RATs (Remote Access Trojaner) - Was sind sie und wie können sie vor ihnen geschützt werden?

Der RAS-Trojaner (RAT) ist eine der schlimmsten Arten von Malware, die man sich vorstellen kann. Sie können alle Arten von Schäden verursachen und auch für teure Datenverluste verantwortlich sein. Sie müssen aktiv bekämpft werden, weil sie nicht nur böse sind, sondern auch relativ häufig. Heute werden wir unser Bestes geben, um zu erklären, was sie sind und wie sie funktionieren, und wir werden Sie wissen lassen, was getan werden kann, um sich vor ihnen zu schützen.

Wir beginnen unsere Diskussion heute mit der Erklärung, was eine RAT ist. Wir werden nicht zu tief in die technischen Details eintauchen, sondern unser Bestes geben, um zu erklären, wie sie funktionieren und wie sie zu Ihnen gelangen. Während wir versuchen, nicht zu paranoid zu klingen, werden wir sehen, wie RATs fast als Waffen angesehen werden können. In der Tat wurden einige als solche verwendet. Danach stellen wir einige der bekanntesten RATs vor. Sie erhalten eine bessere Vorstellung davon, wozu sie in der Lage sind. Wir werden dann sehen, wie man Intrusion Detection-Tools zum Schutz vor RATs verwenden kann, und wir werden einige der besten dieser Tools überprüfen.

Was ist eine RATTE?

Das RAS-Trojaner ist eine Art von Malware, mit der ein Hacker (daher der Name) die Kontrolle über einen Computer aus der Ferne übernehmen kann. Lassen Sie uns den Namen analysieren. Im Trojaner-Teil geht es um die Art und Weise, wie die Malware verbreitet wird. Es bezieht sich auf die antike griechische Geschichte des trojanischen Pferdes, das Odysseus gebaut hat, um die seit zehn Jahren belagerte Stadt Troja zurückzuerobern. Im Zusammenhang mit Computer-Malware ist ein Trojanisches Pferd (oder einfach ein Trojaner) eine Malware, die als etwas anderes verbreitet wird. Zum Beispiel könnte ein Spiel, das Sie herunterladen und auf Ihrem Computer installieren, tatsächlich ein Trojanisches Pferd sein und Malware-Code enthalten.

Der Fernzugriffsteil des RAT-Namens hat mit der Funktion der Malware zu tun. Einfach ausgedrückt, ermöglicht es dem Autor den Fernzugriff auf den infizierten Computer. Und wenn er Fernzugriff erhält, gibt es kaum Grenzen für seine Möglichkeiten. Dies kann variieren, indem Sie Ihr Dateisystem erkunden, Ihre Aktivitäten auf dem Bildschirm überwachen, Ihre Anmeldeinformationen sammeln oder Ihre Dateien verschlüsseln, um Lösegeld zu verlangen. Er könnte auch Ihre Daten oder, noch schlimmer, die Ihrer Kunden stehlen. Sobald die RAT installiert ist, kann Ihr Computer zu einem Hub werden, von dem aus Angriffe auf andere Computer im lokalen Netzwerk gestartet werden, wodurch jegliche Perimetersicherheit umgangen wird.

RATs in der Geschichte

RATs gibt es leider seit über einem Jahrzehnt. Es wird angenommen, dass die Technologie bereits 2003 eine Rolle bei der umfassenden Plünderung der US-Technologie durch chinesische Hacker gespielt hat. Eine Pentagon-Untersuchung ergab einen Datendiebstahl von US-amerikanischen Verteidigungsunternehmen, wobei klassifizierte Entwicklungs- und Testdaten an Standorte in China übertragen wurden.

Vielleicht erinnern Sie sich an die Stromausfälle an der Ostküste der USA in den Jahren 2003 und 2008. Diese wurden auch bis nach China zurückverfolgt und schienen durch RATs erleichtert worden zu sein. Ein Hacker, der eine RAT auf ein System bekommen kann, kann Nutzen Sie die Software, über die die Benutzer des infizierten Systems verfügen, oft ohne dass sie es bemerken es.

RATs als Waffen

Ein böswilliger RAT-Entwickler kann die Kontrolle über Kraftwerke, Telefonnetzwerke, kerntechnische Anlagen oder Gaspipelines übernehmen. Daher stellen RATs nicht nur ein Risiko für die Unternehmenssicherheit dar. Sie können es Nationen auch ermöglichen, ein feindliches Land anzugreifen. Als solche können sie als Waffen angesehen werden. Hacker auf der ganzen Welt verwenden RATs, um Unternehmen auszuspionieren und ihre Daten und ihr Geld zu stehlen. Inzwischen ist das RAT-Problem für viele Länder, einschließlich der USA, zu einem Problem der nationalen Sicherheit geworden.

Russland, das ursprünglich von chinesischen Hackern für Industriespionage und Sabotage eingesetzt wurde, hat die Macht der RATs erkannt und in sein militärisches Arsenal integriert. Sie sind jetzt Teil der russischen Angriffsstrategie, die als "hybride Kriegsführung" bekannt ist. Als Russland 2008 einen Teil Georgiens eroberte, beschäftigte es sich DDoS-Angriffe blockieren Internetdienste und RATs, um Informationen zu sammeln, zu kontrollieren und georgische militärische Hardware und wichtige Dinge zu stören Dienstprogramme.

Ein paar (In) berühmte RATs

Schauen wir uns einige der bekanntesten RATs an. Unsere Idee hier ist nicht, sie zu verherrlichen, sondern Ihnen eine Vorstellung davon zu geben, wie vielfältig sie sind.

Rückenöffnung

Back Orifice ist eine in Amerika hergestellte RAT, die es seit 1998 gibt. Es ist irgendwie der Urvater der RATs. Das ursprüngliche Schema nutzte eine Schwachstelle in Windows 98 aus. Spätere Versionen, die unter neueren Windows-Betriebssystemen ausgeführt wurden, hießen Back Orifice 2000 und Deep Back Orifice.

Diese RAT kann sich im Betriebssystem verstecken, was die Erkennung besonders schwierig macht. Heutzutage haben die meisten Virenschutzsysteme die ausführbaren Dateien von Back Orifice und das Okklusionsverhalten als Signaturen, auf die Sie achten müssen. Ein Unterscheidungsmerkmal dieser Software ist, dass sie über eine benutzerfreundliche Konsole verfügt, mit der der Eindringling im infizierten System navigieren und navigieren kann. Nach der Installation kommuniziert dieses Serverprogramm über Standardnetzwerkprotokolle mit der Clientkonsole. Beispielsweise ist bekannt, die Portnummer 21337 zu verwenden.

DarkComet

DarkComet wurde 2008 von dem französischen Hacker Jean-Pierre Lesueur gegründet, kam aber nur in die Cybersecurity-Community Aufmerksamkeit im Jahr 2012, als festgestellt wurde, dass eine afrikanische Hacker-Einheit das System nutzte, um die US-Regierung und zu zielen Militär.

DarkComet zeichnet sich durch eine benutzerfreundliche Oberfläche aus, über die Benutzer mit geringen oder keinen technischen Kenntnissen Hackerangriffe ausführen können. Es ermöglicht das Ausspionieren durch Keylogging, Bildschirmaufnahme und Passworterfassung. Der steuernde Hacker kann auch die Stromversorgungsfunktionen eines Remotecomputers bedienen, sodass ein Computer remote ein- oder ausgeschaltet werden kann. Die Netzwerkfunktionen eines infizierten Computers können auch genutzt werden, um den Computer als Proxyserver zu verwenden und die Identität seines Benutzers bei Überfällen auf andere Computer zu maskieren. Das DarkComet-Projekt wurde bereits 2014 von seinem Entwickler aufgegeben, als festgestellt wurde, dass es von der syrischen Regierung verwendet wurde, um seine Bürger auszuspionieren.

Fata Morgana

Mirage ist eine berühmte RAT, die von einer staatlich geförderten chinesischen Hacker-Gruppe verwendet wird. Nach einer sehr aktiven Spionagekampagne von 2009 bis 2015 verstummte die Gruppe. Mirage war ab 2012 das wichtigste Werkzeug der Gruppe. Die Erkennung einer Mirage-Variante namens MirageFox im Jahr 2018 ist ein Hinweis darauf, dass die Gruppe wieder in Aktion sein könnte.

MirageFox wurde im März 2018 entdeckt, als es verwendet wurde, um Auftragnehmer der britischen Regierung auszuspionieren. Die ursprüngliche Mirage RAT wurde für Angriffe auf eine Ölgesellschaft auf den Philippinen verwendet Das taiwanesische Militär, ein kanadisches Energieunternehmen und andere Ziele in Brasilien, Israel, Nigeria und Ägypten.

Diese RAT wird eingebettet in ein PDF geliefert. Durch das Öffnen werden Skripte ausgeführt, die die RAT installieren. Nach der Installation besteht die erste Aktion darin, dem Command and Control-System einen Bericht zu erstatten und die Funktionen des infizierten Systems zu überprüfen. Diese Informationen umfassen die CPU-Geschwindigkeit, Speicherkapazität und -auslastung, den Systemnamen und den Benutzernamen.

Schutz vor RATs - Intrusion Detection Tools

Virenschutzsoftware ist manchmal nutzlos, um RATs zu erkennen und zu verhindern. Dies ist teilweise auf ihre Natur zurückzuführen. Sie verstecken sich in Sichtweite als etwas anderes, was absolut legitim ist. Aus diesem Grund werden sie häufig am besten von Systemen erkannt, die Computer auf abnormales Verhalten analysieren. Solche Systeme werden Intrusion Detection-Systeme genannt.

Wir haben den Markt nach den besten Intrusion Detection-Systemen durchsucht. Unsere Liste enthält eine Mischung aus echten Intrusion Detection-Systemen und anderer Software, die über eine Intrusion Detection-Komponente verfügen oder zur Erkennung von Intrusion-Versuchen verwendet werden können. In der Regel können sie RAS-Trojaner besser identifizieren als andere Arten von Malware-Schutz-Tools.

SolarWinds ist ein gebräuchlicher Name im Bereich der Netzwerkadministrationstools. Nach rund 20 Jahren haben wir einige der besten Tools für die Netzwerk- und Systemadministration erhalten. Sein Flaggschiff, das Netzwerkleistungsmonitorpunktet durchweg unter den Top-Tools zur Überwachung der Netzwerkbandbreite. SolarWinds bietet auch hervorragende kostenlose Tools, die jeweils auf einen bestimmten Bedarf von Netzwerkadministratoren zugeschnitten sind. Das Kiwi Syslog Server und der Erweiterter Subnetzrechner sind zwei gute Beispiele dafür.

• Kostenlose Demo: SolarWinds Threat Monitor - IT Ops Edition
• Offizieller Download Link: https://www.solarwinds.com/threat-monitor/registration

Für die netzwerkbasierte Erkennung von Eindringlingen SolarWinds bietet die Bedrohungsmonitor - IT Ops Edition. Im Gegensatz zu den meisten anderen SolarWinds Bei diesen Tools handelt es sich eher um einen Cloud-basierten Dienst als um eine lokal installierte Software. Sie abonnieren es einfach, konfigurieren es und es überwacht Ihre Umgebung auf Eindringversuche und einige weitere Arten von Bedrohungen. Das Bedrohungsmonitor - IT Ops Edition kombiniert mehrere Werkzeuge. Es verfügt sowohl über eine netzwerk- und hostbasierte Intrusion Detection als auch über eine Protokollzentralisierung und -korrelation sowie über Sicherheitsinformations- und Ereignisverwaltung (SIEM). Es ist eine sehr gründliche Suite zur Überwachung von Bedrohungen.

Das Bedrohungsmonitor - IT Ops Edition ist immer auf dem neuesten Stand und erhält ständig aktualisierte Bedrohungsinformationen aus mehreren Quellen, einschließlich IP- und Domain Reputation-Datenbanken. Es sucht nach bekannten und unbekannten Bedrohungen. Das Tool verfügt über automatisierte intelligente Reaktionen, um Sicherheitsvorfälle schnell zu beheben und einige Funktionen zur Verhinderung von Eindringlingen zu erhalten.

Die Warnfunktionen des Produkts sind beeindruckend. Es gibt multikonditionierte, kreuzkorrelierte Alarme, die in Verbindung mit der Active Response Engine des Tools funktionieren und bei der Identifizierung und Zusammenfassung wichtiger Ereignisse helfen. Das Berichtssystem ist genauso gut wie seine Warnmeldungen und kann verwendet werden, um die Einhaltung mithilfe vorhandener vorgefertigter Berichtsvorlagen zu demonstrieren. Alternativ können Sie benutzerdefinierte Berichte erstellen, die genau Ihren Geschäftsanforderungen entsprechen.

Preise für die SolarWinds Threat Monitor - IT Ops Edition Beginnen Sie bei 4 500 USD für bis zu 25 Knoten mit einem Index von 10 Tagen. Du kannst kontaktieren SolarWinds für ein detailliertes Angebot, das an Ihre spezifischen Bedürfnisse angepasst ist. Und wenn Sie es vorziehen Wenn Sie das Produkt in Aktion sehen, können Sie eine kostenlose Demo von anfordern SolarWinds.

Lass das nicht zu SolarWinds Log & Event ManagerDer Name täuscht dich. Es ist viel mehr als nur ein Protokoll- und Ereignisverwaltungssystem. Viele der erweiterten Funktionen dieses Produkts haben es in die SIEM-Reihe (Security Information and Event Management) aufgenommen. Andere Funktionen qualifizieren es als Intrusion Detection System und bis zu einem gewissen Grad sogar als Intrusion Prevention System. Dieses Tool bietet beispielsweise Echtzeit-Ereigniskorrelation und Echtzeitkorrektur.

• Kostenlose Testphase: SolarWinds Log & Event Manager
• Offizieller Download Link: https://www.solarwinds.com/log-event-manager-software/registration

Das SolarWinds Log & Event Manager bietet sofortige Erkennung verdächtiger Aktivitäten (eine Intrusion Detection-Funktion) und automatisierte Antworten (eine Intrusion Prevention-Funktion). Es kann auch Sicherheitsereignisuntersuchungen und Forensik sowohl zu Minderungs- als auch zu Compliance-Zwecken durchführen. Dank seiner prüfungserprobten Berichterstattung kann das Tool unter anderem auch zum Nachweis der Konformität mit HIPAA, PCI-DSS und SOX verwendet werden. Das Tool verfügt außerdem über eine Dateiintegritätsüberwachung und eine USB-Geräteüberwachung, wodurch es viel mehr zu einer integrierten Sicherheitsplattform als nur zu einem Protokoll- und Ereignisverwaltungssystem wird.

Preisgestaltung für die SolarWinds Log & Event Manager beginnt bei 4 585 US-Dollar für bis zu 30 überwachte Knoten. Es können Lizenzen für bis zu 2 500 Knoten erworben werden, wodurch das Produkt hoch skalierbar ist. Wenn Sie das Produkt für einen Testlauf verwenden möchten, um selbst zu sehen, ob es für Sie geeignet ist, Eine kostenlose 30-Tage-Testversion mit vollem Funktionsumfang ist verfügbar.

3. OSSEC

Open Source-Sicherheit, oder OSSECist bei weitem das führende Open-Source-Host-basierte Intrusion Detection-System. Das Produkt gehört Trend Micro, einer der führenden Namen in der IT-Sicherheit und Hersteller einer der besten Virenschutzsuiten. Bei der Installation unter Unix-ähnlichen Betriebssystemen konzentriert sich die Software hauptsächlich auf Protokoll- und Konfigurationsdateien. Es erstellt Prüfsummen wichtiger Dateien und überprüft diese regelmäßig, um Sie zu benachrichtigen, wenn etwas Seltsames passiert. Es überwacht und alarmiert auch jeden abnormalen Versuch, Root-Zugriff zu erhalten. Auf Windows-Hosts hält das System auch nach nicht autorisierten Registrierungsänderungen Ausschau, die ein Hinweis auf böswillige Aktivitäten sein können.

Als hostbasiertes Intrusion Detection-System OSSEC muss auf jedem Computer installiert sein, den Sie schützen möchten. Eine zentralisierte Konsole konsolidiert jedoch Informationen von jedem geschützten Computer, um die Verwaltung zu vereinfachen. Während OSSEC Die Konsole läuft nur unter Unix-ähnlichen Betriebssystemen. Zum Schutz von Windows-Hosts steht ein Agent zur Verfügung. Jede Erkennung löst eine Warnung aus, die auf der zentralen Konsole angezeigt wird, während Benachrichtigungen auch per E-Mail gesendet werden.

4. Schnauben

Schnauben ist wahrscheinlich das bekannteste netzwerkbasierte Open-Source-Intrusion Detection-System. Es ist jedoch mehr als ein Tool zur Erkennung von Eindringlingen. Es ist auch ein Paket-Sniffer und ein Paket-Logger und bietet einige andere Funktionen. Die Konfiguration des Produkts erinnert an die Konfiguration einer Firewall. Dies geschieht nach Regeln. Sie können Grundregeln von der herunterladen Schnauben Website und verwenden Sie sie wie sie sind oder passen Sie sie an Ihre spezifischen Bedürfnisse an. Sie können auch abonnieren Schnauben Regeln, um automatisch die neuesten Regeln zu erhalten, wenn sie sich entwickeln oder wenn neue Bedrohungen entdeckt werden.

Sortieren ist sehr gründlich und selbst seine Grundregeln können eine Vielzahl von Ereignissen erkennen, wie z. B. Stealth-Port-Scans, Pufferüberlauf-Angriffe, CGI-Angriffe, SMB-Tests und Betriebssystem-Fingerabdrücke. Es gibt praktisch keine Begrenzung dafür, was Sie mit diesem Tool erkennen können, und was es erkennt, hängt ausschließlich von dem von Ihnen installierten Regelsatz ab. Einige der grundlegenden Erkennungsmethoden Schnauben Regeln basieren auf Signaturen, während andere auf Anomalien basieren. Schnauben kann Ihnen daher das Beste aus beiden Welten geben.

5. Samhain

Samhain ist ein weiteres bekanntes freies Host-Intrusion-Detection-System. Aus IDS-Sicht sind die Hauptmerkmale die Überprüfung der Dateiintegrität und die Überwachung / Analyse von Protokolldateien. Es macht jedoch weit mehr als das. Das Produkt führt die Rootkit-Erkennung, die Portüberwachung, die Erkennung unerwünschter ausführbarer SUID-Dateien und versteckter Prozesse durch.

Das Tool wurde entwickelt, um mehrere Hosts mit verschiedenen Betriebssystemen zu überwachen und gleichzeitig eine zentralisierte Protokollierung und Wartung bereitzustellen. Jedoch, Samhain kann auch als eigenständige Anwendung auf einem einzelnen Computer verwendet werden. Die Software läuft hauptsächlich auf POSIX-Systemen wie Unix, Linux oder OS X. Es kann auch unter Windows unter Cygwin ausgeführt werden, einem Paket, mit dem POSIX-Anwendungen unter Windows ausgeführt werden können, obwohl in dieser Konfiguration nur der Überwachungsagent getestet wurde.

Einer von SamhainDas einzigartigste Merkmal ist der Stealth-Modus, mit dem er ausgeführt werden kann, ohne von potenziellen Angreifern erkannt zu werden. Es ist bekannt, dass Eindringlinge Erkennungsprozesse, die sie erkennen, schnell abbrechen, sobald sie ein System betreten, bevor sie erkannt werden, sodass sie unbemerkt bleiben. Samhain verwendet steganografische Techniken, um seine Prozesse vor anderen zu verbergen. Es schützt auch seine zentralen Protokolldateien und Konfigurationssicherungen mit einem PGP-Schlüssel, um Manipulationen zu verhindern.

6. Suricata

Suricata ist nicht nur ein Intrusion Detection System. Es hat auch einige Intrusion Prevention-Funktionen. Tatsächlich wird es als vollständiges Ökosystem zur Überwachung der Netzwerksicherheit beworben. Eines der besten Elemente des Tools ist, wie es bis zur Anwendungsschicht funktioniert. Dies macht es zu einem hybriden netzwerk- und hostbasierten System, mit dem das Tool Bedrohungen erkennen kann, die von anderen Tools wahrscheinlich unbemerkt bleiben würden.

Suricata ist ein echtes netzwerkbasiertes Intrusion Detection System, das nicht nur auf Anwendungsebene funktioniert. Es überwacht Netzwerkprotokolle niedrigerer Ebene wie TLS, ICMP, TCP und UDP. Das Tool versteht und decodiert auch übergeordnete Protokolle wie HTTP, FTP oder SMB und kann Eindringversuche erkennen, die in ansonsten normalen Anforderungen verborgen sind. Das Tool bietet außerdem Funktionen zum Extrahieren von Dateien, mit denen Administratoren verdächtige Dateien untersuchen können.

SuricataDie Anwendungsarchitektur ist recht innovativ. Das Tool verteilt seine Arbeitslast auf mehrere Prozessorkerne und Threads, um die beste Leistung zu erzielen. Bei Bedarf kann sogar ein Teil seiner Verarbeitung auf die Grafikkarte verlagert werden. Dies ist eine großartige Funktion, wenn Sie das Tool auf Servern verwenden, da deren Grafikkarte normalerweise nicht ausreichend genutzt wird.

7. Bro Netzwerksicherheitsmonitor

Das Bro Netzwerksicherheitsmonitor, ein weiteres kostenloses System zur Erkennung von Netzwerkeinbrüchen. Das Tool arbeitet in zwei Phasen: Verkehrsprotokollierung und Verkehrsanalyse. Genau wie Suricata, Bro Netzwerksicherheitsmonitor arbeitet auf mehreren Ebenen bis zur Anwendungsschicht. Dies ermöglicht eine bessere Erkennung von Split-Intrusion-Versuchen. Das Analysemodul des Tools besteht aus zwei Elementen. Das erste Element heißt Event Engine und verfolgt auslösende Ereignisse wie Netto-TCP-Verbindungen oder HTTP-Anforderungen. Die Ereignisse werden dann durch Richtlinienskripte analysiert, das zweite Element, das entscheidet, ob ein Alarm ausgelöst und / oder eine Aktion gestartet werden soll. Die Möglichkeit, eine Aktion zu starten, verleiht dem Bro Network Security Monitor einige IPS-ähnliche Funktionen.

Das Bro Netzwerksicherheitsmonitor Mit dieser Funktion können Sie HTTP-, DNS- und FTP-Aktivitäten verfolgen und den SNMP-Verkehr überwachen. Dies ist eine gute Sache, da SNMP häufig zur Netzwerküberwachung verwendet wird, es sich jedoch nicht um ein sicheres Protokoll handelt. Und da es auch zum Ändern von Konfigurationen verwendet werden kann, kann es von böswilligen Benutzern ausgenutzt werden. Mit dem Tool können Sie auch Änderungen an der Gerätekonfiguration und SNMP-Traps beobachten. Es kann unter Unix, Linux und OS X installiert werden, ist jedoch nicht für Windows verfügbar, was möglicherweise den Hauptnachteil darstellt.