Trojanere med fjernadgang (RATs) - Hvad er de, og hvordan man beskytter mod dem?

Remote Access Trojan, eller RAT, er en af ​​de vildeste typer malware, man kan tænke på. De kan forårsage alle slags skader, og de kan også være ansvarlige for dyre datatab. De skal kæmpes aktivt, fordi de ud over at være grimme er relativt almindelige. I dag gør vi vores bedste for at forklare, hvad de er, og hvordan de fungerer, og vi vil fortælle dig, hvad der kan gøres for at beskytte mod dem.

Vi starter vores diskussion i dag med at forklare, hvad en RAT er. Vi går ikke for dybt i de tekniske detaljer, men gør vores bedste for at forklare, hvordan de fungerer, og hvordan de kommer til dig. Dernæst, mens vi prøver ikke at lyde for paranoide, ser vi, hvordan RATs næsten kan ses som våben. Faktisk er nogle blevet brugt som sådan. Derefter introducerer vi et par af de bedst kendte RATs. Det giver dig en bedre idé om, hvad de er i stand til. Vi vil derefter se, hvordan man kan bruge indtrængende detekteringsværktøjer til at beskytte mod RATs, og vi vil gennemgå nogle af de bedste af disse værktøjer.

Så hvad er en RAT?

Det Fjernadgang Trojan er en type malware, der lader en hacker eksternt (deraf navnet) tage kontrol over en computer. Lad os analysere navnet. Trojan-delen handler om, hvordan malware distribueres. Det henviser til den antikke græske historie om trojanske hesten, som Ulysses byggede for at tage byen Troy tilbage, som var blevet belejret i ti år. I forbindelse med computer malware er en trojansk hest (eller simpelthen trojan) et stykke malware, der distribueres som noget andet. For eksempel kan et spil, som du downloader og installerer på din computer, faktisk være en trojansk hest, og det kan indeholde en vis malware-kode.

Hvad angår fjernadgangsdelen af ​​RAT's navn, har det at gøre med, hvad malware gør. Kort sagt giver det forfatteren mulighed for at få fjernadgang til den inficerede computer. Og når han får fjernadgang, er der knap nogen grænser for, hvad han kan gøre. Det kan variere fra at udforske dit filsystem, se dine aktiviteter på skærmen, høste dine loginoplysninger eller kryptere dine filer for at kræve løsepenge. Han kunne også stjæle dine data eller, endnu værre, din klients. Når RAT er installeret, kan din computer blive et knudepunkt, hvorfra angreb lanceres på andre computere på det lokale netværk, hvorved man omgår enhver perimetersikkerhed.

Rat i historien

Rat har desværre eksisteret i over et årti. Det menes, at teknologien har spillet en rolle i den omfattende plyndring af amerikansk teknologi fra kinesiske hackere i 2003. En Pentagon-undersøgelse opdagede datatyveri fra amerikanske forsvarsentreprenører, hvor klassificerede udviklings- og testdata blev overført til lokationer i Kina.

Måske husker du De Forenede Staters østkyst nedlukning af strømnettet i 2003 og 2008. Disse blev også sporet tilbage til Kina og syntes at være blevet lettet af RATs. En hacker, der kan få en RAT på et system, kan drage fordel af noget af den software, som brugerne af det inficerede system har til rådighed, ofte uden dem engang at lægge mærke til det det.

Rat som våben

En ondsindet RAT-udvikler kan tage kontrol over kraftværker, telefonnet, nukleare anlæg eller gasledninger. Som sådan udgør RATs ikke kun en risiko for virksomhedernes sikkerhed. De kan også sætte nationer i stand til at angribe et fjendeland. Som sådan kan de ses som våben. Hackere over hele verden bruger RATs til at spionere på virksomheder og stjæle deres data og penge. I mellemtiden er RAT-problemet nu blevet et spørgsmål om national sikkerhed for mange lande, inklusive USA.

Rusland, der oprindeligt blev brugt til industriel spionage og sabotage af kinesiske hackere, er kommet til at sætte pris på RAT's magt og har integreret dem i dets militære arsenal. De er nu en del af den russiske lovovertrædelsesstrategi, der er kendt som "hybrid krigsførelse." Da Rusland beslaglagde en del af Georgien i 2008, beskæftigede det DDoS-angreb for at blokere internettjenester og RATs for at indsamle efterretning, kontrol og forstyrre georgisk militær hardware og essentiel forsyningsselskaber.

Et par berømte rat

Lad os se på et par af de mest kendte RATs. Vores idé her er ikke at glorificere dem, men i stedet for at give dig en idé om, hvor forskellige de er.

Tilbage åbning

Back Orifice er en amerikansk-RAT, der har eksisteret siden 1998. Det er slags bedstemor til RATs. Det originale skema udnyttede en svaghed i Windows 98. Senere versioner, der kørte på nyere Windows-operativsystemer, blev kaldt Back Orifice 2000 og Deep Back Orifice.

Denne RAT er i stand til at skjule sig selv i operativsystemet, hvilket gør det særligt svært at opdage. I dag har de fleste virusbeskyttelsessystemer dog de Back Orifice-eksekverbare filer og okklusionsadfærd som underskrifter til at passe på. Et kendetegn ved denne software er, at den har en brugervenlig konsol, som ubuden gæster kan bruge til at navigere og gennemse det inficerede system. Når det er installeret, kommunikerer dette serverprogram med klientkonsollen ved hjælp af almindelige netværksprotokoller. Det er for eksempel kendt at bruge portnummer 21337.

DarkComet

DarkComet blev skabt i 2008 af den franske hacker Jean-Pierre Lesueur, men kom kun til cybersecurity-samfundets opmærksomhed i 2012, da det blev opdaget, at en afrikansk hackerenhed brugte systemet til at målrette den amerikanske regering og militær.

DarkComet er kendetegnet ved en brugervenlig grænseflade, der gør det muligt for brugere med ringe eller ingen tekniske færdigheder at udføre hackerangreb. Det tillader spionering gennem keylogging, skærmfangst og adgangskodehøstning. Den kontrollerende hacker kan også betjene strømfunktionerne på en ekstern computer, så en computer kan tændes eller slukkes eksternt. Netværksfunktionerne på en inficeret computer kan også udnyttes til at bruge computeren som en proxyserver og maske brugerens identitet under angreb på andre computere. DarkComet-projektet blev opgivet af sin udvikler allerede i 2014, da det blev opdaget, at det var i brug af den syriske regering til at spionere på sine borgere.

Mirage

Mirage er en berømt RAT, der bruges af en stats sponsoreret kinesisk hacker-gruppe. Efter en meget aktiv spioneringskampagne fra 2009 til 2015 gik gruppen stille. Mirage var gruppens primære værktøj fra 2012. Påvisningen af ​​en Mirage-variant, kaldet MirageFox i 2018, er en antydning om, at gruppen kunne være tilbage i aktion.

MirageFox blev opdaget i marts 2018, da det blev brugt til at spionere på britiske regeringsentreprenører. Hvad angår den oprindelige Mirage RAT, blev den brugt til angreb på et olieselskab i Filippinerne Taiwanesiske militær, et canadisk energiselskab og andre mål i Brasilien, Israel, Nigeria og Egypten.

Denne RAT leveres indlejret i en PDF. Åbning af det får scripts til at udføre, som installerer RAT. Når den først er installeret, er dens første handling at rapportere tilbage til kommando- og kontrolsystemet med en revision af det inficerede systems muligheder. Disse oplysninger inkluderer CPU-hastighed, hukommelseskapacitet og anvendelse, systemnavn og brugernavn.

Beskyttelse mod rotter - Intrusionsdetekteringsværktøjer

Virusbeskyttelsessoftware er undertiden ubrugelig til at registrere og forhindre RATs. Dette skyldes delvis deres art. De skjuler sig lige som noget andet, der er fuldstændig legitim. Af den grund opdages de ofte bedst af systemer, der analyserer computere for unormal opførsel. Sådanne systemer kaldes intrusionsdetekteringssystemer.

Vi har søgt på markedet efter de bedste systemer til detektion af indtrængen. Vores liste indeholder en blanding af bona fide-intrusionsdetektionssystemer og anden software, der har en intrusionsdetekteringskomponent, eller som kan bruges til at registrere intrusionsforsøg. De vil typisk gøre et bedre stykke arbejde med at identificere fjernadgangstrojaner, som andre typer malware-beskyttelsesværktøjer.

SolarWinds er et almindeligt navn inden for netværksadministrationsværktøjer. Efter at have eksisteret i omkring 20 år bragte det os nogle af de bedste netværks- og systemadministrationsværktøjer. Dets flagskibsprodukt, Network Performance Monitor, scorer konsekvent blandt de øverste overvågningsværktøjer til båndbredde på netværket. SolarWinds gør også fremragende gratis værktøjer, der hver især imødekommer et specifikt behov hos netværksadministratorer. Det Kiwi Syslog Server og Avanceret undernetberegner er to gode eksempler på dem.

• GRATIS demonstration: SolarWinds Threat Monitor - IT Ops Edition
• Officielt downloadlink: https://www.solarwinds.com/threat-monitor/registration

Til netværksbaseret indtrængningsdetektion, SolarWinds tilbyder Threat Monitor - IT Ops Edition. I modsætning til de fleste andre SolarWinds værktøjer, denne er en skybaseret tjeneste snarere end en lokalt installeret software. Du abonnerer simpelthen på det, konfigurerer det, og det begynder at se dit miljø for indtrængenforsøg og et par flere typer trusler. Det Threat Monitor - IT Ops Edition kombinerer flere værktøjer. Det har både netværks- og værtsbaseret intrusionsdetektion såvel som logcentralisering og korrelation samt Sikkerhedsinformation og begivenhedsstyring (SIEM). Det er en meget grundig trusselovervågningssuite.

Det Threat Monitor - IT Ops Edition er altid ajour og konstant får opdateret trusselsinformation fra flere kilder, herunder IP- og domæne-omdømme-databaser. Det holder øje med både kendte og ukendte trusler. Værktøjet indeholder automatiserede intelligente svar til hurtigt at afhjælpe sikkerhedshændelser, hvilket giver det nogle indtrængenforebyggelseslignende funktioner.

Produktets advarselsfunktioner er ganske imponerende. Der er multikonditionelle, krydskorrelerede alarmer, der fungerer sammen med værktøjets Active Response-motor og hjælper med at identificere og sammenfatte vigtige begivenheder. Rapporteringssystemet er lige så godt som dets alarmering og kan bruges til at demonstrere overensstemmelse ved hjælp af eksisterende forudbyggede rapportskabeloner. Alternativt kan du oprette tilpassede rapporter, der præcist passer til dine forretningsbehov.

Priser for SolarWinds Threat Monitor - IT Ops Edition start ved $ 4 500 for op til 25 noder med 10 dages indeks. Du kan kontakte SolarWinds for et detaljeret tilbud tilpasset dine specifikke behov. Og hvis du foretrækker det se produktet i aktion, kan du anmode om en gratis demo fra SolarWinds.

Lad ikke det SolarWinds Log & Event Manager'S navn narre dig. Det er meget mere end bare et log- og eventstyringssystem. Mange af de avancerede funktioner i dette produkt lægger det i SIEM-området (Security Information and Event Management). Andre funktioner kvalificerer det som et intrusionsdetekteringssystem og endda til en vis grad som et intrusionsforebyggelsessystem. Dette værktøj indeholder f.eks. Korrelation i realtid og genanvendelse i realtid.

• Gratis prøveversion: SolarWinds Log & Event Manager
• Officielt downloadlink: https://www.solarwinds.com/log-event-manager-software/registration

Det SolarWinds Log & Event Manager indeholder øjeblikkelig detektion af mistænkelig aktivitet (en funktion til intrusionsdetektering) og automatiserede svar (en funktion til forebyggelse af indtrængen). Det kan også udføre sikkerhedsbegivenhedsundersøgelse og kriminalteknologi til både formildende og overholdelsesformål. Takket være sin revisionsprøvede rapportering kan værktøjet også bruges til at demonstrere overensstemmelse med HIPAA, PCI-DSS og SOX, blandt andre. Værktøjet har også filintegritetsovervågning og USB-enhedsovervågning, hvilket gør det meget mere til en integreret sikkerhedsplatform end blot et log- og begivenhedsstyringssystem.

Priser for SolarWinds Log & Event Manager starter ved $ 4 585 for op til 30 overvågede noder. Licenser til op til 2 500 noder kan købes, hvilket gør produktet meget skalerbart. Hvis du vil tage produktet til en testkørsel og se selv, om det er rigtigt for dig, en gratis komplet 30-dages prøveversion er tilgængelig.

3. OSSEC

Open Source Security, eller OSSEC, er langt det førende open-source værtbaserede intrusionsdetekteringssystem. Produktet ejes af Trend Micro, et af de førende navne inden for it-sikkerhed og producenten af ​​en af ​​de bedste virusbeskyttelses suiter. Når den er installeret på Unix-lignende operativsystemer, fokuserer softwaren primært på log- og konfigurationsfiler. Det opretter kontrolsummer af vigtige filer og validerer dem med jævne mellemrum og advarer dig, når der sker noget underligt. Det vil også overvåge og advare om ethvert unormalt forsøg på at få rodadgang. På Windows-værter holder systemet også øje med uautoriserede registreringsdatabaseændringer, der kan være et fortællende tegn på ondsindet aktivitet.

I kraft af at være et værtsbaseret system til detektion af indtrængen, OSSEC skal installeres på hver computer, du vil beskytte. Imidlertid konsoliderer en centraliseret konsol information fra hver beskyttet computer for lettere administration. Mens OSSEC konsol kører kun på Unix-lignende operativsystemer, en agent er tilgængelig til at beskytte Windows-værter. Enhver detektion udløser en alarm, der vises på den centraliserede konsol, mens underretninger også sendes via e-mail.

4. Snøfte

Snøfte er sandsynligvis det bedst kendte open source-netværksbaserede intrusionsdetekteringssystem. Men det er mere end et indtrædelsesdetekteringsværktøj. Det er også en pakkesniffer og en pakkelogger, og den pakker også et par andre funktioner. Konfiguration af produktet minder om konfiguration af en firewall. Det gøres ved hjælp af regler. Du kan downloade basisregler fra Snøfte websted og brug dem som den er eller tilpas dem efter dine specifikke behov. Du kan også abonnere på Snøfte regler for automatisk at få alle de nyeste regler, når de udvikler sig, eller når nye trusler opdages.

Sortere er meget grundig, og endda dens grundlæggende regler kan registrere en lang række begivenheder, såsom stealth-port-scanninger, bufferoverløbsangreb, CGI-angreb, SMB-prober og OS-fingeraftryk. Der er næsten ingen grænse for, hvad du kan registrere med dette værktøj, og hvad det registrerer, afhænger udelukkende af det regelsæt, du installerer. Hvad angår detektionsmetoder, nogle af de grundlæggende Snøfte regler er signaturbaserede, mens andre er anomali-baserede. Snøfte kan derfor give dig det bedste fra begge verdener.

5. Samhain

Samhain er et andet velkendt system til fri registrering af indtrængen til vært. Dets vigtigste funktioner fra et IDS-synspunkt er filintegritetskontrol og logfilovervågning / -analyse. Men det gør mere end det. Produktet udfører rootkit-detektion, portovervågning, detektion af slyngelige SUID-eksekverbare computere og skjulte processer.

Værktøjet var designet til at overvåge flere værter, der kører forskellige operativsystemer, mens det leverer centraliseret logning og vedligeholdelse. Imidlertid, Samhain kan også bruges som et selvstændigt program på en enkelt computer. Softwaren kører primært på POSIX-systemer som Unix, Linux eller OS X. Det kan også køre på Windows under Cygwin, en pakke, der tillader at køre POSIX-applikationer på Windows, selvom kun overvågningsagenten er testet i den konfiguration.

En af SamhainDen mest unikke funktion er dens stealth-tilstand, der giver den mulighed for at køre uden at blive opdaget af potentielle angribere. Det har været kendt for indtrængende, at de hurtigt dræber detektionsprocesser, de genkender, så snart de kommer ind i et system, før de opdages, hvilket tillader dem at gå upåagtet hen. Samhain bruger steganografiske teknikker til at skjule sine processer for andre. Det beskytter også sine centrale logfiler og konfigurationssikkerhedskopier med en PGP-nøgle for at forhindre manipulation.

6. Suricata

Suricata er ikke kun et intrusionsdetektionssystem. Det har også nogle funktioner til forebyggelse af indtrængen. Faktisk annonceres det som et komplet økosystem for overvågning af netværkssikkerhed. Et af værktøjets bedste aktiver er, hvordan det fungerer helt op til applikationslaget. Dette gør det til et hybrid netværks- og værtsbaseret system, der gør det muligt for værktøjet at opdage trusler, der sandsynligvis ville blive bemærket af andre værktøjer.

Suricata er et ægte netværksbaseret intrusionsdetekteringssystem, der ikke kun fungerer i applikationslaget. Det vil overvåge netværksprotokoller på lavere niveau som TLS, ICMP, TCP og UDP. Værktøjet forstår og afkoder også protokoller på højere niveau, såsom HTTP, FTP eller SMB, og kan detektere indbrudsforsøg, der er skjult i ellers normale anmodninger. Værktøjet indeholder også filekstraktionsfunktioner, der giver administratorer mulighed for at undersøge enhver mistænkelig fil.

Suricata'S applikationsarkitektur er ret nyskabende. Værktøjet vil distribuere sin arbejdsbelastning over flere processorkerner og tråde for den bedste ydelse. Hvis det er nødvendigt, kan det endda downloade en del af dens behandling til grafikkortet. Dette er en fantastisk funktion, når du bruger værktøjet på servere, da deres grafikkort typisk er underbrugt.

7. Bro Network Security Monitor

Det Bro Network Security Monitor, et andet gratis netværksindtrædelsesdetektionssystem. Værktøjet fungerer i to faser: trafikregistrering og trafikanalyse. Ligesom Suricata, Bro Network Security Monitor fungerer på flere lag op til applikationslaget. Dette muliggør bedre registrering af splitindbrudsforsøg. Værktøjets analysemodul består af to elementer. Det første element kaldes hændelsesmotoren, og det sporer udløsende begivenheder såsom netto TCP-forbindelser eller HTTP-anmodninger. Begivenhederne analyseres derefter ved hjælp af politiske scripts, det andet element, der bestemmer, om der skal udløses en alarm eller ikke eller iværksættes en handling. Muligheden for at starte en handling giver Bro Network Security Monitor nogle IPS-lignende funktionalitet.

Det Bro Network Security Monitor lader dig spore HTTP-, DNS- og FTP-aktivitet, og den overvåger også SNMP-trafik. Dette er en god ting, fordi SNMP ofte bruges til netværksovervågning, men det er ikke en sikker protokol. Og da det også kan bruges til at ændre konfigurationer, kan det udnyttes af ondsindede brugere. Værktøjet giver dig også mulighed for at se enhedskonfigurationsændringer og SNMP-fælder. Det kan installeres på Unix, Linux og OS X, men det er ikke tilgængeligt for Windows, hvilket måske er dens største ulempe.