Trojani s udaljenim pristupom (RATs) - što su oni i kako se protiv njih zaštititi?

Trojanski udaljeni pristup ili RAT jedna je od najneuroznijih vrsta zlonamjernog softvera koji se može prisjetiti. Oni mogu prouzrokovati razne vrste štete, a mogu biti i odgovorni za skupe gubitke podataka. Moraju se aktivno boriti jer su, osim što su gadni, relativno česti. Danas ćemo se potruditi da objasnimo što su i kako djeluju plus javit ćemo vam što se može učiniti da ih zaštitite.

Danas ćemo započeti našu raspravu objašnjavanjem što je RAT. Nećemo previše duboko ući u tehničke detalje, ali potrudimo se objasniti im kako rade i kako doći do vas. Zatim, dok pokušavamo ne zvučati previše paranoično, vidjet ćemo kako se RAT-ovi gotovo mogu promatrati kao oružje. U stvari, neki su se koristili i kao takvi. Nakon toga predstavit ćemo nekoliko najbolje poznatih RAT-ova. To će vam dati bolju predstavu za što su sposobni. Tada ćemo vidjeti kako se mogu koristiti alati za otkrivanje provale radi zaštite od RAT-a i pregledat ćemo neke od najboljih alata.

Dakle, što je RAT?

Trojanski udaljeni pristup

je vrsta zlonamjernog softvera koji omogućuje hakeru da na daljinu (otuda i ime) preuzme kontrolu nad računalom. Analizirajmo naziv. Trojanski dio govori o načinu distribucije zlonamjernog softvera. Odnosi se na drevnu grčku priču o trojanskom konju koji je Ulysses sagradio kako bi vratio grad Troju, koji je bio opkoljen deset godina. Trojanski konj (ili jednostavno trojanski program) je u kontekstu računalnog zlonamjernog softvera dio zlonamjernog softvera koji se distribuira kao nešto drugo. Na primjer, igra koju preuzmete i instalirate na svoje računalo zapravo bi mogla biti trojanski konj, a mogla bi sadržavati i neki kôd zlonamjernog softvera.

Što se tiče dijela udaljenog pristupa imena RAT-a, on ima veze sa zlonamjernim softverom. Jednostavno rečeno, omogućuje autoru daljinski pristup zaraženom računalu. A kad stekne daljinski pristup, jedva postoje ograničenja u onome što može učiniti. To može varirati od istraživanja vašeg datotečnog sustava, gledanja vaših zaslonskih aktivnosti, skupljanja vjerodajnica za prijavu ili šifriranja datoteka kako bi se zatražila otkupnina. Mogao je i ukrasti vaše podatke ili, što je još gore, klijentove podatke. Nakon što se RAT instalira, vaše računalo može postati čvorište odakle se pokreću napadi na druga računala u lokalnoj mreži, čime zaobilazeći bilo kakvu sigurnost na perimetru.

RAT-ovi u povijesti

RAT-ovi su, nažalost, već više od desetljeća. Vjeruje se da je ta tehnologija igrala ulogu u velikom pljački američke tehnologije od strane kineskih hakera još 2003. godine. Istraga Pentagona otkrila je krađu podataka američkih izvođača obrane, a klasificirani podaci o razvoju i testiranju prenose se na lokacije u Kini.

Možda se sjećate obustave elektroenergetske mreže američke istočne obale iz 2003. i 2008. godine. I oni su se vratili u Kinu, a činilo se da su im omogućile RAT-ove. Haker koji može dobiti RAT na sustav može iskoristite bilo koji softver koji su korisnici inficiranog sustava na raspolaganju, često bez da ih uopće primijete to.

RAT-ovi kao oružje

Zlonamjeran programer RAT-a može preuzeti kontrolu nad elektranama, telefonskim mrežama, nuklearnim postrojenjima ili plinovodima. Kao takvi, RAT-ovi ne predstavljaju samo rizik za korporativnu sigurnost. Oni također mogu omogućiti nacijama da napadnu neprijateljsku zemlju. Kao takve, mogu se promatrati kao oružje. Hakeri širom svijeta koriste RAT-ove za špijuniranje tvrtki i krađu njihovih podataka i novca. U međuvremenu, problem RAT-a sada je postao pitanje nacionalne sigurnosti za mnoge države, uključujući SAD.

Kineski hakeri koje je izvorno koristila za industrijsku špijunažu i sabotaže, Rusija je shvatila moć RAT-a i integrirala ih u svoj vojni arsenal. Oni su sada dio ruske strategije kršenja zakona koja je poznata kao "hibridno ratovanje". Kad je Rusija 2008. zauzela dio Gruzije, zaposlila se DDoS napadi kako bi blokirali internetske usluge i RAT-ove radi prikupljanja obavještajnih podataka, kontrole i ometanja gruzijskog vojnog hardvera i neophodnog komunalije.

Malo (in) poznati RAT-ovi

Pogledajmo nekoliko najpoznatijih RAT-ova. Naša ideja ovdje nije da ih veličamo, već da vam pružimo ideju o tome koliko su oni raznoliki.

Natrag otvor

Back Orifice američki je RAT koji postoji od 1998. Nekako je to djed RAT-ova. Izvorna shema iskoristila je slabost u sustavu Windows 98. Kasnije verzije koje su se izvodile na novijim Windows operativnim sustavima nazivale su se Back Orifice 2000 i Deep Back Orifice.

Ovaj se RAT može sakriti unutar operativnog sustava, što ga čini posebno teškim za otkrivanje. Danas, međutim, većina sustava zaštite od virusa ima izvršne datoteke Back Orifice i ponašanje okluzije kao potpise na koje treba paziti. Izrazita karakteristika ovog softvera je to što ima jednostavnu konzolu koju uljez može koristiti za navigaciju i pregledavanje zaraženog sustava. Jednom instaliran, ovaj poslužiteljski program komunicira s konzolom klijenta koristeći standardne mrežne protokole. Na primjer, poznato je da se koristi priključak broja 21337.

DarkComet

DarkComet stvorio je 2008. godine francuski haker Jean-Pierre Lesueur, ali došao je samo do zajednice kibernetičke sigurnosti pozornost 2012. godine kada je otkriveno da afrička hakerska postrojba koristi sustav za ciljanje američke vlade i vojska.

DarkComet karakterizira jednostavno sučelje koje omogućuje korisnicima s malo ili nikakvih tehničkih vještina izvođenje hakerskih napada. Omogućuje špijuniranje kroz prolazak blogova ključeva, snimanje zaslona i skupljanje lozinke. Kontrolni haker može upravljati i funkcijama napajanja udaljenog računala, omogućujući uključivanje ili isključivanje računala na daljinu. Mrežne funkcije zaraženog računala mogu se koristiti za korištenje računala kao proxy poslužitelja i maskiranje njegovog korisničkog identiteta tijekom racija na druga računala. Projekt DarkComet oduzeo je njegov programer još 2014. godine kada je otkrilo da ga sirijska vlada koristi za špijuniranje svojih građana.

Fatamorgana

Mirage je poznati RAT koji koristi kineska hakerska skupina koju sponzorira država. Nakon vrlo aktivne špijunske kampanje od 2009. do 2015., grupa je utihnula. Mirage je bio primarni alat grupe od 2012. Otkrivanje varijante Miragea, nazvane MirageFox u 2018. godini, nagovještaj je da bi se grupa mogla vratiti u akciju.

MirageFox otkriven je u ožujku 2018. godine kada je korišten za špijuniranje ugovarača vlade u Velikoj Britaniji. Što se tiče izvornog Mirage RAT-a, on je korišten za napade na naftnu kompaniju na Filipinima Tajvanska vojska, kanadska energetska tvrtka i druge ciljeve u Brazilu, Izraelu, Nigeriji i Egipat.

Ovaj RAT isporučuje se ugrađen u PDF. Otvaranjem se pokreću skripte koje instaliraju RAT. Jednom kada je instaliran, njegova prva radnja je da se izvijesti o sustavu za naredbe i kontrole s revizijom mogućnosti zaraženih sustava. Ti podaci uključuju brzinu CPU-a, kapacitet i iskorištenost memorije, naziv sustava i korisničko ime.

Zaštita od RAT-a - Alati za otkrivanje provale

Softver za zaštitu od virusa ponekad je beskoristan za otkrivanje i sprečavanje RAT-a. To je dijelom i zbog njihove prirode. Pred očima se kriju kao nešto drugo što je potpuno zakonito. Iz tog razloga ih često najbolje otkrivaju sustavi koji analiziraju računala zbog nenormalnog ponašanja. Takvi se sustavi nazivaju sustavima za otkrivanje provale.

Pretražili smo tržište za najbolje sustave za otkrivanje provale. Naš popis sadrži mješavinu nepoštenih sustava za otkrivanje upada i drugog softvera koji imaju komponentu za otkrivanje provale ili se mogu koristiti za otkrivanje pokušaja provale. Obično će obaviti bolji posao identificiranja trojanaca udaljenog pristupa od ostalih vrsta alata za zaštitu od zlonamjernog softvera.

SolarWinds je opće ime u području alata za mrežno upravljanje. Postojali smo nekih 20 godina i donijeli nam neke od najboljih alata za mrežno upravljanje i administriranje sustava. Njegov vodeći proizvod, the Monitor performansi mreže, dosljedno bilježi rezultate među vrhunskim alatima za praćenje propusnosti mreže. SolarWinds također čini izvrsne besplatne alate, svaki se obraćajući određenim potrebama mrežnih administratora. Kivi Syslog poslužitelj i the Napredni podmrežni kalkulator dva su dobra primjera za to.

• BESPLATNO Demo: SolarWinds monitor prijetnji - IT Ops izdanje
• Službena veza za preuzimanje: https://www.solarwinds.com/threat-monitor/registration

Za mrežno otkrivanje upada, SolarWinds nudi Prizor prijetnje - izdanje IT Ops. Suprotno većini drugih SolarWinds alata, ova je usluga utemeljena na oblaku, a ne lokalno instalirani softver. Jednostavno se pretplatite na njega, konfigurirate ga i on počinje gledati vaše okruženje radi pokušaja provale i još nekoliko vrsta prijetnji. Prizor prijetnje - izdanje IT Ops kombinira nekoliko alata. Ima mrežnu i domaćinsku detekciju provale, kao i centralizaciju i korelaciju dnevnika te sigurnosne informacije i upravljanje događajima (SIEM). To je vrlo temeljit paket za nadzor prijetnji.

Prizor prijetnje - izdanje IT Ops je uvijek u toku, neprestano dobiva ažurirane podatke o prijetnjama iz više izvora, uključujući IP baze podataka i ugled domene. Promatra i poznate i nepoznate prijetnje. Alat ima automatizirane inteligentne odgovore na brzo saniranje sigurnosnih incidenata, što mu daje neke značajke poput prevencije provale.

Značajke upozoravanja proizvoda prilično su impresivne. Postoje višestruki uvjeti, unakrsno korelirani alarmi koji djeluju zajedno s mehanizmom aktivnog reagiranja alata i pomažu u prepoznavanju i sažimanju važnih događaja. Sustav izvješćivanja jednako je dobar kao i upozoravanje i može se upotrijebiti za dokazivanje usklađenosti korištenjem postojećih unaprijed izgrađenih predložaka izvještaja. Alternativno, možete kreirati prilagođena izvješća kako biste točno odgovarali vašim poslovnim potrebama.

Cijene za SolarWinds monitor prijetnji - IT Ops izdanje startujte od $ 4 500 za do 25 čvorova s ​​indeksom 10 dana. Možete kontaktirati SolarWinds za detaljan citat prilagođen vašim specifičnim potrebama. A ako više volite pogledajte proizvod u akciji, od njega možete zatražiti besplatni demo prikaz SolarWinds.

Ne dopusti SolarWinds Log & Event ManagerPrevara ti ime. To je mnogo više od sustava upravljanja zapisima i događajima. Mnoge napredne značajke ovog proizvoda stavljaju ga u raspon sigurnosnih podataka i upravljanja događajima (SIEM). Ostale značajke ga klasificiraju kao sustav otkrivanja provale, pa čak i, u određenoj mjeri, kao sustav za sprečavanje provale. Ovaj alat, na primjer, sadrži korelaciju događaja u stvarnom vremenu i sanaciju u stvarnom vremenu.

• BESPLATNO probno razdoblje: SolarWinds Log & Event Manager
• Službena veza za preuzimanje: https://www.solarwinds.com/log-event-manager-software/registration

SolarWinds Log & Event Manager sadrži trenutno otkrivanje sumnjivih aktivnosti (funkcionalnost otkrivanja provale) i automatizirane reakcije (funkcionalnost sprečavanja provale). Također može provesti istragu sigurnosnih događaja i forenzičke lijekove u svrhu ublažavanja i poštivanja propisa. Zahvaljujući izvještaju dokazanom revizijom, alat se također može koristiti za dokazivanje usklađenosti s HIPAA, PCI-DSS i SOX, među ostalim. Alat također ima nadzor praćenja integriteta datoteka i nadgledanje USB uređaja, što ga čini mnogo integriranijom sigurnosnom platformom nego samo sustavom za upravljanje dnevnicima i događajima.

Cijene za SolarWinds Log & Event Manager počinje od 4 585 USD za do 30 nadziranih čvorova. Licence za do 2 500 čvorova mogu se kupiti što čini proizvod vrlo skalabilnim. Ako želite testirati proizvod i uvjerite se da li je pravi za vas, dostupno je besplatno cjelodnevno 30-dnevno probno razdoblje.

3. OSSEC

Sigurnost otvorenog koda, ili OSSEC, daleko je vodeći sustav za otkrivanje upada s otvorenim kodom. Proizvod je u vlasništvu tvrtke Trend Micro, jedno je od vodećih imena u IT sigurnosti i proizvođač jednog od najboljih apartmana za zaštitu od virusa. Instaliran na Unix operativne sustave, softver se prvenstveno fokusira na zapisnike i konfiguracijske datoteke. Stvara kontrolne sume važnih datoteka i periodično ih potvrđuje, upozoravajući vas kad god se dogodi nešto neobično. Također će pratiti i upozoravati na svaki nenormalan pokušaj da se pristup korijenu. Na Windows domaćinima sustav također pazi na neovlaštene izmjene registra što bi mogle biti oznaka zlonamjerne aktivnosti.

Budući da je sustav za otkrivanje upada, temeljen na domaćinima, OSSEC mora biti instalirano na svako računalo koje želite zaštititi. Međutim, centralizirana konzola objedinjuje podatke sa svakog zaštićenog računala radi lakšeg upravljanja. Dok OSSEC konzola radi samo na Unix operativnim sustavima, dostupan je agent za zaštitu Windows domaćina. Svako otkrivanje pokrenuće upozorenje koje će se prikazati na centraliziranoj konzoli, dok će se obavijesti poslati i e-poštom.

4. frka

frka vjerojatno je najpoznatiji mrežni sustav za otkrivanje upada. Ali to je više od alata za otkrivanje provale. To je također snaffer paketa i loger paketa, a uključuje i nekoliko drugih funkcija. Konfiguriranje proizvoda podsjeća na konfiguriranje vatrozida. Izvodi se pomoću pravila. Osnovna pravila možete preuzeti s frka web mjesto i koristite ih onakvima kakve jesu ili ih prilagodite vašim specifičnim potrebama. Možete se pretplatiti i na frka pravila za automatsko dobivanje svih najnovijih pravila kako se razvijaju ili otkrivaju nove prijetnje.

Sortirati vrlo je temeljit, pa čak i njegova osnovna pravila mogu otkriti široku paletu događaja kao što su skeniranje nevidljivih vrata, napadi prepunjenog međuspremnika, CGI napadi, SMB sonde i otisak prsta na OS-u. Gotovo ne postoji ograničenje onoga što možete otkriti pomoću ovog alata i onoga što otkrije isključivo ovisno o setu pravila koji instalirate. Što se tiče metoda otkrivanja, neke od osnovnih frka pravila se temelje na potpisu, a druga se temelje na anomaliji. frka može vam, dakle, pružiti najbolje od oba svijeta.

5. Samhain

Samhain je još jedan dobro poznati sustav detekcije upada besplatnih računala. Njegove glavne značajke, sa stanovišta IDS-a, jesu provjera integriteta datoteke i nadzor / analiza datoteka. Ipak, djeluje i više od toga. Proizvod će izvoditi rootkit otkrivanje, nadgledanje portova, otkrivanje skitnih izvršivih SUID-ova i skrivenih procesa.

Alat je dizajniran za nadgledanje više domaćina koji pokreću različite operativne sustave, istovremeno pružajući centraliziranu prijavu i održavanje. Međutim, Samhain mogu se koristiti i kao samostalni program na jednom računalu. Softver se prvenstveno izvodi na POSIX sustavima kao što su Unix, Linux ili OS X. Može se izvoditi i u sustavu Windows pod Cygwin-om, paketom koji omogućuje pokretanje POSIX aplikacija u sustavu Windows, iako je u toj konfiguraciji testiran samo nadzorni agent.

Jedan od SamhainNajosnovnija karakteristika je njegov prikriveni način koji mu omogućuje da se pokrene bez otkrivanja potencijalnih napadača. Poznato je da uljezi brzo ubijaju procese otkrivanja koje prepoznaju čim uđu u sustav prije nego što budu otkriveni, omogućujući im da prođu nezapaženo. Samhain koristi steganografske tehnike da sakrije svoje procese od drugih. Također štiti središnje datoteke dnevnika i sigurnosne kopije s PGP tipkom kako bi se spriječilo neovlašteno diranje.

6. Suricata

Suricata nije samo sustav za otkrivanje provale. Također ima neke značajke za sprečavanje provale. U stvari, oglašava se kao cjeloviti ekosistem praćenja sigurnosti mreže. Jedno od najboljih svojstava alata je kako djeluje sve do sloja aplikacije. To ga čini hibridnim sustavom temeljenim na mreži i hostu, koji omogućuje otkrivanje prijetnji koje bi ostale alate vjerojatno mogle proći nezapaženo.

Suricata je pravi mrežni sustav za otkrivanje upada koji ne radi samo na aplikacijskom sloju. Nadgledat će mrežne protokole niže razine poput TLS, ICMP, TCP i UDP. Alat također razumije i dekodira protokole više razine poput HTTP, FTP ili SMB i može otkriti pokušaje provale skrivene u inače normalnim zahtjevima. Alat također sadrži mogućnosti izdvajanja datoteka koje omogućuju administratorima da ispitaju svaku sumnjivu datoteku.

SuricataArhitektura aplikacija prilično je inovativna. Alat će rasporediti svoje radno opterećenje na nekoliko procesorskih jezgara i niti za najbolje performanse. Po potrebi može čak i dio svoje obrade prebaciti na grafičku karticu. Ovo je sjajna značajka kada se alat koristi na poslužiteljima jer se njihova grafička kartica obično ne koristi.

7. Bro Network Security Monitor

Bro Network Security Monitor, još jedan besplatni mrežni sustav za otkrivanje upada. Alat djeluje u dvije faze: evidentiranje prometa i analiza prometa. Baš kao Suricata, Bro Network Security Monitor djeluje na više slojeva do aplikacijskog sloja. To omogućuje bolje otkrivanje pokušaja rascjepa rascjepa. Modul za analizu alata sastoji se od dva elementa. Prvi se element naziva motor događaja i prati pokretanje događaja kao što su neto TCP veze ili HTTP zahtjevi. Događaji se zatim analiziraju pomoću skripti pravila, drugog elementa, koji odlučuju hoće li pokrenuti alarm i / ili pokrenuti akciju. Mogućnost pokretanja akcije daje Bro Network Security Monitor određenu funkcionalnost sličnu IPS-u.

Bro Network Security Monitor omogućuje vam praćenje HTTP, DNS i FTP aktivnosti i nadgleda SNMP promet. To je dobra stvar jer se SNMP često koristi za nadzor mreže, a ipak nije siguran protokol. A budući da se također može koristiti za izmjenu konfiguracija, to mogu iskoristiti zlonamjerni korisnici. Alat će vam također omogućiti gledanje promjena u konfiguraciji uređaja i SNMP zamki. Može se instalirati na Unix, Linux i OS X, ali nije dostupan za Windows, što je možda i njegov glavni nedostatak.