Trojanere for ekstern tilgang (RATS) - Hva er de og hvordan beskytte seg mot dem?

Remote Access Trojan, eller RAT, er en av de skiteste typene malware man kan tenke på. De kan forårsake alle slags skader, og de kan også være ansvarlige for dyre tap av data. De må kjempes aktivt fordi de i tillegg til å være ekle, er relativt vanlige. I dag vil vi gjøre vårt beste for å forklare hva de er og hvordan de fungerer, og vi vil gi deg beskjed om hva som kan gjøres for å beskytte mot dem.

Vi starter diskusjonen vår i dag med å forklare hva en RAT er. Vi vil ikke gå for dypt i de tekniske detaljene, men gjør vårt beste for å forklare hvordan de fungerer og hvordan de kommer til deg. Deretter, mens vi prøver å ikke høres for paranoide ut, vil vi se hvordan RATs nesten kan sees på som våpen. Noen har faktisk blitt brukt som sådan. Etter det introduserer vi noen av de mest kjente RAT-ene. Det vil gi deg et bedre inntrykk av hva de er i stand til. Vi vil da se hvordan man kan bruke inntrengingsdeteksjonsverktøy for å beskytte mot RATs, og vi vil gjennomgå noe av det beste av disse verktøyene.

Så, hva er en RAT?

De Ekstern tilgang Trojan er en type malware som lar en hacker eksternt (derav navnet) ta kontroll over en datamaskin. La oss analysere navnet. Trojan-delen handler om hvordan skadelig programvare distribueres. Den viser til den eldgamle greske historien om trojanske hesten som Ulysses bygde for å ta tilbake byen Troja som hadde blitt beleiret i ti år. I forbindelse med datamaskin malware er en trojansk hest (eller ganske enkelt trojaner) et stykke malware som distribueres som noe annet. For eksempel kan et spill som du laster ned og installere på datamaskinen, faktisk være en trojansk hest, og det kan inneholde noe skadelig programvare-kode.

Når det gjelder delen for ekstern tilgang til RAT-navnet, har det å gjøre med det skadelig programvare gjør. Enkelt sagt lar den forfatteren ha fjerntilgang til den infiserte datamaskinen. Og når han får fjerntilgang, er det knapt noen grenser for hva han kan gjøre. Det kan variere fra å utforske filsystemet ditt, se på aktiviteter på skjermen, høste innloggingsinformasjon eller kryptere filene dine for å kreve løsepenger. Han kan også stjele dataene dine, eller enda verre, kundens. Når RAT er installert, kan datamaskinen bli et nav der angrep blir lansert til andre datamaskiner i det lokale nettverket, og dermed omgå enhver omkretssikkerhet.

RATT I Historie

RATT har dessverre eksistert i over et tiår. Det antas at teknologien har spilt en rolle i den omfattende plyndringen av amerikansk teknologi av kinesiske hackere i 2003. En Pentagon-undersøkelse oppdaget datatyveri fra amerikanske forsvarsentreprenører, med klassifisert data for utvikling og testing som ble overført til steder i Kina.

Kanskje vil du huske USAs østkyststansnedleggelser i 2003 og 2008. Disse ble også sporet tilbake til Kina og syntes å ha blitt tilrettelagt av RATs. En hacker som kan få en RAT på et system kan dra nytte av programvaren som brukerne av det infiserte systemet har til disposisjon, ofte uten at de engang legger merke til det den.

Rater som våpen

En ondsinnet RAT-utvikler kan ta kontroll over kraftstasjoner, telefonnett, kjernefysiske anlegg eller gassrørledninger. Som sådan utgjør RATS ikke bare en risiko for bedriftens sikkerhet. De kan også gjøre det mulig for nasjoner å angripe et fiendeland. Som sådan kan de sees på som våpen. Hackere over hele verden bruker RATs for å spionere på selskaper og stjele data og penger. I mellomtiden har RAT-problemet nå blitt et spørsmål om nasjonal sikkerhet for mange land, inkludert USA.

Russland, som opprinnelig ble brukt til industriell spionasje og sabotasje av kinesiske hackere, har satt pris på kraften til RATs og har integrert dem i sitt militære arsenal. De er nå en del av den russiske lovbruddstrategien som er kjent som "hybrid krigføring." Da Russland tok beslag i en del av Georgia i 2008, ansatte det DDoS angrep for å blokkere internettjenester og RATS for å samle etterretning, kontroll og forstyrre georgisk militær hardware og essensiell verktøy.

Noen få berømte rotter

La oss se på noen av de mest kjente ratene. Ideen vår her er ikke å glorifisere dem, men i stedet for å gi deg en ide om hvor varierte de er.

Tilbake åpning

Back Orifice er en amerikansk produsert RAT som har eksistert siden 1998. Den slags er bestefar til RATs. Det opprinnelige opplegget utnyttet en svakhet i Windows 98. Senere versjoner som kjørte på nyere Windows-operativsystemer ble kalt Back Orifice 2000 og Deep Back Orifice.

Denne RAT er i stand til å skjule seg i operativsystemet, noe som gjør det spesielt vanskelig å oppdage. I dag har de fleste virusbeskyttelsessystemer imidlertid Back Orifice-kjørbare filer og okklusjonsatferd som signaturer å passe på. Et kjennetegn ved denne programvaren er at den har en brukervennlig konsoll som inntrengeren kan bruke til å navigere og bla gjennom det infiserte systemet. Når det er installert, kommuniserer dette serverprogrammet med klientkonsollen ved bruk av standard nettverksprotokoller. For eksempel er det kjent å bruke portnummer 21337.

DarkComet

DarkComet ble opprettet i 2008 av den franske hackeren Jean-Pierre Lesueur, men kom bare til nettmiljøet oppmerksomhet i 2012 da det ble oppdaget at en afrikansk hackerenhet brukte systemet for å målrette den amerikanske regjeringen og militær.

DarkComet er preget av et brukervennlig grensesnitt som gjør det mulig for brukere med liten eller ingen tekniske ferdigheter å utføre hackerangrep. Det tillater spionering gjennom keylogging, skjermfangst og passordhøsting. Den kontrollerende hackeren kan også betjene strømfunksjonene til en ekstern datamaskin, slik at en datamaskin kan fjernes eller deaktiveres eksternt. Nettverksfunksjonene til en infisert datamaskin kan også utnyttes til å bruke datamaskinen som en proxy-server og maskere brukerens identitet under angrep på andre datamaskiner. DarkComet-prosjektet ble forlatt av sin utvikler allerede i 2014 da det ble oppdaget at det var i bruk av den syriske regjeringen for å spionere på innbyggerne.

luftspeiling

Mirage er en kjent RAT brukt av en statssponsert kinesisk hackergruppe. Etter en veldig aktiv spioneringskampanje fra 2009 til 2015, gikk gruppen stille. Mirage var gruppens viktigste verktøy fra 2012. Oppdagelsen av en Mirage-variant, kalt MirageFox i 2018, er et antydning om at gruppen kan være tilbake i aksjon.

MirageFox ble oppdaget i mars 2018 da den ble brukt til å spionere på britiske regjeringsentreprenører. Når det gjelder den opprinnelige Mirage RAT, ble den brukt til angrep på et oljeselskap på Filippinene Det taiwanske militæret, et kanadisk energiselskap, og andre mål i Brasil, Israel, Nigeria og Egypt.

Denne RAT leveres innebygd i en PDF. Åpning av det får skript til å utføre som installerer RAT. Når den er installert, er den første handlingen å rapportere tilbake til kommando- og kontrollsystemet med en revisjon av det infiserte systemets funksjoner. Denne informasjonen inkluderer CPU-hastighet, minnekapasitet og bruk, systemnavn og brukernavn.

Beskytte mot rotter - Verktøy for deteksjonsinntrenging

Programvare for virusbeskyttelse er noen ganger ubrukelig når det gjelder å oppdage og forhindre RAT. Dette skyldes delvis deres natur. De skjuler seg i synet som noe annet som er helt legitimt. Av den grunn oppdages de ofte best av systemer som analyserer datamaskiner for unormal atferd. Slike systemer kalles inntrengingsdeteksjonssystemer.

Vi har søkt i markedet etter de beste systemene for inntrengningsdeteksjon. Vår liste inneholder en blanding av bona fide intrusjonsdeteksjonssystemer og annen programvare som har en inntrengingsdeteksjonskomponent eller som kan brukes til å oppdage inntrengningsforsøk. De vil vanligvis gjøre en bedre jobb med å identifisere ekstern tilgang til trojanere som andre typer beskyttelsesverktøy for skadelig programvare.

Solarwinds er et vanlig navn innen nettverksadministrasjonsverktøy. Etter å ha eksistert i rundt 20 år brakte det noen av de beste verktøyene for nettverks- og systemadministrasjon. Dets flaggskip produkt, Network Performance Monitor, scorer jevnlig blant de beste verktøyene for overvåkning av båndbredde i nettverket. Solarwinds gjør også utmerkede gratis verktøy, som hver for seg adresserer et spesifikt behov hos nettverksadministratorer. De Kiwi Syslog Server og Avansert undernettkalkulator er to gode eksempler på dem.

• GRATIS demonstrasjon: SolarWinds Threat Monitor - IT Ops Edition
• Offisiell nedlastingslink: https://www.solarwinds.com/threat-monitor/registration

For nettverksbasert intrusjonsdeteksjon, Solarwinds tilbyr Threat Monitor - IT Ops Edition. I motsetning til de fleste andre Solarwinds verktøy, denne er en skybasert tjeneste i stedet for en lokalt installert programvare. Du abonnerer ganske enkelt på den, konfigurerer den, og den begynner å se på miljøet ditt for inntrengningsforsøk og noen flere typer trusler. De Threat Monitor - IT Ops Edition kombinerer flere verktøy. Den har både nettverks- og vertsbasert intrusjonsdeteksjon samt loggesentralisering og korrelasjon, og Sikkerhetsinformasjon og hendelsesstyring (SIEM). Det er en veldig grundig suite for trusselovervåkning.

De Threat Monitor - IT Ops Edition er alltid oppdatert, og får kontinuerlig oppdatert trusselintelligens fra flere kilder, inkludert databaser for IP- og domene-omdømme. Det passer på både kjente og ukjente trusler. Verktøyet har automatiserte intelligente svar for raskt å avhjelpe sikkerhetshendelser, noe som gir det noen innbruddsforebyggende lignende funksjoner.

Produktets varslingsfunksjoner er ganske imponerende. Det er multikondisjonelle, tverrkorrelerte alarmer som fungerer sammen med verktøyets Active Response-motor og hjelper til med å identifisere og oppsummere viktige hendelser. Rapporteringssystemet er like bra som varsling og kan brukes til å demonstrere samsvar ved å bruke eksisterende forhåndsbygde rapportmaler. Alternativt kan du opprette tilpassede rapporter som nøyaktig passer dine forretningsbehov.

Prisene for SolarWinds Threat Monitor - IT Ops Edition start på $ 4 500 for opptil 25 noder med 10 dagers indeks. Du kan kontakte Solarwinds for et detaljert tilbud tilpasset dine spesifikke behov. Og hvis du foretrekker det se produktet i aksjon, kan du be om en gratis demo fra Solarwinds.

Ikke la SolarWinds Log & Event ManagerNavnet lure deg. Det er mye mer enn bare et logg- og eventstyringssystem. Mange av de avanserte funksjonene i dette produktet legger det inn i SIEM-serien (Security Information and Event Management). Andre funksjoner kvalifiserer det som et inntrengingsdeteksjonssystem og til og med, til en viss grad, som et innbruddsforebyggende system. Dette verktøyet har f.eks. Korrelasjon i sanntid og korrigering i sanntid.

• Gratis prøveperiode: SolarWinds Log & Event Manager
• Offisiell nedlastingslink: https://www.solarwinds.com/log-event-manager-software/registration

De SolarWinds Log & Event Manager har øyeblikkelig deteksjon av mistenkelig aktivitet (en funksjon for inntrengingsdeteksjon) og automatiserte svar (en funksjon for forebygging av inntrenging). Den kan også utføre etterforskning av sikkerhetshendelser og rettsmedisiner for både formildings- og overholdelsesformål. Takket være revisjonsprøvd rapportering kan verktøyet også brukes til å demonstrere samsvar med blant annet HIPAA, PCI-DSS og SOX. Verktøyet har også overvåking av filintegritet og overvåking av USB-enheter, noe som gjør det til mye mer av en integrert sikkerhetsplattform enn bare et logg- og hendelsesstyringssystem.

Priser for SolarWinds Log & Event Manager starter på $ 4 585 for opptil 30 overvåkte noder. Lisenser for inntil 2 500 noder kan kjøpes, noe som gjør produktet svært skalerbart. Hvis du vil ta produktet på prøvekjøring og se selv om det er riktig for deg, en gratis fullfunksjonell 30-dagers prøveversjon er tilgjengelig.

3. OSSEC

Open Source Security, eller OSSEC, er det desidert ledende open-source vertsbaserte intrusjonsdeteksjonssystemet. Produktet eies av Trend Micro, et av de ledende navnene innen IT-sikkerhet og produsenten av en av de beste virusbeskyttelse-suitene. Når den er installert på Unix-lignende operativsystemer, fokuserer programvaren først og fremst på logg- og konfigurasjonsfiler. Den lager sjekkesummer av viktige filer og validerer dem med jevne mellomrom, og varsler deg når noe rart skjer. Den vil også overvåke og varsle om alle unormale forsøk på å få rottilgang. På Windows-verter holder systemet også øye med uautoriserte registerendringer som kan være et tegn på skadelig aktivitet.

I kraft av å være et vertsbasert system for inntrengingsdeteksjon, OSSEC må installeres på hver datamaskin du vil beskytte. Imidlertid konsoliderer en sentralisert konsoll informasjon fra hver beskyttet datamaskin for enklere administrasjon. Mens OSSEC konsoll kjører bare på Unix-lignende operativsystemer, en agent er tilgjengelig for å beskytte Windows-verter. Enhver deteksjon vil utløse et varsel som vil vises på den sentraliserte konsollen, mens varsler også blir sendt via e-post.

4. Snort

Snort er trolig det mest kjente open source nettverksbaserte Intrusion Detection System. Men det er mer enn et intrusjonsdeteksjonsverktøy. Det er også en pakkesniffer og en pakkelogger, og den pakker noen få andre funksjoner også. Konfigurering av produktet minner om konfigurering av en brannmur. Det gjøres ved bruk av regler. Du kan laste ned basisregler fra Snort nettsted og bruk dem som den er eller tilpass dem etter dine spesifikke behov. Du kan også abonnere på Snort regler for automatisk å få alle de nyeste reglene når de utvikler seg eller når nye trusler oppdages.

Sortere er veldig grundig, og til og med dens grunnleggende regler kan oppdage et bredt utvalg av hendelser som stealth-port-skanninger, bufferoverløpsangrep, CGI-angrep, SMB-prober og OS-fingeravtrykk. Det er praktisk talt ingen begrensning for hva du kan oppdage med dette verktøyet, og hva det oppdager er bare avhengig av regelsettet du installerer. Som for deteksjonsmetoder, noen av de grunnleggende Snort regler er signaturbaserte, mens andre er avviksbaserte. Snort kan derfor gi deg det beste fra begge verdener.

5. Samhain

Samhain er et annet kjent system for deteksjon av gratis vertsinntrenging. Hovedfunksjonene fra IDS-standpunkt er filintegritetskontroll og overvåking / analyse av loggfiler. Det gjør imidlertid mer enn det. Produktet vil utføre rootkit-deteksjon, portovervåking, deteksjon av useriøse SUID-kjørbare filer og skjulte prosesser.

Verktøyet ble designet for å overvåke flere verter som kjører forskjellige operativsystemer samtidig som det ga sentralisert logging og vedlikehold. Derimot, Samhain kan også brukes som et frittstående program på en enkelt datamaskin. Programvaren kjører primært på POSIX-systemer som Unix, Linux eller OS X. Den kan også kjøres på Windows under Cygwin, en pakke som tillater å kjøre POSIX-applikasjoner på Windows, selv om bare overvåkingsagenten er testet i den konfigurasjonen.

En av SamhainDen mest unike egenskapen er stealth-modus som lar den løpe uten å bli oppdaget av potensielle angripere. Inntrengere har vært kjent for å raskt drepe deteksjonsprosesser de kjenner igjen så snart de kommer inn i et system før de blir oppdaget, slik at de kan gå upåaktet hen. Samhain bruker steganografiske teknikker for å skjule prosessene sine for andre. Den beskytter også de sentrale loggfilene og konfigurasjonssikkerhetskopiene med en PGP-nøkkel for å forhindre manipulering.

6. Suricata

Suricata er ikke bare et inntrengingsdeteksjonssystem. Den har også noen funksjoner for forebygging av inntrenging. Faktisk blir det annonsert som et komplett økosystem for overvåkning av nettverkssikkerhet. Et av verktøyets beste ressurser er hvordan det fungerer helt opp til applikasjonslaget. Dette gjør det til et hybrid nettverks- og vertsbasert system som lar verktøyet oppdage trusler som sannsynligvis vil bli lagt merke til av andre verktøy.

Suricata er et ekte nettverksbasert intrusjonsdeteksjonssystem som ikke bare fungerer i applikasjonslaget. Den vil overvåke nettverksprotokoller på lavere nivå som TLS, ICMP, TCP og UDP. Verktøyet forstår og avkoder også protokoller på høyere nivå som HTTP, FTP eller SMB og kan oppdage inntrengingsforsøk skjult i ellers normale forespørsler. Verktøyet har også filekstraheringsfunksjoner som lar administratorer undersøke mistenkelige filer.

SuricataApplikasjonsarkitekturen er ganske nyskapende. Verktøyet vil fordele arbeidsmengden over flere prosessorkjerner og tråder for best mulig ytelse. Hvis det er behov, kan det til og med laste ned noe av behandlingen til grafikkortet. Dette er en flott funksjon når du bruker verktøyet på servere, ettersom grafikkortet deres vanligvis er underbruk.

7. Bro Network Security Monitor

De Bro Network Security Monitor, et annet gratis nettverksinntrengingsdeteksjonssystem Verktøyet fungerer i to faser: trafikklogging og trafikkanalyse. Akkurat som Suricata, Bro Network Security Monitor fungerer på flere lag opp til applikasjonssjiktet. Dette muliggjør bedre påvisning av delte innbruddsforsøk. Verktøyets analysemodul består av to elementer. Det første elementet kalles hendelsesmotoren, og det sporer utløsende hendelser som nettet TCP-tilkoblinger eller HTTP-forespørsler. Hendelsene blir deretter analysert av policy-manus, det andre elementet, som bestemmer om de vil utløse en alarm eller / eller starte en handling. Muligheten for å starte en handling gir Bro Network Security Monitor noe IPS-lignende funksjonalitet.

De Bro Network Security Monitor lar deg spore HTTP-, DNS- og FTP-aktivitet, og den overvåker også SNMP-trafikk. Dette er en god ting fordi SNMP ofte brukes til nettverksovervåking, men det er ikke en sikker protokoll. Og siden det også kan brukes til å endre konfigurasjoner, kan det utnyttes av ondsinnede brukere. Verktøyet lar deg også se endringer i enhetskonfigurasjon og SNMP-feller. Det kan installeres på Unix, Linux og OS X, men det er ikke tilgjengelig for Windows, som kanskje er den største ulempen.