Der RAS-Trojaner oder RAT ist einer derDie schlimmsten Arten von Malware, die man sich vorstellen kann. Sie können alle Arten von Schäden verursachen und auch für teure Datenverluste verantwortlich sein. Sie müssen aktiv bekämpft werden, weil sie nicht nur böse sind, sondern auch relativ häufig vorkommen. Heute werden wir unser Bestes geben, um zu erklären, was sie sind und wie sie funktionieren. Außerdem werden wir Sie darüber informieren, wie Sie sich gegen sie schützen können.
Wir werden heute mit unserer Diskussion beginnenErklären, was eine RAT ist. Wir gehen nicht zu tief in die technischen Details ein, sondern geben unser Bestes, um zu erklären, wie sie funktionieren und wie sie zu Ihnen kommen. Als nächstes werden wir versuchen, nicht zu paranoid zu klingen, aber wir werden sehen, wie RATs fast als Waffen angesehen werden können. In der Tat wurden einige als solche verwendet. Danach stellen wir einige der bekanntesten RATs vor. Sie erhalten eine bessere Vorstellung davon, wozu sie in der Lage sind. Wir werden dann sehen, wie man Intrusion Detection-Tools zum Schutz vor RATs einsetzen kann, und wir werden einige der besten dieser Tools prüfen.
Also, was ist eine RATTE?
Das RAS-Trojaner ist eine Art von Malware, mit der ein Hacker aus der Ferne arbeiten kann(daher der Name) die Kontrolle über einen Computer übernehmen. Analysieren wir den Namen. Der Trojaner-Teil befasst sich mit der Art und Weise, wie die Malware verteilt wird. Es bezieht sich auf die altgriechische Geschichte des trojanischen Pferdes, das Odysseus gebaut hat, um die Stadt Troja, die seit zehn Jahren belagert wurde, zurückzugewinnen. Im Zusammenhang mit Computer-Malware ist ein Trojanisches Pferd (oder einfach ein Trojaner) eine Malware, die als etwas anderes verbreitet wird. Beispielsweise kann ein Spiel, das Sie herunterladen und auf Ihrem Computer installieren, tatsächlich ein Trojaner sein und Malware-Code enthalten.
Was den Fernzugriffsteil des RAT-Namens betrifft,Es hat damit zu tun, was die Malware tut. Einfach ausgedrückt, ermöglicht es dem Autor den Fernzugriff auf den infizierten Computer. Und wenn er Fernzugriff erhält, sind ihm kaum Grenzen gesetzt. Dies kann von der Untersuchung Ihres Dateisystems, dem Beobachten Ihrer Bildschirmaktivitäten, dem Sammeln Ihrer Anmeldeinformationen oder dem Verschlüsseln Ihrer Dateien zum Verlangen von Lösegeld abweichen. Er könnte auch Ihre Daten oder, noch schlimmer, die Ihrer Kunden stehlen. Sobald die RAT installiert ist, kann Ihr Computer zu einem Hub werden, von dem aus Angriffe auf andere Computer im lokalen Netzwerk ausgehen und so die Perimetersicherheit umgehen.
RATs in der Geschichte
RATs gibt es leider schon seit über einem JahrDekade. Es wird vermutet, dass die Technologie bereits 2003 eine Rolle bei der umfassenden Plünderung der US-Technologie durch chinesische Hacker gespielt hat. Eine Pentagon-Untersuchung ergab, dass Daten von US-amerikanischen Verteidigungsunternehmen gestohlen wurden und klassifizierte Entwicklungs- und Testdaten an Standorte in China übertragen wurden.
Vielleicht erinnern Sie sich an den Osten der Vereinigten StaatenDie Stillstände des Küstenstromnetzes in den Jahren 2003 und 2008. Diese wurden ebenfalls auf China zurückgeführt und schienen durch RATs erleichtert worden zu sein. Ein Hacker, der eine RAT auf ein System bekommen kann, kann jede Software nutzen, die den Benutzern des infizierten Systems zur Verfügung steht, oft ohne dass sie es überhaupt bemerken.
Ratten als Waffen
Ein böswilliger RAT-Entwickler kann die Kontrolle übernehmenKraftwerke, Telefonnetze, kerntechnische Anlagen oder Gasleitungen. Somit stellen RATs nicht nur ein Risiko für die Unternehmenssicherheit dar. Sie können auch Nationen befähigen, ein feindliches Land anzugreifen. Als solche können sie als Waffen angesehen werden. Hacker auf der ganzen Welt verwenden RATs, um Unternehmen auszuspionieren und ihre Daten und ihr Geld zu stehlen. Inzwischen ist das RAT-Problem für viele Länder, einschließlich der USA, zu einem Problem der nationalen Sicherheit geworden.
Ursprünglich für Industriespionage undRussland hat die Sabotage durch chinesische Hacker erkannt und die Macht der RATs in sein militärisches Arsenal integriert. Sie sind jetzt Teil der russischen Angriffsstrategie, die als „hybride Kriegsführung“ bekannt ist. Als Russland 2008 einen Teil von Georgien eroberte, setzte es DDoS-Angriffe ein, um Internetdienste und RATs zu blockieren, um Informationen zu sammeln, die georgische militärische Hardware zu kontrollieren und zu zerstören Dienstprogramme.
Einige (In) Berühmte RATs
Schauen wir uns einige der bekanntesten RATs an. Unsere Idee hier ist nicht, sie zu verherrlichen, sondern Ihnen eine Vorstellung davon zu geben, wie vielfältig sie sind.
Rückenöffnung
Back Orifice ist eine in den USA hergestellte RATgibt es schon seit 1998. Es ist sozusagen der Urvater von RATs. Das ursprüngliche Schema hat eine Schwachstelle in Windows 98 ausgenutzt. Spätere Versionen, die auf neueren Windows-Betriebssystemen ausgeführt wurden, hießen Back Orifice 2000 und Deep Back Orifice.
Diese RAT kann sich innerhalb der RAT versteckenBetriebssystem, das es besonders schwer zu erkennen macht. Heutzutage haben die meisten Virenschutzsysteme die ausführbaren Dateien von Back Orifice und das Okklusionsverhalten als Signaturen, auf die Sie achten müssen. Diese Software zeichnet sich dadurch aus, dass sie über eine benutzerfreundliche Konsole verfügt, über die der Angreifer im infizierten System navigieren und navigieren kann. Nach der Installation kommuniziert dieses Serverprogramm mit der Client-Konsole über Standard-Netzwerkprotokolle. Beispielsweise ist es bekannt, die Portnummer 21337 zu verwenden.
DarkComet
DarkComet wurde bereits 2008 von French erstelltDer Hacker Jean-Pierre Lesueur wurde jedoch erst 2012 auf die Cybersecurity-Community aufmerksam, als bekannt wurde, dass eine afrikanische Hackereinheit das System einsetzte, um die US-Regierung und das Militär anzugreifen.
DarkComet zeichnet sich durch eine einfache Bedienung ausBenutzeroberfläche, über die Benutzer mit geringen oder keinen technischen Kenntnissen Hackerangriffe ausführen können. Es ermöglicht das Ausspionieren durch Keylogging, Bildschirmaufnahme und Passworterfassung. Der kontrollierende Hacker kann auch die Stromversorgungsfunktionen eines Remote-Computers bedienen, sodass ein Computer remote ein- oder ausgeschaltet werden kann. Die Netzwerkfunktionen eines infizierten Computers können auch genutzt werden, um den Computer als Proxyserver zu verwenden und die Identität des Benutzers bei Überfällen auf andere Computer zu maskieren. Das DarkComet-Projekt wurde bereits 2014 von seinem Entwickler aufgegeben, als festgestellt wurde, dass es von der syrischen Regierung zum Ausspionieren seiner Bürger verwendet wurde.
Fata Morgana
Mirage ist eine berühmte RAT, die von einem staatlich geförderten Unternehmen verwendet wirdChinesische Hackergruppe. Nach einer sehr aktiven Spionagekampagne von 2009 bis 2015 verstummte die Gruppe. Mirage war ab 2012 das wichtigste Tool der Gruppe. Die Erkennung einer Mirage-Variante mit dem Namen MirageFox im Jahr 2018 ist ein Hinweis darauf, dass die Gruppe wieder in Aktion treten könnte.
MirageFox wurde im März 2018 entdeckt, als eswurde verwendet, um Auftragnehmer der britischen Regierung auszuspionieren. Die ursprüngliche Mirage-RAT wurde für Angriffe auf ein Ölunternehmen auf den Philippinen, das taiwanesische Militär, ein kanadisches Energieunternehmen und andere Ziele in Brasilien, Israel, Nigeria und Ägypten verwendet.
Diese RAT wird eingebettet in ein PDF geliefert. Beim Öffnen werden Skripte ausgeführt, die die RAT installieren. Nach der Installation erfolgt zunächst eine Rückmeldung an das Command and Control-System mit einer Überprüfung der Funktionen des infizierten Systems. Diese Informationen umfassen die CPU-Geschwindigkeit, die Speicherkapazität und -auslastung, den Systemnamen und den Benutzernamen.
Schutz vor RATs - Intrusion Detection Tools
Virenschutzsoftware ist manchmal bei nutzlosErkennen und Verhindern von RATs. Dies liegt zum Teil an ihrer Natur. Sie verstecken sich auf den ersten Blick als etwas völlig Legales. Aus diesem Grund werden sie häufig am besten von Systemen erkannt, die Computer auf abnormales Verhalten untersuchen. Solche Systeme werden Intrusion Detection-Systeme genannt.
Wir haben den Markt nach dem besten Intrusion durchsuchtErkennungssysteme. Unsere Liste enthält eine Mischung aus zuverlässigen Intrusion Detection-Systemen und anderer Software, die über eine Intrusion Detection-Komponente verfügen oder zur Erkennung von Intrusionsversuchen verwendet werden können. In der Regel können sie RAS-Trojaner besser identifizieren als andere Arten von Tools zum Schutz vor Malware.
1. SolarWinds Threat Monitor - IT Ops Edition (Kostenlose Demo)
SolarWinds ist eine gebräuchliche Bezeichnung im Bereich der Netzwerkadministrationstools. Nach rund 20 Jahren Erfahrung haben wir einige der besten Tools für die Netzwerk- und Systemadministration erhalten. Sein Flaggschiffprodukt, das Netzwerkleistungsmonitor, zählt durchweg zu den Top-Tools zur Überwachung der Netzwerkbandbreite. SolarWinds stellt auch hervorragende kostenlose Tools zur Verfügung, die sich jeweils an einen bestimmten Bedarf von Netzwerkadministratoren richten. Das Kiwi Syslog Server und das Erweiterter Subnetzrechner sind zwei gute Beispiele dafür.
- Kostenlose Demo: SolarWinds Threat Monitor - IT Ops Edition
- Offizieller Download-Link: https://www.solarwinds.com/threat-monitor/registration
Zur netzwerkbasierten Erkennung von Eindringlingen SolarWinds bietet die Bedrohungsmonitor - IT Ops Edition. Im Gegensatz zu den meisten anderen SolarWinds Tools ist dies eher ein Cloud-basierter Dienstals eine lokal installierte Software. Sie abonnieren es einfach, konfigurieren es und es überwacht Ihre Umgebung auf Eindringversuche und einige weitere Arten von Bedrohungen. Das Bedrohungsmonitor - IT Ops Edition kombiniert mehrere Werkzeuge. Es verfügt sowohl über netzwerk- und hostbasierte Intrusion Detection als auch über Protokollzentralisierung und -korrelation sowie Sicherheitsinformationen und Ereignisverwaltung (SIEM). Es ist eine sehr gründliche Bedrohungsüberwachungssuite.
Das Bedrohungsmonitor - IT Ops Edition ist immer auf dem neuesten Stand und wird ständig aktualisiertBedrohungsinformationen aus mehreren Quellen, einschließlich IP- und Domain-Reputation-Datenbanken. Es sucht nach bekannten und unbekannten Bedrohungen. Das Tool verfügt über automatisierte, intelligente Reaktionen, um Sicherheitsvorfälle schnell zu beheben und bietet einige Funktionen, die dem Schutz vor Eindringlingen ähneln.
Die Warnfunktionen des Produkts sind rechtbeeindruckend. Es gibt multikonditionale, kreuzkorrelierte Alarme, die in Verbindung mit der Active Response Engine des Tools arbeiten und bei der Identifizierung und Zusammenfassung wichtiger Ereignisse helfen. Das Berichtssystem ist genauso gut wie seine Warnmeldung und kann verwendet werden, um die Konformität unter Verwendung vorhandener vorgefertigter Berichtsvorlagen nachzuweisen. Alternativ können Sie benutzerdefinierte Berichte erstellen, die genau Ihren Geschäftsanforderungen entsprechen.
Preise für die SolarWinds Threat Monitor - IT Ops Edition Beginnen Sie bei 4 500 USD für bis zu 25 Knoten mit einem Index von 10 Tagen. Du kannst kontaktieren SolarWinds für ein detailliertes Angebot, das an Ihre spezifischen Bedürfnisse angepasst ist. Und wenn Sie das Produkt lieber in Aktion sehen möchten, können Sie eine kostenlose Demo bei anfordern SolarWinds.
2. SolarWinds Log & Event Manager (Kostenlose Testphase)
Lass das nicht zu SolarWinds Log & Event ManagerDer Name täuscht dich. Es ist viel mehr als nur ein Protokoll- und Ereignisverwaltungssystem. Viele der erweiterten Funktionen dieses Produkts haben es in die SIEM-Produktreihe (Security Information and Event Management) aufgenommen. Andere Merkmale qualifizieren es als Intrusion Detection System und bis zu einem gewissen Grad sogar als Intrusion Prevention System. Dieses Tool bietet zum Beispiel Echtzeit-Ereigniskorrelation und Echtzeit-Korrektur.
- Kostenlose Testphase: SolarWinds Log & Event Manager
- Offizieller Download-Link: https://www.solarwinds.com/log-event-manager-software/registration
Das SolarWinds Log & Event Manager verfügt über eine sofortige Erkennung von verdächtigenAktivität (eine Intrusion Detection-Funktion) und automatisierte Reaktionen (eine Intrusion Prevention-Funktion). Es kann auch Sicherheitsereignisuntersuchungen und Forensik sowohl zu Schadensbegrenzungs- als auch zu Compliance-Zwecken durchführen. Dank seiner revisionssicheren Berichterstattung kann das Tool unter anderem auch zum Nachweis der Konformität mit HIPAA, PCI-DSS und SOX verwendet werden. Das Tool verfügt auch über die Überwachung der Dateiintegrität und der USB-Geräte. Damit ist es mehr eine integrierte Sicherheitsplattform als nur ein Protokoll- und Ereignismanagementsystem.
Preise für die SolarWinds Log & Event Manager beginnt bei 4 585 USD für bis zu 30 überwachte Knoten. Es können Lizenzen für bis zu 2 500 Knoten erworben werden, wodurch das Produkt in hohem Maße skalierbar wird. Wenn Sie das Produkt für einen Testlauf verwenden und selbst prüfen möchten, ob es für Sie geeignet ist, steht eine kostenlose 30-Tage-Testversion mit vollem Funktionsumfang zur Verfügung.
3. OSSEC
Open Source-Sicherheit, oder OSSECist mit Abstand das führende hostbasierte Open-Source-Intrusion-Detection-System. Das Produkt gehört Trend Micro, einer der führenden Namen in der IT - Sicherheit und derHersteller einer der besten Virenschutzsuiten. Bei der Installation unter Unix-ähnlichen Betriebssystemen konzentriert sich die Software hauptsächlich auf Protokoll- und Konfigurationsdateien. Es erstellt Prüfsummen wichtiger Dateien und überprüft diese regelmäßig, um Sie zu benachrichtigen, wenn etwas Ungewöhnliches passiert. Es wird auch jeder ungewöhnliche Versuch, Root-Zugriff zu erhalten, überwacht und alarmiert. Auf Windows-Hosts achtet das System auch auf nicht autorisierte Registrierungsänderungen, die ein Hinweis auf böswillige Aktivitäten sein können.
Da es sich um ein hostbasiertes Intrusion Detection-System handelt, OSSEC muss auf jedem Computer installiert werden, den Sie schützen möchten. Eine zentralisierte Konsole konsolidiert jedoch Informationen von jedem geschützten Computer, um die Verwaltung zu vereinfachen. Während OSSEC Konsole läuft nur unter Unix-ähnlichen Betriebssystemen,Zum Schutz von Windows-Hosts steht ein Agent zur Verfügung. Jede Erkennung löst eine Warnung aus, die auf der zentralen Konsole angezeigt wird, während Benachrichtigungen auch per E-Mail gesendet werden.
4. Schnauben
Schnauben ist wohl die bekannteste Open Sourcenetzwerkbasiertes Intrusion Detection System. Es ist jedoch mehr als ein Tool zur Erkennung von Eindringlingen. Es ist auch ein Paket-Sniffer und ein Paket-Logger und es enthält auch einige andere Funktionen. Das Konfigurieren des Produkts erinnert an das Konfigurieren einer Firewall. Dies geschieht nach Regeln. Sie können die Basisregeln von der herunterladen Schnauben Website und verwenden Sie sie wie sie sind oder passen Sie sie an Ihre spezifischen Bedürfnisse an. Sie können auch abonnieren Schnauben Regeln, um automatisch die neuesten Regeln abzurufen, sobald neue Bedrohungen entdeckt werden.
Sortieren ist sehr gründlich und kann sogar seine GrundregelnErkennen einer Vielzahl von Ereignissen wie Stealth-Port-Scans, Pufferüberlaufangriffe, CGI-Angriffe, SMB-Tests und Betriebssystem-Fingerprinting. Es gibt praktisch keine Begrenzung, was Sie mit diesem Tool erkennen können, und was es erkennt, hängt ausschließlich von dem von Ihnen installierten Regelsatz ab. Was die Erkennungsmethoden angeht, sind einige der grundlegenden Schnauben Regeln basieren auf Signaturen, während andere auf Anomalien basieren. Schnauben kann Ihnen daher das Beste aus beiden Welten bieten.
5. Samhain
Samhain ist eine weitere bekannte freie Host-IntrusionErkennungssystem. Unter IDS-Gesichtspunkten sind die Hauptfunktionen die Prüfung der Dateiintegrität und die Überwachung / Analyse von Protokolldateien. Es macht aber weit mehr als das. Das Produkt erkennt Rootkits, überwacht Ports, erkennt nicht autorisierte SUID-Programme und versteckte Prozesse.
Das Tool wurde entwickelt, um mehrere Hosts mit verschiedenen Betriebssystemen zu überwachen und gleichzeitig eine zentrale Protokollierung und Wartung zu ermöglichen. Jedoch, Samhain kann auch als eigenständige Anwendung weiter verwendet werdenein einzelner Computer. Die Software läuft hauptsächlich auf POSIX-Systemen wie Unix, Linux oder OS X. Sie kann auch auf Windows unter Cygwin ausgeführt werden, einem Paket, mit dem POSIX-Anwendungen unter Windows ausgeführt werden können, obwohl nur der Überwachungsagent in dieser Konfiguration getestet wurde.
Einer von SamhainDie einzigartigste Funktion ist der Stealth-ModusErmöglicht die Ausführung, ohne von potenziellen Angreifern erkannt zu werden. Es ist bekannt, dass Eindringlinge Erkennungsvorgänge, die sie erkennen, sobald sie ein System betreten, schnell abbrechen, bevor sie erkannt werden, sodass sie unbemerkt bleiben. Samhain verwendet steganographische Techniken, um seine Prozesse vor anderen zu verbergen. Außerdem werden die zentralen Protokolldateien und Konfigurationssicherungen mit einem PGP-Schlüssel geschützt, um Manipulationen zu verhindern.
6. Suricata
Suricata ist nicht nur ein Intrusion Detection System. Es hat auch einige Intrusion Prevention-Funktionen. Tatsächlich wird es als vollständiges Netzwerk-Sicherheitsüberwachungs-Ökosystem beworben. Eine der Stärken des Tools ist die Funktionsweise bis zur Anwendungsebene. Dies macht es zu einem hybriden netzwerk- und hostbasierten System, mit dem das Tool Bedrohungen erkennen kann, die von anderen Tools wahrscheinlich nicht bemerkt werden.
Suricata ist eine echte netzwerkbasierte Intrusion DetectionSystem, das nicht nur auf der Anwendungsschicht funktioniert. Es überwacht Netzwerkprotokolle niedrigerer Ebenen wie TLS, ICMP, TCP und UDP. Das Tool versteht und decodiert auch Protokolle höherer Ebenen wie HTTP, FTP oder SMB und kann Eindringversuche erkennen, die in ansonsten normalen Anforderungen verborgen sind. Das Tool bietet auch Funktionen zum Extrahieren von Dateien, mit denen Administratoren verdächtige Dateien untersuchen können.
SuricataDie Anwendungsarchitektur ist recht innovativ. Das Tool verteilt seine Arbeitslast auf mehrere Prozessorkerne und Threads, um die bestmögliche Leistung zu erzielen. Bei Bedarf kann sogar ein Teil der Verarbeitung auf die Grafikkarte verlagert werden. Dies ist eine großartige Funktion, wenn das Tool auf Servern verwendet wird, da die Grafikkarte normalerweise nicht ausreichend ausgelastet ist.
7. Bro Netzwerksicherheitsmonitor
Das Bro Netzwerksicherheitsmonitor, ein weiteres kostenloses Netzwerk-Intrusion-Detection-System. Das Tool arbeitet in zwei Phasen: Verkehrsaufzeichnung und Verkehrsanalyse. Genau wie Suricata, Bro Netzwerksicherheitsmonitor arbeitet auf mehreren Ebenen bis zur AnwendungSchicht. Dies ermöglicht eine bessere Erkennung von Split-Intrusion-Versuchen. Das Analysemodul des Tools besteht aus zwei Elementen. Das erste Element heißt Event Engine und verfolgt auslösende Ereignisse wie z. B. Netto-TCP-Verbindungen oder HTTP-Anforderungen. Die Ereignisse werden dann von Richtlinienskripten analysiert, dem zweiten Element, das entscheidet, ob ein Alarm ausgelöst und / oder eine Aktion gestartet werden soll. Die Möglichkeit, eine Aktion zu starten, verleiht dem Bro Network Security Monitor eine IPS-ähnliche Funktionalität.
Das Bro Netzwerksicherheitsmonitor Ermöglicht die Verfolgung von HTTP-, DNS- und FTP-Aktivitätenüberwacht auch den SNMP-Verkehr. Dies ist eine gute Sache, da SNMP häufig für die Netzwerküberwachung verwendet wird, jedoch kein sicheres Protokoll ist. Und da es auch zum Ändern von Konfigurationen verwendet werden kann, kann es von böswilligen Benutzern ausgenutzt werden. Mit dem Tool können Sie auch Gerätekonfigurationsänderungen und SNMP-Traps überwachen. Es kann unter Unix, Linux und OS X installiert werden, ist jedoch nicht für Windows verfügbar, was möglicherweise den Hauptnachteil darstellt.
Bemerkungen