Троянин віддаленого доступу або RAT - один ізнайбільш небезпечні типи шкідливих програм, про які можна придумати. Вони можуть завдати всілякі збитки, а також можуть нести відповідальність за дорогі втрати даних. З ними потрібно вести активну боротьбу, тому що, крім гидких, вони відносно поширені. Сьогодні ми зробимо все можливе, щоб пояснити, що вони є, і як вони працюють, плюс ми повідомимо, що можна зробити для захисту від них.
Ми сьогодні розпочнемо нашу дискусіюпояснення, що таке RAT. Ми не будемо надто заглиблюватися в технічні деталі, але зробимо все можливе, щоб пояснити, як вони працюють і як вони дістаються до вас. Далі, намагаючись не звучати занадто паранояльно, ми побачимо, як RAT можна майже розглядати як зброю. Насправді деякі були використані як такі. Після цього ми представимо декілька найвідоміших RAT. Це дасть вам краще уявлення про те, на що вони здатні. Потім ми побачимо, як можна використовувати засоби виявлення вторгнень для захисту від RAT, і ми розглянемо деякі найкращі з цих інструментів.
Отже, що таке RAT?
The Троянин віддаленого доступу це тип зловмисного програмного забезпечення, яке дозволяє хакеру віддалено(звідси назва) взяти під контроль комп'ютер. Проаналізуємо назву. Троянська частина - це спосіб розповсюдження зловмисного програмного забезпечення. Він посилається на давньогрецьку історію про троянську коня, яку побудував Улісс, щоб забрати місто Трою, яке було обложене десять років. У контексті комп’ютерного зловмисного програмного забезпечення троянський кінь (або просто троянський) - це частина зловмисного програмного забезпечення, яка поширюється як щось інше. Наприклад, гра, яку ви завантажуєте та встановлюєте на свій комп'ютер, насправді може бути троянським конем, і вона може містити код зловмисного програмного забезпечення.
Що стосується частини віддаленого доступу до імені RAT,це стосується того, що робить зловмисне програмне забезпечення. Простіше кажучи, це дозволяє його автору мати віддалений доступ до зараженого комп'ютера. А коли він отримує віддалений доступ, ледь не існує обмежень у тому, що він може зробити. Це може відрізнятись від вивчення вашої файлової системи, перегляду вашої діяльності на екрані, збирання облікових даних для входу або шифрування файлів, щоб вимагати викупу. Він також може вкрасти ваші дані або, що ще гірше, ваші клієнти. Після встановлення RAT комп'ютер може стати центром, з якого запускаються атаки на інші комп'ютери в локальній мережі, тим самим минаючи будь-яку безпеку периметра.
RAT в історії
RAT, на жаль, існували протягом більше ніждесятиліття. Вважається, що ця технологія зіграла свою роль у великому розкраданні американських технологій китайськими хакерами ще в 2003 р. Розслідування Пентагону виявило крадіжку даних у американських підрядників із оборони, а класифіковані дані про розробку та тестування перенесли в місця розташування в Китаї.
Можливо, ви згадаєте Схід СШАВідключення мереж берегової електромережі в 2003 та 2008 роках. Вони також простежуються до Китаю і, здається, сприяли RAT. Хакер, який може отримати RAT на систему, може скористатися будь-яким програмним забезпеченням, яке мають у розпорядженні користувачі зараженої системи, часто навіть не помічаючи цього.
RATs як зброя
Зловмисний розробник RAT може взяти під контрольелектростанції, телефонні мережі, ядерні споруди або газопроводи. Таким чином, RAT не становлять лише ризик для корпоративного забезпечення. Вони також можуть дати можливість націям нападати на ворожу країну. Як таких, їх можна розглядати як зброю. Хакери по всьому світу використовують RAT, щоб шпигувати за компаніями та викрадати їхні дані та гроші. Тим часом проблема RAT тепер стала проблемою національної безпеки для багатьох країн, включаючи США.
Спочатку використовується для промислового шпигунства таПід час диверсій китайських хакерів Росія оцінила силу RAT і інтегрувала їх у свій військовий арсенал. Зараз вони є частиною російської стратегії правопорушень, яка відома як "гібридна війна". Коли Росія захопила частину Грузії в 2008 році, вона застосовувала DDoS-атаки для блокування Інтернет-сервісів і RAT для збору розвідки, контролю та зриву грузинської військової апаратури та основних служб.
Кілька (в) відомих RAT
Давайте подивимось на кілька найвідоміших RAT. Наша ідея полягає не в тому, щоб прославити їх, а натомість дати вам уявлення про те, наскільки вони різноманітні.
Задній отвір
Назад Orifice - це американський RAT, який маєІснує онук RATs. Первісна схема використовувала слабкість у Windows 98. Пізніші версії, які працювали на новіших операційних системах Windows, називалися Back Orifice 2000 та Deep Back Orifice.
Ця RAT здатна приховати себе в межахопераційна система, що робить його особливо важким для виявлення. Однак сьогодні більшість систем захисту від вірусів мають виконуючі файли Back Orifice та поведінку оклюзії як підписи, на які слід звернути увагу. Відмінною особливістю цього програмного забезпечення є те, що він має просту у користуванні консоль, яку зловмисник може використовувати для навігації та перегляду інфікованої системи. Після встановлення ця серверна програма спілкується з консоллю клієнта за допомогою стандартних мережевих протоколів. Наприклад, відомо, що використовується номер порту 21337.
DarkComet
DarkComet був створений ще в 2008 році французамихакер Жан-П'єр Лесюр, але привернув увагу спільноти кібербезпеки лише у 2012 році, коли було виявлено, що африканський хакерський підрозділ використовує систему для націлення на уряд США та військових.
DarkComet характеризується простотою у використанніінтерфейс, що дозволяє користувачам мало або взагалі не мати технічних навичок здійснювати хакерські атаки. Це дозволяє шпигувати за допомогою блогування журналів, захоплення екрана та збирання пароля. Контролюючий хакер також може керувати функціями живлення віддаленого комп'ютера, дозволяючи комп'ютеру вмикати або вимикати віддалено. Мережеві функції зараженого комп’ютера також можна використовувати для використання комп'ютера як проксі-сервера та маскування ідентичності користувача під час рейдів на інші комп’ютери. Проект DarkComet був відмовлений розробником ще в 2014 році, коли було виявлено, що сирійський уряд його використовує для шпигування своїх громадян.
Міраж
Mirage - відомий RAT, який використовується державним спонсоромКитайська хакерська група. Після дуже активної шпигунської кампанії з 2009 по 2015 рік група затихла. Mirage був основним інструментом групи з 2012 року. Виявлення варіанту Mirage під назвою MirageFox у 2018 році є натяком на те, що група може повернутися до дії.
MirageFox був виявлений у березні 2018 року, коли вінбув використаний, щоб шпигувати за державними підрядниками Великобританії. Що стосується оригінального RAT Mirage, він використовувався для атак на нафтову компанію на Філіппінах, тайванських військових, канадської енергетичної компанії та інших цілей у Бразилії, Ізраїлі, Нігерії та Єгипті.
Цей RAT постачається вбудованим у PDF. Відкриваючи це, змушують виконувати скрипти, які встановлюють RAT. Після встановлення його першою дією є звітування в систему командування та управління з аудитом можливостей зараженої системи. Ця інформація включає швидкість процесора, ємність та використання пам'яті, ім'я системи та ім’я користувача.
Захист від RATs - інструменти виявлення вторгнень
Засоби захисту від вірусів іноді марнівиявлення та запобігання RAT. Почасти це пов’язано з їх природою. Вони ховаються перед очей як щось інше, що є абсолютно законним. З цієї причини їх часто найкраще виявляють системи, які аналізують комп'ютери на аномальну поведінку. Такі системи називаються системами виявлення вторгнень.
Ми шукали ринок найкращого вторгненняСистеми виявлення У нашому списку міститься поєднання сумлінних систем виявлення вторгнень та іншого програмного забезпечення, яке містить компонент виявлення вторгнень або яке може бути використане для виявлення спроб вторгнення. Вони, як правило, роблять кращу роботу з виявлення троянів віддаленого доступу та інших засобів захисту від зловмисних програм.
1. SolarWinds Threat Monitor - IT Ops Edition (БЕЗКОШТОВНА демонстрація)
Сонячні вітри є загальною назвою в області інструментів мережевого адміністрування. Провівши десь 20 років, це принесло нам найкращі інструменти мережевого та системного адміністрування. Його флагманський продукт, the Монітор ефективності роботи мережістабільно забиває серед найкращих інструментів контролю пропускної здатності мережі. Сонячні вітри також робить чудові безкоштовні інструменти, кожен з яких відповідає конкретній потребі мережевих адміністраторів. The Сервер Kiwi Syslog і Розширений калькулятор підмережі - два хороших приклади цього.
- БЕЗКОШТОВНА демонстрація: SolarWinds Threat Monitor - IT Ops Edition
- Офіційне посилання для завантаження: https://www.solarwinds.com/threat-monitor/registration
Для виявлення вторгнень на основі мережі, Сонячні вітри пропонує Threat Monitor - IT Ops Edition. Всупереч більшості інших Сонячні вітри Інструменти, це скоріше хмарний сервісніж локально встановлене програмне забезпечення. Ви просто підписуєтесь на нього, налаштовуєте його, і він починає переглядати ваше оточення для спроб вторгнення та ще кількох типів загроз. The Threat Monitor - IT Ops Edition поєднує кілька інструментів. Він має як мережеве, так і хост-виявлення вторгнень, а також централізацію та кореляцію журналів, а також інформацію про безпеку та управління подіями (SIEM). Це дуже ретельний набір моніторингу загроз.
The Threat Monitor - IT Ops Edition завжди в курсі, постійно оновлюєтьсярозвідки про загрози з різних джерел, включаючи бази даних IP та домену репутації. Він спостерігає за відомими та невідомими загрозами. Інструмент має автоматизовані інтелектуальні реакції на швидке усунення аварійних ситуацій із безпекою, надаючи йому деякі функції, схожі на попередження вторгнення.
Особливості сповіщення продукту доситьвражаюче. Існують багато умовні, перехресні кореляційні сигнали тривоги, які працюють разом із механізмом активного реагування інструменту та допомагають визначити та узагальнити важливі події. Система звітування настільки ж хороша, як і її оповіщення, і її можна використовувати для демонстрації відповідності за допомогою наявних заздалегідь створених шаблонів звітів. Крім того, ви можете створювати спеціальні звіти, щоб точно відповідати вашим потребам бізнесу.
Ціни на SolarWinds Threat Monitor - IT Ops Edition починати з $ 4 500 для до 25 вузлів з 10-денним індексом. Ви можете зв’язатися Сонячні вітри для детальної цитати, адаптованої до ваших конкретних потреб. І якщо ви віддаєте перевагу бачити продукт у дії, ви можете попросити безкоштовну демонстраційну версію Сонячні вітри.
2. Журнал SolarWinds & Менеджер подій (Безкоштовний пробний період)
Не пускайте Журнал SolarWinds & Менеджер подійЗвати тебе дурнем. Це набагато більше, ніж просто система управління журналами та подіями. Багато вдосконалених функцій цього продукту відносять його до діапазону інформації про безпеку та управління подіями (SIEM). Інші особливості кваліфікують це як систему виявлення вторгнень і, певною мірою, як систему попередження вторгнень. Цей інструмент, наприклад, містить кореляцію подій у реальному часі та виправлення в реальному часі.
- Безкоштовний пробний період: Журнал SolarWinds & Менеджер подій
- Офіційне посилання для завантаження: https://www.solarwinds.com/log-event-manager-software/registration
The Журнал SolarWinds & Менеджер подій особливості миттєвого виявлення підозрілихактивність (функція виявлення вторгнень) та автоматизовані реакції (функція запобігання вторгнень). Він також може виконувати розслідування подій безпеки та криміналістику як з метою пом'якшення, так і з метою дотримання. Завдяки перевіреному аудитом звіту, інструмент також може бути використаний для демонстрації відповідності HIPAA, PCI-DSS та SOX, серед інших. Інструмент також має моніторинг цілісності файлів та моніторинг пристроїв USB, що робить його набагато більше інтегрованою платформою безпеки, ніж просто системою управління журналом та подіями.
Ціноутворення на Журнал SolarWinds & Менеджер подій починається від $ 4 585 для до 30 відстежуваних вузлів. Ліцензії на до 2 500 вузлів можна придбати, що робить продукт високомасштабним. Якщо ви хочете взяти продукт на пробний пробіг і переконатися, чи правильно він для вас, доступна безкоштовна повнофункціональна 30-денна пробна версія.
3. OSSEC
Безпека з відкритим кодом, або OSSEC, на сьогоднішній день є провідною системою виявлення вторгнень на основі відкритого коду. Продукт належить компанії Trend Micro, одне з провідних імен в галузі ІТ-безпеки тавиробник одного з найкращих пакетів захисту від вірусів. При встановленні в операційних системах, схожих на Unix, програмне забезпечення в основному фокусується на файлах журналу та конфігурації. Він створює контрольні суми важливих файлів і періодично їх перевіряє, попереджаючи про те, коли трапляється щось дивне. Він також буде стежити і повідомляти про будь-які ненормальні спроби отримати кореневий доступ. На хостах Windows система також стежить за несанкціонованими змінами реєстру, які можуть бути показовою ознакою шкідливої діяльності.
Завдяки системі виявлення вторгнень на основі хоста, OSSEC потрібно встановити на кожному комп’ютері, який ви хочете захистити. Однак централізована консоль консолідує інформацію з кожного захищеного комп'ютера для легшого управління. У той час як OSSEC консоль працює лише в операційних системах Unix-Like,доступний агент для захисту хостів Windows. Будь-яке виявлення спричинить сповіщення, яке відображатиметься на централізованій консолі, а сповіщення також надсилатимуться електронною поштою.
4. Хрип
Хрип є, мабуть, найвідомішим відкритим кодоммережева система виявлення вторгнень. Але це більше, ніж інструмент виявлення вторгнень. Це також sniffer пакетів та реєстратор пакетів, він також пакує кілька інших функцій. Налаштування продукту нагадує налаштування брандмауера. Це робиться за допомогою правил. Ви можете завантажити базові правила з Хрип веб-сайт і використовувати їх як є або налаштувати їх під ваші конкретні потреби. Ви також можете підписатися на Хрип правила для автоматичного отримання всіх останніх правил у міру їх розвитку або в міру виявлення нових загроз.
Сортувати дуже ретельний і навіть його основні правила можутьвиявити найрізноманітніші події, такі як сканування портів невидимки, атаки переповнення буфера, CGI-атаки, SMB-зонди та відбитки пальців на ОС. Практично немає обмежень щодо того, що ви можете виявити за допомогою цього інструменту та того, що він виявляє, залежить виключно від встановленого вами правила. Що стосується методів виявлення, то деякі основні Хрип правила ґрунтуються на підписах, а інші - на основі аномалії. Хрип тому може дати вам найкраще з обох світів.
5. Самхайн
Самхайн - ще одне відоме вільне вторгнення хостасистема виявлення. Основними його особливостями, з точки зору IDS, є перевірка цілісності файлів та моніторинг / аналіз файлів журналу. Однак це набагато більше, ніж це. Продукт виконуватиме виявлення руткітів, моніторинг портів, виявлення шахрайських виконуваних файлів SUID та прихованих процесів.
Інструмент був розроблений для контролю кількох хостів, що працюють під різними операційними системами, забезпечуючи централізований журнал та обслуговування. Однак, Самхайн може також використовуватися як окремий додаток наєдиний комп’ютер. Програмне забезпечення в основному працює в системах POSIX, таких як Unix, Linux або OS X. Також воно може працювати в Windows під Cygwin - пакет, який дозволяє запускати POSIX-програми в Windows, хоча в цій конфігурації був протестований лише агент моніторингу.
Один з СамхайнНайбільш унікальною особливістю є його стелс-режим, якийдозволяє йому працювати без виявлення потенційних зловмисників. Відомо, що зловмисники швидко вбивають процеси виявлення, які вони розпізнають, як тільки вони входять до системи, перш ніж їх виявляють, дозволяючи їм пройти непомітно. Самхайн використовує стеганографічні прийоми, щоб приховати свої процеси від інших. Він також захищає свої центральні файли журналів та резервні копії конфігурації за допомогою PGP-клавіші для запобігання фальсифікації.
6. Суріката
Суріката це не лише система виявлення вторгнень. Він також має деякі функції запобігання вторгнень. Фактично, вона рекламується як повна екосистема моніторингу безпеки мережі. Одним з найкращих ресурсів інструменту є те, як він працює до рівня додатка. Це робить його гібридною мережевою та хост-системою, яка дозволяє інструменту виявляти загрози, які, ймовірно, не помітять інших інструментів.
Суріката є справжньою мережевою системою виявлення вторгненьСистема, яка працює не тільки на рівні додатків. Він буде контролювати мережеві протоколи нижчого рівня, такі як TLS, ICMP, TCP та UDP. Інструмент також розуміє та розшифровує протоколи вищого рівня, такі як HTTP, FTP або SMB і може виявляти спроби вторгнення, заховані в звичайних запитах. Інструмент також має можливості вилучення файлів, що дозволяє адміністраторам перевірити будь-який підозрілий файл.
СурікатаАрхітектура додатків досить інноваційна. Інструмент розподілить своє навантаження на декілька процесорних ядер і потоків для найкращої продуктивності. Якщо це потрібно, він може навіть завантажити частину своєї обробки на відеокарту. Це відмінна особливість при використанні інструменту на серверах, оскільки їх графічна карта зазвичай не використовується.
7. Монітор безпеки мережі Bro
The Монітор безпеки мережі Bro, інша безкоштовна мережа виявлення вторгнень в мережу. Інструмент працює у дві фази: ведення журналу руху та аналіз трафіку. Так само, як Суріката, Монітор безпеки мережі Bro працює на декількох шарах до програмишар. Це дозволяє краще виявити розбиті спроби вторгнення. Модуль аналізу інструменту складається з двох елементів. Перший елемент називається двигуном подій, і він відстежує запускаючі події, такі як чисті TCP-з'єднання або HTTP-запити. Потім події аналізуються сценаріями політики, другим елементом, який вирішує, чи слід спрацювати тривогу та / або запустити дію. Можливість запуску акції надає Bro Network Monitor Monitor деяку функціональність, подібну до IPS.
The Монітор безпеки мережі Bro дозволяє відстежувати активність HTTP, DNS та FTP і цетакож контролює трафік SNMP. Це добре, тому що SNMP часто використовується для моніторингу мережі, але це не захищений протокол. А оскільки він також може використовуватися для зміни конфігурацій, його можуть використовувати шкідливі користувачі. Інструмент також дозволить вам спостерігати за змінами конфігурації пристрою та захопленнями SNMP. Він може бути встановлений на Unix, Linux та OS X, але він недоступний для Windows, що, мабуть, є його головним недоліком.
Коментарі