Тројански даљински приступ или РАТ један је однајгори типови злонамјерног софтвера који се могу сјетити. Они могу проузроковати разне врсте штете, а могу бити и одговорни за скупе губитке података. Морају се активно борити јер су, осим што су гадне, релативно честе. Данас ћемо дати све од себе да објаснимо шта су и како делују плус даћемо вам до знања шта се може учинити да се заштитите од њих.
Данас ћемо започети нашу дискусијуобјашњавање шта је РАТ. Нећемо ићи превише дубоко у техничке детаље, али потрудимо се да објаснимо како они функционишу и како дођу до вас. Затим, док покушавамо да не звучимо превише параноично, видећемо како РАТ-ови готово могу бити посматрани као оружје. У ствари, неки су коришћени као такви. Након тога увести ћемо неколико најбоље познатих РАТ-ова. Даће вам бољу представу за шта су способни. Тада ћемо видети како се могу користити алати за откривање упада како би се заштитили од РАТ-а и прегледаћемо неке од најбољих алата.
Дакле, шта је РАТ?
Тхе Тројански даљински приступ је врста злонамерног софтвера који удаљеног хакера пушта(отуда и име) преузмите контролу над рачунаром. Анализирајмо име. Тројански део говори о начину на који се дистрибуира злонамерни софтвер. Односи се на древну грчку причу о тројанском коњу који је Улиссес саградио да би вратио град Троју који је био опкољен десет година. Тројански коњ (или једноставно тројански програм) је у контексту рачунарског злонамјерног софтвера део злонамерног софтвера који се дистрибуира као нешто друго. На пример, игра коју преузмете и инсталирате на рачунар заправо би могла бити тројански коњ, а могла би садржати и неки код злонамерног софтвера.
Што се тиче дела удаљеног приступа имену РАТ-а,то има везе са оним што злонамерни софтвер ради. Једноставно речено, омогућава свом аутору да има даљински приступ инфицираном рачунару. А кад добије приступ на даљину, једва постоје ограничења у ономе што може учинити. Може се разликовати од истраживања вашег датотечног система, гледања ваших активности на екрану, прикупљања вјеродајница за пријаву или шифрирања датотека како би се затражила откупнина. Такође би могао да вам украде податке или, још горе, клијентове податке. Једном када се РАТ инсталира, ваш рачунар може постати чвориште одакле се покрећу напади на друге рачунаре у локалној мрежи и на тај начин заобићи било какву сигурност на ободу.
РАТс у историји
Нажалост, РАТ-ови су већ дуже оддекада. Вјерује се да је та технологија играла улогу у опсежном пљачкању америчке технологије од стране кинеских хакера 2003. године. Пентагонова истрага открила је крађу података од америчких извођача одбрамбених радова, при чему су класификовани подаци о развоју и тестирању пребачени на локације у Кини.
Можда ћете се сетити Истока Сједињених ДржаваИскључивање обалних електроенергетских мрежа из 2003. и 2008. године. Они су такође праћени до Кине и чини се да су им омогућили РАТ-ови. Хакер који може ући у РАТ на систем може искористити било који софтвер који су корисници инфицираног система на располагању, често а да они то и не примијете.
РАТс као оружје
Злонамерни програмер РАТ-а може преузети контролу наделектране, телефонске мреже, нуклеарна постројења или гасоводи. Као такви, РАТ-ови не представљају само ризик за корпоративну сигурност. Такође могу омогућити нацијама да нападну непријатељску земљу. Као такве, могу се посматрати као оружје. Хакери широм свијета користе РАТ-ове за шпијунирање компанија и крађу њихових података и новца. У међувремену, проблем РАТ-а сада је постао питање националне сигурности за многе државе, укључујући САД.
Првобитно се користи за индустријску шпијунажу исаботажа кинеских хакера, Русија је схватила моћ РАТ-а и интегрисала их у свој војни арсенал. Сада су део руске стратегије за преступ познате као "хибридно ратовање". Када је Русија заузела део Грузије 2008. године, она је користила ДДоС нападе како би блокирала интернетске сервисе и РАТ-ове ради прикупљања обавештајних података, контроле и ометања грузијског војног хардвера и основног комуналије.
Мало (ин) познатих РАТ-ова
Погледајмо неколико најпознатијих РАТ-ова. Наша идеја овде није да их величамо, већ да вам пружимо представу о томе колико су они разнолики.
Бацк Орифице
Бацк Орифице је амерички РАТ који имапостоји од 1998. Ова врста је деда РАТ-а. Оригинална шема искористила је слабост у систему Виндовс 98. Касније верзије које су радиле на новијим Виндовс оперативним системима називале су се Бацк Орифице 2000 и Дееп Бацк Орифице.
Овај РАТ се може сакрити унутароперативног система, што га је посебно тешко открити. Данас, међутим, већина система за заштиту од вируса има извршне датотеке Бацк Орифице и понашање оклузије као потписе на које треба пазити. Изразита карактеристика овог софтвера је то што има једноставну конзолу коју уљез може користити за навигацију и прегледавање зараженог система. Једном инсталиран, овај програм сервера комуницира са конзолом клијента користећи стандардне мрежне протоколе. На пример, познато је да се користи порт броја 21337.
ДаркЦомет
ДаркЦомет је креиран 2008. године од стране Французахакер Јеан-Пиерре Лесуеур, али на пажњу кибернетичке заједнице припао је тек 2012. када је откривено да афричка хакерска јединица користи систем да циља америчку владу и војску.
ДаркЦомет одликује једноставан за употребуинтерфејс који омогућава корисницима с мало или никаквих техничких вештина да изводе хакерске нападе. Омогућује шпијунирање кроз проверавање кључева, снимање екрана и скупљање лозинке. Контролер хакера такође може управљати функцијама напајања удаљеног рачунара, омогућавајући удаљено укључивање или искључивање рачунара. Мрежне функције зараженог рачунара такође се могу користити да би га користили као проки сервер и маскирали идентитет свог корисника током рација на друге рачунаре. Пројект ДаркЦомет одузео је његов програмер још 2014. године када је открило да га је сиријска влада користила за шпијунирање својих грађана.
Мираге
Мираге је познати РАТ који користи спонзорисана државаКинеска хакерска група. Након веома активне шпијунске кампање од 2009. до 2015., група је утихнула. Мираге је био примарно средство групе од 2012. Откривање варијанте Мираге, која се у 2018. години зове МирагеФок, наговештава да би се група могла вратити у акцију.
МирагеФок је откривен у марту 2018. годинекоришћена је за шпијунирање британских владиних извођача радова. Што се тиче оригиналног РАТ-а Мираге, он се користио за нападе на нафтну компанију на Филипинима, тајванску војску, канадску енергетску компанију и друге циљеве у Бразилу, Израелу, Нигерији и Египту.
Овај РАТ се испоручује уграђен у ПДФ. Отварањем се покрећу скрипте које инсталирају РАТ. Једном када је инсталиран, његова прва акција је да се врати систему команде и контроле са ревизијом могућности зараженог система. Ове информације укључују брзину ЦПУ-а, капацитет и искоришћеност меморије, назив система и корисничко име.
Заштита од РАТ-а - Алати за откривање провале
Софтвер за заштиту од вируса понекад није користаноткривање и спречавање РАТ-а. То је делом последица њихове природе. Пред очима се крију као нешто друго што је потпуно легално. Из тог разлога их често најбоље откривају системи који анализирају рачунаре због ненормалног понашања. Такви системи се називају системима за откривање провале.
Претражили смо тржиште за најбољу провалеСистеми за детекцију. Наша листа садржи мешавину непоштених система за откривање упада и другог софтвера који имају компоненту за откривање провале или који се могу користити за откривање покушаја провале. Обично ће обавити бољи посао идентификујући Тројане на удаљени приступ од осталих врста алата за заштиту од злонамјерног софтвера.
1. СоларВиндс Тхреат Монитор - ИТ Опс Едитион (БЕСПЛАТНО Демо)
СоларВиндс је опште име у пољу алата за мрежно администрирање. Постојали смо неких 20 година и донели нам неке од најбољих алата за мрежу и администрацију система. Његов водећи производ, Монитор перформанси мреже, доследно постиже резултате међу најбољим мрежним алатима за надгледање пропусности. СоларВиндс такође чини одличне бесплатне алате, сваки од њих се бави специфичним потребама мрежних администратора. Тхе Киви Сислог Сервер и тхе Адванцед Субнет Цалцулатор два су добра примера за то.
- БЕСПЛАТНО Демо: СоларВиндс Тхреат Монитор - ИТ Опс Едитион
- Званична веза за преузимање: https://www.solarwinds.com/threat-monitor/registration
За мрежно откривање упада, СоларВиндс нуди Тхреат Монитор - ИТ Опс Едитион. Супротно већини других СоларВиндс алата, овај је радије базиран на облакунего локално инсталирани софтвер. Једноставно се претплатите на њега, конфигуришете га и оно почиње гледати ваше окружење ради покушаја провале и још неколико врста претњи. Тхе Тхреат Монитор - ИТ Опс Едитион комбинује неколико алата. Има мрежну и домаћинску детекцију провале, као и централизацију и корелацију дневника, као и безбедносне информације и управљање догађајима (СИЕМ). То је веома темељит пакет за надгледање претњи.
Тхе Тхреат Монитор - ИТ Опс Едитион је увек у току, стално се ажурираинтелигенција о претњи из више извора, укључујући ИП и Дата Репутатион базе података. Посматра и познате и непознате претње. Алат карактерише аутоматизоване интелигентне одговоре на брзо санирање безбедносних инцидената, пружајући му неке функције сличне превенцији провале.
Значајке упозоравања производа су прилично израженеимпресиван. Постоје вишеструки условљени, унакрсно повезани аларми који раде у комбинацији са механизмом активног реаговања алата и помажу у идентификовању и резимирању важних догађаја. Систем извештавања је подједнако добар као и његово упозоравање и може се користити за демонстрирање усаглашености коришћењем постојећих унапред уграђених образаца извештаја. Алтернативно, можете креирати прилагођене извештаје да се тачно прилагођавају вашим пословним потребама.
Цене за СоларВиндс Тхреат Монитор - ИТ Опс Едитион стартујте од $ 4 500 за до 25 чворова са индексом од 10 дана. Можете контактирати СоларВиндс за детаљан цитат прилагођен вашим специфичним потребама. А ако више желите да видите производ у акцији, од њега можете затражити бесплатни демо приказ СоларВиндс.
2. СоларВиндс Лог & Евент Манагер (Бесплатна реклама)
Не дозволите СоларВиндс Лог & Евент МанагерЗаваравам те именом. То је много више од система за управљање дневницима и догађајима. Многе напредне функције овог производа сврставају га у распон безбедносних информација и управљања догађајима (СИЕМ). Остале карактеристике га квалификују као систем за откривање упада, па чак и, у одређеној мери, као систем за спречавање провале. На пример, овај алат садржи корелацију догађаја у стварном времену и санирање у реалном времену.
- Бесплатна реклама: СоларВиндс Лог & Евент Манагер
- Званична веза за преузимање: https://www.solarwinds.com/log-event-manager-software/registration
Тхе СоларВиндс Лог & Евент Манагер карактерише тренутно откривање сумњивихактивност (функционалност откривања провале) и аутоматизовани одговори (функционалност спречавања провале). Такође може да изврши истрагу безбедносних догађаја и форензичке податке у циљу ублажавања и поштовања прописа. Захваљујући ревизији доказаном извештавању, алат се такође може користити за доказивање усаглашености са ХИПАА, ПЦИ-ДСС и СОКС, између осталог. Алат такође има надзор над интегритетом датотека и надгледање УСБ уређаја, што га чини много више интегрисаном заштитном платформом него само системом за управљање дневницима и догађајима.
Цене за СоларВиндс Лог & Евент Манагер почиње од $ 4 585 за до 30 надгледаних чворова. Лиценце за до 2 500 чворова могу се купити што чини производ високо скалабилним. Ако желите да тестирате производ на пробни рад и уверите се да ли је то за вас, на располагању вам је бесплатно 30-дневно пробно обележје.
3. ОССЕЦ
Сигурност отвореног кода, или ОССЕЦ, далеко је водећи систем детекције упада који је базиран на отвореном коду. Производ је у власништву компаније Тренд Мицро, једно од водећих имена у ИТ безбедности ипроизвођач једног од најбољих апартмана за заштиту од вируса. Када се инсталира на Уник оперативне системе, софтвер се првенствено фокусира на датотеке дневника и конфигурације. Ствара контролне суме важних датотека и периодично их потврђује, упозоравајући вас кад год се догоди нешто чудно. Такође ће пратити и упозоравати на сваки ненормалан покушај да се добије роот приступ. На Виндовс домаћинима систем такође води рачуна о неовлашћеним изменама у регистру који би могли бити знак злонамерне активности.
Захваљујући систему за детекцију упада који се заснива на домаћину, ОССЕЦ треба да буде инсталиран на сваком рачунару који желите да заштитите. Међутим, централизована конзола обједињује податке са сваког заштићеног рачунара ради лакшег управљања. Док ОССЕЦ конзола ради само на Уник оперативним системима,на располагању је агент за заштиту Виндовс домаћина. Свако откривање покренуће упозорење које ће се приказати на централизованој конзоли, док ће се обавештења такође слати е-поштом.
4. Снорт
Снорт је вероватно најпознатији опен-соурцемрежни систем за откривање упада. Али то је више од алата за откривање провале. Такође је снаффер за пакете и логер за пакете и он такође спаја неколико других функција. Конфигурирање производа подсећа на конфигурирање заштитног зида. То се ради помоћу правила. Основна правила можете преузети са Снорт веб странице и користите их као што јесте или их прилагодите вашим специфичним потребама. Можете се претплатити и на Снорт правила да аутоматски добију сва најновија правила како се развијају или како се откривају нове претње.
Врста је врло темељит и чак и његова основна правила могуоткријте широк распон догађаја као што су скенирање невидљивих портова, напади препуњеног међуспремника, ЦГИ напади, СМБ сонде и отисци прста на ОС-у. Не постоји ограничење онога што можете открити помоћу овог алата и онога што открије искључиво зависи од скупа правила које инсталирате. Што се тиче метода откривања, неке од основних Снорт правила се заснивају на потпису, а друга се заснивају на аномалији. Снорт могу вам, дакле, пружити најбоље од оба света.
5. Самхаин
Самхаин је још један добро познат упад бесплатног домаћинасистем детекције Његове главне карактеристике, са становишта ИДС-а, јесу провјера интегритета датотеке и надзор / анализа датотека. Ипак, има и пуно више од тога. Производ ће вршити детекцију рооткита, надгледање портова, детекцију рогуе СУИД извршних датотека и скривених процеса.
Алат је дизајниран за надгледање више домаћина који покрећу различите оперативне системе, истовремено пружајући централизовано евидентирање и одржавање. Међутим, Самхаин такође се може користити као самостална апликација наједан рачунар. Софтвер се првенствено покреће на ПОСИКС системима као што су Уник, Линук или ОС Кс. Такође се може покретати на Виндовс-у под Цигвин-ом, пакетом који омогућава покретање ПОСИКС апликација на Виндовс-у, мада је у тој конфигурацији тестиран само надзорни агент.
Један од СамхаинНајосновнија карактеристика је тајни режим којиомогућава му да се покрене без откривања потенцијалних нападача. Познато је да уљези брзо убијају процесе откривања које препознају чим уђу у систем пре него што буду откривени, омогућујући им да прођу незапажено. Самхаин користи стеганографске технике да сакрије своје процесе од других. Такође штити своје централне датотеке дневника и сигурносне копије помоћу ПГП кључа како би се спречило неовлаштено дирање.
6. Сурицата
Сурицата није само систем за откривање провале. Такође има неке карактеристике за спречавање провале. У ствари, оглашава се као комплетан екосистем за праћење сигурности у мрежи. Једно од најбољих својстава алата је како функционише све до слоја апликације. То га чини хибридним системом заснованим на мрежи и хосту који омогућава алату да детектује претње које би друге алате вероватно остале незапажене.
Сурицата је права Мрежна детекција упадаСистем који не ради само на апликативном слоју. Надгледаће протоколе умрежавања нижег нивоа, као што су ТЛС, ИЦМП, ТЦП и УДП. Алат такође разуме и декодира протоколе вишег нивоа, као што су ХТТП, ФТП или СМБ и може открити покушаје упада који су скривени у иначе нормалним захтевима. Алат такође садржи могућности вађења датотека омогућавајући администраторима да прегледају било какву сумњиву датотеку.
СурицатаАрхитектура апликација је прилично иновативна. Алат ће распоредити своје радно оптерећење на неколико језгара процесора и нити за најбоље перформансе. По потреби може чак и дио своје обраде пребацити на графичку картицу. Ово је сјајна карактеристика када се алат користи на серверима, јер се њихова графичка картица обично не користи.
7. Бро Нетворк Монитор сигурности
Тхе Бро Нетворк Монитор сигурности, још један бесплатни мрежни систем за откривање упада. Алат делује у две фазе: евидентирање и анализа саобраћаја. Баш као Сурицата, Бро Нетворк Монитор сигурности ради на више слојева до апликацијеслој. То омогућава бољу детекцију покушаја раздвајања. Модул за анализу алата састоји се од два елемента. Први елемент се назива покретачки догађај и прати покретање догађаја као што су нето ТЦП везе или ХТТП захтеви. Догађаји се затим анализирају помоћу скрипти политике, другог елемента, који одлучују хоће ли активирати аларм и / или покренути акцију. Могућност покретања акције даје Бро Нетворк Сецурити Монитор одређену функцију сличну ИПС-у.
Тхе Бро Нетворк Монитор сигурности омогућава вам праћење ХТТП, ДНС и ФТП активности и тотакође прати СНМП саобраћај. То је добра ствар јер се СНМП често користи за надгледање мреже, а опет није сигуран протокол. А будући да се такође може користити за измену конфигурација, то могу да искористе и злобни корисници. Алат ће вам такође омогућити да гледате промене конфигурације уређаја и СНМП замке. Може се инсталирати на Уник, Линук и ОС Кс, али није доступан за Виндовс, што је можда и његов главни недостатак.
Коментари