أحصنة طروادة للوصول عن بعد (RATs) - ما هي وكيفية حمايتها؟

click fraud protection

يعد حصان طروادة للوصول عن بعد ، أو RAT ، أحد أكثر أنواع البرامج الضارة التي يمكن للمرء التفكير فيها. يمكن أن تسبب جميع أنواع الضرر ويمكن أن تكون مسؤولة أيضًا عن خسائر باهظة في البيانات. يجب أن يتم خوضها بنشاط لأنها ، بالإضافة إلى كونها سيئة ، فهي شائعة نسبيًا. اليوم ، سنبذل قصارى جهدنا لشرح ما هي وكيف تعمل بالإضافة إلى أننا سنخبرك بما يمكن فعله للحماية منها.

سنبدأ مناقشتنا اليوم بشرح ما هو RAT. لن نتعمق كثيرًا في التفاصيل الفنية ولكننا نبذل قصارى جهدنا لشرح كيفية عملهم وكيفية وصولهم إليك. بعد ذلك ، بينما نحاول ألا نبدو بجنون العظمة ، سنرى كيف يمكن اعتبار RATs أسلحة تقريبًا. في الواقع ، تم استخدام بعضها على هذا النحو. بعد ذلك ، سنقدم عددًا من أفضل RATs المعروفة. ستعطيك فكرة أفضل عما يستطيعون فعله. سنرى بعد ذلك كيف يمكن للمرء استخدام أدوات كشف التسلل للحماية من RATs وسنراجع بعضًا من أفضل هذه الأدوات.

لذا ، ما هو RAT؟

ال حصان طروادة وصول بعيد هو نوع من البرامج الضارة التي تسمح للمتسلل عن بعد (ومن هنا الاسم) بالتحكم في جهاز الكمبيوتر. دعنا نحلل الاسم. يدور جزء طروادة حول طريقة توزيع البرامج الضارة. يشير إلى القصة اليونانية القديمة لحصان طروادة التي بناها يوليسيس لاستعادة مدينة تروي التي كانت محاصرة منذ عشر سنوات. في سياق البرامج الضارة للكمبيوتر ، يعد حصان طروادة (أو ببساطة حصان طروادة) قطعة من البرامج الضارة يتم توزيعها كشيء آخر. على سبيل المثال ، يمكن أن تكون اللعبة التي تقوم بتنزيلها وتثبيتها على جهاز الكمبيوتر الخاص بك في الواقع حصان طروادة ويمكن أن تحتوي على بعض التعليمات البرمجية للبرامج الضارة.

instagram viewer

أما بالنسبة لجزء الوصول عن بُعد من اسم RAT ، فيتعلق الأمر بما تفعله البرامج الضارة. ببساطة ، يسمح لمؤلفه بالوصول عن بعد إلى جهاز الكمبيوتر المصاب. وعندما يتمكن من الوصول عن بعد ، بالكاد توجد حدود لما يمكنه القيام به. يمكن أن يختلف من استكشاف نظام الملفات الخاص بك ، ومشاهدة أنشطتك على الشاشة ، وحصد بيانات اعتماد تسجيل الدخول الخاصة بك أو تشفير الملفات الخاصة بك لطلب فدية. يمكنه أيضًا سرقة بياناتك ، أو الأسوأ من ذلك ، بيانات عميلك. بمجرد تثبيت RAT ، يمكن أن يصبح جهاز الكمبيوتر الخاص بك مركزًا يتم من خلاله شن الهجمات على أجهزة الكمبيوتر الأخرى على الشبكة المحلية ، وبالتالي تجاوز أي أمان محيط.

الجرذان في التاريخ

للأسف ، كانت RATs موجودة منذ أكثر من عقد. ويعتقد أن التكنولوجيا لعبت دورًا في النهب المكثف للتكنولوجيا الأمريكية من قبل المتسللين الصينيين في عام 2003. اكتشف تحقيق للبنتاغون سرقة البيانات من مقاولي الدفاع الأمريكيين ، مع نقل بيانات التطوير والاختبار السرية إلى مواقع في الصين.

ربما تتذكر إغلاق شبكة كهرباء الساحل الشرقي للولايات المتحدة لعامي 2003 و 2008. كما تم إرجاع هذه إلى الصين وبدا أنها قد تم تسهيلها بواسطة RATs. يمكن للقراصنة الذين يمكنهم الحصول على RAT على النظام الاستفادة من أي من البرامج الموجودة تحت تصرف مستخدمي النظام المصاب ، غالبًا بدون أن يلاحظوا ذلك عليه.

الجرذان كأسلحة

يمكن لمطور RAT الخبيث التحكم في محطات الطاقة أو شبكات الهاتف أو المنشآت النووية أو خطوط أنابيب الغاز. على هذا النحو ، لا تشكل RATs خطرًا على أمن الشركات فقط. يمكنهم أيضًا تمكين الدول من مهاجمة دولة معادية. على هذا النحو ، يمكن اعتبارهم أسلحة. يستخدم المتسللون حول العالم RATs للتجسس على الشركات وسرقة بياناتهم وأموالهم. وفي الوقت نفسه ، أصبحت مشكلة RAT الآن قضية الأمن القومي للعديد من البلدان ، بما في ذلك الولايات المتحدة الأمريكية.

تم استخدام روسيا في الأصل للتجسس الصناعي والتخريب من قبل المتسللين الصينيين ، وقد أصبحت تقدر قوة RATs ودمجها في ترسانتها العسكرية. هم الآن جزء من استراتيجية الهجوم الروسية التي تعرف باسم "الحرب الهجينة". عندما استولت روسيا على جزء من جورجيا في عام 2008 ، استخدمت هجمات DDoS لمنع خدمات الإنترنت و RATs لجمع المعلومات الاستخبارية والسيطرة وتعطيل المعدات العسكرية الجورجية والضرورية خدمات.

عدد قليل (في) RATs الشهيرة

دعنا نلقي نظرة على بعض من أفضل RATs المعروفة. فكرتنا هنا ليست تمجيدها ، بل لإعطائك فكرة عن مدى تنوعها.

عودة الفوهة

Back Orifice هو RAT أمريكي الصنع موجود منذ عام 1998. إنه نوع من جد RATs. استغل المخطط الأصلي ضعفًا في Windows 98. الإصدارات الأحدث التي تم تشغيلها على أنظمة تشغيل Windows الأحدث كانت تسمى Back Orifice 2000 و Deep Back Orifice.

هذا RAT قادر على إخفاء نفسه داخل نظام التشغيل ، مما يجعل من الصعب اكتشافه بشكل خاص. اليوم ، على الرغم من ذلك ، فإن معظم أنظمة الحماية من الفيروسات لديها ملفات قابلة للتنفيذ Back Orifice وسلوك الإطباق كتوقيعات للبحث عنها. السمة المميزة لهذا البرنامج هو أنه يحتوي على وحدة تحكم سهلة الاستخدام يمكن للدخيل استخدامها للتنقل والتصفح حول النظام المصاب. بمجرد التثبيت ، يتواصل برنامج الخادم هذا مع وحدة تحكم العميل باستخدام بروتوكولات الشبكات القياسية. على سبيل المثال ، من المعروف استخدام رقم المنفذ 21337.

DarkComet

تم إنشاء DarkComet في عام 2008 من قبل القراصنة الفرنسيين جان بيير ليسور ، ولكنهم لم يأتوا إلا لمجتمع الأمن السيبراني الانتباه في عام 2012 عندما تم اكتشاف أن وحدة قراصنة أفارقة تستخدم النظام لاستهداف حكومة الولايات المتحدة و الجيش.

يتميز DarkComet بواجهة سهلة الاستخدام تمكن المستخدمين الذين لديهم مهارات تقنية ضئيلة أو معدومة لتنفيذ هجمات القراصنة. يسمح بالتجسس من خلال تدوين المفاتيح ، التقاط الشاشة وجمع كلمات المرور. يمكن للهاكر المتحكم أيضًا تشغيل وظائف الطاقة للكمبيوتر البعيد ، مما يسمح بتشغيل الكمبيوتر أو إيقاف تشغيله عن بُعد. يمكن أيضًا الاستفادة من وظائف الشبكة لجهاز كمبيوتر مصاب لاستخدام الكمبيوتر كخادم وكيل وإخفاء هوية المستخدم أثناء الغارات على أجهزة الكمبيوتر الأخرى. تم التخلي عن مشروع DarkComet من قبل المطور في عام 2014 عندما اكتشف أنه كان قيد الاستخدام من قبل الحكومة السورية للتجسس على مواطنيها.

سراب

Mirage هو RAT شهير تستخدمه مجموعة قراصنة صينيين برعاية الدولة. بعد حملة تجسس نشطة للغاية من عام 2009 إلى عام 2015 ، هدأت المجموعة. كانت Mirage الأداة الأساسية للمجموعة منذ عام 2012. الكشف عن متغير ميراج ، يدعى MirageFox في 2018 هو تلميح إلى أن المجموعة قد تعود إلى العمل.

تم اكتشاف MirageFox في مارس 2018 عندما تم استخدامه للتجسس على المقاولين الحكوميين في المملكة المتحدة. أما ميراج RAT الأصلي فقد تم استخدامه لشن هجمات على شركة نفط في الفلبين الجيش التايواني ، وشركة الطاقة الكندية ، وأهداف أخرى في البرازيل وإسرائيل ونيجيريا و مصر.

يتم تسليم RAT مضمن في PDF. فتحه يؤدي إلى تنفيذ البرامج النصية التي تثبت RAT. بمجرد التثبيت ، فإن أول إجراء لها هو تقديم تقرير إلى نظام القيادة والتحكم مع تدقيق قدرات النظام المصاب. تتضمن هذه المعلومات سرعة وحدة المعالجة المركزية وسعة الذاكرة واستخدامها واسم النظام واسم المستخدم.

الحماية من RATs - أدوات كشف التسلل

أحيانًا تكون برامج الحماية من الفيروسات عديمة الفائدة في الكشف عن RATs ومنعها. هذا يرجع جزئيا إلى طبيعتها. يختبئون في مرأى من الجميع كشيء آخر شرعي تمامًا. لهذا السبب ، غالبًا ما يتم اكتشافها بشكل أفضل بواسطة الأنظمة التي تقوم بتحليل أجهزة الكمبيوتر بحثًا عن سلوك غير طبيعي. تسمى هذه الأنظمة أنظمة كشف التسلل.

لقد بحثنا في السوق عن أفضل أنظمة كشف التسلل. تحتوي قائمتنا على مزيج من أنظمة كشف التسلل الحسنة والبرامج الأخرى التي تحتوي على مكون كشف التسلل أو التي يمكن استخدامها للكشف عن محاولات التسلل. عادةً ما سيقومون بعمل أفضل لتحديد أحصنة أحصنة الوصول عن بعد التي تستخدمها أنواع أخرى من أدوات حماية البرامج الضارة.

الرياح الشمسية هو اسم شائع في مجال أدوات إدارة الشبكة. بعد أن كان موجودًا منذ حوالي 20 عامًا ، جلب لنا بعضًا من أفضل أدوات إدارة الشبكة والنظام. منتجها الرئيسي ، مراقب أداء الشبكة، يسجل باستمرار بين أفضل أدوات مراقبة عرض النطاق الترددي للشبكة. الرياح الشمسية يصنع أيضًا أدوات مجانية ممتازة ، كل منها يعالج حاجة محددة لمسؤولي الشبكة. ال خادم كيوي سيسلوغ و ال حاسبة الشبكة الفرعية المتقدمة مثالان جيدان على ذلك.

مراقب تهديد الطاقة الشمسية - إصدار العمليات - لوحة القيادة
  • عرض تجريبي مجاني: مراقب تهديد الطاقة الشمسية - إصدار العمليات
  • رابط التنزيل الرسمي: https://www.solarwinds.com/threat-monitor/registration

للكشف عن التسلل إلى الشبكة ، الرياح الشمسية يقدم مراقب التهديد - IT Ops Edition. خلافا لمعظم الآخرين الرياح الشمسية الأدوات ، هذه خدمة قائمة على السحابة وليست برنامجًا مثبتًا محليًا. ما عليك سوى الاشتراك فيه ، وتكوينه ، ويبدأ في مشاهدة بيئتك لمحاولات التسلل وبعض أنواع التهديدات الأخرى. ال مراقب التهديد - IT Ops Edition يجمع بين عدة أدوات. لديها كل من كشف التسلل القائم على الشبكة والمضيف بالإضافة إلى مركزية السجلات والارتباط ، ومعلومات الأمان وإدارة الأحداث (SIEM). إنها مجموعة مراقبة شاملة للتهديدات.

ال مراقب التهديد - IT Ops Edition دائمًا ما تكون محدثة ، حيث يتم باستمرار تحديث معلومات التهديدات من مصادر متعددة ، بما في ذلك قواعد بيانات IP وسمعة المجال. وهي تراقب التهديدات المعروفة وغير المعروفة. تتميز الأداة باستجابات ذكية مؤتمتة لمعالجة الحوادث الأمنية بسرعة مما يمنحها بعض الميزات التي تشبه منع التطفل.

ميزات التنبيه الخاصة بالمنتج رائعة للغاية. هناك منبهات متعددة الشروط ومترابطة متداخلة تعمل جنبًا إلى جنب مع محرك الاستجابة النشطة للأداة وتساعد في تحديد وتلخيص الأحداث المهمة. يعتبر نظام إعداد التقارير بنفس جودة التنبيه ويمكن استخدامه لإثبات الامتثال باستخدام نماذج التقارير الموجودة مسبقًا. بدلاً من ذلك ، يمكنك إنشاء تقارير مخصصة لتناسب احتياجات عملك بدقة.

أسعار مراقب تهديد الطاقة الشمسية - إصدار العمليات تبدأ بسعر 4500 دولارًا لما يصل إلى 25 عقدًا مع 10 أيام من الفهرس. بامكانك الاتصال الرياح الشمسية للحصول على عرض أسعار مفصل يناسب احتياجاتك الخاصة. وإذا كنت تفضل ذلك رؤية المنتج في العمل ، يمكنك طلب عرض تجريبي مجاني من الرياح الشمسية.

لا تدع مدير سجل الأحداث الشمسية و SolarWindsاسم يخدعك. إنه أكثر بكثير من مجرد نظام لإدارة السجلات والأحداث. تضعه العديد من الميزات المتقدمة لهذا المنتج في نطاق معلومات الأمان وإدارة الأحداث (SIEM). ميزات أخرى تؤهلها كنظام لكشف التسلل وحتى ، إلى حد ما ، كنظام منع التسلل. تحتوي هذه الأداة على ارتباط الحدث في الوقت الفعلي ومعالجة الوقت الحقيقي ، على سبيل المثال.

لقطة من سجل SolarWinds وإدارة الأحداث
  • تجربة مجانية: مدير سجل الأحداث الشمسية و SolarWinds
  • رابط التنزيل الرسمي: https://www.solarwinds.com/log-event-manager-software/registration

ال مدير سجل الأحداث الشمسية و SolarWinds يتميز بالكشف الفوري عن نشاط مشبوه (وظيفة كشف التسلل) وردود آلية (وظيفة منع التسلل). ويمكنها أيضًا إجراء تحقيق في الأحداث الأمنية والطب الشرعي لأغراض التخفيف والامتثال. بفضل التقارير التي أثبتت فعاليتها في مجال المراجعة ، يمكن أيضًا استخدام الأداة لإثبات الامتثال لـ HIPAA و PCI-DSS و SOX وغيرها. تحتوي الأداة أيضًا على مراقبة تكامل الملفات ومراقبة جهاز USB ، مما يجعلها أكثر من نظام أمان متكامل أكثر من مجرد نظام لإدارة السجلات والأحداث.

التسعير لل مدير سجل الأحداث الشمسية و SolarWinds يبدأ من 585 دولارًا لما يصل إلى 30 عُقدة مراقبة. يمكن شراء تراخيص تصل إلى 2500 عقد مما يجعل المنتج قابلاً للتطوير بدرجة كبيرة. إذا كنت ترغب في أخذ المنتج لإجراء اختبار وتحقق بنفسك إذا كان ذلك مناسبًا لك ، يتوفر إصدار تجريبي مجاني كامل الميزات لمدة 30 يومًا.

3. OSSEC

أمان المصدر المفتوحأو OSSEC، إلى حد بعيد هو النظام الرائد للكشف عن الاختراق القائم على المضيف المفتوح المصدر. المنتج مملوك من قبل تريند مايكرو، أحد الأسماء الرائدة في أمن تكنولوجيا المعلومات وصانع واحد من أفضل أجنحة الحماية من الفيروسات. عند التثبيت على أنظمة تشغيل تشبه Unix ، يركز البرنامج بشكل أساسي على ملفات التسجيل والتكوين. يخلق المجموع الاختباري للملفات المهمة ويصادق عليها بشكل دوري ، وينبهك كلما حدث شيء غريب. سيراقب أيضًا وينبه في أي محاولة غير طبيعية للوصول إلى الجذر. على مضيفي Windows ، يراقب النظام أيضًا تعديلات التسجيل غير المصرح بها والتي يمكن أن تكون علامة على قصة نشاط ضار.

لقطة شاشة OSSEC Dashboard

بحكم كونها نظام كشف التسلل القائم على المضيف ، OSSEC يجب تثبيته على كل كمبيوتر تريد حمايته. ومع ذلك ، تقوم وحدة التحكم المركزية بدمج المعلومات من كل كمبيوتر محمي لتسهيل إدارتها. بينما ال OSSEC تعمل وحدة التحكم فقط على أنظمة التشغيل التي تشبه Unix ، يتوفر وكيل لحماية مضيفي Windows. سيؤدي أي اكتشاف إلى تشغيل تنبيه سيتم عرضه على وحدة التحكم المركزية بينما سيتم أيضًا إرسال الإشعارات عبر البريد الإلكتروني.

4. الشخير

الشخير من المحتمل أن يكون نظام كشف التسلل الأكثر شهرة مفتوح المصدر. لكنها أكثر من مجرد أداة للكشف عن التطفل. وهي أيضًا أداة رصد الحزم ومسجل الحزم ، كما أنها تحتوي على عدد قليل من الوظائف الأخرى أيضًا. تكوين المنتج يذكرنا بتكوين جدار الحماية. يتم ذلك باستخدام القواعد. يمكنك تنزيل القواعد الأساسية من الشخير موقع الويب واستخدامها كما هو أو تخصيصها لاحتياجاتك الخاصة. يمكنك أيضا الاشتراك في الشخير قواعد للحصول على أحدث القواعد تلقائيًا أثناء تطورها أو عند اكتشاف تهديدات جديدة.

Snort IDS Console على نظام التشغيل Windows

فرز دقيق للغاية ويمكن حتى لقواعده الأساسية اكتشاف مجموعة متنوعة من الأحداث مثل عمليات مسح منفذ التسلل وهجمات تجاوز سعة المخزن المؤقت وهجمات CGI وتحقيقات SMB وبصمة نظام التشغيل. لا يوجد حد افتراضي لما يمكنك اكتشافه باستخدام هذه الأداة وما يكتشفه يعتمد فقط على مجموعة القواعد التي تثبتها. أما طرق الكشف فبعضها الأساسي الشخير القواعد تعتمد على التوقيع بينما البعض الآخر يعتمد على الشذوذ. الشخير لذلك ، يمكن أن يمنحك أفضل ما في العالمين.

5. Samhain

Samhain هو نظام آخر معروف لكشف تسلل المضيف المجاني. وتتمثل ميزاته الرئيسية ، من وجهة نظر IDS ، في فحص تكامل الملف ومراقبة / تحليل ملف السجل. ومع ذلك ، فإنه يفعل أكثر من ذلك. سيقوم المنتج بإجراء الكشف عن الجذور الخفية ومراقبة المنفذ والكشف عن الملفات التنفيذية SUID المارقة والعمليات المخفية.

تم تصميم الأداة لمراقبة عدة مضيفين يشغلون أنظمة تشغيل مختلفة مع توفير تسجيل وصيانة مركزية. ومع ذلك، Samhain يمكن استخدامه كتطبيق مستقل على جهاز كمبيوتر واحد. يعمل البرنامج بشكل أساسي على أنظمة POSIX مثل Unix أو Linux أو OS X. يمكن أيضًا تشغيله على Windows ضمن Cygwin ، وهي حزمة تسمح بتشغيل تطبيقات POSIX على Windows ، على الرغم من أنه تم اختبار عامل المراقبة فقط في هذا التكوين.

Samhain IDS لقطة شاشة

واحد من Samhainالميزة الأكثر تميزًا هي وضع التخفي الذي يسمح لها بالعمل دون أن يكتشفها المهاجمون المحتملون. من المعروف أن المتسللين يقتلون بسرعة عمليات الكشف التي يتعرفون عليها بمجرد دخولهم إلى النظام قبل اكتشافهم ، مما يسمح لهم بالمرور دون أن يلاحظهم أحد. Samhain يستخدم تقنيات إخفاء المعلومات لإخفاء عملياته عن الآخرين. كما أنه يحمي ملفات السجل المركزية والنسخ الاحتياطي للتكوين باستخدام مفتاح PGP لمنع التلاعب.

6. سوريكاتا

سوريكاتا ليس فقط نظام كشف التسلل. كما أن لديها بعض ميزات منع التطفل. في الواقع ، يتم الإعلان عنه كنظام بيئي كامل لرصد أمن الشبكات. أحد أفضل أصول الأداة هو كيف تعمل على طول الطريق حتى طبقة التطبيق. وهذا يجعلها نظامًا هجينًا قائمًا على الشبكة والمضيف يتيح للأداة اكتشاف التهديدات التي من المحتمل أن تمر بها أدوات أخرى دون أن يلاحظها أحد.

لقطة شاشة

سوريكاتا هو نظام كشف التسلل الحقيقي القائم على الشبكة والذي لا يعمل فقط في طبقة التطبيق. سيراقب بروتوكولات الشبكات ذات المستوى الأدنى مثل TLS و ICMP و TCP و UDP. تفهم الأداة أيضًا بروتوكولات المستوى الأعلى وتقوم بفك تشفيرها مثل HTTP أو FTP أو SMB ويمكنها اكتشاف محاولات التطفل المخفية في الطلبات العادية. تتميز الأداة أيضًا بإمكانيات استخراج الملف التي تسمح للمسؤولين بفحص أي ملف مريب.

سوريكاتاهندسة التطبيقات مبتكرة للغاية. ستقوم الأداة بتوزيع عبء عملها على عدة نوى وسلاسل معالجة للحصول على أفضل أداء. إذا لزم الأمر ، يمكنه حتى إلغاء تحميل بعض معالجته إلى بطاقة الرسومات. هذه ميزة رائعة عند استخدام الأداة على الخوادم حيث أن بطاقة الرسومات الخاصة بهم لا تستخدم بشكل كافٍ.

7. إخوانه مراقب شبكة الأمن

ال إخوانه مراقب شبكة الأمن، نظام كشف تسلل مجاني آخر. تعمل الأداة على مرحلتين: تسجيل حركة المرور وتحليل حركة المرور. تماما مثل سوريكاتا ، إخوانه مراقب شبكة الأمن يعمل في طبقات متعددة حتى طبقة التطبيق. وهذا يسمح لكشف أفضل لمحاولات الاقتحام المنقسمة. تتكون وحدة تحليل الأداة من عنصرين. يُطلق على العنصر الأول محرك الأحداث ويتتبع الأحداث المشغلة مثل اتصالات TCP الصافية أو طلبات HTTP. ثم يتم تحليل الأحداث من خلال النصوص البرمجية للسياسة ، العنصر الثاني ، الذي يقرر ما إذا كان سيتم تشغيل المنبه و / أو إطلاق إجراء أم لا. توفر إمكانية إطلاق إجراء لـ Bro Network Security Monitor بعض الوظائف الشبيهة بـ IPS.

إخوانه مراقبة أمن الشبكة - لقطة شاشة

ال إخوانه مراقب شبكة الأمن يتيح لك تتبع نشاط HTTP و DNS و FTP كما أنه يراقب حركة مرور SNMP. هذا أمر جيد لأن SNMP غالبًا ما يُستخدم لمراقبة الشبكة ولكنه ليس بروتوكولًا آمنًا. ولأنه يمكن استخدامه أيضًا لتعديل التكوينات ، فيمكن استغلاله من قبل المستخدمين الضارين. ستتيح لك الأداة أيضًا مشاهدة تغييرات تكوين الجهاز وتراكب SNMP. يمكن تثبيته على Unix و Linux و OS X ولكنه غير متاح لـ Windows ، والذي ربما يكون عيبه الرئيسي.

watch instagram story