Remote Access Trojan หรือ RAT เป็นหนึ่งในมัลแวร์ประเภทที่อันตรายที่สุดที่คิดได้ พวกเขาสามารถทำให้เกิดความเสียหายทุกประเภทและพวกเขายังสามารถรับผิดชอบต่อการสูญเสียข้อมูลที่มีราคาแพง พวกเขาต้องต่อสู้อย่างแข็งขันเพราะนอกจากจะเป็นเรื่องน่ารังเกียจแล้ว วันนี้เราจะทำอย่างดีที่สุดเพื่ออธิบายว่าพวกเขาคืออะไรและพวกเขาทำงานอย่างไรและเราจะแจ้งให้คุณทราบว่าสามารถทำอะไรได้บ้างเพื่อปกป้องพวกเขา
เราจะเริ่มการสนทนาของเราในวันนี้โดยอธิบายว่าหนูคืออะไร เราจะไม่ลงลึกไปในรายละเอียดทางเทคนิค แต่ทำอย่างดีที่สุดเพื่ออธิบายวิธีการทำงานและวิธีที่พวกเขามาถึงคุณ ต่อไปในขณะที่พยายามไม่ให้ฟังหวาดระแวงเกินไปเราจะดูว่า RAT สามารถดูเป็นอาวุธได้อย่างไร ในความเป็นจริงมีการใช้บางอย่างเช่น หลังจากนั้นเราจะแนะนำ RATS ที่ดีที่สุดบางประการ มันจะทำให้คุณมีความคิดที่ดีขึ้นเกี่ยวกับสิ่งที่พวกเขามีความสามารถ จากนั้นเราจะดูว่าจะใช้เครื่องมือตรวจจับการบุกรุกเพื่อปกป้องจาก RAT ได้อย่างไรและเราจะตรวจสอบเครื่องมือที่ดีที่สุดบางส่วน
ดังนั้นหนูคืออะไร?
คน Remote Access Trojan เป็นมัลแวร์ประเภทหนึ่งที่ช่วยให้แฮกเกอร์จากระยะไกล(ชื่อจึง) ควบคุมคอมพิวเตอร์ มาวิเคราะห์ชื่อกัน ส่วนโทรจันนั้นเกี่ยวกับวิธีการแจกจ่ายมัลแวร์ มันหมายถึงเรื่องราวกรีกโบราณของม้าโทรจันที่ยูลิสซีสร้างขึ้นเพื่อนำเมืองทรอยกลับคืนมาซึ่งถูกปิดล้อมเป็นเวลาสิบปี ในบริบทของมัลแวร์คอมพิวเตอร์ม้าโทรจัน (หรือโทรจัน) เป็นมัลแวร์ชิ้นหนึ่งซึ่งถูกแจกจ่ายเป็นอย่างอื่น ตัวอย่างเช่นเกมที่คุณดาวน์โหลดและติดตั้งบนคอมพิวเตอร์ของคุณอาจเป็นม้าโทรจันและอาจมีรหัสมัลแวร์บางตัว
สำหรับส่วนการเข้าถึงระยะไกลของชื่อ RATมันเกี่ยวข้องกับสิ่งที่มัลแวร์ทำ เพียงแค่ใส่ก็อนุญาตให้ผู้เขียนสามารถเข้าถึงคอมพิวเตอร์ที่ติดเชื้อจากระยะไกลได้ และเมื่อเขาได้รับการเข้าถึงจากระยะไกลแทบจะไม่มีข้อ จำกัด ใด ๆ กับสิ่งที่เขาสามารถทำได้ มันอาจแตกต่างจากการสำรวจระบบไฟล์ของคุณดูกิจกรรมบนหน้าจอเก็บเกี่ยวข้อมูลการเข้าสู่ระบบของคุณหรือเข้ารหัสไฟล์ของคุณเพื่อเรียกร้องค่าไถ่ เขาสามารถขโมยข้อมูลของคุณหรือลูกค้าของคุณแย่ลงไปอีก เมื่อติดตั้ง RAT แล้วคอมพิวเตอร์ของคุณจะกลายเป็นศูนย์กลางในการโจมตีที่เปิดตัวไปยังคอมพิวเตอร์เครื่องอื่น ๆ บนเครือข่ายท้องถิ่น
หนูในประวัติศาสตร์
RATs โชคไม่ดีมานานกว่าทศวรรษ. เป็นที่เชื่อกันว่าเทคโนโลยีมีส่วนร่วมในการขโมยเทคโนโลยีของสหรัฐโดยแฮ็กเกอร์ชาวจีนเมื่อปี 2546 การสืบสวนของเพนตากอนค้นพบการขโมยข้อมูลจากผู้รับจ้างในสหรัฐฯ
บางทีคุณอาจจำสหรัฐอเมริกาตะวันออกได้การปิดระบบสายส่งไฟฟ้าชายฝั่งของปี 2546 และ 2551 สิ่งเหล่านี้ถูกติดตามกลับไปยังประเทศจีนและดูเหมือนว่าจะได้รับการอำนวยความสะดวกโดย RATs แฮ็กเกอร์ที่สามารถรับ RAT เข้าสู่ระบบสามารถใช้ประโยชน์จากซอฟต์แวร์ใด ๆ ที่ผู้ใช้ของระบบที่ติดไวรัสมีอยู่ตามปกติ
RATs เป็นอาวุธ
นักพัฒนา RAT ที่เป็นอันตรายสามารถควบคุมได้สถานีพลังงานเครือข่ายโทรศัพท์โรงงานนิวเคลียร์หรือท่อส่งก๊าซ เช่น RATs ไม่เพียง แต่มีความเสี่ยงต่อความปลอดภัยขององค์กร พวกเขายังสามารถทำให้ประเทศต่างๆสามารถโจมตีประเทศศัตรูได้ เช่นนี้พวกเขาสามารถมองเห็นเป็นอาวุธ แฮกเกอร์ทั่วโลกใช้ RATs เพื่อสอดแนม บริษัท และขโมยข้อมูลและเงินของพวกเขา ในขณะเดียวกันปัญหา RAT ได้กลายเป็นประเด็นความมั่นคงของประเทศในหลาย ๆ ประเทศรวมถึงสหรัฐอเมริกา
แต่เดิมใช้สำหรับจารกรรมอุตสาหกรรมและการก่อวินาศกรรมโดยแฮกเกอร์จีนรัสเซียได้ชื่นชมพลังของ RATs และรวมเข้ากับคลังแสงทางทหาร ตอนนี้พวกเขาเป็นส่วนหนึ่งของกลยุทธ์การโจมตีของรัสเซียที่รู้จักกันในชื่อ "สงครามไฮบริด" เมื่อรัสเซียยึดส่วนหนึ่งของจอร์เจียในปี 2551 มันใช้การโจมตี DDoS เพื่อบล็อกบริการอินเทอร์เน็ตและ RATs เพื่อรวบรวมข้อมูลอัจฉริยะควบคุมและขัดขวางฮาร์ดแวร์ทหาร สาธารณูปโภค
RATs ที่มีชื่อเสียงไม่กี่คน
มาดู RATs ที่เป็นที่รู้จักกันดี ความคิดของเราที่นี่ไม่ใช่เพื่อเชิดชูพวกเขา แต่ให้ความคิดที่หลากหลาย
กลับ Orifice
Back Orifice เป็นหนูอเมริกันที่มีได้รับรอบตั้งแต่ปี 1998 มันเรียงลำดับของคือปู่ของ RATs รูปแบบดั้งเดิมใช้ประโยชน์จากจุดอ่อนใน Windows 98 รุ่นที่ใหม่กว่าซึ่งทำงานบนระบบปฏิบัติการ Windows รุ่นใหม่เรียกว่า Back Orifice 2000 และ Deep Back Orifice
หนูนี้สามารถซ่อนตัวเองภายในระบบปฏิบัติการซึ่งทำให้ตรวจจับได้ยากเป็นพิเศษ อย่างไรก็ตามในวันนี้ระบบป้องกันไวรัสส่วนใหญ่มีไฟล์ที่ปฏิบัติการได้ของ Back Orifice และพฤติกรรมการบดเคี้ยวเป็นลายเซ็นต์ที่ต้องระวัง คุณสมบัติที่แตกต่างของซอฟต์แวร์นี้คือมันมีคอนโซลที่ใช้งานง่ายซึ่งผู้บุกรุกสามารถใช้เพื่อนำทางและเบราส์รอบ ๆ ระบบที่ติดไวรัส เมื่อติดตั้งแล้วโปรแกรมเซิร์ฟเวอร์นี้สื่อสารกับคอนโซลลูกค้าโดยใช้โปรโตคอลเครือข่ายมาตรฐาน ตัวอย่างเช่นจะทราบว่าใช้หมายเลขพอร์ต 21337
DarkComet
DarkComet สร้างขึ้นในปี 2008 โดยชาวฝรั่งเศสแฮ็กเกอร์ Jean-Pierre Lesueur แต่มาถึงความสนใจของชุมชนการรักษาความปลอดภัยทางไซเบอร์ในปี 2012 เมื่อมีการค้นพบว่าหน่วยแฮ็กเกอร์แอฟริกันกำลังใช้ระบบเพื่อกำหนดเป้าหมายไปยังรัฐบาลและกองทัพสหรัฐ
DarkComet มีลักษณะที่ใช้งานง่ายส่วนต่อประสานซึ่งทำให้ผู้ใช้มีทักษะด้านเทคนิคเพียงเล็กน้อยหรือไม่มีเลยในการโจมตีของแฮ็กเกอร์ มันช่วยให้การสอดแนมผ่าน keylogging การจับภาพหน้าจอและการเก็บรหัสผ่าน แฮกเกอร์ควบคุมยังสามารถใช้งานฟังก์ชั่นการใช้พลังงานของคอมพิวเตอร์ระยะไกลได้ทำให้สามารถเปิดหรือปิดคอมพิวเตอร์จากระยะไกลได้ ฟังก์ชั่นเครือข่ายของคอมพิวเตอร์ที่ติดเชื้อสามารถถูกควบคุมให้ใช้คอมพิวเตอร์เป็นพร็อกซีเซิร์ฟเวอร์และปกปิดข้อมูลประจำตัวของผู้ใช้ในระหว่างการโจมตีบนคอมพิวเตอร์เครื่องอื่น โครงการ DarkComet ถูกยกเลิกโดยผู้พัฒนาเมื่อปี 2014 เมื่อมีการค้นพบว่ารัฐบาลซีเรียใช้เพื่อสอดแนมประชาชน
ภาพลวงตา
Mirage เป็น RAT ที่มีชื่อเสียงที่ใช้โดยสปอนเซอร์ของรัฐกลุ่มแฮกเกอร์จีน หลังจากการสอดแนมการรณรงค์อย่างแข็งขันตั้งแต่ปี 2009 ถึงปี 2015 กลุ่มก็เงียบสงบ Mirage เป็นเครื่องมือหลักของกลุ่มตั้งแต่ปี 2012 การตรวจจับตัวแปร Mirage ที่เรียกว่า MirageFox ในปี 2561 เป็นคำใบ้ที่ว่ากลุ่มสามารถกลับมาใช้งานได้จริง
MirageFox ถูกค้นพบในเดือนมีนาคม 2018 เมื่อมันถูกใช้เพื่อสอดแนมผู้รับเหมาของรัฐบาลสหราชอาณาจักร สำหรับ Mirage RAT ดั้งเดิมนั้นใช้สำหรับการโจมตี บริษัท น้ำมันในฟิลิปปินส์ทหารไต้หวัน บริษัท พลังงานแคนาดาและเป้าหมายอื่น ๆ ในบราซิลอิสราเอลไนจีเรียและอียิปต์
หนูนี้ถูกส่งไปฝังใน PDF เปิดมันทำให้สคริปต์เพื่อดำเนินการที่ติดตั้งหนู เมื่อติดตั้งแล้วการดำเนินการขั้นแรกคือการรายงานกลับไปยังระบบ Command และ Control พร้อมการตรวจสอบความสามารถของระบบที่ติดไวรัส ข้อมูลนี้รวมถึงความเร็วของ CPU ความจุและการใช้งานหน่วยความจำชื่อระบบและชื่อผู้ใช้
ปกป้องจาก RATs - เครื่องมือตรวจจับการบุกรุก
ซอฟต์แวร์ป้องกันไวรัสบางครั้งก็ไร้ประโยชน์การตรวจจับและป้องกันหนู นี่เป็นส่วนหนึ่งของธรรมชาติของพวกเขา พวกเขาซ่อนตัวในสายตาธรรมดาเป็นอย่างอื่นซึ่งถูกต้องโดยสิ้นเชิง ด้วยเหตุนี้จึงมักถูกตรวจพบได้ดีที่สุดโดยระบบที่ใช้วิเคราะห์คอมพิวเตอร์สำหรับพฤติกรรมที่ผิดปกติ ระบบดังกล่าวเรียกว่าระบบตรวจจับการบุกรุก
เราค้นหาตลาดสำหรับการบุกรุกที่ดีที่สุดระบบตรวจจับ รายการของเรามีการผสมผสานของระบบตรวจจับการบุกรุกโดยสุจริตและซอฟต์แวร์อื่น ๆ ที่มีองค์ประกอบตรวจจับการบุกรุกหรือสามารถใช้ตรวจจับการบุกรุกได้ โดยทั่วไปแล้วพวกเขาจะทำงานได้ดีขึ้นในการระบุโทรจันการเข้าถึงระยะไกลซึ่งเครื่องมือป้องกันมัลแวร์ประเภทอื่น
1. SolarWinds Threat Monitor - ไอที Ops Edition (สาธิตฟรี)
SolarWinds เป็นชื่อสามัญในฟิลด์ของเครื่องมือการบริหารเครือข่าย ด้วยประสบการณ์ที่ยาวนานกว่า 20 ปีทำให้เรามีเครือข่ายและเครื่องมือการจัดการระบบที่ดีที่สุด ผลิตภัณฑ์เรือธงของมันคือ การตรวจสอบประสิทธิภาพเครือข่ายคะแนนอย่างสม่ำเสมอในบรรดาเครื่องมือการตรวจสอบแบนด์วิดธ์เครือข่ายชั้นนำ SolarWinds ยังทำให้เครื่องมือฟรีที่ยอดเยี่ยมแต่ละคนตอบสนองความต้องการเฉพาะของผู้ดูแลระบบเครือข่าย กีวีเซิร์ฟเวอร์ Syslog และ เครื่องคิดเลขซับเน็ตขั้นสูง เป็นสองตัวอย่างที่ดีของสิ่งเหล่านั้น
- การสาธิตฟรี: SolarWinds Threat Monitor - ไอที Ops Edition
- ลิงค์ดาวน์โหลดอย่างเป็นทางการ: https://www.solarwinds.com/threat-monitor/registration
สำหรับการตรวจจับการบุกรุกบนเครือข่าย SolarWinds เสนอ Threat Monitor - IT Ops Edition. ตรงกันข้ามกับคนอื่นมากที่สุด SolarWinds เครื่องมืออันนี้เป็นบริการบนคลาวด์แทนกว่าซอฟต์แวร์ที่ติดตั้งในเครื่อง คุณเพียงแค่สมัครสมาชิกกำหนดค่าและมันจะเริ่มดูสภาพแวดล้อมของคุณสำหรับความพยายามในการบุกรุกและภัยคุกคามประเภทอื่น ๆ Threat Monitor - IT Ops Edition รวมเครื่องมือหลายอย่าง มีทั้งการตรวจจับการบุกรุกบนเครือข่ายและโฮสต์รวมถึงการล็อกศูนย์กลางและความสัมพันธ์และข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (SIEM) มันเป็นชุดตรวจสอบภัยคุกคามอย่างละเอียด
คน Threat Monitor - IT Ops Edition อัปเดตอยู่เสมออัปเดตอยู่เสมอภัยคุกคามที่มาจากหลายแหล่งรวมถึงฐานข้อมูล IP และ Domain Reputation มันเฝ้าระวังภัยคุกคามทั้งที่รู้จักและไม่รู้จัก เครื่องมือนี้มีการตอบสนองอัตโนมัติที่ชาญฉลาดเพื่อแก้ไขเหตุการณ์ด้านความปลอดภัยอย่างรวดเร็วโดยมีคุณสมบัติคล้ายการป้องกันการบุกรุก
คุณสมบัติการแจ้งเตือนของผลิตภัณฑ์ค่อนข้างประทับใจ มีสัญญาณเตือนที่มีหลายเงื่อนไขและมีความสัมพันธ์ข้ามซึ่งทำงานร่วมกับเอ็นจิ้น Active Response ของเครื่องมือและช่วยในการระบุและสรุปเหตุการณ์สำคัญ ระบบการรายงานนั้นดีพอ ๆ กับการแจ้งเตือนและสามารถนำมาใช้เพื่อแสดงการปฏิบัติตามโดยใช้เทมเพลตรายงานที่สร้างไว้ล่วงหน้าที่มีอยู่แล้ว หรือคุณสามารถสร้างรายงานที่กำหนดเองเพื่อให้ตรงกับความต้องการทางธุรกิจของคุณได้อย่างแม่นยำ
ราคาสำหรับ SolarWinds Threat Monitor - ไอที Ops Edition เริ่มต้นที่ $ 4 500 สำหรับมากถึง 25 โหนดพร้อมดัชนี 10 วัน คุณสามารถติดต่อ SolarWinds สำหรับใบเสนอราคาแบบละเอียดที่ปรับให้เข้ากับความต้องการเฉพาะของคุณ และหากคุณต้องการดูผลิตภัณฑ์ที่ใช้งานจริงคุณสามารถขอตัวอย่างฟรีได้จาก SolarWinds.
2. SolarWinds Log & Event Manager (ทดลองฟรี)
อย่าปล่อยให้ SolarWinds Log & Event Managerชื่อหลอกคุณ มันเป็นมากกว่าระบบบันทึกและการจัดการเหตุการณ์ คุณสมบัติขั้นสูงหลายอย่างของผลิตภัณฑ์นี้อยู่ในช่วงข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (SIEM) คุณสมบัติอื่น ๆ ที่มีคุณสมบัติเป็นระบบตรวจจับการบุกรุกและแม้กระทั่งในระดับหนึ่งในฐานะระบบป้องกันการบุกรุก เครื่องมือนี้มีความสัมพันธ์เหตุการณ์แบบเรียลไทม์และการแก้ไขตามเวลาจริงเช่น
- ทดลองฟรี: SolarWinds Log & Event Manager
- ลิงค์ดาวน์โหลดอย่างเป็นทางการ: https://www.solarwinds.com/log-event-manager-software/registration
คน SolarWinds Log & Event Manager มีการตรวจจับที่น่าสงสัยทันทีกิจกรรม (ฟังก์ชันตรวจจับการบุกรุก) และการตอบกลับอัตโนมัติ (ฟังก์ชันป้องกันการบุกรุก) นอกจากนี้ยังสามารถดำเนินการตรวจสอบเหตุการณ์ด้านความปลอดภัยและนิติเวชเพื่อวัตถุประสงค์ในการบรรเทาและการปฏิบัติตาม ขอบคุณที่รายงานการตรวจสอบที่ผ่านการตรวจสอบของเครื่องมือยังสามารถใช้เพื่อแสดงให้เห็นถึงการปฏิบัติตาม HIPAA, PCI-DSS และ SOX, หมู่คนอื่น ๆ เครื่องมือนี้ยังมีการตรวจสอบความสมบูรณ์ของไฟล์และการตรวจสอบอุปกรณ์ USB ทำให้เป็นแพลตฟอร์มความปลอดภัยแบบรวมมากกว่าระบบบันทึกและเหตุการณ์
ราคาสำหรับ SolarWinds Log & Event Manager เริ่มต้นที่ $ 4 585 สำหรับการตรวจสอบมากถึง 30 โหนด สามารถซื้อสิทธิ์การใช้งานสูงถึง 2 500 โหนดทำให้ผลิตภัณฑ์มีความยืดหยุ่นสูง หากคุณต้องการใช้ผลิตภัณฑ์สำหรับการทดสอบและดูด้วยตัวคุณเองว่าเหมาะกับคุณหรือไม่ทดลองใช้ 30 วันเต็มรูปแบบฟรี
3. OSSEC
การรักษาความปลอดภัยที่มาเปิด, หรือ OSSECเป็นระบบตรวจจับการบุกรุกบนโฮสต์โอเพ่นซอร์สชั้นนำ ผลิตภัณฑ์เป็นของ Trend Microหนึ่งในผู้นำด้านความปลอดภัยด้านไอทีและผู้ผลิตหนึ่งในชุดป้องกันไวรัสที่ดีที่สุด เมื่อติดตั้งบนระบบปฏิบัติการแบบ Unix ซอฟต์แวร์จะเน้นที่ไฟล์บันทึกและไฟล์กำหนดค่าเป็นหลัก มันสร้างการตรวจสอบไฟล์สำคัญและตรวจสอบความถูกต้องเป็นระยะ ๆ แจ้งเตือนคุณเมื่อมีสิ่งผิดปกติเกิดขึ้น นอกจากนี้ยังจะตรวจสอบและแจ้งเตือนเกี่ยวกับความพยายามที่ผิดปกติในการเข้าถึงรูท ในโฮสต์ Windows ระบบยังคอยจับตาดูการแก้ไขรีจิสทรีที่ไม่ได้รับอนุญาตซึ่งอาจเป็นสัญญาณบอกเล่าเรื่องราวของกิจกรรมที่เป็นอันตราย
โดยอาศัยระบบการตรวจจับการบุกรุกบนโฮสต์ OSSEC จะต้องติดตั้งในคอมพิวเตอร์แต่ละเครื่องที่คุณต้องการป้องกัน อย่างไรก็ตามคอนโซลส่วนกลางจะรวบรวมข้อมูลจากคอมพิวเตอร์ที่ได้รับการป้องกันแต่ละเครื่องเพื่อการจัดการที่ง่ายขึ้น ในขณะที่ OSSEC คอนโซลทำงานบนระบบปฏิบัติการ Unix-Like เท่านั้นเอเจนต์พร้อมใช้งานเพื่อปกป้องโฮสต์ Windows การตรวจจับใด ๆ จะทริกเกอร์การแจ้งเตือนซึ่งจะปรากฏบนคอนโซลกลางในขณะที่การแจ้งเตือนจะถูกส่งทางอีเมล
4. การดื่มอย่างรวดเร็ว
การดื่มอย่างรวดเร็ว น่าจะเป็นโอเพ่นซอร์สที่รู้จักกันดีระบบตรวจจับการบุกรุกบนเครือข่าย แต่มันเป็นมากกว่าเครื่องมือตรวจจับการบุกรุก นอกจากนี้ยังเป็นแพ็คเก็ตดมกลิ่นและตัวบันทึกแพ็คเก็ตและยังบรรจุฟังก์ชั่นอื่น ๆ บางอย่างเช่นกัน การกำหนดค่าผลิตภัณฑ์เป็นการเตือนให้ระลึกถึงการกำหนดค่าไฟร์วอลล์ มันทำโดยใช้กฎ คุณสามารถดาวน์โหลดกฎพื้นฐานได้จาก การดื่มอย่างรวดเร็ว เว็บไซต์และใช้ตามที่เป็นอยู่หรือปรับแต่งตามความต้องการเฉพาะของคุณ คุณยังสามารถสมัครสมาชิก การดื่มอย่างรวดเร็ว กฎที่จะได้รับกฎล่าสุดทั้งหมดโดยอัตโนมัติเมื่อมีวิวัฒนาการหรือค้นพบภัยคุกคามใหม่
ประเภท ละเอียดมากและแม้แต่กฎพื้นฐานก็สามารถทำได้ตรวจจับเหตุการณ์ที่หลากหลายเช่นการสแกนพอร์ตล่องหนการโจมตีบัฟเฟอร์ล้นการโจมตี CGI โพรบ SMB และการพิมพ์ลายนิ้วมือ OS แทบไม่มีขีด จำกัด ของสิ่งที่คุณสามารถตรวจจับได้ด้วยเครื่องมือนี้และสิ่งที่ตรวจพบนั้นขึ้นอยู่กับกฎที่คุณติดตั้ง แต่เพียงผู้เดียว สำหรับวิธีการตรวจสอบบางส่วนของขั้นพื้นฐาน การดื่มอย่างรวดเร็ว กฎนั้นขึ้นอยู่กับลายเซ็นในขณะที่คนอื่น ๆ เป็นพื้นฐานที่ผิดปกติ การดื่มอย่างรวดเร็ว สามารถดังนั้นให้สิ่งที่ดีที่สุดของทั้งสองโลก
5. Samhain
Samhain เป็นอีกหนึ่งการบุกรุกโฮสต์ฟรีที่รู้จักกันดีระบบตรวจจับ คุณสมบัติหลักจากจุดยืน IDS คือการตรวจสอบความสมบูรณ์ของไฟล์และการตรวจสอบ / วิเคราะห์ไฟล์บันทึก มันทำมากกว่านั้น ผลิตภัณฑ์จะทำการตรวจจับรูตคิตการตรวจสอบพอร์ตการตรวจจับไฟล์เอ็กซีคิวต์ของ rogue SUID และกระบวนการที่ซ่อนอยู่
เครื่องมือนี้ได้รับการออกแบบมาเพื่อตรวจสอบหลายโฮสต์ที่ใช้ระบบปฏิบัติการต่าง ๆ ในขณะเดียวกันก็ให้การบันทึกและการบำรุงรักษาจากส่วนกลาง อย่างไรก็ตาม Samhain สามารถใช้เป็นแอปพลิเคชันแบบสแตนด์อโลนได้คอมพิวเตอร์เครื่องเดียว ซอฟต์แวร์ทำงานบนระบบ POSIX เป็นหลักเช่น Unix, Linux หรือ OS X นอกจากนี้ยังสามารถเรียกใช้บน Windows ภายใต้ Cygwin ซึ่งเป็นแพคเกจที่อนุญาตให้เรียกใช้แอปพลิเคชัน POSIX บน Windows แม้ว่าจะมีเพียงตัวแทนการตรวจสอบเท่านั้น
หนึ่งใน Samhainคุณลักษณะที่โดดเด่นที่สุดของมันคือโหมดซ่อนตัวของมันอนุญาตให้มันทำงานโดยไม่ถูกตรวจพบโดยผู้โจมตีที่มีศักยภาพ เป็นที่ทราบกันว่าผู้บุกรุกบุกรุกกระบวนการตรวจจับอย่างรวดเร็วที่พวกเขารับรู้ทันทีที่พวกเขาเข้าสู่ระบบก่อนที่จะถูกตรวจจับได้ Samhain ใช้เทคนิค steganographic เพื่อซ่อนกระบวนการจากที่อื่น นอกจากนี้ยังปกป้องไฟล์บันทึกกลางและการสำรองข้อมูลการกำหนดค่าด้วยคีย์ PGP เพื่อป้องกันการปลอมแปลง
6. Suricata
Suricata ไม่ได้เป็นเพียงระบบตรวจจับการบุกรุก นอกจากนี้ยังมีคุณสมบัติป้องกันการบุกรุกบางอย่าง ในความเป็นจริงมันถูกโฆษณาว่าเป็นระบบนิเวศการตรวจสอบความปลอดภัยเครือข่ายที่สมบูรณ์ หนึ่งในเครื่องมือที่ดีที่สุดของเครื่องมือคือการทำงานไปจนถึงเลเยอร์แอปพลิเคชัน สิ่งนี้ทำให้มันเป็นระบบเครือข่ายและโฮสต์แบบไฮบริดซึ่งช่วยให้เครื่องมือสามารถตรวจจับภัยคุกคามที่อาจไม่เป็นที่สังเกตโดยเครื่องมืออื่น ๆ
Suricata เป็นระบบตรวจจับการบุกรุกบนเครือข่ายอย่างแท้จริงระบบที่ไม่เพียงทำงานที่ชั้นแอปพลิเคชัน มันจะตรวจสอบโปรโตคอลเครือข่ายระดับล่างเช่น TLS, ICMP, TCP และ UDP เครื่องมือนี้ยังเข้าใจและถอดรหัสโปรโตคอลระดับสูงกว่าเช่น HTTP, FTP หรือ SMB และสามารถตรวจจับการบุกรุกที่ซ่อนอยู่ในคำขอปกติ เครื่องมือนี้ยังมีความสามารถในการแตกไฟล์ที่อนุญาตให้ผู้ดูแลระบบตรวจสอบไฟล์ที่น่าสงสัย
Suricataสถาปัตยกรรมแอปพลิเคชันของค่อนข้างทันสมัย เครื่องมือนี้จะกระจายเวิร์กโหลดไปยังแกนประมวลผลและเธรดหลายตัวเพื่อประสิทธิภาพที่ดีที่สุด หากต้องการมันสามารถลดการประมวลผลบางอย่างลงในการ์ดกราฟิกได้ นี่เป็นคุณสมบัติที่ยอดเยี่ยมเมื่อใช้เครื่องมือบนเซิร์ฟเวอร์เนื่องจากการ์ดแสดงผลของพวกเขามักใช้งานไม่ได้
7. การตรวจสอบความปลอดภัยเครือข่าย Bro
คน การตรวจสอบความปลอดภัยเครือข่าย Broอีกระบบตรวจจับการบุกรุกเครือข่ายฟรี เครื่องมือทำงานในสองขั้นตอน: การบันทึกการจราจรและการวิเคราะห์การจราจร เช่นเดียวกับ Suricata การตรวจสอบความปลอดภัยเครือข่าย Bro ทำงานที่หลายเลเยอร์จนถึงแอปพลิเคชันชั้น. วิธีนี้ช่วยให้ตรวจจับการบุกรุกได้ดีขึ้น โมดูลการวิเคราะห์ของเครื่องมือประกอบด้วยสององค์ประกอบ องค์ประกอบแรกเรียกว่าเอ็นจิ้นเหตุการณ์และติดตามเหตุการณ์ที่เกิดขึ้นเช่นการเชื่อมต่อ TCP สุทธิหรือการร้องขอ HTTP เหตุการณ์จะถูกวิเคราะห์โดยสคริปต์นโยบายองค์ประกอบที่สองซึ่งตัดสินใจว่าจะทริกเกอร์การเตือนภัยและ / หรือเรียกใช้การกระทำ ความเป็นไปได้ของการเปิดใช้งานการกระทำนั้นช่วยให้ Bro Network Security Monitor มีฟังก์ชั่นคล้ายกับ IPS
คน การตรวจสอบความปลอดภัยเครือข่าย Bro ช่วยให้คุณติดตามกิจกรรม HTTP, DNS และ FTP ได้ตรวจสอบปริมาณการใช้งาน SNMP สิ่งนี้เป็นสิ่งที่ดีเพราะ SNMP มักใช้สำหรับการตรวจสอบเครือข่าย แต่ไม่ใช่โปรโตคอลที่ปลอดภัย และเนื่องจากสามารถใช้ในการปรับเปลี่ยนการกำหนดค่าจึงอาจถูกโจมตีโดยผู้ใช้ที่เป็นอันตราย เครื่องมือนี้ยังช่วยให้คุณดูการเปลี่ยนแปลงการกำหนดค่าอุปกรณ์และกับดัก SNMP สามารถติดตั้งบน Unix, Linux และ OS X แต่ไม่สามารถใช้งานได้กับ Windows ซึ่งอาจเป็นข้อเสียเปรียบหลัก
ความคิดเห็น