Trojanul cu acces la distanță, sau RAT, este unul dintrecele mai nasoale tipuri de malware la care se poate gândi. Ele pot provoca tot felul de daune și pot fi, de asemenea, responsabile pentru pierderi scumpe de date. Trebuie să fie combătute activ deoarece, pe lângă faptul că sunt urâte, sunt relativ frecvente. Astăzi, vom face tot posibilul pentru a explica ce sunt și cum funcționează, plus vă vom anunța ce se poate face pentru a vă proteja împotriva lor.
Vom începe discuția noastră astăzi pânăexplicând ce este un RAT. Nu vom intra prea adânc în detaliile tehnice, dar facem tot posibilul pentru a explica cum funcționează și cum ajung la tine. În continuare, în timp ce încercăm să nu pară prea paranoic, vom vedea cum RAT-urile pot fi aproape privite ca arme. De fapt, unele au fost folosite ca atare. După aceea, vom introduce câteva dintre cele mai cunoscute RAT-uri. Acesta vă va oferi o idee mai bună despre ce sunt capabili. Vom vedea apoi cum se pot folosi instrumente de detectare a intruziunilor pentru a vă proteja de RAT și vom examina unele dintre cele mai bune dintre aceste instrumente.
Deci, ce este un RAT?
În Trojan cu acces la distanță este un tip de malware care permite unui hacker de la distanță(de aici și numele) preia controlul asupra unui computer. Să analizăm numele. Partea troiană este despre modul în care este distribuit programul malware. Se referă la vechea poveste greacă a calului troian pe care Ulise l-a construit pentru a readuce orașul Troia care a fost asediat timp de zece ani. În contextul malware-ului pentru calculator, un cal troian (sau pur și simplu troian) este o bucată de malware distribuită ca altceva. De exemplu, un joc pe care îl descărcați și îl instalați pe computer ar putea fi de fapt un cal troian și ar putea conține un cod malware.
În ceea ce privește partea de acces la distanță a numelui RAT,are legătură cu ceea ce face malware. Mai simplu spus, permite autorului său să aibă acces la distanță la computerul infectat. Iar când obține acces la distanță, abia există limite la ceea ce poate face. Poate varia de la explorarea sistemului dvs. de fișiere, la urmărirea activităților de pe ecran, la recoltarea credențelor de autentificare sau la criptarea fișierelor dvs. pentru a cere răscumpărare. El ar putea, de asemenea, să vă fure datele sau, chiar și mai rău, clientul dvs. Odată instalat RAT, computerul dvs. poate deveni un hub de unde sunt lansate atacuri către alte computere din rețeaua locală, ocolind astfel orice securitate perimetrală.
RAT-uri în istorie
RAT-urile sunt din păcate de peste un andeceniu. Se crede că această tehnologie a jucat un rol important în jafarea extinsă a tehnologiei americane de către hackerii chinezi din 2003. O anchetă de la Pentagon a descoperit furtul de date de la contractorii de apărare din SUA, datele de dezvoltare și testare clasificate fiind transferate în locații din China.
Poate că îți vei aminti Estul Statelor UniteÎntreruperile rețelei electrice din coastă din 2003 și 2008. Acestea au fost, de asemenea, identificate în China și par să fi fost facilitate de RAT. Un hacker care poate primi un RAT pe un sistem poate profita de oricare dintre software-urile pe care utilizatorii sistemului infectat le au la dispoziție, de multe ori fără ca aceștia să le observe.
RAT-uri ca arme
Un dezvoltator RAT dăunător poate prelua controlulcentrale, rețele de telefonie, instalații nucleare sau conducte de gaz. Ca atare, RAT-urile nu reprezintă doar un risc pentru securitatea corporativă. De asemenea, pot permite națiunilor să atace o țară inamică. Ca atare, ele pot fi văzute ca arme. Hackerii din întreaga lume folosesc RAT-uri pentru a spiona companii și pentru a le fura date și bani. Între timp, problema RAT a devenit acum o problemă de securitate națională pentru multe țări, inclusiv SUA.
Utilizat inițial pentru spionaj industrial șisabotat de hackerii chinezi, Rusia a ajuns să aprecieze puterea RAT-urilor și le-a integrat în arsenalul său militar. Acum fac parte din strategia rusă a infracțiunilor, care este cunoscută sub numele de „război hibrid”. Când Rusia a confiscat o parte a Georgiei în 2008, a folosit atacuri DDoS pentru a bloca serviciile de internet și RAT-urile pentru a aduna informații, control și a perturba hardware-ul militar din Georgia și esențial. utilitati.
Câteva RAT-uri celebre
Să aruncăm o privire la câteva dintre cele mai cunoscute RAT-uri. Ideea noastră de aici nu este să le glorificăm, ci să vă facem o idee despre cât de variate sunt.
Înapoi Orifice
Înapoi Orifice este un RAT fabricat în America care areeste înconjurător din 1998. Un fel de este bunicul RAT-urilor. Schema originală a exploatat o slăbiciune în Windows 98. Versiunile ulterioare care au rulat pe sisteme de operare Windows mai noi au fost numite Back Orifice 2000 și Deep Back Orifice.
Acest RAT este capabil să se ascundă în interiorulsistem de operare, ceea ce face deosebit de greu de detectat. Astăzi, totuși, majoritatea sistemelor de protecție împotriva virusurilor au fișierele executabile Back Orifice și comportamentul de ocluzie ca semnături pe care trebuie să le caute. O caracteristică distinctivă a acestui software este aceea că are o consolă ușor de utilizat pe care intrusul o poate folosi pentru a naviga și a răsfoi în jurul sistemului infectat. Odată instalat, acest program server comunică cu consola clientului folosind protocoale de rețea standard. De exemplu, se știe că se folosește numărul de port 21337.
DarkComet
DarkComet a fost creat în 2008 de către francezihackerul Jean-Pierre Lesueur, dar a intrat în atenția comunității cibersecurității doar în 2012, când a fost descoperit că o unitate de hackeri africani folosea sistemul pentru a viza guvernul și armata americană.
DarkComet se caracterizează printr-un mod ușor de utilizatinterfață care permite utilizatorilor cu puține sau deloc abilități tehnice să efectueze atacuri de hackeri. Permite spionarea prin keylogging, captarea ecranului și recoltarea parolelor. Hackerul de control poate, de asemenea, să funcționeze funcțiile de alimentare ale unui computer de la distanță, permițând activarea sau oprirea de la distanță a unui computer. Funcțiile de rețea ale unui computer infectat pot fi, de asemenea, valorificate pentru a utiliza computerul ca server proxy și pentru a masca identitatea utilizatorului său în timpul raidurilor pe alte computere. Proiectul DarkComet a fost abandonat de dezvoltatorul său în 2014, când s-a descoperit că guvernul sirian a fost folosit pentru a-și spiona cetățenii.
Miraj
Mirage este un renumit RAT folosit de un stat sponsorizatGrup de hackeri chinezi. După o campanie de spionaj foarte activă din 2009 până în 2015, grupul s-a liniștit. Mirage a fost instrumentul principal al grupului din 2012. Detectarea unei variante Mirage, numită MirageFox în 2018 este un indiciu că grupul ar putea reveni în acțiune.
MirageFox a fost descoperit în martie 2018 cânda fost folosit pentru a spiona contractorii guvernului britanic. În ceea ce privește RAT-ul Mirage original, acesta a fost utilizat pentru atacuri la o companie petrolieră din Filipine, armata taiwaneză, o companie canadiană de energie și alte ținte din Brazilia, Israel, Nigeria și Egipt.
Acest RAT este livrat încorporat într-un PDF. Deschiderea determină executarea de scripturi care instalează RAT. Odată instalat, prima sa acțiune este de a raporta sistemul de comandă și control cu un audit al capacităților sistemului infectat. Aceste informații includ viteza procesului, capacitatea și utilizarea memoriei, numele sistemului și numele de utilizator.
Protejarea de RAT - Instrumente de detectare a intruziunilor
Software-ul de protecție împotriva virușilor este uneori inutil ladetectarea și prevenirea RAT-urilor. Acest lucru se datorează în parte naturii lor. Ei se ascund la vedere ca fiind altceva care este complet legitim. Din acest motiv, acestea sunt adesea detectate cel mai bine de sisteme care analizează calculatoarele pentru un comportament anormal. Astfel de sisteme se numesc sisteme de detectare a intruziunilor.
Am căutat pe piață pentru cea mai bună intruziuneSisteme de detectare. Lista noastră conține un mix de sisteme de detecție a intruziunilor de bună credință și alte programe software care au o componentă de detecție a intruziunilor sau care pot fi utilizate pentru a detecta încercări de intruziune. În mod obișnuit, ei vor face o treabă mai bună în identificarea troienilor cu acces la distanță ca și alte tipuri de instrumente de protecție împotriva malware.
1. SolarWinds Threat Monitor - IT Ops Edition (Demo GRATUIT)
SolarWinds este un nume comun în domeniul instrumentelor de administrare a rețelei. De vreo 20 de ani, ne-a adus unele dintre cele mai bune instrumente de administrare a rețelei și a sistemelor. Produsul său emblematic, Monitorizarea performanței rețelei, punctează în mod constant printre instrumentele de monitorizare a lățimii de bandă de top a rețelei. SolarWinds face, de asemenea, instrumente gratuite excelente, fiecare adresând unei nevoi specifice administratorilor de rețea. Kiwi Syslog Server si Calculator avansat de subrețea sunt două exemple bune ale acestora.
- Demo GRATUIT: SolarWinds Threat Monitor - IT Ops Edition
- Link oficial de descărcare: https://www.solarwinds.com/threat-monitor/registration
Pentru detectarea intruziunilor bazate pe rețea, SolarWinds oferă Monitorul amenințărilor - IT Ops Edition. Contrar majorității celorlalte SolarWinds instrumente, acesta este mai degrabă un serviciu bazat pe clouddecât un software instalat local. Pur și simplu te abonezi, îl configurezi și începe să urmărești mediul tău pentru încercări de intruziune și alte câteva tipuri de amenințări. Monitorul amenințărilor - IT Ops Edition combină mai multe instrumente. Are detecție de intruziune bazată pe rețea și gazdă, precum și centralizare și corelație a jurnalului și informații de securitate și gestionare a evenimentelor (SIEM). Este o suită de monitorizare foarte amănunțită a amenințărilor.
În Monitorul amenințărilor - IT Ops Edition este mereu actualizat, actualizându-se constantinformații despre amenințare din mai multe surse, inclusiv baze de date IP și Domeniul Reputației. Acesta urmărește atât amenințările cunoscute, cât și cele necunoscute. Instrumentul dispune de răspunsuri inteligente automatizate pentru remedierea rapidă a incidentelor de securitate, oferindu-i unele caracteristici de prevenire a intruziunilor.
Caracteristicile de alertare ale produsului sunt destul de mariimpresionant. Există alarme multi-condiționate, corelate încrucișate, care funcționează împreună cu motorul de răspuns activ al instrumentului și ajută la identificarea și rezumarea evenimentelor importante. Sistemul de raportare este la fel de bun ca alertarea sa și poate fi utilizat pentru a demonstra conformitatea prin utilizarea șabloanelor de raport pre-construite. În mod alternativ, puteți crea rapoarte personalizate pentru a se potrivi cu exactitate nevoilor companiei.
Prețuri pentru SolarWinds Threat Monitor - IT Ops Edition începe de la 4 500 USD pentru până la 25 de noduri cu 10 zile de index. Tu poti contacta SolarWinds pentru o ofertă detaliată adaptată nevoilor dumneavoastră specifice. Și dacă preferați să vedeți produsul în acțiune, puteți solicita o demo gratuită de la SolarWinds.
2. SolarWinds Log & Event Manager (Încercare gratuită)
Nu lăsa SolarWinds Log & Event ManagerNumele te păcălește. Este mult mai mult decât un simplu sistem de gestionare a jurnalelor și evenimentelor. Multe dintre caracteristicile avansate ale acestui produs îl plasează în gama de informații de securitate și gestionare a evenimentelor (SIEM). Alte caracteristici îl califică ca un sistem de detectare a intruziunilor și chiar, într-o anumită măsură, ca un sistem de prevenire a intruziunilor. Acest instrument prezintă corelarea evenimentelor în timp real și remedierea în timp real, de exemplu.
- Încercare gratuită: SolarWinds Log & Event Manager
- Link oficial de descărcare: https://www.solarwinds.com/log-event-manager-software/registration
În SolarWinds Log & Event Manager prezintă detectarea instantanee a suspectuluiactivitate (o funcționalitate de detectare a intruziunilor) și răspunsuri automatizate (o funcționalitate de prevenire a intruziunilor). De asemenea, poate efectua investigarea evenimentelor de securitate și criminalistică, atât în scopuri de atenuare, cât și în conformitate. Datorită raportării sale dovedite de audit, instrumentul poate fi folosit și pentru a demonstra conformitatea cu HIPAA, PCI-DSS și SOX, printre altele. Instrumentul are, de asemenea, monitorizarea integrității fișierelor și monitorizarea dispozitivelor USB, ceea ce face mult mai mult o platformă de securitate integrată decât un simplu sistem de gestionare a jurnalelor și evenimentelor.
Prețuri pentru SolarWinds Log & Event Manager începe de la 4 585 USD pentru până la 30 de noduri monitorizate. Licențele pentru până la 2 500 de noduri pot fi achiziționate, ceea ce face ca produsul să fie scalabil. Dacă doriți să luați produsul pentru o probă de testare și să vedeți dacă este potrivit pentru dvs., este disponibilă o probă gratuită completă de 30 de zile.
3. OSSEC
Securitate Open Source, sau OSSEC, este de departe cel mai important sistem de detecție a intruziunilor bazat pe gazdă open-source. Produsul este deținut de Trend Micro, unul dintre numele de frunte în securitatea IT șiproducător al unuia dintre cele mai bune apartamente de protecție împotriva virusului. Când este instalat pe sisteme de operare similare Unix, software-ul se concentrează în principal pe fișierele de jurnal și de configurare. Creează sume de verificare a fișierelor importante și le validă periodic, avertizându-vă ori de câte ori se întâmplă ceva ciudat. De asemenea, va monitoriza și avertiza orice încercare anormală de a obține accesul root. Pe gazdele Windows, sistemul urmărește, de asemenea, modificările neautorizate ale registrului, care ar putea fi un semn martor al activității dăunătoare.
În virtutea faptului că este un sistem de detectare a intruziunilor bazat pe gazdă, OSSEC trebuie să fie instalat pe fiecare computer pe care doriți să îl protejați. Cu toate acestea, o consolă centralizată consolidează informațiile de la fiecare computer protejat pentru o gestionare mai ușoară. In timp ce OSSEC consola rulează numai pe sisteme de operare Unix-Like,un agent este disponibil pentru a proteja gazdele Windows. Orice detectare va declanșa o alertă care va fi afișată pe consola centralizată, în timp ce notificările vor fi trimise și prin e-mail.
4. sforăit
sforăit este probabil cel mai cunoscut open-sourceSistem de detectare a intruziunilor bazat pe rețea Dar este mai mult decât un instrument de detectare a intruziunilor. Este, de asemenea, un sniffer de pachete și un jurnal de pachete și are și alte câteva funcții. Configurarea produsului amintește de configurarea unui firewall. Se face folosind reguli. Puteți descărca regulile de bază din sforăit site-ul web și utilizați-le așa cum este sau personalizați-le pentru nevoile dvs. specifice. De asemenea, vă puteți abona sforăit reguli pentru a obține automat toate cele mai recente reguli pe măsură ce evoluează sau pe măsură ce sunt descoperite noi amenințări.
Fel este foarte amănunțit și chiar regulile sale de bază potdetectați o mare varietate de evenimente, cum ar fi scanările porturilor sigure, atacurile de revarsare tampon, atacurile CGI, sondele SMB și amprentarea sistemelor de operare. Practic nu există nicio limită la ceea ce puteți detecta cu acest instrument și ceea ce detectează depinde exclusiv de setul de reguli pe care îl instalați. În ceea ce privește metodele de detectare, unele dintre elementele de bază sforăit regulile sunt bazate pe semnături, în timp ce altele sunt bazate pe anomalie. sforăit poate, prin urmare, să vă ofere cel mai bun din ambele lumi.
5. Samhain
Samhain este o altă cunoscută intruziune de gazdă gratuităsistem de detectare Principalele sale caracteristici, din punct de vedere IDS, sunt verificarea integrității fișierului și monitorizarea / analiza fișierelor de jurnal. Cu toate acestea, este mult mai mult decât atât. Produsul va efectua detectarea rootkit, monitorizarea porturilor, detectarea executabilelor SUID necinstite și a proceselor ascunse.
Instrumentul a fost proiectat pentru a monitoriza mai multe gazde care rulează diferite sisteme de operare, oferind în același timp logistica centralizată și întreținere. In orice caz, Samhain poate fi de asemenea utilizat ca o aplicație de sine stătătoare pornităun singur computer. Software-ul rulează în primul rând pe sisteme POSIX precum Unix, Linux sau OS X. Poate fi rulat și pe Windows sub Cygwin, un pachet care permite rularea aplicațiilor POSIX pe Windows, deși în acea configurație a fost testat doar agentul de monitorizare.
Unul dintre SamhainCea mai unică caracteristică este modul său sigur careîi permite să ruleze fără a fi detectat de potențiali atacatori. Se știe că intrusii ucid rapid procesele de detectare pe care le recunosc imediat ce intră într-un sistem înainte de a fi detectate, permițându-le să treacă neobservate. Samhain folosește tehnici steganografice pentru a-și ascunde procesele de alții. De asemenea, protejează fișierele de jurnal centrale și copiile de rezervă de configurare cu o cheie PGP pentru a preveni modificarea.
6. Suricata
Suricata nu este doar un sistem de detectare a intruziunilor. De asemenea, are unele caracteristici de prevenire a intruziunilor. De fapt, acesta este anunțat ca un ecosistem complet de monitorizare a securității rețelei. Unul dintre cele mai bune atuuri ale instrumentului este modul în care funcționează până la nivelul aplicației. Acest lucru îl face un sistem hibrid bazat pe rețea și gazdă, care permite instrumentului să detecteze amenințări care ar putea trece neobservate de alte instrumente.
Suricata este o adevărată detectare a intruziunilor bazată pe rețeaSistem care nu funcționează numai la nivelul aplicației. Acesta va monitoriza protocoale de rețea de nivel inferior precum TLS, ICMP, TCP și UDP. Instrumentul înțelege și decodează protocoale la nivel superior, cum ar fi HTTP, FTP sau SMB și poate detecta încercări de intruziune ascunse în cererile altfel normale. Instrumentul oferă, de asemenea, capabilități de extragere a fișierelor, permitând administratorilor să examineze orice fișier suspect.
SuricataArhitectura de aplicații este destul de inovatoare. Instrumentul își va distribui volumul de lucru pe mai multe nuclee și fire de procesare pentru cele mai bune performanțe. Dacă este nevoie, poate descărca chiar și o parte din procesarea sa pe placa grafică. Aceasta este o caracteristică excelentă atunci când utilizați instrumentul de pe servere, deoarece cardul lor grafic este de obicei subutilizat.
7. Bro Network Monitor Security
În Bro Network Monitor Security, un alt sistem gratuit de detectare a intruziunilor din rețea. Instrumentul funcționează în două etape: înregistrarea traficului și analiza traficului. La fel ca Suricata, Bro Network Monitor Security operează pe mai multe straturi până la aplicațiestrat. Aceasta permite o mai bună detectare a încercărilor de intruziune divizată. Modulul de analiză al instrumentului este format din două elemente. Primul element se numește motor de evenimente și urmărește declanșarea evenimentelor, cum ar fi conexiunile net TCP sau cererile HTTP. Evenimentele sunt apoi analizate de scripturile de politică, al doilea element, care decid dacă declanșează sau nu o alarmă și / sau lansează o acțiune. Posibilitatea lansării unei acțiuni oferă monitorizării Bro Network Security Monitor o anumită funcționalitate asemănătoare IPS.
În Bro Network Monitor Security vă permite să urmăriți activitatea HTTP, DNS și FTP și acestamonitorizează, de asemenea, traficul SNMP. Acesta este un lucru bun, deoarece SNMP este adesea utilizat pentru monitorizarea rețelei, dar nu este un protocol sigur. Și întrucât poate fi folosit și pentru modificarea configurațiilor, acesta ar putea fi exploatat de utilizatorii rău intenționat. Instrumentul vă va permite, de asemenea, să urmăriți modificările de configurare ale dispozitivului și capcana SNMP. Poate fi instalat pe Unix, Linux și OS X, dar nu este disponibil pentru Windows, acesta fiind probabil dezavantajul principal.
Comentarii