De Remote Access Trojan, of RAT, is een van desmerigste soorten malware die je maar kunt bedenken. Ze kunnen allerlei soorten schade veroorzaken en ze kunnen ook verantwoordelijk zijn voor dure gegevensverliezen. Ze moeten actief worden gevochten omdat ze niet alleen gemeen zijn, maar ook relatief vaak voorkomen. Vandaag doen we ons best om uit te leggen wat ze zijn en hoe ze werken, en laten we u weten wat u kunt doen om hen te beschermen.
We beginnen onze discussie vandaag tegenuitleggen wat een RAT is. We gaan niet te diep in op de technische details, maar doen ons best om uit te leggen hoe ze werken en hoe ze u bereiken. Vervolgens, terwijl we proberen niet te paranoïde te klinken, zullen we zien hoe RAT's bijna als wapens kunnen worden beschouwd. Sommige zijn zelfs als zodanig gebruikt. Daarna zullen we enkele van de bekendste RAT's introduceren. Het geeft je een beter idee van waartoe ze in staat zijn. We zullen dan zien hoe men inbraakdetectietools kan gebruiken om tegen RAT's te beschermen en we zullen enkele van de beste van deze tools bekijken.
Dus, wat is een RAT?
De Toegang op afstand Trojan is een type malware dat een hacker op afstand toestaat(vandaar de naam) controle over een computer. Laten we de naam analyseren. Het Trojan-gedeelte gaat over de manier waarop de malware wordt verspreid. Het verwijst naar het oude Griekse verhaal van het Trojaanse paard dat Ulysses bouwde om de stad Troje terug te nemen die al tien jaar belegerd was. In de context van computer-malware is een Trojaans paard (of gewoon trojan) een stukje malware dat als iets anders wordt verspreid. Een game die u downloadt en installeert op uw computer, kan bijvoorbeeld een Trojaans paard zijn en mogelijk malware-code bevatten.
Wat betreft het externe toegangsgedeelte van de naam van de RAT,het heeft te maken met wat de malware doet. Eenvoudig gezegd, hiermee kan de auteur externe toegang krijgen tot de geïnfecteerde computer. En als hij toegang op afstand krijgt, zijn er nauwelijks grenzen aan wat hij kan doen. Het kan variëren van het verkennen van uw bestandssysteem, het bekijken van uw activiteiten op het scherm, het verzamelen van uw inloggegevens of het coderen van uw bestanden om losgeld te eisen. Hij kan ook uw gegevens stelen of, erger nog, die van uw klant. Zodra de RAT is geïnstalleerd, kan uw computer een hub worden van waaruit aanvallen op andere computers in het lokale netwerk worden gestart, waardoor elke perimeterbeveiliging wordt omzeild.
RAT's in de geschiedenis
RAT's bestaan helaas al meer dan eendecennium. Er wordt aangenomen dat de technologie een rol heeft gespeeld in de uitgebreide plunderingen van Amerikaanse technologie door Chinese hackers in 2003. Een Pentagon-onderzoek ontdekte gegevensdiefstal van Amerikaanse defensiecontractanten, waarbij geclassificeerde ontwikkelings- en testgegevens werden overgedragen naar locaties in China.
Misschien herinner je je het Oosten van de Verenigde StatenUitval van het elektriciteitsnet van de kust van 2003 en 2008. Deze werden ook teruggevoerd op China en bleken te zijn vergemakkelijkt door RAT's. Een hacker die een RAT op een systeem kan krijgen, kan profiteren van alle software waarover de gebruikers van het geïnfecteerde systeem beschikken, vaak zonder dat ze het door hebben.
RATS As Weapons
Een kwaadwillende RAT-ontwikkelaar kan de controle overnemenelektriciteitscentrales, telefoonnetwerken, nucleaire faciliteiten of gasleidingen. Als zodanig vormen RAT's niet alleen een risico voor de bedrijfsbeveiliging. Ze kunnen landen ook in staat stellen een vijandelijk land aan te vallen. Als zodanig kunnen ze worden gezien als wapens. Hackers over de hele wereld gebruiken RAT's om bedrijven te bespioneren en hun gegevens en geld te stelen. Ondertussen is het RAT-probleem nu een kwestie van nationale veiligheid geworden voor veel landen, waaronder de VS.
Oorspronkelijk gebruikt voor industriële spionage ensabotage door Chinese hackers, Rusland is de kracht van RAT's gaan waarderen en heeft deze geïntegreerd in zijn militaire arsenaal. Ze maken nu deel uit van de Russische offensiestrategie die bekend staat als 'hybride oorlogvoering'. Toen Rusland in 2008 een deel van Georgië in beslag nam, gebruikte het DDoS-aanvallen om internetdiensten en RAT's te blokkeren om inlichtingen te verzamelen, te controleren en Georgische militaire hardware en essentiële te verstoren Gereedschap.
Een paar (in) beroemde RAT's
Laten we een paar van de bekendste RAT's bekijken. Ons idee hier is niet om ze te verheerlijken, maar om u een idee te geven van hoe gevarieerd ze zijn.
Achteropening
Back Orifice is een Amerikaans gemaakte RAT die heeftbestaat al sinds 1998. Het is min of meer de opa van RAT's. Het oorspronkelijke schema maakte gebruik van een zwakke plek in Windows 98. Latere versies die op nieuwere Windows-besturingssystemen werden uitgevoerd, werden Back Orifice 2000 en Deep Back Orifice genoemd.
Deze RAT kan zich verbergen in debesturingssysteem, waardoor het bijzonder moeilijk te detecteren is. Tegenwoordig hebben de meeste virusbeschermingssystemen echter de uitvoerbare bestanden van Back Orifice en occlusiegedrag als handtekeningen om naar uit te kijken. Een onderscheidend kenmerk van deze software is dat het een eenvoudig te gebruiken console heeft die de indringer kan gebruiken om door het geïnfecteerde systeem te navigeren en te bladeren. Eenmaal geïnstalleerd communiceert dit serverprogramma met de clientconsole met behulp van standaard netwerkprotocollen. Het is bijvoorbeeld bekend om poortnummer 21337 te gebruiken.
DarkComet
DarkComet werd in 2008 opgericht door Frenchhacker Jean-Pierre Lesueur, maar kwam pas in 2012 onder de aandacht van de cybersecurity-gemeenschap toen werd ontdekt dat een Afrikaanse hacker-eenheid het systeem gebruikte om zich te richten op de Amerikaanse overheid en het leger.
DarkComet wordt gekenmerkt door een eenvoudig te gebruikeninterface waarmee gebruikers met weinig of geen technische vaardigheden hackeraanvallen kunnen uitvoeren. Het maakt spionage mogelijk via keylogging, schermopname en het verzamelen van wachtwoorden. De controlerende hacker kan ook de stroomfuncties van een externe computer bedienen, waardoor een computer op afstand kan worden in- of uitgeschakeld. De netwerkfuncties van een geïnfecteerde computer kunnen ook worden benut om de computer als proxyserver te gebruiken en de identiteit van de gebruiker te maskeren tijdens aanvallen op andere computers. Het DarkComet-project werd in 2014 verlaten door de ontwikkelaar toen werd ontdekt dat het door de Syrische regering werd gebruikt om haar burgers te bespioneren.
Luchtspiegeling
Mirage is een beroemde RAT die wordt gebruikt door een door de staat gesponsordeChinese hackergroep. Na een zeer actieve spionagecampagne van 2009 tot 2015 werd de groep stil. Mirage was vanaf 2012 de primaire tool van de groep. De detectie van een Mirage-variant, MirageFox genaamd in 2018, is een aanwijzing dat de groep weer in actie kan komen.
MirageFox werd ontdekt in maart 2018 toen hetwerd gebruikt om Britse overheidsaannemers te bespioneren. Wat betreft de originele Mirage RAT, deze werd gebruikt voor aanvallen op een oliemaatschappij in de Filippijnen, het Taiwanese leger, een Canadees energiebedrijf en andere doelen in Brazilië, Israël, Nigeria en Egypte.
Deze RAT wordt ingebed in een PDF geleverd. Door het te openen worden scripts uitgevoerd die de RAT installeren. Eenmaal geïnstalleerd, is de eerste actie om terug te rapporteren aan het Command and Control-systeem met een audit van de mogelijkheden van het geïnfecteerde systeem. Deze informatie omvat de CPU-snelheid, geheugencapaciteit en -gebruik, systeemnaam en gebruikersnaam.
Bescherming tegen RAT's - Inbraakdetectietools
Virusbeschermingssoftware is soms nutteloos bijRAT's detecteren en voorkomen. Dit komt deels door hun aard. Ze verbergen zich in het volle zicht als iets anders dat volkomen legitiem is. Om die reden worden ze vaak het best gedetecteerd door systemen die computers analyseren op abnormaal gedrag. Dergelijke systemen worden inbraakdetectiesystemen genoemd.
We hebben de markt doorzocht op de beste inbraakDetectiesystemen. Onze lijst bevat een mix van bonafide inbraakdetectiesystemen en andere software met een inbraakdetectiecomponent of die kunnen worden gebruikt om inbraakpogingen te detecteren. Ze zullen doorgaans beter in staat zijn om Remote Access Trojans te identificeren dan andere soorten malwarebeschermingstools.
1. SolarWinds Threat Monitor - IT Ops-editie (GRATIS demo)
SolarWinds is een veel voorkomende naam op het gebied van netwerkbeheerprogramma's. Het bestaat al zo'n 20 jaar en heeft ons enkele van de beste netwerk- en systeembeheertools opgeleverd. Het vlaggenschipproduct, de Netwerkprestatiemeter, scoort consequent onder de beste netwerkbandbreedte monitoringtools. SolarWinds maakt ook uitstekende gratis tools, elk gericht op een specifieke behoefte van netwerkbeheerders. De Kiwi Syslog-server en de Geavanceerde subnetcalculator zijn daar twee goede voorbeelden van.
- GRATIS demo: SolarWinds Threat Monitor - IT Ops-editie
- Officiële downloadlink: https://www.solarwinds.com/threat-monitor/registration
Voor netwerk-gebaseerde inbraakdetectie, SolarWinds biedt de Threat Monitor - IT Ops-editie. In tegenstelling tot de meeste andere SolarWinds tools, deze is eerder een cloudgebaseerde servicedan lokaal geïnstalleerde software. U abonneert zich eenvoudig, configureert het en het begint uw omgeving in de gaten te houden voor inbraakpogingen en nog een paar soorten bedreigingen. De Threat Monitor - IT Ops-editie combineert verschillende tools. Het heeft zowel netwerk- als host-gebaseerde inbraakdetectie en log centralisatie en correlatie, en beveiligingsinformatie en gebeurtenisbeheer (SIEM). Het is een zeer grondige suite voor monitoring van bedreigingen.
De Threat Monitor - IT Ops-editie is altijd up-to-date en wordt voortdurend bijgewerktbedreigingsinformatie van meerdere bronnen, waaronder IP- en domeinreputatiedatabases. Het let op zowel bekende als onbekende bedreigingen. De tool beschikt over geautomatiseerde intelligente antwoorden om beveiligingsincidenten snel te verhelpen en biedt een aantal inbraakpreventie-achtige functies.
De waarschuwingsfuncties van het product zijn behoorlijkindrukwekkend. Er zijn multi-voorwaardelijke, onderling gecorreleerde alarmen die werken in combinatie met de Active Response-engine van het hulpprogramma en helpen bij het identificeren en samenvatten van belangrijke gebeurtenissen. Het rapportagesysteem is net zo goed als het alarmsysteem en kan worden gebruikt om naleving aan te tonen met behulp van bestaande vooraf gebouwde rapportsjablonen. U kunt ook aangepaste rapporten maken die precies aansluiten op uw bedrijfsbehoeften.
Prijzen voor de SolarWinds Threat Monitor - IT Ops-editie begin bij $ 4 500 voor maximaal 25 knooppunten met 10 dagen index. Je kan contact opnemen met SolarWinds voor een gedetailleerde offerte aangepast aan uw specifieke behoeften. En als u het product liever in actie ziet, kunt u een gratis demo aanvragen bij SolarWinds.
2. SolarWinds Log & Event Manager (Gratis proefversie)
Laat het niet SolarWinds Log & Event ManagerDe naam houdt je voor de gek. Het is veel meer dan alleen een log- en eventbeheersysteem. Veel van de geavanceerde functies van dit product vallen onder het bereik SIEM (Security Information and Event Management). Andere functies kwalificeren het als een inbraakdetectiesysteem en zelfs, tot op zekere hoogte, als een inbraakpreventiesysteem. Deze tool biedt bijvoorbeeld realtime correlatie van gebeurtenissen en realtime remediëring.
- GRATIS proefversie: SolarWinds Log & Event Manager
- Officiële downloadlink: https://www.solarwinds.com/log-event-manager-software/registration
De SolarWinds Log & Event Manager beschikt over onmiddellijke detectie van verdachteactiviteit (een inbraakdetectiefunctie) en geautomatiseerde responsen (een inbraakpreventiefunctionaliteit). Het kan ook onderzoek naar beveiligingsgebeurtenissen en forensisch onderzoek uitvoeren voor zowel beperkende als nalevingsdoeleinden. Dankzij de audit-bewezen rapportage kan de tool ook worden gebruikt om aan te tonen dat wordt voldaan aan onder andere HIPAA, PCI-DSS en SOX. De tool heeft ook bestandsintegriteitsbewaking en USB-apparaatbewaking, waardoor het veel meer een geïntegreerd beveiligingsplatform is dan alleen een log- en eventbeheersysteem.
Prijzen voor de SolarWinds Log & Event Manager begint bij $ 4 585 voor maximaal 30 bewaakte knooppunten. Licenties voor maximaal 2 500 knooppunten kunnen worden gekocht, waardoor het product zeer schaalbaar is. Als u het product wilt uitproberen en zelf wilt kijken of het geschikt is voor u, is er een gratis proefversie van 30 dagen beschikbaar.
3. OSSEC
Open source-beveiligingof OSSEC, is veruit het toonaangevende open-source host-gebaseerde intrusion detection-systeem. Het product is eigendom van Trend Micro, een van de toonaangevende namen in IT-beveiliging en demaker van een van de beste suites voor virusbescherming. Wanneer geïnstalleerd op Unix-achtige besturingssystemen, richt de software zich voornamelijk op log- en configuratiebestanden. Het maakt controlesommen van belangrijke bestanden en valideert deze periodiek, zodat u wordt gewaarschuwd wanneer er iets vreemds gebeurt. Het zal ook elke abnormale poging om root-toegang te krijgen controleren en waarschuwen. Op Windows-hosts houdt het systeem ook oog voor onbevoegde registerwijzigingen die een teken kunnen zijn van kwaadwillende activiteit.
Omdat het een host-gebaseerd inbraakdetectiesysteem is, OSSEC moet worden geïnstalleerd op elke computer die u wilt beschermen. Een gecentraliseerde console consolideert echter wel informatie van elke beveiligde computer voor eenvoudiger beheer. Terwijl de OSSEC console werkt alleen op Unix-achtige besturingssystemen,een agent is beschikbaar om Windows-hosts te beschermen. Elke detectie activeert een waarschuwing die op de gecentraliseerde console wordt weergegeven, terwijl meldingen ook per e-mail worden verzonden.
4. snuiven
snuiven is waarschijnlijk de bekendste open-sourcenetwerkgebaseerd inbraakdetectiesysteem. Maar het is meer dan een inbraakdetectietool. Het is ook een packet-sniffer en een packger-logger en het bevat ook een paar andere functies. Het configureren van het product doet denken aan het configureren van een firewall. Het wordt gedaan met behulp van regels. U kunt basisregels downloaden van de snuiven website en gebruik ze zoals ze zijn of pas ze aan uw specifieke behoeften aan. U kunt zich ook abonneren op snuiven regels om automatisch de nieuwste regels te krijgen wanneer deze zich ontwikkelen of wanneer nieuwe bedreigingen worden ontdekt.
Soort is zeer grondig en zelfs de basisregels kunnen dateen breed scala aan gebeurtenissen detecteren, zoals stealth-poortscans, bufferoverloopaanvallen, CGI-aanvallen, SMB-sondes en vingerafdrukken van besturingssystemen. Er is vrijwel geen limiet aan wat u kunt detecteren met deze tool en wat het detecteert is uitsluitend afhankelijk van de regelset die u installeert. Wat betreft detectiemethoden, een deel van de basis snuiven regels zijn gebaseerd op handtekeningen, terwijl anderen op afwijkingen zijn gebaseerd. snuiven kan u daarom het beste van twee werelden geven.
5. Samhain
Samhain is een andere bekende gratis host-inbraakdetectie systeem. De belangrijkste kenmerken, vanuit IDS-oogpunt, zijn controle van de bestandsintegriteit en bewaking / analyse van logbestanden. Het doet echter veel meer dan dat. Het product zal rootkit-detectie, poortbewaking, detectie van frauduleuze SUID-uitvoerbare bestanden en verborgen processen uitvoeren.
De tool is ontworpen om meerdere hosts met verschillende besturingssystemen te bewaken en tegelijkertijd gecentraliseerde logging en onderhoud te bieden. Echter, Samhain kan ook worden gebruikt als een zelfstandige toepassing opeen enkele computer. De software draait voornamelijk op POSIX-systemen zoals Unix, Linux of OS X. Het kan ook worden uitgevoerd op Windows onder Cygwin, een pakket waarmee POSIX-applicaties op Windows kunnen worden uitgevoerd, hoewel alleen de monitoring agent in die configuratie is getest.
Een van de SamhainDe meest unieke functie is de stealth-modus dieHiermee kan het worden uitgevoerd zonder te worden gedetecteerd door potentiële aanvallers. Van indringers is bekend dat ze detectieprocessen die ze herkennen snel uitschakelen zodra ze een systeem binnenkomen voordat ze worden gedetecteerd, waardoor ze onopgemerkt blijven. Samhain gebruikt steganografische technieken om zijn processen voor anderen te verbergen. Het beschermt ook zijn centrale logboekbestanden en configuratieback-ups met een PGP-sleutel om geknoei te voorkomen.
6. Suricata
Suricata is niet alleen een inbraakdetectiesysteem. Het heeft ook enkele intrusion Prevention-functies. Het wordt zelfs geadverteerd als een compleet ecosysteem voor monitoring van de netwerkbeveiliging. Een van de beste troeven van de tool is hoe het werkt tot aan de applicatielaag. Dit maakt het een hybride netwerk- en hostgebaseerd systeem waarmee de tool bedreigingen kan detecteren die waarschijnlijk door andere tools niet worden opgemerkt.
Suricata is een echte netwerkgebaseerde inbraakdetectieSysteem dat niet alleen werkt op de applicatielaag. Het zal netwerkprotocollen van een lager niveau zoals TLS, ICMP, TCP en UDP bewaken. De tool begrijpt en decodeert ook hogere protocollen zoals HTTP, FTP of SMB en kan inbraakpogingen detecteren die verborgen zijn in anders normale verzoeken. De tool biedt ook mogelijkheden voor bestandsextractie waarmee beheerders elk verdacht bestand kunnen onderzoeken.
SuricataDe applicatie-architectuur is behoorlijk innovatief. De tool verdeelt zijn werklast over verschillende processorcores en threads voor de beste prestaties. Indien nodig kan het zelfs een deel van zijn verwerking naar de grafische kaart verplaatsen. Dit is een geweldige functie bij het gebruik van het hulpprogramma op servers, omdat hun grafische kaart meestal te weinig wordt gebruikt.
7. Bro Netwerkbeveiligingsmonitor
De Bro Netwerkbeveiligingsmonitor, een ander gratis netwerkintrusiedetectiesysteem De tool werkt in twee fasen: verkeersregistratie en verkeersanalyse. Net als Suricata, Bro Netwerkbeveiligingsmonitor werkt op meerdere lagen tot aan de toepassinglaag. Dit zorgt voor een betere detectie van gesplitste inbraakpogingen. De analysemodule van het hulpprogramma bestaat uit twee elementen. Het eerste element wordt de event-engine genoemd en het volgt triggerende gebeurtenissen zoals netto TCP-verbindingen of HTTP-aanvragen. De gebeurtenissen worden vervolgens geanalyseerd door beleidsscripts, het tweede element, die beslissen of een alarm wordt geactiveerd en / of een actie wordt gestart. De mogelijkheid om een actie te starten geeft de Bro Network Security Monitor enkele IPS-achtige functionaliteit.
De Bro Netwerkbeveiligingsmonitor kunt u HTTP-, DNS- en FTP-activiteit en het volgenbewaakt ook SNMP-verkeer. Dit is een goede zaak omdat SNMP vaak wordt gebruikt voor netwerkbewaking, maar het is geen veilig protocol. En omdat het ook kan worden gebruikt om configuraties te wijzigen, kan het worden misbruikt door kwaadwillende gebruikers. Met de tool kunt u ook wijzigingen in de apparaatconfiguratie en SNMP-vallen bekijken. Het kan worden geïnstalleerd op Unix, Linux en OS X, maar het is niet beschikbaar voor Windows, wat misschien het belangrijkste nadeel is.
Comments