10 cele mai bune instrumente de detectare software RAT – plus ghid definitiv cu exemple

Ce este un troian sau RAT cu acces la distanță


A Trojan cu acces la distanță (RAT) este un tip de malware care permite unui hacker să preia controlul computerului. De la activitățile de spionaj pe care hackerul le poate desfășura odată instalat RAT diferă explorarea sistemului de fișiere, vizionarea activităților pe ecran, și recoltarea de certificate de autentificare.

Hackerul ar putea să folosească adresa dvs. de internet ca un front pentru activități ilegale, să vă răspundă și să atace alte computere. Virusii descărcați prin RAT vor infecta alte computere, provocând în același timp deteriorarea sistemului prin ștergerea sau criptarea software-ului esențial.

Detalăm multe detalii despre fiecare instrument de detecție a intruziunilor și exemple RAT de mai jos, dar dacă nu aveți timp să citiți întreaga piesă, aici este lista celor mai bune instrumente de detectare a intruziunilor pentru software RAT:

  1. Manager de evenimente de securitate SolarWinds (TRIAL GRATUIT) depășește detectarea RAT cu sarcini de remediere automată care vă ajută să blocați activitățile RAT
  2. sforăit criza industriei în NIDS a fost lansată prima dată de Cisco
  3. OSSEC SIDA open source câștigând următoarele pentru capabilitățile de colectare a datelor
  4. Bro NIDS gratuit pentru Unix, Linux și Mac OS
  5. Suricata monitorizează activitatea de protocol IP, TLS, TCP și UDP
  6. Sagan Nu este un IDS autonom, bun pentru automatizarea scripturilor
  7. Ceapa de securitate Amalgamarea open source a altor instrumente open source din această listă
  8. AIDE este specializat în detectarea rootkit și comparații de semnături de fișiere
  9. OpenWIPS-NG preferat pentru adulmecarea pachetelor fără fir
  10. Samhain excelent pentru setarea alertelor, dar nu există capabilități reale de depanare

Instrumente software RAT și APT

RAT-urile sunt instrumente care sunt de obicei utilizate într-un tip furt de atac de hackeri, care se numește an Amenințare persistentă avansată, sau APT. Acest tip de intruziune nu este axat pe deteriorarea informațiilor sau atacarea rapidă a calculatoarelor pentru date. In schimb, APT-urile constau în vizite regulate la rețeaua dvs. care pot dura peste ani. RAT-urile pot fi, de asemenea, utilizate pentru a reutila traficul prin rețeaua companiei pentru a masca activitățile ilegale. Unele grupuri de hackeri, predominant în China, chiar au creat o rețea de hackeri care circulă prin rețelele corporative ale lumii și închiriază accesul la această autostradă informatică altor hackeri. Aceasta se numește „VPN din teracotă”Și este facilitat de RAT.

Invazii timpurii

RAT-urile au rămas în liniște de mai bine de un deceniu. S-a descoperit că tehnologia a jucat un rol important în jafarea extinsă a tehnologiei americane de către hackerii chinezi în 2003. Pentagonul a lansat o anchetă, numită Titan Rain, care a descoperit furtul de date de la contractorii de apărare din SUA, datele de testare și dezvoltare clasificate fiind transferate în locații din China.

Vă puteți aminti întreruperile rețelei electrice din SUA din 2003 și 2008. Acestea au fost identificate și în China și au fost facilitate de RAT. Pe scurt, un hacker care poate primi un RAT pe un sistem poate activa tot software-ul pe care utilizatorii acestor calculatoare le au la dispoziție..

Război hibrid

Un hacker cu un RAT poate comanda stații electrice, rețele de telefonie, instalații nucleare sau conducte de gaz. RAT-urile reprezintă nu numai un risc de securitate corporativă, dar pot permite, de asemenea, națiunilor beligerante să cripteze o țară inamică.

Utilizatorii originali ai RAT pentru spionaj industrial și sabotaj au fost hackerii chinezi. De-a lungul anilor, Rusia a ajuns să aprecieze puterea RAT-urilor și le-a integrat în arsenalul său militar. APT-urile fac parte oficial din strategia rusă a infracțiunilor care este cunoscută drept „război hibrid.“

Atunci când Rusia a preluat teritoriul Georgiei în 2008, a folosit atacuri DDoS pentru a bloca serviciile de internet și APT-urile folosind RAT-uri pentru a aduna informații, control și perturba hardware-ul militar și utilitățile esențiale din Georgia. Utilizarea RAT-urilor de către Rusia pentru a destabiliza Ucraina și statele baltice continuă până în prezent.

Rusia angajează grupuri de hackeri semi-oficiale, cum ar fi APT28. Un alt grup de hackeri, cunoscut sub numele de APT15 este folosit în mod regulat de guvernul chinez. Numele acestor grupuri explică strategia lor principală, „amenințarea persistentă avansată”, care este facilitată de RAT.

Creșterea tensiunilor tarifare comerciale în 2018 a înregistrat un nou impuls în activitatea hackerilor chinezi, în special grupul semi-militar APT15. Problemele dintre SUA și Coreea de Nord, care s-au zguduit încă din 2015, au provocat și o creștere a activității APT asistată de RAT originare din Coreea de Nord.

Așa că în timp ce hackerii din întreaga lume folosesc RAT-uri pentru a spiona companii și pentru a le fura datele și banii, problema RAT a devenit acum o problemă de securitate națională pentru multe țări, în special SUA. Am inclus câteva exemple de instrumente RAT mai jos.

Apărare împotriva software-ului Trojan cu acces la distanță

Sistemele antivirus nu merg foarte bine împotriva RAT-urilor. Adesea infecția unui computer sau a unei rețele este nedetectată ani de zile. Metodele de ofusculare utilizate de programele paralele pentru a acoperi procedurile RAT le fac foarte dificil de observat. Modulele de persistență care folosesc tehnici de rootkit înseamnă că RAT-urile sunt foarte greu de scăpat. Uneori, singura soluție pentru a scăpa computerul de un RAT este să ștergi tot software-ul și să reinstalezi sistemul de operare.

Sistemele de prevenire RAT sunt rare, deoarece software-ul RAT poate fi identificat doar odată ce funcționează pe sistemul dumneavoastră. Cel mai bun mod de a gestiona problema RAT este să utilizați un sistem de detectare a intruziunilor. Comparitech are un ghid despre sistemele de detectare a intruziunilor, care vă oferă o explicație completă a modului în care funcționează aceste sisteme și o serie de instrumente recomandate.

Cele mai bune instrumente de detectare software RAT

Aici trecem în revistă cele mai bune instrumente de detectare software RAT:

1. Manager de evenimente de securitate SolarWinds (TRIAL GRATUIT)

Solarwinds Log and Event Manager

Sistemele de detectare a intruziunilor sunt instrumente importante pentru blocarea intruziunii software care poate sustrage detectarea de către utilitățile antivirus și firewall. Manager de evenimente de securitate SolarWinds este un sistem de detectare a intruziunilor bazat pe gazdă. Cu toate acestea, există o secțiune a instrumentului care funcționează ca un sistem de detectare a intruziunilor bazat pe rețea. Acesta este analizorul Snort Log. Mai jos puteți citi mai multe despre Snort, ar trebui să știți aici că este un sniffer de pachete utilizat pe scară largă. Utilizând Snort ca un colector de date pentru a fi alimentat în Snort Log Analyzer, obțineți analize de date în direct și istorice din Managerul de evenimente de securitate.

Această dublă capacitate vă oferă un serviciu complet de informații de securitate și gestionare a evenimentelor (SIEM). Aceasta înseamnă că puteți viziona în direct evenimentele capturate de Snort și, de asemenea, să examinați semnăturile de intruziune cu pachete încrucișate identificate prin înregistrările fișierului jurnal.

Managerul de evenimente de securitate depășește detectarea RAT, deoarece include activități de remediere automată care vă ajută să blocați activitățile RAT. Instrumentul respectă o serie de standarde de securitate a datelor, inclusiv PCI DSS, HIPAA, SOX, și DISA STIG.

Managerul de evenimente de securitate SolarWinds poate fi instalat pe Windows Server. Utilitarul nu este liber de utilizat, dar îl puteți obține pe un 30 de zile de încercare gratuită.

Manager de evenimente de securitate SolarWinds Descărcați încercarea GRATUITĂ de 30 de zile

2. sforăit

Captură de ecran Snort

Snort este liber de utilizat și este liderul industriei în NIDS, care este un Sistem de detectare a intruziunilor de rețea. Acest sistem a fost creat de Cisco Systems și poate fi instalat pe ferestre, Linux, și Unix. Snort poate implementa strategii de apărare, ceea ce îl face un Sistem de prevenire a intruziunilor. Are trei opțiuni de moduri:

  • Modul Sniffer - un sniffer de pachete live
  • Packet logger - înregistrează pachetele într-un fișier
  • Detecție de intruziune - include un modul de analiză

Modul IDS Snort se aplică „politici de bază”La date. Acestea sunt reguli de alertă care asigură detectarea intruziunilor. Politicile pot fi achiziționate gratuit de pe site-ul Snort, provine din comunitatea de utilizatori sau vă puteți scrie propriul dvs. Evenimentele suspecte pe care Snort le poate evidenția includ scanare port stealth, atacuri de preaplin tampon, Atacuri CGI, Sonde SMB, și Amprentarea sistemelor de operare. Snortul este capabil de amândouă metode de detectare bazate pe semnătura și sisteme bazate pe anomalii.

Partea frontală a Snort nu este foarte bună, iar majoritatea utilizatorilor interfețează datele de la Snort la console și instrumente de analiză mai bune, cum ar fi  Snorby, BAZA, Squil, și Anaval.

3. OSSEC

Captură de ecran OSSEC

OSSEC înseamnă Open Source HIDS Security. A HIDS este un Sistem de detectare a intruziunilor gazdă, care examinează evenimentele de pe calculatoare într-o rețea decât să încerce anomalii la fața locului în traficul de rețea, care este ce sisteme de detectare a intruziunilor de rețea do. OSSEC este actualul lider HIDS și poate fi instalat pe Unix, Linux și Mac OS sisteme de operare. Deși nu poate rula pe computere Windows, poate accepta date de la ele. OSSEC examinează jurnalele de evenimente pentru a căuta activități RAT. Acest software este un proiect open source care este deținut de firma de cibersecuritate, Trend Micro.

Acesta este un instrument de colectare a datelor, care nu are un front-end foarte ușor de utilizat. În general, partea frontală pentru acest sistem este furnizată de alte instrumente, cum ar fi Splunk, Kibana, sau Graylog. Motorul de detecție al OSSEC are la bază politici, care sunt condiții de alertă care ar putea apărea în date. Puteți achiziționa pachete pre-scrise de politici de la alți utilizatori OSSEC care își pun gratuit pachetele la dispoziție pe forumul comunității de utilizatori OSSEC. De asemenea, puteți scrie propriile politici.

4. Bro

Captura de ecran a lui Bro

Bro este un NIDS gratuit care poate fi instalat pe Unix, Linux, și Mac OS. Acesta este un sistem de monitorizare a rețelei care include metode de detectare a intruziunilor. IDS colectează date de pachete într-un fișier pentru analiză ulterioară. NIDS-urile care operează pe date live lipsesc anumiți identificatori de intruziune, deoarece hackerii uneori împart mesageria RAT pe mai multe pachete. Prin urmare, straturile de aplicație NIDS, cum ar fi Bro au capacități mai bune de detectare deoarece aplică analiza pe pachete. Bro folosește ambele analiză bazată pe semnătura și detectarea pe bază de anomalii.

Motor de evenimente Bro „Ascultă” activarea evenimentelor, cum ar fi o nouă conexiune TCP sau o solicitare HTTP și le înregistrează. Scripturi de politici apoi căutați prin jurnalele respective pentru a căuta tipare de comportament, cum ar fi activitatea anomală și ilogică efectuată de un cont de utilizator. Bro va urmări activitatea HTTP, DNS și FTP. Adună, de asemenea, notificări SNMP și poate fi utilizat pentru a detecta modificările de configurare a dispozitivului și mesajele SNMP Trap.

5. Suricata

Captură de ecran de Suricata

Suricata este un NIDS care poate fi instalat pe ferestre, Linux, Mac OS, și Unix. Aceasta este un sistem bazat pe taxe care se aplică analiza stratului de aplicație, deci va detecta semnături care sunt răspândite pe pachete. Suricata monitorizează IP, TLS, TCP, și UDP activitatea de protocol și se concentrează pe aplicații cheie de rețea, cum ar fi FTP, HTTP, ICMP, și SMB. De asemenea, se poate examina TLS certificate și concentrează-te HTTP cereri și DNS apeluri. Există, de asemenea, o facilitate de extragere a fișierelor care permite analiza fișierelor infectate cu virus.

Suricata are un modul de script integrat care vă permite să faceți combina reguli și obțineți un profil de detecție mai precis. Acest IDS folosește atât metode de detectare bazate pe semnături, cât și pe baza de anomalii. Fișiere cu reguli VRT scrise pentru sforăit poate fi importat și în Surcata, deoarece acest IDS este compatibil cu platforma Snort. Acest lucru înseamnă și că Snorby, BAZA, Squil, și Anaval poate servi drept capete frontale pentru Suricata. Cu toate acestea, GUI Suricata este foarte sofisticat și include reprezentări grafice ale datelor, astfel încât este posibil să nu fie nevoie să utilizați niciun alt instrument pentru a vizualiza și analiza datele.

6. Sagan

Captură de ecran Sagan

Sagan este un sistem gratuit de detectare a intruziunilor bazat pe gazdă care poate fi instalat pe Unix, Linux, și Mac OS. Nu puteți rula Sagan pe Windows, dar puteți alimentați evenimentele Windows care se conectează la el. Datele culese de sforăit, Suricata, sau Bro poate fi importat în Sagan, ceea ce oferă instrumentului analitic de date al acestei utilități a NIDS perspectivă precum și nativul său HIDS capabilități. Sagan este, de asemenea, compatibil cu alte sisteme de tip Snort, cum ar fi Snorby, BAZA, Squil, și Anaval, care ar putea oferi toate un front-end pentru analiza datelor.

Sagan este un instrument de analiză a jurnalului și trebuie utilizat împreună cu alte sisteme de colectare a datelor pentru a crea un sistem complet de detectare a intruziunilor. Utilitatea include un Localizator IP, astfel încât să puteți urmări sursele activităților suspecte într-o locație. Poate grupa, de asemenea, activitățile adreselor IP suspecte pentru a identifica atacurile echipei sau distribuite. Modulul de analiză funcționează cu atât metodologii de detectare a semnăturii, cât și a anomaliilor.

Sagan poate executa automat scripturi pentru a bloca reteaua când detectează evenimente specifice. Realizează aceste sarcini de prevenire prin interacțiunea cu tabelele de firewall. Deci, acesta este un sistem de prevenire a intruziunilor.

7. Ceapa de securitate

Screenshot Onion de securitate

Security Onion a fost dezvoltat prin asocierea codului pentru sforăit, Suricata, OSSEC, Bro, Snorby, Sguil, Squert, Kibana, ELSA, Xplico, și NetworkMiner, care sunt toate proiecte open source. Acest instrument este un NIDS bazat pe Linux gratuit care includ HIDS funcționalitate. A fost scris pentru a rula în mod special pe Ubuntu.

Analiza bazată pe gazdă verifică modificările fișierului și analiza rețelei este realizată de un sniffer de pachete, care poate afișa datele de trecere pe un ecran și, de asemenea, scrie într-un fișier. Motorul de analiză al Secției Ceapă este complicat, deoarece combină procedurile atât de multe instrumente diferite. Include monitorizarea stării dispozitivului, precum și analiza traficului. Sunt atât reguli de alertă bazate pe semnături, cât și bazate pe anomalii inclus în acest sistem. Interfața din Kibana furnizează tabloul de bord pentru ceapa de securitate și include grafice și diagrame pentru a ușura analiza datelor.

8. Ajutor

Captură de ecran AIDE

AIDE înseamnă „Mediu avansat de detectare a intruziunilor." Aceasta este un HIDS gratuit asta merge mai departe Mac OS, Unix, și Linux. Acest IDS se concentrează pe detectarea rootkit și comparații de fișiere de fișiere. Modulul de colectare a datelor populează o bază de date cu caracteristici care sunt colectate din fișierele jurnal. Această bază de date este o imagine de stare a sistemului și orice modificare a configurației dispozitivului declanșează alerte. Aceste modificări pot fi anulate prin referire la baza de date sau baza de date poate fi actualizată pentru a reflecta modificările de configurare autorizate.

Verificările sistemului sunt efectuate la cerere și nu continuu, dar acesta poate fi programat ca o lucrare cron. Baza de reguli a utilizărilor AIDE atât metode de monitorizare bazate pe semnături, cât și pe baza de anomalii.

9. OpenWIPS-NG

Captura de ecran OpenWIPS-NG

OpenWIPS-NG provine de la dezvoltatorii de la Aircrack-NG. De fapt, integrează Aircrack-NG ca fiind sniffer de pachete wireless. Aircrack-NG este un instrument binecunoscut de hacker, așa că această asociere vă poate face un pic de precauție. WIPS înseamnă „Sistem de prevenire a intruziunilor fără fir" si el rulează pe Linux. Aceasta este o utilitate gratuită care include trei elemente:

  • Senzor - snifferul de pachete
  • Server - stocare de date și bază de reguli de analiză
  • Interfață - front end orientat de utilizator.

Senzorul este de asemenea un emițător, asa se poate implementați acțiuni de prevenire a intruziunilor și stinge transmisiile nedorite. serverul efectuează analiza de asemenea, lansează politici de intervenție pentru a bloca intruziunile detectate. modulul de interfață afișează evenimente și alerte către administratorul de sisteme. Aceasta este, de asemenea, în cazul în care setările pot fi modificate și acțiunile defensive pot fi ajustate sau anulate.

10. Samhain

Captură de ecran Samhain

Samhain, produs de Samhain Design Labs în Germania, este un sistem gratuit de detectare a intruziunilor bazat pe gazdă care se instalează pe Unix, Linux, și Mac OS. Utilizează agenți care rulează în diferite puncte din rețea, care raportează la un modul central de analiză. Fiecare agent efectuează verificarea integrității fișierelor, monitorizarea fișierelor de jurnal, și monitorizarea porturilor. Procesele caută virusuri rootkit, SUID-uri necinstite (drepturi de acces ale utilizatorului) și procese ascunse.

Comunicarea în rețea între agenți și consolă este protejat de criptare. Conexiunile pentru livrarea datelor fișierului jurnal includ cerințe de autentificare, care împiedicați intrușii să deturneze sau să înlocuiască procesul de monitorizare.

Samhain va evidenția semnele de avertizare de intruziune, dar nu are niciun proces de rezoluție. Va trebui să păstrați copii de siguranță ale fișierelor de configurare și ale identităților utilizatorului dvs. pentru a lua măsuri pentru a rezolva problemele pe care le dezvăluie monitorul Samhain. Samhain își păstrează procesele ascunse de tehnologia sigură, numit „steganografia”Pentru a preveni intrusii să manipuleze sau să omoare IDS. Fișierele jurnal centralizate și copiile de rezervă de configurare sunt semnate cu o cheie PGP pentru a preveni alterarea de către intrusi.

11. Fail2Ban

Captura de ecran Fail2ban

Fail2Ban este un sistem gratuit de prevenire a intruziunilor bazat pe gazdă asta merge mai departe Unix, Linux, și Mac OS X. IDS analizează fișierele jurnal și impune interdicții adreselor IP care afișează un comportament suspect. Blocarea automată are loc în regulile de firewall Netfilter / IPt sau PF și în tabelul hosts.deny al TCP Wrapper. Aceste blocuri durează de obicei doar câteva minute, dar Acest lucru poate fi suficient pentru a perturba un scenariu automat de cracare a parolei. Situațiile de alertă includ încercări de conectare eșuate excesiv. O problemă cu Fail2Ban este că se concentrează pe acțiuni repetate de la o adresă. Acest lucru nu-i dă posibilitatea să facă față campaniilor distribuite de fisiere cu parole sau atacurilor DDoS.

Domeniul de monitorizare al sistemului este definit de o serie de „filtre.”Aceste instrucțiuni IPS sunt serviciile de monitorizat. Acestea includ Postfix, Apache, Courier Mail Server, Lighttpd, sshd, vsftpd și qmail. Fiecare filtru este combinat cu o acțiune de efectuat în cazul detectării unei condiții de alertă. Combinația dintre un filtru și o acțiune se numește „temniță.“

Programe și exemple RAT

Există o serie de sisteme de acces la distanță care ar putea avea aplicații legitime, dar sunt binecunoscute ca instrumente care sunt folosit în principal de hackeri ca parte a unui troian; aceste sunt clasificate ca troieni cu acces la distanță. Detaliile celor mai cunoscute RAT-uri sunt explicate mai jos.

Înapoi Orifice

Orifice înapoi, care este, de asemenea, numit BO este un RAT fabricat american care este în jur din 1998. Aceasta este bunicul RAT-urilor și a fost rafinat și adaptat de alte grupuri de hackeri pentru a produce sisteme RAT mai noi. Sistemul original a exploatat o slăbiciune în Windows 98. Versiunile ulterioare care au rulat pe sisteme de operare Windows mai noi au fost Înapoi Orifice 2000 și Orifice din spate adânc.

Acest RAT este capabil să se ascundă în cadrul sistemului de operare, ceea ce inițial face dificilă detectarea. Cu toate acestea, în zilele noastre, majoritatea sistemelor antivirus au fișierele executabile Back Orifice și comportamentul de ocluzie înregistrate în bazele lor de date ca semnături pe care să le cauți. O caracteristică drăguță a acestui software este că are o consolă ușor de utilizat pe care intrusul îl poate folosi pentru a naviga în jurul sistemului infectat. Elementul de la distanță poate fi alunecat pe un computer țintă printr-un troian. Odată instalat, acest program server comunică cu consola clientului folosind proceduri de rețea standard. Înapoi Orifice este cunoscut că folosește numărul de port 21337.

Fiară

Beast RAT atacă sistemele Windows de la Windows 95 până la Windows 10. Aceasta folosește aceeași arhitectură client-server pe care Back Orifice a fost pionier cu partea de server a sistemului fiind malware-ul care se instalează în mod secret în computerul țintă. Odată ce elementul serverului este operațional, hackerul poate accesa computerul victimei în voie prin programul client. Clientul se conectează la computerul țintă la numărul de port 6666. Serverul poate de asemenea să deschidă conexiuni înapoi la client și care folosește numărul de port 9999.  Fiara a fost scrisă în 2002 și este încă folosită pe scară largă.

Bifrost

Acest troian își începe infecția cu instalarea unui program de construire a serverului. Inițial, acest program face doar contactul cu un server de comandă și control și așteaptă instrucțiuni. Troianul infectează sistemele Windows de la Windows 95 la Windows 10. Cu toate acestea, capacitățile sale sunt reduse pentru versiunile Windows XP și mai târziu.

După ce este declanșat, constructorul de server va configura un program server pe computerul țintă. Acest lucru permite hackerului, folosind un program client corespunzător pentru a avea acces la computerul infectat și a executa comenzi în voie. Software-ul serverului este stocat în C: \ Windows \ Bifrost \ server.exe sau C: \ Program Files \ Bifrost \ server.exe. Acest director și fișier sunt ascunse Așadar unele sisteme antivirus nu detectează Bifrost.

Creatorul de server nu își încheie operațiunile odată ce serverul a fost creat. În schimb, funcționează ca un sistem de persistență și va recrea serverul într-o altă locație și cu un nume diferit dacă instalarea serverului original este localizată și eliminată. Creatorul de server folosește, de asemenea, metode rootkit pentru a masca procesele serverului și face sistemul de intruziune de operare foarte dificil de detectat.

Începând cu Windows Vista, capabilitățile distructive complete ale Bifrost au fost încetinite deoarece multe dintre serviciile pe care le folosește malware necesită privilegii de sistem. Cu toate acestea, dacă un utilizator este păcălit să instaleze constructorul de server deghizat cu privilegii de sistem, sistemul Bifrost poate deveni complet operațional și va fi foarte dificil de eliminat.

Înrudite: Cele mai bune programe gratuite de eliminare, detecție și scaner de rootkit

Blackshades

Blackshades este un instrument de hacking off-the-peg care a fost vândut hackerilor de către dezvoltatorii săi pentru 40 de dolari pe pop. FBI a estimat că producătorii săi au câștigat în total 340.000 de dolari vânzând acest software. Dezvoltatorii au fost opriți și arestați în 2012 și un al doilea val de arestări în 2014 a capturat peste 100 de utilizatori de Blackshades. Cu toate acestea, există încă copii ale sistemului Blackshades în circulație și este încă în uz activ. Blackshades vizează Microsoft Windows de la Windows 95 la Windows 10.

Setul de instrumente include metode de infecție, cum ar fi codul rău intenționat pentru a fi încorporat în site-urile web care declanșează rutine de instalare. Alte elemente propagă RAT prin trimiterea de linkuri către paginile web infectate. Acestea sunt trimise la contactele social media ale unui utilizator infectat.

Programul malware permite unui hacker să aibă acces la sistemul de fișiere al computerului țintă și să descarce și să execute fișiere. Utilizările programului includ funcții botnet care determină computerul țintă să lanseze atacuri de refuz de serviciu. Calculatorul infectat poate fi folosit și ca server proxy pentru a rota traficul de hackeri și furnizați acoperire de identitate pentru alte activități de hacker.

Setul de instrumente Blackshades este foarte ușor de utilizat și le permite celor care nu au abilități tehnice să devină hackeri. Sistemul poate fi folosit și pentru a crea atacuri ransomware. Un al doilea program de ofuscă vândut alături de Blackshades păstrează programul ascuns, îi permite relansarea atunci când este ucis și evadează detectarea prin software antivirus.

Printre atacuri și evenimente care au fost urmărite pe Blackshades se numără o campanie de perturbare din 2012 care a vizat forțele de opoziție siriene.

Vezi și: statistici și fapte Ransomware 2017-2018

Manualul de înlăturare a Ransomware-ului: Abordarea cu tulpinile comune de ransomware

DarkComet

Hacker francez Jean-Pierre Lesueur a dezvoltat DarkComet în 2008, dar sistemul nu a proliferat cu adevărat până în 2012. Acesta este un alt sistem de hackeri care vizează sistemul de operare Windows de la Windows 95 până la Windows 10. Are o interfață foarte ușor de utilizat și le permite celor fără abilități tehnice să efectueze atacuri de hackeri.

Software-ul permite spionarea prin cheylogging, captură de ecran și recoltarea parolei. Hackerul de control poate, de asemenea operați funcțiile de alimentare ale unui computer de la distanță, permițând pornirea sau oprirea unui computer de la distanță. Funcțiile de rețea ale unui computer infectat pot fi, de asemenea, valorificate pentru a utiliza calculatorul ca atare un server proxy pentru canalizarea traficului și mascarea identității hackerului în timpul raidurilor pe alte computere.

DarkComet a atras atenția comunității cibersecurității în 2012, când a fost descoperit acest lucru o unitate de hackeri africani folosea sistemul pentru a viza guvernul și armata americană. În același timp, atacurile DarkComet originare din Africa au fost lansate împotriva jucătorilor online.

Lesueur a abandonat proiectul în 2014 când s-a descoperit că DarkComet a fost folosit de guvernul sirian pentru a-și spiona cetățenii. Populația generală a luat angajarea de VPN-uri și aplicații de chat sigure pentru a bloca supravegherea guvernului, astfel încât funcțiile spyware ale DarkComet a permis guvernului sirian să eludeze acele măsuri de securitate.

Miraj

Mirage este cheia utilizată de RAT grupul de hackeri chinezi, sponsorizat de stat, cunoscut sub numele de APT15. După o campanie de spionaj foarte activă din 2009 până în 2015, APT15 s-a liniștit brusc. Mirage în sine a fost folosit de grup din 2012. Detectarea unei variante Mirage în 2018 a semnalat că grupul a revenit în acțiune. Acest nou RAT, cunoscut sub numele de MirageFox a fost folosit pentru a spiona contractorii guvernului britanic și a fost descoperit în martie 2018. Mirage și MirageFox fiecare acționează ca agent pe computerul infectat. Partea troiană din suita de intruziune sondează o adresă de comandă și control pentru instrucțiuni. Aceste instrucțiuni sunt apoi implementate pe computerul victimei.

RAT original Mirage a fost folosit pentru atacuri o companie petrolieră din Filipine, armata taiwaneză, o companie canadiană de energie, și alte ținte din Brazilia, Israel, Nigeria și Egipt. Mirage și MirageFox ajung pe sistemele țintă prin pescuit cu sulita campanii. Acestea se adresează, de regulă, directorilor unei companii victime. Troianul este livrat încorporat într-un PDF. Deschiderea PDF face ca scripturile să fie executate și instalează RAT. Prima acțiune a RAT este de a raporta sistemul de comandă și control cu ​​un audit al funcțiilor sistemului infectat. Aceste informații includ viteza procesului, capacitatea și utilizarea memoriei, numele sistemului și numele de utilizator.

Raportul inițial al sistemului face să pară ca și cum designerii Mirage au făcut RAT pentru a fura resursele sistemului, mai degrabă decât pentru a accesa datele din sistemul țintă.. Nu există un atac tipic Mirage pentru că se pare că fiecare intruziune este adaptată către ținte specifice. Instalarea RAT poate fi presetată printr-o campanie de verificare a faptelor și verificări de sistem. De exemplu, atacul din 2018 asupra contractorului militar britanic NCC a obținut acces la sistem prin serviciul VPN autorizat al companiei.

Faptul că fiecare atac este bine orientat înseamnă că multe cheltuieli sunt implicate de o infecție Mirage. Acest cost ridicat arată că Atacurile Mirage vizează, de regulă, doar ținte de mare valoare pe care guvernul chinez dorește să le submineze sau din care să fure tehnologie.

Amenințări troiene cu acces la distanță

Cu toate că multă activitate RAT pare a fi direcționată de guvern, existența seturilor de instrumente RAT face intruziune în rețea, o sarcină pe care o poate efectua oricine. Așadar, activitatea RAT și APT nu se va limita la atacuri asupra companiilor militare sau a companiilor de înaltă tehnologie.

RAT-urile se combină cu alte programe malware să se țină ascunși, ceea ce înseamnă că instalarea software antivirus pe computere nu este suficient pentru a împiedica hackerii să-ți controleze sistemul cu aceste metode. Investiga sisteme de detectare a intruziunilor pentru a învinge această strategie de hacker.

Ați întâmpinat o intruziune în rețea care s-a soldat cu deteriorarea sau pierderea datelor? Ați implementat o strategie de prevenire a intruziunilor pentru a combate problema RAT? Lasă un mesaj în secțiunea Comentarii de mai jos pentru a împărtăși experiențele tale.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

About the author

Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.

Leave a Reply

Your email address will not be published. Required fields are marked *

95 − = 94