10 најбољих алата за откривање РАТ софтвера – плус дефинитивни водич са примерима

Шта је Тројан са даљинским приступом или РАТ


А Тројански даљински приступ (РАТ) је врста злонамерног софтвера који омогућава хакеру да преузме контролу над вашим рачунаром. Шпијунске активности које хакер може обавити након што се РАТ инсталира варирају од истраживање вашег датотечног система, гледање активности на екрану, и прикупљање вјеродајница за пријаву.

Хакер такође може да користи вашу интернетску адресу као фронт за незаконите активности, лажно представљање и напад на друге рачунаре. Вируси преузети преко РАТ-а ће заразити друге рачунаре, истовремено ће узроковати штету вашем систему брисањем или шифрирањем основног софтвера.

Добићемо много детаља о сваком од алата за откривање провале и примера РАТ-а у даљем тексту, али ако немате времена да прочитате цео део, ево нашег листа најбољих алата за откривање упада за РАТ софтвер:

  1. СоларВиндс Сецурити Евент Манагер (БЕСПЛАТНО ИСПИТИВАЊЕ) превазилази откривање РАТ-а са аутоматским задацима санације који вам помажу да блокирате РАТ активности
  2. Снорт застој индустрије у НИДС-у први покренуо Цисцо
  3. ОССЕЦ опен соурце ХИДС добија следеће могућности за прикупљање података
  4. Брате бесплатни НИДС за Уник, Линук и Мац ОС
  5. Сурицата прати активност ИП, ТЛС, ТЦП и УДП протокола
  6. Саган Није самостални ИДС, добар за аутоматизацију скрипти
  7. Безбедносни лук отворено здруживање других отворених алата на овој листи
  8. ПОМОЋ специјализован за откривање рооткита и упоређивање потписа датотека
  9. ОпенВИПС-НГ пожељно за њушење бежичног пакета
  10. Самхаин одличан за подешавање упозорења, али нема стварних могућности за решавање проблема

РАТ софтверски алати и АПТ-ови

РАТ-ови су алати који се обично користе у тајном типу хакерског напада, који се назива ан Напредна упорна пријетња, или ПОГОДАН. Ова врста упада није усмерена на оштећење информација или брзу претрагу рачунара ради података. Уместо тога, АПТ-ови се састоје од редовних посета вашој мрежи које могу трајати годинама. РАТ-ови се такође могу користити за преусмеравање промета кроз мрежу ваше компаније како би се прикриле илегалне активности. Неке хакерске групе, претежно у Кини, су чак створиле хакерска мрежа која пролази кроз светске корпоративне мреже и они изнајмљују приступ овом аутоцестама путем цибер криминала другим хакерима. То се назива „теракота ВПН“, А то су омогућили РАТ-ови.

Ране инвазије

РАТ-ови су тихо већ дуже од деценије. Откривено је да је ова технологија играла улогу у великом пљачкању америчке технологије од стране кинеских хакера 2003. године. Пентагон је покренуо истрагу, под називом Титан Раин, која је открила крађу података од америчких извођача одбране, с тим што су подаци о развоју и тајним тестирањима пребачени на локације у Кини.

Можете се сетити обуставе електричне мреже америчке источне обале из 2003. и 2008. године. Они су такође праћени до Кине и такође су им олакшали РАТ. Укратко, хакер који може добити РАТ на систем може активирати сав софтвер који корисницима тих рачунара има на располагању..

Хибридно ратовање

Хакер са РАТ-ом може командовати електричним станицама, телефонским мрежама, нуклеарним постројењима или гасоводима. РАТ-ови не само да представљају корпоративни безбедносни ризик, већ могу и омогућити да ратоборне нације осакате непријатељску земљу.

Првобитни корисници РАТ-а за индустријску шпијунажу и саботаже били су кинески хакери. Током година, Русија је схватила моћ РАТ-а и интегрисао их у свој војни арсенал. АПТ су сада званично део руске стратегије за прекршаје познате као "хибридно ратовање.“

Када је Русија 2008. године заузела територију Грузије, она је користила ДДоС нападе како би блокирала интернетске сервисе и АПТ-ове користећи РАТ-ове за прикупљање обавештајних података, контроле и ометање грузијског војног хардвера и основних услужних програма. Руска употреба РАТ-ова за дестабилизацију Украјине и балтичких држава траје и данас.

Русија запошљава полузваничне хакерске групе, такве АПТ28. Још једна хакерска група, позната као АПТ15 Кинеска влада редовно користи. Називи ових група објашњавају њихову главну стратегију, „напредну упорну претњу“, коју олакшавају РАТ-ови.

Раст трговинских тарифних тензија у 2018. години донео је нови подстицај кинеским хакерским активностима, посебно полувојној групи АПТ15. Невоље између САД-а и Северне Кореје које су трајале од 2015. године такође су изазвале пораст активности АПТ-а уз помоћ РАТ-а које потичу из Северне Кореје.

Дакле, док хакери широм свијета користе РАТ-ове да би шпијунирали компаније и украду њихове податке и новац, РАТ проблем је сада постао питање националне сигурности за многе земље, посебно САД. У наставку смо навели неколико примера РАТ алата.

Одбрана од тројанског софтвера за даљински приступ

Антивирусни системи не делују баш добро против РАТ-ова. Често зараза рачунара или мреже годинама не буде откривена. Методе затамњења које паралелни програми користе за прикривање РАТ процедура чине их веома тешким за уочити. Упорни модули који користе рооткит технике значе да се РАТ-а веома тешко ријешити. Понекад је једино решење да се ваш рачунар очисти од РАТ-а је да обришете сав свој софтвер и поново инсталирате оперативни систем.

Системи за превенцију РАТ-а су ретки, јер се РАТ софтвер може препознати само након што ради на вашем систему. Најбољи начин за управљање РАТ проблемом је користите систем за откривање провале. Цомпаритецх има водич о системима за детекцију упада који вам даје потпуно објашњење како ови системи раде и број препоручених алата.

Најбољи алати за откривање РАТ софтвера

Ево прегледа најбољи алати за откривање РАТ софтвера:

1. СоларВиндс Сецурити Евент Манагер (БЕСПЛАТНО ИСПИТИВАЊЕ)

Соларвиндс Лог и Евент Манагер

Системи за откривање провале су важни алати за блокирање провале софтвера који могу избећи откривање помоћу антивирусних и заштитног зида. Тхе СоларВиндс Сецурити Евент Манагер је систем за откривање упада који је заснован на домаћину. Међутим, постоји део алата који функционише као мрежни систем за откривање провале. Ово је Снорт Лог Анализер. Више о Снортту можете прочитати доле, међутим, овде би требало да знате да се ради о широко кориштеном сниффер пакету. Употребом Снорт-а као сакупљача података за улазак у Снорт Лог Анализер, добијате и анализу података уживо и историјске податке из менаџера сигурносних догађаја.

Ова двојна способност пружа вам потпуну услугу безбедносних информација и управљања догађајима (СИЕМ). То значи да можете гледати догађаје снимљене у Снорт уживо и такође прегледати унакрсне упадне потписе препознате кроз записе у датотеци дневника.

Менаџер сигурносних догађаја надилази откривање РАТ-а јер укључује аутоматизоване задатке санације који вам помажу да блокирате РАТ активности. Алат је у складу са низом стандарда безбедности података, укључујући ПЦИ ДСС, ХИПАА, СОКС, и ДИСА СТИГ.

СоларВиндс Сецурити Евент Манагер може се инсталирати на Виндовс Сервер. Услужни програм није бесплатан за употребу, али можете га добити на 30-дневно бесплатно пробно време.

СоларВиндс Сецурити Евент МанагерПреузмите 30-дневну БЕСПЛАТНУ пробу

2. Снорт

Снорт сцреенсхот

Снорт је бесплатан за употребу и он је лидер у индустрији НИДС, који је Мрежни систем за откривање провале. Овај систем је створио Цисцо Системс и може се инсталирати на Виндовс, Линук, и Уник. Снорт може имплементирати одбрамбене стратегије, што га чини и нечим систем за спречавање упада. Има три опције:

  • Сниффер мод - снаффер живи пакет
  • Записник пакета - бележи пакете у датотеку
  • Откривање провале - укључује модул за анализу

Примењује се ИДС мод Снорт “базне политике“На податке. Ово су правила упозорења која омогућавају откривање провале. Правила се могу бесплатно добити на веб локацији Снорт, добијено из корисничке заједнице или можете написати своје. Сумњиви догађаји које Снорт може истакнути укључују скал порт скенирање, напади преливања међуспремника, ЦГИ напади, СМБ сонде, и Отисак прста на ОС-у. Снорт је способан за обоје методе откривања засноване на потпису и аномалијски системи.

Предњи крај Снорт-а није баш добар и већина корисника интерфејсује податке са Снорт-а на боље конзоле и алате за анализу, као што су  Снорби, БАЗА, Скуил, и Анавал.

3. ОССЕЦ

Скриншот ОССЕЦ-а

ОССЕЦ је скраћеница за ХИДС сигурност отвореног кода. А ХИДС је Систем за откривање упада домаћина, која испитује догађаје на рачунару у мрежи уместо да то покушавате уочити аномалије у мрежном саобраћају, шта је то мрежни системи за детекцију упада урадити. ОССЕЦ је тренутни ХИДС лидер и на њега се може инсталирати Уник, Линук и Мац ОС оперативни системи. Иако се не може покретати на Виндовс рачунарима, може са њих прихватити податке. ОССЕЦ испитује евиденције догађаја да би тражио РАТ активности. Овај софтвер је пројекат отвореног кода који је у власништву фирме за кибернетичку сигурност, Тренд Мицро.

Ово је алат за прикупљање података који нема веома предњи корисник. Генерално, предњи крај овог система се испоручује са другим алатима, као што су Сплунк, Кибана, или Граилог. Мотор за откривање ОССЕЦ-а заснован је политике, који су услови упозорења који се могу појавити у подацима. Можете да набавите унапред написане пакете полиса од других корисника ОССЕЦ-а који своје пакете бесплатно стављају на располагање на форуму заједнице корисника ОССЕЦ. Такође можете да напишете сопствене смернице.

4. Бро

Скриншот за Бро

Бро је бесплатни НИДС која се може инсталирати на Уник, Линук, и Мац ОС. Ово је систем за надгледање мреже који укључује методе детекције провале. ИДС прикупља пакетне податке у датотеку за каснију анализу. НИДС-ови који делују на живим подацима недостају одређени идентификатори упада јер хакери понекад деле РАТ поруке на више пакета. Стога, апликативни слојеви НИДС, попут Броја, имају боље могућности детекције јер они примјењују анализу преко пакета. Бро користи обоје анализа заснована на потпису и откривање засновано на аномалији.

Тхе Бро Евент Енгине „Слуша“ за покретање догађаја, као што је нова ТЦП веза или ХТТП захтев и бележи их. Скрипте политике затим претражите те евиденције да бисте потражили обрасце у понашању, попут аномалошких и нелогичних активности које обавља један кориснички налог. Бро ће пратити ХТТП, ДНС и ФТП активности. Такође прикупља СНМП обавештења и може се користити за откривање промена конфигурације уређаја и СНМП трап порука.

5. Сурицата

Снимак слике Сурицата

Сурицата је а НИДС која се може инсталирати на Виндовс, Линук, Мац ОС, и Уник. Ово је систем заснован на накнадама то важи анализа слоја апликације, па ће открити потписе који се шире по пакетима. Сурицата монитори ИП, ТЛС, ТЦП, и УДП активност протокола и фокусирана је на кључне мрежне апликације, као што су ФТП, ХТТП, ИЦМП, и СМБ. Такође може да испита ТЛС сертификата и фокусирати се на ХТТП захтева и ДНС позиви. Постоји и постројење за вађење датотека које омогућава анализу датотека заражених вирусом.

Сурицата има уграђени скриптни модул који вам омогућава комбинујте правила и добили прецизнији профил детекције. Овај ИДС користи и методе детекције засноване на потпису и аномалији. ВРТ правила фајлова су написана за Снорт такође се може увести у Сурцата јер је овај ИДС компатибилан са Снорт платформом. То такође значи да Снорби, БАЗА, Скуил, и Анавал може послужити као предњи крај Сурицата. Међутим, Сурицата ГУИ је веома софистициран и укључује графички приказ података, тако да можда нећете требати да користите било који други алат за преглед и анализу података.

6. Саган

Саган снимак екрана

Саган је бесплатни систем за откривање упада на бази домаћина која се може инсталирати на Уник, Линук, и Мац ОС. Не можете покренути Саган у Виндовс-у, али можете феед Виндовс евидентира догађаје у њега. Подаци прикупљени од Снорт, Сурицата, или Брате може се увести у Саган, што даје алат за анализу података овог услужног а НИДС перспектива, као и њен родни ХИДС могућности. Саган је такође компатибилан са другим системима Снорт типа, као што су Снорби, БАЗА, Скуил, и Анавал, што би све могло пружити почетни део за анализу података.

Саган је алат за анализу дневника и треба га користити заједно са другим системима за прикупљање података да би се створио цео систем детекције упада. Услужни програм укључује ан ИП локатор, тако да можете да пронађете локације сумњивих активности до локације. Такође може да групира активности сумњивих ИП адреса ради идентификације тима или дистрибуираних напада. Модул за анализу ради са методологије откривања потписа и аномалије.

Саган може аутоматски извршава скрипте за закључавање мреже када открије конкретне догађаје. Обавља ове превентивне задатке кроз интеракцију са таблицама заштитног зида. Дакле, ово је систем за спречавање упада.

7. Безбедносни лук

Снимка екрана за безбедност

Сигурносни лук је развијен спајањем кода за Снорт, Сурицата, ОССЕЦ, Брате, Снорби, Сгуил, Скуерт, Кибана, ЕЛСА, Ксплицо, и НетворкМинер, који су сви пројекти отвореног кода. Овај алат је бесплатни Линук-ов НИДС који укључују ХИДС функционалност. Написано је да се изводи посебно Убунту.

Анализа заснована на хосту провјерава промјене датотека и анализу мреже врши снајпер за пакет, који могу да прикажу податке о пролазу на екрану и такође упишу у датотеку. Мотор за анализу Сецурити Онион-а је компликован јер комбинује поступке толико различитих алата. То укључује праћење стања уређаја као и анализу саобраћаја. Постоје правила упозорења заснована на потпису и аномалији укључени у овај систем. Интерфејс од Кибана пружа контролну таблу за Сецурити Онион и укључује графиконе и графиконе ради лакше анализе података.

8. ПОМОЋ

Снимка екрана за АИДЕ

АИДЕ означава „Напредно окружење за откривање провале." Ово је бесплатан ХИДС која траје даље Мац ОС, Уник, и Линук. Овај ИДС се фокусира на откривање рооткита и поређења потписа датотека. Модул за прикупљање података попуњава се база карактеристика које су прикупљене из датотека дневника. Ова база података је снимак статуса система и било какве промене упозорења о окидачу конфигурације уређаја. Те промене могу се отказати позивањем на базу података или се база података може ажурирати тако да одражавају овлашћене промене конфигурације.

Провера система се врши на захтев и не континуирано, али може се заказати као хронски посао. База АИДЕ користи правила и методе праћења засноване на потпису и аномалији.

9. ОпенВИПС-НГ

Снимка екрана ОпенВИПС-НГ

ОпенВИПС-НГ долази од програмера компаније Аирцрацк-НГ. У ствари, она интегрише Аирцрацк-НГ као свој сниффер бежични пакет. Аирцрацк-НГ је добро познато хакерско средство, тако да би вас ово удружење могло учинити мало опрезним. ВИПС значи „Бежични систем за спречавање провале”И то ради на Линуку. Ово је бесплатни услужни програм који укључује три елемента:

  • Сензор - пакетни њушкало
  • Сервер - база података за складиштење и анализу података
  • Интерфејс - предњи крај окренут према кориснику.

Сензор је такође предајник, па може спровести акције за спречавање упада и осакати нежељене преносе. Тхе сервер врши анализу а такође покреће политике интервенција за блокирање откривених упада. Тхе модул интерфејса приказује догађаје и упозорења администратору система. Овде се такође могу подесити поставке и одбрамбене акције се могу прилагодити или поништити.

10. Самхаин

Снимка заслона Самхаин

Самхаин, произведен од стране компаније Самхаин Десигн Лабс из Немачке, је бесплатни систем за откривање упада на бази домаћина која се инсталира на Уник, Линук, и Мац ОС. Користи агенте који раде на различитим тачкама мреже, а који се враћају у централни модул за анализу. Сваки агент наступа провера интегритета датотеке, надзор датотеке датотека, и праћење портова. Процеси траже рооткит вируси, скитни СУИД-ови (права приступа кориснику) и скривени процеси.

Мрежна комуникација између агената и конзоле је заштићено шифровањем. Везе за испоруку података датотека дневника укључују захтеве за аутентификацију, који спречавају уљезе да отму или замене процес надгледања.

Самхаин ће истакнути знаке упозорења за упад, али нема никаквих поступака разрјешења. Морат ћете сачувати сигурносне копије конфигурацијских датотека и идентитета корисника како бисте подузели мјере за рјешавање проблема које открива Самхаин монитор. Самхаин своје процесе скрива скривеном технологијом, звани „стеганографија"Да би спречили уљезе да манипулишу или убијају ИДС. Централне датотеке дневника и сигурносне копије конфигурације потписују се ПГП кључем како би се спречило неовлаштено дирање од стране уљеза.

11. Фаил2Бан

Снимка екрана Фаил2бан

Фаил2Бан је бесплатан систем за спречавање упада на основу домаћина која траје даље Уник, Линук, и Мац ОС Кс. ИДС анализира датотеке дневника и изриче забране за ИП адресе које приказују сумњиво понашање. Аутоматска закључавања се дешавају у Нетфилтер / ИПтаблес или ПФ фиревалл правилима и хостс.дени табели ТЦП Враппер. Ови блокови обично трају само неколико минута, али то може бити довољно за прекид стандардног аутоматског сценарија за креирање лозинки. Ситуације упозорења укључују прекомерне неуспешне покушаје пријаве. Проблем са Фаил2Бан је тај што се фокусира на опетоване радње са једне адресе. То му не даје могућност да се носи са дистрибуираним кампањама за уклањање лозинки или ДДоС нападима.

Опсег надгледања система дефинисан је низом „филтери.„Они упућују ИПС на које услуге треба да надгледају. Ови укључују Постфик, Апацхе, Цоуриер Маил Сервер, Лигхттпд, ссхд, всфтпд и кмаил. Сваки је филтер комбинован са радњом која се изводи у случају откривања стања аларма. Комбинација филтера и радње назива се „затвор.“

РАТ програми и примери

Постоји велики број система за даљински приступ који би могли имати легитимне апликације, али познати су као алати који то јесу углавном га користе хакери као део тројанца; ове су категорисани као Тројани са удаљеним приступом. Детаљи најпознатијих РАТ-ова објашњени су у наставку.

Бацк Орифице

Бацк Орифице, који се такође назива БО је амерички РАТ то је отприлике од 1998. Ово је деда РАТ-а и јесте побољшане и прилагођене од стране других хакерских група за производњу новијих РАТ система. Оригинални систем искористио је слабост у оперативном систему Виндовс 98. Касније су биле верзије које су се покретале на новијим Виндовс оперативним системима Повратак Орифице 2000 и Отвор за дубоко леђа.

Овај РАТ се може сакрити унутар оперативног система, што у почетку отежава откривање. Међутим, данас, већина антивирусних система има извршне датотеке Бацк Орифице и понашање оклузије, евидентиране у својим базама података као потпис на који треба пазити. Лепа карактеристика овог софтвера је да га има једноставна конзола за употребу које уљез може да користи за кретање по зараженом систему. Даљински елемент може се пребацити на циљни рачунар преко тројанца. Једном инсталиран, овај програм сервера комуницира са конзолом клијента користећи стандардне мрежне процедуре. Познато је да задњи отвор има број прикључка 21337.

Звер

Беаст РАТ напада Виндовс системе од Виндовс 95 до Виндовс 10. Ово користи исту архитектуру клијент-сервер која је Бацк Орифице пионирала тиме што је део сервера у систему представљао злонамерни софтвер који се скривено инсталира на циљни рачунар. Једном када елемент сервера функционише, хакер може по жељи приступити рачунару жртве путем клијентског програма. Клијент се повезује на циљни рачунар на броју порта 6666. Сервер је такође у могућности да отвори везе натраг до клијента и користи порт броја 9999.  Звер је написана 2002. године и још увек је широко коришћена.

Бифрост

Овај тројанац започиње своју инфекцију инсталирањем програма за изградњу сервера. У почетку, овај програм само ступа у контакт са Цомманд анд Цонтрол сервером и чека упуте. Тројанац инфицира Виндовс системе од Виндовс 95 до Виндовс 10. Међутим, његове могућности су смањене на Виндовс верзијама КСП и новијим верзијама.

Једном када се покрене, градитељ сервера поставиће серверски програм на циљни рачунар. То омогућава хакеру, користећи одговарајући програм клијента, приступ инфицираном рачунару и извршавање наредби по вољи. Софтвер сервера је смештен у Ц: \ Виндовс \ Бифрост \ сервер.еке или Ц: \ Програмске датотеке \ Бифрост \ сервер.еке. Овај директориј и датотека су скривени и тако неки антивирусни системи не открију Бифрост.

Градитељ сервера не завршава своје операције након што је сервер креиран. Уместо тога, делује као систем истрајности и рекреираће сервер на другој локацији и са другим називом ако је оригинална инсталација сервера примећена и уклоњена. Градитељ сервера такође користи методе рооткита да маскирају процесе сервера и чине оперативни систем упада врло тешким за откривање.

Од Виндовс Виста, све деструктивне могућности Бифроста су успориле јер многе услуге које злонамјерни софтвер користи захтијевају системске повластице. Међутим, ако се корисник превари у инсталирању прикривеног градитеља сервера са системским привилегијама, Бифрост систем може постати потпуно оперативан и биће га врло тешко уклонити.

Повезано: Најбољи бесплатни програми за уклањање, откривање и скенирање рооткита

Блацксхадес

Блацксхадес је изванредан алат за хаковање који је био продали хакери од стране својих програмера за 40 долара поп. ФБИ је процијенио да су његови произвођачи зарадили укупно 340.000 долара од продаје овог софтвера. Програмери су затворени и ухапшени 2012. године, а други талас хапшења 2014. године привео је више од 100 корисника Блацксхадес-а. Међутим, још увек су у оптицају копије система Блацксхадес и он је и даље у активној употреби. Чарапе циљају Мицрософт Виндовс од Виндовс 95 до Виндовс 10.

Алат укључује методе инфекције, попут злонамерног кода за уградњу у веб локације које покрећу инсталацијске рутине. Остали елементи шире РАТ слањем веза до заражених веб страница. Они су послани контакти на друштвеним мрежама заражених корисника.

Злонамерни софтвер омогућава хакеру да приступи датотечном систему циљног рачунара и преузме и изврши датотеке. Употреба програма укључује бонетне функције које циљаном рачунару омогућују покретање напада за одбијање услуга. Заражени рачунар се такође може користити као проки сервер за усмеравање хакерског промета и обезбедити идентитет за друге хакерске активности.

Пакет алатки Блацксхадес врло је једноставан за употребу и омогућава онима који немају техничке вештине да постану хакери. Систем се такође може користити за креирање напада рансомвареа. Други програм затамњења који се продаје заједно са црним сенкама чува програм скривен, омогућава му да се поново покрене када буде убијен и избегне откривање антивирусним софтвером.

Међу нападима и догађајима који су праћени до Црних сенки су и кампања поремећаја 2012. године која је циљала сиријске опозиционе снаге.

Погледајте такође: Статистика и чињенице о Рансомваре-у 2017-2018

Приручник за уклањање Рансомвареа: Суочавање са уобичајеним сојевима рансомвареа

ДаркЦомет

Француски хакер Јеан-Пиерре Лесуеур развио је ДаркЦомет 2008. године, али систем се није стварно проширио до 2012. Ово је још један хакерски систем који циља Виндовс оперативни систем од Виндовс 95 до Виндовс 10. Има врло једноставан за употребу интерфејс и омогућава онима који немају техничке вештине да изврше хакерске нападе.

Софтвер омогућава шпијунирање кроз проверу тастера, снимање екрана и прикупљање лозинке. Такође може контролисати хакер раде функције напајања удаљеног рачунара, омогућавајући даљинско укључивање или искључивање рачунара. Мрежне функције зараженог рачунара такође се могу користити за коришћење рачунара као проки сервер за каналисање саобраћаја и маскирање идентитета хакера током рација на друге рачунаре.

ДаркЦомет је привукао пажњу кибернетичке заједнице 2012. године када је то открио Афричка хакерска јединица користила је систем да циља америчку владу и војску. У исто време, напади ДаркЦомет-а пореклом из Африке покренути су против онлајн гејмера.

Лесуеур је одустао од пројекта 2014. године када је откривено да је ДаркЦомет сиријска влада користила за шпијунирање својих грађана. Општа популација је користила коришћење ВПН-ова и сигурних апликација за ћаскање како би блокирала надзор државе, тако да шпијунски софтвер ДаркЦомет-а омогућио сиријској влади да заобиђе те мјере сигурности.

Мираге

Мираге је кључни РАТ који користе кинеска хакерска група спонзорисана од стране државе позната као АПТ15. Након врло активне шпијунске кампање од 2009. до 2015., АПТ15 је изненада утихнуо. Сам Мираге је група користила од 2012. Откривање варијанте Мираге 2018. године је значило да је група поново била у акцији. Овај нови РАТ, познат као МирагеФок кориштен је за шпијунирање британских влада, а откривен је у марту 2018. Мираге и МирагеФок делује као агент на зараженом рачунару. Тројански део пакета за провале уписује командну и контролну адресу за упутства. Та се упутства затим спроводе на рачунару жртве.

Оригинални Мираге РАТ коришћен је за нападе на нафтна компанија на Филипинима, тајванска војска, канадска енергетска компанија, и друге циљеве у Бразилу, Израелу, Нигерији и Египту. Мираге и МирагеФок пролазе кроз циљне системе подводни пхисхинг кампање. Обично су намењени руководиоцима компаније жртава. Тројански програм се испоручује уграђен у ПДФ. Отварање ПДФ-а узрокује извршавање скрипти и они инсталирају РАТ. Прва акција РАТ-а је да се извештава о систему команде и контроле са ревизијом могућности зараженог система. Ове информације укључују брзину ЦПУ-а, капацитет и искоришћеност меморије, назив система и корисничко име.

Из иницијалног извештаја система чини се као да су дизајнери Мираге-а направили РАТ како би украли системске ресурсе, а не приступили подацима на циљном систему. Нема типичног напада Мирагеа јер се чини да је сваки упад прилагођен одређеним циљевима. Инсталација РАТ-а може се унапред употријебити кампањом за утврђивање чињеница и провјерама система. На пример, напад 2018. године на британски војни извођач радова НЦЦ стекли приступ систему преко овлашћеног ВПН сервиса компаније.

Чињеница да је сваки напад високо циљан значи то велики трошак сноси инфекција Мирагеом. То показују високи трошкови Мираге напади обично имају само циљеве високе вредности које кинеска влада жели да поткопа или из којих краде технологију.

Тројанске претње за удаљени приступ

Мада чини се да је много активности РАТ-а усмерено на владе, постојање РАТ алата чини упад у мрежу задатак који свако може да изврши. Дакле, РАТ и АПТ активности неће бити ограничене на нападе на војне или високотехнолошке компаније.

РАТ-ови се комбинују са другим злонамјерним софтвером да се сакрију, што значи да инсталирање антивирусног софтвера на ваше рачунаре није довољно да спречи хакере да контролишу ваш систем овим методама. Истражити системи за детекцију упада да би поразили ову хакерску стратегију.

Да ли сте доживели упад у мрежу који је резултирао оштећењем или губитком података? Да ли сте имплементирали стратегију за спречавање провале да бисте избегли РАТ проблем? Оставите поруку у одељку Коментари испод да поделите своја искуства.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

About the author

Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.

Leave a Reply

Your email address will not be published. Required fields are marked *

− 6 = 2