Fjärråtkomst Trojan, eller RAT, är en avotäckaste typer av skadlig programvara man kan tänka på. De kan orsaka alla typer av skador och de kan också ansvara för dyra dataförluster. De måste kämpas aktivt eftersom de förutom att vara otäcka är relativt vanliga. Idag kommer vi att göra vårt bästa för att förklara vad de är och hur de fungerar och vi låter dig veta vad som kan göras för att skydda mot dem.
Vi börjar diskussionen idag avförklara vad en RAT är. Vi går inte för djupt i de tekniska detaljerna men gör vårt bästa för att förklara hur de fungerar och hur de kommer till dig. När vi försöker att inte låta för paranoida, ser vi hur RATs nästan kan ses som vapen. I själva verket har vissa använts som sådana. Efter det introducerar vi några av de mest kända RATs. Det kommer att ge dig en bättre uppfattning om vad de kan. Vi kommer då att se hur man kan använda intrångsdetekteringsverktyg för att skydda mot RATS och vi kommer att granska några av de bästa av dessa verktyg.
Så, vad är en RAT?
De Fjärråtkomst Trojan är en typ av skadlig kod som låter en hackare fjärrstyras(därav namnet) ta kontroll över en dator. Låt oss analysera namnet. Trojan-delen handlar om hur skadlig programvara distribueras. Den hänvisar till den antika grekiska berättelsen om den trojanska hästen som Ulysses byggde för att ta tillbaka staden Troja som hade varit belägrat i tio år. I samband med datorprogramvara är en trojansk häst (eller helt enkelt trojan) en bit malware som distribueras som något annat. Till exempel kan ett spel som du laddar ner och installera på din dator faktiskt vara en trojansk häst och det kan innehålla viss skadlig kodkod.
Vad gäller fjärråtkomstdelen av RAT: s namn,det har att göra med vad skadlig programvara gör. Enkelt uttryckt låter det författaren ha fjärråtkomst till den infekterade datorn. Och när han får fjärråtkomst finns det knappt några gränser för vad han kan göra. Det kan variera från att utforska ditt filsystem, titta på dina aktiviteter på skärmen, skörda dina inloggningsuppgifter eller kryptera dina filer för att kräva lösen. Han kan också stjäla dina uppgifter eller, ännu värre, din kund. När RAT har installerats kan din dator bli ett nav där attacker startas på andra datorer i det lokala nätverket och därmed kringgå all omkretssäkerhet.
RATT I historien
Rat har tyvärr funnits i över enårtionde. Det tros att tekniken har spelat en roll i den omfattande plundringen av amerikansk teknik av kinesiska hackare redan 2003. En Pentagon-utredning upptäckte datastöld från amerikanska försvarsentreprenörer, där klassificerad utveckling och testdata överfördes till platser i Kina.
Du kommer kanske att komma ihåg USA: s östStrömavbrott från kustnätet 2003 och 2008. Dessa spårades också tillbaka till Kina och tycktes ha underlättats av RATs. En hacker som kan få en RAT på ett system kan dra fördel av vilken programvara som användarna av det infekterade systemet har till sitt förfogande, ofta utan att de ens märker det.
Ratar som vapen
En skadlig RAT-utvecklare kan ta kontroll överkraftverk, telefonnät, kärnkraftsanläggningar eller gasledningar. Som sådan utgör RATS inte bara en risk för företagets säkerhet. De kan också göra det möjligt för nationer att attackera ett fiendeland. Som sådan kan de ses som vapen. Hackare runt om i världen använder RATs för att spionera på företag och stjäla deras data och pengar. Samtidigt har RAT-problemet nu blivit en fråga om nationell säkerhet för många länder, inklusive USA.
Ursprungligen användes för industriell spionage ochsabotage av kinesiska hackare, har Ryssland uppskattat kraften hos RATs och har integrerat dem i sitt militära arsenal. De är nu en del av den ryska brottstrategin som kallas ”hybridkrigföring.” När Ryssland grep en del av Georgien 2008 använde den DDoS-attacker för att blockera internettjänster och RATS för att samla underrättelser, kontrollera och störa georgisk militär hårdvara och nödvändig verktyg.
Några (i) berömda rat
Låt oss titta på några av de mest kända RATs. Vår idé här är inte att förhärliga dem utan att ge dig en uppfattning om hur varierande de är.
Tillbaka öppning
Back Orifice är en amerikansk-RAT som harfunnits sedan 1998. Det är sorts morfar till RATs. Det ursprungliga schemat utnyttjade en svaghet i Windows 98. Senare versioner som kördes på nyare Windows-operativsystem kallades Back Orifice 2000 och Deep Back Orifice.
Denna RAT kan dölja sig inomoperativsystem, vilket gör det särskilt svårt att upptäcka. Idag har dock de flesta virusskyddssystem körbara filer i Back Orifice och ocklusionsbeteende som signaturer att se upp för. En utmärkande funktion hos denna programvara är att den har en lättanvänd konsol som inkräktaren kan använda för att navigera och bläddra runt i det infekterade systemet. När det är installerat kommunicerar detta serverprogram med klientkonsolen med hjälp av standardnätverksprotokoll. Till exempel är det känt att använda portnummer 21337.
DarkComet
DarkComet skapades redan 2008 av Frenchhacker Jean-Pierre Lesueur men kom bara till cybersecuritygemenskapens uppmärksamhet 2012 när det upptäcktes att en afrikansk hackerenhet använde systemet för att rikta in sig på den amerikanska regeringen och militären.
DarkComet kännetecknas av en lättanvändgränssnitt som gör det möjligt för användare med liten eller ingen teknisk kompetens att utföra hackerattacker. Det tillåter spionering genom keylogging, skärmdumpning och lösenordsskörd. Den kontrollerande hackaren kan också använda en fjärrdators strömfunktioner, vilket gör att en dator kan fjärråt slå på eller av. Nätverksfunktionerna för en infekterad dator kan också utnyttjas för att använda datorn som en proxyserver och maskera användarens identitet under attacker på andra datorer. DarkComet-projektet övergavs av sin utvecklare redan 2014 när det upptäcktes att det användes av den syriska regeringen för att spionera på sina medborgare.
Hägring
Mirage är en berömd RAT som används av en statligt sponsradKinesisk hackargrupp. Efter en mycket aktiv spioneringskampanj från 2009 till 2015 gick gruppen tyst. Mirage var gruppens främsta verktyg från 2012. Upptäckten av en Mirage-variant, kallad MirageFox 2018, är en antydning om att gruppen kan vara tillbaka i aktion.
MirageFox upptäcktes i mars 2018 när detanvändes för att spionera på brittiska statliga entreprenörer. När det gäller den ursprungliga Mirage RAT användes den för attacker mot ett oljeföretag på Filippinerna, den taiwanesiska militären, ett kanadensiskt energiföretag och andra mål i Brasilien, Israel, Nigeria och Egypten.
Denna RAT levereras inbäddad i en PDF. Om du öppnar det får skript att köra vilka installerar RAT. När den har installerats är den första åtgärden att rapportera tillbaka till kommandot och kontrollsystemet med en granskning av det infekterade systemets funktioner. Denna information inkluderar CPU-hastighet, minneskapacitet och användning, systemnamn och användarnamn.
Skydda från RATT - Intrusion Detection Tools
Virusskyddsprogramvara är ibland värdelös vidupptäcka och förebygga RAT. Detta beror delvis på deras natur. De gömmer sig helt enkelt som något annat som är helt legitimt. Av den anledningen upptäcks de ofta bäst av system som analyserar datorer för onormalt beteende. Sådana system kallas system för intrångsdetektering.
Vi har sökt efter marknaden för bästa intrångDetekteringssystem. Vår lista innehåller en blandning av bona fide Intrusion Detection Systems och annan programvara som har en intrångsdetekteringskomponent eller som kan användas för att upptäcka intrångsförsök. De kommer vanligtvis att göra ett bättre jobb med att identifiera Trojaner för fjärråtkomst som andra typer av verktyg för skydd mot skadlig programvara.
1. SolarWinds Threat Monitor - IT Ops Edition (GRATIS demo)
Solarwinds är ett vanligt namn inom nätverksadministrationsverktyg. Efter att ha funnits i cirka 20 år gav det oss några av de bästa verktygen för nätverks- och systemadministration. Dess flaggskeppsprodukt, Network Performance Monitor, poängterar konsekvent bland de bästa nätverksbandbreddövervakningsverktygen. Solarwinds gör också utmärkta gratisverktyg, var och en möter ett specifikt behov av nätverksadministratörer. De Kiwi Syslog Server och den Avancerad undernätkalkylator är två bra exempel på dessa.
- GRATIS demonstration: SolarWinds Threat Monitor - IT Ops Edition
- Officiell nedladdningslänk: https://www.solarwinds.com/threat-monitor/registration
För nätverksbaserad intrångsdetektering, Solarwinds erbjuder Threat Monitor - IT Ops Edition. I motsats till de flesta andra Solarwinds verktyg, den här är en molnbaserad tjänst snarareän en lokalt installerad programvara. Du prenumererar helt enkelt på den, konfigurerar den och den börjar titta på din miljö för intrångsförsök och några fler typer av hot. De Threat Monitor - IT Ops Edition kombinerar flera verktyg. Den har både nätverks- och värdbaserad intrångsdetektion såväl som logcentralisering och korrelation, och SIEM (Security Information and Event Management). Det är en mycket grundlig hotövervakningssvit.
De Threat Monitor - IT Ops Edition är alltid uppdaterad, uppdateras ständigthotinformation från flera källor, inklusive databaser för IP- och domänreputation. Det följer både kända och okända hot. Verktyget har automatiserade intelligenta svar för att snabbt avhjälpa säkerhetsincidenter vilket ger det några intrångsförhindrande liknande funktioner.
Produktens varningsfunktioner är ganskaimponerande. Det finns flervillkorade, tvärkorrelerade larm som fungerar tillsammans med verktygets Active Response-motor och hjälper till att identifiera och sammanfatta viktiga händelser. Rapporteringssystemet är lika bra som dess varning och kan användas för att visa efterlevnad genom att använda befintliga förbyggda rapportmallar. Alternativt kan du skapa anpassade rapporter som exakt passar dina affärsbehov.
Priser för SolarWinds Threat Monitor - IT Ops Edition börja på $ 4 500 för upp till 25 noder med 10 dagars index. Du kan kontakta Solarwinds för en detaljerad offert anpassad till dina specifika behov. Och om du föredrar att se produkten i aktion kan du begära en gratis demo från Solarwinds.
2. SolarWinds Log & Event Manager (Gratis prövning)
Låt inte det SolarWinds Log & Event ManagerNamn lurar dig. Det är mycket mer än bara ett logg- och eventhanteringssystem. Många av de avancerade funktionerna i denna produkt lägger den i säkerhetsinformation och evenemangshantering (SIEM). Andra funktioner kvalificerar det som ett intrångsdetekteringssystem och till och med, till en viss grad, som ett system för förebyggande av intrång. Detta verktyg har till exempel korrelering i realtid och korrigering i realtid.
- GRATIS prövning: SolarWinds Log & Event Manager
- Officiell nedladdningslänk: https://www.solarwinds.com/log-event-manager-software/registration
De SolarWinds Log & Event Manager har omedelbar upptäckt av misstänktaktivitet (en funktion för intrångsdetektering) och automatiserade svar (en funktion för förebyggande av intrång). Det kan också utföra utredningar av säkerhetshändelser och kriminaltekniker för både begränsning och efterlevnad. Tack vare revisionsprövad rapportering kan verktyget också användas för att visa överensstämmelse med bland annat HIPAA, PCI-DSS och SOX. Verktyget har också övervakning av filintegritet och övervakning av USB-enheter, vilket gör det mycket mer till en integrerad säkerhetsplattform än bara ett logg- och eventhanteringssystem.
Prissättning för SolarWinds Log & Event Manager börjar på $ 4 585 för upp till 30 övervakade noder. Licenser för upp till 2 500 noder kan köpas vilket gör produkten mycket skalbar. Om du vill ta produkten för en testkörning och själv se om den är rätt för dig, finns en gratis full-featured 30-dagars testversion tillgänglig.
3. OSSEC
Öppen källkodssäkerhet, eller OSSEC, är det överlägset det ledande open-source värdbaserade intrångsdetekteringssystemet. Produkten ägs av Trend Micro, ett av de ledande namnen inom IT-säkerhet ochtillverkare av en av de bästa sviterna med virusskydd. När den installeras på Unix-liknande operativsystem fokuserar programvaran främst på logg- och konfigurationsfiler. Det skapar kontrollsumma av viktiga filer och validerar dem regelbundet, varnar dig när något udda händer. Det kommer också att övervaka och varna för alla onormala försök att få root-åtkomst. På Windows-värdar håller systemet också ett öga för obehöriga registerändringar som kan vara ett berättande tecken på skadlig aktivitet.
Genom att vara ett värdbaserat intrångsdetekteringssystem, OSSEC måste installeras på varje dator du vill skydda. En centraliserad konsol konsoliderar dock information från varje skyddad dator för enklare hantering. Medan OSSEC konsolen körs bara på Unix-liknande operativsystem,en agent är tillgänglig för att skydda Windows-värdar. Varje upptäckt utlöser en varning som kommer att visas på den centraliserade konsolen medan meddelanden också skickas via e-post.
4. Fnysa
Fnysa är förmodligen den mest kända open-sourcenätverksbaserat intrångsdetekteringssystem. Men det är mer än ett intrångsdetekteringsverktyg. Det är också en paket sniffer och en paketloggare och den paketerar några andra funktioner också. Konfigurering av produkten påminner om att konfigurera en brandvägg. Det görs med hjälp av regler. Du kan ladda ner basregler från Fnysa webbplats och använd dem som den är eller anpassa dem efter dina specifika behov. Du kan också prenumerera på Fnysa regler för att automatiskt få alla de senaste reglerna när de utvecklas eller när nya hot upptäcks.
Sortera är mycket grundlig och till och med dess grundläggande regler kanupptäcka ett brett utbud av händelser som stealth-portsökningar, buffertöverskridningsattacker, CGI-attacker, SMB-sonder och OS-fingeravtryck. Det finns praktiskt taget ingen begränsning för vad du kan upptäcka med det här verktyget och vad det upptäcker är endast beroende av regeluppsättningen du installerar. När det gäller detektionsmetoder, några av de grundläggande Fnysa regler är signaturbaserade medan andra är anomali-baserade. Fnysa kan därför ge dig det bästa från båda världar.
5. Samhain
Samhain är en annan välkänd fri värdintrusiondetekteringssystem. Dess huvudfunktioner, från en IDS-synvinkel, är filintegritetskontroll och övervakning / analys av loggfil. Men det gör mer än så. Produkten kommer att utföra rootkit-upptäckt, portövervakning, upptäckt av falska SUID-körbara filer och dolda processer.
Verktyget var utformat för att övervaka flera värdar som kör olika operativsystem samtidigt som det ger centraliserad loggning och underhåll. I alla fall, Samhain kan också användas som en fristående applikation påen enda dator. Programvaran körs främst på POSIX-system som Unix, Linux eller OS X. Den kan också köras på Windows under Cygwin, ett paket som gör det möjligt att köra POSIX-applikationer på Windows, även om endast övervakningsagentet har testats i den konfigurationen.
En av SamhainDen mest unika funktionen är dess stealth-läge vilketlåter den köras utan att upptäckas av potentiella angripare. Intränare har varit kända för att snabbt döda detekteringsprocesser som de känner igen så snart de kommer in i ett system innan de upptäcks, vilket tillåter dem att bli obemärkt. Samhain använder steganografiska tekniker för att dölja sina processer för andra. Det skyddar dess centrala loggfiler och konfigurationssäkerhetskopior med en PGP-nyckel för att förhindra manipulation.
6. Suricata
Suricata är inte bara ett intrångsdetekteringssystem. Det har också några funktioner för förebyggande av intrång. Det annonseras faktiskt som ett komplett ekosystem för övervakning av nätverkssäkerhet. En av verktygens bästa tillgångar är hur det fungerar hela vägen upp till applikationsskiktet. Detta gör det till ett hybridnät- och värdbaserat system som låter verktyget upptäcka hot som troligtvis skulle bli obemärkt av andra verktyg.
Suricata är en verklig nätverksbaserad intrångsdetektionSystem som inte bara fungerar i applikationslagret. Den övervakar nätverksprotokoll på lägre nivå som TLS, ICMP, TCP och UDP. Verktyget förstår och avkodar även protokoll på högre nivå som HTTP, FTP eller SMB och kan upptäcka intrångsförsök dolda i annars normala förfrågningar. Verktyget har också funktioner för utvinning av filer så att administratörer kan undersöka alla misstänkta filer.
SuricataApplikationsarkitekturen är ganska nyskapande. Verktyget kommer att fördela sin arbetsbelastning över flera processorkärnor och trådar för bästa prestanda. Om det behövs kan den till och med ladda ner en del av dess bearbetning till grafikkortet. Detta är en fantastisk funktion när du använder verktyget på servrar eftersom deras grafikkort vanligtvis är underanvända.
7. Bro Network Security Monitor
De Bro Network Security Monitor, ett annat gratis nätverkets intrångsdetekteringssystem. Verktyget fungerar i två faser: trafikloggning och trafikanalys. Precis som Suricata, Bro Network Security Monitor fungerar i flera lager fram till applikationenlager. Detta möjliggör bättre upptäckt av splittringsintrångsförsök. Verktygets analysmodul består av två element. Det första elementet kallas händelsemotorn och spårar utlösande händelser såsom netto TCP-anslutningar eller HTTP-förfrågningar. Händelserna analyseras sedan med policyskript, det andra elementet, som bestämmer om ett larm ska utlösas eller inte eller startas. Möjligheten att starta en åtgärd ger Bro Network Security Monitor viss IPS-liknande funktionalitet.
De Bro Network Security Monitor låter dig spåra HTTP-, DNS- och FTP-aktivitet och detövervakar också SNMP-trafik. Detta är bra eftersom SNMP ofta används för nätverksövervakning men det är inte ett säkert protokoll. Och eftersom det också kan användas för att ändra konfigurationer kan det utnyttjas av skadliga användare. Verktyget låter dig också titta på enhetskonfigurationsändringar och SNMP-fällor. Det kan installeras på Unix, Linux och OS X men det är inte tillgängligt för Windows, vilket kanske är dess största nackdel.
kommentarer