- - Trojany zdalnego dostępu (RAT) - jakie są i jak się przed nimi chronić?

Trojany zdalnego dostępu (RAT) - jakie są i jak się przed nimi chronić?

Trojan zdalnego dostępu (RAT) jest jednym znajgorsze rodzaje złośliwego oprogramowania, o których można pomyśleć. Mogą powodować wszelkiego rodzaju szkody, a także mogą być odpowiedzialne za kosztowne straty danych. Muszą być aktywnie zwalczani, ponieważ oprócz bycia paskudnymi są stosunkowo częste. Dzisiaj postaramy się wyjaśnić, czym one są i jak działają, a my damy Ci znać, co można zrobić, aby się przed nimi zabezpieczyć.

Rozpoczniemy dziś naszą dyskusję odwyjaśniając, co to jest RAT. Nie zagłębimy się w szczegóły techniczne, ale staramy się wyjaśnić, jak działają i jak do Ciebie docierają. Następnie, starając się nie brzmieć zbyt paranoicznie, zobaczymy, jak RAT można niemal postrzegać jako broń. W rzeczywistości niektóre zostały użyte jako takie. Następnie przedstawimy kilka najbardziej znanych RAT. To da ci lepsze pojęcie o tym, do czego są zdolni. Zobaczymy, w jaki sposób można wykorzystać narzędzia do wykrywania włamań do ochrony przed RAT i omówimy niektóre z najlepszych z tych narzędzi.

Czym jest RAT?

The Trojan dostępu zdalnego to rodzaj złośliwego oprogramowania, które pozwala hakerowi zdalnie(stąd nazwa) przejmij kontrolę nad komputerem. Przeanalizujmy nazwę. Część trojana dotyczy sposobu dystrybucji złośliwego oprogramowania. Odnosi się do starożytnej greckiej historii konia trojańskiego zbudowanego przez Ulissesa w celu odzyskania miasta Troi, które było oblegane przez dziesięć lat. W kontekście złośliwego oprogramowania komputerowego koń trojański (lub po prostu trojan) to złośliwe oprogramowanie rozpowszechniane jako coś innego. Na przykład gra, którą pobierasz i instalujesz na komputerze, może w rzeczywistości być koniem trojańskim i zawierać kod złośliwego oprogramowania.

Jeśli chodzi o część zdalnego dostępu do nazwy RAT,ma to związek z tym, co robi złośliwe oprogramowanie. Mówiąc najprościej, pozwala autorowi na zdalny dostęp do zainfekowanego komputera. A kiedy uzyska zdalny dostęp, nie ma prawie żadnych ograniczeń co do tego, co może zrobić. Może różnić się od eksploracji systemu plików, oglądania działań na ekranie, zbierania danych logowania lub szyfrowania plików w celu zażądania okupu. Mógł również ukraść Twoje dane lub, co gorsza, dane Twojego klienta. Po zainstalowaniu programu RAT komputer może stać się koncentratorem, z którego przeprowadzane są ataki na inne komputery w sieci lokalnej, omijając w ten sposób wszelkie zabezpieczenia obwodowe.

RAT w historii

Niestety RAT istnieją już od ponaddekada. Uważa się, że technologia ta przyczyniła się do szerokiego grabieży amerykańskiej technologii przez chińskich hakerów w 2003 roku. W dochodzeniu Pentagonu wykryto kradzież danych od amerykańskich kontrahentów obronnych, a tajne dane dotyczące rozwoju i testowania zostały przeniesione do lokalizacji w Chinach.

Być może przypomnisz sobie Wschód Stanów ZjednoczonychWyłączenia przybrzeżnych sieci elektroenergetycznych w 2003 i 2008 r. Prześledzono je także w Chinach i wydawało się, że zostały ułatwione przez RAT. Haker, który może dostać RAT do systemu, może skorzystać z dowolnego oprogramowania, które mają do dyspozycji użytkownicy zainfekowanego systemu, często nawet go nie zauważając.

SZCZURY jako broń

Złośliwy programista RAT może przejąć kontrolęelektrownie, sieci telefoniczne, obiekty jądrowe lub gazociągi. W związku z tym RAT nie stanowią jedynie zagrożenia dla bezpieczeństwa firmy. Mogą również umożliwiać narodom atakowanie wrogiego kraju. Jako takie mogą być postrzegane jako broń. Hakerzy na całym świecie wykorzystują RAT do szpiegowania firm oraz kradzieży danych i pieniędzy. Tymczasem problem RAT stał się obecnie kwestią bezpieczeństwa narodowego w wielu krajach, w tym w USA.

Pierwotnie używany do szpiegostwa przemysłowego isabotaż chińskich hakerów Rosja doceniła potęgę RAT i włączyła je do swojego arsenału wojskowego. Są one teraz częścią rosyjskiej strategii przestępczej znanej jako „wojna hybrydowa”. Kiedy Rosja zajęła część Gruzji w 2008 roku, zastosowała ataki DDoS w celu zablokowania usług internetowych i RAT w celu zebrania danych wywiadowczych, kontroli i zakłócenia gruzińskiego sprzętu wojskowego i niezbędnego sprzętu narzędzia.

Kilka (nie) znanych RAT

Rzućmy okiem na kilka najbardziej znanych RAT. Naszym celem nie jest ich wysławiać, ale dać ci wyobrażenie o ich różnorodności.

Kryza tylna

Powrót Orifice jest amerykańskim RAT, który maistnieje od 1998 roku. To rodzaj dziadka RAT. Pierwotny schemat wykorzystywał słabość systemu Windows 98. Późniejsze wersje, które działały w nowszych systemach operacyjnych Windows, nosiły nazwy Back Orifice 2000 i Deep Back Orifice.

Ten RAT jest w stanie ukryć się w obrębiesystem operacyjny, co sprawia, że ​​jest szczególnie trudny do wykrycia. Dziś jednak większość systemów antywirusowych ma pliki wykonywalne Back Orifice i zachowanie okluzji jako sygnatury, na które należy zwrócić uwagę. Cechą wyróżniającą to oprogramowanie jest to, że ma łatwą w użyciu konsolę, z której intruz może korzystać do nawigacji i przeglądania zainfekowanego systemu. Po zainstalowaniu ten program serwera komunikuje się z konsolą klienta przy użyciu standardowych protokołów sieciowych. Na przykład znane jest użycie portu o numerze 21337.

DarkComet

DarkComet został utworzony w 2008 roku przez Francuzówhaker Jean-Pierre Lesueur, ale zwrócił uwagę społeczności cyberbezpieczeństwa dopiero w 2012 r., kiedy odkryto, że afrykańska jednostka hakerów używała systemu do atakowania rządu USA i wojska.

DarkComet charakteryzuje się łatwym w użyciuinterfejs, który umożliwia użytkownikom z niewielkimi lub żadnymi umiejętnościami technicznymi przeprowadzanie ataków hakerów. Umożliwia szpiegowanie poprzez rejestrowanie keylogów, przechwytywanie ekranu i zbieranie haseł. Sterujący haker może również obsługiwać funkcje zasilania komputera zdalnego, umożliwiając zdalne włączanie i wyłączanie komputera. Funkcje sieciowe zainfekowanego komputera można również wykorzystać do wykorzystania go jako serwera proxy i maskowania tożsamości użytkownika podczas nalotów na inne komputery. Projekt DarkComet został porzucony przez jego programistę w 2014 roku, kiedy odkryto, że rząd syryjski używał go do szpiegowania swoich obywateli.

Miraż

Mirage to słynny RAT wykorzystywany przez sponsorowany przez państwoChińska grupa hakerów. Po bardzo aktywnej kampanii szpiegowskiej w latach 2009–2015 grupa zamilkła. Mirage było głównym narzędziem grupy od 2012 roku. Wykrywanie wariantu Mirage, zwanego MirageFox w 2018 roku, jest wskazówką, że grupa może wrócić do działania.

MirageFox został odkryty w marcu 2018 rokubył używany do szpiegowania kontrahentów rządowych w Wielkiej Brytanii. Jeśli chodzi o oryginalny Mirage RAT, był używany do ataków na kompanię naftową na Filipinach, tajwańskie wojsko, kanadyjską firmę energetyczną i inne cele w Brazylii, Izraelu, Nigerii i Egipcie.

Ten RAT jest dostarczany w postaci pliku PDF. Otwarcie powoduje wykonanie skryptów, które instalują RAT. Po zainstalowaniu jego pierwszym działaniem jest zgłoszenie się do systemu dowodzenia i kontroli z audytem możliwości zainfekowanego systemu. Informacje te obejmują szybkość procesora, pojemność i wykorzystanie pamięci, nazwę systemu i nazwę użytkownika.

Ochrona przed RAT - Narzędzia wykrywania włamań

Oprogramowanie antywirusowe jest czasami bezużyteczne wwykrywanie i zapobieganie RAT. Wynika to częściowo z ich natury. Chowają się na widoku jako coś zupełnie legalnego. Z tego powodu często są najlepiej wykrywane przez systemy analizujące komputery pod kątem nietypowych zachowań. Takie systemy nazywane są systemami wykrywania włamań.

Przeszukaliśmy rynek pod kątem najlepszego włamaniaSystemy detekcji. Nasza lista zawiera mieszankę prawdziwych systemów wykrywania włamań i innego oprogramowania, które zawierają komponent wykrywający wtargnięcie lub które można wykorzystać do wykrywania prób włamań. Zazwyczaj lepiej radzą sobie z identyfikowaniem trojanów dostępu zdalnego niż inne rodzaje narzędzi chroniących przed złośliwym oprogramowaniem.

1. Monitor zagrożeń SolarWinds - edycja IT Ops (Darmowe demo)

SolarWinds to popularna nazwa w dziedzinie narzędzi do administrowania siecią. Działając od około 20 lat, dostarczyliśmy jedne z najlepszych narzędzi do zarządzania siecią i systemem. Jego sztandarowym produktem jest Monitor wydajności sieci, konsekwentnie plasuje się w czołówce najlepszych narzędzi do monitorowania przepustowości sieci. SolarWinds tworzy również doskonałe bezpłatne narzędzia, z których każde zaspokaja określone potrzeby administratorów sieci. The Serwer Kiwi Syslog i Zaawansowany kalkulator podsieci to dwa dobre przykłady.

Monitor zagrożeń SolarWinds - wydanie IT Ops - pulpit nawigacyjny

  • Darmowe demo: Monitor zagrożeń SolarWinds - edycja IT Ops
  • Oficjalny link do pobrania: https://www.solarwinds.com/threat-monitor/registration

W przypadku sieciowego wykrywania włamań, SolarWinds oferuje Monitor zagrożeń - wydanie IT Ops. W przeciwieństwie do większości innych SolarWinds narzędzia, to raczej usługa oparta na chmurzeniż lokalnie zainstalowane oprogramowanie. Po prostu subskrybujesz go, skonfigurujesz, a on zacznie obserwować twoje środowisko pod kątem prób włamań i kilku innych rodzajów zagrożeń. The Monitor zagrożeń - wydanie IT Ops łączy kilka narzędzi. Ma zarówno wykrywanie włamań oparte na sieci, jak i na hoście, a także centralizację i korelację logów oraz zarządzanie informacjami i zdarzeniami bezpieczeństwa (SIEM). Jest to bardzo dokładny pakiet do monitorowania zagrożeń.

The Monitor zagrożeń - wydanie IT Ops jest zawsze aktualny, stale aktualizowanyinformacje o zagrożeniach z wielu źródeł, w tym z baz danych IP i Domain Reputation. Obserwuje zarówno znane, jak i nieznane zagrożenia. Narzędzie oferuje zautomatyzowane inteligentne reakcje w celu szybkiego naprawienia incydentów bezpieczeństwa, dając mu pewne funkcje podobne do zapobiegania włamaniom.

Funkcje ostrzegawcze produktu są dośćimponujący. Istnieją wielowarunkowe, skorelowane alarmy, które działają w połączeniu z silnikiem Active Response narzędzia i pomagają w identyfikowaniu i podsumowywaniu ważnych zdarzeń. System raportowania jest tak samo dobry jak alarmowanie i można go wykorzystać do wykazania zgodności za pomocą istniejących gotowych szablonów raportów. Alternatywnie możesz tworzyć niestandardowe raporty dokładnie dopasowane do potrzeb Twojej firmy.

Ceny za Monitor zagrożeń SolarWinds - edycja IT Ops zacznij od 4 500 USD za maksymalnie 25 węzłów z 10-dniowym indeksem. Możesz się skontaktować SolarWinds po szczegółową wycenę dostosowaną do twoich konkretnych potrzeb. A jeśli wolisz oglądać produkt w akcji, możesz poprosić o bezpłatną wersję demo SolarWinds.

2. Menedżer dzienników i zdarzeń SolarWinds (Bezpłatny okres próbny)

Nie pozwól Menedżer dzienników i zdarzeń SolarWindsImię cię zwiedzie. To znacznie więcej niż tylko system zarządzania logami i zdarzeniami. Wiele zaawansowanych funkcji tego produktu umieszcza go w zakresie informacji o bezpieczeństwie i zarządzania zdarzeniami (SIEM). Inne funkcje kwalifikują go jako system wykrywania włamań, a nawet, w pewnym stopniu, jako system zapobiegania włamaniom. To narzędzie oferuje na przykład korelację zdarzeń w czasie rzeczywistym i środki zaradcze w czasie rzeczywistym.

SolarWinds Log i zrzut ekranu Menedżera zdarzeń

  • BEZPŁATNA wersja próbna: Menedżer dzienników i zdarzeń SolarWinds
  • Oficjalny link do pobrania: https://www.solarwinds.com/log-event-manager-software/registration

The Menedżer dzienników i zdarzeń SolarWinds umożliwia natychmiastowe wykrycie podejrzanegoaktywność (funkcja wykrywania włamań) i automatyczne odpowiedzi (funkcja zapobiegania włamaniom). Może także przeprowadzać dochodzenie w sprawie zdarzeń bezpieczeństwa i kryminalistykę, zarówno w celu ograniczenia ryzyka, jak i zapewnienia zgodności. Dzięki sprawdzonemu raportowaniu raport może być również wykorzystywany do wykazania zgodności między innymi z HIPAA, PCI-DSS i SOX. Narzędzie ma również monitorowanie integralności plików i monitorowanie urządzeń USB, dzięki czemu jest bardziej zintegrowaną platformą bezpieczeństwa niż tylko systemem zarządzania dziennikami i zdarzeniami.

Ceny za Menedżer dzienników i zdarzeń SolarWinds zaczyna się od 4 585 USD za maksymalnie 30 monitorowanych węzłów. Można zakupić licencje na maksymalnie 2 500 węzłów, dzięki czemu produkt jest wysoce skalowalny. Jeśli chcesz wziąć produkt na próbę i przekonać się, czy jest on odpowiedni dla Ciebie, dostępna jest bezpłatna 30-dniowa wersja próbna.

3. OSSEC

Bezpieczeństwo Open Sourcelub OSSECjest zdecydowanie wiodącym systemem wykrywania włamań opartym na hoście typu open source. Produkt jest własnością Trend Micro, jedna z wiodących marek w dziedzinie bezpieczeństwa IT itwórca jednego z najlepszych pakietów ochrony antywirusowej. Oprogramowanie zainstalowane w systemach operacyjnych typu Unix koncentruje się przede wszystkim na plikach dziennika i konfiguracyjnych. Tworzy sumy kontrolne ważnych plików i okresowo je sprawdza, ostrzegając Cię, gdy wydarzy się coś dziwnego. Będzie także monitorować i ostrzegać o wszelkich nietypowych próbach uzyskania dostępu do konta root. Na hostach Windows system monitoruje również nieautoryzowane modyfikacje rejestru, które mogą wskazywać na złośliwą aktywność.

Zrzut ekranowy pulpitu OSSEC

Dzięki temu, że jest to oparty na hoście system wykrywania włamań, OSSEC musi być zainstalowany na każdym komputerze, który chcesz chronić. Jednak scentralizowana konsola konsoliduje informacje z każdego chronionego komputera w celu łatwiejszego zarządzania. Podczas OSSEC konsola działa tylko w systemach operacyjnych typu Unix,dostępny jest agent do ochrony hostów Windows. Każde wykrycie spowoduje wyświetlenie ostrzeżenia, które zostanie wyświetlone na scentralizowanej konsoli, a powiadomienia zostaną również wysłane pocztą e-mail.

4. Parsknięcie

Parsknięcie jest prawdopodobnie najbardziej znanym oprogramowaniem typu open sourceoparty na sieci system wykrywania włamań. Ale to coś więcej niż narzędzie do wykrywania włamań. Jest to także sniffer pakietów i rejestrator pakietów, a także zawiera kilka innych funkcji. Konfiguracja produktu przypomina konfigurację zapory ogniowej. Odbywa się to za pomocą reguł. Możesz pobrać podstawowe zasady z Parsknięcie i używaj ich w obecnej postaci lub dostosuj je do swoich konkretnych potrzeb. Możesz także subskrybować Parsknięcie reguły, aby automatycznie otrzymywać wszystkie najnowsze reguły w miarę ich ewolucji lub wykrycia nowych zagrożeń.

Snort IDS Console w systemie Windows

Sortować jest bardzo dokładny i nawet jego podstawowe zasady mogąwykrywa wiele różnych zdarzeń, takich jak skryty port ukryty, ataki przepełnienia bufora, ataki CGI, sondy SMB i odciski palców systemu operacyjnego. To narzędzie nie ma praktycznie żadnych ograniczeń, a to, co wykrywa, zależy wyłącznie od zainstalowanego zestawu reguł. Jeśli chodzi o metody wykrywania, niektóre podstawowe Parsknięcie reguły oparte są na sygnaturach, a inne na anomalii. Parsknięcie może zatem dać ci to, co najlepsze z obu światów.

5. Samhain

Samhain to kolejna dobrze znana intruzja hostasystem detekcji. Jego główne cechy, z punktu widzenia IDS, to sprawdzanie integralności plików oraz monitorowanie / analiza plików dziennika. Ale robi o wiele więcej. Produkt wykona wykrywanie rootkitów, monitorowanie portów, wykrywanie nieuczciwych plików wykonywalnych SUID i ukrytych procesów.

Narzędzie zostało zaprojektowane do monitorowania wielu hostów z różnymi systemami operacyjnymi, zapewniając jednocześnie scentralizowane rejestrowanie i konserwację. Jednak, Samhain może być również używany jako samodzielna aplikacja napojedynczy komputer. Oprogramowanie działa przede wszystkim w systemach POSIX, takich jak Unix, Linux lub OS X. Można go również uruchomić w systemie Windows pod Cygwin, pakietem umożliwiającym uruchamianie aplikacji POSIX w systemie Windows, chociaż w tej konfiguracji przetestowano tylko agenta monitorowania.

Zrzut ekranu Samhain IDS

Jeden z SamhainNajbardziej unikalną cechą jest tryb ukrycia, którypozwala na uruchomienie bez wykrycia przez potencjalnych napastników. Intruzi znani są z tego, że szybko zabijają rozpoznane procesy, gdy tylko wchodzą do systemu, zanim zostaną wykryte, co pozwala im pozostać niezauważonymi. Samhain wykorzystuje techniki steganograficzne, aby ukryć swoje procesy przed innymi. Chroni także swoje centralne pliki dziennika i kopie zapasowe konfiguracji za pomocą klucza PGP, aby zapobiec manipulacjom.

6. Suricata

Suricata to nie tylko system wykrywania włamań. Posiada również niektóre funkcje zapobiegania włamaniom. W rzeczywistości jest reklamowany jako kompletny ekosystem monitorowania bezpieczeństwa sieci. Jednym z najlepszych atutów tego narzędzia jest sposób jego działania aż do warstwy aplikacji. Dzięki temu jest to hybrydowy system oparty na sieci i hoście, który pozwala narzędziu wykrywać zagrożenia, które prawdopodobnie pozostaną niezauważone przez inne narzędzia.

Zrzut ekranu Suricata

Suricata to prawdziwie sieciowe wykrywanie włamańSystem, który działa nie tylko w warstwie aplikacji. Będzie monitorował protokoły sieciowe niższego poziomu, takie jak TLS, ICMP, TCP i UDP. Narzędzie to również rozumie i dekoduje protokoły wyższego poziomu, takie jak HTTP, FTP lub SMB, i może wykrywać próby włamań ukryte w normalnych żądaniach. Narzędzie oferuje także funkcje wyodrębniania plików, umożliwiające administratorom sprawdzenie każdego podejrzanego pliku.

SuricataArchitektura aplikacji jest dość innowacyjna. Narzędzie rozłoży obciążenie na kilka rdzeni i wątków procesora w celu uzyskania najlepszej wydajności. W razie potrzeby może nawet przenieść część przetwarzania na kartę graficzną. Jest to świetna funkcja, gdy narzędzie jest używane na serwerach, ponieważ ich karta graficzna jest zwykle niedostatecznie używana.

7. Bro Network Security Monitor

The Bro Network Security Monitor, kolejny darmowy system wykrywania włamań do sieci. Narzędzie działa w dwóch fazach: rejestracja i analiza ruchu. Podobnie jak Suricata, Bro Network Security Monitor działa na wielu warstwach aż do aplikacjiwarstwa. Pozwala to na lepsze wykrywanie prób włamania typu split. Moduł analizy narzędzia składa się z dwóch elementów. Pierwszy element nazywa się mechanizmem zdarzeń i śledzi zdarzenia wyzwalające, takie jak połączenia sieciowe TCP lub żądania HTTP. Zdarzenia są następnie analizowane przez skrypty polityki, drugi element, który decyduje, czy uruchomić alarm i / lub uruchomić akcję. Możliwość uruchomienia akcji daje Bro Network Security Monitor pewne funkcje podobne do IPS.

Bro Network Security Monitor - zrzut ekranu

The Bro Network Security Monitor pozwala śledzić aktywność HTTP, DNS i FTP i tomonitoruje również ruch SNMP. To dobrze, ponieważ SNMP jest często używany do monitorowania sieci, ale nie jest to bezpieczny protokół. A ponieważ może być również używany do modyfikowania konfiguracji, może być wykorzystywany przez złośliwych użytkowników. Narzędzie pozwala także obserwować zmiany konfiguracji urządzenia i pułapki SNMP. Można go zainstalować w systemach Unix, Linux i OS X, ale nie jest on dostępny dla systemu Windows, co jest być może jego główną wadą.

Przeczytaj także

Wyświetl zainstalowane aplikacje na pulpicie zdalnym i zainstaluj nowe [Windows]
Ponownie włącz Resetuje wiele wbudowanych narzędzi systemu Windows i inne zmiany wyłączone przez wirusa
Mój administrator LAN używa wiersza polecenia do sterowania komputerami zdalnymi
Korzystanie z połączenia pulpitu zdalnego w systemie Windows 7
Jak zdalnie debugować stronę internetową za pomocą Chrome Dev Tools
Zdalna blokada telefonu i śledzenia - zdalne czyszczenie za pomocą poleceń SMS [Android]
Zdalny pulpit dla systemu Android Pobiera dodatek do zdalnego sterowania
Microsoft Remote Desktop Connection: zdalny dostęp do komputera z systemem Windows na komputerze Mac
Jak włączyć zdalny dostęp do MySQL w systemie Ubuntu Linux
Zdalny dostęp do systemu za pomocą TsClient VNCViewer w systemie Ubuntu Linux
Steruj odtwarzaczem VLC Media Player za pomocą wbudowanego pilota do laptopa Dell i HP
Pulpit zdalny Chrome na Androida zapewnia zdalny dostęp do komputera

Komentarze