סוסים טרויאנים עם גישה מרחוק (RATS) - מה הם וכיצד ניתן להגן עליהם?

הטרויאני של הגישה מרחוק, או RAT, הוא אחד הסוגים הנוראיים ביותר של תוכנות זדוניות שאפשר לחשוב עליהם. הם יכולים לגרום לכל מיני נזקים והם יכולים גם להיות אחראיים לאובדן נתונים יקר. עליהם להילחם באופן פעיל מכיוון שבנוסף להיותם מגעילים הם יחסית נפוצים. היום אנו נעשה כמיטב יכולתנו כדי להסביר מה הם ואיך הם עובדים ובנוסף נודיע לך מה ניתן לעשות כדי להגן עליהם.

נתחיל את הדיון שלנו היום בהסבר מה זה RAT. לא נעמיק יותר מדי בפרטים הטכניים אלא נעשה כמיטב יכולתנו להסביר כיצד הם עובדים ואיך הם מגיעים אליך. בשלב הבא, בעודנו מנסים לא להישמע פרנואייים מדי, נראה כיצד ניתן לראות כמעט בדרגה כלי נשק. למעשה, חלקם שימשו ככאלה. לאחר מכן, נציג כמה ממערכי הרייטינג הידועים ביותר. זה ייתן לך מושג טוב יותר למה הם מסוגלים. לאחר מכן נראה כיצד ניתן להשתמש בכלים לגילוי חדירות כדי להגן מפני דרגות ונסקור כמה מהטובים ביותר בכלים אלה.

אז מה זה דרגה?

ה טרויאני עם גישה מרחוק הוא סוג של תוכנה זדונית המאפשרת להאקר מרחוק (ומכאן השם) להשתלט על מחשב. בואו ננתח את השם. החלק הטרויאני עוסק בהפצת התוכנה הזדונית. זה מתייחס לסיפור היווני הקדום של סוס הטרויאני שבנה יוליסס להחזיר את העיר טרויה שנצורה במשך עשר שנים. בהקשר של תוכנות זדוניות למחשב, סוס טרויאני (או סתם טרויאני) הוא חתיכת תוכנה זדונית המופצת כמשהו אחר. לדוגמה, משחק שאתה מוריד ומתקין במחשב שלך יכול להיות סוס טרויאני והוא יכול להכיל קוד זדוני.

באשר לחלק הגישה מרחוק בשם ה- RAT, זה קשור למה שהתוכנה הזדונית עושה. במילים פשוטות, היא מאפשרת למחבר שלה גישה מרחוק למחשב הנגוע. וכשהוא כן זוכה לגישה מרחוק, אין כמעט גבולות למה שהוא יכול לעשות. זה יכול להשתנות מבדיקת מערכת הקבצים שלך, צפייה בפעילויות שלך על המסך, קצירת תעודות ההתחברות שלך או הצפנת הקבצים שלך לדרוש כופר. הוא יכול גם לגנוב את הנתונים שלך, או גרוע מזה, את הלקוח שלך. לאחר התקנת ה- RAT, המחשב שלך יכול להפוך למוקד שממנו יוצאים התקפות למחשבים אחרים ברשת המקומית, ובכך לעקוף כל אבטחה היקפית.

דרגות בהיסטוריה

דרגות המזל נמצאות למרבה הצער כבר למעלה מעשור. ההערכה היא כי הטכנולוגיה מילאה חלק בביזה הנרחבת של הטכנולוגיה האמריקנית על ידי האקרים סיניים בשנת 2003. תחקיר בפנטגון גילה גניבת נתונים מקבלני הגנה אמריקאים, כאשר נתוני פיתוח ובדיקות מסווגים הועברו למקומות בסין.

אולי תזכור את כיבוי רשת החשמל של ארצות הברית בחוף המזרחי משנת 2003 ו -2008. אלה גם הוחזרו לסין ונראה שהקלו על ידי המועצות. האקר שיכול להעלות RAT למערכת יכול נצל את כל התוכנות העומדות לרשות המשתמשים במערכת הנגועה, לרוב מבלי שהם אפילו ישימו לב לכך זה.

נחשב כנשק

מפתח RAT זדוני יכול להשתלט על תחנות כוח, רשתות טלפון, מתקנים גרעיניים או צינורות גז. כיוון שכך, RATS אינם מהווים סיכון בלבד לאבטחת התאגידים. הם יכולים גם לאפשר למדינות לתקוף מדינה אויב. ככאלה, אפשר לראות בהם כלי נשק. האקרים ברחבי העולם משתמשים ב- RAT כדי לרגל חברות ולגנוב את הנתונים והכסף שלהם. בינתיים, בעיית ה- RAT הפכה כעת לנושא של ביטחון לאומי עבור מדינות רבות, כולל ארה"ב.

רוסיה הכירה במקור לריגול ולחבלה תעשייתית על ידי האקרים סיניים, והעריכה את כוחם של רטס ושילבה אותם בארסנל הצבאי שלה. כעת הם מהווים חלק מאסטרטגיית העבירות הרוסית המכונה "לוחמה היברידית". כאשר רוסיה תפסה חלק מגאורגיה בשנת 2008, היא העסיקה התקפות DDoS לחסימת שירותי אינטרנט ומערכות דרכים לאיסוף מודיעין, שליטה ושיבוש חומרה צבאית גרוזית וחיוניות שירותים.

מעט דרגות מפורסמות (בתוך)

בואו נסתכל על כמה מהדרגות הידועות ביותר. הרעיון שלנו כאן הוא לא להאדיר אותם אלא לתת לך מושג עד כמה הם מגוונים.

פתח בחזרה

Back Orifice הוא RAT מתוצרת אמריקה שקיים מאז 1998. זה סוג של סבא של RAT. התוכנית המקורית ניצלה חולשה ב- Windows 98. גרסאות מאוחרות יותר שרצו על מערכות הפעלה חדשות יותר של Windows נקראו Back Orifice 2000 ו- Deep Back Orifice.

RAT זה מסוגל להסתיר את עצמו בתוך מערכת ההפעלה, מה שמקשה במיוחד על האיתור. אולם כיום, לרוב מערכות ההגנה מפני וירוסים יש את קבצי ההפעלה של Back Orifice והתנהגות הסגירה כחתימות שיש להיזהר מהן. מאפיין הבחנה בתוכנה זו הוא שיש לה קונסולה קלה לשימוש בה הפורץ יכול להשתמש כדי לנווט ולעיין במערכת הנגועה. לאחר התקנתה, תוכנית שרת זו מתקשרת עם מסוף הלקוחות באמצעות פרוטוקולי רשת רגילים. למשל, ידוע שהוא משתמש ביציאה מספר 21337.

DarkComet

DarkComet נוצר בשנת 2008 על ידי האקר הצרפתי ז'אן-פייר לסאור, אך הגיע רק לקהילת אבטחת הסייבר תשומת לב בשנת 2012 כאשר התגלה כי יחידת האקרים אפריקאית משתמשת במערכת כדי לכוון את ממשלת ארה"ב ו צבאי.

DarkComet מאופיינת בממשק קל לשימוש המאפשר למשתמשים עם מעט מיומנויות טכניות או לבצע פיגועים. זה מאפשר ריגול באמצעות keylogging, לכידת מסך וקטיף סיסמאות. האקר השולט יכול גם להפעיל את פונקציות הכוח של מחשב מרוחק, ומאפשר להפעיל או לכבות מחשב מרחוק. ניתן לרתום גם את פונקציות הרשת של מחשב נגוע כדי להשתמש במחשב כשרת proxy ולסוות את זהות המשתמש שלו במהלך פשיטות על מחשבים אחרים. פרויקט DarkComet ננטש על ידי המפתח שלו בשנת 2014 כאשר התגלה שהוא משמש את ממשלת סוריה כדי לרגל אחרי אזרחיה.

מיראז '

מיראז 'הוא דרגה מפורסמת המשמשת קבוצת קבוצת האקרים סינית בחסות מדינה. אחרי קמפיין ריגול פעיל מאוד בין השנים 2009-2015 הקבוצה השתתקה. מיראז 'היה הכלי העיקרי של הקבוצה משנת 2012. איתור גרסת Mirage, הנקראת MirageFox בשנת 2018, הוא רמז לכך שהקבוצה יכולה לחזור לפעולה.

MirageFox התגלה במרץ 2018 כאשר שימש לריגול על קבלני ממשלת בריטניה. באשר ל- Mirage RAT המקורי, הוא שימש להתקפות על חברת נפט בפיליפינים, צבא טייוואן, חברת אנרגיה קנדית, ויעדים נוספים בברזיל, ישראל, ניגריה ו מצרים.

RAT זה מועבר מוטבע ב- PDF. פתיחתו גורמת לביצוע סקריפטים שמתקינים את ה- RAT. לאחר התקנתה, הפעולה הראשונה היא לדווח חזרה למערכת הפיקוד והבקרה עם ביקורת על יכולות המערכת הנגועה. מידע זה כולל את מהירות ה- CPU, קיבולת הזיכרון וניצולו, שם המערכת ושם המשתמש.

הגנה מפני RATS - כלי איתור חדירות

תוכנת הגנה מפני וירוסים היא חסרת תועלת בעת איתור ומניעה של RAT. זה נובע בחלקו מאופיים. הם מסתתרים באופק כמשהו אחר שהוא לגיטימי לחלוטין. מסיבה זו, הם בדרך כלל מזוהים על ידי מערכות המנתחות מחשבים לצורך התנהגות לא תקינה. מערכות כאלה נקראות מערכות גילוי חדירות.

חיפשנו בשוק את מערכות איתור החדירות הטובות ביותר. הרשימה שלנו מכילה תערובת של מערכות איתור חדירות בונא פודה ותוכנות אחרות שיש בהן רכיב לגילוי חדירות או שניתן להשתמש בהן לגילוי ניסיונות חדירה. בדרך כלל הם יעשו עבודה טובה יותר בזיהוי סוסים טרויאניים עם גישה מרחוק, כמו סוגים אחרים של כלי הגנה מפני תוכנות זדוניות.

SolarWinds הוא שם נפוץ בתחום כלי ניהול הרשת. זה היה קיים במשך כעשרים שנה וזה הביא לנו את כל כלי הרשת והניהול הטובים ביותר למערכת. מוצר הדגל שלה, ה- צג ביצועי רשת, מביא בעקביות בין כלי ניטור רוחב הפס המובילים. SolarWinds עושה גם כלים חינמיים מעולים, שכל אחד מהם נותן מענה לצורך ספציפי של מנהלי רשת. ה שרת Kiwi Syslog וה מחשבון רשת משנה מתקדם הן שתי דוגמאות טובות לכך.

• הדגמה בחינם: SolarWinds Threat Monitor - מהדורת Ops IT
• קישור הורדה רשמי: https://www.solarwinds.com/threat-monitor/registration

לגילוי חדירה מבוסס רשת, SolarWinds מציע את מעקב איומים - מהדורת Ops IT. בניגוד לרוב האחרים SolarWinds כלים, זה שירות מבוסס ענן ולא תוכנה המותקנת באופן מקומי. אתה פשוט מנוי אליו, מגדיר אותו ומתחיל לצפות בסביבתך בניסיונות חדירה ועוד כמה סוגים של איומים. ה מעקב איומים - מהדורת Ops IT משלב מספר כלים. יש לו איתור חדירה מבוסס רשת וגם מארח, כמו גם ריכוז ומתאם ביומנים, וניהול אבטחה וניהול אירועים (SIEM). זוהי חבילת ניטור איומים יסודית מאוד.

ה מעקב איומים - מהדורת Ops IT תמיד מעודכן, ומתעדכן ללא הרף מודיעין איומים ממקורות מרובים, כולל מסדי נתונים של מוניטין IP ו- Domain. זה צופה באיומים ידועים ובלתי ידועים. הכלי כולל תגובות אינטליגנטיות אוטומטיות כדי לתקן במהירות אירועי אבטחה ומעניקים לו כמה תכונות דומות למניעת חדירות.

תכונות ההתראה של המוצר מרשימות למדי. ישנם אזעקות מרובות-תנאים, בין-צולבות, הפועלות בשילוב עם מנוע ה- Active Response של הכלי ומסייע בזיהוי וסיכום של אירועים חשובים. מערכת הדיווח טובה בדיוק כמו ההתראה שלה וניתן להשתמש בה כדי להפגין תאימות באמצעות תבניות דוחות קיימות שנבנו מראש. לחלופין, אתה יכול ליצור דוחות מותאמים אישית שיתאימו במדויק לצרכים העסקיים שלך.

מחירים עבור SolarWinds Threat Monitor - מהדורת Ops IT התחל ב -4 500 דולר עבור עד 25 צמתים עם 10 ימי אינדקס. אתה יכול ליצור קשר SolarWinds לקבלת הצעת מחיר מפורטת המותאמת לצרכים הספציפיים שלך. ואם אתה מעדיף לראות את המוצר בפעולה, אתה יכול לבקש הדגמה חינם מ- SolarWinds.

אל תתנו SolarWinds יומן ומנהל אירועיםהשם שלך יטעות אותך. זה הרבה יותר מסתם מערכת יומן וניהול אירועים. רבים מהתכונות המתקדמות של מוצר זה מכניסים אותו לטווח מידע אבטחה וניהול אירועים (SIEM). תכונות אחרות מסמכות אותה כמערכת איתור חדירות ואף, במידה מסוימת, כמערכת למניעת חדירות. כלי זה כולל מתאם אירועים בזמן אמת ותיקון בזמן אמת, למשל.

• ניסיון בחינם: SolarWinds יומן ומנהל אירועים
• קישור הורדה רשמי: https://www.solarwinds.com/log-event-manager-software/registration

ה SolarWinds יומן ומנהל אירועים כולל גילוי מיידי של פעילות חשודה (פונקציונליות לגילוי חדירות) ותגובות אוטומטיות (פונקציונליות למניעת חדירות). זה יכול גם לבצע חקירת אירועי אבטחה ומזכ"ל פלילי למטרות הקלה והתאמה. הודות לדיווחים המוכחים על ידי ביקורת ניתן להשתמש בכלי גם להפגנת ציות ל- HIPAA, PCI-DSS ו- SOX, בין היתר. הכלי כולל גם ניטור שלמות קבצים וניטור התקני USB, מה שהופך אותו להרבה יותר מפלטפורמת אבטחה משולבת מאשר רק מערכת יומן וניהול אירועים.

תמחור עבור SolarWinds יומן ומנהל אירועים מתחיל ב -4 585 דולר עבור עד 30 צמתים מנוטרים. ניתן לרכוש רישיונות של עד 2 500 צמתים והופכים את המוצר למדרג ביותר. אם אתה רוצה לקחת את המוצר לביצוע בדיקה ולראות בעצמך אם הוא מתאים לך, ניתן לקבל ניסיון בחינם הכולל 30 יום לכל הימים.

3. OSSEC

אבטחת קוד פתוח, או OSSEC, היא ללא ספק מערכת איתור החדירה המבוססת על קוד פתוח מבוסס מארח. המוצר נמצא בבעלות מגמת מיקרו, אחד השמות המובילים בתחום אבטחת ה- IT ויצרנית אחת מסוויטות ההגנה מפני הנגיפים הטובות ביותר. כאשר היא מותקנת במערכות הפעלה דמויות Unix, התוכנה מתמקדת בעיקר בקבצי יומן ותצורה. זה יוצר סיכומי צ'קים של קבצים חשובים ומאמת אותם מעת לעת, ומתריע בפניך בכל פעם שקורה משהו מוזר. זה גם יפקח ויתריע על כל ניסיון חריג להשיג גישה לשורש. במארחי Windows, המערכת שומרת עין גם על שינויי רישום לא מורשים שיכולים להיות סימן סיפור לפעילות זדונית.

מתוקף היותה מערכת לגילוי חדירות מבוססת מארח, OSSEC צריך להתקין בכל מחשב שתרצה להגן עליו. עם זאת, קונסולה מרכזית אכן מגבשת מידע מכל מחשב מוגן לצורך ניהול קל יותר. בזמן ש OSSEC המסוף פועל רק במערכות הפעלה דמויות Unix, סוכן זמין להגנה על מארחי Windows. כל גילוי יפעיל התראה שתוצג במסוף הריכוזי כאשר גם הודעות יישלחו בדוא"ל.

4. נחר

נחר היא ככל הנראה מערכת איתור החדירות המבוססת על קוד פתוח לרשת הפתוחה הידועה ביותר. אבל זה יותר מכלי לזיהוי פריצות. זה גם רחרוח מנות ולוגר מנות והוא כולל גם כמה פונקציות אחרות. הגדרת התצורה של המוצר מזכירה את תצורת חומת האש. זה נעשה באמצעות כללים. אתה יכול להוריד כללי בסיס מה - נחר אתר ולהשתמש בהם כפי שהוא או להתאים אותם לצרכים הספציפיים שלך. אתה יכול גם להירשם כמנוי נחר כללים לקבלת אוטומטית את כל החוקים האחרונים ככל שהם מתפתחים או כשמתגלים איומים חדשים.

סוג הוא יסודי מאוד ואפילו הכללים הבסיסיים שלו יכולים לאתר מגוון רחב של אירועים כמו סריקות נמל התגנבות, התקפות הצפת מאגר, התקפות CGI, בדיקות SMB וטביעות אצבע של מערכת ההפעלה. אין כמעט גבול למה שאתה יכול לאתר באמצעות כלי זה, ומה שהוא מגלה תלוי אך ורק בכללי התקנת התקנתך. באשר לשיטות גילוי, חלק מהבסיסיות נחר הכללים מבוססים על חתימה ואילו אחרים מבוססים על אנומליות. נחר לכן, יכול להעניק לך את הטוב שבשני העולמות.

5. סמהיין

סמהיין היא עוד מערכת איתור פריצות מארח ידועה בחינם. התכונות העיקריות שלו, מבחינת IDS, הן בדיקת תקינות קבצים וניטור / ניתוח קבצי יומן. אבל זה עושה יותר מזה. המוצר יבצע איתור ערכות שורש, פיקוח על יציאה, איתור מפעילי SUID נוכלים ותהליכים נסתרים.

הכלי תוכנן לפקח על מספר מארחים המריצים מערכות הפעלה שונות תוך מתן רישום ותחזוקה מרכזיים. למרות זאת, סמהיין יכול לשמש גם כיישום עצמאי במחשב יחיד. התוכנה פועלת בעיקר במערכות POSIX כמו יוניקס, לינוקס או OS X. זה יכול לפעול גם ב- Windows תחת Cygwin, חבילה המאפשרת להריץ יישומי POSIX במערכת Windows, אם כי רק סוכן הניטור נבדק בתצורה זו.

אחד מ סמהייןהתכונה הייחודית ביותר היא מצב ההתגנבות שלה שמאפשר לו לרוץ מבלי שאותרו תוקפים פוטנציאליים. פורצים ידועים כמי שהורגים במהירות תהליכי גילוי שהם מזהים ברגע שהם נכנסים למערכת לפני שהם מתגלים, ומאפשרים להם לשים לב. סמהיין משתמש בטכניקות סטגנוגרפיות כדי להסתיר את התהליכים שלה מאחרים. זה גם מגן על קבצי היומן המרכזיים ועל גיבוי התצורה באמצעות מפתח PGP למניעת חבלה.

6. סוריקטה

סוריקטה היא לא רק מערכת גילוי חדירות. יש לו גם כמה תכונות למניעת חדירות. למעשה, הוא מפרסם כמערכת אקולוגית מלאה לניטור אבטחת רשת. אחד הנכסים הטובים ביותר של הכלי הוא כיצד הוא עובד עד לשכבת היישום. זה הופך אותה למערכת היברידית מבוססת רשת ומארח המאפשרת לכלי לאתר איומים שעלולים להיחשף בכלים אחרים שלא יבחינו בהם.

סוריקטה היא מערכת איתור חדירה אמיתית מבוססת רשת אשר לא רק עובדת בשכבת היישום. זה יפקח על פרוטוקולי רשת ברמה נמוכה יותר כמו TLS, ICMP, TCP ו- UDP. הכלי גם מבין ומפענח פרוטוקולים ברמה גבוהה יותר כמו HTTP, FTP או SMB והוא יכול לאתר ניסיונות חדירה מוסתרים בבקשות רגילות אחרת. הכלי כולל גם יכולות חילוץ קבצים המאפשר למנהלי מערכת לבדוק כל קובץ חשוד.

סוריקטהארכיטקטורת היישומים היא חדשנית למדי. הכלי יפיץ את עומס העבודה שלו על פני מספר ליבות וחוטים של מעבד לקבלת הביצועים הטובים ביותר. במידת הצורך הוא יכול אפילו להוריד חלק מעיבודו לכרטיס הגרפי. זוהי תכונה נהדרת כאשר משתמשים בכלי בשרתים מכיוון שכרטיס הגרפי שלהם בדרך כלל מנוצל.

7. אחי צג אבטחת רשת

ה אחי צג אבטחת רשת, מערכת גילוי פריצות רשת אחרת בחינם. הכלי פועל בשני שלבים: רישום תנועה וניתוח תנועה. בדיוק כמו סוריקטה, אחי צג אבטחת רשת פועל במספר שכבות עד לשכבת היישום. זה מאפשר איתור טוב יותר של ניסיונות חדירה מפוצלים. מודול הניתוח של הכלי מורכב משני אלמנטים. האלמנט הראשון נקרא מנוע האירועים והוא עוקב אחר אירועים מפעילים כגון חיבורי TCP נטו או בקשות HTTP. לאחר מכן מנותחים את האירועים באמצעות סקריפטים של המדיניות, האלמנט השני, שמחליטים אם להפעיל אזעקה או לא, או לפתוח בפעולה. האפשרות לפתוח בפעולה מעניקה לרשת האבטחה של רשת Bro אחיזה פונקציונליות דמוית IPS.

ה אחי צג אבטחת רשת מאפשר לך לעקוב אחר פעילות HTTP, DNS ו- FTP והיא גם מנטרת את התעבורה של SNMP. זה דבר טוב מכיוון שלרוב משתמשים ב- SNMP לניטור רשת ובכל זאת זה לא פרוטוקול מאובטח. ומכיוון שאפשר להשתמש בו גם לשינוי תצורות, משתמשים עלולים לזכור אותם. הכלי יאפשר לך לצפות גם בשינויי תצורת מכשירים ומלכודות SNMP. ניתן להתקין אותו ב- Unix, Linux ו- OS X אך הוא אינו זמין עבור Windows, וזה אולי החיסרון העיקרי שלו.