Attālās piekļuves Trojas zirgs jeb RAT ir viens novisnepieciešamākie ļaunprātīgās programmatūras veidi, par kuriem var domāt. Tie var radīt visa veida kaitējumu, kā arī ir atbildīgi par dārgiem datu zaudējumiem. Ar tiem ir aktīvi jācīnās, jo papildus tam, ka viņi ir nejauki, tie ir arī samērā bieži. Šodien mēs darīsim visu iespējamo, lai izskaidrotu, kas tie ir un kā viņi darbojas, kā arī mēs jums paziņosim, ko var darīt, lai aizsargātu pret viņiem.
Mēs šodien sāksim diskusiju līdzizskaidrojot, kas ir RAT. Mēs pārāk neiedziļināsimies tehniskajās detaļās, bet darīsim visu iespējamo, lai izskaidrotu, kā viņi strādā un kā ar jums nokļūst. Pēc tam, mēģinot neizklausīties pārāk paranoiski, mēs redzēsim, kā RAT gandrīz var uzskatīt par ieročiem. Patiesībā daži no tiem ir izmantoti. Pēc tam mēs ieviesīsim dažus vislabāk zināmos RAT. Tas ļaus jums labāk saprast, uz ko viņi ir spējīgi. Pēc tam mēs redzēsim, kā var izmantot ielaušanās atklāšanas rīkus, lai aizsargātu no RAT, un mēs pārskatīsim dažus no labākajiem šiem rīkiem.
Tātad, kas ir RAT?
Uz Tālvadības Trojas zirgs ir ļaunprātīgas programmatūras veids, kas ļauj hakerim no attāluma(tātad nosaukums) pārņem kontroli pār datoru. Izanalizēsim vārdu. Trojas daļa ir par kaitīgās programmatūras izplatīšanas veidu. Tas attiecas uz seno grieķu stāstu par Trojas zirgu, ko Uļeses būvēja, lai atņemtu atpakaļ Trojas pilsētu, kas bija apbruņota desmit gadus. Datoru ļaunprātīgas programmatūras kontekstā Trojas zirgs (vai vienkārši Trojas zirgs) ir ļaunprātīgas programmatūras gabals, kas tiek izplatīts kā kaut kas cits. Piemēram, spēle, kuru lejupielādējat un instalējat datorā, patiesībā varētu būt Trojas zirgs, un tajā varētu būt kāds ļaunprātīgas programmatūras kods.
Kas attiecas uz RAT nosaukuma attālo piekļuvi,tam ir sakars ar ļaunprātīgo programmatūru. Vienkārši sakot, tas ļauj tā autoram attālināti piekļūt inficētajam datoram. Un, kad viņš gūst attālo piekļuvi, tam gandrīz nav nekādu ierobežojumu. Tas var atšķirties no failu sistēmas izpētes, ekrānā redzamo darbību skatīšanas, pieteikšanās akreditācijas datu novākšanas vai failu šifrēšanas, lai pieprasītu izpirkuma maksu. Viņš varētu arī nozagt jūsu datus vai, vēl sliktāk, jūsu klienta datus. Kad RAT ir instalēts, jūsu dators var kļūt par centru, no kurienes tiek sākti uzbrukumi citiem vietējā tīkla datoriem, tādējādi apejot jebkādu perimetra drošību.
RAT vēsturē
RAT diemžēl pastāv jau vairāk nekā adesmitgadē. Tiek uzskatīts, ka tehnoloģija ir bijusi nozīmīga loma plašajā ASV tehnoloģiju izlaupīšanā, ko veica ķīniešu hakeri 2003. gadā. Pentagona izmeklēšana atklāja datu zādzības no ASV aizsardzības darbuzņēmējiem, klasificētus izstrādes un testēšanas datus pārsūtot uz vietām Ķīnā.
Varbūt jūs atcerēsities Savienoto Valstu austrumusKrasta elektrotīkla slēgšana 2003. un 2008. gadā. Tās tika meklētas arī Ķīnā, un šķita, ka tās ir veicinājušas RAT. Hakeris, kurš sistēmā var iegūt RAT, var izmantot jebkuru programmatūru, kas ir inficētās sistēmas lietotāju rīcībā, bieži vien pat to nepamanot.
RAT kā ieroči
Ļaunprātīgs RAT izstrādātājs var pārņemt kontrolielektrostacijas, telefona tīkli, kodoliekārtas vai gāzes vadi. Tādējādi RAT ne tikai rada risku korporatīvajai drošībai. Tās var arī dot iespēju valstīm uzbrukt ienaidnieka valstij. Kā tādus tos var uzskatīt par ieročiem. Hakeri visā pasaulē izmanto RAT, lai izspiegotu uzņēmumus un nozagtu viņu datus un naudu. Tikmēr RAT problēma daudzās valstīs, ieskaitot ASV, ir kļuvusi par nacionālās drošības jautājumu.
Sākotnēji to izmantoja rūpnieciskai spiegošanai unĶīnas hakeru sabotāža, Krievija ir novērtējusi RAT spēku un integrējusi tos savā militārajā arsenālā. Tagad tie ir daļa no Krievijas nodarījumu stratēģijas, kas pazīstama kā “hibrīdkara”. Kad Krievija 2008. gadā sagrāba daļu no Gruzijas, tā izmantoja DDoS uzbrukumus, lai bloķētu interneta pakalpojumus un RAT, lai savāktu izlūkdatus, kontrolētu un izjauktu Gruzijas militāro aparatūru un būtisko komunālie maksājumi.
Daži (pazīstami) RAT
Apskatīsim dažus no pazīstamākajiem RAT. Mūsu ideja ir nevis tos slavēt, bet gan sniegt jums priekšstatu par to, cik daudzveidīgi viņi ir.
Aizmugurējā atvere
Back Orifice ir Amerikas veidota RAT, kurai irtas ir kopš 1998. gada. Tāds ir RAT mazbērns. Sākotnējā shēma izmantoja Windows 98 nepilnības. Jaunākās versijas, kas darbojās jaunākās Windows operētājsistēmās, sauca par Back Orifice 2000 un Deep Back Orifice.
Šis RAT spēj paslēptiesoperētājsistēma, kuras dēļ to ir īpaši grūti atklāt. Tomēr šodien lielākajai daļai vīrusu aizsardzības sistēmu ir paraksti, uz kuriem jāraugās, Back Orifice izpildāmie faili un oklūzijas izturēšanās. Šīs programmatūras atšķirīgā iezīme ir tā, ka tai ir ērti lietojama konsole, kuru iebrucējs var izmantot, lai virzītos un pārlūkotu inficēto sistēmu. Pēc instalēšanas šī servera programma sazinās ar klienta konsoli, izmantojot standarta tīkla protokolus. Piemēram, ir zināms, ka tiek izmantots porta numurs 21337.
DarkComet
DarkComet 2008. gadā izveidoja franču valodahakeris Žans Pjērs Lesueurs, bet kiberdrošības sabiedrības uzmanības centrā nonāca tikai 2012. gadā, kad tika atklāts, ka Āfrikas hakeru vienība izmanto sistēmu, lai mērķētu uz ASV valdību un militāriem spēkiem.
DarkComet raksturo viegli lietojamssaskarne, kas lietotājiem ar nelielu tehnisko iemaņu vai bez tām ļauj veikt hakeru uzbrukumus. Tas ļauj spiegot, izmantojot atslēgu bloķēšanu, ekrāna tveršanu un paroļu novākšanu. Kontrolējošais hakeris var darbināt arī attāla datora barošanas funkcijas, ļaujot datoru attālināti ieslēgt vai izslēgt. Inficēta datora tīkla funkcijas var izmantot arī, lai datoru izmantotu kā starpniekserveri un maskētu tā lietotāja identitāti reidu laikā uz citiem datoriem. DarkComet projektu atteicās tā attīstītājs jau 2014. gadā, kad tika atklāts, ka Sīrijas valdība to izmanto, lai izspiegotu savus pilsoņus.
mirāža
Mirage ir slavena RAT, ko izmanto valsts sponsorēts uzņēmumsĶīniešu hakeru grupa. Pēc ļoti aktīvas spiegošanas kampaņas no 2009. līdz 2015. gadam grupa devās mierīgi. Mirage bija grupas galvenais rīks no 2012. gada. Mirage varianta, ko 2018. gadā sauca par MirageFox, noteikšana ir mājiens, ka grupa varētu atkal darboties.
MirageFox tika atklāts 2018. gada martā, kad tastika izmantots, lai izspiegotu AK valdības darbuzņēmējus. Kas attiecas uz sākotnējo Mirage RAT, tas tika izmantots uzbrukumiem naftas kompānijām Filipīnās, Taivānas militārajam personālam, Kanādas enerģētikas uzņēmumam un citiem mērķiem Brazīlijā, Izraēlā, Nigērijā un Ēģiptē.
Šis RAT tiek piegādāts iegulti PDF formātā. Atverot to, tiek izpildīti skripti, kas instalē RAT. Kad tā ir instalēta, tā pirmā darbība ir ziņošana vadības un vadības sistēmai ar inficētās sistēmas iespēju revīziju. Šī informācija ietver CPU ātrumu, atmiņas ietilpību un izmantošanu, sistēmas nosaukumu un lietotājvārdu.
Aizsardzība no RAT - ielaušanās atklāšanas rīki
Vīrusu aizsardzības programmatūra dažreiz ir bezjēdzīgaRAT atklāšana un novēršana. Daļēji tas ir saistīts ar viņu raksturu. Viņi paslēpjas acīm redzamā vietā kā kaut kas cits, kas ir pilnīgi likumīgs. Šī iemesla dēļ tos visbiežāk vislabāk var atklāt sistēmas, kas datoros analizē neparastu rīcību. Šādas sistēmas sauc par ielaušanās atklāšanas sistēmām.
Mēs esam meklējuši labāko iebrukumu tirgūNoteikšanas sistēmas. Mūsu sarakstā ir bona fide ielaušanās atklāšanas sistēmu un citas programmatūras sajaukums, kam ir ielaušanās atklāšanas komponents vai kuru var izmantot, lai atklātu ielaušanās mēģinājumus. Parasti viņi veiks labāk, nosakot attālinātās piekļuves Trojas zirgus kā cita veida ļaunprātīgas programmatūras aizsardzības rīkus.
1. SolarWinds draudu monitors - IT Ops izdevums (BEZMAKSAS demonstrācija)
SolarWinds ir parasts nosaukums tīkla administrēšanas rīku jomā. Apmēram 20 gadus tas mums atnesa dažus no labākajiem tīkla un sistēmas administrēšanas rīkiem. Tās vadošais produkts - Tīkla veiktspējas monitors, konsekventi tiek rādīti top tīkla joslas platuma uzraudzības rīkos. SolarWinds nodrošina arī lieliskus bezmaksas rīkus, katrs no kuriem pievēršas tīkla administratoru īpašām vajadzībām. Kivi Syslog Server un Uzlabots apakštīkla kalkulators ir divi labi to piemēri.
- BEZMAKSAS demonstrācija: SolarWinds draudu monitors - IT Ops izdevums
- Oficiālā lejupielādes saite: https://www.solarwinds.com/threat-monitor/registration
Iejaukšanās atklāšanai tīklā, SolarWinds piedāvā Draudu monitors - IT Ops izdevums. Pretēji lielākajai daļai citu SolarWinds rīkus, tas drīzāk ir mākonis balstīts pakalpojumsnekā lokāli instalēta programmatūra. Jūs to vienkārši abonējat, konfigurējat, un tas sāk novērot jūsu vides uzlaušanas mēģinājumus un vēl dažus draudus. Draudu monitors - IT Ops izdevums apvieno vairākus instrumentus. Tam ir gan tīkla, gan resursdatora ielaušanās atklāšana, kā arī žurnālu centralizācija un korelācija, kā arī drošības informācija un notikumu pārvaldība (SIEM). Tas ir ļoti rūpīgs draudu uzraudzības komplekts.
Uz Draudu monitors - IT Ops izdevums vienmēr ir atjaunināta, pastāvīgi atjauninātadraudu izlūkošana no vairākiem avotiem, ieskaitot IP un domēna reputācijas datu bāzes. Tas novēro gan zināmus, gan nezināmus draudus. Rīks piedāvā automatizētas inteliģentās reakcijas, lai ātri novērstu drošības incidentus, piešķirot tam dažas ielaušanās novēršanai līdzīgas funkcijas.
Produkta trauksmes funkcijas ir diezganiespaidīgi. Ir daudznosacījumu, savstarpēji korelētas trauksmes, kas darbojas kopā ar rīka aktīvās reakcijas motoru un palīdz identificēt un apkopot svarīgus notikumus. Ziņošanas sistēma ir tikpat laba kā tās brīdināšana, un to var izmantot, lai pierādītu atbilstību, izmantojot esošās iepriekš izveidotās ziņojumu veidnes. Varat arī izveidot pielāgotus pārskatus, lai tie precīzi atbilstu jūsu biznesa vajadzībām.
Cenas par SolarWinds draudu monitors - IT Ops izdevums sākums ir USD 4 500 līdz 25 mezgliem ar 10 dienu indeksu. Jūs varat sazināties SolarWinds lai iegūtu detalizētu cenu, kas pielāgota jūsu īpašajām vajadzībām. Un, ja vēlaties redzēt produktu darbībā, jūs varat pieprasīt bezmaksas demonstrāciju no SolarWinds.
2. SolarWinds žurnālu un pasākumu pārvaldnieks (Bezmaksas izmēģinājuma versija)
Neļaujiet SolarWinds žurnālu un pasākumu pārvaldnieksVārds jūs muļķo. Tas ir daudz vairāk nekā tikai žurnālu un notikumu pārvaldības sistēma. Daudzas no šī produkta uzlabotajām funkcijām to iekļauj drošības informācijas un notikumu pārvaldības (SIEM) klāstā. Citas funkcijas to kvalificē kā ielaušanās atklāšanas sistēmu un zināmā mērā pat kā ielaušanās novēršanas sistēmu. Šis rīks raksturo, piemēram, reāllaika notikumu korelāciju un reāllaika sanāciju.
- Bezmaksas izmēģinājuma versija: SolarWinds žurnālu un pasākumu pārvaldnieks
- Oficiālā lejupielādes saite: https://www.solarwinds.com/log-event-manager-software/registration
Uz SolarWinds žurnālu un pasākumu pārvaldnieks piedāvā tūlītēju aizdomīgu atklāšanuaktivitāte (ielaušanās atklāšanas funkcionalitāte) un automatizētas atbildes (ielaušanās novēršanas funkcionalitāte). Tas var arī veikt drošības notikumu izmeklēšanu un kriminālistiku gan mazināšanas, gan atbilstības nodrošināšanas nolūkos. Pateicoties tā pārbaudītajiem ziņojumiem, rīku var izmantot arī, lai pierādītu atbilstību HIPAA, PCI-DSS un SOX, cita starpā. Šim rīkam ir arī failu integritātes uzraudzība un USB ierīces uzraudzība, padarot to daudz vairāk par integrētu drošības platformu, nevis tikai žurnālu un notikumu pārvaldības sistēmu.
Cenu noteikšana SolarWinds žurnālu un pasākumu pārvaldnieks sākas no USD 4 585 līdz 30 pārraudzītajiem mezgliem. Var iegādāties licences līdz 2 500 mezgliem, padarot produktu ļoti pielāgojamu. Ja vēlaties paņemt produktu izmēģinājuma braucienam un pats pārliecināties, vai tas jums ir piemērots, ir pieejams bezmaksas pilnvērtīgs 30 dienu izmēģinājums.
3. OSSEC
Atvērtā koda drošība, vai OSSEC, ir līdz šim vadošā atvērtā koda resursdatoru ielaušanās atklāšanas sistēma. Produkts pieder uzņēmumam Trend Micro, viens no vadošajiem nosaukumiem IT drošības jomā unviena no labākajiem vīrusu aizsardzības komplektiem veidotājs. Instalējot programmatūru Unix līdzīgās operētājsistēmās, programmatūra galvenokārt koncentrējas uz žurnālu un konfigurācijas failiem. Tas izveido svarīgu failu kontrolsummas un periodiski tos apstiprina, brīdinot jūs ikreiz, kad notiek kaut kas dīvains. Tas arī uzraudzīs un brīdinās par visiem neparastiem mēģinājumiem piekļūt saknei. Windows saimniekdatoros sistēma arī seko līdzi neatļautām reģistra modifikācijām, kas varētu liecināt par ļaunprātīgu darbību.
Tā kā tā ir uz resursiem balstīta ielaušanās atklāšanas sistēma, OSSEC ir jāinstalē katrā datorā, kuru vēlaties aizsargāt. Tomēr centralizēta konsole konsolidē informāciju no katra aizsargātā datora ērtākai pārvaldībai. Kamēr OSSEC konsole darbojas tikai operētājsistēmām Unix-Like,ir pieejams aģents, lai aizsargātu Windows resursdatorus. Jebkura noteikšana izraisīs brīdinājumu, kas tiks parādīts centralizētajā konsolē, bet paziņojumi tiks nosūtīti arī pa e-pastu.
4. Snort
Snort iespējams, ir vispazīstamākais atvērtā koda avotstīklā balstīta ielaušanās atklāšanas sistēma. Bet tas ir vairāk nekā ielaušanās atklāšanas rīks. Tas ir arī pakešu snifferis un pakešu reģistrētājs, un tas iesaiņo arī dažas citas funkcijas. Produkta konfigurēšana atgādina ugunsmūra konfigurēšanu. Tas tiek darīts, izmantojot noteikumus. Pamata noteikumus var lejupielādēt no Snort vietni un izmantojiet tās tādas, kādas tās ir, vai pielāgojiet tās savām īpašajām vajadzībām. Jūs varat arī abonēt Snort kārtulas, lai automātiski iegūtu visus jaunākos noteikumus to attīstības laikā vai atklājot jaunus draudus.
Kārtot ir ļoti rūpīgs, un to pat var pamatnoteikumiatklāt dažādus notikumus, piemēram, slepenu portu skenēšanu, bufera pārpildes uzbrukumus, CGI uzbrukumus, SMB zondes un OS pirkstu nospiedumu noņemšanu. Praktiski nav ierobežojumu tam, ko varat noteikt ar šo rīku, un tā, ko tas nosaka, ir atkarīgs tikai no instalēto kārtulu kopas. Attiecībā uz noteikšanas metodēm, daži no pamata Snort noteikumi ir balstīti uz parakstu, bet citi - uz anomālijām. Snort tāpēc var sniegt jums labāko no abām pasaulēm.
5. Samhains
Samhains ir vēl viena labi zināma bezmaksas saimniekdatora ielaušanāsatklāšanas sistēma. Tās galvenās iezīmes no IDS viedokļa ir failu integritātes pārbaude un žurnāla failu uzraudzība / analīze. Tomēr tas ir daudz vairāk. Produkts veiks sakņu kopas noteikšanu, portu uzraudzību, negodīgu SUID izpildāmu un slēptu procesu atklāšanu.
Šis rīks tika izveidots, lai uzraudzītu vairākus resursdatorus, kuros darbojas dažādas operētājsistēmas, vienlaikus nodrošinot centralizētu reģistrēšanu un uzturēšanu. Tomēr Samhains var izmantot arī kā atsevišķu lietojumprogrammu vietnēviens dators. Programmatūra galvenokārt darbojas POSIX sistēmās, piemēram, Unix, Linux vai OS X. Tā var darboties arī operētājsistēmā Windows zem Cygwin - paketes, kas ļauj Windows operētājsistēmā darbināt POSIX lietojumprogrammas, lai gan šajā konfigurācijā ir pārbaudīts tikai uzraudzības līdzeklis.
Viens no SamhainsUnikālākā iezīme ir tās slepenais režīms, kasļauj tai darboties bez iespējamiem uzbrucējiem. Ir zināms, ka iebrucēji ātri iznīcina atklāšanas procesus, kurus viņi atpazīst, tiklīdz viņi nonāk sistēmā pirms atklāšanas, ļaujot tiem palikt nepamanītiem. Samhains izmanto steganogrāfiskas tehnikas, lai savus procesus paslēptu no citiem. Tas arī aizsargā savus centrālos žurnālfailus un konfigurācijas dublējumus ar PGP atslēgu, lai novērstu viltojumus.
6. Surikata
Surikata ir ne tikai ielaušanās atklāšanas sistēma. Tam ir arī dažas ielaušanās novēršanas funkcijas. Faktiski tā tiek reklamēta kā pilnīga tīkla drošības uzraudzības ekosistēma. Viens no labākajiem rīka ieguvumiem ir tas, kā tas darbojas līdz pat lietojumprogrammas slānim. Tas padara to par hibrīdu tīkla un resursdatoru sistēmu, kas ļauj rīkam atklāt draudus, kurus citi rīki, iespējams, nepamanīs.
Surikata ir patiesa tīklā balstīta ielaušanās atklāšanaSistēma, kas darbojas ne tikai lietojumprogrammu slānī. Tas uzraudzīs zemāka līmeņa tīkla protokolus, piemēram, TLS, ICMP, TCP un UDP. Rīks arī saprot un dekodē augstākā līmeņa protokolus, piemēram, HTTP, FTP vai SMB, un var atklāt ielaušanās mēģinājumus, kas paslēpti citādi parastos pieprasījumos. Šim rīkam ir arī failu ieguves iespējas, kas administratoriem ļauj pārbaudīt visus aizdomīgos failus.
SurikataLietojumprogrammu arhitektūra ir diezgan inovatīva. Rīks sadalīs savu darba slodzi pa vairākiem procesora kodoliem un pavedieniem, lai panāktu vislabāko veiktspēju. Vajadzības gadījumā tas pat daļu apstrādes var izkraut grafiskajā kartē. Šī ir lieliska īpašība, ja rīku izmanto serveros, jo parasti viņu grafiskā karte netiek pietiekami izmantota.
7. Bro tīkla drošības monitors
Uz Bro tīkla drošības monitors, vēl viena bezmaksas tīkla ielaušanās atklāšanas sistēma. Rīks darbojas divās fāzēs: trafika reģistrēšana un trafika analīze. Tāpat kā Suricata, Bro tīkla drošības monitors darbojas vairākos slāņos līdz pat lietojumprogrammaislānis. Tas ļauj labāk atklāt sadalītus ielaušanās mēģinājumus. Rīka analīzes modulis sastāv no diviem elementiem. Pirmo elementu sauc par notikumu motoru, un tas izseko palaišanas notikumus, piemēram, neto TCP savienojumus vai HTTP pieprasījumus. Notikumus pēc tam analizē, izmantojot politikas skriptus, otro elementu, kas izlemj, vai izraisīt trauksmes signālu un / vai sākt darbību. Iespēja sākt darbību nodrošina Bro Network Security Monitor zināmu IPS līdzīgu funkcionalitāti.
Uz Bro tīkla drošības monitors ļauj izsekot HTTP, DNS un FTP darbībām un tāmuzrauga arī SNMP trafiku. Tā ir laba lieta, jo SNMP bieži izmanto tīkla uzraudzībai, taču tas nav drošs protokols. Tā kā to var izmantot arī konfigurāciju modificēšanai, ļaunprātīgi lietotāji to varētu izmantot. Šis rīks arī ļaus jums novērot ierīces konfigurācijas izmaiņas un SNMP slazdus. To var instalēt Unix, Linux un OS X, bet tas nav pieejams operētājsistēmai Windows, kas, iespējams, ir tā galvenais trūkums.
Komentāri