10 legjobb RAT szoftverérzékelő eszköz – és egyértelmű útmutató példákkal

Mi a távoli hozzáférésű trójai vagy a RAT

A Távoli hozzáférésű trójai (RAT) egy olyan típusú rosszindulatú program, amely lehetővé teszi, hogy a hackerek átvegyék az irányítást a számítógépén. A kémkedés, amelyet a hacker a RAT telepítését követően hajthat végre, eltérő a fájlrendszer feltárása, tevékenységek figyelése a képernyőn, és bejelentkezési adatok begyűjtése.

Lehetséges, hogy a hacker az internetes címet is illegális tevékenységek előlapjaként használ, megszemélyesít téged és megtámad más számítógépeket. A RAT-n keresztül letöltött vírusok megfertőzik más számítógépeket, miközben az alapvető szoftverek törlésével vagy titkosításával károsítják a rendszert..

Az alábbiakban mindegyik behatolás-észlelési eszköz és RAT-példa nagyon sok részletbe belejutunk, de ha nem volt ideje elolvasni az egész darabot, itt van a mi a RAT-szoftverek behatolás-észlelésének legjobb eszközei:

  1. SolarWinds biztonsági eseménykezelő (ingyenes próbaverzió) túlmutat a RAT-észlelésen az automatikus helyreállítási feladatokkal, amelyek segítenek megakadályozni a RAT-tevékenységeket
  2. Horkant A NIDS iparági átalakulása, amelyet először a Cisco indított
  3. OSSEC nyílt forráskódú HIDS, amely az adatgyűjtési képességekre vonatkozóan megszerezte a következőket
  4. tesó ingyenes NIDS az Unix, Linux és Mac OS számára
  5. suricata figyeli az IP, TLS, TCP és UDP protokollt
  6. Sagan Nem önálló IDS, a szkriptek automatizálásához jó
  7. Biztonsági hagyma A listán szereplő egyéb nyílt forráskódú eszközök nyílt forrású egyesítése
  8. AIDE a rootkit észlelésére és a fájl aláírások összehasonlítására specializálódott
  9. OpenWIPS-NG előnyben részesíti a vezeték nélküli csomagszippantást
  10. Samhain nagyszerű riasztások beállításához, de nincs valódi hibaelhárítási képesség

RAT szoftver eszközök és APT-k

A RAT-ok olyan eszközök, amelyeket általában egy lopakodó típusú hacker támadásnál használnak, amelyet an-nak hívnak Fejlett tartós fenyegetés, vagy APT. Az ilyen típusú behatolás nem elsősorban az információk megsértésére vagy a számítógépek gyors adatgyűjtésére irányul. Helyette, Az APT-k rendszeres látogatásokból állnak a hálózatába, amelyek évekig is tarthatnak. A RAT-ok arra is felhasználhatók, hogy átirányítsák a forgalmat a vállalati hálózaton keresztül az illegális tevékenységek elfedésére. Néhány hacker csoport, elsősorban Kínában, már létrehozott is egy hacker hálózat amely áthalad a világ vállalati hálózatán, és más hackerek számára bérbe adják a számítógépes bűnözés autópályáját. Ezt nevezzük „terrakotta VPNÉs ezt megkönnyítik a RAT-ok.

Korai invázió

A RAT-ok csendben állnak több mint egy évtizede. A technológiát felfedezték, hogy 2003-ban részt vett az amerikai technológia kiterjedt fosztogatásában a kínai hackerek által. A Pentagon nyomozást indított, Titan Rain, amely felfedezte az adatok ellopását az amerikai védelmi vállalkozóktól, a fejlesztési és osztályozott tesztelési adatokat továbbítják Kínába.

Felidézhet az Egyesült Államok keleti parti villamosenergia-hálózatának 2003. és 2008. évi kikapcsolása. Ezeket Kínába is vissza lehet vezetni, és ezeket a RAT-ok is megkönnyítették. Röviden: egy hackerek, akik RAT-t kapnak egy rendszerre, aktiválhatják az összes szoftvert, amely ezen számítógépek felhasználóinak rendelkezésére áll..

Hibrid hadviselés

A RAT-tal rendelkező hackerek parancsokat adhatnak az erőműveknek, telefonhálózatoknak, nukleáris létesítményeknek vagy gázvezetékeknek. A RAT nemcsak vállalati biztonsági kockázatot jelent, hanem lehetővé teheti a hatalmas nemzetek számára is, hogy megtámadják az ellenséges országot..

Az ipari kémkedés és szabotázs RAT-ok eredeti felhasználói kínai hackerek voltak. Az évek alatt, Oroszország értékelte a RAT-ok erejét és integrálta őket katonai arzenáljába. Az APT-k hivatalosan részét képezik az orosz bűncselekménystratégiának, amelyet „hibrid hadviselés.”

Amikor Oroszország 2008-ban megragadta a grúziai területet, DDoS támadásokat alkalmazott az internetszolgáltatások és az APT-k blokkolására RAT-ok segítségével, hírszerzés, ellenőrzés és a grúz katonai hardver és az alapvető segédprogramok megzavarása érdekében. A RAT-ok Oroszország általi felhasználása az Ukrajna és a balti államok destabilizálására folytatódik a mai napig.

Oroszország félig hivatalos hacker csoportokat alkalmaz APT28. Egy másik hacker csoport, az úgynevezett APT15 a kínai kormány rendszeresen használja. E csoportok neve megmagyarázza fő stratégiáját, az „előrehaladott tartós fenyegetést”, amelyet a RAT-ok elősegítenek.

A kereskedelem vámtarifa-feszültségeinek 2018-os növekedése új lendületet adott a kínai hackerek tevékenységének, különösen a fél katonai APT15 csoportnak. Az USA és Észak-Korea között 2015 óta zaklató problémák szintén növekedtek az Észak-Koreából származó RAT-támogatott APT-tevékenység növekedésében..

Szóval amíg A hackerek szerte a világon a RAT-okat használják a vállalatok kémkedésére és ellopják adataikat és pénzüket, a RAT-probléma sok ország, köztük az Egyesült Államok nemzeti biztonságának kérdévé vált. Az alábbiakban felsoroltunk néhány példát a RAT eszközökről.

Védelem a távoli hozzáférésű trójai szoftver ellen

A vírusvédelmi rendszerek nem jól teljesítenek a RAT-okkal szemben. A számítógép vagy a hálózat fertőzését gyakran évekig észlelik. A párhuzamos programok által a RAT eljárások felfedésére használt obfuzációs módszerek nagyon nehezen észrevehetők. A rootkit technikákat használó perzisztenciamodulok azt jelentik, hogy a RAT-ok nagyon nehéz megszabadulni. Időnként az egyetlen megoldás a számítógép RAT megszabadítására az összes szoftver törlése és az operációs rendszer újratelepítése.

A RAT-megelőző rendszerek ritkák, mivel a RAT-szoftver csak akkor azonosítható, ha a rendszeren működik. A RAT-probléma kezelésének legjobb módja a használjon behatolás-érzékelő rendszert. A Comparitechnek van egy útmutatása a behatolás-észlelési rendszerekről, amely teljes magyarázatot nyújt Önnek ezeknek a rendszereknek a működéséről, és megmutatja az ajánlott eszközöket.

A legjobb RAT szoftver észlelési eszközök

Itt áttekintjük a legjobb RAT szoftver észlelési eszközök:

1. SolarWinds biztonsági eseménykezelő (ingyenes próbaverzió)

Solarwinds Napló- és eseménykezelő

A behatolásérzékelő rendszerek fontos eszközök a szoftverek behatolásának blokkolásához, amelyek elkerülhetik az antivírus és a tűzfal segédprogramjai általi észlelést. Az SolarWinds biztonsági eseménykezelő egy host alapú behatolás-észlelési rendszer. Az eszköznek azonban van egy része, amely hálózati alapú behatolás-észlelési rendszerként működik. Ez a Snort Log elemző. Az alábbiakban olvashat bővebben a Snortról, itt azonban tudnia kell, hogy ez egy széles körben használt csomag-szippantó. Ha Snort adatgyűjtőként használja fel a Snort naplóelemzőhöz, akkor az élő és a történeti adatok elemzését is kihozhatja a biztonsági eseménykezelőből.

Ez a kettős képesség a teljes biztonsági információs és eseménykezelési (SIEM) szolgáltatást nyújtja. Ez azt jelenti, hogy élőben megnézheti a Snort által rögzített eseményeket, és megvizsgálhatja a naplófájl-rekordok alapján azonosított csomagok közötti behatolásjelzéseket is..

A biztonsági eseménykezelő túlmutat a RAT-észlelésen, mivel magában foglalja az automatikus helyreigazítási feladatokat, amelyek segítenek megakadályozni a RAT-tevékenységeket. Az eszköz számos adatbiztonsági szabványnak megfelel, ideértve a PCI DSS, HIPAA, SOX, és DISA Stig.

A SolarWinds Security Event Manager telepíthető a Windows Serverre. A segédprogramot nem szabad használni, de megismerheti 30 napos ingyenes próbaverzió.

SolarWinds biztonsági eseménykezelőTöltse le a 30 napos ingyenes próbaverziót

2. Snort

Snort képernyőképe

A Snort szabadon használható, és az iparág vezető szerepe a NIDS, ami egy Hálózati behatolás-érzékelő rendszer. Ezt a rendszert a Cisco Systems és telepíthető on ablakok, Linux, és Unix. A Snort védelmi stratégiákat hajthat végre, ami ezt teszi behatolás-megelőző rendszer. Három módból áll:

  • Sniffer mód - élő csomagos szippantás
  • Csomagkezelő - a csomagokat fájlba rögzíti
  • Behatolás-észlelés - tartalmaz egy elemző modult

A Snort IDS módja „alapszabályok”Az adatokhoz. Ezek olyan riasztási szabályok, amelyek biztosítják a behatolás észlelését. A házirendek ingyen szerezhetők be a Snort webhelyről, a felhasználói közösségből származik, vagy saját is írhat. A gyanús események közé tartozik a Snort lopakodó port szkennelés, puffer túlcsordulási támadások, CGI támadások, SMB szondák, és Operációs rendszer ujjlenyomata. A Snort mindkettőre képes aláírás-alapú észlelési módszerek és anomália-alapú rendszerek.

A Snort előlapja nem túl jó, és a legtöbb felhasználó az Snort adatait interfészből jobb konzolokhoz és elemző eszközökhöz, például  Snorby, BÁZIS, Squil, és Anaval.

3. OSSEC

OSSEC képernyőképe

Az OSSEC a nyílt forráskódú HIDS biztonságot jelenti. A HIDS egy Gazdagép behatolás-érzékelő rendszer, melyik megvizsgálja az eseményeket a számítógépeken a hálózatban, ahelyett, hogy megpróbálná észlelni rendellenességeket a hálózati forgalomban, mi az hálózati behatolás-érzékelő rendszerek tennie. Az OSSEC a jelenlegi HIDS vezető és telepíthető Unix, Linux és Mac operációs rendszer operációs rendszer. Annak ellenére, hogy nem futtatható Windows számítógépeken, adatokat tud fogadni tőlük. Az OSSEC megvizsgálja az eseménynaplókat a RAT tevékenységek keresése érdekében. Ez a szoftver egy nyílt forráskódú projekt, amely a kiberbiztonsági cég tulajdonában van, Trend Micro.

Ez egy olyan adatgyűjtő eszköz, amelynek nincs nagyon felhasználóbarát kezelőfelülete. Általában a rendszer elülső oldalát más eszközök, például a Splunk, Kibana, vagy Graylog. Az OSSEC érzékelő motorja a következőkre épül: politikák, amelyek olyan riasztási körülmények, amelyek az adatokban felmerülhetnek. Előzetesen írt irányelvek csomagokat szerezhet be más OSSEC-felhasználók részéről akik csomagjaikat ingyenesen elérhetővé teszik az OSSEC felhasználói közösség fórumán. Ön is megírhatja saját irányelveit.

Bro

Bro screenshot

Bro egy a ingyenes NIDS amelyre telepíthető Unix, Linux, és Mac operációs rendszer. Ez egy hálózati megfigyelő rendszer, amely behatolás-észlelési módszereket tartalmaz. Az IDS csomag adatokat gyűjt egy fájlba későbbi elemzés céljából. Az élő adatokon működő NIDS hiányzik bizonyos behatolás-azonosítókról, mivel a hackerek néha a RAT-üzeneteket több csomagra osztják. Ebből adódóan, A NIDS alkalmazási rétegei, például a Bro jobb felismerési képességgel rendelkeznek mert elemzéseket alkalmaznak a csomagok között. Bro mindkettőt használja aláírás-alapú elemzés és anomália-alapú észlelés.

Az Bro rendezvény motor „Meghallgatja” eseményindító eseményeket, például új TCP kapcsolatot vagy HTTP kérést, és naplózza azokat. Házirend-szkriptek majd keresse meg ezeket a naplókat, hogy keressen viselkedési mintákat, például egy felhasználói fiók által elvégzett rendellenes és logikátlan tevékenységeket. A tesó nyomon követi a HTTP, a DNS és az FTP tevékenységeket. Összegyűjti az SNMP értesítéseket és felhasználható az eszközkonfigurációs változások és az SNMP Trap üzenetek észlelésére.

5. Suricata

Suricata screenshot

Suricata van a NIDS amelyre telepíthető ablakok, Linux, Mac operációs rendszer, és Unix. Ez díj alapú rendszer ami igaz alkalmazás réteg elemzése, így felismeri az aláírásokat, amelyek a csomagok között eloszlanak. A Suricata figyeli IP, TLS, TCP, és UDP a protokoll tevékenysége, és a legfontosabb hálózati alkalmazásokra, például a FTP, HTTP, ICMP, és SMB. Megvizsgálhatja TLS tanúsítványok és a hangsúly HTTP kérések és DNS felhívja. Van még egy fájlkicsomagolási lehetőség, amely lehetővé teszi a vírussal fertőzött fájlok elemzését.

A Suricata beépített parancsfájlokkal rendelkezik, amelyek lehetővé teszik kombinálja a szabályokat és kap egy pontosabb észlelési profilt. Ez az IDS használja mind az aláírás, mind az anomália alapú észlelési módszerek. A VRT szabályozza a (z) számára írt fájlokat Horkant az is importálható a Surcata-ba, mivel ez az IDS kompatibilis a Snort platformon. Ez azt is jelenti Snorby, BÁZIS, Squil, és Anaval a Suricata elülső részeként szolgálhat. A Suricata grafikus felhasználói felülete azonban nagyon kifinomult, és grafikusan ábrázolja az adatokat, így lehet, hogy nem kell más eszközt használnia az adatok megtekintéséhez és elemzéséhez.

6. Sagan

Sagan screenshot

Sagan az egy ingyenes gazdagép-behatolás-érzékelő rendszer amelyre telepíthető Unix, Linux, és Mac operációs rendszer. A Sagan nem futtatható Windows rendszeren, de te is takarmányozni a Windows eseménynaplóit. Az adatok összegyűjtése Horkant, suricata, vagy tesó importálható a Saganba, amely a segédprogram adatelemző eszközeit adja meg a NIDS perspektíva, valamint a natív HIDS képességeit. A Sagan kompatibilis más Snort típusú rendszerekkel, például a Snorby, BÁZIS, Squil, és Anaval, amelyek mindegyike előnyt kínálhat az adatok elemzéséhez.

Sagan az naplóelemző eszköz és a többi begyűjtő rendszerrel együtt kell használni a teljes behatolás-észlelési rendszer létrehozása érdekében. A segédprogram tartalmaz egy IP-helymeghatározó, így nyomon követheti a gyanús tevékenységek forrásait egy adott helyre. Összeállíthatja a gyanús IP-címek tevékenységeit a csapat vagy az elosztott támadások azonosítása érdekében. Az elemző modul együtt működik mind az aláírás, mind a rendellenességek felderítésének módszertana.

Sagan tud automatikusan végrehajtja a szkripteket a hálózat lezárásához amikor konkrét eseményeket észlel. Végzi ezeket a megelőzési feladatokat a tűzfalatáblákkal való interakció révén. Tehát ez egy behatolás-megelőző rendszer.

7. Biztonsági hagyma

Biztonsági hagyma képernyőképe

A biztonsági hagymát úgy fejlesztették ki, hogy összeillesztik a Horkant, suricata, OSSEC, tesó, Snorby, Sguil, Squert, Kibana, ELSA, Xplico, és NetworkMiner, amelyek nyílt forráskódú projektek. Ez az eszköz a ingyenes Linux-alapú NIDS amelyek magukban foglalják HIDS funkcionalitást. Azt írták, hogy kifejezetten futtasson Ubuntu.

Gazda alapú elemzés ellenőrzi a fájlváltozásokat és A hálózati elemzést egy csomag-szippantó végzi, amely megjelenítheti az áthaladó adatokat a képernyőn, és fájlba írhat. A Biztonsági Hagyma elemző motorja bonyolult, mivel olyan sokféle eszköz eljárásait egyesíti. Ez magában foglalja az eszköz állapotának figyelését, valamint a forgalom elemzését. Vannak mind az aláírás-, mind az anomália-alapú riasztási szabályok ebbe a rendszerbe. A felhasználói felület Kibana biztosítja a biztonsági hagyma műszerfalát, és grafikonokat és diagramokat tartalmaz az adatok elemzésének megkönnyítéséhez.

8. TÁMOGATÁS

AIDE képernyőképe

Az AIDE „Fejlett behatolás-észlelési környezet." Ez egy ingyenes HIDS ami folyik Mac operációs rendszer, Unix, és Linux. Ez az IDS a következőkre összpontosít rootkit észlelés és fájl aláírások összehasonlítása. Az adatgyűjtő modul fel van töltve a jellemzők adatbázisa amelyeket naplófájlokból választanak ki. Ez az adatbázis egy rendszerállapot pillanatkép és az eszköz konfigurációjában bekövetkező bármilyen változás riasztást vált ki. Ezeket a változtatásokat az adatbázisra hivatkozással törölhetjük, vagy az adatbázis frissíthető az engedélyezett konfigurációs módosítások tükrében.

A rendszer-ellenőrzéseket igény szerint és nem folyamatosan hajtják végre, hanem krónikus munkaként ütemezhető. Az AIDE szabályainak alapja mind az aláírás, mind az anomália alapú megfigyelési módszerek.

9. OpenWIPS-NG

Az OpenWIPS-NG képernyőképe

Az OpenWIPS-NG az Aircrack-NG. Valójában integrálja az Aircrack-NG-t vezeték nélküli csomag-szippantó. Az Aircrack-NG egy jól ismert hacker eszköz, így ez a társulás kissé óvatos lehet. A WIPS a „Vezeték nélküli behatolás-megelőző rendszer" és az Linux alatt fut. Ez egy ingyenes segédprogram amely három elemet tartalmaz:

  • Érzékelő - a csomag-szippantó
  • Szerver - adattárolási és elemzési szabályzat
  • Interfész - felhasználó felé néző felület.

Az érzékelő is egy adó, így lehet behatolás-megelőző intézkedéseket hajt végre és megrontja a nem kívánt átvitelt. Az A kiszolgáló elemzést végez és beavatkozási politikát is indít a feltárt behatolások megakadályozására. Az Az interfész modul eseményeket jelenít meg és figyelmeztetések a rendszergazdára. Itt is beállíthatók a beállítások, és a védekező műveletek módosíthatók vagy felülbírálhatók.

10. Samhain

Samhain screenshot

A Samhain, amelyet a Samhain Design Labs gyárt Németországban egy ingyenes gazdagép-behatolás-érzékelő rendszer ami telepítésre kerül Unix, Linux, és Mac operációs rendszer. A hálózat különböző pontjain futó ügynököket használ, amelyek egy központi elemző modulhoz jelentenek. Minden ügynök fellép fájl integritásának ellenőrzése, naplófájl-megfigyelés, és kikötői megfigyelés. A folyamatok keresnek rootkit vírusok, gazember SUID-ok (felhasználói hozzáférési jogok), és rejtett folyamatok.

Hálózati kommunikáció az ügynökök és a konzol között titkosítással védett. A naplófájl-adatok továbbításához szükséges kapcsolatok hitelesítési követelményeket tartalmaznak, amelyek megakadályozzák a betolakodók eltérítését vagy a megfigyelési folyamat cseréjét.

Samhain kiemeli a behatolás figyelmeztető jeleit, de nincs felbontási folyamata. Biztonsági másolatot kell készítenie a konfigurációs fájlokról és a felhasználói identitásokról a Samhain-monitor által feltárt problémák megoldása érdekében.. A Samhain folyamatait a lopakodó technológia rejti el, az úgynevezett „steganography”Annak megakadályozása érdekében, hogy a betolakodók manipulálják vagy megöljék az IDS-t. A központi naplófájlokat és a konfigurációs biztonsági mentéseket PGP-kulccsal írják alá hogy megakadályozzák a betolakodók befolyásolását.

11. Fail2Ban

Fail2ban képernyőképe

A Fail2Ban az egy ingyenes host alapú behatolás-megelőző rendszer ami folyik Unix, Linux, és Mac OS X. Az IDS elemzi a naplófájlokat és tiltja a gyanús viselkedést mutató IP-címeket. Az automatikus zárolás a Netfilter / IPtable vagy a PF tűzfalszabályokban, valamint a TCP Wrapper hosts.deny táblájában történik. Ezek a blokkok általában csak néhány percig tartanak, de ez elegendő lehet a szokásos automatikus, brutális erővel történő jelszó-feltörési forgatókönyv megzavarásához. A riasztási helyzetek magukban foglalják a túlzott sikertelen bejelentkezési kísérleteket. A Fail2Ban problémája az, hogy az egyetlen cím ismételt műveleteire összpontosít. Ez nem teszi lehetővé az elosztott jelszó-törési kampányokkal vagy a DDoS-támadásokkal való megbirkózást.

A rendszer megfigyelési körét egy sor „szűrők.”Ezek az IPS-t utasítják arra, hogy mely szolgáltatásokat figyelje. Ezek tartalmazzák Postfix, Apache, Courier Mail Server, Lighttpd, sshd, vsftpd és qmail. Minden szűrőt egy művelettel kombinálnak, amelyet riasztási állapot észlelése esetén kell végrehajtani. A szűrő és a művelet kombinációját „börtön.”

RAT programok és példák

Számos olyan távoli elérési rendszer létezik, amelyek jogos alkalmazásokat tartalmazhatnak, de közismert eszközökként ismertek főként a hackerek használják trójai részeként; ezek a távoli hozzáférésű trójaiak kategóriájába tartozik. A legismertebb RAT-ok részleteit az alábbiakban ismertetjük.

Hátsó nyílás

Hátsó nyílás, amelyet BO-nek is nevezünk egy amerikai gyártmányú RAT ez már 1998 óta fennáll. Ez a RAT-k nagyapja és volt továbbfejlesztették és más hacker csoportok adaptáltak újabb RAT rendszerek előállításához. Az eredeti rendszer kihasználta a Windows 98 gyengeségét. A későbbi verziók az újabb Windows operációs rendszereken voltak Hátsó Orifice 2000 és Mély hátsó nyílás.

Ez a RAT képes elrejteni magát az operációs rendszerben, ami kezdetben megnehezíti az észlelést. Manapság azonban, a legtöbb víruskereső rendszer a Back Orifice futtatható fájljait és az elzáródási viselkedést be van jelentkezve az adatbázisukba aláírásokként, amelyekre figyelni kell. A szoftver egyik vonzó tulajdonsága, hogy rendelkezik egy könnyen használható konzol amelyet a betolakodó bejárhatja a fertőzött rendszer körül. A távoli elem egy trójai keresztül csúsztatható egy célszámítógépre. A telepítés után a kiszolgáló program a szabványos hálózati eljárásokkal kommunikál az ügyfélkonzollal. A Back Orifice ismerten a 21337 portszámot használja.

Vadállat

A Beast RAT megtámadja a Windows rendszereket Windows 95-től Windows 10-ig. Ez ugyanazt az ügyfél-szerver architektúrát használja, mint amelyet a Back Orifice úttörőként kezdett, amikor a rendszer szerver része a rosszindulatú program, amelyet titokban telepít a célszámítógépre.. Amint a szerver elem működőképes, a hackert az ügyfélprogramon keresztül akarata szerint férhet hozzá az áldozat számítógépéhez. Az ügyfél a 6666-os portszámmal csatlakozik a célszámítógéphez. A kiszolgáló képes a kapcsolatokat is megnyitni az ügyféllel, és a 9999-es portszámot használja..  A Beast 2002-ben írták, és még mindig széles körben használják.

Bifrost

Ez a trójai megfertőzi egy szerverkészítő program telepítésével. Kezdetben ez a program csak kapcsolatba lép egy parancs- és vezérlőszerverrel, és várja az utasításokat. A trójai megfertőzi a Windows rendszereket Windows 95-től Windows 10-ig. Ennek ellenére a Windows XP vagy újabb verziók képességei csökkennek.

Miután elindult, a kiszolgáló-készítő beállít egy kiszolgálóprogramot a célszámítógépen. Ez lehetővé teszi a hackert, hogy egy megfelelő kliens programmal hozzáférjen a fertőzött számítógéphez, és parancsokat tetszés szerint végrehajthasson. A kiszolgálószoftvert az C: \ Windows \ Bifrost \ server.exe vagy C: \ Program Files \ Bifrost \ server.exe. Ez a könyvtár és fájl rejtett és aztán Egyes vírusvédelmi rendszerek nem tudják kimutatni a Bifrostot.

A kiszolgáló-készítő nem fejezi be a műveleteket, miután a kiszolgálót létrehozta. Ehelyett úgy működik, mint egy perzisztencia rendszer és újra létrehozza a szervert egy másik helyen és más névvel, ha az eredeti kiszolgáló telepítése észrevehető és eltávolítva. A kiszolgálóépítő rootkit módszereket is alkalmaz a kiszolgáló folyamatainak elrejtésére és az operációs behatolási rendszert nagyon nehéz felismerni.

A Windows Vista óta a Bifrost teljes pusztító képességei lelassultak sok olyan szolgáltatás, amelyet a rosszindulatú program használ, rendszerjogosultságokat igényel. Ha azonban egy felhasználót becsapnak a rejtett szerverkészítő telepítésére rendszerjogosultságokkal, a Bifrost rendszer teljes mértékben működőképessé válhat, és nagyon nehéz lesz eltávolítani..

Kapcsolódó: A legjobb ingyenes rootkit eltávolító, felderítő és szkenner programok

Blackshades

A Blackshades egy kiváló hackereszköz, ami volt a fejlesztők eladták a hackereknek 40 dolláros pop áron. Az FBI becslése szerint gyártói összesen 340 000 dollárt keresnek el a szoftver eladásával. A fejlesztőket 2012-ben bezárták és letartóztatták, és a letartóztatások második hulláma 2014-ben elfogta a Blackshades több mint 100 felhasználóját. A Blackshades rendszer továbbra is létezik a forgalomban, és továbbra is aktívan használatban van. A Blackshades a Microsoft Windowsot célozza meg Windows 95-től Windows 10-ig.

Az eszközkészlet a fertőzés módszereit is tartalmazza, például egy rosszindulatú kód beágyazását olyan webhelyekbe, amelyek telepítési rutinokat indítanak el. Más elemek terjesztik a RAT-ot, linkeket küldve a fertőzött weboldalakra. Ezeket küldik a fertőzött felhasználó közösségi média kapcsolatai.

A rosszindulatú program lehetővé teszi a hacker számára a célszámítógép fájlrendszeréhez való hozzáférést, valamint a fájlok letöltését és végrehajtását. A program felhasználása botnet funkciókat tartalmaz, amelyek a célszámítógépet arra készteti, hogy elindítsa a szolgáltatásmegtagadási támadásokat. A fertőzött számítógép proxy szerverként is használható a hackerek forgalmának és irányításához biztosítson személyazonosságot más hacker tevékenységekhez.

A Blackshades eszközkészlet nagyon egyszerűen használható, és lehetővé teszi, hogy a technikai ismeretekkel nem rendelkezők hackerekké váljanak. A rendszer felhasználható ransomware támadások létrehozására is. A Blackshades mellett eladott második obfuzkációs program rejtette a programot, lehetővé teszi annak újraindítását, ha megölik, és elkerüli az antivírus szoftverrel történő észlelést.

A támadások és események között a Blackshades-ot nyomon követik egy 2012. évi zavarkampány, amely a szír ellenzéki erőkre irányult.

Lásd még: 2017-2018 Ransomware statisztikák és tények

A Ransomware eltávolító kézikönyve: Kezelés a rendes szoftverek törzseivel

DarkComet

Francia hacker Jean-Pierre Lesueur 2008-ban fejlesztette ki a DarkComet, de a rendszer 2012-ig nem terjedt el igazán. Ez egy újabb hacker rendszer, amely a Windows operációs rendszert célozza meg. Windows 95-től Windows 10-ig. Nagyon könnyen kezelhető felülettel rendelkezik, és lehetővé teszi a műszaki ismeretek nélküli hackerek támadását.

A szoftver lehetővé teszi a kémkedést a keylogging segítségével, képernyő rögzítése és jelszó betakarítása. Az ellenőrző hackerek szintén képesek működtetheti a távoli számítógép energiaellátási funkcióit, lehetővé teszi a számítógép távoli be- vagy kikapcsolását. A fertőzött számítógép hálózati funkciói szintén kihasználhatók a számítógép használatához proxy szerver a forgalom csatornázására és a hackerek személyazonosságának elfedésére más számítógépeken végzett támadások során.

A DarkComet 2012-ben felhívta a figyelmet a kiberbiztonsági közösség figyelmére, amikor felfedezték ezt egy afrikai hackeregység a rendszert az amerikai kormány és a katonaság célzására használta. Ugyanakkor Afrikából származó DarkComet támadásokat indítottak az online játékosok ellen.

Lesueur 2014-ben feladta a projektet amikor kiderült, hogy a szír kormány a DarkComet használta állampolgárainak kémkedéséhez. A lakosság VPN-eket és biztonságos csevegőalkalmazásokat alkalmazott, hogy megakadályozzák a kormányzati felügyeletet, tehát a DarkComet kémprogram-funkciói lehetővé tette a szír kormánynak, hogy kijátssza ezeket a biztonsági intézkedéseket.

Délibáb

A Mirage a legfontosabb RAT, amelyet használ az állami támogatású kínai hackerek csoportja, az APT15 néven ismert. A 2009 és 2015 közötti nagyon aktív kémkedés után az APT15 hirtelen csendben ment. Magát a Mirage-t 2012 óta használja a csoport. A Mirage-változat 2018-ban történt felfedezése azt jelezte, hogy a csoport újra működött. Ez az új RAT, úgynevezett MirageFox az Egyesült Királyság kormányzati vállalkozóinak kémkedésére használták fel, és 2018 márciusában fedezték fel. A Mirage és a MirageFox mindkettő ügynökként járhat el a fertőzött számítógépen. A behatolókészlet trójai része megkérdezi a parancs és irányítási címet az utasításokhoz. Ezeket az utasításokat ezután végrehajtják az áldozatok számítógépén.

Az eredeti Mirage RAT-ot támadásokhoz használták egy olajtársaság a Fülöp-szigeteken, a tajvani katonaság, egy kanadai energiavállalat, és egyéb célok Brazíliában, Izraelben, Nigériában és Egyiptomban. A Mirage és a MirageFox keresztüljutnak a célrendszerekre lándzsás adathalász kampányokat. Ezek általában az áldozatok társaságának vezetõire irányulnak. A trójai PDF formátumban beágyazva kerül kiszállításra. A PDF megnyitásakor a szkriptek végrehajtásra kerülnek, és telepítik a RAT-ot. A RAT első tevékenysége az, hogy jelentést tesz a Parancs- és Vezérlőrendszernek a fertőzött rendszer képességeinek ellenőrzésével. Ez az információ tartalmazza a CPU sebességét, a memória kapacitását és kihasználtságát, a rendszer nevét és felhasználónevét.

A kezdeti rendszerjelentésből úgy tűnik, mintha a Mirage tervezői a RAT-t a rendszer erőforrásainak ellopása helyett a célrendszer adatainak elérése érdekében készítették el.. Nincs tipikus Mirage támadás mert úgy tűnik, hogy mindegyik behatolás konkrét célokhoz van igazítva. A RAT telepítését tényfeltáró kampány és rendszerellenőrzések segítségével lehet előkészíteni. Például a 2018. évi támadás a brit katonai vállalkozó, az NCC ellen hozzáférést kapott a rendszerhez a vállalat engedélyezett VPN szolgáltatásán keresztül.

Az a tény, hogy minden támadás erősen célzott, azt jelenti sok költséget okoz a Mirage fertőzés. Ez a magas költség azt mutatja A mirázs-támadások általában csak olyan magas értékű célokat céloznak meg, amelyeket a kínai kormány alá akar engedni, vagy ahonnan technológiákat lopni.

Távoli hozzáférésű trójai fenyegetések

Habár úgy tűnik, hogy sok RAT-tevékenység kormányzati irányítású, a RAT eszközkészletek megléte miatt hálózati behatolás olyan feladat, amelyet bárki végrehajthat. Tehát a RAT és az APT tevékenysége nem korlátozódik a katonai vagy a high-tech társaságok elleni támadásokra.

A RAT-k más rosszindulatú programokkal kombinálódnak hogy elrejtsék magukat, ami azt jelenti a víruskereső szoftver telepítése a számítógépre nem elegendő annak megakadályozására, hogy a hackerek ellenőrizzék a rendszert ezekkel a módszerekkel. Vizsgáljuk behatolásjelző rendszerek annak érdekében, hogy legyőzze ezt a hacker stratégiát.

Tapasztalt olyan hálózati behatolást, amely adatkárosodást vagy -vesztést okozott? Bevezette-e behatolás-megelőzési stratégiát a RAT-probléma megoldására? Ha megosztja tapasztalatait, hagyjon üzenetet az alábbi megjegyzés részben.

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 71 = 77

Adblock
detector