ir eismo analizė. Kaip ir Suricata, „Bro“ tinklo saugos monitorius veikia keliuose sluoksniuose iki pat programossluoksnis. Tai leidžia geriau aptikti padalijimo įsibrovimus. Įrankio analizės modulis sudarytas iš dviejų elementų. Pirmasis elementas vadinamas įvykių varikliu ir seka suveikiančius įvykius, tokius kaip grynieji TCP ryšiai ar HTTP užklausos. Po to įvykiai analizuojami strategijos scenarijais - antruoju elementu, kuris nusprendžia, ar sukelti pavojaus signalą ir (arba) pradėti veiksmą. Galimybė paleisti veiksmą suteikia „Bro Network Security Monitor“ tam tikras į IPS panašias funkcijas.
Į „Bro“ tinklo saugos monitorius leidžia sekti HTTP, DNS ir FTP veiklą ir jątaip pat stebi SNMP srautą. Tai yra geras dalykas, nes SNMP dažnai naudojamas tinklo stebėjimui, tačiau tai nėra saugus protokolas. Kadangi tai taip pat gali būti naudojama konfigūracijoms modifikuoti, ją gali išnaudoti kenksmingi vartotojai. Įrankis taip pat leis jums stebėti įrenginio konfigūracijos pokyčius ir SNMP gaudykles. Jį galima įdiegti „Unix“, „Linux“ ir „OS X“, tačiau jis negalimas „Windows“, o tai, ko gero, yra pagrindinis trūkumas.
Komentarai