10 кращих інструментів виявлення програмного забезпечення RAT – плюс остаточне керівництво із прикладами

Що таке троянин віддаленого доступу або RAT


А Троянин віддаленого доступу (RAT) це тип зловмисного програмного забезпечення, яке дозволяє хакеру взяти під контроль свій комп’ютер. Шпигунські дії, які хакер може здійснювати після встановлення RAT, залежать від вивчення вашої файлової системи, перегляд діяльності на екрані, і збирання облікових даних для входу.

Хакер також може використовувати вашу Інтернет-адресу як фронт для незаконних дій, видавання себе за себе та нападу на інші комп’ютери. Віруси, завантажені через RAT, будуть заражати інші комп’ютери, а також завдавати шкоди вашій системі шляхом стирання або шифрування необхідного програмного забезпечення.

Ми детально розбираємося про кожен із інструментів виявлення вторгнень та прикладів RAT нижче, але якщо у вас ще немає часу, щоб прочитати цілий твір, ось наш список найкращих засобів виявлення вторгнень для програмного забезпечення RAT:

  1. Менеджер подій SolarWinds Security (БЕЗКОШТОВНА ПРОБЛЕМА) виходить за межі виявлення RAT з автоматизованими завданнями виправлення, які допомагають блокувати діяльність RAT
  2. Хрип Захист галузі в СНІД вперше запущений Cisco
  3. OSSEC HIDS з відкритим кодом отримує наступні можливості для збору даних
  4. Брат безкоштовні NIDS для Unix, Linux та Mac OS
  5. Суріката контролює активність протоколів IP, TLS, TCP та UDP
  6. Саган Не є окремим IDS, добре для автоматизації сценаріїв
  7. Цибуля безпеки об’єднання з відкритим кодом інших інструментів з відкритим кодом у цьому списку
  8. ПОМОЩНИК спеціалізується на виявленні руткітів та порівнянні підписів файлів
  9. OpenWIPS-NG кращим для нюхання бездротових пакетів
  10. Самхайн чудово підходить для налаштування сповіщень, але реальних можливостей усунення несправностей немає

Засоби програмного забезпечення RAT та APT

RAT – це інструменти, які зазвичай використовуються при ненависній хакерській атаці, яку називають an Прогресивна наполеглива загроза, або APT. Цей тип вторгнення не зосереджений на пошкодженні інформації або швидкому заході комп’ютерів на дані. Натомість, APT складаються з регулярних відвідувань вашої мережі, які можуть тривати протягом багатьох років. RAT також можна використовувати для перенаправлення трафіку через мережу вашої компанії, щоб замаскувати незаконні дії. Деякі хакерські групи, переважно в Китаї, навіть створили хакерська мережа що проходить через корпоративні мережі світу, і вони надають доступ до цього шосе кіберзлочинності іншим хакерам. Це називається “теракотова VPN“, І це сприяє RATs.

Ранні інвазії

RATs спокійно існують вже більше десяти років. Було виявлено, що ця технологія зіграла свою роль у великому розкраданні американських технологій китайськими хакерами ще в 2003 році. Пентагон розпочав розслідування, яке називалося Титан дощ, яка виявила крадіжку даних у військових підрядників США, а розроблені та класифіковані дані тестування перенесли в місця розташування в Китаї.

Ви можете згадати відключення електромережі США на Східному узбережжі 2003 та 2008 років. Вони також простежуються до Китаю, а також їм сприяли RAT. Коротше кажучи, хакер, який може отримати RAT на систему, може активувати все програмне забезпечення, яке користувачі цих комп’ютерів мають у своєму розпорядженні.

Гібридна війна

Хакер з RAT може командувати електростанціями, телефонними мережами, ядерними установками або газопроводами. RAT не лише становлять ризик для корпоративного забезпечення, але вони також можуть дати змогу воюючим країнам калічити ворожу країну.

Початковими користувачами RAT для промислового шпигунства та диверсій були китайські хакери. За роки, Росія оцінила силу RAT і інтегрував їх у свій військовий арсенал. APT зараз офіційно є частиною російської стратегії правопорушень, яка називається “гібридна війна.”

Коли Росія захопила територію від Грузії у 2008 році, вона застосовувала DDoS-атаки для блокування інтернет-сервісів та APT, використовуючи RAT для збору розвідки, контролю та зриву грузинської військової апаратури та основних служб. Використання Росією RAT для дестабілізації України та країн Балтії продовжується і сьогодні.

У Росії є напівофіційні хакерські групи, наприклад APT28. Ще одна хакерська група, відома як APT15 регулярно використовується урядом Китаю. Назви цих груп пояснюють їхню основну стратегію, «прогресивну стійку загрозу», яку сприяють RAT.

Зростання напруги в торговельних тарифах у 2018 році спричинило новий поштовх у китайській хакерській діяльності, особливо напіввійськовій групі APT15. Неприємності між США та Північною Кореєю, які тривають з 2015 року, також спричинили зростання активності APT, що підтримується RAT, що походить із Північної Кореї.

Отже, поки хакери по всьому світу використовують RAT, щоб шпигувати за компаніями і вкрасти їхні дані та гроші, проблема RAT тепер стала проблемою національної безпеки для багатьох країн, особливо США. Нижче ми включили кілька прикладів інструментів RAT.

Захист від програмного забезпечення троянських програм віддаленого доступу

Антивірусні системи не дуже добре проти RAT. Часто зараження комп’ютера чи мережі залишається непоміченим роками. Методи обфускування, які використовуються паралельними програмами для маскування процедур RAT, дуже важко їх помітити. Модулі стійкості, які використовують методи руткіта, означають, що RAT дуже важко позбутися. Іноді єдине рішення позбавити комп’ютер від RAT – це стерти все програмне забезпечення та перевстановити операційну систему.

Системи запобігання RAT є рідкісними, оскільки програмне забезпечення RAT можна ідентифікувати лише після його роботи у вашій системі. Найкращий спосіб управління проблемою RAT – це використовувати систему виявлення вторгнень. Comparitech має керівництво по системах виявлення вторгнень, яке дає повне пояснення про те, як ці системи працюють, і про необхідність використання цього інструменту..

Найкращі засоби виявлення програмного забезпечення RAT

Тут ми розглядаємо найкращі засоби виявлення програмного забезпечення RAT:

1. SolarWinds Security Event Manager (БЕЗКОШТОВНА ПРОБЛЕМА)

Журнал і менеджер подій Solarwinds

Системи виявлення вторгнень є важливими інструментами для блокування вторгнення в програмне забезпечення, яке може уникнути виявлення антивірусними та брандмауерами. The Менеджер подій SolarWinds Security це система виявлення вторгнень на основі хоста. Однак є розділ інструменту, який працює як мережева система виявлення вторгнень. Це аналізатор журналу Snort. Ви можете прочитати більше про Snort нижче, проте тут вам слід знати, що це широко використовуваний сніффер для пакетів. Використовуючи Snort як збирач даних для подачі в аналізатор журналу Snort, ви отримуєте як прямий, так і історичний аналіз даних з менеджера подій безпеки.

Ця подвійна можливість надає вам повний сервіс інформації про безпеку та управління подіями (SIEM). Це означає, що ви можете дивитися події, захоплені Snort в прямому ефірі, а також перевіряти міжпредметні підписи про вторгнення, ідентифіковані через записи файлів журналу.

Менеджер подій безпеки виходить за рамки виявлення RAT, оскільки включає автоматизовані завдання з виправлення, які допомагають блокувати діяльність RAT. Інструмент відповідає цілому ряду стандартів безпеки даних, у тому числі PCI DSS, HIPAA, SOX, і ДИСА STIG.

Менеджер подій SolarWinds Security Event може бути встановлений на Windows Server. Утиліта не вільна у використанні, але ви можете отримати її на 30-денна безкоштовна пробна версія.

SolarWinds Security Event ManagerЗавантажте 30-денну безкоштовну пробну версію

2. Хрип

Скріншот скріншота

Snort є безкоштовним у використанні, і він є лідером галузі СНІД, що є Мережева система виявлення вторгнень. Цю систему створив Cisco Systems і його можна встановити на Windows, Linux, і Unix. Snort може реалізовувати оборонні стратегії, завдяки чому це є система запобігання вторгнень. У ньому є три варіанти режиму:

  • Режим Sniffer – снайпер живого пакета
  • Журнал пакетів – записує пакети у файл
  • Виявлення вторгнень – включає модуль аналізу

Застосовується режим IDS Snort “базові політики“До даних. Це правила попередження, які забезпечують виявлення вторгнень. Політику можна безкоштовно придбати на веб-сайті Snort, отриманий з спільноти користувачів, або ви можете написати своє. До підозрілих подій, які Снорт може висвітлити, належать скритт-сканування портів, атаки переповнення буфера, CGI-атаки, Зонди SMB, і Відбитки пальців ОС. Хмукання здатна і на обидва методи виявлення на основі підписів і системи на основі аномалії.

Передній край Snort не дуже хороший, і більшість користувачів інтерфейсують дані від Snort до кращих консолей та інструментів аналізу, таких як  Підводне плавання, БАЗА, Скріп, і Анавал.

3. OSSEC

Скріншот OSSEC

OSSEC розшифровується як HIDS Security з відкритим кодом. А HIDS є Система виявлення вторгнень в дію, котрий вивчає події на комп’ютерах в мережі, а не намагатися виявити аномалії в мережевому трафіку, що є що мережеві системи виявлення вторгнень робити. OSSEC – це поточний лідер HIDS, і його можна встановити на Unix, Linux і Mac OS операційні системи. Хоча він не може працювати на комп’ютерах Windows, він може приймати дані від них. OSSEC вивчає журнали подій для пошуку RAT-діяльності. Це програмне забезпечення є проектом з відкритим кодом, який належить фірмі з кібербезпеки, Trend Micro.

Це інструмент збору даних, який не має дуже зручного переднього користувача. Як правило, передня частина цієї системи постачається іншими інструментами, такими як Сплин, Кібана, або Graylog. Основа двигуна виявлення OSSEC політики, які є умовами попередження, які можуть виникнути в даних. Ви можете придбати заздалегідь написані пакети політик від інших користувачів OSSEC які безкоштовно надають свої пакети на форумі спільноти користувачів OSSEC. Ви також можете писати власну політику.

4. Брат

Екран Бро

Бро – а безкоштовні СНІД які можна встановити на Unix, Linux, і Mac OS. Це система моніторингу мережі, яка включає методи виявлення вторгнень. IDS збирає пакетні дані у файл для подальшого аналізу. NIDS, які працюють на прямих даних, пропускають певні ідентифікатори вторгнення, оскільки хакери іноді розділяють повідомлення RAT на декілька пакетів. Тому, додаткові шари NIDS, такі як Bro, мають кращі можливості виявлення тому що вони застосовують аналіз у пакетах. Бро використовує обидва аналіз на основі підпису і виявлення на основі аномалії.

The Bro Engine Engine “Слухає” для запуску подій, таких як нове TCP-з’єднання або HTTP-запит, і записує їх у журнал. Сценарії політики потім перегляньте ці журнали, щоб шукати шаблони в поведінці, наприклад, аномальну та нелогічну діяльність, яку виконує один обліковий запис користувача. Bro відстежує активність HTTP, DNS та FTP. Він також збирає сповіщення SNMP і може використовуватися для виявлення змін конфігурації пристрою та повідомлень SNMP Trap.

5. Суріката

Скриншот Суріката

Суріката є СНІД які можна встановити на Windows, Linux, Mac OS, і Unix. Це є система платних платежів що стосується аналіз рівня додатків, тому він буде виявляти підписи, які розповсюджуються по пакетах. Сурікататні монітори IP, TLS, TCP, і UDP протокольна діяльність та зосереджена на ключових мережних додатках, таких як FTP, HTTP, ICMP, і SMB. Він також може оглянути TLS сертифікати і зосередитися на HTTP запити та DNS дзвінки. Існує також програма вилучення файлів, яка дозволяє проаналізувати файли, заражені вірусом.

У Suricata є вбудований сценарійний модуль, який дозволяє вам поєднати правила і отримати більш точний профіль виявлення. Цей IDS використовує як методи виявлення на основі підписів, так і аномалії. VRT правила файлів, написаних для Хрип також можна імпортувати в Surcata, оскільки ця IDS сумісна з платформою Snort. Це також означає, що Підводне плавання, БАЗА, Скріп, і Анавал може служити передніми торцями до Suricata. Однак графічний інтерфейс Suricata дуже складний і включає графічні зображення даних, тому вам може не знадобитися використовувати будь-який інший інструмент для перегляду та аналізу даних.

6. Саган

Скріншот Сагана

Саган є безкоштовна система виявлення вторгнень на основі хоста які можна встановити на Unix, Linux, і Mac OS. Ви не можете запустити Sagan в Windows, але можете подати в нього журнали подій Windows. Дані, зібрані користувачем Хрип, Суріката, або Брат можна імпортувати в Sagan, що дає інструмент аналізу даних цієї утиліти a СНІД перспектива, а також її рідна HIDS можливостей. Sagan також сумісний з іншими системами типу Snort, такими як Підводне плавання, БАЗА, Скріп, і Анавал, що могло б забезпечити передумови для аналізу даних.

Саган є інструмент аналізу журналів і його потрібно використовувати спільно з іншими системами збору даних для створення повноцінної системи виявлення вторгнень. Утиліта включає в себе IP-локатор, тож можна простежити джерела підозрілих дій до місця. Він також може об’єднати діяльність підозрілих IP-адрес для виявлення команди чи розподілених атак. Модуль аналізу працює з як методології виявлення підпису, так і аномалії.

Саган може автоматично виконувати сценарії для блокування мережі коли він виявляє конкретні події. Він виконує ці завдання профілактики через взаємодію з таблицями брандмауера. Отже, це система запобігання вторгнень.

7. Цибуля безпеки

Скріншот цибулі безпеки

Безпека цибулі була розроблена шляхом з’єднання коду для Хрип, Суріката, OSSEC, Брат, Підводне плавання, Пагін, Скверт, Кібана, ELSA, Xplico, і NetworkMiner, які всі проекти з відкритим кодом. Цей інструмент є безкоштовні ОСНД на базі Linux які включають HIDS функціональність. Це було написано спеціально для роботи Ubuntu.

Аналіз на основі хостів перевіряє зміни файлів та Мережевий аналіз проводиться за допомогою сніфера пакетів, який може відображати дані, що передаються на екрані, а також записувати у файл. Двигун аналізу Security Onion є складним, оскільки він поєднує в собі процедури безлічі різних інструментів. Він включає моніторинг стану пристрою, а також аналіз трафіку. Існує правила сповіщення на основі підписів та аномалії включені в цю систему. Інтерфейс Кібана надає інформаційну панель для безпеки Onion і включає графіки та діаграми для полегшення аналізу даних.

8. ДОПОМОГА

Скріншот AIDE

AIDE означає “Розширене середовище виявлення вторгнень.” Це є безкоштовний HIDS що працює далі Mac OS, Unix, і Linux. Цей IDS зосереджений на виявлення руткітів і порівняння підписів файлів. Модуль збору даних заповнюється база даних характеристик які зібрані з файлів журналів. Ця база даних є знімком стану системи та будь-які зміни в конфігурації пристрою. Ці зміни можна скасувати за допомогою посилання на базу даних або базу даних можна оновити, щоб відобразити дозволені зміни конфігурації.

Перевірка системи проводиться на вимогу і не постійно, але це може бути заплановано як хронічна робота. База правил AIDE використовує як методи моніторингу на основі підписів, так і аномалії.

9. OpenWIPS-NG

Скріншот OpenWIPS-NG

OpenWIPS-NG надходить від розробників компанії Повітряний удар-НГ. Насправді вона інтегрує Aircrack-NG як свою бездротовий пакет sniffer. Aircrack-NG – відомий хакерський інструмент, тому ця асоціація може змусити вас трохи насторожитися. WIPS означає «Бездротова система запобігання вторгнень” і це працює на Linux. Це є безкоштовна утиліта що включає три елементи:

  • Датчик – пакетний нюх
  • Сервер – база даних зберігання та аналізу даних
  • Інтерфейс – передній кінець, орієнтований на користувача.

Датчик також є передавач, тож може здійснювати заходи щодо запобігання вторгненням і калічити небажані передачі. The сервер виконує аналіз а також запускає політику втручання для блокування виявлених вторгнень. The модуль інтерфейсу відображає події та оповіщення системному адміністратору. Тут також можна налаштувати налаштування, а захисні дії можна налаштувати або змінити.

10. Самхайн

Скріншот Samhain

Samhain, що випускається фірмою Samhain Design Labs у Німеччині, є безкоштовна система виявлення вторгнень на основі хоста що встановлюється на Unix, Linux, і Mac OS. Він використовує агенти, що працюють у різних точках мережі, які повідомляють про центральний модуль аналізу. Кожен агент виконує перевірка цілісності файлів, моніторинг файлів журналу, і моніторинг порту. Процеси шукають віруси rootkit, ізгої SUIDs (права доступу користувачів) та приховані процеси.

Мережевий зв’язок між агентами та консоллю є захищені шифруванням. З’єднання для доставки даних файлів журналу включають вимоги аутентифікації, які запобігти зловмисникам викрадення або заміни процесу моніторингу.

Самхейн виділить попереджувальні знаки вторгнення, але у нього немає жодних процесів вирішення. Вам потрібно буде зберегти резервні копії файлів конфігурації та особистих даних, щоб вжити заходів для вирішення проблем, виявлених на моніторі Samhain. Samhain зберігає свої процеси, приховані технологією стелс, називається “стеганографія“, Щоб запобігти зловмисникам маніпулювати або вбивати IDS. Файли центрального журналу та резервні копії конфігурації підписуються ключем PGP щоб запобігти підробці зловмисників.

11. Fail2Ban

Скріншот Fail2ban

Fail2Ban є безкоштовною системою запобігання вторгнень на основі хоста що працює далі Unix, Linux, і Mac OS X. IDS аналізує файли журналів та накладає заборони на IP-адреси, які відображають підозрілу поведінку. Автоматичне блокування відбувається в Netfilter / IPtables або правилах брандмауера PF та таблиці hosts.deny TCP Wrapper. Зазвичай ці блоки тривають лише кілька хвилин, але Цього може бути достатньо для порушення стандартного сценарію автоматичного злому паролів. Ситуації сповіщення включають надмірні невдалі спроби входу. Проблема з Fail2Ban полягає в тому, що він фокусується на повторних діях з однієї адреси. Це не дає йому можливості впоратися з розповсюдженими кампаніями злому паролів або DDoS-атаками.

Область моніторингу системи визначається серією “фільтри.”Вони вказують IPS, на яких службах слідкувати. До них відносяться Postfix, Apache, Courier Mail Server, Lighttpd, sshd, vsftpd та qmail. Кожен фільтр поєднується з дією, яку потрібно виконати у разі виявлення стану попередження. Поєднання фільтра та дії називається “в’язниця.”

Програми та приклади RAT

Існує ряд систем віддаленого доступу, які можуть мати законні програми, але добре відомі як такі інструменти в основному хакери використовуються як частина троянця; ці класифікуються як трояни віддаленого доступу. Деталі найвідоміших RAT пояснюються нижче.

Задній отвір

Заднє отвір, яке також називають BO RAT американського виробництва це вже з 1998 року. Це онук RAT і був вдосконалені та адаптовані іншими групами хакерів для створення новіших RAT-систем. Оригінальна система використовувала слабкість у Windows 98. Пізніші версії, які працювали на новіших операційних системах Windows, були Задній отвір 2000 і Глибоке заднє отвір.

Ця RAT здатна ховатися в операційній системі, що спочатку ускладнює її виявлення. Однак нині, Більшість антивірусних систем мають у своїх базах даних виконувані файли Back Orifice та поведінку оклюзії як підписи, на які слід дивитися. Приємною особливістю цього програмного забезпечення є те, що воно має проста у користуванні консоль який зловмисник може використовувати для навігації по зараженій системі. Віддалений елемент можна перенести на цільовий комп’ютер через троян. Після встановлення ця серверна програма зв’язується з консоллю клієнта за допомогою стандартних мережевих процедур. Зворотний отвір Orifice, як відомо, використовує номер порту 21337.

Звір

The Beast RAT атакує системи Windows від Windows 95 до Windows 10. При цьому використовується та ж архітектура клієнт-сервер, що Back Orifice вперше вперше в тому, що серверна частина системи – це зловмисне програмне забезпечення, яке інстальовано на цільовому комп’ютері. Після того, як серверний елемент працює, хакер може за власним бажанням отримати доступ до комп’ютера жертви через клієнтську програму. Клієнт підключається до цільового комп’ютера за номером порту 6666. Сервер також може відкривати з’єднання назад до клієнта і використовує номер порту 9999.  Звір був написаний у 2002 році і досі широко використовується.

Біфроз

Цей троян починає зараження з встановлення програми для створення сервера. Спочатку ця програма просто контактує з сервером Command and Control і чекає вказівок. Троян заражає системи Windows від Windows 95 до Windows 10. Однак його можливості знижуються для версій Windows XP та новіших версій.

Після його запуску виробник сервера встановить серверну програму на цільовому комп’ютері. Це дозволяє хакеру за допомогою відповідної клієнтської програми отримати доступ до зараженого комп’ютера та виконувати команди за бажанням. Програмне забезпечення сервера зберігається в C: \ Windows \ Bifrost \ server.exe або C: \ Файли програм \ Bifrost \ server.exe. Цей каталог і файл приховані і так деякі антивірусні системи не вдається виявити Bifrost.

Конструктор сервера не закінчує своїх операцій після створення сервера. Натомість він працює як система стійкості і відновить сервер в іншому місці та з іншим ім’ям, якщо оригінальна установка сервера буде помічена та видалена. Сервер-конструктор також використовує методи руткітів для маскування серверних процесів і зробити операційну систему вторгнення дуже важкою для виявлення.

Починаючи з Windows Vista, всі руйнівні можливості Bifrost були уповільнені, оскільки для багатьох служб, якими використовується зловмисне програмне забезпечення, потрібні системні привілеї. Однак, якщо користувач має намір встановити замаскований конструктор сервера із системними привілеями, система Bifrost може набути повноцінного функціонування і її буде дуже важко видалити.

Пов’язане: Найкращі безкоштовні програми видалення, виявлення та сканування

Коси

Чорні тіні – це несанкціонований хакерський інструмент, який був проданий хакерам його розробниками за 40 доларів за поп. ФБР підрахувало, що його виробники заробляли в цілому 340 000 доларів, продаючи це програмне забезпечення. Розробників було закрито та заарештовано у 2012 році, а друга хвиля арештів у 2014 році захопила понад 100 користувачів Blackckshades. Однак досі в обігу залишаються копії системи «Чорношкірі», і вона все ще знаходиться в активному використанні. Коси націлені на Microsoft Windows від Windows 95 до Windows 10.

Інструментарій включає в себе методи зараження, такі як шкідливий код для вбудовування на веб-сайти, які запускають інсталяційні процедури. Інші елементи поширюють RAT, надсилаючи посилання на заражені веб-сторінки. Вони надсилаються до контакти соціальних медіа зараженого користувача.

Зловмисне програмне забезпечення дозволяє хакеру отримати доступ до файлової системи цільового комп’ютера та завантажити та виконати файли. Використання програми включає функції ботнету, які змушують цільовий комп’ютер запускати атаки відмови в обслуговуванні. Заражений комп’ютер також може бути використаний як проксі-сервер для маршрутизації хакерського трафіку та забезпечити прикриття особистих даних для інших хакерських дій.

Набір інструментів Blackshades дуже простий у використанні і дозволяє тим, кому не вистачає технічних навичок, стати хакерами. Система також може бути використана для створення атак викупних програм. Друга програма обфускування, що продається разом із Blackshades, зберігає програму прихованою, дає їй можливість відновити її після вбивства та уникає виявлення антивірусним програмним забезпеченням.

Серед нападів і подій, які простежуються на Чорних схилах, є кампанія зриву 2012 року, спрямована на сирійські опозиційні сили.

Дивіться також: Статистика та факти викупу 2017-2018

Посібник з видалення викупу: Поправка із поширеними штамами викупних програм

DarkComet

Французький хакер Жан-П’єр Лесюр розроблено DarkComet в 2008 році, але система не розповсюдилася до 2012 року. Це ще одна хакерська система, націлена на операційну систему Windows від Windows 95 до Windows 10. Він має дуже простий у користуванні інтерфейс і дозволяє тим, хто не має технічних навичок, здійснювати хакерські атаки.

Програмне забезпечення дозволяє шпигувати за допомогою кейлогінгу, Скріншот і збирання пароля. Контролюючий хакер також може керувати функціями живлення віддаленого комп’ютера, що дозволяє дистанційно включати чи вимикати комп’ютер. Мережеві функції зараженого комп’ютера також можна використовувати для використання комп’ютера як проксі-сервер для каналізації трафіку та маскування ідентичності хакера під час набігів на інші комп’ютери.

DarkComet привернув увагу спільноти кібербезпеки у 2012 році, коли це було виявлено африканський хакерський підрозділ використовував систему для націлювання на уряд США та військових. У той же час атаки DarkComet, що походять з Африки, були розпочаті проти онлайн-геймерів.

Лесюр відмовився від проекту в 2014 році коли було виявлено, що DarkComet використовується сирійським урядом, щоб шпигувати за своїми громадянами. Загальне населення розпочало використовувати VPN та безпечні додатки для чату, щоб блокувати державний нагляд, тому функції шпигунських програм DarkComet дозволив сирійському уряду обійти ці заходи безпеки.

Міраж

Міраж – ключовий RAT, яким користуються китайська хакерська група, яка фінансується державою, відома як APT15. Після дуже активної шпигунської кампанії з 2009 по 2015 рік APT15 раптом затих. Сам Mirage використовувався групою з 2012 року. Виявлення варіанту Mirage у 2018 році означало, що група знову діяла. Це новий RAT, відомий як MirageFox використовувались для шпигунства за державними підрядниками Великої Британії та були виявлені у березні 2018 року. Міраж та MirageFox кожен діяти як агент на зараженому комп’ютері. Троянська частина набору вторгнень описує адресу Command and Control для отримання інструкцій. Потім ці інструкції реалізуються на комп’ютері жертви.

Оригінальний Mirage RAT використовувався для атак на нафтова компанія на Філіппінах, тайваньські військові, канадська енергетична компанія, та інші цілі в Бразилії, Ізраїлі, Нігерії та Єгипті. Mirage та MirageFox потрапляють на цільові системи підводний фішинг кампанії. Зазвичай вони орієнтовані на керівників компанії-жертви. Троянський файл постачається вбудованим у PDF. Відкриття PDF-файлу спричиняє виконання сценаріїв, і вони встановлюють RAT. Перша дія RAT – це звітувати перед системою командування та управління з аудитом можливостей зараженої системи. Ця інформація включає швидкість процесора, ємність та використання пам’яті, ім’я системи та ім’я користувача.

Початковий звіт про систему здається, ніби конструктори Mirage створили RAT з метою крадіжки системних ресурсів, а не доступу до даних цільової системи. Типової атаки Міража немає тому що, здається, кожен вторгнення пристосовано до конкретних цілей. Установка RAT може бути попередньо попередньою кампанією з встановлення фактів та системних перевірок. Наприклад, напад 2018 року на британський військовий підрядник NCC отримав доступ до системи через авторизований сервіс VPN компанії.

Те, що кожна атака є високонаціленою, означає це великі витрати пов’язані з інфекцією Міраж. Ця висока вартість показує це Напади міражу, як правило, спрямовані лише на цінні цілі, які китайський уряд хоче підірвати або з яких викрасти технології.

Троянські загрози віддаленого доступу

Хоча значна діяльність RAT, як видається, спрямована на уряд, існування наборів інструментів RAT вторгнення в мережу, завдання, яке може виконати кожен. Отже, діяльність RAT та APT не обмежується атаками на військові чи високотехнологічні компанії.

RAT поєднується з іншими шкідливими програмами щоб зберегти себе прихованими, що означає, що встановлення антивірусного програмного забезпечення на комп’ютери недостатньо, щоб хакери не могли контролювати вашу систему цими методами. Досліджуйте системи виявлення вторгнень щоб перемогти цю хакерську стратегію.

Чи відчували ви вторгнення в мережу, що призвело до пошкодження чи втрати даних? Ви реалізували стратегію запобігання вторгнень, щоб вирішити проблему RAT? Залиште повідомлення в розділі коментарів нижче, щоб поділитися своїм досвідом.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map