Távoli hozzáférésű trójaiak (RAT) - Mik azok és hogyan védjék meg őket?

A Remote Access Trojan, vagy a RAT az egyik leggazdagabb típusú malware. Mindenféle kárt okozhatnak, és felelősek lehetnek a drága adatvesztésekért is. Aktívan harcolni kell velük, mert amellett, hogy csúnyaak, viszonylag gyakoriak. Ma megteszünk minden tőlem telhetőt, hogy elmagyarázzuk, mi ezek és hogyan működnek, plusz tudatjuk velünk, hogy mit lehet tenni az ellenük.

A mai vitaünket azzal kezdjük, hogy elmagyarázzuk, mi a RAT. Nem mélyülünk el a műszaki részletekbe, de mindent megteszünk annak magyarázata érdekében, hogy működnek és hogyan jutnak hozzád. Ezután, miközben megpróbálunk nem hangolni túl paranoidnak, meglátjuk, hogy a RAT-ok szinte fegyvernek tekinthetők. Valójában néhányat használtak ilyenként. Ezt követően bemutatunk néhány, a legismertebb RAT-ot. Ez jobb képet ad arról, hogy mire képesek. Ezután meglátjuk, hogyan lehet a behatolás-felismerő eszközöket felhasználni a RAT-okkal szembeni védelemhez, és átnézzük ezen eszközök legjobbjait.

Szóval, mi az a minősítés?

Az Távoli hozzáférésű trójai

egy olyan típusú rosszindulatú program, amely lehetővé teszi a hackerek (így a név) távoli irányítását a számítógép felett. Elemezzük a nevet. A trójai rész a rosszindulatú programok terjesztésének módjáról szól. Arra utal, hogy az ókori görög történetet a trójai lóról Ulysses építette Troy városának visszafogadására, amelyet tíz éve ostromolták. A számítógépes malware vonatkozásában a trójai (vagy egyszerűen a trójai) rosszindulatú programok egy darabja, amelyet valami másként terjesztnek. Például egy játék, amelyet letölt és telepít a számítógépére, valójában trójai lehet, és tartalmazhat bizonyos rosszindulatú programokat.

Ami a RAT-név távoli elérésű részét illeti, annak köze van ahhoz, amit a rosszindulatú program tesz. Egyszerűen fogalmazva, lehetővé teszi a szerző számára, hogy távoli hozzáférést biztosítson a fertőzött számítógéphez. És amikor távoli hozzáférést szerez, alig van korlátja annak, mit tehet. Ez változhat attól, hogy megvizsgálja a fájlrendszert, megfigyeli a képernyőn megjelenő tevékenységeket, begyűjti a bejelentkezési adatokat vagy titkosítja a fájlokat a váltságdíj igénylése érdekében. Ő is ellophatja az Ön adatait, vagy, ami még rosszabb, az ügyfelek adatait. A RAT telepítése után a számítógépe válhat hub-ként, ahonnan a támadásokat elindítják a helyi hálózat más számítógépeihez, megkerülve ezzel a kerület biztonságát.

RAT a történelemben

A RAT-ok sajnos több mint egy évtizede fennállnak. Úgy gondolják, hogy a technológia már 2003-ban szerepet játszott az amerikai technológia kiterjedt fosztogatásában a kínai hackerek által. A Pentagon vizsgálata során az amerikai védelmi vállalkozók adatlopásokat fedeztek fel, az osztályozott fejlesztési és tesztelési adatokat továbbítják Kínába.

Talán emlékeztet az Egyesült Államok keleti partvidékének 2003. és 2008. évi villamosenergia-hálózatának kikapcsolására. Ezeket Kínába is vissza lehet vezetni, és úgy tűnt, hogy a RAT-ok megkönnyítették őket. Egy hacker, aki RAT-ot kaphat egy rendszerre, képes vegye igénybe bármelyik szoftvert, amely a fertőzött rendszer felhasználóinak rendelkezésére áll, gyakran anélkül, hogy észrevennék őket azt.

RAT mint fegyver

Egy rosszindulatú RAT-fejlesztő átveheti az erőművek, telefonhálózatok, nukleáris létesítmények vagy gázvezetékek irányítását. Mint ilyen, a RAT-ok nem csak a vállalati biztonságot jelentik. Azt is lehetővé teszik, hogy a nemzetek támadjanak egy ellenséges országot. Mint ilyen, fegyvereknek tekinthetők. A hackerek szerte a világon a RAT-okat használják a vállalatok kémkedésére, adatok és pénz ellopására. Eközben a RAT-probléma sok ország, köztük az Egyesült Államok nemzeti biztonságának kérdévé vált.

Az eredetileg kínai hackerek ipari kémkedéshez és szabotázshoz használt Oroszország felismerte a RAT-ok erejét, és beépítette őket katonai arzenáljába. Most azok az orosz bűncselekmény-stratégia részei, amelyet „hibrid hadviselésnek” hívnak. Amikor Oroszország 2008-ban megragadta Grúzia egy részét, akkor foglalkoztatta DDoS támadások az internetszolgáltatások és a RAT-ok blokkolására, amelyek célja hírszerzés, ellenőrzés és a grúz katonai hardverek megzavarása és nélkülözhetetlen elemei segédprogramok.

Néhány híres RAT

Vessen egy pillantást néhány legismertebb RAT-ra. A mi ötletünk nem az, hogy dicsőítsük őket, hanem hogy képet kapjunk arról, mennyire változatosak.

Hátsó nyílás

A Back Orifice egy amerikai gyártású RAT, amely 1998 óta működik. Ez a RAT nagyapja. Az eredeti rendszer kihasználta a Windows 98 gyengeségét. A későbbi verziókat, amelyek újabb Windows operációs rendszereken futottak, Back Orifice 2000 és Deep Back Orifice néven hívták.

Ez a RAT képes elrejteni magát az operációs rendszerben, ami különösen nehezen érzékelhető. Ma azonban a legtöbb vírusvédelmi rendszer rendelkezik a Back Orifice futtatható fájljaival és az elzáródási viselkedéssel, mint aláírással, amelyre figyelnie kell. A szoftver megkülönböztető tulajdonsága, hogy rendelkezik egy könnyen használható konzollal, amelyet a betolakodó személy használhat a fertőzött rendszerben való navigálásra és a böngészésre. A kiszolgáló program telepítése után a hálózati protokollokkal kommunikál az ügyfélkonzollal. Például ismert a 21337 portszám használata.

DarkComet

A DarkComet 2008-ban hozta létre Jean-Pierre Lesueur francia hackerek, de csak a kiberbiztonsági közösség a figyelmet 2012-ben, amikor felfedezték, hogy egy afrikai hackeregység a rendszert használja az amerikai kormány és az Egyesült Államok kormányának megcélzására katonai.

A DarkComet egy könnyen kezelhető felülettel rendelkezik, amely lehetővé teszi a csekély műszaki ismeretekkel rendelkező felhasználók vagy a hacker támadások végrehajtását. Ez lehetővé teszi a kémkedést a keylogging, a képernyővédelem és a jelszóbegyűjtés révén. A vezérlő hackerek egy távoli számítógép energiaellátási funkcióit is működtethetik, lehetővé téve a számítógép távoli be- vagy kikapcsolását. A fertőzött számítógép hálózati funkciói kihasználhatók a számítógép proxykiszolgálóként történő felhasználására és a felhasználó személyazonosságának elfedésére más számítógépeken folytatott támadások során. A DarkComet projektet fejlesztője 2014-ben feladta, amikor felfedezték, hogy a szír kormány használja állampolgárainak kémkedéséhez.

Délibáb

A Mirage egy híres RAT, amelyet egy államilag szponzorált kínai hacker csoport használ. A 2009 és 2015 közötti nagyon aktív kémkedés után a csoport csendes lett. A Mirage volt a csoport elsődleges eszköze 2012-től. A MirageFox nevű Mirage-változat 2018-ban történő észlelése arra utal, hogy a csoport visszatérhet akcióba.

A MirageFox-ot 2018 márciusában fedezték fel, amikor az Egyesült Királyság kormányzati vállalkozóinak kémkedésére használták fel. Ami az eredeti Mirage RAT-t illeti, a Fülöp-szigeteken, a Fülöp-szigeteken egy olajvállalat elleni támadásokhoz használták Tajvani katonaság, egy kanadai energiavállalat és egyéb célok Brazíliában, Izraelben, Nigériában és Romániában Egyiptom.

Ezt a RAT-t PDF formátumba ágyazottként szállítják. Ennek megnyitása végrehajtja a RAT telepítő szkripteket. A telepítés után az első lépés, hogy jelentést tegyen a Parancs- és Vezérlőrendszernek a fertőzött rendszer képességeinek ellenőrzésével. Ez az információ tartalmazza a CPU sebességét, a memória kapacitását és kihasználtságát, a rendszer nevét és felhasználónevét.

Védelem a RAT-ok ellen - behatolás-észlelő eszközök

A vírusvédelmi szoftverek időnként haszontalanok a RAT észlelésében és megelőzésében. Ez részben a természetüknek köszönhető. Rejtett látványban rejtőznek, mint valami teljesen legitim. Ezért gyakran a legjobban észlelhetők azok a rendszerek, amelyek a számítógépeket rendellenes viselkedés szempontjából elemezik. Az ilyen rendszereket behatolás-érzékelő rendszereknek nevezik.

Megvizsgáltuk a legjobb behatolás-felderítő rendszereket a piacon. A listánkban szerepel a jóhiszemű behatolásérzékelő rendszerek és más olyan szoftverek keveréke, amelyek behatolás-érzékelő komponenssel rendelkeznek, vagy amelyek felhasználhatók a betolakodási kísérletek észlelésére. Általában jobb munkát végeznek a távoli elérésű trójaiak azonosításában, mint más típusú rosszindulatú programok elleni védelmi eszközök.

SolarWinds egy általános név a hálózati adminisztrációs eszközök területén. Körülbelül 20 éve járva hozta nekünk a legjobb hálózati és rendszergazdai eszközöket. Kiemelkedő terméke, a Hálózati teljesítményfigyelő, következetesen szerepel a legjobb hálózati sávszélességet figyelő eszközök között. SolarWinds kiváló ingyenes eszközöket is készít, amelyek mindegyike a hálózati rendszergazdák speciális igényeinek felel meg. Az Kiwi Syslog Server és a Speciális alhálózati kalkulátor két jó példa erre.

• INGYENES bemutató: SolarWinds Threat Monitor - IT Ops kiadás
• Hivatalos letöltési link: https://www.solarwinds.com/threat-monitor/registration

Hálózati alapú behatolás-észleléshez, SolarWinds kínálja a Threat Monitor - IT Ops Edition. A legtöbb másnal ellentétben SolarWinds eszközök, ez egy felhőalapú szolgáltatás, nem pedig helyileg telepített szoftver. Egyszerűen feliratkozik rá, konfigurálja, és elkezdi figyelni a környezetet a behatolási kísérletekre és néhány további fenyegetésre. Az Threat Monitor - IT Ops Edition több eszközt kombinál. Mind hálózati, mind host alapú behatolás-észleléssel, napló-központosítással és -korrelációval, valamint biztonsági információkkal és eseménykezeléssel (SIEM) rendelkezik. Ez egy nagyon alapos fenyegetésfigyelő csomag.

Az Threat Monitor - IT Ops Edition mindig naprakész, folyamatosan friss forrásokból származó veszélyekkel kapcsolatos információkat szerez több forrásból, ideértve az IP és a domain hírnév adatbázisokat is. Figyelemmel kíséri mind az ismert, mind az ismeretlen veszélyeket. Az eszköz automatizált intelligens válaszokat kínál a biztonsági események gyors kiküszöbölésére, adva néhány behatolás-megelőző funkciót.

A termék figyelmeztető funkciói meglehetősen lenyűgözőek. Vannak többfeltételes, keresztkorrelációs riasztások, amelyek az eszköz aktív válaszmotorjával együtt működnek, és segítenek a fontos események azonosításában és összefoglalásában. A jelentési rendszer éppen olyan jó, mint a riasztás, és a meglévő előre elkészített jelentéssablonok használatával kimutatható a megfelelés. Alternatív megoldásként egyedi jelentéseket készíthet, amelyek pontosan megfelelnek üzleti igényeinek.

Az árak a SolarWinds Threat Monitor - IT Ops kiadás Kezdje a 4 500 dollárt akár 25 csomóponttól 10 napos indexeléssel. Vegye fel a kapcsolatot SolarWinds az Ön egyedi igényeihez igazított részletes árajánlatért. És ha inkább Ha látni akarja a terméket, akkor ingyenes demót kérhet a SolarWinds.

Ne hagyd, hogy a SolarWinds Napló- és eseménykezelőA neve becsap téged. Ez sokkal több, mint egy naplózás és eseménykezelő rendszer. A termék számos fejlett funkciója a biztonsági információk és eseménykezelés (SIEM) sorozatába helyezte. Más funkciók azt behatolás-felderítő rendszernek, és bizonyos mértékig még behatolás-megelőző rendszernek is minősítik. Ez az eszköz például valós idejű eseménykorrelációt és valósidejű helyreállítást tartalmaz.

• Ingyenes próbaverzió: SolarWinds Napló- és eseménykezelő
• Hivatalos letöltési link: https://www.solarwinds.com/log-event-manager-software/registration

Az SolarWinds Napló- és eseménykezelő funkciókkal rendelkezik a gyanús tevékenységek (behatolás-észlelési funkció) azonnali észlelése és az automatikus válaszok (behatolás-megelőző funkció). Ezenkívül biztonsági események kivizsgálását és kriminalisztikáját is végezheti enyhítési és megfelelési célokból. Az audit által bevált jelentéseknek köszönhetően az eszköz felhasználható többek között a HIPAA, a PCI-DSS és a SOX megfelelésének igazolására. Az eszköz rendelkezik a fájl integritásának megfigyelésével és az USB-eszközök megfigyelésével is, ami sokkal inkább egy integrált biztonsági platform, mint egy naplózás és eseménykezelő rendszer.

Árképzés a SolarWinds Napló- és eseménykezelő legfeljebb 30 megfigyelt csomópontnál 4 585 USD-tól kezdődik. Legfeljebb 2 500 csomópont engedélyét lehet megvásárolni, így a termék nagyon skálázható. Ha el akarja vinni a terméket próbaüzemre, és ellenőrizze, hogy az Ön számára megfelelő, elérhető egy teljes, 30 napos próbaverzió.

3. OSSEC

Nyílt forráskódú biztonságvagy OSSEC, messze a vezető nyílt forrású gazdagép-behatolás-érzékelő rendszer. A termék tulajdonosa Trend Micro, az informatikai biztonság egyik vezető neve és az egyik legjobb vírusvédelmi csomag készítője. Unix-szerű operációs rendszerekre telepítve a szoftver elsősorban a napló- és a konfigurációs fájlokra összpontosít. Ez létrehozza a fontos fájlok ellenőrző összegeit és időről időre ellenőrzi azokat, figyelmeztetve, amikor furcsa történik. Ezenkívül figyelni fog és figyelmeztet minden olyan rendellenes kísérletre, amely a root hozzáférés megszerzésére irányul. A Windows gazdagépeken a rendszer figyelemmel kíséri a jogosulatlan beállításjegyzék-módosításokat is, amelyek a rosszindulatú tevékenységek visszajelzőjelei lehetnek.

Annak köszönhetően, hogy host-alapú behatolás-érzékelő rendszer, OSSEC telepíteni kell minden védeni kívánt számítógépre. A központi konzol azonban egyesíti az egyes védett számítógépekről származó információkat az egyszerűbb kezelés érdekében. Amíg a OSSEC A konzol csak Unix-szerű operációs rendszereken fut, ügynök áll rendelkezésre a Windows gazdagépek védelmére. Bármely észlelés riasztást vált ki, amely megjelenik a központi konzolon, miközben az értesítéseket e-mailben is elküldjük.

4. Horkant

Horkant valószínűleg a legismertebb nyílt forrású hálózati alapú behatolás-észlelési rendszer. De ez több, mint egy behatolás-észlelő eszköz. Ez is csomagszippantó és csomagnaplózó, és csomagol néhány további funkciót is. A termék konfigurálása a tűzfal konfigurálására emlékeztet. Ez szabályok alkalmazásával történik. Az alapszabályokat a következőről töltheti le Horkant weboldalon, és használja őket a jelenlegi formájában, vagy testreszabhatja őket az Ön egyedi igényeihez. Feliratkozhat is Horkant szabályok, amelyek automatikusan megkapják a legújabb szabályokat, amint fejlődnek, vagy amikor új fenyegetéseket fedeznek fel.

Fajta nagyon alapos, és még az alapvető szabályai is sokféle eseményt felfedezhetnek, például lopakodó port-letapogatást, puffer túlcsordulási támadásokat, CGI-támadásokat, SMB-szondákat és az operációs rendszer ujjlenyomatait. Gyakorlatilag nincs korlátozás arra vonatkozóan, hogy mit észlelhet ezzel az eszközzel, és mit észlel, az kizárólag a telepített szabálytól függ. A detektálási módszerek közül néhány az alapvető Horkant a szabályok aláírás-alapúak, mások anomáliás-alapúak. Horkant tehát mind a két világ legjobbat megadhatja.

5. Samhain

Samhain egy másik jól ismert ingyenes host behatolás-érzékelő rendszer. Főbb jellemzői, az IDS szempontjából, a fájl integritásának ellenőrzése és a naplófájl megfigyelése / elemzése. Ennél sokkal több. A termék végrehajtja a rootkit-észlelést, a portok figyelését, a gazember SUID végrehajtható fájlok és a rejtett folyamatok észlelését.

Az eszközt a különféle operációs rendszereket futtató több állomás figyelésére fejlesztették ki, miközben központosított naplózást és karbantartást biztosítanak. Azonban, Samhain egy számítógépen önálló alkalmazásként is használható. A szoftver elsősorban POSIX rendszereken fut, például Unix, Linux vagy OS X. Windows rendszeren is futtatható Cygwin alatt, egy olyan csomagban, amely lehetővé teszi a POSIX alkalmazások futtatását Windows rendszeren, bár csak a megfigyelő ügynököt tesztelték ebben a konfigurációban.

Az egyik SamhainA legegyedibb szolgáltatás a lopakodó mód, amely lehetővé teszi a futtatást anélkül, hogy a potenciális támadók észlelnék. A betolakodókról ismert, hogy gyorsan megölik az észlelési folyamatokat, amelyeket felismernek, amint belépnek a rendszerbe, mielőtt felfedezik őket, lehetővé téve számukra, hogy észrevétlenül maradjanak. Samhain szteganográfiai technikákat alkalmaz, hogy elrejtse folyamatait másoktól. Emellett egy PGP-kulccsal védi a központi naplófájlokat és a konfigurációs biztonsági másolatait is, hogy megakadályozzák a hamisítást.

6. suricata

suricata nem csak egy behatolás-érzékelő rendszer. Bizonyos behatolás-megelőző funkciókkal is rendelkezik. Valójában egy teljes hálózati biztonsági figyelő ökoszisztémaként reklámozzák. Az eszköz egyik legjobb eszköze az, hogy miként működik egészen az alkalmazásrétegig. Ez hibrid hálózat- és gazdagép-alapú rendszerré teszi, amely lehetővé teszi az eszköz számára az olyan veszélyek észlelését, amelyeket más eszközök valószínűleg észrevesznek.

suricata egy valódi hálózati alapú behatolás-észlelési rendszer, amely nem csak az alkalmazás rétegén működik. Figyelemmel kíséri az alacsonyabb szintű hálózati protokollokat, mint például a TLS, ICMP, TCP és UDP. Az eszköz megérti és dekódolja a magasabb szintű protokollokat is, mint például a HTTP, FTP vagy SMB, és képes felismerni az egyébként normál kérésekben rejtett behatolási kísérleteket. Az eszköz rendelkezik a fájlkicsomagolási lehetőségekkel is, amelyek lehetővé teszik az adminisztrátorok számára, hogy megvizsgálja a gyanús fájlokat.

suricataAz alkalmazás architektúrája meglehetősen innovatív. Az eszköz a legjobb teljesítmény elérése érdekében elosztja munkaterhelését több processzormag és szál között. Szükség esetén feldolgozásának egy részét ki is töltheti a grafikus kártyára. Ez egy nagyszerű szolgáltatás, ha az eszközt szervereken használja, mivel a grafikus kártya általában nem megfelelő.

7. Bro hálózati biztonsági figyelő

Az Bro hálózati biztonsági figyelő, egy másik ingyenes hálózati behatolás-érzékelő rendszer. Az eszköz két szakaszban működik: forgalom naplózása és forgalom elemzése. Csakúgy, mint Suricata, Bro hálózati biztonsági figyelő több rétegben működik, egészen az alkalmazási rétegig. Ez lehetővé teszi az osztott behatolási kísérletek jobb észlelését. Az eszköz elemző modulja két elemből áll. Az első elemet eseménymotornak nevezzük, és nyomon követi a kiváltó eseményeket, például a nettó TCP kapcsolatokat vagy a HTTP kéréseket. Az eseményeket ezután házirend-szkriptek elemzik, a második elemmel, amely eldönti, hogy indítson-e riasztást és / vagy indítson egy műveletet. A művelet elindításának lehetősége biztosít a Bro Network Security Monitor számára néhány IPS-szerű funkciót.

Az Bro hálózati biztonsági figyelő lehetővé teszi a HTTP, DNS és FTP tevékenységek nyomon követését, valamint az SNMP forgalom figyelését. Ez jó dolog, mert az SNMP-t gyakran használják hálózati megfigyeléshez, ám ez nem biztonságos protokoll. Mivel a konfigurációk módosítására is felhasználható, rosszindulatú felhasználók kihasználhatják azokat. Az eszköz lehetővé teszi az eszközkonfiguráció változásainak és az SNMP csapdák figyelését is. Telepíthető Unix, Linux és OS X rendszerekre, de a Windows számára nem érhető el, ami talán a legfontosabb hátránya.