Trojan pre vzdialený prístup, alebo RAT, je jedným znajhoršie typy škodlivého softvéru, na ktoré si dokážete myslieť. Môžu spôsobiť najrôznejšie škody a môžu tiež zodpovedať za drahé straty údajov. Musí sa s nimi aktívne bojovať, pretože okrem toho, že sú škaredé, sú relatívne bežné. Dnes sa budeme čo najlepšie snažiť vysvetliť, čo sú a ako fungujú, a dáme vám vedieť, čo sa dá urobiť, aby sme ich chránili.
Začneme s dnešnou diskusioučo je RAT. Nepôjdeme príliš hlboko do technických detailov, ale urobíme maximum, aby sme im vysvetlili, ako fungujú a ako sa k vám dostanú. Ďalej, zatiaľ čo sa snažíme neznieť príliš paranoidne, uvidíme, ako sa RAT dajú takmer považovať za zbrane. Niektoré sa v skutočnosti používajú ako také. Potom predstavíme niekoľko najznámejších RAT. Získate lepšiu predstavu o tom, čo sú schopní. Uvidíme, ako je možné použiť nástroje na detekciu narušenia na ochranu pred RAT, a preskúmame niektoré z najlepších nástrojov.
Čo je teda RAT?
Na Trójsky kôň pre vzdialený prístup je typ malwaru, ktorý hackerovi umožňuje vzdialene(odtiaľ názov) prevezme kontrolu nad počítačom. Poďme analyzovať názov. Trójska časť sa týka spôsobu distribúcie škodlivého softvéru. Poukazuje na starogrécky príbeh trójskeho koňa, ktorý Ulysses postavil, aby prevzal späť mesto Troy, ktoré bolo obliehané desať rokov. V súvislosti s počítačovým škodlivým softvérom je trójsky kôň (alebo jednoducho trójsky kôň) kus škodlivého softvéru, ktorý sa distribuuje ako niečo iné. Napríklad hra, ktorú si stiahnete a nainštalujete do svojho počítača, by mohla byť v skutočnosti trójskym koňom a mohla by obsahovať nejaký malware kód.
Pokiaľ ide o časť názvu RAT pre vzdialený prístup,súvisí to s tým, čo malware robí. Jednoducho povedané, umožňuje autorovi vzdialený prístup k infikovanému počítaču. A keď získa vzdialený prístup, sotva existujú obmedzenia toho, čo môže urobiť. Môže sa líšiť od preskúmania systému súborov, sledovania vašich aktivít na obrazovke, získavania prihlasovacích údajov alebo šifrovania súborov, aby bolo možné výkupné. Môže vám tiež ukradnúť vaše údaje alebo, čo je ešte horšie, údaje o vašom klientovi. Po nainštalovaní RAT sa váš počítač môže stať centrom, odkiaľ sa spúšťajú útoky na iné počítače v miestnej sieti, čím sa obchádza akákoľvek bezpečnosť obvodu.
RAT v histórii
RAT boli bohužiaľ už viac ako adesaťročia. Predpokladá sa, že táto technológia sa podieľala na rozsiahlom rabovaní americkej technológie čínskymi hackermi už v roku 2003. Vyšetrovanie v Pentagone odhalilo krádež údajov od kontraktorov obrany USA a klasifikované údaje o vývoji a testovaní sa preniesli na miesta v Číne.
Možno si spomeniete na východ USAVypínania pobrežnej elektrickej siete v rokoch 2003 a 2008. Tie boli tiež vystopované späť do Číny a zdá sa, že ich uľahčili RAT. Hacker, ktorý môže získať RAT do systému, môže využiť akýkoľvek softvér, ktorý majú používatelia infikovaného systému k dispozícii, často bez toho, aby si toho všimli.
RAT ako zbrane
Zlý vývojár RAT môže prevziať kontroluelektrárne, telefónne siete, jadrové zariadenia alebo plynovody. RAT preto nepredstavujú iba riziko pre podnikovú bezpečnosť. Môžu tiež umožniť národom útočiť na nepriateľskú krajinu. Ako také ich možno považovať za zbrane. Hackeri na celom svete používajú RAT na špionáž spoločností a kradnú ich údaje a peniaze. Medzitým sa problém RAT stal problémom národnej bezpečnosti pre mnohé krajiny vrátane USA.
Pôvodne sa používa na priemyselnú špionáž aPo sabotáži čínskych hackerov si Rusko uvedomilo silu RAT a začlenilo ich do svojho vojenského arzenálu. Teraz sú súčasťou ruskej trestnej stratégie, ktorá sa nazýva „hybridná vojna“. Keď sa Rusko v roku 2008 chopilo časti Gruzínska, využilo útoky DDoS na blokovanie internetových služieb a RAT na zhromažďovanie spravodajských informácií, kontrolu a narušenie gruzínskeho vojenského hardvéru a základných zbraní. utility.
Niekoľko známych RAT
Pozrime sa na niektoré z najznámejších RAT. Našou myšlienkou nie je ich osláviť, ale namiesto toho vám poskytnúť predstavu o ich rozmanitosti.
Zadný otvor
Back Orifice je americká RAT, ktorá máokolo roku 1998. Je to niečo ako starý otec RAT. Pôvodná schéma využívala slabé stránky v systéme Windows 98. Neskoršie verzie, ktoré bežali na novších operačných systémoch Windows, sa nazývali Back Orifice 2000 a Deep Back Orifice.
Tento RAT sa dokáže skryť v rámci internetuoperačný systém, ktorý sťažuje detekciu. Dnes však väčšina systémov ochrany proti vírusom obsahuje spustiteľné súbory Back Orifice a správanie pri uzavieraní ako signatúry, ktoré si treba dať pozor. Charakteristickou črtou tohto softvéru je to, že má ľahko použiteľnú konzolu, ktorú môže útočník použiť na navigáciu a prehliadanie infikovaného systému. Po inštalácii tento serverový program komunikuje s klientskou konzolou pomocou štandardných sieťových protokolov. Napríklad je známe používať číslo portu 21337.
DarkComet
DarkComet bol vytvorený už v roku 2008 Francúzomhacker Jean-Pierre Lesueur, na komunitu kybernetickej bezpečnosti sa však dostal až v roku 2012, keď sa zistilo, že africká hackerská jednotka používa tento systém na zacielenie americkej vlády a armády.
DarkComet sa vyznačuje ľahkým použitímrozhranie, ktoré umožňuje používateľom s malými alebo žiadnymi technickými znalosťami vykonávať útoky hackerov. Umožňuje špehovanie pomocou keyloggingu, snímania obrazovky a získavania hesiel. Ovládajúci hacker môže tiež ovládať výkonové funkcie vzdialeného počítača, čo umožňuje diaľkové zapnutie alebo vypnutie počítača. Sieťové funkcie infikovaného počítača je možné využiť aj na používanie počítača ako servera proxy a maskovania identity jeho používateľa počas útokov na iné počítače. Projekt DarkComet jeho developer opustil v roku 2014, keď sa zistilo, že sýrska vláda používa špionáž na svojich občanov.
fatamorgána
Mirage je slávny RAT používaný štátom sponzorovanýmČínska skupina hackerov. Po veľmi aktívnej špionážnej kampani v rokoch 2009 až 2015 skupina utíchla. Mirage bol hlavným nástrojom skupiny od roku 2012. Zistenie variantu Mirage s názvom MirageFox v roku 2018 je náznakom toho, že by skupina mohla byť späť v akcii.
MirageFox bol objavený v marci 2018, keď to bolobol zvyknutý špehovať vládnych dodávateľov vo Veľkej Británii. Pokiaľ ide o pôvodný Mirage RAT, použil sa na útoky na ropnú spoločnosť na Filipínach, taiwanskú armádu, kanadskú energetickú spoločnosť a ďalšie ciele v Brazílii, Izraeli, Nigérii a Egypte.
Tento RAT sa dodáva zabudovaný do súboru PDF. Otvorenie spôsobí spustenie skriptov, ktoré inštalujú RAT. Po inštalácii je prvou akciou hlásenie späť do systému Command and Control s auditom schopností infikovaného systému. Tieto informácie zahŕňajú rýchlosť procesora, kapacitu a využitie pamäte, názov systému a užívateľské meno.
Ochrana pred RAT - Nástroje na detekciu narušenia
Softvér na ochranu pred vírusmi je niekedy zbytočnýdetekciu a prevenciu RAT. Je to čiastočne kvôli ich povahe. Skryjú sa pred očami ako niečo iné, čo je úplne legitímne. Z tohto dôvodu sú často najlepšie detekované systémami, ktoré analyzujú počítače na neobvyklé správanie. Takéto systémy sa nazývajú systémy detekcie narušenia.
Hľadali sme na trhu najlepší prienikDetekčné systémy. Náš zoznam obsahuje kombináciu bona fide Intrusion Detection Systems a iného softvéru, ktorý obsahuje súčasť detekcie narušenia alebo ktorá sa môže použiť na detekciu pokusov o prienik. Zvyčajne urobia lepšiu prácu pri identifikácii trójskych koní vzdialeného prístupu, ktoré identifikujú iné typy nástrojov na ochranu pred malvérom.
1. Monitor hrozieb SolarWinds - vydanie IT Ops (Ukážka ZDARMA)
SolarWinds je všeobecný názov v oblasti nástrojov na správu siete. Už asi 20 rokov nám prinieslo niektoré z najlepších nástrojov na správu siete a systému. Jej hlavným produktom je Monitor výkonu siete, neustále skóre medzi špičkovými nástrojmi na monitorovanie šírky pásma siete. SolarWinds poskytuje tiež vynikajúce bezplatné nástroje, pričom každý z nich rieši špecifickú potrebu správcov siete. Server kiwi Syslog a Pokročilá kalkulačka podsiete sú to dva dobré príklady.
- Demo ZDARMA: Monitor hrozieb SolarWinds - vydanie IT Ops
- Odkaz na stiahnutie: https://www.solarwinds.com/threat-monitor/registration
Na detekciu narušenia siete prostredníctvom siete SolarWinds ponúka Monitor hrozieb - vydanie IT Ops, Na rozdiel od väčšiny ostatných SolarWinds Toto je skôr služba typu cloudako lokálne nainštalovaný softvér. Jednoducho sa prihlásite na odber, nakonfigurujete ho a začne sledovať vaše prostredie na pokusy o prienik a niekoľko ďalších druhov hrozieb. Monitor hrozieb - vydanie IT Ops kombinuje niekoľko nástrojov. Má detekciu narušenia v sieti aj hostiteľa, ako aj centralizáciu a koreláciu protokolov a bezpečnostné informácie a správu udalostí (SIEM). Je to veľmi dôkladný balík na sledovanie hrozieb.
Na Monitor hrozieb - vydanie IT Ops je vždy aktuálny a neustále sa aktualizujeinteligenciu hrozieb z viacerých zdrojov vrátane databáz IP a domén. Sleduje známe aj neznáme hrozby. Nástroj obsahuje automatizované inteligentné reakcie na rýchlu nápravu bezpečnostných incidentov a poskytuje tak niektoré funkcie podobné prevencii.
Výstražné funkcie produktu sú celkom bežnépôsobivé. Existujú multi-podmienené, vzájomne prepojené alarmy, ktoré pracujú v spojení s nástrojom aktívnej reakcie nástroja a pomáhajú pri identifikácii a sumarizácii dôležitých udalostí. Systém podávania správ je rovnako dobrý ako jeho varovanie a môže sa použiť na preukázanie súladu s použitím existujúcich vopred pripravených šablón výkazov. Prípadne môžete vytvoriť vlastné prehľady, ktoré presne zodpovedajú vašim obchodným potrebám.
Ceny za internet Monitor hrozieb SolarWinds - vydanie IT Ops začnite na 4 500 $ až pre 25 uzlov s indexom 10 dní. Môžete kontaktovať SolarWinds pre podrobnú ponuku prispôsobenú vašim špecifickým potrebám. A ak by ste radšej videli produkt v akcii, môžete požiadať o bezplatné demo SolarWinds.
2. Správca protokolov a udalostí SolarWinds (Skúška zadarmo)
Nedovoľte, aby Správca protokolov a udalostí SolarWindsMeno ťa zmiasť. Je to oveľa viac než len systém na správu protokolov a udalostí. Mnoho pokročilých funkcií tohto produktu ho zaradilo do radu bezpečnostných informácií a správy udalostí (SIEM). Ostatné vlastnosti ho označujú ako systém detekcie narušenia a do istej miery dokonca ako systém prevencie pred narušením. Tento nástroj obsahuje napríklad koreláciu udalostí v reálnom čase a nápravu v reálnom čase.
- Skúška zadarmo: Správca protokolov a udalostí SolarWinds
- Odkaz na stiahnutie: https://www.solarwinds.com/log-event-manager-software/registration
Na Správca protokolov a udalostí SolarWinds má okamžitú detekciu podozrivýchaktivita (funkcia detekcie narušenia) a automatizované odpovede (funkcia prevencie narušenia). Môže tiež vykonávať vyšetrovanie bezpečnostných udalostí a forenznú analýzu na účely zmiernenia a súladu. Vďaka auditom overenému vykazovaniu sa tento nástroj môže použiť aj na preukázanie súladu s HIPAA, PCI-DSS a SOX. Tento nástroj má tiež monitorovanie integrity súborov a monitorovanie zariadení USB, vďaka čomu je oveľa viac integrovanou bezpečnostnou platformou ako len systém správy protokolov a udalostí.
Ceny za Správca protokolov a udalostí SolarWinds začína na 4 585 $ pre až 30 monitorovaných uzlov. Licencie až pre 2 500 uzlov je možné zakúpiť, vďaka čomu je produkt vysoko škálovateľný. Ak si chcete produkt vyskúšať a sami sa presvedčiť, či je pre vás to pravé, máte k dispozícii bezplatnú 30-dňovú skúšobnú verziu s plným výkonom.
3. OSSEC
Open Source Securityalebo OSSEC, je zďaleka popredný otvorený zdrojový detekčný systém hostiteľa. Výrobok je vo vlastníctve spoločnosti Trend Micro, jedno z vedúcich mien v oblasti IT bezpečnosti a internetuvýrobca jedného z najlepších antivírusových programov. Pri inštalácii na operačné systémy podobné Unixu sa softvér zameriava predovšetkým na protokolové a konfiguračné súbory. Vytvára kontrolné súčty dôležitých súborov a pravidelne ich potvrdzuje, upozorní vás vždy, keď sa stane niečo čudné. Bude tiež monitorovať a upozorňovať na akýkoľvek neobvyklý pokus o získanie prístupu root. Na počítačoch so systémom Windows tiež systém dohliada na neoprávnené zmeny v registroch, ktoré by mohli byť znakom škodlivej činnosti.
Keďže je to systém na detekciu narušenia hostiteľa, OSSEC musí byť nainštalovaný na každom počítači, ktorý chcete chrániť. Centralizovaná konzola však konsoliduje informácie z každého chráneného počítača pre ľahšiu správu. Kým OSSEC konzola funguje iba na operačných systémoch typu Unix,agent je k dispozícii na ochranu hostiteľov Windows. Akákoľvek detekcia spustí výstrahu, ktorá sa zobrazí na centralizovanej konzole, zatiaľ čo oznámenia sa budú posielať aj e-mailom.
4. opäť normálne
opäť normálne je pravdepodobne najznámejší open-sourcesieťový systém detekcie narušenia. Je to však viac ako len nástroj na detekciu narušenia. Je to tiež identifikátor paketov a záznamník paketov a obsahuje aj niekoľko ďalších funkcií. Konfigurácia produktu pripomína konfiguráciu brány firewall. Robí sa to pomocou pravidiel. Základné pravidlá si môžete stiahnuť z internetu opäť normálne a používajte ich tak, ako sú, alebo ich prispôsobte vašim konkrétnym potrebám. Môžete sa tiež prihlásiť na odber opäť normálne pravidlá na automatické získanie všetkých najnovších pravidiel pri ich vývoji alebo objavení nových hrozieb.
druh je veľmi dôkladný a dokonca aj jeho základné pravidlá môžudetekovať širokú škálu udalostí, ako sú skenovanie tajných portov, útoky s pretečením vyrovnávacej pamäte, útoky CGI, sondy SMB a snímanie odtlačkov operačných systémov. To, čo môžete zistiť pomocou tohto nástroja, nie je prakticky nijaké a to, čo zistí, závisí výlučne od nainštalovanej sady pravidiel. Pokiaľ ide o metódy detekcie, niektoré zo základných opäť normálne pravidlá sú založené na podpise, zatiaľ čo iné sú založené na anomálii. opäť normálne preto vám môže dať to najlepšie z oboch svetov.
5. Samhain
Samhain je ďalšie dobre známe narušenie hostiteľadetekčný systém. Jeho hlavnými rysmi z hľadiska IDS sú kontrola integrity súborov a monitorovanie / analýza protokolových súborov. Urobí to však oveľa viac. Produkt bude vykonávať detekciu rootkitov, monitorovanie portov, detekciu nečestných spustiteľných súborov SUID a skrytých procesov.
Tento nástroj bol navrhnutý na monitorovanie viacerých hostiteľov, ktorí prevádzkujú rôzne operačné systémy a zároveň poskytujú centralizované protokolovanie a údržbu. Avšak, Samhain môže byť tiež použitý ako samostatná aplikácia najeden počítač. Softvér pracuje predovšetkým na systémoch POSIX, ako sú Unix, Linux alebo OS X. Môže tiež bežať na Windows v rámci balíka Cygwin, balíka, ktorý umožňuje spúšťanie aplikácií POSIX v systéme Windows, hoci v tejto konfigurácii bol testovaný iba monitorovací agent.
Jeden z SamhainNajunikátnejšou vlastnosťou je jej stealth režim, ktorýumožňuje jej spustenie bez toho, aby ho odhalili potenciálni útočníci. Je známe, že votrelci rýchlo zabíjajú detekčné procesy, ktoré rozpoznajú, hneď ako vstúpia do systému pred tým, ako boli odhalení, čo im umožňuje zostať nepovšimnuté. Samhain používa steganografické techniky na skrytie svojich procesov pred ostatnými. Chráni tiež svoje centrálne protokolové súbory a zálohy konfigurácie pomocou kľúča PGP, aby sa zabránilo neoprávnenému zásahu.
6. Šurice
Šurice nie je iba systém detekcie narušenia. Má tiež niektoré funkcie prevencie prieniku. V skutočnosti je inzerovaný ako kompletný ekosystém monitorovania sieťovej bezpečnosti. Jedným z najlepších prínosov nástroja je to, ako funguje až po aplikačnú vrstvu. Vďaka tomu je hybridný systém založený na sieti a hostiteľovi, ktorý umožňuje nástroju zistiť hrozby, ktoré by pravdepodobne iné nástroje nevšimli.
Šurice je skutočnou detekciou narušenia sieteSystém, ktorý pracuje nielen na aplikačnej vrstve. Bude monitorovať sieťové protokoly nižšej úrovne ako TLS, ICMP, TCP a UDP. Nástroj tiež rozumie a dekóduje protokoly vyššej úrovne, ako napríklad HTTP, FTP alebo SMB, a dokáže zistiť pokusy o prienik skryté v inak normálnych požiadavkách. Nástroj tiež obsahuje možnosti extrakcie súborov, ktoré správcom umožňujú preskúmať akýkoľvek podozrivý súbor.
ŠuriceArchitektúra aplikácií je celkom inovatívna. Nástroj rozdelí svoje pracovné zaťaženie do niekoľkých jadier procesorov a vlákien pre najlepší výkon. Ak je to potrebné, môže dokonca niektoré časti spracovania spracovať na grafickú kartu. Toto je vynikajúca funkcia, keď sa nástroj používa na serveroch, pretože ich grafická karta je zvyčajne nedostatočne využívaná.
7. Monitor zabezpečenia siete Bro
Na Monitor zabezpečenia siete Bro, ďalší bezplatný systém detekcie narušenia siete. Tento nástroj funguje v dvoch fázach: zaznamenávanie a analýza prenosu. Rovnako ako Suricata, Monitor zabezpečenia siete Bro pracuje vo viacerých vrstvách až do aplikácievrstvu. To umožňuje lepšiu detekciu pokusov o prienik rozdelených do jednotlivých častí. Modul analýzy nástroja pozostáva z dvoch prvkov. Prvý prvok sa nazýva mechanizmus udalostí a sleduje spúšťacie udalosti, ako sú čisté pripojenia TCP alebo HTTP požiadavky. Udalosti sú potom analyzované skriptmi politík, druhým prvkom, ktorý rozhoduje o spustení alarmu a / alebo o začatí akcie. Možnosť spustenia akcie poskytuje Bro Network Security Monitoru niektoré funkcie podobné IPS.
Na Monitor zabezpečenia siete Bro umožňuje sledovať aktivity HTTP, DNS a FTP a podobnemonitoruje aj prenos SNMP. Je to dobrá vec, pretože protokol SNMP sa často používa na monitorovanie siete, nie je to však bezpečný protokol. A keďže sa dá použiť aj na modifikáciu konfigurácií, môžu ju zneužívať škodliví používatelia. Tento nástroj vám tiež umožní sledovať zmeny konfigurácie zariadenia a SNMP pasce. Môže byť nainštalovaný na Unixe, Linuxe a OS X, ale nie je dostupný pre Windows, čo je asi jeho hlavná nevýhoda.
Komentáre