Trójske kone so vzdialeným prístupom (RAT) - čo sú a ako ich chrániť pred nimi?

Trójsky kôň pre vzdialený prístup (RAT) je jedným z najhorších typov škodlivého softvéru, na ktorý si môžete myslieť. Môžu spôsobiť najrôznejšie škody a môžu tiež zodpovedať za drahé straty údajov. Musí sa s nimi aktívne bojovať, pretože okrem toho, že sú škaredé, sú relatívne bežné. Dnes sa budeme čo najlepšie snažiť vysvetliť, čo sú a ako fungujú, a dáme vám vedieť, čo sa dá urobiť, aby sme ich chránili.

Začneme s dnešnou diskusiou tým, že vysvetlíme, čo je RAT. Nepôjdeme príliš hlboko do technických detailov, ale urobíme maximum, aby sme im vysvetlili, ako fungujú a ako sa k vám dostanú. Ďalej, zatiaľ čo sa snažíme neznieť príliš paranoidne, uvidíme, ako sa RAT dajú takmer považovať za zbrane. Niektoré sa v skutočnosti používajú ako také. Potom predstavíme niekoľko najznámejších RAT. Získate lepšiu predstavu o tom, čo sú schopní. Uvidíme, ako je možné použiť nástroje na detekciu narušenia na ochranu pred RAT, a preskúmame niektoré z najlepších nástrojov.

Čo je teda RAT?

Trójsky kôň pre vzdialený prístup

je typ malwaru, ktorý umožňuje hackerovi vzdialene (odtiaľ názov) prevziať kontrolu nad počítačom. Poďme analyzovať názov. Trójska časť sa týka spôsobu distribúcie škodlivého softvéru. Poukazuje na starogrécky príbeh trójskeho koňa, ktorý Ulysses postavil, aby vzal späť mesto Troy, ktoré bolo obliehané desať rokov. V súvislosti s počítačovým škodlivým softvérom je trójsky kôň (alebo jednoducho trójsky kôň) kus škodlivého softvéru, ktorý sa distribuuje ako niečo iné. Napríklad hra, ktorú si stiahnete a nainštalujete do svojho počítača, by mohla byť v skutočnosti trójskym koňom a mohla by obsahovať nejaký malware kód.

Pokiaľ ide o časť názvu RAT pre vzdialený prístup, musí to súvisieť s tým, čo malware robí. Jednoducho povedané, umožňuje autorovi vzdialený prístup k infikovanému počítaču. A keď získa vzdialený prístup, sotva existujú obmedzenia toho, čo môže urobiť. Môže sa líšiť od preskúmania systému súborov, sledovania vašich aktivít na obrazovke, získavania prihlasovacích údajov alebo šifrovania súborov, aby bolo možné výkupné. Môže vám tiež ukradnúť vaše údaje alebo, čo je ešte horšie, údaje o vašom klientovi. Po nainštalovaní RAT sa váš počítač môže stať centrom, odkiaľ sa spúšťajú útoky na iné počítače v miestnej sieti, čím sa obchádza akákoľvek bezpečnosť obvodu.

RAT v histórii

RAT boli bohužiaľ už vyše desať rokov. Predpokladá sa, že táto technológia zohrala úlohu v rozsiahlom rabovaní americkej technológie čínskymi hackermi už v roku 2003. Vyšetrovanie v Pentagone odhalilo krádež údajov od kontraktorov obrany USA, pričom klasifikované údaje o vývoji a testovaní sa preniesli na miesta v Číne.

Možno si spomeniete na výpadky elektrickej energie na východnom pobreží Spojených štátov v rokoch 2003 a 2008. Tie boli tiež vystopované späť do Číny a zdá sa, že ich uľahčili RAT. Hacker, ktorý môže získať RAT do systému, môže využívať akýkoľvek softvér, ktorý majú používatelia infikovaného systému k dispozícii, často bez toho, aby si toho všimli ono.

RAT ako zbrane

Škodlivý vývojár RAT môže prevziať kontrolu nad elektrárňami, telefónnymi sieťami, jadrovými zariadeniami alebo plynovodmi. RAT preto nepredstavujú iba riziko pre podnikovú bezpečnosť. Môžu tiež umožniť národom útočiť na nepriateľskú krajinu. Ako také ich možno považovať za zbrane. Hackeri na celom svete používajú RAT na špionáž spoločností a kradnú ich údaje a peniaze. Medzitým sa problém RAT stal v mnohých krajinách vrátane USA problémom národnej bezpečnosti.

Rusko, pôvodne používané čínskymi hackermi na priemyselnú špionáž a sabotáž, prišlo oceniť silu RAT a začlenilo ich do svojho vojenského arzenálu. Teraz sú súčasťou ruskej trestnej stratégie, ktorá je známa ako „hybridná vojna“. Keď sa Rusko v roku 2008 chopilo časti Gruzínska, zamestnalo sa Útoky DDoS na blokovanie internetových služieb a RAT na zhromažďovanie spravodajských informácií, kontrolu a narušenie gruzínskeho vojenského hardvéru a základných prvkov utility.

Niekoľko známych RAT

Pozrime sa na niektoré z najznámejších RAT. Našou myšlienkou nie je ich osláviť, ale namiesto toho vám poskytnúť predstavu o ich rozmanitosti.

Zadný otvor

Back Orifice je americká RAT, ktorá existuje už od roku 1998. Je to niečo ako starý otec RAT. Pôvodná schéma využívala slabé stránky v systéme Windows 98. Neskoršie verzie, ktoré bežali na novších operačných systémoch Windows, sa nazývali Back Orifice 2000 a Deep Back Orifice.

Tento RAT sa dokáže skryť v operačnom systéme, čo sťažuje jeho detekciu. Dnes však väčšina systémov na ochranu pred vírusmi obsahuje spustiteľné súbory Back Orifice a oklúzne správanie ako podpisy, ktoré treba pozorne sledovať. Charakteristickou črtou tohto softvéru je to, že má ľahko použiteľnú konzolu, ktorú môže útočník použiť na navigáciu a prehliadanie infikovaného systému. Po inštalácii tento serverový program komunikuje s klientskou konzolou pomocou štandardných sieťových protokolov. Napríklad je známe používať číslo portu 21337.

DarkComet

DarkComet bol vytvorený už v roku 2008 francúzskym hackerom Jean-Pierrom Lesueurom, ale prišiel iba do komunity používateľov počítačovej bezpečnosti pozornosť v roku 2012, keď sa zistilo, že africká hackerská jednotka používa tento systém na zacielenie vlády USA a USA armáda.

DarkComet sa vyznačuje ľahko použiteľným rozhraním, ktoré umožňuje používateľom s malými alebo žiadnymi technickými znalosťami vykonávať útoky hackerov. Umožňuje špehovanie pomocou keyloggingu, snímania obrazovky a získavania hesla. Ovládajúci hacker môže tiež ovládať výkonové funkcie vzdialeného počítača, čo umožňuje diaľkové zapnutie alebo vypnutie počítača. Sieťové funkcie infikovaného počítača sa môžu využiť aj na používanie počítača ako servera proxy a maskovania jeho identity používateľa počas útokov na iné počítače. Projekt DarkComet jeho vývojár opustil v roku 2014, keď sa zistilo, že sýrska vláda používa špionáž na svojich občanov.

fatamorgána

Mirage je slávna RAT, ktorú používa čínska hackerská skupina sponzorovaná štátom. Po veľmi aktívnej špionážnej kampani v rokoch 2009 až 2015 skupina utíchla. Mirage bol hlavným nástrojom skupiny od roku 2012. Detekcia variantu Mirage s názvom MirageFox v roku 2018 je náznakom toho, že by skupina mohla byť späť v akcii.

MirageFox bol objavený v marci 2018, keď bol zvyknutý špehovať vládnych dodávateľov Spojeného kráľovstva. Pokiaľ ide o pôvodný Mirage RAT, použil sa na útoky na ropnú spoločnosť na Filipínach Taiwanská armáda, kanadská energetická spoločnosť a ďalšie ciele v Brazílii, Izraeli, Nigérii a Portugalsku Egypt.

Tento RAT sa dodáva zabudovaný do súboru PDF. Otvorenie spôsobí spustenie skriptov, ktoré inštalujú RAT. Po inštalácii je prvou akciou hlásenie späť do systému Command and Control s auditom schopností infikovaného systému. Tieto informácie zahŕňajú rýchlosť procesora, kapacitu a využitie pamäte, názov systému a užívateľské meno.

Ochrana pred RAT - Nástroje na detekciu narušenia

Softvér na ochranu pred vírusmi je niekedy zbytočný pri zisťovaní a prevencii RAT. Je to čiastočne kvôli ich povahe. Skryjú sa pred očami ako niečo iné, čo je úplne legitímne. Z tohto dôvodu sú často najlepšie detekované systémami, ktoré analyzujú počítače na neobvyklé správanie. Takéto systémy sa nazývajú systémy detekcie narušenia.

Hľadali sme na trhu najlepšie systémy detekcie narušenia. Náš zoznam obsahuje kombináciu bona fide Intrusion Detection Systems a iného softvéru, ktorý obsahuje súčasť detekcie narušenia alebo ktorá sa môže použiť na detekciu pokusov o prienik. Zvyčajne urobia lepšiu prácu pri identifikácii trójskych koní vzdialeného prístupu, ktoré identifikujú iné typy nástrojov na ochranu pred malvérom.

SolarWinds je všeobecný názov v oblasti nástrojov na správu siete. Už asi 20 rokov nám prinieslo niektoré z najlepších nástrojov na správu siete a systému. Jej hlavným produktom je Monitor výkonu siete, neustále skóre medzi špičkovými nástrojmi na monitorovanie šírky pásma siete. SolarWinds poskytuje tiež vynikajúce bezplatné nástroje, pričom každý z nich rieši špecifickú potrebu správcov siete. Server kiwi Syslog a Pokročilá kalkulačka podsiete sú to dva dobré príklady.

• Demo ZDARMA: Monitor hrozieb SolarWinds - vydanie IT Ops
• Odkaz na stiahnutie: https://www.solarwinds.com/threat-monitor/registration

Na detekciu narušenia siete prostredníctvom siete SolarWinds ponúka Monitor hrozieb - vydanie IT Ops. Na rozdiel od väčšiny ostatných SolarWinds nástrojov, je to skôr služba typu cloud, ako lokálne nainštalovaný softvér. Jednoducho sa prihlásite na odber, nakonfigurujete ho a začne sledovať vaše prostredie na pokusy o prienik a niekoľko ďalších typov hrozieb. Monitor hrozieb - vydanie IT Ops kombinuje niekoľko nástrojov. Má detekciu narušenia v sieti aj hostiteľa, ako aj centralizáciu a koreláciu protokolov a bezpečnostné informácie a správu udalostí (SIEM). Je to veľmi dôkladný balík na sledovanie hrozieb.

Monitor hrozieb - vydanie IT Ops je vždy aktuálny a neustále dostáva aktualizované informácie o hrozbách z viacerých zdrojov vrátane databáz IP a domén. Sleduje známe aj neznáme hrozby. Nástroj obsahuje automatizované inteligentné reakcie na rýchlu nápravu bezpečnostných incidentov a poskytuje tak niektoré funkcie podobné prevencii.

Varovné funkcie produktu sú dosť pôsobivé. Existujú multi-podmienené, vzájomne prepojené alarmy, ktoré pracujú v spojení s nástrojom aktívnej reakcie nástroja a pomáhajú pri identifikácii a sumarizácii dôležitých udalostí. Systém podávania správ je rovnako dobrý ako jeho varovanie a môže sa použiť na preukázanie súladu s použitím existujúcich vopred pripravených šablón výkazov. Prípadne môžete vytvoriť vlastné prehľady, ktoré presne zodpovedajú vašim obchodným potrebám.

Ceny za internet Monitor hrozieb SolarWinds - vydanie IT Ops začnite na 4 500 $ až pre 25 uzlov s indexom 10 dní. Môžete kontaktovať SolarWinds pre podrobnú ponuku prispôsobenú vašim špecifickým potrebám. A ak chcete pozrite si produkt v akcii, môžete požiadať o bezplatné demo SolarWinds.

Nedovoľte, aby Správca protokolov a udalostí SolarWindsMeno ťa zmiasť. Je to oveľa viac než len systém na správu protokolov a udalostí. Mnoho pokročilých funkcií tohto produktu ho zaradilo do radu bezpečnostných informácií a správy udalostí (SIEM). Ostatné funkcie ho označujú ako systém detekcie narušenia a do istej miery dokonca ako systém prevencie pred narušením. Tento nástroj obsahuje napríklad koreláciu udalostí v reálnom čase a nápravu v reálnom čase.

• Skúška zadarmo: Správca protokolov a udalostí SolarWinds
• Odkaz na stiahnutie: https://www.solarwinds.com/log-event-manager-software/registration

Správca protokolov a udalostí SolarWinds obsahuje okamžitú detekciu podozrivej činnosti (funkcia detekcie narušenia prieniku) a automatizované reakcie (funkcia prevencie prieniku). Môže tiež vykonávať vyšetrovanie bezpečnostných udalostí a forenznú analýzu na účely zmiernenia a súladu. Vďaka auditom overenému vykazovaniu sa tento nástroj môže použiť aj na preukázanie súladu s HIPAA, PCI-DSS a SOX. Tento nástroj má tiež monitorovanie integrity súborov a monitorovanie zariadení USB, vďaka čomu je oveľa viac integrovanou bezpečnostnou platformou ako len systém správy protokolov a udalostí.

Ceny za Správca protokolov a udalostí SolarWinds začína na 4 585 $ pre až 30 monitorovaných uzlov. Licencie až pre 2 500 uzlov je možné zakúpiť, vďaka čomu je produkt vysoko škálovateľný. Ak si chcete produkt vziať na skúšobnú jazdu a presvedčte sa sami, či je pre vás to pravé, K dispozícii je bezplatná plne funkčná 30-dňová skúšobná verzia.

3. OSSEC

Open Source Securityalebo OSSEC, je zďaleka popredný otvorený zdrojový detekčný systém hostiteľa. Výrobok je vo vlastníctve spoločnosti Trend Micro, jedno z vedúcich mien v oblasti IT bezpečnosti a výrobca jedného z najlepších balíkov antivírusovej ochrany. Pri inštalácii na operačné systémy podobné Unixu sa softvér zameriava predovšetkým na protokolové a konfiguračné súbory. Vytvára kontrolné súčty dôležitých súborov a pravidelne ich potvrdzuje, upozorní vás vždy, keď sa stane niečo čudné. Bude tiež monitorovať a upozorňovať na akýkoľvek neobvyklý pokus o získanie prístupu root. Na počítačoch so systémom Windows tiež systém dohliada na neoprávnené zmeny v registroch, ktoré by mohli byť známkou škodlivej činnosti.

Vďaka tomu, že ide o systém detekcie narušenia hostiteľa, OSSEC musí byť nainštalovaný na každom počítači, ktorý chcete chrániť. Centralizovaná konzola však konsoliduje informácie z každého chráneného počítača pre ľahšiu správu. Kým OSSEC konzola beží iba na operačných systémoch Unix-like, agent je k dispozícii na ochranu hostiteľov Windows. Akákoľvek detekcia spustí výstrahu, ktorá sa zobrazí na centralizovanej konzole, zatiaľ čo oznámenia sa budú posielať aj e-mailom.

4. opäť normálne

opäť normálne je pravdepodobne najznámejší sieťový detekčný systém s otvoreným zdrojom. Je to však viac ako len nástroj na detekciu narušenia. Je to tiež identifikátor paketov a záznamník paketov a obsahuje aj niekoľko ďalších funkcií. Konfigurácia produktu pripomína konfiguráciu brány firewall. Robí sa to pomocou pravidiel. Základné pravidlá si môžete stiahnuť z internetu opäť normálne a používajte ich tak, ako sú, alebo ich prispôsobte vašim konkrétnym potrebám. Môžete sa tiež prihlásiť na odber opäť normálne pravidlá na automatické získanie všetkých najnovších pravidiel pri ich vývoji alebo objavení nových hrozieb.

druh je veľmi dôkladný a dokonca aj jeho základné pravidlá dokážu odhaliť širokú škálu udalostí, ako sú napríklad skenovanie tajných portov, útoky s pretečením vyrovnávacej pamäte, útoky CGI, sondy SMB a snímanie odtlačkov operačných systémov. To, čo môžete zistiť pomocou tohto nástroja, nie je prakticky nijaké a to, čo zistí, závisí výlučne od nainštalovanej sady pravidiel. Pokiaľ ide o metódy detekcie, niektoré zo základných opäť normálne pravidlá sú založené na podpise, zatiaľ čo iné sú založené na anomálii. opäť normálne preto vám môže dať to najlepšie z oboch svetov.

5. Samhain

Samhain je ďalší dobre známy systém detekcie narušenia hostiteľa. Jeho hlavnými rysmi z hľadiska IDS sú kontrola integrity súborov a monitorovanie / analýza protokolových súborov. Urobí to však oveľa viac. Produkt bude vykonávať detekciu rootkitov, monitorovanie portov, detekciu nečestných spustiteľných súborov SUID a skrytých procesov.

Tento nástroj bol navrhnutý na sledovanie viacerých hostiteľov, ktorí prevádzkujú rôzne operačné systémy a zároveň poskytujú centralizované protokolovanie a údržbu. Avšak, Samhain môže byť tiež použitý ako samostatná aplikácia na jednom počítači. Softvér pracuje predovšetkým na systémoch POSIX ako Unix, Linux alebo OS X. Môže tiež bežať na Windows pod Cygwinom, balíkom, ktorý umožňuje spúšťanie aplikácií POSIX na Windows, aj keď v tejto konfigurácii bol testovaný iba monitorovací agent.

Jeden z SamhainJeho najunikátnejšou vlastnosťou je tajný režim, ktorý umožňuje jej spustenie bez toho, aby bol odhalený potenciálnymi útočníkmi. Je známe, že votrelci rýchlo zabíjajú detekčné procesy, ktoré rozpoznajú, hneď ako vstúpia do systému pred tým, ako boli odhalení, čo im umožňuje zostať nepovšimnuté. Samhain používa steganografické techniky na skrytie svojich procesov pred ostatnými. Chráni tiež svoje centrálne protokolové súbory a zálohy konfigurácie pomocou kľúča PGP, aby sa zabránilo neoprávnenému zásahu.

6. Šurice

Šurice nie je iba systém detekcie narušenia. Má tiež niektoré funkcie prevencie prieniku. V skutočnosti je inzerovaný ako kompletný ekosystém na monitorovanie sieťovej bezpečnosti. Jedným z najlepších prínosov nástroja je to, ako funguje až po aplikačnú vrstvu. Vďaka tomu je hybridný systém založený na sieti a hostiteľovi, ktorý umožňuje nástroju zistiť hrozby, ktoré by pravdepodobne iné nástroje nevšimli.

Šurice je skutočný sieťový detekčný systém, ktorý funguje nielen na aplikačnej vrstve. Bude monitorovať sieťové protokoly nižšej úrovne ako TLS, ICMP, TCP a UDP. Nástroj tiež rozumie a dekóduje protokoly vyššej úrovne, ako napríklad HTTP, FTP alebo SMB, a dokáže zistiť pokusy o prienik skryté v inak normálnych požiadavkách. Nástroj tiež obsahuje možnosti extrakcie súborov, ktoré správcom umožňujú preskúmať akýkoľvek podozrivý súbor.

ŠuriceArchitektúra aplikácií je celkom inovatívna. Nástroj rozdelí svoje pracovné zaťaženie do niekoľkých jadier procesorov a vlákien pre najlepší výkon. Ak je to potrebné, môže dokonca niektoré časti spracovania spracovať na grafickú kartu. Toto je vynikajúca funkcia, keď sa nástroj používa na serveroch, pretože ich grafická karta sa zvyčajne nevyužíva.

7. Monitor zabezpečenia siete Bro

Monitor zabezpečenia siete Bro, ďalší bezplatný systém detekcie narušenia siete. Tento nástroj funguje v dvoch fázach: zaznamenávanie a analýza prenosu. Rovnako ako Suricata, Monitor zabezpečenia siete Bro pracuje vo viacerých vrstvách až po aplikačnú vrstvu. To umožňuje lepšiu detekciu pokusov o prienik rozdelených do jednotlivých častí. Modul analýzy nástroja pozostáva z dvoch prvkov. Prvý prvok sa nazýva mechanizmus udalostí a sleduje spúšťacie udalosti, ako sú čisté pripojenia TCP alebo HTTP požiadavky. Udalosti sú potom analyzované skriptmi politík, druhým prvkom, ktorý rozhoduje o spustení alarmu a / alebo o začatí akcie. Možnosť spustenia akcie poskytuje Bro Network Security Monitoru niektoré funkcie podobné IPS.

Monitor zabezpečenia siete Bro umožňuje sledovať aktivity HTTP, DNS a FTP a monitoruje aj prenos SNMP. Je to dobrá vec, pretože protokol SNMP sa často používa na monitorovanie siete, nie je to však bezpečný protokol. A keďže sa dá použiť aj na modifikáciu konfigurácií, môžu ju zneužívať škodliví používatelia. Tento nástroj vám tiež umožní sledovať zmeny konfigurácie zariadenia a SNMP pasce. Môže byť nainštalovaný na Unixe, Linuxe a OS X, ale nie je dostupný pre Windows, čo je asi jeho hlavná nevýhoda.