Uzaktan Erişim Truva Atı veya RAT,düşünebileceğiniz en kötü amaçlı kötü amaçlı yazılım türleri. Her türlü hasara neden olabilirler ve pahalı veri kayıplarından da sorumlu olabilirler. Aktif olarak savaşmaları gerekir, çünkü kötü olmanın yanı sıra nispeten yaygındırlar. Bugün, ne olduklarını ve nasıl çalıştıklarını açıklamak için elimizden geleni yapacağız, ayrıca onlara karşı korumak için neler yapılabileceğini size bildireceğiz.
Bugünkü tartışmamıza şu şekilde başlayacağız:RAT'ın ne olduğunu açıklamak. Teknik ayrıntılarda çok derinlere inmeyeceğiz, ancak nasıl çalıştıklarını ve size nasıl ulaştıklarını açıklamak için elimizden geleni yapıyoruz. Sonra, çok paranoyak görünmemeye çalışırken, RAT'ların neredeyse nasıl silah olarak görülebileceğini göreceğiz. Aslında, bazıları bu şekilde kullanılmıştır. Bundan sonra, en iyi bilinen RAT'lardan birkaçını tanıtacağız. Size neler yapabildikleri hakkında daha iyi bir fikir verecektir. Daha sonra, RAT'lardan korumak için saldırı tespit araçlarını nasıl kullanabileceğini göreceğiz ve bu araçların en iyilerinden bazılarını inceleyeceğiz.
Peki, RAT Nedir?
Bu Uzaktan Erişim Truva Atı bilgisayar korsanının uzaktan kontrol etmesini sağlayan bir kötü amaçlı yazılım türüdür(dolayısıyla adı) bir bilgisayarın kontrolünü ele geçirin. Adı analiz edelim. Truva atı kısmı, kötü amaçlı yazılımın dağıtılma şekliyle ilgilidir. Ulysses'in on yıl boyunca kuşatılmış olan Troya şehrini geri almak için inşa ettiği Truva atının antik Yunan hikayesine atıfta bulunuyor. Bilgisayar kötü amaçlı yazılım bağlamında, bir Truva atı (veya sadece trojan) başka bir şey olarak dağıtılan bir kötü amaçlı yazılım parçasıdır. Örneğin, bilgisayarınıza indirip yüklediğiniz bir oyun aslında bir Truva atı olabilir ve bazı kötü amaçlı yazılım kodları içerebilir.
RAT adının uzaktan erişim kısmına gelince,kötü amaçlı yazılımın yaptığı ile ilgilidir. Basitçe söylemek gerekirse, yazarının virüslü bilgisayara uzaktan erişmesine izin verir. Ve uzaktan erişim elde ettiğinde, yapabileceklerinin neredeyse hiçbir sınırı yoktur. Dosya sisteminizi keşfetmek, ekran etkinliklerinizi izlemek, giriş kimlik bilgilerinizi toplamak veya dosyalarınızı fidye istemek için şifrelemek arasında değişiklik gösterebilir. Ayrıca verilerinizi veya daha da kötüsü müşterinizin bilgilerini çalabilir. RAT kurulduktan sonra, bilgisayarınız saldırıların yerel ağdaki diğer bilgisayarlara başlatıldığı ve böylece çevre güvenliğinin atlandığı bir merkez haline gelebilir.
Tarihte RAT'lar
RAT'lar maalesefonyıl. Teknolojinin, 2003 yılında Çinli hackerlar tarafından ABD teknolojisinin kapsamlı bir şekilde yağmalanmasında rol oynadığına inanılıyor. Pentagon soruşturması, ABD savunma müteahhitlerinin veri hırsızlığını keşfetti ve gizli geliştirme ve test verileri Çin'deki yerlere aktarıldı.
Belki de Amerika Birleşik Devletleri Doğu'yu hatırlayacaksınız2003 ve 2008 sahil güç şebekesi kapanmaları. Bunlar aynı zamanda Çin'e kadar da izlendi ve RAT'lar tarafından kolaylaştırıldığı görülüyor. Bir sistem üzerinde RAT alabilen bir bilgisayar korsanı, virüs bulaşmış sistem kullanıcılarının genellikle farkına bile varmadan ellerindeki yazılımlardan yararlanabilir.
Silah Olarak RAT'lar
Kötü amaçlı bir RAT geliştiricisi,elektrik santralleri, telefon şebekeleri, nükleer tesisler veya gaz boru hatları. Bu nedenle, RAT'lar yalnızca kurumsal güvenlik için bir risk oluşturmaz. Ayrıca ulusların bir düşman ülkeye saldırmasını sağlayabilirler. Bu nedenle, silah olarak görülebilirler. Dünyanın dört bir yanındaki hackerlar şirketleri gözetlemek ve verilerini ve paralarını çalmak için RAT'leri kullanıyor. Bu arada, RAT sorunu ABD de dahil olmak üzere birçok ülke için bir ulusal güvenlik konusu haline geldi.
Başlangıçta endüstriyel casusluk veÇinli hackerlar tarafından sabote edilen Rusya, RAT'ların gücünü takdir etmeye geldi ve onları askeri cephaneliğine entegre etti. Onlar şimdi “melez savaş” olarak bilinen Rus suç stratejisinin bir parçası. Rusya 2008 yılında Gürcistan'ın bir bölümünü ele geçirdiğinde, istihbarat toplamak, kontrol etmek ve Gürcistan askeri donanımını ve temel hizmetlerini bozmak için internet hizmetlerini ve RAT'leri engellemek için DDoS saldırıları kullandı.
Birkaç (in) Ünlü RAT
En iyi bilinen RAT'lardan birkaçına bakalım. Buradaki fikrimiz onları yüceltmek değil, onların ne kadar çeşitli oldukları hakkında bir fikir vermek.
Arka Delik
Back Orifice, Amerikan yapımı bir RAT1998'den beri var. RAT'ların büyükbabası. Özgün şema, Windows 98'de bir zayıflıktan yararlandı. Daha yeni Windows işletim sistemlerinde çalışan sonraki sürümlere Back Orifice 2000 ve Deep Back Orifice adı verildi.
Bu RAT kendiniişletim sistemini algılamayı özellikle zorlaştırır. Günümüzde, çoğu virüs koruma sistemi Back Orifice yürütülebilir dosyalarına ve dikkat edilmesi gereken imzalar olarak oklüzyon davranışına sahiptir. Bu yazılımın ayırt edici bir özelliği, davetsiz misafirin virüslü sistemde gezinmek ve dolaşmak için kullanabileceği kullanımı kolay bir konsola sahip olmasıdır. Kurulduktan sonra, bu sunucu programı standart ağ protokollerini kullanarak istemci konsolu ile iletişim kurar. Örneğin, 21337 numaralı bağlantı noktasının kullanıldığı bilinmektedir.
DarkComet
DarkComet, 2008 yılında Fransızlar tarafındanhacker Jean-Pierre Lesueur, ancak bir siber güvenlik biriminin sistemi ABD hükümetini ve ordusunu hedeflemek için kullandığını keşfettiği 2012 yılında siber güvenlik camiasının dikkatine geldi.
DarkComet kullanımı kolay bir özelliktirteknik becerisi az olan veya hiç olmayan kullanıcıların hacker saldırıları gerçekleştirmesini sağlayan arabirim. Keylogging, ekran yakalama ve şifre toplama yoluyla casusluğa izin verir. Denetleyici bilgisayar korsanı, uzaktaki bir bilgisayarın güç işlevlerini de çalıştırarak bilgisayarın uzaktan açılıp kapanmasını sağlar. Virüs bulaşmış bir bilgisayarın ağ işlevleri, bilgisayarı proxy sunucusu olarak kullanmak ve diğer bilgisayarlardaki baskınlar sırasında kullanıcı kimliğini maskelemek için de kullanılabilir. DarkComet projesi 2014 yılında geliştiricisi tarafından, Suriye hükümetinin vatandaşlarını gözetlemek için kullanıldığını keşfettiği zaman terk edildi.
serap
Mirage, devlet sponsorluğunda kullanılan ünlü bir RATÇin hacker grubu. 2009'dan 2015'e kadar çok aktif bir casusluk kampanyasının ardından grup sessizleşti. Mirage, grubun 2012'deki birincil aracıydı. 2018'de MirageFox adı verilen bir Mirage varyantının tespiti, grubun tekrar faaliyete geçebileceğine dair bir ipucudur.
MirageFox, Mart 2018'de keşfedildiğinde keşfedildi.İngiliz hükümet yüklenicilerini gözetlemek için kullanıldı. Orijinal Mirage RAT'a gelince, Filipinler'deki bir petrol şirketine, Tayvan ordusuna, Kanadalı bir enerji şirketine ve Brezilya, İsrail, Nijerya ve Mısır'daki diğer hedeflere saldırılarda kullanıldı.
Bu RAT, PDF'ye gömülü olarak teslim edilir. Açılması, komut dosyalarının RAT'ı yükleyen yürütmesine neden olur. Kurulduktan sonra ilk eylemi, virüslü sistemin yeteneklerini denetleyerek Komuta ve Kontrol sistemine rapor vermektir. Bu bilgiler CPU hızını, bellek kapasitesini ve kullanımını, sistem adını ve kullanıcı adını içerir.
RAT'lardan Koruma - Saldırı Tespit Araçları
Virüs koruma yazılımı bazen işe yaramazRAT'ları tespit etmek ve önlemek. Bu kısmen doğalarından kaynaklanmaktadır. Tamamen yasal olan başka bir şey olarak açıkça görünürler. Bu nedenle, genellikle en iyi bilgisayarları anormal davranış için analiz eden sistemler tarafından tespit edilir. Bu tür sistemlere saldırı tespit sistemleri denir.
En iyi saldırı için piyasayı araştırdıkAlgılama Sistemleri. Listemizde, saldırı tespit bileşenine sahip olan veya izinsiz giriş denemelerini tespit etmek için kullanılabilecek iyi niyetli Saldırı Tespit Sistemleri ve diğer yazılımların bir karışımı bulunmaktadır. Genellikle, diğer kötü amaçlı yazılım koruma araçlarının Uzaktan Erişim Truva Atlarını tanımlamak için daha iyi bir iş çıkarırlar.
1. SolarWinds Tehdit Monitörü - IT Ops Sürümü (Ücretsiz demo)
SolarWinds ağ yönetim araçları alanında yaygın bir isimdir. Yaklaşık 20 yıldır var olan en iyi ağ ve sistem yönetim araçlarından bazılarını getirdi. Amiral gemisi ürünü, Ağ Performansı İzleyicisi, en iyi ağ bant genişliği izleme araçları arasında tutarlı bir şekilde puan alır. SolarWinds ayrıca her biri ağ yöneticilerinin özel ihtiyaçlarını karşılayan mükemmel ücretsiz araçlar yapar. Kivi Syslog Sunucusu ve Gelişmiş Alt Ağ Hesaplayıcısı bunlara iki iyi örnektir.
- Ücretsiz demo: SolarWinds Tehdit Monitörü - IT Ops Sürümü
- Resmi İndirme Bağlantısı: https://www.solarwinds.com/threat-monitor/registration
Ağ tabanlı izinsiz giriş tespiti için, SolarWinds sunar Tehdit Monitörü - IT Ops Sürümü. Diğerlerinin aksine SolarWinds bu, bulut tabanlı bir hizmettir.yerel olarak kurulmuş bir yazılımdan daha iyi. Sadece abone olun, yapılandırın ve izinsiz giriş denemeleri ve birkaç tehdit türü için ortamınızı izlemeye başlar. Tehdit Monitörü - IT Ops Sürümü çeşitli araçları birleştirir. Hem ağ hem de ana bilgisayar tabanlı İzinsiz Giriş Tespiti'nin yanı sıra günlük merkezileştirmesi ve korelasyonu ve Güvenlik Bilgileri ve Olay Yönetimi'ne (SIEM) sahiptir. Bu çok kapsamlı bir tehdit izleme paketidir.
Bu Tehdit Monitörü - IT Ops Sürümü her zaman güncel, sürekli güncelleniyorIP ve Domain Reputation veritabanları dahil olmak üzere birden çok kaynaktan gelen istihbaratı tehdit eder. Hem bilinen hem de bilinmeyen tehditleri izler. Araç, güvenlik saldırılarını hızlı bir şekilde gidermek için otomatik saldırılara sahiptir ve bu da izinsiz giriş önleme benzeri özellikler sunar.
Ürünün uyarı özellikleri oldukçaetkileyici. Aracın Aktif Yanıt motoruyla birlikte çalışan ve önemli olayların tanımlanmasına ve özetlenmesine yardımcı olan çok koşullu, çapraz korelasyonlu alarmlar vardır. Raporlama sistemi uyarısı kadar iyidir ve önceden oluşturulmuş mevcut rapor şablonlarını kullanarak uyumluluğu göstermek için kullanılabilir. Alternatif olarak, iş gereksinimlerinize tam olarak uyacak şekilde özel raporlar oluşturabilirsiniz.
Fiyatları SolarWinds Tehdit Monitörü - IT Ops Sürümü 10 gün endeksle 25 adede kadar düğüm için 4500 $ 'dan başlar. İletişim kurabilirsiniz SolarWinds özel ihtiyaçlarınıza uyarlanmış ayrıntılı bir teklif için. Ürünü iş başında görmeyi tercih ederseniz, ücretsiz bir demo talep edebilirsiniz. SolarWinds.
2. SolarWinds Log ve Etkinlik Yöneticisi (Ücretsiz deneme)
İzin verme SolarWinds Log ve Etkinlik YöneticisiAdı seni kandırıyor. Bir günlük ve olay yönetim sisteminden çok daha fazlasıdır. Bu ürünün gelişmiş özelliklerinin birçoğu ürünü Güvenlik Bilgileri ve Etkinlik Yönetimi (SIEM) serisine yerleştirmiştir. Diğer özellikler Saldırı Tespit Sistemi ve hatta bir dereceye kadar Saldırı Önleme Sistemi olarak nitelendirilir. Bu araç, örneğin gerçek zamanlı olay korelasyonu ve gerçek zamanlı iyileştirme özelliklerine sahiptir.
- Ücretsiz deneme: SolarWinds Log ve Etkinlik Yöneticisi
- Resmi İndirme Bağlantısı: https://www.solarwinds.com/log-event-manager-software/registration
Bu SolarWinds Log ve Etkinlik Yöneticisi şüpheli anında algılama özelliklerietkinlik (izinsiz giriş algılama işlevi) ve otomatik yanıtlar (izinsiz giriş önleme işlevi). Ayrıca, hem hafifletme hem de uyumluluk amacıyla güvenlik olayı araştırması ve adli tıp da yapabilir. Denetim kanıtlanmış raporlaması sayesinde araç, HIPAA, PCI-DSS ve SOX ile uyumluluğu göstermek için de kullanılabilir. Araç ayrıca dosya bütünlüğü izleme ve USB cihazı izleme özelliğine sahiptir, bu da onu sadece bir günlük ve olay yönetim sisteminden çok entegre bir güvenlik platformudur.
İçin fiyatlandırma SolarWinds Log ve Etkinlik Yöneticisi 30 adede kadar izlenen düğüm için 4 585 $ 'dan başlar. Ürünü son derece ölçeklenebilir kılmak için 2.500 düğüme kadar lisans satın alınabilir. Ürünü bir test sürüşüne çıkarmak ve sizin için doğru olup olmadığını kendiniz görmek istiyorsanız, 30 günlük ücretsiz tam deneme sürümü mevcuttur.
3. OSSEC
Açık Kaynak Güvenliğiveya OSSEC, açık kaynak kodlu ana bilgisayar tabanlı saldırı tespit sistemidir. Ürünün sahibi Trend Micro, BT güvenliğinin önde gelen isimlerinden biri veen iyi virüs koruma paketlerinden birinin üreticisi. Unix benzeri işletim sistemlerine yüklendiğinde, yazılım öncelikle günlük ve yapılandırma dosyalarına odaklanır. Önemli dosyaların sağlama toplamlarını oluşturur ve garip bir şey olduğunda sizi uyararak periyodik olarak doğrular. Ayrıca, kök erişimine yönelik herhangi bir anormal girişimi izler ve uyarır. Windows ana bilgisayarlarında, sistem ayrıca kötü amaçlı etkinliklerin açık bir işareti olabilecek yetkisiz kayıt defteri değişikliklerini de izler.
Ana bilgisayar tabanlı saldırı tespit sistemi olması nedeniyle, OSSEC korumak istediğiniz her bilgisayara yüklenmesi gerekir. Ancak, merkezi bir konsol daha kolay yönetim için her korumalı bilgisayardaki bilgileri birleştirir. Yaparken OSSEC konsol yalnızca Unix-benzeri işletim sistemlerinde çalışır,Windows ana bilgisayarlarını korumak için bir aracı kullanılabilir. Herhangi bir algılama, merkezi konsolda görüntülenecek bir uyarıyı tetiklerken bildirimler de e-posta ile gönderilir.
4. homurdanma
homurdanma muhtemelen en iyi bilinen açık kaynak kodluağ tabanlı Saldırı Tespit Sistemi. Ancak bir saldırı tespit aracından daha fazlasıdır. Ayrıca bir paket dinleyicisi ve bir paket kaydedici ve birkaç başka işlevi de paketliyor. Ürünün yapılandırılması, bir güvenlik duvarını yapılandırmayı anımsatır. Kurallar kullanılarak yapılır. Temel kuralları homurdanma web sitesini olduğu gibi kullanın veya özel ihtiyaçlarınıza göre özelleştirin. Ayrıca abone olabilirsiniz homurdanma geliştikçe veya yeni tehditler keşfedildikçe en son kuralları otomatik olarak almak için kurallar.
Çeşit çok kapsamlı ve temel kuralları bilegizli port taramaları, arabellek taşması saldırıları, CGI saldırıları, SMB probları ve OS parmak izi gibi çok çeşitli olayları tespit eder. Bu araçla neleri algılayabileceğiniz konusunda neredeyse hiçbir sınır yoktur ve algıladığı şey yalnızca yüklediğiniz kural kümesine bağlıdır. Tespit yöntemleri gelince, bazı temel homurdanma kurallar imza tabanlıdır, diğerleri ise anomali tabanlıdır. homurdanma bu nedenle size her iki dünyanın en iyisini verebilir.
5. Samhain
Samhain başka bir iyi bilinen ücretsiz host saldırıalgılama sistemi. IDS açısından ana özellikleri, dosya bütünlüğü kontrolü ve günlük dosyası izleme / analizidir. Yine de bundan daha fazlasını yapar. Ürün rootkit algılama, port izleme, dolandırıcı SUID yürütülebilir dosyalarının ve gizli işlemlerin algılanmasını gerçekleştirecektir.
Araç, merkezi günlük kaydı ve bakımı sağlarken çeşitli işletim sistemlerini çalıştıran birden çok ana bilgisayarı izlemek için tasarlanmıştır. Ancak, Samhain ayrıca bağımsız bir uygulama olarak da kullanılabilirtek bir bilgisayar. Yazılım öncelikle Unix, Linux veya OS X gibi POSIX sistemlerinde çalışır. Bu yapılandırmada yalnızca izleme aracısı test edilmiş olmasına rağmen, Windows'ta POSIX uygulamalarının çalıştırılmasına izin veren bir paket olan Cygwin altında Windows üzerinde de çalışabilir.
Biri Samhain’Nin en eşsiz özelliği gizli modudur.potansiyel saldırganlar tarafından algılanmadan çalışmasına izin verir. Davetsiz misafirlerin tespit edilmeden önce bir sisteme girer girmez tanıdıkları tespit süreçlerini hızla öldürdüğü ve fark edilmeden gitmelerine izin verildiği bilinmektedir. Samhain süreçlerini diğerlerinden gizlemek için steganografik teknikler kullanır. Ayrıca kurcalamayı önlemek için merkezi günlük dosyalarını ve yapılandırma yedeklerini bir PGP anahtarı ile korur.
6. Suricata
Suricata yalnızca bir Saldırı Tespit Sistemi değildir. Ayrıca bazı İzinsiz Giriş Önleme özellikleri de vardır. Aslında, tam bir ağ güvenliği izleme ekosistemi olarak ilan edilir. Aracın en iyi varlıklarından biri, uygulama katmanına kadar nasıl çalıştığıdır. Bu, onu, aracın diğer araçlar tarafından fark edilmeyecek tehditleri tespit etmesini sağlayan karma bir ağ ve ana bilgisayar tabanlı bir sistem haline getirir.
Suricata ağ tabanlı gerçek bir saldırı tespitidirSadece uygulama katmanında çalışmayan sistem. TLS, ICMP, TCP ve UDP gibi alt düzey ağ protokollerini izleyecektir. Araç ayrıca HTTP, FTP veya SMB gibi daha yüksek düzeydeki protokolleri anlar ve deşifre eder ve normal isteklerde gizlenen saldırı girişimlerini algılayabilir. Araç ayrıca, yöneticilerin şüpheli dosyaları incelemesine izin veren dosya çıkarma yeteneklerine de sahiptir.
Suricata’Nin uygulama mimarisi oldukça yenilikçi. Araç, en iyi performans için iş yükünü birkaç işlemci çekirdeği ve iş parçacığı üzerinde dağıtacaktır. Gerekirse, işleminin bir kısmını grafik kartına bile boşaltabilir. Grafik kartı genellikle yetersiz kullanıldığı için aracı sunucularda kullanırken bu harika bir özelliktir.
7. Bro Ağ Güvenliği İzleyicisi
Bu Bro Ağ Güvenliği İzleyicisi, başka bir ücretsiz ağ saldırı tespit sistemi. Araç iki aşamada çalışır: trafik kaydı ve trafik analizi. Tıpkı Suricata gibi, Bro Ağ Güvenliği İzleyicisi uygulamaya kadar çoklu katmanlarda çalışırkatman. Bu, bölünmüş saldırı girişimlerinin daha iyi tespit edilmesini sağlar. Aracın analiz modülü iki öğeden oluşur. İlk öğeye olay motoru denir ve net TCP bağlantıları veya HTTP istekleri gibi tetikleyici olayları izler. Olaylar daha sonra bir alarmı tetikleyip tetiklememeye ve / veya bir eylem başlatmaya karar veren ikinci öğe olan politika komut dosyaları tarafından analiz edilir. Bir eylem başlatma olasılığı Bro Network Security Monitor'e bazı IPS benzeri işlevler verir.
Bu Bro Ağ Güvenliği İzleyicisi HTTP, DNS ve FTP etkinliğini izlemenizi sağlar veSNMP trafiğini de izler. Bu iyi bir şeydir, çünkü SNMP genellikle ağ izleme için kullanılır, ancak güvenli bir protokol değildir. Yapılandırmaları değiştirmek için de kullanılabileceğinden, kötü niyetli kullanıcılar tarafından kullanılabilir. Araç ayrıca cihaz yapılandırma değişikliklerini ve SNMP Tuzaklarını izlemenize izin verir. Unix, Linux ve OS X üzerine kurulabilir, ancak belki de ana dezavantajı olan Windows için mevcut değildir.
Yorumlar