Remote Access Trojans (RAT's) - wat zijn ze en hoe kunnen ze ertegen worden beschermd?

De Remote Access Trojan, of RAT, is een van de smerigste soorten malware die men kan bedenken. Ze kunnen allerlei soorten schade veroorzaken en ze kunnen ook verantwoordelijk zijn voor dure gegevensverliezen. Ze moeten actief worden bestreden omdat ze, behalve dat ze gemeen zijn, relatief vaak voorkomen. Vandaag zullen we ons best doen om uit te leggen wat ze zijn en hoe ze werken, en we zullen u laten weten wat u kunt doen om u ertegen te beschermen.

We beginnen onze discussie vandaag door uit te leggen wat een RAT is. We gaan niet te diep in op de technische details, maar doen ons best om uit te leggen hoe ze werken en hoe ze bij u terechtkomen. Vervolgens, terwijl we proberen niet te paranoïde te klinken, zullen we zien hoe RAT's bijna als wapens kunnen worden beschouwd. Sommigen zijn zelfs als zodanig gebruikt. Daarna introduceren we enkele van de bekendste RAT's. Het geeft u een beter idee van wat ze kunnen. We zullen dan zien hoe we inbraakdetectietools kunnen gebruiken om te beschermen tegen RAT's en we zullen enkele van de beste van deze tools bekijken.

Dus, wat is een RAT?

De Trojan voor externe toegang is een type malware waarmee een hacker op afstand (vandaar de naam) de controle over een computer kan overnemen. Laten we de naam analyseren. Het Trojaanse deel gaat over de manier waarop de malware wordt verspreid. Het verwijst naar het oude Griekse verhaal van het Trojaanse paard dat Ulysses bouwde om de stad Troje terug te nemen die tien jaar lang belegerd was geweest. In de context van computermalware is een Trojaans paard (of simpelweg een Trojaans paard) een stuk malware dat als iets anders wordt verspreid. Een game die u downloadt en op uw computer installeert, kan bijvoorbeeld een Trojaans paard zijn en kan een malwarecode bevatten.

Wat het externe toegangsgedeelte van de naam van de RAT betreft, het heeft te maken met wat de malware doet. Simpel gezegd, het geeft de auteur toegang op afstand tot de geïnfecteerde computer. En als hij op afstand toegang krijgt, zijn er nauwelijks grenzen aan wat hij kan doen. Het kan variëren van het verkennen van uw bestandssysteem, het bekijken van uw activiteiten op het scherm, het verzamelen van uw inloggegevens of het versleutelen van uw bestanden om losgeld te eisen. Hij kan ook uw gegevens stelen of, erger nog, die van uw klant. Zodra de RAT is geïnstalleerd, kan uw computer een hub worden van waaruit aanvallen worden gestart op andere computers op het lokale netwerk, waardoor de beveiliging aan de rand wordt omzeild.

RAT's in de geschiedenis

RAT's bestaan ​​helaas al meer dan een decennium. Er wordt aangenomen dat de technologie een rol heeft gespeeld bij de uitgebreide plundering van Amerikaanse technologie door Chinese hackers in 2003. Een Pentagon-onderzoek ontdekte gegevensdiefstal van Amerikaanse defensie-aannemers, waarbij geclassificeerde ontwikkelings- en testgegevens werden overgebracht naar locaties in China.

Misschien herinnert u zich de uitval van het elektriciteitsnet aan de oostkust van de Verenigde Staten van 2003 en 2008. Deze waren ook terug te voeren op China en leken te zijn gefaciliteerd door RAT's. Een hacker die een RAT op een systeem kan krijgen, kan dat profiteer van alle software waarover de gebruikers van het geïnfecteerde systeem beschikken, vaak zonder dat ze het merken het.

RAT's als wapens

Een kwaadwillende RAT-ontwikkelaar kan de controle over elektriciteitscentrales, telefoonnetwerken, nucleaire installaties of gaspijpleidingen overnemen. Als zodanig vormen RAT's niet alleen een risico voor de beveiliging van bedrijven. Ze kunnen landen ook in staat stellen een vijandig land aan te vallen. Als zodanig kunnen ze worden gezien als wapens. Hackers over de hele wereld gebruiken RAT's om bedrijven te bespioneren en hun gegevens en geld te stelen. Ondertussen is het RAT-probleem nu voor veel landen, waaronder de VS, een kwestie van nationale veiligheid geworden.

Oorspronkelijk gebruikt door Chinese hackers voor industriële spionage en sabotage, is Rusland de kracht van RAT's gaan waarderen en heeft ze geïntegreerd in zijn militaire arsenaal. Ze maken nu deel uit van de Russische aanvalstrategie die bekend staat als 'hybride oorlogvoering'. Toen Rusland in 2008 een deel van Georgië innam, was het in dienst DDoS-aanvallen om internetdiensten en RAT's te blokkeren om informatie te verzamelen, te controleren en Georgische militaire hardware te verstoren en essentieel Gereedschap.

Een paar (in) beroemde RAT's

Laten we eens kijken naar enkele van de bekendste RAT's. Ons idee hier is niet om ze te verheerlijken, maar om u een idee te geven van hoe gevarieerd ze zijn.

Back Orifice

Back Orifice is een RAT van Amerikaanse makelij die al bestaat sinds 1998. Het is een soort van opa van RAT's. Het oorspronkelijke schema maakte gebruik van een zwakte in Windows 98. Latere versies die op nieuwere Windows-besturingssystemen draaiden, heetten Back Orifice 2000 en Deep Back Orifice.

Deze RAT kan zichzelf verbergen binnen het besturingssysteem, waardoor het bijzonder moeilijk te detecteren is. Tegenwoordig hebben de meeste virusbeschermingssystemen echter de uitvoerbare bestanden van Back Orifice en occlusiegedrag als handtekeningen om op te letten. Een onderscheidend kenmerk van deze software is dat het een gebruiksvriendelijke console heeft die de indringer kan gebruiken om te navigeren en door het geïnfecteerde systeem te bladeren. Na installatie communiceert dit serverprogramma met de clientconsole via standaard netwerkprotocollen. Zo is het bekend om poortnummer 21337 te gebruiken.

DarkComet

DarkComet werd in 2008 gemaakt door de Franse hacker Jean-Pierre Lesueur, maar kwam alleen naar de cybersecurity-gemeenschap aandacht in 2012 toen werd ontdekt dat een Afrikaanse hacker-eenheid het systeem gebruikte om zich te richten op de Amerikaanse regering en leger.

DarkComet wordt gekenmerkt door een eenvoudig te gebruiken interface waarmee gebruikers met weinig of geen technische vaardigheden hackeraanvallen kunnen uitvoeren. Het maakt spionage mogelijk door keylogging, schermvastlegging en wachtwoordverzameling. De controlerende hacker kan ook de stroomfuncties van een externe computer bedienen, waardoor een computer op afstand kan worden in- of uitgeschakeld. De netwerkfuncties van een geïnfecteerde computer kunnen ook worden gebruikt om de computer als proxyserver te gebruiken en de identiteit van de gebruiker te maskeren tijdens invallen op andere computers. Het project DarkComet werd in 2014 door de ontwikkelaar verlaten toen werd ontdekt dat het door de Syrische regering werd gebruikt om haar burgers te bespioneren.

Luchtspiegeling

Mirage is een beroemde RAT die wordt gebruikt door een door de staat gesponsorde Chinese hackergroep. Na een zeer actieve spionagecampagne van 2009 tot 2015 werd de groep stil. Mirage was vanaf 2012 de belangrijkste tool van de groep. De detectie van een Mirage-variant, MirageFox genaamd in 2018, is een aanwijzing dat de groep weer in actie zou kunnen komen.

MirageFox werd in maart 2018 ontdekt toen het werd gebruikt om Britse overheidsaannemers te bespioneren. De originele Mirage RAT werd gebruikt voor aanvallen op een oliemaatschappij in de Filippijnen, de Taiwanese militairen, een Canadees energiebedrijf en andere doelwitten in Brazilië, Israël, Nigeria en Egypte.

Deze RAT wordt ingebed geleverd in een PDF. Als u het opent, worden scripts uitgevoerd die de RAT installeren. Eenmaal geïnstalleerd, is de eerste actie om terug te rapporteren aan het Command and Control-systeem met een audit van de mogelijkheden van het geïnfecteerde systeem. Deze informatie omvat de CPU-snelheid, geheugencapaciteit en -gebruik, systeemnaam en gebruikersnaam.

Bescherming tegen RAT's - Inbraakdetectietools

Virusbeveiligingssoftware is soms nutteloos bij het detecteren en voorkomen van RAT's. Dit komt mede door hun aard. Ze verbergen zich voor het oog als iets anders dat volkomen legitiem is. Om die reden worden ze vaak het beste gedetecteerd door systemen die computers analyseren op abnormaal gedrag. Dergelijke systemen worden inbraakdetectiesystemen genoemd.

We hebben de markt afgezocht naar de beste inbraakdetectiesystemen. Onze lijst bevat een mix van bonafide inbraakdetectiesystemen en andere software met een inbraakdetectiecomponent of die kan worden gebruikt om inbraakpogingen te detecteren. Ze zullen Trojaanse paarden op afstand doorgaans beter identificeren dan andere soorten tools voor bescherming tegen malware.

SolarWinds is een veel voorkomende naam op het gebied van tools voor netwerkbeheer. Het bestaat al zo'n 20 jaar en heeft ons enkele van de beste tools voor netwerk- en systeembeheer opgeleverd. Het paradepaardje, de Netwerkprestatiemonitor, scoort consequent bij de beste tools voor netwerkbandbreedtebewaking. SolarWinds Het is ook een uitstekende gratis tool, die elk een specifieke behoefte van netwerkbeheerders aanpakt. De Kiwi Syslog Server en de Geavanceerde subnetcalculator zijn daar twee goede voorbeelden van.

• GRATIS demo: SolarWinds Threat Monitor - IT Ops-editie
• Officiële downloadlink: https://www.solarwinds.com/threat-monitor/registration

Voor netwerkgebaseerde inbraakdetectie, SolarWinds biedt de Threat Monitor - IT Ops Edition. In tegenstelling tot de meeste andere SolarWinds tools, deze is een cloudgebaseerde service in plaats van een lokaal geïnstalleerde software. U abonneert zich er gewoon op, configureert het en het begint uw omgeving te controleren op inbraakpogingen en een paar andere soorten bedreigingen. De Threat Monitor - IT Ops Edition combineert verschillende tools. Het heeft zowel netwerk- als hostgebaseerde inbraakdetectie, evenals centralisatie en correlatie van logboeken, en beveiligingsinformatie en gebeurtenisbeheer (SIEM). Het is een zeer grondige suite voor het bewaken van bedreigingen.

De Threat Monitor - IT Ops Edition is altijd up-to-date en krijgt voortdurend bijgewerkte informatie over bedreigingen van meerdere bronnen, waaronder IP- en Domain Reputation-databases. Het let op zowel bekende als onbekende bedreigingen. De tool beschikt over geautomatiseerde intelligente reacties om beveiligingsincidenten snel te verhelpen, waardoor het een aantal indringingspreventie-achtige functies krijgt.

De waarschuwingsfuncties van het product zijn behoorlijk indrukwekkend. Er zijn multi-conditionele, kruislings gecorreleerde alarmen die samenwerken met de Active Response-engine van de tool en helpen bij het identificeren en samenvatten van belangrijke gebeurtenissen. Het rapportagesysteem is net zo goed als de alarmering ervan en kan worden gebruikt om naleving aan te tonen met behulp van bestaande, vooraf gebouwde rapportagesjablonen. U kunt ook aangepaste rapporten maken die precies aansluiten bij uw zakelijke behoeften.

Prijzen voor de SolarWinds Threat Monitor - IT Ops-editie begin bij $ 4500 voor maximaal 25 knooppunten met 10 dagen index. Je kan contact opnemen met SolarWinds voor een gedetailleerde offerte aangepast aan uw specifieke behoeften. En als je dat liever hebt Als u het product in actie ziet, kunt u een gratis demo aanvragen bij SolarWinds.

Laat het niet SolarWinds Log & Event ManagerDe naam houdt je voor de gek. Het is veel meer dan alleen een log- en evenementenbeheersysteem. Veel van de geavanceerde functies van dit product maken het onderdeel van het Security Information and Event Management (SIEM) -bereik. Andere kenmerken kwalificeren het als een inbraakdetectiesysteem en zelfs tot op zekere hoogte als een inbraakpreventiesysteem. Deze tool biedt bijvoorbeeld real-time correlatie van gebeurtenissen en real-time herstel.

• GRATIS proefperiode: SolarWinds Log & Event Manager
• Officiële downloadlink: https://www.solarwinds.com/log-event-manager-software/registration

De SolarWinds Log & Event Manager biedt onmiddellijke detectie van verdachte activiteiten (een functie voor inbraakdetectie) en geautomatiseerde reacties (een functie voor inbraakpreventie). Het kan ook beveiligingsgebeurtenisonderzoek en forensisch onderzoek uitvoeren voor zowel mitigatie- als nalevingsdoeleinden. Dankzij de audit-bewezen rapportage kan de tool ook worden gebruikt om de naleving van onder andere HIPAA, PCI-DSS en SOX aan te tonen. De tool heeft ook monitoring van bestandsintegriteit en monitoring van USB-apparaten, waardoor het veel meer een geïntegreerd beveiligingsplatform is dan alleen een log- en gebeurtenisbeheersysteem.

Prijsstelling voor de SolarWinds Log & Event Manager begint bij $ 4 585 voor maximaal 30 bewaakte knooppunten. Licenties voor maximaal 2500 knooppunten kunnen worden aangeschaft, waardoor het product zeer schaalbaar is. Als u het product wilt uitproberen en zelf wilt zien of het geschikt voor u is, er is een gratis, volledig uitgeruste proefversie van 30 dagen beschikbaar.

3. OSSEC

Open source beveiliging, of OSSEC, is verreweg het toonaangevende open-source hostgebaseerde inbraakdetectiesysteem. Het product is eigendom van Trend Micro, een van de toonaangevende namen in IT-beveiliging en de maker van een van de beste antivirusprogramma's. Bij installatie op Unix-achtige besturingssystemen richt de software zich voornamelijk op log- en configuratiebestanden. Het maakt checksums van belangrijke bestanden en valideert ze periodiek, zodat u wordt gewaarschuwd wanneer er iets vreemds gebeurt. Het zal ook elke abnormale poging om root-toegang te krijgen volgen en waarschuwen. Op Windows-hosts houdt het systeem ook een oogje in het zeil voor ongeoorloofde registerwijzigingen die een duidelijk teken kunnen zijn van kwaadaardige activiteiten.

Omdat het een op een host gebaseerd inbraakdetectiesysteem is, OSSEC moet worden geïnstalleerd op elke computer die u wilt beschermen. Een gecentraliseerde console consolideert echter informatie van elke beveiligde computer voor eenvoudiger beheer. Terwijl de OSSEC console werkt alleen op Unix-achtige besturingssystemen, er is een agent beschikbaar om Windows-hosts te beschermen. Elke detectie activeert een waarschuwing die wordt weergegeven op de centrale console, terwijl meldingen ook per e-mail worden verzonden.

4. Snuiven

Snuiven is waarschijnlijk het bekendste open-source netwerkgebaseerde inbraakdetectiesysteem. Maar het is meer dan een inbraakdetectietool. Het is ook een pakketsniffer en een pakketlogger en het heeft ook een paar andere functies. Het configureren van het product doet denken aan het configureren van een firewall. Het gebeurt met regels. U kunt basisregels downloaden van de Snuiven website en gebruik ze zoals ze zijn of pas ze aan uw specifieke behoeften aan. U kunt zich ook abonneren op Snuiven regels om automatisch de nieuwste regels te ontvangen naarmate ze evolueren of wanneer nieuwe bedreigingen worden ontdekt.

Soort is zeer grondig en zelfs de basisregels kunnen een grote verscheidenheid aan gebeurtenissen detecteren, zoals stealth-poortscans, bufferoverloopaanvallen, CGI-aanvallen, SMB-sondes en vingerafdrukken van besturingssystemen. Er is vrijwel geen limiet aan wat u kunt detecteren met deze tool en wat het detecteert, is uitsluitend afhankelijk van de regelset die u installeert. Wat betreft detectiemethoden, enkele van de basis Snuiven regels zijn gebaseerd op handtekeningen, terwijl andere op anomalie zijn gebaseerd. Snuiven kan u daarom het beste van twee werelden geven.

5. Samhain

Samhain is een ander bekend gratis inbraakdetectiesysteem voor hosts. De belangrijkste kenmerken, vanuit het oogpunt van IDS, zijn controle van de bestandsintegriteit en controle / analyse van logbestanden. Het doet echter veel meer dan dat. Het product zal rootkit-detectie, poortbewaking, detectie van frauduleuze SUID-uitvoerbare bestanden en verborgen processen uitvoeren.

De tool is ontworpen om meerdere hosts met verschillende besturingssystemen te monitoren en biedt tegelijkertijd centrale logging en onderhoud. Echter, Samhain kan ook worden gebruikt als een stand-alone applicatie op een enkele computer. De software draait voornamelijk op POSIX-systemen zoals Unix, Linux of OS X. Het kan ook op Windows worden uitgevoerd onder Cygwin, een pakket waarmee POSIX-toepassingen op Windows kunnen worden uitgevoerd, hoewel alleen de monitoring agent in die configuratie is getest.

Een van de SamhainDe meest unieke functie is de stealth-modus, waardoor deze kan worden uitgevoerd zonder te worden opgemerkt door potentiële aanvallers. Het is bekend dat indringers detectieprocessen die ze herkennen snel doden zodra ze een systeem binnengaan voordat ze worden gedetecteerd, waardoor ze onopgemerkt blijven. Samhain gebruikt steganografische technieken om zijn processen voor anderen te verbergen. Het beschermt ook zijn centrale logbestanden en configuratieback-ups met een PGP-sleutel om manipulatie te voorkomen.

6. Suricata

Suricata is niet alleen een inbraakdetectiesysteem. Het heeft ook enkele functies voor inbraakpreventie. In feite wordt het geadverteerd als een compleet monitoring-ecosysteem voor netwerkbeveiliging. Een van de beste troeven van de tool is hoe het werkt tot aan de applicatielaag. Dit maakt het een hybride netwerk- en hostgebaseerd systeem waarmee de tool bedreigingen kan detecteren die waarschijnlijk onopgemerkt zouden blijven door andere tools.

Suricata is een echt netwerkgebaseerd inbraakdetectiesysteem dat niet alleen in de applicatielaag werkt. Het bewaakt netwerkprotocollen op een lager niveau, zoals TLS, ICMP, TCP en UDP. De tool begrijpt en decodeert ook protocollen van hoger niveau zoals HTTP, FTP of SMB en kan inbraakpogingen detecteren die verborgen zijn in anderszins normale verzoeken. De tool biedt ook mogelijkheden voor bestandsextractie waarmee beheerders elk verdacht bestand kunnen onderzoeken.

SuricataDe applicatiearchitectuur is vrij innovatief. De tool verdeelt zijn werklast over verschillende processorcores en threads voor de beste prestaties. Indien nodig kan het zelfs een deel van de verwerking naar de grafische kaart overzetten. Dit is een geweldige functie wanneer u de tool op servers gebruikt, omdat hun grafische kaart doorgaans onderbenut is.

7. Bro Netwerkbeveiligingsmonitor

De Bro Netwerkbeveiligingsmonitor, een ander gratis netwerkinbraakdetectiesysteem. De tool werkt in twee fasen: verkeersregistratie en verkeersanalyse. Net als Suricata, Bro Netwerkbeveiligingsmonitor werkt op meerdere lagen tot aan de applicatielaag. Dit zorgt voor een betere detectie van gespleten inbraakpogingen. De analysemodule van de tool bestaat uit twee elementen. Het eerste element wordt de event-engine genoemd en het houdt activeringsgebeurtenissen bij zoals netto TCP-verbindingen of HTTP-verzoeken. De gebeurtenissen worden vervolgens geanalyseerd door beleidsscripts, het tweede element, die beslissen of er al dan niet een alarm moet worden geactiveerd en / of een actie moet worden ondernomen. De mogelijkheid om een ​​actie te starten geeft de Bro Network Security Monitor enige IPS-achtige functionaliteit.

De Bro Netwerkbeveiligingsmonitor kunt u HTTP-, DNS- en FTP-activiteiten volgen en het bewaakt ook SNMP-verkeer. Dit is een goede zaak omdat SNMP vaak wordt gebruikt voor netwerkbewaking, maar het is geen veilig protocol. En aangezien het ook kan worden gebruikt om configuraties te wijzigen, kan het worden misbruikt door kwaadwillende gebruikers. Met de tool kunt u ook wijzigingen in de apparaatconfiguratie en SNMP-traps bekijken. Het kan op Unix, Linux en OS X worden geïnstalleerd, maar het is niet beschikbaar voor Windows, wat misschien wel het grootste nadeel is.