O Trojan de acesso remoto, ou RAT, é um dostipos de malware mais desagradáveis que você pode imaginar. Eles podem causar todos os tipos de danos e também podem ser responsáveis por perdas de dados caras. Eles precisam ser combatidos ativamente porque, além de desagradáveis, são relativamente comuns. Hoje, faremos o possível para explicar o que são e como funcionam, além de informarmos o que pode ser feito para proteger contra eles.
Começaremos nossa discussão hojeexplicando o que é um RAT. Não vamos nos aprofundar nos detalhes técnicos, mas fazemos o possível para explicar como eles funcionam e como eles chegam até você. Em seguida, enquanto tentamos não parecer muito paranóicos, veremos como os RATs quase podem ser vistos como armas. De fato, alguns foram usados como tal. Depois disso, apresentaremos alguns dos RATs mais conhecidos. Isso lhe dará uma idéia melhor do que eles são capazes. Vamos ver como alguém pode usar ferramentas de detecção de intrusão para se proteger dos RATs e analisaremos algumas das melhores ferramentas.
Então, o que é um rato?
o Trojan de acesso remoto é um tipo de malware que permite que um hacker remotamente(daí o nome) assume o controle de um computador. Vamos analisar o nome. A parte Trojan é sobre a maneira como o malware é distribuído. Refere-se à história grega antiga do cavalo de Tróia que Ulisses construiu para recuperar a cidade de Tróia, sitiada há dez anos. No contexto de malware de computador, um cavalo de Tróia (ou simplesmente cavalo de Tróia) é um malware que é distribuído como outra coisa. Por exemplo, um jogo que você baixa e instala no seu computador pode realmente ser um cavalo de Tróia e conter algum código de malware.
Quanto à parte de acesso remoto do nome do RAT,tem a ver com o que o malware faz. Simplificando, ele permite que seu autor tenha acesso remoto ao computador infectado. E quando ele obtém acesso remoto, quase não existem limites para o que ele pode fazer. Pode variar de explorar seu sistema de arquivos, assistir a suas atividades na tela, coletar suas credenciais de login ou criptografar seus arquivos para exigir resgate. Ele também pode roubar seus dados ou, pior ainda, os de seus clientes. Depois que o RAT é instalado, seu computador pode se tornar um hub de onde os ataques são iniciados em outros computadores na rede local, evitando assim qualquer segurança de perímetro.
RATs na história
Infelizmente, os RATs existem há mais de umdécada. Acredita-se que a tecnologia tenha participado dos extensos saques da tecnologia norte-americana por hackers chineses em 2003. Uma investigação do Pentágono descobriu roubo de dados de empresas de defesa americanas, com dados classificados de desenvolvimento e teste sendo transferidos para locais na China.
Talvez você se lembre do leste dos Estados UnidosParadas na rede de energia costeira de 2003 e 2008. Elas também foram rastreadas até a China e pareciam ter sido facilitadas pelos RATs. Um hacker que pode obter um RAT em um sistema pode tirar proveito de qualquer software que os usuários do sistema infectado tenham à sua disposição, geralmente sem que eles percebam.
RATs como armas
Um desenvolvedor malicioso de RAT pode assumir o controle decentrais elétricas, redes telefônicas, instalações nucleares ou gasodutos. Como tal, os RATs não representam apenas um risco para a segurança corporativa. Eles também podem permitir que as nações atacem um país inimigo. Como tal, eles podem ser vistos como armas. Hackers em todo o mundo usam RATs para espionar empresas e roubar dados e dinheiro. Enquanto isso, o problema do RAT agora se tornou um problema de segurança nacional para muitos países, incluindo os EUA.
Originalmente usado para espionagem industrial esabotagem por hackers chineses, a Rússia passou a apreciar o poder dos RATs e os integrou ao seu arsenal militar. Eles agora fazem parte da estratégia russa de ataque conhecida como "guerra híbrida". Quando a Rússia tomou parte da Geórgia em 2008, ela empregou ataques DDoS para bloquear serviços de Internet e RATs para reunir inteligência, controle e perturbar o hardware militar georgiano e os equipamentos essenciais. Serviços de utilidade pública.
Alguns (In) RATs famosos
Vamos dar uma olhada em alguns dos RATs mais conhecidos. Nossa idéia aqui não é glorificá-los, mas fornecer uma idéia de quão variados eles são.
Orifício traseiro
Back Orifice é um RAT de fabricação americana queexiste desde 1998. É o avô dos RATs. O esquema original explorava uma fraqueza no Windows 98. As versões posteriores executadas em sistemas operacionais Windows mais recentes eram chamadas de Back Orifice 2000 e Deep Back Orifice.
Este RAT é capaz de se esconder dentro dosistema operacional, o que dificulta a detecção. Hoje, porém, a maioria dos sistemas de proteção contra vírus tem os arquivos executáveis do Back Orifice e o comportamento de oclusão como assinaturas a serem observadas. Uma característica distintiva deste software é que ele possui um console fácil de usar que o invasor pode usar para navegar e navegar pelo sistema infectado. Uma vez instalado, este programa de servidor se comunica com o console do cliente usando protocolos de rede padrão. Por exemplo, é conhecido por usar o número da porta 21337.
DarkComet
DarkComet foi criado em 2008 por francêso hacker Jean-Pierre Lesueur, mas só chamou a atenção da comunidade de segurança cibernética em 2012, quando foi descoberto que uma unidade africana de hackers estava usando o sistema para atingir o governo e as forças armadas dos EUA.
DarkComet é caracterizado por um fácil de usarinterface que permite que usuários com pouca ou nenhuma habilidade técnica realizem ataques de hackers. Permite espionar através de keylogging, captura de tela e coleta de senhas. O hacker controlador também pode operar as funções de energia de um computador remoto, permitindo que um computador seja ligado ou desligado remotamente. As funções de rede de um computador infectado também podem ser aproveitadas para usar o computador como um servidor proxy e mascarar a identidade de seu usuário durante ataques a outros computadores. O projeto DarkComet foi abandonado por seu desenvolvedor em 2014, quando foi descoberto que estava sendo usado pelo governo sírio para espionar seus cidadãos.
Miragem
Mirage é um famoso RAT usado por uma empresa patrocinada pelo estadoGrupo hacker chinês. Após uma campanha de espionagem muito ativa de 2009 a 2015, o grupo ficou quieto. O Mirage foi a principal ferramenta do grupo em 2012. A detecção de uma variante do Mirage, chamada MirageFox em 2018, é uma dica de que o grupo pode estar de volta à ação.
O MirageFox foi descoberto em março de 2018 quandofoi usado para espionar empreiteiros do governo do Reino Unido. Quanto ao Mirage RAT original, ele era usado para ataques a uma empresa de petróleo nas Filipinas, às forças armadas de Taiwan, uma empresa de energia canadense e outros alvos no Brasil, Israel, Nigéria e Egito.
Este RAT é entregue incorporado em um PDF. A abertura faz com que sejam executados scripts que instalam o RAT. Uma vez instalado, sua primeira ação é relatar o sistema de Comando e Controle com uma auditoria dos recursos do sistema infectado. Essas informações incluem a velocidade da CPU, capacidade e utilização de memória, nome do sistema e nome de usuário.
Proteção contra RATs - Ferramentas de detecção de intrusão
Às vezes, o software de proteção contra vírus é inútildetecção e prevenção de RATs. Isso se deve em parte à sua natureza. Eles se escondem à vista de todos como algo totalmente legítimo. Por esse motivo, geralmente são melhor detectados por sistemas que estão analisando computadores quanto a comportamento anormal. Esses sistemas são chamados de sistemas de detecção de intrusão.
Pesquisamos no mercado a melhor IntrusãoSistemas de detecção. Nossa lista contém uma mistura de sistemas de detecção de intrusão de boa-fé e outros softwares que possuem um componente de detecção de intrusão ou que podem ser usados para detectar tentativas de invasão. Eles normalmente fazem um trabalho melhor ao identificar Trojans de Acesso Remoto que outros tipos de ferramentas de proteção contra malware.
1. Monitor de ameaças SolarWinds - Edição IT Ops (Demo GRÁTIS)
SolarWinds é um nome comum no campo de ferramentas de administração de rede. Com cerca de 20 anos, ele nos trouxe algumas das melhores ferramentas de administração de redes e sistemas. Seu principal produto, o Monitor de desempenho de rede, pontua consistentemente entre as principais ferramentas de monitoramento de largura de banda da rede. SolarWinds também oferece excelentes ferramentas gratuitas, cada uma abordando uma necessidade específica de administradores de rede. o Servidor Kiwi Syslog e a Calculadora avançada de sub-rede são dois bons exemplos disso.

- Demonstração GRATUITA: Monitor de ameaças SolarWinds - Edição IT Ops
- Link para download oficial: https://www.solarwinds.com/threat-monitor/registration
Para detecção de intrusão baseada em rede, SolarWinds oferece o Monitor de ameaças - Edição de operações de TI. Ao contrário da maioria dos outros SolarWinds ferramentas, este é um serviço baseado em nuvem e nãodo que um software instalado localmente. Você simplesmente assina, configura e começa a observar seu ambiente em busca de invasões e mais alguns tipos de ameaças. o Monitor de ameaças - Edição de operações de TI combina várias ferramentas. Ele possui detecção de intrusão baseada em rede e host, além de centralização e correlação de log, além de gerenciamento de informações e eventos de segurança (SIEM). É um conjunto de monitoramento de ameaças muito completo.
o Monitor de ameaças - Edição de operações de TI está sempre atualizado, sendo atualizado constantementeinteligência de ameaças de várias fontes, incluindo IP e bancos de dados de reputação de domínio. Ele observa ameaças conhecidas e desconhecidas. A ferramenta apresenta respostas inteligentes e automatizadas para remediar rapidamente incidentes de segurança, oferecendo alguns recursos semelhantes a prevenção de intrusões.
Os recursos de alerta do produto são bastanteimpressionante. Existem alarmes multicondicionais e correlacionados que funcionam em conjunto com o mecanismo de resposta ativa da ferramenta e ajudam a identificar e resumir eventos importantes. O sistema de relatórios é tão bom quanto seus alertas e pode ser usado para demonstrar conformidade usando modelos de relatório pré-criados existentes. Como alternativa, você pode criar relatórios personalizados para atender com precisão às suas necessidades de negócios.
Preços para o Monitor de ameaças SolarWinds - Edição IT Ops comece em US $ 4 500 para até 25 nós com 10 dias de índice. Você pode entrar em contato SolarWinds para uma cotação detalhada adaptada às suas necessidades específicas. E se você preferir ver o produto em ação, pode solicitar uma demonstração gratuita de SolarWinds.
2. Gerenciador de log e eventos da SolarWinds (Teste grátis)
Não deixe o Gerenciador de log e eventos da SolarWindsO nome engana você. É muito mais do que apenas um sistema de gerenciamento de log e eventos. Muitos dos recursos avançados deste produto o colocam na faixa de informações de segurança e gerenciamento de eventos (SIEM). Outros recursos o qualificam como um sistema de detecção de intrusões e, até certo ponto, como um sistema de prevenção de intrusões. Essa ferramenta apresenta correlação de eventos em tempo real e correção em tempo real, por exemplo.

- Teste grátis: Gerenciador de log e eventos da SolarWinds
- Link para download oficial: https://www.solarwinds.com/log-event-manager-software/registration
o Gerenciador de log e eventos da SolarWinds apresenta detecção instantânea de suspeitosatividade (uma funcionalidade de detecção de intrusões) e respostas automatizadas (uma funcionalidade de prevenção de intrusões). Ele também pode executar investigações de eventos de segurança e forenses para fins de mitigação e conformidade. Graças a seus relatórios comprovados por auditoria, a ferramenta também pode ser usada para demonstrar conformidade com HIPAA, PCI-DSS e SOX, entre outros. A ferramenta também possui monitoramento de integridade de arquivos e monitoramento de dispositivos USB, tornando-se muito mais uma plataforma de segurança integrada do que apenas um sistema de gerenciamento de logs e eventos.
Preços para o Gerenciador de log e eventos da SolarWinds começa em US $ 4 585 para até 30 nós monitorados. É possível adquirir licenças para até 2.500 nós, tornando o produto altamente escalável. Se você deseja levar o produto para uma execução de teste e verificar por si mesmo se é adequado para você, está disponível uma avaliação gratuita de 30 dias com todos os recursos.
3. OSSEC
Segurança de código abertoou OSSEC, é de longe o principal sistema de detecção de intrusão baseado em host de código aberto. O produto pertence a Trend Micro, um dos principais nomes em segurança de TI e ofabricante de um dos melhores pacotes de proteção contra vírus. Quando instalado em sistemas operacionais semelhantes ao Unix, o software se concentra principalmente nos arquivos de log e configuração. Ele cria somas de verificação de arquivos importantes e as valida periodicamente, alertando-o sempre que algo estranho acontece. Ele também monitorará e alertará sobre qualquer tentativa anormal de obter acesso root. Nos hosts Windows, o sistema também fica de olho nas modificações não autorizadas do registro, que podem ser um sinal revelador de atividade maliciosa.

Por ser um sistema de detecção de intrusões baseado em host, OSSEC precisa ser instalado em cada computador que você deseja proteger. No entanto, um console centralizado consolida as informações de cada computador protegido para facilitar o gerenciamento. Enquanto o OSSEC o console é executado apenas em sistemas operacionais Unix-Like,um agente está disponível para proteger os hosts do Windows. Qualquer detecção acionará um alerta que será exibido no console centralizado, enquanto as notificações também serão enviadas por email.
4. Snort
Snort é provavelmente o código-fonte aberto mais conhecidoSistema de detecção de intrusão baseado em rede. Mas é mais do que uma ferramenta de detecção de intrusões. É também um farejador de pacotes e um registrador de pacotes, além de algumas outras funções. A configuração do produto lembra a configuração de um firewall. Isso é feito usando regras. Você pode baixar regras básicas a partir do Snort site e use-os como estão ou personalize-os de acordo com suas necessidades específicas. Você também pode assinar Snort regras para obter automaticamente todas as regras mais recentes à medida que evoluem ou à medida que novas ameaças são descobertas.

Ordenar é muito completo e até suas regras básicas podemdetecte uma ampla variedade de eventos, como varreduras de portas furtivas, ataques de estouro de buffer, ataques de CGI, análises de SMB e impressões digitais do SO. Praticamente não há limite para o que você pode detectar com esta ferramenta e o que ela detecta depende exclusivamente do conjunto de regras que você instala. Quanto aos métodos de detecção, alguns dos Snort regras são baseadas em assinaturas, enquanto outras são baseadas em anomalias. Snort pode, portanto, oferecer o melhor dos dois mundos.
5. Samhain
Samhain é outra intrusão de host gratuito bem conhecidasistema de detecção. Suas principais características, do ponto de vista do IDS, são a verificação da integridade do arquivo e o monitoramento / análise do arquivo de log. Mas faz muito mais do que isso. O produto executará detecção de rootkits, monitoramento de portas, detecção de executáveis desonestos SUID e processos ocultos.
A ferramenta foi projetada para monitorar vários hosts executando vários sistemas operacionais, fornecendo registro e manutenção centralizados. Contudo, Samhain também pode ser usado como um aplicativo independente emum único computador. O software é executado principalmente em sistemas POSIX como Unix, Linux ou OS X. Ele também pode ser executado no Windows no Cygwin, um pacote que permite executar aplicativos POSIX no Windows, embora apenas o agente de monitoramento tenha sido testado nessa configuração.

Um de SamhainO recurso mais exclusivo é o modo furtivo, quepermite que ele seja executado sem ser detectado por possíveis invasores. Sabe-se que os invasores eliminam rapidamente os processos de detecção que reconhecem assim que entram no sistema antes de serem detectados, permitindo que eles passem despercebidos. Samhain usa técnicas esteganográficas para esconder seus processos dos outros. Ele também protege seus arquivos de log centrais e backups de configuração com uma chave PGP para evitar violações.
6. Suricata
Suricata não é apenas um sistema de detecção de intrusões. Ele também possui alguns recursos de prevenção de intrusões. De fato, é anunciado como um ecossistema completo de monitoramento de segurança de rede. Um dos melhores ativos da ferramenta é como ela funciona até a camada do aplicativo. Isso o torna um sistema híbrido baseado em rede e host, que permite que a ferramenta detecte ameaças que provavelmente passariam despercebidas por outras ferramentas.

Suricata é uma verdadeira detecção de intrusão baseada em redeSistema que não funciona apenas na camada de aplicação. Ele monitorará os protocolos de rede de nível inferior, como TLS, ICMP, TCP e UDP. A ferramenta também entende e decodifica protocolos de nível superior, como HTTP, FTP ou SMB, e pode detectar tentativas de invasão ocultas em solicitações normais. A ferramenta também possui recursos de extração de arquivos, permitindo que os administradores examinem qualquer arquivo suspeito.
SuricataA arquitetura de aplicativos da empresa é bastante inovadora. A ferramenta distribuirá sua carga de trabalho por vários núcleos e threads de processador para obter o melhor desempenho. Se necessário, ele pode até descarregar parte de seu processamento na placa de vídeo. Esse é um ótimo recurso ao usar a ferramenta em servidores, pois sua placa gráfica geralmente é subutilizada.
7. Monitor de segurança de rede Bro
o Monitor de segurança de rede Bro, outro sistema gratuito de detecção de intrusões de rede. A ferramenta opera em duas fases: registro de tráfego e análise de tráfego. Assim como Suricata, Monitor de segurança de rede Bro opera em várias camadas até o aplicativocamada. Isso permite uma melhor detecção de tentativas de invasão divididas. O módulo de análise da ferramenta é composto por dois elementos. O primeiro elemento é chamado de mecanismo de eventos e rastreia eventos de acionamento, como conexões TCP líquidas ou solicitações HTTP. Os eventos são então analisados por scripts de política, o segundo elemento, que decide se deve ou não acionar um alarme e / ou iniciar uma ação. A possibilidade de iniciar uma ação fornece ao Bro Network Security Monitor algumas funcionalidades do tipo IPS.

o Monitor de segurança de rede Bro permite rastrear as atividades HTTP, DNS e FTP, além detambém monitora o tráfego SNMP. Isso é bom porque o SNMP é frequentemente usado para monitoramento de rede, mas não é um protocolo seguro. E, como também pode ser usado para modificar configurações, pode ser explorado por usuários mal-intencionados. A ferramenta também permitirá que você assista alterações na configuração do dispositivo e SNMP Traps. Ele pode ser instalado no Unix, Linux e OS X, mas não está disponível para Windows, o que talvez seja sua principal desvantagem.
Comentários