10 Pinakamahusay na RAT software detection tool – kasama ang tiyak na gabay na may mga halimbawa

Ano ang isang Remote Access Trojan o RAT

A Remote Access Trojan (RAT) ay isang uri ng malware na nagpapahintulot sa isang hacker na kontrolin ang iyong computer. Ang mga aktibidad ng tiktik na maaaring isagawa ng hacker sa sandaling mai-install ang RAT ay naiiba paggalugad ng iyong mga file system, nanonood ng mga aktibidad sa screen, at pag-ani ng mga kredensyal sa pag-login.

Ang hacker ay maaari ring gumamit ng iyong internet address bilang isang harap para sa mga iligal na aktibidad, na ipinapahiwatig sa iyo, at pag-atake sa iba pang mga computer. Ang mga virus na na-download sa pamamagitan ng RAT ay makakaapekto sa iba pang mga computer, habang nagdudulot din ng pinsala sa iyong system sa pamamagitan ng pagtanggal o pag-encrypt ng mahahalagang software.

Nakarating kami sa maraming detalye sa bawat isa sa mga tool sa pag-iikot ng panghihimasok at mga halimbawa ng RAT sa ibaba, ngunit kung wala kang oras upang mabasa ang buong piraso, narito ang aming listahan ng pinakamahusay na mga tool sa pag-iwas sa panghihimasok para sa RAT software:

  1. Tagapamahala ng Kaganapan ng SolarWinds Security (FREE TRIAL) lalampas sa pagtuklas ng RAT na may mga awtomatikong mga gawain sa remediation na makakatulong sa iyo na harangan ang mga aktibidad ng RAT
  2. Snort ang industriya ng industriya sa NIDS unang inilunsad ng Cisco
  3. OSSEC bukas na mapagkukunan ang mga bata na nakakakuha ng isang sumusunod para sa mga kakayahan sa pagkolekta ng data
  4. Bro libreng NIDS para sa Unix, Linux, at Mac OS
  5. Suricata sinusubaybayan ang IP, TLS, TCP, at aktibidad ng protocol ng UDP
  6. Sagan Hindi isang nakapag-iisang IDS, mabuti para sa mga automating na script
  7. Ang sibuyas ng seguridad buksan ang pinagsama-samang pinagmulan ng iba pang mga bukas na tool ng mapagkukunan sa listahang ito
  8. AIDE Dalubhasa sa pagtuklas ng rootkit at mga paghahambing sa pag-sign ng file
  9. OpenWIPS-NG ginustong para sa wireless packet sniffing
  10. Samhain mahusay para sa pagtatakda ng mga alerto, ngunit walang tunay na mga kakayahan sa pag-aayos

Mga tool ng RAT software at APT

Ang mga RAT ay mga tool na karaniwang ginagamit sa isang uri ng stealth na pag-atake ng hacker, na tinatawag na isang Advanced na Patuloy na pagbabanta, o APT. Ang ganitong uri ng panghihimasok ay hindi nakatuon sa mapanirang impormasyon o mabilis na pag-atake ng mga computer para sa data. Sa halip, Ang mga APT ay binubuo ng mga regular na pagbisita sa iyong network na maaaring tumagal ng maraming taon. Maaari ring magamit ang mga RAT upang mai-reroute ang trapiko sa pamamagitan ng iyong network ng kumpanya upang ma-maskara ang mga iligal na aktibidad. Ang ilang mga pangkat ng hacker, na nakararami sa Tsina, ay lumikha pa isang network ng hacker tumatakbo sa pamamagitan ng mga corporate network ng mundo at nagrenta sila ng pag-access sa cybercrime highway na ito sa iba pang mga hacker. Ito ay tinatawag na “terracotta VPN“At ito ay pinadali ng mga RAT.

Maagang pagsalakay

Ang mga RAT ay tahimik na nasa paligid ng higit sa isang dekada. Ang teknolohiya ay natuklasan na gumaganap ng isang bahagi sa malawak na pagnanakaw ng teknolohiya ng US ng mga hacker ng Tsino noong 2003. Ang Pentagon ay naglunsad ng isang pagsisiyasat, na tinawag Ulan ng Titan, na natuklasan ang pagnanakaw ng data mula sa mga kontratista ng pagtatanggol ng US, na may pag-unlad at inuri na data ng pagsubok na inilipat sa mga lokasyon sa China.

Maaari mong maalala ang US East Coast power grid shutdown ng 2003 at 2008. Ang mga ito ay nasubaybayan pabalik sa China at pinadali din ng mga RAT. Sa madaling salita, ang isang hacker na maaaring makakuha ng isang RAT papunta sa isang system ay maaaring maisaaktibo ang lahat ng software na ang mga gumagamit ng mga computer ay nasa kanilang pagtatapon..

Hydrid warfare

Ang isang hacker na may isang RAT ay maaaring mag-utos ng mga istasyon ng kuryente, mga network ng telepono, mga pasilidad ng nukleyar, o mga pipeline ng gas. Ang mga RAT ay hindi lamang kumakatawan sa isang panganib sa seguridad sa korporasyon, ngunit maaari din nilang paganahin ang mga bansang walang kabuluhan na dumudurog sa isang bansa ng kaaway.

Ang mga orihinal na gumagamit ng RAT para sa pang-industriya na espiya at sabotage ay mga hacker ng mga Tsino. Paglipas ng mga taon, Ang Russia ay napahahalagahan ang kapangyarihan ng mga RAT at isinama ang mga ito sa arsenal ng militar. Ang mga APT ay opisyal na bahagi ng diskarte sa pagkakasala ng Russia na kilala bilang “hybrid warfare.”

Nang makuha ng Russia ang teritoryo mula sa Georgia noong 2008 ay gumamit ito ng mga pag-atake ng DDoS upang harangan ang mga serbisyo sa internet at mga APT gamit ang mga RAT upang mangalap ng intelihensiya, kontrol, at guluhin ang hardware ng militar ng militar at mga mahahalagang utility. Ang paggamit ng Russia ng mga RAT upang maitaguyod ang Ukraine at ang Baltic States ay patuloy hanggang ngayon.

Ang Russia ay gumagamit ng mga semi-opisyal na mga grupo ng hacker, tulad APT28. Ang isa pang pangkat ng hacker, na kilala bilang APT15 ay regular na ginagamit ng gobyerno ng China. Ipinapaliwanag ng mga pangalan ng mga pangkat na ito ang kanilang pangunahing diskarte, ang “advanced na patuloy na pagbabanta,” na pinadali ng mga RAT.

Ang pagtaas ng mga tensyon sa tariff ng kalakalan sa 2018 ay nakakita ng isang bagong spurt sa aktibidad ng hacker ng Tsino, lalo na ang pangkat na semi-military APT15. Ang mga problema sa pagitan ng USA at Hilagang Korea na nagagulo mula noong 2015 ay nagdulot din ng pagtaas ng aktibidad ng APT na tinulungan ng RAT na nagmula sa North Korea.

Kaya, habang ang mga hacker sa buong mundo ay gumagamit ng mga RAT upang mag-spy sa mga kumpanya at nakawin ang kanilang data at pera, ang problema ng RAT ay naging isyu ngayon ng pambansang seguridad para sa maraming mga bansa, lalo na sa USA. Kasama namin ang ilang mga halimbawa ng mga tool sa RAT sa ibaba.

Depensa laban sa Remote Access Trojan software

Ang mga sistema ng antivirus ay hindi mahusay na gumagawa laban sa mga RAT. Kadalasan ang impeksyon ng isang computer o network ay hindi napapansin nang maraming taon. Ang mga pamamaraan ng obfuscation na ginagamit ng mga kahanay na programa upang magbalot ng mga pamamaraan ng RAT ay napakahirap nilang makita. Ang mga module ng pagtitiyaga na gumagamit ng mga diskarte sa rootkit ay nangangahulugang ang mga RAT ay napakahirap upang mapupuksa. Minsan, ang tanging solusyon upang mapupuksa ang iyong computer ng isang RAT ay puksain ang lahat ng iyong software at muling i-install ang operating system.

Ang mga sistema ng pag-iwas sa RAT ay bihira dahil ang software ng RAT ay maaaring makilala lamang sa sandaling ito ay nagpapatakbo sa iyong system. Ang pinakamahusay na paraan upang pamahalaan ang problema ng RAT ay gumamit ng isang sistema ng pagtuklas ng panghihimasok. Ang Comparitech ay may gabay sa mga sistema ng pagtuklas ng panghihimasok, na nagbibigay sa iyo ng isang buong paliwanag kung paano gumagana ang mga sistemang ito at isang rundown ng mga inirekumendang tool.

Ang pinakamahusay na mga tool sa pagtuklas ng software ng RAT

Dito susuriin namin ang pinakamahusay na mga tool sa deteksyon ng software ng RAT:

1. Tagapamahala ng Kaganapan ng SolarWinds Security (FREE TRIAL)

Ang Solarwinds Log at Manager ng Kaganapan

Ang mga sistema ng pagtuklas ng panghihimasok ay mahalagang tool para sa pagharang ng panghihimasok ng software na maaaring maiwasan ang pagtuklas ng mga kagamitan sa antivirus at firewall. Ang Tagapamahala ng Kaganapan ng SolarWinds Security ay isang Host-based Intrusion Detection System. Gayunpaman, mayroong isang seksyon ng tool na gumagana bilang isang Network-based Intrusion Detection System na batay sa Network. Ito ang Snort Log Analyzer. Maaari mong basahin ang higit pa tungkol sa Snort sa ibaba, gayunpaman, dapat mong malaman dito na ito ay isang malawak na ginamit na packet sniffer. Sa pamamagitan ng paggamit ng Snort bilang isang kolektor ng data upang pakainin sa Snort Log Analyzer, makakakuha ka ng parehong live at makasaysayang pagsusuri ng data sa labas ng Security Event Manager.

Ang dalawahang kakayahan na ito ay nagbibigay sa iyo ng isang buong Security Information Information at Event Management (SIEM) na serbisyo. Nangangahulugan ito na maaari mong panoorin ang mga kaganapan na nakunan ng Snort na nakatira at suriin din ang mga pirma ng cross-packet na panghihimasok na natukoy sa pamamagitan ng mga tala ng log file.

Ang Security Event Manager ay lumampas sa pagtuklas ng RAT dahil kasama nito ang mga awtomatikong mga gawain sa remediation na makakatulong sa iyo na harangan ang mga aktibidad ng RAT. Ang tool ay sumusunod sa isang hanay ng mga pamantayan sa seguridad ng data, kabilang ang Ang PCI DSS, HIPAA, KAYA, at DISA STIG.

Ang SolarWinds Security Event Event Manager ay maaaring mai-install sa Windows Server. Ang utility ay hindi libre gamitin, ngunit maaari mong makuha ito sa isang 30-araw na libreng pagsubok.

Tagapamahala ng Kaganapan sa SolarWinds SecurityDownload ang 30-araw na LIBRE Pagsubok

2. Snort

Snort screenshot

Malayang gamitin ang Snort at ito ang pinuno ng industriya sa Mga bata, na kung saan ay Sistema ng Deteksyon ng Paglikha ng Network. Ang sistemang ito ay nilikha ng Mga Sistema ng Cisco at maaaring mai-install ito Windows, Linux, at Unix. Ang Snort ay maaaring magpatupad ng mga diskarte sa pagtatanggol, na ginagawang isang sistema ng pag-iwas sa panghihimasok. Mayroon itong tatlong mga pagpipilian sa mode:

  • Sniffer mode – isang live na packet sniffer
  • Packet logger – nagtala ng mga packet sa isang file
  • Ang pagtuklas ng panghihimasok – may kasamang module ng pagsusuri

Nalalapat ang mode ng IDS ng Snort “batayang patakaran“Sa data. Ito ay mga alerto sa alerto na nagbibigay ng pagtuklas ng panghihimasok. Maaaring makuha ang mga patakaran nang libre mula sa website ng Snort, mula sa pamayanan ng gumagamit, o maaari mong isulat ang iyong sarili. Ang mga kahanga-hangang kaganapan na maaaring i-highlight ng Snort ay kasama stealing port scan, pag-atake ng over buffer, Pag-atake ng CGI, Pagsusulit sa SMB, at OS fingerprinting. Ang Snort ay may kakayahang pareho mga pamamaraan ng detection na nakabase sa lagda at mga sistema na batay sa anomalya.

Hindi maganda ang front-end ng Snort at karamihan sa mga data ng interface ng mga gumagamit mula sa Snort hanggang sa mas mahusay na mga console at mga tool sa pagsusuri, tulad ng  Snorby, BASE, Balot, at Anaval.

3. OSSEC

OSSEC screenshot

Ang OSSEC ay nakatayo para sa Open Source HIDS Security. A Mga anak ay isang Host Intrusion Detection System, na Sinusuri ang mga kaganapan sa mga computer sa isang network kaysa sa sinusubukan makita ang mga anomalya sa trapiko sa network, na kung ano mga sistema ng pagtuklas ng panghihimasok sa network gawin. Ang OSSEC ang kasalukuyang pinuno ng HIDS at maaari itong mai-install Unix, Linux at Mac OS operating system. Bagaman hindi ito maaaring tumakbo sa mga computer ng Windows maaari itong tumanggap ng data mula sa kanila. Sinusuri ng OSSEC ang mga log ng kaganapan upang maghanap ng mga aktibidad ng RAT. Ang software na ito ay isang bukas na mapagkukunan ng proyekto na pag-aari ng firm ng cybersecurity, Trend Micro.

Ito ay isang tool sa pangangalap ng data, na walang napaka-harap na pagtatapos ng user. Kadalasan, ang front end para sa system na ito ay ibinibigay ng iba pang mga tool, tulad ng Hati, Kibana, o Greylog. Ang makina ng detection ng OSSEC ay batay sa mga patakaran, na alerto sa mga kondisyon na maaaring lumabas sa data. Maaari kang makakuha ng paunang nakasulat na mga pakete ng mga patakaran mula sa iba pang mga gumagamit ng OSSEC na nagbibigay ng kanilang mga pakete na magagamit nang libre sa forum ng komunidad ng gumagamit ng OSSEC. Maaari mo ring isulat ang iyong sariling mga patakaran.

4. Bro

Bro screenshot

Si Bro ay a libreng NINO na maaaring mai-install sa Unix, Linux, at Mac OS. Ito ay isang sistema ng pagsubaybay sa network na may kasamang mga pamamaraan ng pagtuklas ng panghihimasok. Kinokolekta ng IDS ang data ng packet sa isang file para sa pag-aaral sa paglaon. Ang mga bata na nagpapatakbo sa live na data ay nakakaligta sa ilang mga pagkakakilanlan ng panghihimasok dahil ang mga hacker ay nahati sa pag-mess ng RAT sa maraming mga packet. Samakatuwid, application layer NIDS, tulad ng Bro ay may mas mahusay na mga kakayahan sa pagtuklas dahil inilalapat nila ang pagsusuri sa buong mga packet. Pareho ang gamit ni Bro pagtatasa batay sa lagda at anomalya na nakabase sa pagtuklas.

Ang Bro Event Engine “Nakikinig” para sa mga nagaganap na mga kaganapan, tulad ng isang bagong koneksyon sa TCP o isang kahilingan sa HTTP at mai-log ang mga ito. Mga script ng patakaran pagkatapos ay maghanap sa mga log na iyon upang maghanap ng mga pattern sa pag-uugali, tulad ng maanomalya at hindi kilalang aktibidad na isinagawa ng isang account sa gumagamit. Susubaybayan ni Bro ang aktibidad ng HTTP, DNS, at FTP. Nagtitipon din ito ng mga abiso sa SNMP at maaaring magamit upang makita ang mga pagbabago sa pagsasaayos ng aparato at mga mensahe ng SNMP Trap.

5. Suricata

Screenshot ng Suricata

Ang Suricata ay isang NIDS na maaaring mai-install sa Windows, Linux, Mac OS, at Unix. Ito ay isang sistema na batay sa bayad naaangkop iyon pagtatasa ng layer layer, kaya makakakita ito ng mga lagda na kumakalat sa mga packet. Suricata monitor IP, TLS, TCP, at UDP aktibidad ng protocol at nakatuon sa mga pangunahing aplikasyon ng network, tulad ng FTP, HTTP, ICMP, at SMB. Maaari din itong suriin TLS mga sertipiko at nakatuon sa HTTP mga kahilingan at DNS tawag. Mayroon ding pasilidad ng pagkuha ng file na nagbibigay-daan sa pagsusuri ng mga file na nahawaang virus.

Ang Suricata ay may built-in na script ng script na nagbibigay-daan sa iyo pagsamahin ang mga patakaran at makakuha ng isang mas tumpak na profile ng pagtuklas. Gumagamit ang IDS na ito parehong mga pamamaraan na nakabase sa lagda at anomalya na nakabatay sa detection. Mga tuntunin ng VRT mga file na isinulat para sa Snort maaari ring mai-import sa Surcata dahil ang IDS na ito ay katugma sa platform ng Snort. Nangangahulugan din ito na Snorby, BASE, Balot, at Anaval maaaring maglingkod bilang mga dulo ng harapan sa Suricata. Gayunpaman, ang Suricata GUI ay napaka sopistikado at may kasamang mga graphic na representasyon ng data, kaya hindi mo kailangang gumamit ng anumang iba pang tool upang matingnan at suriin ang data.

6. Sagan

Sagan screenshot

Si Sagan ay isang libreng system na nakabatay sa intrusion detection na batay sa host na maaaring mai-install sa Unix, Linux, at Mac OS. Hindi mo maaaring patakbuhin ang Sagan sa Windows ngunit maaari mong feed ang mga log ng kaganapan sa Windows dito. Data na natipon ni Snort, Suricata, o Bro maaaring mai-import sa Sagan, na nagbibigay ng data na tool na analytical ng utility na ito Mga bata pananaw pati na rin ang katutubong Mga anak kakayahan. Ang Sagan ay katugma din sa iba pang mga sistema ng Snort-type, tulad ng Snorby, BASE, Balot, at Anaval, na maaaring magbigay ng harap na pagtatapos para sa pagsusuri ng data.

Si Sagan ay isang tool sa pag-analisa ng log at kailangan itong magamit kasabay ng iba pang mga sistema ng pangangalap ng data upang lumikha ng isang buong sistema ng pagtuklas ng panghihimasok. Ang utility ay may kasamang isang Tagahanap ng IP, kaya maaari mong suriin ang mga mapagkukunan ng mga kahina-hinalang aktibidad sa isang lokasyon. Maaari rin itong pagsamahin ang mga aktibidad ng mga kahina-hinalang IP address upang makilala ang koponan o ipinamamahagi na mga pag-atake. Ang module ng pagsusuri ay gumagana sa kapwa mga pamamaraan at pag-deteksyon ng anomalya.

Kaya ni Sagan awtomatikong isagawa ang mga script upang i-lock ang network kapag nakita nito ang mga tukoy na kaganapan. Ginagawa nito ang mga gawaing pang-iwas sa pamamagitan ng pakikipag-ugnay sa mga lamesa ng firewall. Kaya, ito ay isang sistema ng pag-iwas sa panghihimasok.

7. Sibuyas na sibuyas

Screenshot sa sibuyas na screenshot

Ang sibuyas ng Seguridad ay binuo sa pamamagitan ng paghiwalayin ang code para sa Snort, Suricata, OSSEC, Bro, Snorby, Sguil, Squert, Kibana, ELSA, Xplico, at NetworkMiner, na kung saan ang lahat ng mga bukas na proyekto ng mapagkukunan. Ang tool na ito ay isang libre NINO na nakabase sa Linux kasama na Mga anak pag-andar. Ito ay isinulat upang tumakbo partikular Ubuntu.

Mga pagsusuri ng batay sa host na pagsusuri para sa mga pagbabago sa file at ang pagtatasa ng network ay isinasagawa ng isang packet sniffer, na maaaring magpakita ng pagpasa ng data sa isang screen at magsulat din sa isang file. Ang makina ng pagtatasa ng Security Onion ay kumplikado dahil pinagsasama nito ang mga pamamaraan ng napakaraming iba’t ibang mga tool. Kasama dito ang pagsubaybay sa katayuan ng aparato pati na rin ang pagsusuri sa trapiko. Mayroong kapwa mga panuntunan sa alerto na nakabase sa lagda at anomalya kasama sa sistemang ito. Ang interface ng Kibana nagbibigay ng dashboard para sa Security Onion at may kasamang mga graph at tsart upang mapagaan ang pagsusuri ng data.

8. AIDE

AIDE screenshot

Ang AIDE ay nangangahulugang “Advanced na Pang-intrusion Detection Environment.” Ito ay isang libreng mga anak tumatakbo na Mac OS, Unix, at Linux. Nakatuon ang IDS na ito pagtuklas ng rootkit at paghahambing ng file na lagda. Ang module ng pangangalap ng data ay namumuhay isang database ng mga katangian na napulot mula sa mga file ng log. Ang database na ito ay isang sistema ng katayuan ng snapshot at anumang mga pagbabago sa mga aparato ng pag-configure ay nag-trigger ng mga alerto. Ang mga pagbabagong iyon ay maaaring kanselahin sa pamamagitan ng sanggunian sa database o maaaring mai-update ang database upang maipakita ang mga awtorisadong pagbabago sa pagsasaayos.

Ang mga pagsusuri sa system ay isinasagawa sa hinihingi at hindi patuloy na, ngunit maaari itong mai-iskedyul bilang isang trabaho sa pagkakasunud-sunod. Ginagamit ang mga patakaran base ng AIDE ang parehong mga pamamaraan sa pagsubaybay na batay sa lagda at anomalya.

9. OpenWIPS-NG

OpenWIPS-NG screenshot

Ang OpenWIPS-NG ay nagmula sa mga nag-develop ng Aircrack-NG. Sa katunayan, isinasama nito ang Aircrack-NG bilang nito wireless packet sniffer. Ang Aircrack-NG ay isang kilalang tool ng hacker, kaya ang asosasyong ito ay maaaring gumawa ka ng kaunting pag-iingat. Ang WIPS ay nangangahulugang “Wireless Intrusion Prevention System” at ito tumatakbo sa Linux. Ito ay isang libreng utility kasama ang tatlong elemento:

  • Sensor – ang packet sniffer
  • Server – imbakan ng data at pagtatasa ng rulebase
  • Interface – harapan ng harapan ng gumagamit.

Ang sensor din isang transmiter, kaya maaari ipatupad ang mga aksyon sa pag-iwas sa panghihimasok at mga cripple na hindi nais na pagpapadala. Ang nagsasagawa ng pagsusuri ang server at naglulunsad din ng mga patakaran ng interbensyon upang hadlangan ang mga napansin na panghihimasok. Ang Ipinapakita ng module ng interface ang mga kaganapan at mga alerto sa mga administrator ng system. Narito rin kung saan maaaring mai-tweak ang mga setting at ang mga nagtatanggol na aksyon ay maaaring maiayos o mapalitan.

10. Samhain

Samhain screenshot

Ang Samhain, na ginawa ni Samhain Design Labs sa Alemanya, ay isang libreng system na nakabatay sa intrusion detection na batay sa host na naka-install sa Unix, Linux, at Mac OS. Gumagamit ito ng mga ahente na tumatakbo sa iba’t ibang mga punto sa network, na nag-uulat pabalik sa isang module ng sentral na pagsusuri. Ang bawat ahente ay gumaganap pagsusuri ng integridad ng file, pag-monitor ng log file, at pagsubaybay sa port. Hinahanap ang mga proseso mga virus ng rootkit, rogue SUIDs (mga karapatan sa pag-access ng gumagamit), at mga nakatagong proseso.

Ang komunikasyon sa network sa pagitan ng mga ahente at console ay protektado ng pag-encrypt. Ang mga koneksyon para sa paghahatid ng data ng log file ay may kasamang mga kinakailangan sa pagpapatunay, na maiwasan ang mga intruders mula sa pag-hijack o pagpapalit ng proseso ng pagsubaybay.

Magtatampok si Samhain ng mga babala ng panghihimasok ngunit wala itong mga proseso ng paglutas. Kailangan mong panatilihin ang mga backup ng iyong mga file ng pagsasaayos at pagkakakilanlan ng gumagamit upang gumawa ng aksyon upang malutas ang mga problema na isiniwalat ng Samhain monitor. Pinapanatili ni Samhain ang mga proseso nito na nakatago ng teknolohiyang nakaw, tinawag na “steganograpiya“Upang maiwasan ang mga nanghihimasok sa pagmamanipula o pagpatay sa mga IDS. Ang mga file ng gitnang log at backup backup ay naka-sign gamit ang isang key ng PGP upang maiwasan ang pag-tampoy ng mga intruder.

11. Fail2Ban

Nabigong screenshot

Ang Fail2Ban ay isang libreng host-based na panghihimasok sa sistema ng pag-iwas tumatakbo na Unix, Linux, at Mac OS X. Sinusuri ng IDS ang mga file ng log at nagpapataw ng mga pagbabawal sa mga IP address na nagpapakita ng kahina-hinalang pag-uugali. Ang mga awtomatikong lockout ay nangyayari sa Netfilter / IPtables o PF na mga panuntunan sa firewall at talahanayan ng host.deny ng TCP Wrapper. Ang mga bloke na ito ay karaniwang tatagal lamang ng ilang minuto, ngunit sapat na iyon upang matakpan ang isang karaniwang sitwasyon na awtomatikong brute-force na password-cracking. Kasama sa mga sitwasyon ng alerto ang labis na nabigo na mga pagtatangka sa pag-login. Ang isang problema sa Fail2Ban ay na nakatuon ito sa paulit-ulit na pagkilos mula sa isang address. Hindi ito binibigyan ng kakayahang makayanan ang ipinamamahaging mga kampanya sa pag-crack ng password o pag-atake ng DDoS.

Ang saklaw ng pagmamanman ng system ay tinukoy ng isang serye ng “mga filter.”Itinuturo ng mga ito ang IPS kung saan ang mga serbisyo upang subaybayan. Kabilang dito Postfix, Apache, Courier Mail Server, Lighttpd, sshd, vsftpd, at qmail. Ang bawat filter ay pinagsama sa isang aksyon na gaganap sa kaganapan ng isang kondisyon ng alerto na napansin. Ang kumbinasyon ng isang filter at isang aksyon ay tinatawag na “kulungan.”

Mga programa at halimbawa ng RAT

Mayroong isang bilang ng mga malalawak na sistema ng pag-access na maaaring may lehitimong aplikasyon, ngunit kilala bilang mga tool na higit sa lahat na ginagamit ng mga hacker bilang bahagi ng isang Trojan; ito ay ikinategorya bilang Remote Access Trojans. Ang mga detalye ng mga kilalang RATs ay ipinaliwanag sa ibaba.

Balik Orifice

Bumalik Orifice, na kung saan ay tinutukoy din bilang BO ay isang Amerikanong gawa ng RAT iyon ay mula pa noong 1998. Ito ang apo ng mga RAT at naging pino at inangkop ng iba pang mga pangkat ng hacker upang makabuo ng mga mas bagong sistema ng RAT. Sinamantala ng orihinal na sistema ang isang kahinaan sa Windows 98. Nang maglaon ang mga bersyon na tumakbo sa mas bagong mga operating system ng Windows Bumalik Orifice 2000 at Malalim na Orifice.

Ang RAT na ito ay magagawang maitago ang sarili sa loob ng operating system, na sa una ay nahihirapan itong makita. Gayunpaman, ngayon, ang karamihan sa mga sistema ng antivirus ay may Back Orifice na maaaring maipapatupad na mga file at pag-uugali ng pag-login sa kanilang mga database bilang mga lagda upang tignan. Ang isang magandang tampok ng software na ito ay mayroon ito isang madaling gamitin na console na maaaring gamitin ng panghihimasok upang mag-navigate sa paligid ng nahawaang sistema. Ang malayong elemento ay maaaring madulas sa isang target na computer sa pamamagitan ng isang Trojan. Kapag na-install, ang program ng server na ito ay nakikipag-usap sa client console gamit ang karaniwang mga pamamaraan sa networking. Kilala ang back Orifice na gumamit ng numero ng port 21337.

Hayop

Inatake ng Beast RAT ang mga Windows system mula sa Windows 95 hanggang sa Windows 10. Ginagamit nito ang parehong arkitektura ng kliyente-server na pinangunahan ng Back Orifice kasama ang bahagi ng server ng system na ang malware na mai-install surreptitiously sa target na computer. Kapag ang elemento ng server ay nagpapatakbo, mai-access ng hacker ang computer ng biktima sa pamamagitan ng programa ng kliyente. Nag-uugnay ang kliyente sa target na computer sa port number 6666. Ang server ay nagawang magbukas ng mga koneksyon pabalik sa kliyente at gumagamit ng port number 9999.  Ang hayop ay isinulat noong 2002 at malawakang ginagamit.

Bifrost

Sinimulan ng Trojan na ito ang impeksyon sa pag-install ng isang program ng tagapagtayo ng server. Sa una, ang program na ito ay nakikipag-ugnay lamang sa isang server ng Command at Control at naghihintay ng mga tagubilin. Ang Trojan ay nakakahawa sa mga Windows system mula sa Windows 95 hanggang Windows 10. Gayunpaman, ang mga kakayahan nito ay nabawasan sa mga bersyon ng Windows XP at kalaunan.

Kapag na-trigger ito, ang tagabuo ng server ay magse-set up ng isang programa ng server sa target na computer. Pinapayagan nito ang hacker, gamit ang isang kaukulang programa ng kliyente upang makakuha ng pag-access sa mga nahawaang computer at magsagawa ng mga utos na nais. Ang server ng server ay naka-imbak sa C: \ Windows \ Bifrost \ server.exe o C: \ Program Files \ Bifrost \ server.exe. Ang direktoryo at file na ito ay nakatago at kung gayon ang ilang mga sistema ng anti-virus ay hindi napansin ang Bifrost.

Hindi nagtatapos ang tagabuo ng server sa sandaling nalikha ang server. Sa halip, ito ay nagpapatakbo bilang isang sistema ng pagtitiyaga at muling likhain ang server sa ibang lokasyon at may ibang pangalan kung ang orihinal na pag-install ng server ay nakita at tinanggal. Ang tagabuo ng server ay gumagamit din ng mga pamamaraan ng rootkit sa mga proseso ng mask server at gawing napakahirap makita ang operating panghihimasok sa operating system.

Dahil ang Windows Vista, ang buong mapanirang kakayahan ng Bifrost ay pinabagal dahil marami sa mga serbisyo na ginagamit ng malware ay nangangailangan ng mga pribilehiyo sa system. Gayunpaman, kung ang isang gumagamit ay na-trick sa pag-install ng disguised server builder na may mga pribilehiyo sa system, ang Bifrost system ay maaaring maging ganap na pagpapatakbo at magiging napakahirap alisin.

Kaugnay: Ang pinakamahusay na libreng pag-alis ng rootkit, pagtuklas at mga programa ng scanner

Mga Blackshades

Ang Blackshades ay isang off-the-peg hacking tool na noon naibenta sa mga hacker ng mga developer nito para sa $ 40 isang pop. Tinantiya ng FBI na kumita ang mga tagagawa nito ng kabuuang $ 340,000 na nagbebenta ng software na ito. Ang mga developer ay isinara at inaresto noong 2012 at isang pangalawang alon ng mga pag-aresto noong 2014 ay nakunan ng higit sa 100 mga gumagamit ng Blackshades. Gayunpaman, mayroon pa ring mga kopya ng sistema ng Blackshades sa sirkulasyon at nasa aktibong paggamit pa rin ito. Target ng Blackshades ang Microsoft Windows mula sa Windows 95 hanggang Windows 10.

Kasama sa toolkit ang mga pamamaraan ng impeksyon, tulad ng malisyosong code na naka-embed sa mga website na nag-trigger ng mga ruta sa pag-install. Ang iba pang mga elemento ay nagpapalaganap ng RAT sa pamamagitan ng pagpapadala ng mga link sa mga nahawaang web page. Ang mga ito ay ipinadala sa ang mga contact sa social media ng isang nahawahan na gumagamit.

Pinapayagan ng malware ang isang hacker na makakuha ng access sa system ng mga file ng target na computer at mag-download at magsagawa ng mga file. Ang mga gumagamit ng programa ay nagsasama ng mga function ng botnet na nakakakuha ng target na computer upang maglunsad ng pagtanggi sa mga pag-atake ng serbisyo. Ang nahawaang computer ay maaari ding magamit bilang isang proxy server upang mag-ruta ng trapiko ng hacker at magbigay ng takip ng pagkakakilanlan para sa iba pang mga aktibidad sa hacker.

Ang tool ng Blackshades ay napakadaling gamitin at nagbibigay-daan sa mga kakulangan ng mga kasanayan sa teknikal upang maging mga hacker. Maaari ring magamit ang system upang lumikha ng mga pag-atake ng ransomware. Ang isang pangalawang programa ng obfuscation na ibinebenta sa tabi ng Blackshades ay nagpapanatili ng programa na nakatago, nagbibigay-daan sa muling pag-uli kapag pinatay, at umiiwas sa pagtuklas ng software na anti-virus.

Kabilang sa mga pag-atake at mga kaganapan na nasubaybayan sa Blackshades ay isang kampanya ng pagkagambala sa 2012 na nag-target sa mga pwersa ng oposisyon ng Syria.

Tingnan din: 2017-2018 Mga istatistika at katotohanan ng Ransomware

Ang Handbook ng Pag-alis ng Ransomware: Pagharap sa karaniwang mga strain ng ransomware

DarkComet

Pranses na hacker Jean-Pierre Lesueur binuo ang DarkComet noong 2008, ngunit ang sistema ay hindi talaga lumago hanggang sa 2012. Ito ay isa pang sistema ng hacker na nagta-target sa Windows operating system mula sa Windows 95 hanggang sa Windows 10. Mayroon itong napakadaling gamitin na interface at nagbibigay-daan sa mga walang mga kasanayang pang-teknikal upang maisagawa ang mga pag-atake ng hacker.

Ang software ay nagbibigay-daan sa pag-espiya sa pamamagitan ng keylogging, pagkuha ng screen at pag-aani ng password. Ang pagkontrol ng hacker ay maaari ding patakbuhin ang mga function ng kapangyarihan ng isang malayong computer, na nagpapahintulot sa isang computer na i-on o i-off ang malayuan. Ang mga pag-andar ng network ng isang nahawaang computer ay maaari ring magamit upang magamit ang computer isang proxy server upang ma-channel ang trapiko at i-mask ang pagkakakilanlan ng hacker sa panahon ng pag-atake sa iba pang mga computer.

Dumating ang DarkComet sa pansin ng komunidad ng cybersecurity noong 2012 nang malaman ito isang yunit ng hacker ng Africa ang gumagamit ng system upang ma-target ang gobyerno at militar ng US. Kasabay nito, ang pag-atake ng DarkComet na nagmula sa Africa ay inilunsad laban sa mga online na manlalaro.

Iniwan ng Lesueur ang proyekto noong 2014 nang natuklasan na ang DarkComet ay ginagamit ng pamahalaang Syrian upang tiktik ang mga mamamayan nito. Ang pangkalahatang populasyon ay kinuha sa pag-empleyo ng VPN at pag-secure ng mga chat apps upang harangan ang pagsubaybay sa gobyerno, kaya ang mga tampok ng spyware ng DarkComet pinapagana ng pamahalaang Siria na iwasan ang mga hakbang na ito sa seguridad.

Mirage

Ang Mirage ay ang pangunahing RAT na ginamit ng ang grupong hacker na sinusuportahan ng estado na kilala bilang APT15. Matapos ang isang napaka-aktibong kampanya ng tiktik mula 2009 hanggang 2015, biglang tumahimik ang APT15. Ang Mirage mismo ay ginamit ng grupo mula noong 2012. Ang pagtuklas ng isang variant ng Mirage sa 2018 ay nag-sign na ang grupo ay bumalik sa aksyon. Ang bagong RAT, na kilala bilang MirageFox ay ginamit upang maniktik sa mga kontratista ng gobyerno ng UK at natuklasan noong Marso 2018. Ang Mirage at MirageFox bawat isa kumilos bilang isang ahente sa nahawaang computer. Ang bahagi ng Trojan ng intrusion suite ay nagsumite ng isang address ng Command at Control para sa mga tagubilin. Ang mga tagubiling iyon ay ipinatupad sa computer ng biktima.

Ang orihinal na Mirage RAT ay ginamit para sa pag-atake sa isang kumpanya ng langis sa Pilipinas, ang militar ng Taiwan, isang kumpanya ng enerhiya ng Canada, at iba pang mga target sa Brazil, Israel, Nigeria, at Egypt. Ang Mirage at MirageFox ay nakarating sa mga target na system sa pamamagitan ng sibat phishing mga kampanya. Ang mga ito ay karaniwang naka-target sa mga executive ng isang kumpanya ng biktima. Ang Trojan ay naihatid na naka-embed sa isang PDF. Ang pagbubukas ng PDF ay nagiging sanhi ng pagpapatupad ng mga script at i-install nila ang RAT. Ang unang aksyon ng RAT ay ang pag-ulat pabalik sa Command and Control system na may isang pag-audit ng mga kakayahan ng nahawaang sistema. Kasama sa impormasyong ito ang bilis ng CPU, kapasidad ng memorya at paggamit, pangalan ng system at username.

Ang paunang ulat ng system ay ginagawang tila na ang mga taga-disenyo ng Mirage ay gumawa ng RAT upang magnakaw ng mga mapagkukunan ng sistema sa halip na ma-access ang data sa target system. Walang karaniwang pag-atake ng Mirage dahil tila ang bawat panghihimasok ay pinasadya patungo sa mga tiyak na target. Ang pag-install ng RAT ay maaaring mapamunuan ng isang kampanya sa paghahanap ng katotohanan at mga pagsusuri sa system. Halimbawa, ang pag-atake sa 2018 sa kontratista ng militar ng NCC sa NCC nakakuha ng access sa system sa pamamagitan ng awtorisadong serbisyo ng VPN ng kumpanya.

Ang katotohanan na ang bawat pag-atake ay lubos na naka-target na nangangahulugan na maraming gastos ay nasasama sa isang impeksyon sa Mirage. Ang mataas na gastos na ito ay nagpapakita na Ang mga pag-atake sa Mirage ay karaniwang naglalayong lamang sa mga target na may mataas na halaga na nais ng gobyerno ng Tsina na masira o mula sa kung saan nakawin ang teknolohiya.

Mga banta sa Remote Access Trojan

Bagaman maraming aktibidad ng RAT ay lumilitaw na nakatuon sa pamahalaan, ang pagkakaroon ng mga toolkit ng RAT panghihimasok sa network ng isang gawain na maaaring gawin ng sinuman. Kaya, ang aktibidad ng RAT at APT ay hindi magiging limitado sa mga pag-atake sa mga kumpanya ng militar o high tech.

Ang mga RAT ay nagsasama sa iba pang mga malware upang panatilihing nakatago ang kanilang mga sarili, na nangangahulugang ang pag-install ng antivirus software sa iyong computer ay hindi sapat upang maiwasan ang mga hacker na kontrolin ang iyong system sa mga pamamaraang ito. Mag-imbestiga mga sistema ng pagtuklas ng panghihimasok upang talunin ang diskarte ng hacker na ito.

Naranasan mo ba ang isang panghihimasok sa network na nagresulta sa pagkasira o pagkawala ng data? Naipatupad mo ba ang isang diskarte sa pag-iwas sa panghihimasok upang isulong ang problema sa RAT? Mag-iwan ng mensahe sa seksyon ng Mga Komento sa ibaba upang maibahagi ang iyong mga karanasan.

Kim Martin
Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me