10 najboljih alata za otkrivanje RAT softvera – plus konačan vodič s primjerima

Što je Trojan s udaljenim pristupom ili RAT


Trojanski udaljeni pristup (RAT) je vrsta zlonamjernog softvera koji omogućuje hakeru da preuzme kontrolu nad vašim računalom. Špijunske aktivnosti koje haker može obaviti nakon što se RAT instalira variraju od istraživanje vašeg datotečnog sustava, gledanje aktivnosti na ekranu, i prikupljanje vjerodajnica za prijavu.

Haker također može koristiti vašu internetsku adresu kao podlogu za nezakonite aktivnosti, lažno predstavljanje i napad na druga računala. Virusi preuzeti preko RAT-a zarazit će druga računala, a također će uzrokovati štetu vašem sustavu brisanjem ili enkripcijom bitnog softvera.

Proučimo puno detalja o svakom od alata za otkrivanje upada i RAT primjera u nastavku, ali ako nemate vremena pročitati cijeli članak, evo našeg popis najboljih alata za otkrivanje provale za RAT softver:

  1. Upravitelj sigurnosnih događaja SolarWinds (BESPLATNO ISPITIVANJE) nadilazi otkrivanje RAT-a s automatiziranim zadacima sanacije koji vam pomažu u blokiranju RAT aktivnosti
  2. frka zastoj industrije u NIDS-u prvi pokrenuo Cisco
  3. OSSEC otvoreni izvorni HIDS dobiva sljedeće za mogućnosti prikupljanja podataka
  4. Bro besplatni NIDS za Unix, Linux i Mac OS
  5. Suricata nadgleda aktivnost IP, TLS, TCP i UDP protokola
  6. Sagan Nije samostalni IDS, dobar za automatizaciju skripti
  7. Sigurnosni luk združivanje otvorenog koda drugih alata otvorenog koda na ovom popisu
  8. POMOĆNIK specijalizirao se za otkrivanje rootkita i usporedbu potpisa datoteka
  9. OpenWIPS-NG poželjno za njuškanje bežičnih paketa
  10. Samhain izvrsno za postavljanje upozorenja, ali nema stvarnih mogućnosti rješavanja problema

RAT softverski alati i APT-ovi

RAT-ovi su alati koji se obično koriste u tajnom tipu hakerskog napada, koji se naziva an Napredna uporna prijetnja, ili APT. Ova vrsta upada nije usredotočena na oštećivanje informacija ili brzu pretragu računala radi podataka. umjesto, APT-ovi se sastoje od redovitih posjeta vašoj mreži koji mogu trajati godinama. RAT-ovi se mogu koristiti i za preusmjeravanje prometa kroz mrežu vaše tvrtke kako bi se prikrile nezakonite aktivnosti. Neke su hakerske grupe, pretežno u Kini, čak stvorile hakerska mreža koja prolazi kroz korporativne mreže svijeta, a oni iznajmljuju pristup ovom autocestama autocestama drugim hakerima. To se naziva "terakota VPN", A to omogućuju RAT-ovi.

Rane invazije

RAT-ovi su tiho već više od desetljeća. Otkriveno je da je ova tehnologija igrala ulogu u velikom pljački američke tehnologije od strane kineskih hakera 2003. godine. Pentagon je pokrenuo istragu, tzv. Titanska kiša, koja je otkrila krađe podataka od američkih izvođača obrambenih radova, a razvojni i klasificirani testni podaci prenose se na lokacije u Kini.

Možete se prisjetiti obustava elektroenergetske mreže američke istočne obale iz 2003. i 2008. godine. I oni se prate u Kini, a tamo su im olakšali i RAT. Ukratko, haker koji može dobiti RAT na sustav može aktivirati sav softver koji korisnicima tih računala ima na raspolaganju..

Hibridno ratovanje

Hakeri s RAT-om mogu zapovijedati elektricnim stanicama, telefonskim mrežama, nuklearnim postrojenjima ili plinovodima. RAT-ovi ne predstavljaju samo korporativni sigurnosni rizik, već također mogu omogućiti ratobornim zemljama da osakate neprijateljsku zemlju.

Izvorni korisnici RAT-a za industrijsku špijunažu i sabotaže bili su kineski hakeri. Tijekom godina, Rusija je shvatila moć RAT-a i integrirao ih u svoj vojni arsenal. APT-ovi su sada službeno dio ruske strategije za prekršaje poznate kao "hibridno ratovanje.”

Kad je Rusija 2008. zauzela teritoriju Gruzije, ona je koristila DDoS napade kako bi blokirala internetske usluge i APT-ove koristeći RAT-ove za prikupljanje obavještajnih podataka, kontrole i ometanje gruzijskog vojnog hardvera i osnovnih uslužnih programa. Ruska upotreba RAT-ova za destabilizaciju Ukrajine i baltičkih država traje i danas.

Rusija zapošljava polu-službene hakerske skupine, takve APT28. Još jedna hakerska skupina, poznata kao APT15 redovno ga koristi kineska vlada. Nazivi ovih skupina objašnjavaju njihovu glavnu strategiju, „naprednu upornu prijetnju“, koju omogućuju RAT-ovi.

Rast napetosti u trgovinskim tarifama u 2018. godini zabilježio je novi zamah u kineskim hakerskim aktivnostima, posebice poluvojnoj skupini APT15. Nevolje između SAD-a i Sjeverne Koreje koje su trajale od 2015. godine također su uzrokovale porast aktivnosti APT-a uz pomoć RAT-a podrijetlom iz Sjeverne Koreje.

Dakle, dok hakeri širom svijeta koriste RAT-ove za špijuniranje tvrtki i kradu njihove podatke i novac, RAT problem je sada postao pitanje nacionalne sigurnosti za mnoge zemlje, posebno SAD. U nastavku smo uvrstili nekoliko primjera RAT alata.

Obrana od trojanskog softvera s udaljenim pristupom

Antivirusni sustavi nisu baš dobro protiv RAT-ova. Često se infekcija računala ili mreže godinama ne primjećuje. Metode zatamnjenja koje paralelni programi koriste za prikrivanje RAT postupaka čine ih vrlo teškim. Uporni moduli koji koriste rootkit tehnike znače da se RAT-a vrlo teško riješiti. Ponekad je jedino rješenje da se vaše računalo riješi RAT-a, obrisati sav svoj softver i ponovno instalirati operativni sustav..

Sustavi za prevenciju RAT-a rijetki su jer se RAT softver može prepoznati samo nakon što radi na vašem sustavu. Najbolji način za upravljanje RAT problemom je koristite sustav za otkrivanje provale. Comparitech ima vodič o sustavima za otkrivanje provale koji vam daje cjelovito objašnjenje kako ovi sustavi rade i broj preporučenih alata.

Najbolji alati za otkrivanje RAT softvera

Ovdje ćemo pregledati najbolji alati za otkrivanje RAT softvera:

1. SolarWinds Security Event Manager (BESPLATNO ISPITIVANJE)

Solarwinds Dnevnik i Upravitelj događaja

Sustavi za otkrivanje provale važan su alat za blokiranje provale softvera koji mogu izbjeći otkrivanje pomoću antivirusnih i zaštitnih zidova. Upravitelj sigurnosnih događaja SolarWinds je sustav za otkrivanje upada u sustav domaćina. Međutim, postoji odjeljak alata koji djeluje kao mrežni sustav za otkrivanje provale. Ovo je Snort Log Analyzer. Više o Snortu možete pročitati u nastavku, međutim, ovdje biste trebali znati da se radi o široko korištenom njuškalo za paket. Upotrebom Snort-a kao sakupljača podataka za dodavanje u Snort Log Analyzer, iz Upravitelja sigurnosnih događaja dobivate i analizu podataka uživo i povijesnih podataka..

Ova dvojna sposobnost pruža vam potpunu uslugu sigurnosti podataka i upravljanja događajima (SIEM). To znači da možete uživo pratiti događaje snimljene u Snort-u, a također pregledati potpise međuprostornih upada prepoznatih putem zapisa datoteka datoteka.

Upravitelj sigurnosnih događaja nadilazi otkrivanje RAT-a jer uključuje automatizirane zadatke sanacije koji vam pomažu u blokiranju RAT aktivnosti. Alat je u skladu s nizom sigurnosnih standarda, uključujući PCI DSS, Hipaa, SOX, i DISA STIG.

SolarWinds Security Event Manager može se instalirati na Windows Server. Uslužni program nije besplatan za korištenje, ali možete ga dobiti na 30-dnevno besplatno probno razdoblje.

SolarWinds Security Event ManagerReloading 30-dnevna BESPLATNA probna verzija

2. smrknuti

Snort screenshot

Snort je besplatan za uporabu i vodeći je u industriji NIDS, koji je a Mrežni sustav za otkrivanje provale. Ovaj sustav stvorio je Cisco Systems a može se instalirati na Windows, Linux, i Unix. Snort može provoditi obrambene strategije, što ga čini i anu sustav za sprečavanje prodora. Ima tri načina načina:

  • Sniffer mode - snajper paket uživo
  • Zapisnik paketa - bilježi pakete u datoteku
  • Otkrivanje provale - uključuje modul za analizu

Primjenjuje se IDS način Snort "osnovne politike"Do podataka. Ovo su pravila upozorenja koja pružaju otkrivanje provale. Pravila se mogu besplatno dobiti na web stranici Snort, dobiven iz korisničke zajednice ili možete napisati svoje. Sumnjivi događaji koje Snort može istaknuti uključuju skal port skeniranje, napadi preljeva međuspremnika, CGI napadi, SMB sonde, i Otisak prsta na OS-u. Snort je sposoban za oboje metode otkrivanja na temelju potpisa i anomalijski sustavi.

Prednji dio Snorta nije baš dobar i većina korisnika sučeljava podatke s Snorta na bolje konzole i alate za analizu, poput  Snorby, BAZA, Squil, i Anaval.

3. OSSEC

OSSEC snimka zaslona

OSSEC označava Open Source HIDS Security. HIDS je Sustav za otkrivanje upada domaćina, koji ispituje događaje na računalima u mreži, a ne da to pokušavate uočiti anomalije u mrežnom prometu, što je ono mrežni sustavi za otkrivanje upada čini. OSSEC je trenutni HIDS vođa i može se instalirati na Unix, Linux i Mac OS operativni sustavi. Iako se ne može pokretati na Windows računalima, može prihvatiti podatke s njih. OSSEC ispituje evidencije događaja radi traženja RAT aktivnosti. Ovaj je softver projekt otvorenog koda koji je u vlasništvu tvrtke za cybersecurity, Trend Micro.

Ovo je alat za prikupljanje podataka koji nema prednji korisnik vrlo jednostavan. Općenito, prednji kraj ovog sustava opskrbljuje se drugim alatima, kao što su Splunk, Kibana, ili Graylog. Motor za otkrivanje OSSEC-a temelji se na politika, koji su uvjeti upozorenja koji se mogu pojaviti u podacima. Možete nabaviti unaprijed napisane pakete pravila od drugih OSSEC korisnika koji svoje pakete besplatno stavljaju na raspolaganje na forumu OSSEC korisničke zajednice. Možete i sami napisati svoja pravila.

4. Bro

Snimka zaslona Bro

Bro je a besplatni NIDS koja se može instalirati na Unix, Linux, i Mac OS. Ovo je mrežni nadzorni sustav koji uključuje metode otkrivanja provale. IDS prikuplja paketne podatke u datoteku za kasniju analizu. NIDS-ovi koji djeluju na podacima uživo propuštaju određene identifikatore upada jer hakeri ponekad dijele RAT poruke na više paketa. Stoga, aplikacijskih slojeva NIDS, poput Broja, imaju bolje mogućnosti otkrivanja jer oni primjenjuju analizu preko paketa. Bro koristi oboje analiza na temelju potpisa i otkrivanje na temelju anomalije.

Bro Event Engine "Sluša" za pokretanje događaja, kao što je nova TCP veza ili HTTP zahtjev i bilježi ih. Skripte pravila zatim pretražite te zapisnike kako biste potražili obrasce u ponašanju, poput anomaloških i nelogičnih aktivnosti koje provodi jedan korisnički račun. Bro će pratiti HTTP, DNS i FTP aktivnost. On također okuplja SNMP obavijesti i može se koristiti za otkrivanje promjena konfiguracije uređaja i SNMP trap poruka.

5. Suricata

Snimka zaslona Suricata

Suricata je a NIDS koja se može instalirati na Windows, Linux, Mac OS, i Unix. Ovo je sustav temeljen na naknadi koja se odnosi analiza sloja aplikacije, pa će otkriti potpise koji se šire po paketima. Suricata monitori IP, TLS, TCP, i UDP aktivnost protokola i usredotočena je na ključne mrežne aplikacije, poput FTP, HTTP, ICMP, i SMB. Može i ispitati TLS potvrde i usredotočiti na HTTP zahtjeva i DNS poziva. Postoji i postrojenje za vađenje datoteka koje omogućuje analizu datoteka zaraženih virusom.

Suricata ima ugrađeni skriptni modul koji vam omogućava kombinirati pravila i dobiti precizniji profil otkrivanja. Ovaj IDS koristi i metode otkrivanja temeljene na potpisu i anomaliji. VRT pravila datoteke napisane za frka također se može uvesti u Surcata jer je ovaj IDS kompatibilan sa Snort platformom. To također znači da Snorby, BAZA, Squil, i Anaval može poslužiti kao prednji kraj Suricata. No, Suricata GUI vrlo je sofisticiran i uključuje grafički prikaz podataka, tako da možda nećete trebati drugi alat za pregled i analizu podataka.

6. Sagan

Saganova snimka zaslona

Sagan je besplatni sustav za otkrivanje upada koji se temelji na domaćinu koja se može instalirati na Unix, Linux, i Mac OS. Ne možete pokrenuti Sagan u sustavu Windows, ali možete unesite zapise o događajima u sustavu Windows. Podaci prikupljeni od frka, Suricata, ili Bro može se uvesti u Sagan, što daje alat za analizu podataka ovog uslužnog a NIDS perspektiva, kao i njezin izvorni HIDS sposobnosti. Sagan je također kompatibilan s drugim sustavima Snort tipa, kao što su Snorby, BAZA, Squil, i Anaval, što bi sve moglo pružiti početni dio za analizu podataka.

Sagan je alat za analizu zapisa i treba ga koristiti zajedno s drugim sustavima za prikupljanje podataka da bi se stvorio potpuni sustav otkrivanja provale. Uslužni program uključuje an IP lokator, tako da možete odrediti izvore sumnjivih aktivnosti do određene lokacije. Također može grupirati aktivnosti sumnjivih IP adresa radi identificiranja tima ili distribuiranih napada. Modul za analizu radi s metodologije otkrivanja potpisa i anomalije.

Sagan može automatski izvršava skripte za zaključavanje mreže kad otkrije konkretne događaje. Obavlja ove preventivne zadatke kroz interakciju sa tablicama vatrozida. Dakle, ovo je sustav za sprečavanje provale.

7. Sigurnosni luk

Snimka zaslona sigurnosnog luka

Sigurnosni luk razvijen je spajanjem koda za frka, Suricata, OSSEC, Bro, Snorby, Sguil, Squert, Kibana, ELSA, Xplico, i NetworkMiner, koji su sve projekti otvorenog koda. Ovaj alat je besplatni Linux-ov NIDS koji uključuju HIDS funkcionalnost. Napisano je da se izvodi posebno Ubuntu.

Analiza na bazi domaćina provjerava promjene datoteka i mrežnu analizu provodi snajker paketa, koji mogu prikazati podatke o prolazu na ekranu i upisati u datoteku. Motor za analizu sigurnosnog luka je kompliciran jer kombinira postupke toliko različitih alata. To uključuje praćenje stanja uređaja, kao i analizu prometa. Tamo su pravila upozorenja koja se temelje na potpisu i anomaliji uključeni u ovaj sustav. Sučelje od Kibana pruža nadzornu ploču za Security Onion, a ona uključuje grafikone i grafikone kako bi se olakšala analiza podataka.

8. POMOĆ

Snimka zaslona AIDE

AIDE znači "Napredno okruženje za otkrivanje provale." Ovo je besplatni HIDS koja teče dalje Mac OS, Unix, i Linux. Ovaj IDS se usredotočuje na otkrivanje rootkita i usporedba potpisa datoteka. Modul za prikupljanje podataka popunjava se baza karakteristika koje su preuzete iz datoteka dnevnika. Ova baza podataka je snimak statusa sustava i sve promjene u konfiguraciji uređaja upozorenja. Te promjene mogu se otkazati pozivanjem na bazu podataka ili se baza podataka može ažurirati kako bi odražavala ovlaštene promjene konfiguracije.

Provjere sustava provode se na zahtjev i ne kontinuirano, ali može se zakazati kao kronski posao. Baza AIDE koristi pravila kako metode praćenja na temelju potpisa, tako i anomalije.

9. OpenWIPS-NG

Snimka zaslona OpenWIPS-NG

OpenWIPS-NG dolazi od programera tvrtke Aircrack-NG. U stvari, ona integrira Aircrack-NG kao svoj bežični paket njuškalo. Aircrack-NG je dobro poznati hakerski alat, pa će vas ova povezanost možda učiniti malo opreznim. WIPS znači "Bežični sustav za prevenciju provale"I to radi na Linuxu. Ovo je besplatni uslužni program koji uključuje tri elementa:

  • Senzor - paketni njuškalo
  • Server - baza podataka za pohranu i analizu podataka
  • Sučelje - prednji kraj okrenut prema korisniku.

Senzor je također odašiljač, pa može provoditi akcije sprječavanja provale i osakati neželjene prijenose. poslužitelj vrši analizu a pokreće i interventna pravila za blokiranje otkrivenih upada. modul sučelja prikazuje događaje i upozorenja administratoru sustava. To je također mjesto gdje se postavke mogu prilagoditi i obrambene akcije se mogu prilagoditi ili poništiti.

10. Samhain

Snimka zaslona Samhain

Samhain, proizveden od strane tvrtke Samhain Design Labs u Njemačkoj, je besplatni sustav za otkrivanje upada koji se temelji na domaćinu koja se instalira na Unix, Linux, i Mac OS. Koristi agente koji rade na različitim točkama mreže i koji se vraćaju u središnji modul za analizu. Svaki agent nastupa provjera integriteta datoteke, nadzor datoteke datoteka, i praćenje luka. Procesi traže rootkit virusi, razbojnički SUID-ovi (korisnička prava pristupa) i skriveni procesi.

Mrežna komunikacija između agenata i konzole je zaštićeno enkripcijom. Veze za isporuku podataka datoteka dnevnika uključuju zahtjeve za provjeru autentičnosti, koji sprječavaju uljeze da otmu ili zamijene postupak praćenja.

Samhain će istaknuti znake upozorenja za upad, ali nema nikakvih postupaka rješavanja. Trebat ćete zadržati sigurnosne kopije vaših konfiguracijskih datoteka i identiteta korisnika kako biste poduzeli mjere za rješavanje problema koje otkriva Samhain monitor. Samhain svoje procese skriva skrivenom tehnologijom, zvani "steganography"Kako bi se spriječilo uljeze da manipuliraju ili ubiju IDS. Datoteke centralnog dnevnika i sigurnosne kopije konfiguracije potpisuju se PGP ključem kako bi se spriječilo neovlašteno diranje uljeza.

11. Fail2Ban

Snimka zaslona Fail2ban

Fail2Ban je besplatni sustav za sprečavanje provale u kućanstvo koja teče dalje Unix, Linux, i Mac OS X. IDS analizira datoteke dnevnika i izriče zabrane na IP adresama koje prikazuju sumnjivo ponašanje. Automatska zaključavanja događaju se u Netfilter / IPtables ili PF firewall pravilima i host.deny tablici TCP Wrapper-a. Ti blokovi obično traju samo nekoliko minuta, ali To može biti dovoljno za ometanje standardnog scenarija automatskog kreiranja zaporki. Situacije upozorenja uključuju prekomjerne neuspjele pokušaje prijave. Problem s Fail2Ban je taj što se usredotočuje na opetovane radnje s jedne adrese. To mu ne daje mogućnost da se nosi s distribuiranim kampanjama za uklanjanje lozinki ili DDoS napadima.

Opseg nadzora sustava definiran je nizom „filteri."Ovi upućuju IPS-a na koje usluge treba nadzirati. Oni uključuju Postfix, Apache, kurirski poslužitelj pošte, Lighttpd, sshd, vsftpd i qmail. Svaki se filtar kombinira s radnjom koja se izvodi u slučaju otkrivanja stanja upozorenja. Kombinacija filtra i radnje naziva se "zatvor.”

RAT programi i primjeri

Postoji nekoliko sustava za udaljeni pristup koji bi mogli imati zakonite aplikacije, ali poznati su kao alati koji to jesu uglavnom ga koriste hakeri kao dio trojanskog oružja; ovi su kategorizirani kao Trojani s udaljenim pristupom. Detalji najpoznatijih RAT-ova objašnjeni su u nastavku.

Natrag otvor

Back Orifice, koji se također naziva BO je američki RAT to je otprilike od 1998. Ovo je djed RAT-a i takav je ostale su hakerske skupine oplemenjene i prilagođene za proizvodnju novijih RAT sustava. Izvorni sustav iskoristio je slabost u sustavu Windows 98. Kasnije su bile verzije koje su se izvodile na novijim Windows operativnim sustavima Natrag otvori 2000 i Otvor dubokog leđa.

Ovaj se RAT može sakriti unutar operativnog sustava, što ga u početku otežava otkrivanje. Međutim, danas, većina antivirusnih sustava ima izvršne datoteke Back Orifice i ponašanje okluzije zapisane u svojim bazama podataka kao potpise na koje treba paziti. Lijepa osobina ovog softvera je da ga ima jednostavna konzola za korištenje koje uljez može koristiti za navigaciju oko zaraženog sustava. Daljinski element može se prebaciti na ciljno računalo putem trojanca. Jednom instaliran, ovaj poslužiteljski program komunicira s konzolom klijenta koristeći standardne mrežne postupke. Zna se da se za stražnji otvor nalazi broj priključka 21337.

Zvijer

Beast RAT napada Windows sustave od Windowsa 95 do Windowsa 10. Ovo koristi istu arhitekturu klijent-poslužitelj koja je Back Orifice pionirala tako da je dio poslužitelja sustav bio zlonamjerni softver koji se nenamjerno instalira na ciljno računalo. Nakon što poslužiteljski element operira, haker može pristupiti računalu žrtve prema volji putem klijentskog programa. Klijent se povezuje s ciljanim računalom na broju porta 6666. Poslužitelj je također u mogućnosti otvoriti veze natrag do klijenta i koristi broj priključka 9999.  Zvijer je napisana 2002. godine i još uvijek je široko korištena.

Bifrost

Ovaj trojanac započinje svoju infekciju instalacijom programa za izgradnju poslužitelja. U početku, ovaj program samo uspostavlja kontakt s naredbom za upravljanje i kontrolu i čeka upute. Trojanac zarazi Windows sustave s Windows 95 na Windows 10. Međutim, njegove su mogućnosti smanjene na Windows verzijama XP i novijim verzijama.

Nakon što se pokrene, graditelj poslužitelja će postaviti program poslužitelja na ciljno računalo. To omogućuje hakeru pomoću odgovarajućeg klijentskog programa za pristup zaraženom računalu i izvršavanje naredbi po volji. Softver za poslužitelj je pohranjen u C: \ Windows \ Bifrost \ server.exe ili C: \ Programske datoteke \ Bifrost \ server.exe. Taj direktorij i datoteka su skriveni i tako neki antivirusni sustavi ne mogu otkriti Bifrost.

Graditelj poslužitelja ne završava svoje operacije nakon što je server kreiran. Umjesto toga, djeluje kao sustav trajnosti te će ponovno stvoriti poslužitelj na drugom mjestu i s drugim nazivom ako je izvorna instalacija poslužitelja uočena i uklonjena. Alat za izgradnju poslužitelja također koristi metode rootkita kako bi maskirali procese poslužitelja a operativni sustav provale vrlo je teško otkriti.

Od Windows Vista, sve su destruktivne mogućnosti Bifrosta usporene jer mnoge usluge koje koristi zlonamjerni softver zahtijevaju sistemske povlastice. Međutim, ako se korisnik prevari u instaliranju prikrivenog graditelja poslužitelja s povlasticama sustava, sustav Bifrost može postati potpuno operativan i vrlo ga je teško ukloniti.

Povezano: Najbolji programi za uklanjanje, otkrivanje i skeniranje rootkita

Blackshades

Blackshades je izvanbračni alat za hakiranje koji je bio prodali su hakeri njegovi programeri za 40 dolara pop. FBI je procijenio da su njegovi proizvođači zaradili ukupno 340.000 dolara prodajući ovaj softver. Programeri su zatvoreni i uhićeni 2012. godine, a drugi val hapšenja 2014. priveo je više od 100 korisnika Blackshadesa. Ipak, još uvijek postoje primjerci sustava Crnokošci u prometu i još uvijek je u aktivnoj uporabi. Čarape ciljaju Microsoft Windows s Windows 95 na Windows 10.

Alat uključuje metode zaraze, poput zlonamjernog koda koji se ugrađuje u web stranice koje pokreću instalacijske rutine. Ostali elementi šire RAT slanjem veza do zaraženih web stranica. Oni su poslani na kontakti na društvenim mrežama zaraženih korisnika.

Zlonamjerni softver omogućuje hakeriju pristup datotečnom sustavu ciljnog računala i preuzimanje i izvršavanje datoteka. Upotreba programa uključuje bonetne funkcije koje ciljano računalo dobivaju na napadima uskraćivanja usluga. Zaraženo računalo može se koristiti i kao proxy poslužitelj za usmjeravanje hakerskog prometa i osigurajte identitet za druge hakerske aktivnosti.

Paket Blackshades alata vrlo je jednostavan za uporabu i omogućuje onima koji nemaju tehničke vještine da postanu hakeri. Sustav se također može koristiti za stvaranje napada ransomwarea. Drugi program zatamnjenja koji se prodaje zajedno s crnim senkama čuva program skriven, omogućava mu ponovno pokretanje nakon što bude ubijen i izbjegava otkrivanje antivirusnim softverom.

Među napadima i događajima koji su pronađeni u Crnim kolima su i kampanja poremećaja 2012. godine koja je ciljala sirijske oporbene snage.

Pogledajte također: Statistike i činjenice Ransomwarea za period 2017-2018

Priručnik za uklanjanje Ransomwarea: Suočavanje sa uobičajenim sojevima ransomwarea

DarkComet

Francuski haker Jean-Pierre Lesueur razvio je DarkComet 2008. godine, ali sustav se nije stvarno proširio do 2012. Ovo je još jedan hakerski sustav koji cilja Windows operativni sustav od Windowsa 95 do Windowsa 10. Ima vrlo jednostavno sučelje i omogućuje onima koji nemaju tehničke vještine da izvrše hakerske napade.

Softver omogućava špijuniranje putem proveravanja ključeva, snimanje zaslona i žetva lozinke. Nadzorni haker također može upravljati funkcijama napajanja udaljenog računala, omogućujući daljinsko uključivanje ili isključivanje računala. Mrežne funkcije zaraženog računala mogu se koristiti i za korištenje kao računalo proxy poslužitelj za kanaliziranje prometa i maskiranje identiteta hakera tijekom racija na druga računala.

DarkComet pripao je pozornosti zajednice cyber-sigurnosti 2012. godine kada je to otkrio afrička hakerska postrojba koristila je sustav za ciljanje američke vlade i vojske. U isto vrijeme, DarkComet napadi podrijetlom iz Afrike pokrenuti su protiv internetskih igara.

Lesueur je odustao od projekta 2014. godine kad je otkriveno da je DarkComet sirijska vlada koristila za špijuniranje svojih građana. Općenito se stanovništvo koristilo upotrebom VPN-ova i sigurnim aplikacijama za chat da bi se blokirao nadzor države, pa su značajke špijunskog softvera DarkComet omogućio sirijskoj vladi da zaobiđe te mjere sigurnosti.

Fatamorgana

Mirage je ključni RAT koji koristi kineska hakerska skupina sponzorirana od države pod nazivom APT15. Nakon vrlo aktivne špijunske kampanje od 2009. do 2015., APT15 je iznenada utihnuo. Sam Mirage grupa je koristila od 2012. Otkrivanje varijante Mirage u 2018. značilo je da se skupina vratila u akciju. Ovaj novi RAT, poznat kao MirageFox korišten je za špijuniranje britanskih državnih izvođača, a otkriven je u ožujku 2018. Mirage i MirageFox djeluju kao agenti na zaraženom računalu. Trojanski dio upadnog paketa pokaže naredbu i kontrolu adresu za upute. Te se upute zatim implementiraju na računalo žrtve.

Izvorni Mirage RAT korišten je za napade na naftna kompanija na Filipinima, tajvanska vojska, kanadska energetska tvrtka, i druge ciljeve u Brazilu, Izraelu, Nigeriji i Egiptu. Mirage i MirageFox prolaze kroz ciljne sustave kopanje s krađama kampanje. Obično su usmjereni na rukovoditelje tvrtke žrtve. Trojanski program isporučuje se ugrađen u PDF. Otvaranje PDF-a uzrokuje izvršavanje skripti i oni instaliraju RAT. Prva akcija RAT-a je da se izvijesti o zapovjednom i upravljačkom sustavu revizijom sposobnosti zaraženih sustava. Ti podaci uključuju brzinu CPU-a, kapacitet i iskorištenost memorije, naziv sustava i korisničko ime.

Početno izvješće o sustavu čini se kao da su Mirage dizajneri napravili RAT kako bi ukrali sistemske resurse, a ne pristupili podacima na ciljnom sustavu. Nema tipičnog napada Miragea jer se čini da je svaki upad prilagođen određenim ciljevima. Instalacija RAT-a može se predvidjeti kampanjom utvrđivanja činjenica i provjerama sustava. Na primjer, napad 2018. na britanski vojni ugovarač NCC stekli pristup sustavu putem ovlaštenog VPN servisa tvrtke.

Činjenica da je svaki napad visoko ciljan znači to veliki trošak snosi zaraza Mirageom. To pokazuje visoki trošak Napadi od mržnje obično imaju samo ciljeve visoke vrijednosti koje kineska vlada želi potkopati ili iz kojih krasti tehnologiju.

Trojanske prijetnje s udaljenim pristupom

Iako Čini se da je mnogo RAT aktivnosti usmjereno od vlade, postojanje RAT-ovih alata čini upada u mrežu zadatak koji svatko može izvesti. Dakle, RAT i APT aktivnosti neće biti ograničene na napade na vojsku ili visoke tehnologije.

RAT-ovi se kombiniraju s drugim zlonamjernim softverom da se drže skrivenima, što znači da instaliranje antivirusnog softvera na računala nije dovoljno da hakeri spriječe kontrolu nad vašim sustavom ovim metodama. Istraga sustavi za otkrivanje upada kako bi porazili ovu hakersku strategiju.

Jeste li doživjeli upad u mrežu koji je rezultirao oštećenjem ili gubitkom podataka? Jeste li implementirali strategiju za sprečavanje provale da biste spriječili problem RAT-a? Ostavite poruku u odjeljku Komentari u nastavku kako biste podijelili svoja iskustva.

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me

About the author

Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.

Leave a Reply

Your email address will not be published. Required fields are marked *

+ 49 = 51