Uzaktan Erişim Truva Atları (RAT) - Nedir ve Nasıl Korunur?

Uzaktan Erişim Truva Atı veya RAT, aklınıza gelebilecek en kötü amaçlı kötü amaçlı yazılım türlerinden biridir. Her türlü hasara neden olabilirler ve pahalı veri kayıplarından da sorumlu olabilirler. Aktif olarak savaşmaları gerekir, çünkü kötü olmanın yanı sıra nispeten yaygındırlar. Bugün, ne olduklarını ve nasıl çalıştıklarını açıklamak için elimizden geleni yapacağız, ayrıca onlara karşı korumak için neler yapılabileceğini size bildireceğiz.

Bugün bir RAT'ın ne olduğunu açıklayarak tartışmamıza başlayacağız. Teknik ayrıntılarda çok derinlere inmeyeceğiz, ancak nasıl çalıştıklarını ve size nasıl ulaştıklarını açıklamak için elimizden geleni yapıyoruz. Daha sonra, çok paranoyak görünmemeye çalışırken, RAT'ların neredeyse nasıl silah olarak görülebileceğini göreceğiz. Aslında, bazıları bu şekilde kullanılmıştır. Bundan sonra, en iyi bilinen RAT'lardan birkaçını tanıtacağız. Size neler yapabildikleri hakkında daha iyi bir fikir verecektir. Ardından, RAT'lardan korumak için saldırı tespit araçlarını nasıl kullanabileceğini göreceğiz ve bu araçların en iyilerinden bazılarını inceleyeceğiz.

Peki, RAT Nedir?

Uzaktan Erişim Truva Atı bilgisayar korsanının bir bilgisayarı uzaktan kontrol etmesini sağlayan bir kötü amaçlı yazılım türüdür. Adı analiz edelim. Truva atı kısmı, kötü amaçlı yazılımın dağıtılma şekliyle ilgilidir. Ulysses'in on yıldır kuşatılmış olan Troya şehrini geri almak için inşa ettiği Truva atının antik Yunan hikayesine atıfta bulunuyor. Bilgisayar kötü amaçlı yazılım bağlamında, bir Truva atı (veya sadece trojan) başka bir şey olarak dağıtılan bir kötü amaçlı yazılım parçasıdır. Örneğin, bilgisayarınıza indirip yüklediğiniz bir oyun aslında bir Truva atı olabilir ve bazı kötü amaçlı yazılım kodları içerebilir.

RAT’ın adının uzaktan erişim kısmına gelince, kötü amaçlı yazılımın yaptığı şeyle ilgilidir. Basitçe söylemek gerekirse, yazarının virüslü bilgisayara uzaktan erişmesine izin verir. Ve uzaktan erişim elde ettiğinde, yapabileceklerinin neredeyse hiçbir sınırı yoktur. Dosya sisteminizi keşfetmek, ekran etkinliklerinizi izlemek, giriş kimlik bilgilerinizi toplamak veya dosyalarınızı fidye istemek için şifrelemek arasında değişiklik gösterebilir. Ayrıca verilerinizi veya daha da kötüsü müşterinizin bilgilerini çalabilir. RAT kurulduktan sonra, bilgisayarınız saldırıların yerel ağdaki diğer bilgisayarlara başlatıldığı ve böylece çevre güvenliğinin atlandığı bir merkez haline gelebilir.

Tarihte RAT'lar

RAT'lar maalesef 10 yılı aşkın süredir etrafta. Teknolojinin 2003 yılında Çinli hackerlar tarafından ABD teknolojisinin geniş çaplı yağmalanmasında rol oynadığına inanılıyor. Bir Pentagon soruşturması, ABD savunma müteahhitlerinin veri hırsızlığını keşfetti ve gizli geliştirme ve test verileri Çin'deki yerlere aktarıldı.

Belki de Birleşik Devletler Doğu Kıyısı 2003 ve 2008 elektrik şebekesi kapanmalarını hatırlayacaksınız. Bunlar da Çin'e kadar uzanmış ve RAT'lar tarafından kolaylaştırılmış gibi görünmektedir. Sisteme RAT alabilen bir bilgisayar korsanı virüs bulaşmış sistem kullanıcılarının ellerinde bulundurdukları yazılımlardan, çoğu zaman fark etmeden, o.

Silah Olarak RAT'lar

Kötü niyetli bir RAT geliştiricisi güç istasyonları, telefon şebekeleri, nükleer tesisler veya gaz boru hatlarının kontrolünü ele geçirebilir. Bu nedenle, RAT'lar yalnızca kurumsal güvenlik için bir risk oluşturmaz. Ayrıca ulusların bir düşman ülkeye saldırmasını sağlayabilirler. Bu nedenle, silah olarak görülebilirler. Dünyanın dört bir yanındaki hackerlar şirketleri gözetlemek ve verilerini ve paralarını çalmak için RAT'leri kullanıyor. Bu arada, RAT sorunu ABD de dahil olmak üzere birçok ülke için bir ulusal güvenlik konusu haline geldi.

Başlangıçta Çinli hackerlar tarafından endüstriyel casusluk ve sabotaj için kullanılan Rusya, RAT'ların gücünü takdir etmeye geldi ve askeri cephaneliğine entegre etti. Onlar şimdi “melez savaş” olarak bilinen Rus suç stratejisinin bir parçası. Rusya 2008 yılında Gürcistan'ın bir bölümünü ele geçirdiğinde DDoS, istihbarat toplamak, kontrol etmek ve Gürcistan'ın askeri donanımını ve temel araçlar.

Birkaç (in) Ünlü RAT

En iyi bilinen RAT'lardan birkaçına bakalım. Buradaki fikrimiz onları yüceltmek değil, onların ne kadar çeşitli oldukları hakkında bir fikir vermek.

Arka Delik

Back Orifice, 1998'den beri Amerikan yapımı bir RAT. RAT'ların büyükbabası. Orijinal şema Windows 98'de bir zayıflıktan yararlandı. Daha yeni Windows işletim sistemlerinde çalışan sonraki sürümlere Back Orifice 2000 ve Deep Back Orifice adı verildi.

Bu RAT, işletim sistemi içinde kendini gizleyebilir, bu da algılanmasını özellikle zorlaştırır. Ancak günümüzde çoğu virüs koruma sistemi Back Orifice yürütülebilir dosyalarına ve dikkat edilmesi gereken imza olarak oklüzyon davranışına sahiptir. Bu yazılımın ayırt edici bir özelliği, davetsiz misafirin etkilenen sistemde gezinmek ve gezinmek için kullanabileceği kullanımı kolay bir konsola sahip olmasıdır. Kurulduktan sonra, bu sunucu programı standart ağ protokollerini kullanarak istemci konsolu ile iletişim kurar. Örneğin, 21337 numaralı bağlantı noktasının kullanıldığı bilinmektedir.

DarkComet

DarkComet, 2008 yılında Fransız hacker Jean-Pierre Lesueur tarafından yaratıldı, ancak sadece siber güvenlik topluluğuna geldi. Afrikalı bir hacker biriminin sistemi ABD hükümetini hedeflemek için kullandığı ve askeri.

DarkComet, teknik becerisi az olan veya hiç olmayan kullanıcıların hacker saldırıları gerçekleştirmesini sağlayan kullanımı kolay bir arayüz ile karakterize edilir. Keylogging, ekran yakalama ve şifre toplama yoluyla casusluğa izin verir. Kontrol eden bilgisayar korsanı, uzaktaki bir bilgisayarın güç işlevlerini de çalıştırarak bilgisayarın uzaktan açılıp kapanmasına olanak tanır. Virüs bulaşmış bir bilgisayarın ağ işlevleri, bilgisayarı proxy sunucusu olarak kullanmak ve diğer bilgisayarlardaki baskınlar sırasında kullanıcı kimliğini maskelemek için de kullanılabilir. DarkComet projesi 2014 yılında geliştiricisi tarafından, Suriye hükümetinin vatandaşlarını gözetlemek için kullanıldığını keşfettiği zaman terk edildi.

serap

Mirage, devlet destekli bir Çinli hacker grubu tarafından kullanılan ünlü bir RAT. 2009'dan 2015'e kadar çok aktif bir casusluk kampanyasının ardından grup sessizleşti. Mirage, grubun 2012 yılından itibaren birincil aracıydı. 2018'de MirageFox adı verilen bir Mirage varyantının tespiti, grubun tekrar faaliyete geçebileceğine dair bir ipucudur.

MirageFox, Mart 2018'de İngiltere hükümet müteahhitlerine casusluk yapmak için kullanıldığında keşfedildi. Orijinal Mirage RAT'a gelince, Filipinler'deki bir petrol şirketine, Tayvan ordusu, Kanadalı bir enerji şirketi ve Brezilya, İsrail, Nijerya ve Mısır.

Bu RAT, PDF'ye gömülü olarak teslim edilir. Açılması, komut dosyalarının RAT'ı yükleyen yürütmesine neden olur. Kurulduktan sonra ilk eylemi, virüslü sistemin yeteneklerini denetleyerek Komuta ve Kontrol sistemine rapor vermektir. Bu bilgiler CPU hızını, bellek kapasitesini ve kullanımını, sistem adını ve kullanıcı adını içerir.

RAT'lardan Koruma - Saldırı Tespit Araçları

Virüs koruma yazılımı bazen RAT'ları tespit etmede ve önlemede yararsızdır. Bu kısmen doğalarından kaynaklanmaktadır. Tamamen yasal olan başka bir şey olarak açıkça görünürler. Bu nedenle, genellikle en iyi bilgisayarları anormal davranış için analiz eden sistemler tarafından tespit edilir. Bu tür sistemlere saldırı tespit sistemleri denir.

Piyasayı en iyi Saldırı Tespit Sistemlerini araştırdık. Listemizde, saldırı tespit bileşenine sahip olan veya izinsiz giriş denemelerini tespit etmek için kullanılabilen iyi niyetli Saldırı Tespit Sistemleri ve diğer yazılımların bir karışımı bulunmaktadır. Genellikle, diğer kötü amaçlı yazılım koruma araçlarının Uzaktan Erişim Truva Atlarını tanımlamak için daha iyi bir iş çıkarırlar.

SolarWinds ağ yönetim araçları alanında yaygın bir isimdir. Yaklaşık 20 yıldır buralarda bize en iyi ağ ve sistem yönetim araçlarından bazılarını getirdi. Amiral gemisi ürünü, Ağ Performansı İzleyicisi, en iyi ağ bant genişliği izleme araçları arasında tutarlı bir şekilde puan alır. SolarWinds ayrıca her biri ağ yöneticilerinin özel ihtiyaçlarını karşılayan mükemmel ücretsiz araçlar yapar. Kiwi Syslog Sunucusu ve Gelişmiş Alt Ağ Hesaplayıcısı bunlara iki iyi örnektir.

• Ücretsiz demo: SolarWinds Tehdit Monitörü - IT Ops Sürümü
• Resmi İndirme Linki: https://www.solarwinds.com/threat-monitor/registration

Ağ tabanlı izinsiz giriş tespiti için, SolarWinds sunar Tehdit Monitörü - IT Ops Sürümü. Diğerlerinin aksine SolarWinds Bu, yerel olarak yüklenmiş bir yazılım yerine bulut tabanlı bir hizmettir. Sadece abone olursunuz, yapılandırırsınız ve izinsiz giriş denemeleri ve birkaç tehdit türü için ortamınızı izlemeye başlar. Tehdit Monitörü - IT Ops Sürümü çeşitli araçları birleştirir. Hem ağ hem de ana bilgisayar tabanlı İzinsiz Giriş Tespiti'nin yanı sıra günlük merkezileştirmesi ve korelasyonu ve Güvenlik Bilgileri ve Olay Yönetimi'ne (SIEM) sahiptir. Bu çok kapsamlı bir tehdit izleme paketidir.

Tehdit Monitörü - IT Ops Sürümü IP ve Domain Reputation veritabanları da dahil olmak üzere birçok kaynaktan sürekli güncellenen tehdit istihbaratı her zaman günceldir. Hem bilinen hem de bilinmeyen tehditleri izler. Araç, güvenlik saldırılarını hızlı bir şekilde gidermek için otomatik saldırılara sahiptir ve bu da izinsiz giriş önleme benzeri özellikler sunar.

Ürünün uyarı özellikleri oldukça etkileyici. Aracın Aktif Yanıt motoruyla birlikte çalışan ve önemli olayların tanımlanmasına ve özetlenmesine yardımcı olan çok koşullu, çapraz korelasyonlu alarmlar vardır. Raporlama sistemi uyarısı kadar iyidir ve önceden oluşturulmuş mevcut rapor şablonlarını kullanarak uyumluluğu göstermek için kullanılabilir. Alternatif olarak, iş gereksinimlerinize tam olarak uyacak şekilde özel raporlar oluşturabilirsiniz.

Fiyatları SolarWinds Tehdit Monitörü - IT Ops Sürümü 10 gün endeksle 25 adede kadar düğüm için 4500 $ 'dan başlayın. İletişim kurabilirsiniz SolarWinds özel ihtiyaçlarınıza uyarlanmış ayrıntılı bir teklif için. Ve eğer isterseniz ürünü çalışırken görün, ücretsiz bir demo talep edebilirsiniz SolarWinds.

İzin vermeyin SolarWinds Kayıt ve Etkinlik YöneticisiAdı seni kandırıyor. Bir günlük ve olay yönetim sisteminden çok daha fazlasıdır. Bu ürünün gelişmiş özelliklerinin birçoğu ürünü Güvenlik Bilgileri ve Etkinlik Yönetimi (SIEM) serisine yerleştirmiştir. Diğer özellikler Saldırı Tespit Sistemi ve hatta bir dereceye kadar Saldırı Önleme Sistemi olarak nitelendirilir. Bu araç, örneğin gerçek zamanlı olay korelasyonunu ve gerçek zamanlı iyileştirmeyi içerir.

• Ücretsiz deneme: SolarWinds Kayıt ve Etkinlik Yöneticisi
• Resmi İndirme Linki: https://www.solarwinds.com/log-event-manager-software/registration

SolarWinds Kayıt ve Etkinlik Yöneticisi şüpheli etkinliğin anında algılanmasını (izinsiz giriş algılama işlevi) ve otomatik yanıtları (izinsiz girişi önleme işlevi) içerir. Ayrıca, hem hafifletme hem de uyumluluk amacıyla güvenlik olayı araştırması ve adli tıp da yapabilir. Denetim kanıtlanmış raporlaması sayesinde araç, HIPAA, PCI-DSS ve SOX ile uyumluluğu göstermek için de kullanılabilir. Araç ayrıca dosya bütünlüğü izleme ve USB cihaz izleme özelliğine sahiptir, bu da onu sadece bir günlük ve olay yönetim sisteminden çok entegre bir güvenlik platformudur.

İçin fiyatlandırma SolarWinds Kayıt ve Etkinlik Yöneticisi en fazla 30 izlenen düğüm için 4 585 $ 'dan başlar. Ürünü son derece ölçeklenebilir kılmak için 2.500 düğüme kadar lisans satın alınabilir. Ürünü bir test sürüşüne çıkarmak ve sizin için doğru olup olmadığını kendiniz görmek istiyorsanız, 30 günlük ücretsiz tam deneme sürümü mevcuttur.

3. OSSEC

Açık Kaynak Güvenliğiveya OSSEC, açık kaynak kodlu ana bilgisayar tabanlı saldırı tespit sistemidir. Ürünün sahibi Trend Micro, BT güvenliğinin önde gelen isimlerinden biri ve en iyi virüs koruma paketlerinden birinin üreticisidir. Unix benzeri işletim sistemlerine yüklendiğinde, yazılım öncelikle günlük ve yapılandırma dosyalarına odaklanır. Önemli dosyaların sağlama toplamlarını oluşturur ve garip bir şey olduğunda sizi uyararak periyodik olarak doğrular. Ayrıca, kök erişimine yönelik herhangi bir anormal girişimi izler ve uyarır. Windows ana bilgisayarlarında, sistem ayrıca kötü amaçlı etkinliklerin açık bir işareti olabilecek yetkisiz kayıt defteri değişikliklerini de izler.

Ana bilgisayar tabanlı saldırı tespit sistemi olması nedeniyle, OSSEC korumak istediğiniz her bilgisayara yüklenmesi gerekir. Ancak, merkezi bir konsol daha kolay yönetim için her korumalı bilgisayardaki bilgileri birleştirir. Yaparken OSSEC konsol yalnızca Unix-benzeri işletim sistemlerinde çalışır, Windows ana bilgisayarlarını korumak için bir aracı mevcuttur. Herhangi bir algılama, merkezi konsolda görüntülenecek bir uyarıyı tetiklerken bildirimler de e-posta ile gönderilir.

4. homurdanma

homurdanma muhtemelen en iyi bilinen açık kaynaklı ağ tabanlı Saldırı Tespit Sistemi'dir. Ancak bir saldırı tespit aracından daha fazlasıdır. Ayrıca bir paket dinleyicisi ve bir paket kaydedici ve birkaç başka işlevi de paketliyor. Ürünün yapılandırılması, bir güvenlik duvarının yapılandırılmasını anımsatır. Kurallar kullanılarak yapılır. Temel kuralları homurdanma web sitesini olduğu gibi kullanın veya özel ihtiyaçlarınıza göre özelleştirin. Ayrıca abone olabilirsiniz homurdanma geliştikçe veya yeni tehditler keşfedildikçe en son kuralları otomatik olarak almak için kurallar.

Çeşit çok kapsamlı ve temel kuralları bile gizli port taramaları, arabellek taşması saldırıları, CGI saldırıları, SMB probları ve OS parmak izi gibi çok çeşitli olayları tespit edebilir. Bu araçla neleri algılayabileceğiniz konusunda neredeyse hiçbir sınır yoktur ve algıladığı şey yalnızca yüklediğiniz kural kümesine bağlıdır. Tespit yöntemleri gelince, bazı temel homurdanma kurallar imza tabanlıdır, diğerleri anomali tabanlıdır. homurdanma bu nedenle size her iki dünyanın en iyisini verebilir.

5. Samhain

Samhain başka bir iyi bilinen ücretsiz konak saldırı tespit sistemidir. IDS açısından ana özellikleri, dosya bütünlüğü kontrolü ve günlük dosyası izleme / analizidir. Yine de bundan daha fazlasını yapar. Ürün rootkit algılama, port izleme, dolandırıcı SUID yürütülebilir dosyalarının ve gizli işlemlerin algılanmasını gerçekleştirecektir.

Araç, merkezi günlük kaydı ve bakımı sağlarken çeşitli işletim sistemlerini çalıştıran birden çok ana bilgisayarı izlemek için tasarlanmıştır. Ancak, Samhain aynı zamanda tek bir bilgisayarda bağımsız bir uygulama olarak da kullanılabilir. Yazılım öncelikle Unix, Linux veya OS X gibi POSIX sistemlerinde çalışır. Bu yapılandırmada yalnızca izleme aracısı test edilmiş olmasına rağmen, Windows'ta POSIX uygulamalarının çalıştırılmasına izin veren bir paket olan Cygwin altında Windows üzerinde de çalışabilir.

Biri Samhain’Nin en benzersiz özelliği, potansiyel saldırganlar tarafından algılanmadan çalışmasını sağlayan gizli modudur. Davetsiz misafirlerin tespit edilmeden önce bir sisteme girer girmez tanıdıkları tespit süreçlerini hızla öldürdüğü ve fark edilmeden gitmelerine izin verildiği bilinmektedir. Samhain süreçlerini diğerlerinden gizlemek için steganografik teknikler kullanır. Ayrıca kurcalamayı önlemek için merkezi günlük dosyalarını ve yapılandırma yedeklerini bir PGP anahtarı ile korur.

6. Suricata

Suricata sadece bir Saldırı Tespit Sistemi değildir. Ayrıca bazı İzinsiz Giriş Önleme özellikleri de vardır. Aslında, tam bir ağ güvenliği izleme ekosistemi olarak ilan edilir. Aracın en iyi varlıklarından biri, uygulama katmanına kadar nasıl çalıştığıdır. Bu onu, aracın diğer araçlar tarafından fark edilmeyecek tehditleri tespit etmesini sağlayan karma bir ağ ve ana bilgisayar tabanlı bir sistem haline getirir.

Suricata yalnızca uygulama katmanında çalışan gerçek bir Ağ Tabanlı Saldırı Tespit Sistemidir. TLS, ICMP, TCP ve UDP gibi alt düzey ağ protokollerini izleyecektir. Araç ayrıca HTTP, FTP veya SMB gibi daha yüksek düzeydeki protokolleri anlar ve deşifre eder ve normal isteklerde gizlenen saldırı girişimlerini algılayabilir. Araç ayrıca, yöneticilerin şüpheli dosyaları incelemesine izin veren dosya çıkarma özelliklerine de sahiptir.

Suricata’Nin uygulama mimarisi oldukça yenilikçi. Araç, en iyi performans için iş yükünü birkaç işlemci çekirdeği ve iş parçacığı üzerinde dağıtacaktır. Gerekirse, işleminin bir kısmını grafik kartına bile boşaltabilir. Grafik kartı genellikle yetersiz kullanıldığı için aracı sunucularda kullanırken bu harika bir özelliktir.

7. Bro Ağ Güvenliği İzleyicisi

Bro Ağ Güvenliği İzleyicisi, başka bir ücretsiz ağ saldırı tespit sistemi. Araç iki aşamada çalışır: trafik kaydı ve trafik analizi. Tıpkı Suricata gibi, Bro Ağ Güvenliği İzleyicisi uygulama katmanına kadar çoklu katmanlarda çalışır. Bu, bölünmüş saldırı girişimlerinin daha iyi tespit edilmesini sağlar. Aracın analiz modülü iki öğeden oluşur. İlk öğeye olay motoru denir ve net TCP bağlantıları veya HTTP istekleri gibi tetikleyici olayları izler. Olaylar daha sonra, bir alarmı tetikleyip tetiklememeye ve / veya bir eylem başlatmaya karar veren ikinci öğe olan politika komut dosyaları tarafından analiz edilir. Bir eylem başlatma olasılığı Bro Network Security Monitor'e bazı IPS benzeri işlevler verir.

Bro Ağ Güvenliği İzleyicisi HTTP, DNS ve FTP etkinliğini izlemenizi sağlar ve ayrıca SNMP trafiğini izler. Bu iyi bir şeydir, çünkü SNMP genellikle ağ izleme için kullanılır, ancak güvenli bir protokol değildir. Yapılandırmaları değiştirmek için de kullanılabileceğinden, kötü niyetli kullanıcılar tarafından kullanılabilir. Araç ayrıca cihaz yapılandırma değişikliklerini ve SNMP Tuzaklarını izlemenize izin verir. Unix, Linux ve OS X'e yüklenebilir, ancak belki de ana dezavantajı olan Windows için mevcut değildir.