- - Trojanere med ekstern tilgang (RATS) - Hva er de og hvordan beskytte seg mot dem?

Trojanere med ekstern tilgang (RATS) - Hva er de og hvordan beskytte seg mot dem?

Remote Access Trojan, eller RAT, er en avnastiest typer malware en kan tenke på. De kan forårsake alle slags skader, og de kan også være ansvarlige for dyre tap av data. De må kjempes aktivt fordi de i tillegg til å være ekle, er relativt vanlige. I dag vil vi gjøre vårt beste for å forklare hva de er og hvordan de fungerer, og vi vil gi deg beskjed om hva som kan gjøres for å beskytte mot dem.

Vi starter diskusjonen vår i dag avforklarer hva en RAT er. Vi vil ikke gå for dypt i de tekniske detaljene, men gjør vårt beste for å forklare hvordan de fungerer og hvordan de kommer til deg. Deretter, mens vi prøver å ikke høres for paranoide ut, vil vi se hvordan RATs nesten kan sees på som våpen. Noen har faktisk blitt brukt som sådan. Etter det introduserer vi noen av de mest kjente RAT-ene. Det vil gi deg et bedre inntrykk av hva de er i stand til. Deretter får vi se hvordan man kan bruke inntrengingsdeteksjonsverktøy for å beskytte mot RATs, og vi vil gjennomgå noe av det beste av disse verktøyene.

Så, hva er en RAT?

De Ekstern tilgang Trojan er en type malware som lar en hacker eksternt(derav navnet) ta kontroll over en datamaskin. La oss analysere navnet. Trojan-delen handler om hvordan skadelig programvare distribueres. Den viser til den eldgamle greske historien om trojanske hesten som Ulysses bygde for å ta tilbake byen Troja som hadde blitt beleiret i ti år. I forbindelse med datamaskin skadelig programvare, er en trojansk hest (eller ganske enkelt trojansk) et stykke malware som distribueres som noe annet. For eksempel kan et spill som du laster ned og installere på datamaskinen, faktisk være en trojansk hest, og det kan inneholde en viss skadelig programvare-kode.

Når det gjelder delen med ekstern tilgang til RAT-navnet,det har å gjøre med det skadelig programvare gjør. Enkelt sagt tillater det forfatteren å ha ekstern tilgang til den infiserte datamaskinen. Og når han får fjerntilgang, er det knapt noen grenser for hva han kan gjøre. Det kan variere fra å utforske filsystemet ditt, se på aktiviteter på skjermen, høste innloggingsinformasjon eller kryptere filene dine for å kreve løsepenger. Han kan også stjele dataene dine, eller enda verre, kundens. Når RAT er installert, kan datamaskinen bli et nav der angrep blir lansert til andre datamaskiner i det lokale nettverket, og dermed omgå enhver omkretssikkerhet.

RATT I Historie

RATT har dessverre eksistert i over etttiår. Det antas at teknologien har spilt en rolle i den omfattende plyndringen av amerikansk teknologi av kinesiske hackere tilbake i 2003. En Pentagon-etterforskning oppdaget datatyveri fra amerikanske forsvarsentreprenører, med klassifisert utvikling og testing av data som ble overført til steder i Kina.

Kanskje du vil huske USAs østKystnettstansene i 2003 og 2008. Disse ble også sporet tilbake til Kina og syntes å ha blitt tilrettelagt av RATs. En hacker som kan få en RAT på et system, kan dra nytte av hvilken som helst av programvaren som brukerne av det infiserte systemet har til rådighet, ofte uten at de selv legger merke til det.

Rater som våpen

En ondsinnet RAT-utvikler kan ta kontroll overkraftstasjoner, telefonnett, kjernefysiske anlegg eller gassledninger. Som sådan utgjør RATS ikke bare en risiko for bedriftens sikkerhet. De kan også gjøre det mulig for nasjoner å angripe et fiendeland. Som sådan kan de sees på som våpen. Hackere over hele verden bruker RATs for å spionere på selskaper og stjele dataene og pengene deres. I mellomtiden har RAT-problemet nå blitt et spørsmål om nasjonal sikkerhet for mange land, inkludert USA.

Opprinnelig brukt til industriell spionasje ogsabotasje av kinesiske hackere, har Russland satt pris på kraften til RATs og har integrert dem i sitt militære arsenal. De er nå en del av den russiske lovovertredelsesstrategien som er kjent som "hybrid krigføring." Da Russland grep en del av Georgia i 2008, benyttet det DDoS-angrep for å blokkere internettjenester og RATS for å samle etterretning, kontroll og forstyrre georgisk militær hardware og essensiell verktøy.

Noen få berømte rotter

La oss se på noen av de mest kjente ratene. Ideen vår her er ikke å glorifisere dem, men i stedet for å gi deg en ide om hvor varierte de er.

Tilbake åpning

Back Orifice er en amerikansk-laget RAT som harhar eksistert siden 1998. Det er slekta til RATs. Det opprinnelige opplegget utnyttet en svakhet i Windows 98. Senere versjoner som kjørte på nyere Windows-operativsystemer ble kalt Back Orifice 2000 og Deep Back Orifice.

Denne RAT er i stand til å skjule seg innenforoperativsystem, som gjør det spesielt vanskelig å oppdage. I dag har imidlertid de fleste virusbeskyttelsessystemer Back Orifice-kjørbare filer og okklusjonsatferd som signaturer å passe på. Et kjennetegn ved denne programvaren er at den har en brukervennlig konsoll som inntrengeren kan bruke til å navigere og bla gjennom det infiserte systemet. Når det er installert, kommuniserer dette serverprogrammet med klientkonsollen ved bruk av standard nettverksprotokoller. For eksempel er det kjent å bruke portnummer 21337.

DarkComet

DarkComet ble opprettet i 2008 av Frenchhacker Jean-Pierre Lesueur, men kom bare til cybersecurity-samfunnets oppmerksomhet i 2012 da det ble oppdaget at en afrikansk hacker-enhet brukte systemet for å målrette den amerikanske regjeringen og militæret.

DarkComet er preget av en brukervennliggrensesnitt som gjør det mulig for brukere med liten eller ingen tekniske ferdigheter å utføre hackerangrep. Det tillater spionering gjennom keylogging, skjermfangst og passordhøsting. Den kontrollerende hackeren kan også betjene strømfunksjonene til en ekstern datamaskin, slik at en datamaskin kan fjernes eller deaktiveres fjernt. Nettverksfunksjonene til en infisert datamaskin kan også utnyttes til å bruke datamaskinen som en proxy-server og maskere brukerens identitet under angrep på andre datamaskiner. DarkComet-prosjektet ble forlatt av sin utvikler allerede i 2014 da det ble oppdaget at det var i bruk av den syriske regjeringen for å spionere på innbyggerne.

luftspeiling

Mirage er en kjent RAT brukt av en statlig sponsetKinesisk hacker-gruppe. Etter en veldig aktiv spioneringskampanje fra 2009 til 2015, gikk gruppen stille. Mirage var gruppens viktigste verktøy fra 2012. Oppdagelsen av en Mirage-variant, kalt MirageFox i 2018, er et hint om at gruppen kan være tilbake i aksjon.

MirageFox ble oppdaget i mars 2018 da denble brukt til å spionere på britiske regjeringsentreprenører. Når det gjelder den opprinnelige Mirage RAT, ble den brukt til angrep på et oljeselskap på Filippinene, det taiwanske militæret, et kanadisk energiselskap og andre mål i Brasil, Israel, Nigeria og Egypt.

Denne RAT leveres innebygd i en PDF. Åpning av det får skript til å utføre som installerer RAT. Når den er installert, er den første handlingen å rapportere tilbake til kommando- og kontrollsystemet med en revisjon av det infiserte systemets funksjoner. Denne informasjonen inkluderer CPU-hastighet, minnekapasitet og bruk, systemnavn og brukernavn.

Beskyttelse mot rotter - Verktøy for deteksjonsinntrenging

Programvare for virusbeskyttelse er noen ganger ubrukelig påoppdage og forhindre RAT. Dette skyldes delvis deres natur. De skjuler seg i synet som noe annet som er helt legitimt. Av den grunn oppdages de ofte best av systemer som analyserer datamaskiner for unormal atferd. Slike systemer kalles inntrengingsdeteksjonssystemer.

Vi har søkt markedet for den beste inntrengingenDeteksjonssystemer. Vår liste inneholder en blanding av bona fide intrusjonsdeteksjonssystemer og annen programvare som har en intrusjonsdeteksjonskomponent eller som kan brukes til å oppdage inntrengningsforsøk. De vil vanligvis gjøre en bedre jobb med å identifisere ekstern tilgang til trojanere som andre typer verneutstyr for skadelig programvare.

1. SolarWinds Threat Monitor - IT Ops Edition (GRATIS demonstrasjon)

Solarwinds er et vanlig navn innen nettverksadministrasjonsverktøy. Etter å ha eksistert i 20 år brakte det noen av de beste verktøyene for nettverks- og systemadministrasjon. Dets flaggskip produkt, Network Performance Monitor, scorer konsekvent blant de beste verktøyene for overvåkning av båndbredde i nettverket. Solarwinds gjør også utmerkede gratis verktøy, som hver for seg adresserer et spesifikt behov hos nettverksadministratorer. De Kiwi Syslog Server og Avansert subnettkalkulator er to gode eksempler på dem.

SolarWinds Threat Monitor - IT Ops Edition - Dashboard

  • GRATIS demonstrasjon: SolarWinds Threat Monitor - IT Ops Edition
  • Offisiell nedlastingslink: https://www.solarwinds.com/threat-monitor/registration

For nettverksbasert intrusjonsdeteksjon, Solarwinds tilbyr Threat Monitor - IT Ops Edition. I motsetning til de fleste andre Solarwinds verktøy, dette er en skybasert tjeneste snarereenn en lokalt installert programvare. Du abonnerer ganske enkelt på den, konfigurerer den, og den begynner å se på miljøet ditt for inntrengningsforsøk og noen flere typer trusler. De Threat Monitor - IT Ops Edition kombinerer flere verktøy. Den har både nettverks- og vertsbasert intrusjonsdeteksjon, så vel som loggesentralisering og korrelasjon, og SIEM (Security Information and Event Management). Det er en veldig grundig trusselovervåkningssuite.

De Threat Monitor - IT Ops Edition er alltid oppdatert, og blir kontinuerlig oppdaterttrusselintelligens fra flere kilder, inkludert databaser for IP- og domeneomdømme. Det følger med både kjente og ukjente trusler. Verktøyet har automatiserte intelligente svar for raskt å avhjelpe sikkerhetshendelser, noe som gir det noen innbruddsforebyggende lignende funksjoner.

Produktets varslingsfunksjoner er ganskeimponerende. Det er multikondisjonelle, tverrkorrelerte alarmer som fungerer sammen med verktøyets Active Response-motor og hjelper til med å identifisere og oppsummere viktige hendelser. Rapporteringssystemet er like bra som varsling, og kan brukes til å demonstrere samsvar ved å bruke eksisterende forhåndsbygde rapportmaler. Alternativt kan du opprette tilpassede rapporter som nøyaktig passer dine forretningsbehov.

Prisene for SolarWinds Threat Monitor - IT Ops Edition start på $ 4 500 for opptil 25 noder med 10 dagers indeks. Du kan kontakte Solarwinds for et detaljert tilbud tilpasset dine spesifikke behov. Og hvis du foretrekker å se produktet i aksjon, kan du be om en gratis demo fra Solarwinds.

2. SolarWinds Log & Event Manager (Gratis prøveperiode)

Ikke la SolarWinds Log & Event ManagerNavnet lure deg. Det er mye mer enn bare et logg- og eventstyringssystem. Mange av de avanserte funksjonene i dette produktet legger det inn i SIEM-serien (Security Information and Event Management). Andre funksjoner kvalifiserer det som et inntrengingsdeteksjonssystem og til og med, til en viss grad, som et innbruddsforebyggende system. Dette verktøyet inneholder f.eks. Korrelasjon i sanntid og korrigering i sanntid.

SolarWinds Log And Event Manager Skjermbilde

  • Gratis prøveperiode: SolarWinds Log & Event Manager
  • Offisiell nedlastingslink: https://www.solarwinds.com/log-event-manager-software/registration

De SolarWinds Log & Event Manager har øyeblikkelig gjenkjenning av mistenkeligeaktivitet (en funksjon for inntrengingsdeteksjon) og automatiserte svar (en funksjon for forebygging av inntrenging). Den kan også utføre etterforskning av sikkerhetshendelser og rettsmedisiner for både formildings- og overholdelsesformål. Takket være revisjonsprøvd rapportering kan verktøyet også brukes til å demonstrere samsvar med blant annet HIPAA, PCI-DSS og SOX. Verktøyet har også overvåking av filintegritet og overvåkning av USB-enheter, noe som gjør det mye mer av en integrert sikkerhetsplattform enn bare et logg- og hendelsesstyringssystem.

Priser for SolarWinds Log & Event Manager starter på $ 4 585 for opptil 30 overvåkte noder. Lisenser for opptil 2 500 noder kan kjøpes, noe som gjør produktet svært skalerbart. Hvis du vil ta produktet for en testkjøring og selv se om det stemmer for deg, er en gratis full-funksjons 30-dagers prøveversjon tilgjengelig.

3. OSSEC

Open Source Security, eller OSSEC, er det desidert ledende open-source vertsbaserte intrusjonsdeteksjonssystemet. Produktet eies av Trend Micro, et av de ledende navnene innen IT-sikkerhet ogprodusent av en av de beste virusbeskyttelse suitene. Når den er installert på Unix-lignende operativsystemer, fokuserer programvaren først og fremst på logg- og konfigurasjonsfiler. Den lager sjekkesummer av viktige filer og validerer dem med jevne mellomrom, og varsler deg når noe rart skjer. Den vil også overvåke og varsle om alle unormale forsøk på å få rottilgang. På Windows-verter holder systemet også øye med uautoriserte registerendringer som kan være et tegn på skadelig aktivitet.

Skjermbilde fra OSSEC Dashboard

I kraft av å være et vertsbasert system for inntrengingsdeteksjon, OSSEC må installeres på hver datamaskin du vil beskytte. Imidlertid konsoliderer en sentralisert konsoll informasjon fra hver beskyttede datamaskin for enklere administrasjon. Mens OSSEC konsoll kjører bare på Unix-lignende operativsystemer,en agent er tilgjengelig for å beskytte Windows-verter. Enhver deteksjon vil utløse et varsel som vil vises på den sentraliserte konsollen, mens varsler også blir sendt via e-post.

4. Snort

Snort er sannsynligvis den mest kjente åpen kildekodennettverksbasert intrusjonsdeteksjonssystem. Men det er mer enn et verktøy for deteksjon av inntrenging. Det er også en pakkesniffer og en pakkelogger, og den pakker noen få andre funksjoner også. Konfigurering av produktet minner om konfigurering av en brannmur. Det gjøres ved bruk av regler. Du kan laste ned basisregler fra Snort nettsted og bruk dem som den er eller tilpass dem etter dine spesifikke behov. Du kan også abonnere på Snort regler for automatisk å få alle de nyeste reglene når de utvikler seg eller når nye trusler oppdages.

Snort IDS-konsoll på Windows

Sortere er veldig grundig og til og med dens grunnleggende regler kanoppdage et bredt utvalg av hendelser som stealth-port-skanninger, buffervannoverfall, CGI-angrep, SMB-sonder og OS-fingeravtrykk. Det er praktisk talt ingen begrensning for hva du kan oppdage med dette verktøyet, og hva det oppdager er bare avhengig av regelsettet du installerer. Som for deteksjonsmetoder, noen av de grunnleggende Snort regler er signaturbaserte, mens andre er avviksbaserte. Snort kan derfor gi deg det beste fra begge verdener.

5. Samhain

Samhain er en annen velkjent gratis vertinntrengingdeteksjonssystem. Hovedfunksjonene fra IDS-standpunkt er filintegritetskontroll og overvåking / analyse av loggfiler. Det gjør imidlertid mer enn det. Produktet vil utføre rootkit-deteksjon, portovervåking, deteksjon av useriøse SUID-kjørbare filer og av skjulte prosesser.

Verktøyet ble designet for å overvåke flere verter som kjører forskjellige operativsystemer samtidig som det ga sentralisert logging og vedlikehold. Men, Samhain kan også brukes som en frittstående applikasjon påen enkelt datamaskin. Programvaren kjører primært på POSIX-systemer som Unix, Linux eller OS X. Den kan også kjøres på Windows under Cygwin, en pakke som tillater å kjøre POSIX-applikasjoner på Windows, selv om bare overvåkingsagenten er testet i den konfigurasjonen.

Samhain IDS-skjermbilde

En av SamhainDen mest unike egenskapen er stealth-modus somlar den løpe uten å bli oppdaget av potensielle angripere. Inntrengere har vært kjent for å raskt drepe deteksjonsprosesser de kjenner igjen så snart de kommer inn i et system før de blir oppdaget, slik at de kan gå upåaktet hen. Samhain bruker steganografiske teknikker for å skjule prosessene sine for andre. Den beskytter også de sentrale loggfilene og konfigurasjonssikkerhetskopiene med en PGP-nøkkel for å forhindre manipulering.

6. Suricata

Suricata er ikke bare et inntrengingsdeteksjonssystem. Den har også noen inntrengningsforebyggende funksjoner. Faktisk blir det annonsert som et komplett økosystem for overvåkning av nettverkssikkerhet. Et av verktøyets beste ressurser er hvordan det fungerer helt opp til applikasjonslaget. Dette gjør det til et hybrid nettverks- og vertsbasert system som lar verktøyet oppdage trusler som sannsynligvis vil bli lagt merke til av andre verktøy.

Suricata Skjermbilde

Suricata er en ekte nettverksbasert intrusjonsdeteksjonSystem som ikke bare fungerer i applikasjonslaget. Den vil overvåke nettverksprotokoller på lavere nivå som TLS, ICMP, TCP og UDP. Verktøyet forstår og avkoder også protokoller på høyere nivå som HTTP, FTP eller SMB og kan oppdage inntrengingsforsøk skjult i ellers normale forespørsler. Verktøyet har også filekstraheringsfunksjoner som lar administratorer undersøke mistenkelige filer.

SuricataApplikasjonsarkitekturen er ganske nyskapende. Verktøyet vil fordele arbeidsmengden over flere prosessorkjerner og tråder for best mulig ytelse. Hvis det er behov, kan det til og med laste ned noe av behandlingen til grafikkortet. Dette er en flott funksjon når du bruker verktøyet på servere, ettersom grafikkortet deres vanligvis er underbruk.

7. Bro Network Security Monitor

De Bro Network Security Monitor, et annet gratis nettverksinntrengingsdeteksjonssystem. Verktøyet fungerer i to faser: trafikklogging og trafikkanalyse. Akkurat som Suricata, Bro Network Security Monitor fungerer på flere lag opp til applikasjonenlag. Dette muliggjør bedre påvisning av delte innbruddsforsøk. Verktøyets analysemodul består av to elementer. Det første elementet kalles hendelsesmotoren, og det sporer utløsende hendelser som netto TCP-tilkoblinger eller HTTP-forespørsler. Hendelsene blir deretter analysert med policy-manus, det andre elementet, som bestemmer om de vil utløse en alarm eller ikke eller starte en handling. Muligheten for å starte en handling gir Bro Network Security Monitor noe IPS-lignende funksjonalitet.

Bro Network Security Monitor - Skjermbilde

De Bro Network Security Monitor lar deg spore HTTP-, DNS- og FTP-aktivitet og denovervåker også SNMP-trafikk. Dette er en god ting fordi SNMP ofte brukes til nettverksovervåking, men det er ikke en sikker protokoll. Og siden det også kan brukes til å endre konfigurasjoner, kan det utnyttes av ondsinnede brukere. Verktøyet lar deg også se på enhetskonfigurasjonsendringer og SNMP-feller. Det kan installeres på Unix, Linux og OS X, men det er ikke tilgjengelig for Windows, som kanskje er den største ulempen.

kommentarer