10 mjetet më të mira të zbulimit të softuerëve RAT – plus udhëzues përfundimtar me shembuj

Isfarë është një Trojan Access Remote ose RAT


A Trojan i Qasjes në distancë (RAT) është një lloj malware që lejon një haker të marrë kontrollin e kompjuterit tuaj. Aktivitetet e spiunimit që hakeri mund të kryejë pasi të jetë instaluar RAT, ndryshojnë nga duke eksploruar sistemin tuaj të skedarëve, aktivitetet e shikimit në ekran, dhe kredencialet e hyrjes për korrje.

Hakeri mund të jetë gjithashtu duke përdorur adresën tuaj të internetit si një front për aktivitete të paligjshme, duke ju imponuar, dhe sulmuar kompjuterë të tjerë. Viruset e shkarkuar përmes RAT do të infektojnë kompjuterët e tjerë, duke shkaktuar gjithashtu dëme në sistemin tuaj duke fshirë ose koduar programin thelbësor.

Ne marrim shumë detaje mbi secilën nga mjetet e zbulimit të ndërhyrjes dhe shembujt RAT më poshtë, por nëse nuk keni kohë të lexoni tërë pjesën, këtu është lista e mjeteve më të mira të zbulimit të ndërhyrjes për softuerin RAT:

  1. Menaxher i ngjarjeve të sigurisë së SolarWinds (TRIAL FALAS) shkon përtej zbulimit të RAT me detyra të automatizuara të rehabilitimit që ju ndihmojnë të bllokoni aktivitetet e RAT
  2. gërhij industria e ngurtë në NIDS filloi së pari nga Cisco
  3. OSSEC burim i hapur HIDS duke fituar një vijim për aftësitë e mbledhjes së të dhënave
  4. Bro NIDS falas për Unix, Linux dhe Mac OS
  5. Suricata monitoron aktivitetin e protokollit IP, TLS, TCP dhe UDP
  6. Sagan Jo një IDS e pavarur, e mirë për automatizimin e skripteteve
  7. Qepë sigurie bashkimi i burimit të hapur i mjeteve të tjera me burim të hapur në këtë listë
  8. Aide specializuar në zbulimin e rootkit dhe krahasimet e nënshkrimeve të skedarëve
  9. OpenWIPS-NG e preferuar për paketimin e paketave pa tela
  10. Samhain i shkëlqyeshëm për vendosjen e alarmeve, por nuk ka aftësi reale për zgjidhjen e problemeve

Mjetet softuerike RAT dhe APT

RAT janë mjete që zakonisht përdoren në një lloj vjedhjeje të sulmit të hakerave, i cili quhet an Kërcënimi i përparuar i vazhdueshëm, ose APT. Ky lloj ndërhyrje nuk është i përqendruar në dëmtimin e informacionit ose bastisjen e kompjuterave shpejt për të dhëna. Në vend të kësaj, APT-të konsistojnë në vizita të rregullta në rrjetin tuaj që mund të zgjasin me vite. RAT mund të përdoren gjithashtu për të rivotuar trafikun përmes rrjetit të kompanisë suaj për të maskuar aktivitetet e paligjshme. Disa grupe hakerësh, kryesisht në Kinë, madje kanë krijuar një rrjet hakerash që kalon nëpër rrjetet e korporatave të botës dhe ata marrin me qira hyrjen në këtë autostradë të krimit kibernetik për hakerat e tjerë. Ky quhet “terrakota VPN”Dhe është lehtësuar nga RAT.

Pushtimet e hershme

RAT-të kanë qënë në heshtje për më shumë se një dekadë. Teknologjia u zbulua se kishte luajtur një pjesë në plaçkitjen e gjerë të teknologjisë amerikane nga hakerët kinezë në vitin 2003. Pentagoni nisi një hetim, të quajtur Shi Titan, i cili zbuloi vjedhjen e të dhënave nga kontraktorët e mbrojtjes amerikane, me të dhëna të testimit të zhvillimit dhe të klasifikuar duke u transferuar në vendet në Kinë.

Ju mund të kujtoni mbylljet e rrjetit të energjisë në Bregun Lindor të SH.B.A.-së të vitit 2003 dhe 2008. Këto gjithashtu u gjurmuan përsëri në Kinë dhe gjithashtu u lehtësuan nga RAT. Me pak fjalë, një haker i cili mund të marrë një RAT mbi një sistem mund të aktivizojë të gjithë programet kompjuterike që përdoruesit e atyre kompjuterave kanë në dispozicion të tyre..

Lufta hibride

Një haker me një RAT mund të komandojë stacionet e energjisë, rrjetet telefonike, objektet bërthamore ose tubacionet e gazit. RAT jo vetëm që paraqesin një rrezik të sigurisë së korporatës, por ato gjithashtu mund të lejojnë që kombet armiqësore të dëmtojnë një vend armik.

Përdoruesit origjinal të RAT për spiunazh industrial dhe sabotim ishin hakerat kinezë. Gjate viteve, Rusia ka ardhur për të vlerësuar fuqinë e RAT-ve dhe i ka integruar ato në arsenalin e saj ushtarak. APT-të tani janë zyrtarisht pjesë e strategjisë ruse të kundërvajtjes që njihet si “luftë hibride.”

Kur Rusia pushtoi territorin nga Xhorxhia në vitin 2008 ajo përdori sulme DDoS për të bllokuar shërbimet e internetit dhe APT-të duke përdorur RAT për të mbledhur inteligjencën, kontrollin dhe prishjen e pajisjeve ushtarake gjeorgjiane dhe shërbimet thelbësore. Përdorimi i RAT i Rusisë për të destabilizuar Ukrainën dhe Shtetet e Balltikut vazhdon edhe sot e kësaj dite.

Rusia punëson grupe gjysmë zyrtare të hakerave, të tilla APT28. Një tjetër grup hakerash, i njohur si APT15 përdoret rregullisht nga qeveria kineze. Emrat e këtyre grupeve shpjegojnë strategjinë e tyre kryesore, “kërcënimin e përparuar të vazhdueshëm”, i cili lehtësohet nga RAT.

Rritja e tensioneve të tarifave të tregtisë në vitin 2018 ka parë një ndikim të ri në aktivitetin e hakerëve kinezë, veçanërisht të grupit gjysmë ushtarak APT15. Problemet mes Sh.B.A dhe Koresë së Veriut që janë përhapur nga viti 2015 kanë shkaktuar gjithashtu një rritje të aktivitetit APT të ndihmuar nga RAT me origjinë nga Koreja e Veriut.

Kështu, ndërsa hakerat në të gjithë botën përdorin RAT për të spiunuar kompanitë dhe vjedhin të dhënat dhe paratë e tyre, problemi RAT tani është bërë çështje e sigurisë kombëtare për shumë vende, veçanërisht SHBA. Ne kemi përfshirë disa shembuj të mjeteve RAT më poshtë.

Mbrojtje kundër softverit Trojan nga Remote Access

Sistemet antivirus nuk bëjnë shumë mirë kundër RAT. Shpesh infeksioni i një kompjuteri ose i një rrjeti kalon i paditur për vite. Metodat e bllokimit të përdorura nga programet paralele për të mbuluar procedurat RAT i bëjnë ato shumë të vështira për tu parë. Modulet e qëndrueshmërisë që përdorin teknikat e rootkit do të thotë që RAT-të janë shumë të vështira për t’u hequr qafe. Ndonjëherë, e vetmja zgjidhje për të hequr qafe kompjuterin tuaj nga një RAT është të fshini të gjithë softverin tuaj dhe të riinstaloni sistemin operativ.

Sistemet e parandalimit të RAT janë të rralla sepse softveri RAT mund të identifikohet vetëm pasi të funksionojë në sistemin tuaj. Mënyra më e mirë për të menaxhuar problemin RAT është të përdorni një sistem zbulimi ndërhyrje. Comparitech ka një udhëzues për sistemet e zbulimit të ndërhyrjeve, i cili ju jep një shpjegim të plotë se si funksionojnë këto sisteme dhe një tërësi mjetesh të rekomanduara.

Mjetet më të mira të zbulimit të softuerëve RAT

Këtu rishikojmë mjetet më të mira të zbulimit të softuerëve RAT:

1. Menaxher i ngjarjeve të sigurisë së SolarWinds (TRIAL FALAS)

Log Solarwinds dhe Menaxher i Ngjarjeve

Sistemet e zbulimit të ndërhyrjes janë mjete të rëndësishme për bllokimin e ndërhyrjeve të softuerëve që mund të shmangin zbulimin nga mjetet antivirus dhe firewall. Menaxher i ngjarjeve të sigurisë SolarWinds është një sistem i zbulimit të ndërhyrjes me bazë mikpritësin. Sidoqoftë, ekziston një pjesë e mjetit që funksionon si një Sistem i Detektimit të Ndërhyrjes i bazuar në Rrjet. Ky është Analizuesi i Snort Log. Ju mund të lexoni më shumë rreth Snort më poshtë, megjithatë, ju duhet të dini këtu se është një sniffer paketë i përdorur gjerësisht. Duke përdorur Snort si një koleksionist të të dhënave për t’u futur në Analizës Snort Log, ju merrni si analizë të drejtpërdrejtë ashtu edhe historike të të dhënave nga Menaxheri i Eventit të Sigurisë.

Kjo aftësi e dyfishtë ju jep një shërbim të plotë të Informacionit mbi Sigurinë dhe Menaxhimin e Ngjarjeve (SIEM). Kjo do të thotë që ju mund të shihni ngjarje të kapura nga Snort drejtpërdrejt dhe gjithashtu të ekzaminoni nënshkrime ndër-pako ndërhyrje të identifikuara përmes regjistrave të skedarëve log.

Menaxheri i Ngjarjeve të Sigurisë shkon përtej zbulimit të RAT sepse përfshin detyra të automatizuara të përmirësimit që ju ndihmojnë të bllokoni aktivitetet e RAT. Mjeti është në përputhje me një sërë standardesh të sigurisë së të dhënave, përfshirë PCI DSS, HIPAA, SOX, dhe DISA Stig.

Menaxheri i ngjarjeve të sigurisë SolarWinds mund të instalohet në Windows Server. Shërbimi nuk është i lirë për t’u përdorur, por mund ta marrësh atë në një 30 ditë provë falas.

SolarWinds Security Event ManagerDownload gjyqi 30-ditor FALAS

2. Gërhitës

Fotografi gërhitës

Gërhitës është i lirë për t’u përdorur dhe është udhëheqësi i industrisë në NIDS, që është një Sistemi i zbulimit të ndërhyrjes në rrjet. Ky sistem u krijua nga Sistemet Cisco dhe mund të instalohet në Windows, Linux, dhe Unix. Gërhitës mund të zbatojë strategji mbrojtëse, gjë që e bën atë një sistemi i parandalimit të ndërhyrjeve. Ka tre opsione mënyrash:

  • Modaliteti i nuhatjes – një sniffer i paketave të gjalla
  • Logger-i i paketave – regjistron paketat në një skedar
  • Zbulimi i ndërhyrjes – përfshin një modul analize

Modaliteti IDS i Snort vlen “politikat bazë“Të dhënave. Këto janë rregulla vigjilente që sigurojnë zbulimin e ndërhyrjes. Politikat mund të merren falas nga faqja e internetit Snort, me burim nga komuniteti i përdoruesit ose mund të shkruani vetë. Ngjarjet e dyshimta që Snort mund të nënvizojnë përfshijnë skanimi i portit vjedhurazi, sulmet e mbingarkesës tampon, Sulmet CGI, Sondat SMB, dhe Shtypja e gishtërinjve në OS. Gërhitës është i aftë për të dy metodat e zbulimit të bazuara në nënshkrime dhe sisteme të bazuara në anomali.

Pjesa e përparme e Snort nuk është shumë e mirë dhe shumica e të dhënave të ndërfaqes së përdoruesve nga Snort tek konzollat ​​më të mira dhe mjetet e analizës, siç janë  Snorby, BASE, Squil, dhe Anaval.

3. OSSEC

Fotografi OSSEC

OSSEC nënkupton Sigurinë e HSD-së me Burim të Hapur. A HIDS Eshte nje Sistemi i Detektimit të Ndërhyrjes së Pritësit, që ekzaminon ngjarjet në kompjuter në një rrjet sesa të përpiqesh anomali vendore në trafikun e rrjetit, cila është ajo që sistemet e zbulimit të ndërhyrjes në rrjet bërë. OSSEC është udhëheqësi aktual i HIDS dhe ai mund të instalohet në të Unix, Linux dhe Mac OS sistemet operative. Edhe pse nuk mund të ekzekutohet në kompjuterët Windows, ai mund të pranojë të dhëna prej tyre. OSSEC ekzaminon regjistrat e ngjarjeve për të kërkuar aktivitete RAT. Ky program është një projekt me burim të hapur që është në pronësi të firmës së sigurisë në internet, Mikro Trendi.

Ky është një mjet për mbledhjen e të dhënave, i cili nuk ka një përparësi shumë miqësore për përdoruesit. Në përgjithësi, pjesa e përparme për këtë sistem furnizohet nga mjete të tjera, siç janë Splunk, Kibana, ose Graylog. Motori i zbulimit të OSSEC është i bazuar në politikat, të cilat janë kushte alarmi që mund të lindin në të dhëna. Ju mund të blini paketa të paracaktuara të politikave nga përdoruesit e tjerë të OSSEC që i bëjnë paketat e tyre në dispozicion falas në forumin e komunitetit të përdoruesve OSSEC. Ju gjithashtu mund të shkruani politikat tuaja.

4. Bro

Pamja e ekranit Bro

Bro është një NIDS falas që mund të instalohet në Unix, Linux, dhe Mac OS. Ky është një sistem i monitorimit të rrjetit që përfshin metodat e zbulimit të ndërhyrjes. IDS mbledh të dhënat e paketave në një skedar për analiza të mëvonshme. NIDS që veprojnë në të dhëna live humbasin identifikues të caktuar ndërhyrje sepse hakerat nganjëherë ndajnë mesazhe RAT mbi pako të shumta. prandaj, shtresat e aplikimit NIDS, të tilla si Bro kanë aftësi më të mira të zbulimit sepse ato aplikojnë analiza nëpër pako. Bro i përdor të dy analiza e bazuar në firma dhe zbulimi i bazuar në anomali.

Motori i Ngjarjeve Bro “Dëgjon” për nxitjen e ngjarjeve, të tilla si një lidhje e re TCP ose një kërkesë HTTP dhe i logon ato. Skriptet e politikave atëherë kërkoni në ato shkrime për të kërkuar modele në sjellje, të tilla si aktiviteti anomal dhe joligjor i kryer nga një llogari përdoruesi. Bro do të ndjekë aktivitetet e HTTP, DNS dhe FTP. Ai gjithashtu mbledh njoftime SNMP dhe mund të përdoret për të zbuluar ndryshimet e konfigurimit të pajisjes dhe mesazhet SNMP Trap.

5. Suricata

Pamja e ekranit Suricata

Suricata është një NIDS që mund të instalohet në Windows, Linux, Mac OS, dhe Unix. Kjo është një sistem i bazuar në tarifa kjo vlen analiza e shtresave të aplikimit, kështu që do të zbulojë nënshkrimet që janë përhapur nëpër pako. Monitoron Suricata IP, TLS, TCP, dhe UDP aktiviteti i protokollit dhe përqendrohet në aplikacionet kryesore të rrjetit, si p.sh. FTP, HTTP, ICMP, dhe SMB. Mund të ekzaminojë gjithashtu TLS çertifikatat dhe përqëndrimi në HTTP kërkesa dhe DNS e quan. Ekziston edhe një strukturë ekstraktimi skedar që mundëson analizën e skedarëve të infektuar nga virusi.

Suricata ka një modul të integruar skriptimi që ju mundëson juve kombinojnë rregullat dhe merrni një profil më të saktë të zbulimit. Ky IDS përdor si metodat e zbulimit të bazuara në nënshkrime ashtu edhe ato të bazuara në anomali. VRT rregullon skedarët e shkruar për gërhij gjithashtu mund të importohet në Surcata sepse kjo IDS është e përputhshme me platformën Snort. Kjo gjithashtu do të thotë se Snorby, BASE, Squil, dhe Anaval mund të shërbejë si skajet e përparme të Suricata. Sidoqoftë, Suricata GUI është shumë e sofistikuar dhe përfshin paraqitje grafike të të dhënave, kështu që mund të mos keni nevojë të përdorni ndonjë mjet tjetër për të parë dhe analizuar të dhënat.

6. Sagani

Pamja e ekranit të Saganit

Sagani është një sistem falas për zbulimin e ndërhyrjes të bazuar në host që mund të instalohet në Unix, Linux, dhe Mac OS. Ju nuk mund ta ekzekutoni Sagan në Windows, por mundeni ushqeni regjistrat e ngjarjeve Windows në të. Të dhënat e mbledhura nga gërhij, Suricata, ose Bro mund të importohet në Sagan, e cila jep të dhënat mjet analitik të këtij mjeti a NIDS perspektiva si dhe vendlindja e saj HIDS aftësitë. Sagan është gjithashtu i pajtueshëm me sistemet e tjera të tipit Snort, siç janë Snorby, BASE, Squil, dhe Anaval, i cili të gjithë mund të sigurojnë një fund para për analizën e të dhënave.

Sagani është një mjet analizimi log dhe ajo duhet të përdoret në lidhje me sistemet e tjera të mbledhjes së të dhënave në mënyrë që të krijojë një sistem të plotë zbulimi ndërhyrje. Shërbimi përfshin një IP locator, kështu që ju mund të gjurmoni burimet e aktiviteteve të dyshimta në një vendndodhje. Ai gjithashtu mund të grupojë së bashku aktivitetet e adresave IP të dyshimta për të identifikuar sulme në ekip ose shpërndarë. Moduli i analizës funksionon me si metodologjitë e nënshkrimit ashtu edhe ato të zbulimit të anomalisë.

Sagani mund ekzekuton automatikisht skriptet për të mbyllur rrjetin kur zbulon ngjarje specifike. Kryen këto detyra parandaluese përmes ndërveprimit me tabelat e firewall-it. Pra, ky është një sistem i parandalimit të ndërhyrjeve.

7. Qepë sigurie

Fotografi e qepës së sigurisë

Qepa e Sigurisë u zhvillua duke bashkuar kodin për gërhij, Suricata, OSSEC, Bro, Snorby, Sguil, Squert, Kibana, ELSA, Xplico, dhe NetworkMiner, të cilat janë të gjitha projektet me burim të hapur. Ky mjet është një NIDS pa bazë Linux që përfshijnë HIDS funksionalitetin. Wasshtë shkruar për të ekzekutuar në mënyrë specifike Ubuntu.

Kontrollet e analizave të bazuara në host për ndryshimet e skedarëve dhe analiza e rrjetit bëhet nga një sniffer i paketave, të cilat mund të shfaqin të dhëna kaluese në një ekran dhe gjithashtu të shkruajnë në një skedar. Motori i analizës së Sigurisë Qepë është i komplikuar sepse kombinon procedurat e kaq shumë mjeteve të ndryshme. Ai përfshin monitorimin e gjendjes së pajisjes, si dhe analizën e trafikut. Atje jane rregullat e alarmit të bazuara në nënshkrime dhe anomali të përfshira në këtë sistem. Ndërfaqja e Kibana siguron pultin për Sigurinë e Qepës dhe përfshin grafikët dhe tabelat për të lehtësuar analizën e të dhënave.

8. Ndihmësi

Fotografi AIDE

AIDE qëndron për “Mjedisi i Avancuar i Detektimit të Ndërhyrjes.” Kjo është një HIDS falas që vazhdon Mac OS, Unix, dhe Linux. Kjo IDS përqendrohet zbulimi i rootkit dhe krahasimet e nënshkrimit të dosjeve. Moduli i mbledhjes së të dhënave popullohet një bazë të dhënash të karakteristikave që janë grumbulluar nga skedarët log. Kjo bazë e të dhënave është një fotografi e statusit të sistemit dhe çdo ndryshim në sinjalizimet e shkaktimit të konfigurimit të pajisjes. Këto ndryshime mund të anulohen duke iu referuar bazës së të dhënave ose baza e të dhënave mund të azhurnohet për të pasqyruar ndryshimet e autorizuara të konfigurimit.

Kontrollet e sistemit kryhen sipas kërkesës dhe jo vazhdimisht, por ajo mund të planifikohet si një punë kronike. Baza e rregullave të përdorimeve të AIDE-së si metodat e monitorimit të bazuara në nënshkrime ashtu edhe ato anomali.

9. OpenWIPS-NG

Skenë e ekranit OpenWIPS-NG

OpenWIPS-NG vjen nga zhvilluesit e Aircrack-NG. Në fakt, ajo integron Aircrack-NG si të saj sniffer paketë wireless. Aircrack-NG është një mjet i njohur hacker, kështu që kjo shoqatë mund t’ju bëjë pak të kujdesshëm. WIPS qëndron për “Sistemi i Parandalimit të Ndërhyrjes Wireless” dhe ate shkon në Linux. Kjo është një mjet falas që përfshin tre elementë:

  • Sensori – sniffer i paketës
  • Server – ruajtja e të dhënave dhe rregulla bazë e analizës
  • Ndërfaqja – fundi i përparuar i përdoruesit.

Sensori është gjithashtu një transmetues, kështu mundet zbatojnë veprimet e parandalimit të ndërhyrjes dhe gjymtoj transmetimet e padëshiruara. serveri kryen analiza dhe gjithashtu fillon politikat e ndërhyrjes për të bllokuar ndërhyrjet e zbuluara. moduli i ndërfaqes tregon ngjarjet dhe njoftime për administratorin e sistemeve. Kjo është gjithashtu kur cilësimet mund të shkulen dhe veprimet mbrojtëse mund të rregullohen ose tejkalohen.

10. Samhain

Pamja e ekranit Samhain

Samhain, prodhuar nga Samhain Design Labs në Gjermani, është një sistem falas për zbulimin e ndërhyrjes të bazuar në host që instalon në Unix, Linux, dhe Mac OS. Ai përdor agjentë që funksionojnë në pika të ndryshme në rrjet, të cilët raportojnë përsëri në një modul qendror të analizës. Eachdo agjent kryen kontrolli i integritetit të skedarëve, monitorimi i skedarit log, dhe monitorimi i portit. Proceset kërkojnë viruset e rrënjës, SUIDë mashtrues (të drejtat e përdoruesit), dhe procese të fshehura.

Komunikimi në rrjet ndërmjet agjentëve dhe tastierës është mbrohet nga kriptimi. Lidhjet për dërgimin e të dhënave të skedarëve log përfshijnë kërkesat e vërtetimit, të cilat parandaloni ndërhyrësit të rrëmbejnë ose të zëvendësojnë procesin e monitorimit.

Samhain do të nxjerrë në pah shenjat paralajmëruese të ndërhyrjes, por ai nuk ka ndonjë proces zgjidhjeje. Ju do të duhet të mbani kopje rezervë të skedarëve tuaj të konfigurimit dhe identitetit të përdoruesit në mënyrë që të ndërmerrni masa për të zgjidhur problemet që zbulon monitoruesi Samhain. Samhain i mban të fshehura proceset e tij nga teknologjia e vjedhjes, i quajtur “Steganography“Në mënyrë që të parandalojë ndërhyrës të manipulojnë ose vrasin IDS. Skedarët qendrorë log dhe kopjet rezervë të konfigurimit janë nënshkruar me një tast PGP për të parandaluar ngatërrimet nga ndërhyrës.

11. Dështimi2Ban

Pamja e pamundur e ekranit

Dështimi2Ban është një sistem falas për parandalimin e ndërhyrjes bazuar në host që vazhdon Unix, Linux, dhe Mac OS X. IDS analizon skedarët e logave dhe vendos ndalime në adresat IP që shfaqin sjellje të dyshimtë. Bllokimet automatike ndodhin në rregullat e zjarrit Netfilter / IPtables ose PF dhe në tryezën host.deny të TCP Wrapper. Këto blloqe zakonisht zgjasin vetëm disa minuta, por kjo mund të jetë e mjaftueshme për të prishur një skenar standard të automatizuar brutal të goditjes me fjalëkalim. Situatat e alarmit përfshijnë përpjekje të tepërta të dështuara të hyrjes. Një problem me Fail2Ban është se përqendrohet në veprime të përsëritura nga një adresë. Kjo nuk i jep asaj mundësinë për të përballuar fushatat e shpërndara të çarjeve me fjalëkalim ose sulmet DDoS.

Shtrirja e monitorimit të sistemit përcaktohet nga një seri “filtra.”Këto udhëzojnë IPS mbi të cilat shërbimet duhet të monitorohen. Kjo perfshin Postfix, Apache, Server Courier Mail, Lighttpd, sshd, vsftpd dhe qmail. Filterdo filtër kombinohet me një veprim për të kryer në rast se zbulohet një gjendje alarmi. Kombinimi i një filtri dhe një veprim quhet “burg.”

Programe dhe shembuj RAT

Ekzistojnë një numër i sistemeve të qasjes në distancë që mund të kenë aplikime të ligjshme, por janë të njohura si mjete që janë përdoret kryesisht nga hakerat si pjesë e një Trojan; këto janë kategorizuar si Trojans Remote Access. Detajet e RAT-ve më të njohura janë shpjeguar më poshtë.

Origjina e kthyeshme

Back Orifice, e cila është referuar edhe si BO është një RAT i bërë nga Amerika që ka qenë rreth e rrotull që nga viti 1998. Ky është mbesa e RAT dhe ka qenë rafinuar dhe përshtatur nga grupe të tjera hakerash për të prodhuar sisteme më të reja RAT. Sistemi origjinal shfrytëzoi një dobësi në Windows 98. Versionet e mëvonshme që funksionuan në sistemet më të reja operative të Windows ishin Mbrapa Orifice 2000 dhe Ndërtesë e thellë.

Ky RAT është në gjendje të fshihet brenda sistemit operativ, i cili fillimisht e bën të vështirë zbulimin. Sidoqoftë, në ditët e sotme, shumica e sistemeve antivirus kanë skedarët e ekzekutueshëm Back Orifice dhe sjelljen e okluzionit të regjistruar në bazat e të dhënave të tyre si nënshkrime për të parë. Një tipar i bukur i këtij softveri është ai që ka një tastierë e lehtë për t’u përdorur të cilat ndërhyrësi mund të përdorë për të lundruar rreth sistemit të infektuar. Elementi i largët mund të rrëshqitet në një kompjuter të synuar përmes një Trojan. Pasi të instalohet, ky program server komunikon me tastierën e klientit duke përdorur procedurat standarde të rrjetit. Back Orifice është e njohur që përdor numrin e portit 21337.

kafshë

Beast RAT sulmon sistemet e Windows nga Windows 95 deri në Windows 10. Kjo përdor të njëjtën arkitekturë klient-server që Back Orifice pionieroi me pjesën e serverit të sistemit duke qenë malware që instalohet në mënyrë të shkëputur në kompjuterin e synuar. Pasi elementi i serverit të jetë funksional, hakeri mund të hyjë në kompjuterin viktimë sipas dëshirës përmes programit të klientit. Klienti lidhet me kompjuterin e synuar në numrin e portit 6666. Serveri është gjithashtu në gjendje të hap lidhjet përsëri tek klienti dhe që përdor numrin e portit 9999.  Bisha u shkrua në 2002 dhe është akoma gjerësisht në përdorim.

Bifrost

Ky Trojan fillon infeksionin e tij me instalimin e një programi ndërtues serveri. Fillimisht, ky program thjesht bën kontakt me një server Command and Control dhe pret udhëzime. Trojan infekton sistemet Windows nga Windows 95 në Windows 10. Sidoqoftë, aftësitë e tij janë zvogëluar në versionet e Windows XP dhe më vonë.

Sapo të nxitet, krijuesi i serverit do të vendosë një program serveri në kompjuterin e synuar. Kjo i mundëson hakerit, duke përdorur një program përkatës klienti për të hyrë në kompjuterin e infektuar dhe të ekzekutojë komanda sipas dëshirës. Softueri i serverit ruhet në C: \ Windows \ Bifrost \ Server.exe ose C: \ Skedarët e programit \ Bifrost \ server.exe. Ky direktori dhe skedari fshihen dhe kështu disa sisteme antivirus nuk arrijnë të zbulojnë Bifrost.

Ndërtuesi i serverit nuk i mbaron veprimet e tij pasi të jetë krijuar serveri. Në vend të kësaj, ajo funksionon si një sistem këmbënguljeje dhe do të rikrijojë serverin në një vend tjetër dhe me një emër tjetër nëse instalimi origjinal i serverit është i ndotur dhe hequr. Ndërtuesi i serverëve gjithashtu përdor metoda rootkit për të maskuar proceset e serverit dhe e bëjnë sistemin e ndërhyrjes operative shumë të vështirë për tu zbuluar.

Që nga Windows Vista, aftësitë e plota shkatërruese të Bifrost janë ngadalësuar sepse shumë nga shërbimet që përdor malware kërkojnë privilegje të sistemit. Sidoqoftë, nëse një përdorues është mashtruar për të instaluar ndërtuesin e serverit të maskuar me privilegjet e sistemit, sistemi Bifrost mund të bëhet plotësisht funksional dhe do të jetë shumë i vështirë për t’u hequr.

Lidhur: Programet më të mira për heqjen, zbulimin dhe skanerin e rootkit

Blackshades

Blackshades është një mjet i fshehtë hacking që ishte u shitet hakerëve nga zhvilluesit e tij për 40 dollarë pop. FBI vlerësoi se prodhuesit e saj fituan një total prej 340,000 $ duke shitur këtë softuer. Zhvilluesit u mbyllën dhe u arrestuan në vitin 2012 dhe një valë e dytë e arrestimeve në 2014 kapi më shumë se 100 përdorues të Blackshades. Sidoqoftë, ekzistojnë akoma kopje të sistemit Blackshades në qarkullim dhe ai është akoma në përdorim aktiv. Blackshades synon Microsoft Windows nga Windows 95 në Windows 10.

Paketa e veglave përfshin metoda të infeksionit, të tilla si kod me qëllim të keq për t’u futur në faqet e internetit që shkaktojnë rutinat e instalimit. Elementë të tjerë përhapin RAT duke dërguar lidhje në faqet e internetit të infektuara. Këto dërgohen tek kontaktet e mediave sociale të një përdoruesi të infektuar.

Malware lejon një haker të marrë qasje në sistemin e skedarëve të kompjuterit të synuar dhe të shkarkojë dhe ekzekutojë skedarët. Përdorimet e programit përfshijnë funksione botnet që marrin kompjuterin e synuar për të filluar mohimin e sulmeve të shërbimit. Kompjuteri i infektuar mund të përdoret gjithashtu si një proxy server për të udhëzuar trafikun e hakerave dhe siguroni mbulesë identiteti për aktivitete të tjera të hakerave.

Paketa e veglave Blackshades është shumë e lehtë për t’u përdorur dhe u mundëson atyre që nuk kanë aftësi teknike të bëhen hakerë. Sistemi gjithashtu mund të përdoret për të krijuar sulme ransomware. Një program i dytë obfuskimi i shitur së bashku me Blackshades mban të fshehur programin, i mundëson rindizjen kur vritet dhe shmang zbulimin nga softveri antivirus.

Ndër sulmet dhe ngjarjet që janë gjurmuar në Blackshades janë një fushatë e ndërprerjes në vitin 2012 që synonte forcat opozitare Siriane.

Shihni gjithashtu: 2017-2018 Statistikat dhe faktet Ransomware

Manuali i Shkarkimit të Ransomware: Ballafaqimi me llojet e zakonshme të ransomware

DarkComet

Haker francez Jean-Pierre Lesueur zhvilluar DarkComet në 2008, por sistemi nuk u përhap me të vërtetë deri në vitin 2012. Ky është një tjetër sistem hacker që synon sistemin operativ Windows nga Windows 95 deri në Windows 10. Ka një ndërfaqe shumë të lehtë për t’u përdorur dhe u mundëson atyre që nuk kanë aftësi teknike të kryejnë sulme hakerash.

Softueri mundëson spiunimin përmes keylogging, kapja e ekranit dhe vjelja e fjalëkalimit. Haker kontrollues gjithashtu mund të funksionojë funksionet e energjisë së një kompjuteri të largët, duke lejuar që një kompjuter të ndizet ose fiket nga distanca. Funksionet e rrjetit të një kompjuteri të infektuar gjithashtu mund të shfrytëzohen për të përdorur kompjuterin si një proxy server për të kanalizuar trafikun dhe maskuar identitetin e hakerit gjatë bastisjeve në kompjuterë të tjerë.

DarkComet erdhi në vëmendjen e komunitetit të sigurisë në vitin 2012 kur u zbulua se një njësi hakerësh afrikanë po përdorte sistemin për të synuar qeverinë dhe ushtrinë amerikane. Në të njëjtën kohë, sulmet e DarkComet me origjinë nga Afrika u nisën kundër gamerëve në internet.

Lesueur braktisi projektin në 2014 kur u zbulua se DarkComet ishte në përdorim nga qeveria Siriane për të spiunuar qytetarët e saj. Popullata e përgjithshme kishte marrë për të përdorur VPN dhe siguruar aplikacione chat për të bllokuar mbikëqyrjen e qeverisë, kështu që tiparet spyware të DarkComet i mundësoi qeverisë siriane të anashkalojë ato masa të sigurisë.

mirazh

Mirage është RAT kryesore që përdoret nga grupi haker kinez i sponsorizuar nga shteti i njohur si APT15. Pas një fushate shumë aktive spiunimi nga 2009 deri në 2015, APT15 papritmas u qetësua. Vetë Mirage ishte në përdorim nga grupi nga 2012. Zbulimi i një varianti të Mirage në vitin 2018 sinjalizoi që grupi ishte përsëri në veprim. Ky RAT i ri, i njohur si MirageFox u përdor për të spiunuar kontraktorët e qeverisë në Mbretërinë e Bashkuar dhe u zbulua në Mars 2018. Mirage dhe MirageFox secili veproni si agjent në kompjuterin e infektuar. Pjesa Trojan e ndërhyrjes bën sondazh një adresë të komandës dhe kontrollit për udhëzime. Këto udhëzime zbatohen më pas në kompjuterin viktimë.

RAT-i origjinal i Mirage u përdor për sulme një kompani e naftës në Filipine, ushtria tajvaneze, një kompani kanadeze e energjisë, dhe caqe të tjera në Brazil, Izrael, Nigeri dhe Egjipt. Mirage dhe MirageFox futen në sistemet e synuara peshkimi i shtizës fushatave. Këto zakonisht synohen drejtuesit e një kompanie viktimë. Trojan është dorëzuar i futur në një PDF. Hapja e PDF-së bën që skriptet të ekzekutohen dhe ata instalojnë RAT. Aksioni i parë i RAT është të raportojë përsëri në sistemin e komandës dhe kontrollit me një auditim të aftësive të sistemit të infektuar. Ky informacion përfshin shpejtësinë e CPU-së, aftësinë e kujtesës dhe përdorimin, emrin e sistemit dhe emrin e përdoruesit.

Raporti fillestar i sistemit bën të duket sikur projektuesit e Mirage e bënë RAT në mënyrë që të vjedhin burimet e sistemit dhe jo të dhënat e hyrjes në sistemin e synuar. Nuk ka asnjë sulm tipik të Mirage sepse duket se çdo ndërhyrje është përshtatur drejt objektivave specifikë. Instalimi i RAT mund të presohet nga një fushatë për gjetjen e fakteve dhe kontrollet e sistemit. Për shembull, sulmi i vitit 2018 ndaj kontraktuesit ushtarak britanik NCC fitoi aksesin në sistem përmes shërbimit të autorizuar të kompanisë VPN.

Fakti që çdo sulm është shumë i synuar, do të thotë kjo shumë shpenzime vijnë nga një infeksion i Mirage. Kjo kosto e lartë tregon se Sulmet e mirazhit zakonisht synojnë vetëm synime me vlera të larta që qeveria kineze dëshiron të minojë ose nga e cila të vjedh teknologjinë.

Kërcënimet nga Trojan Qasja në distancë

megjithëse shumë aktivitete RAT duket se janë të drejtuara nga qeveria, ekzistenca e mjeteve të mjeteve RAT bën ndërhyrje në rrjetë një detyrë që çdokush mund të kryejë. Pra, aktiviteti RAT dhe APT nuk do të kufizohet në sulme ndaj ndërmarrjeve ushtarake apo teknologjisë së lartë.

RAT kombinohen me malware të tjerë për të mbajtur veten të fshehur, që do të thotë se instalimi i softverit antivirus në kompjuterët tuaj nuk është i mjaftueshëm për të parandaluar hakerat që kontrollojnë sistemin tuaj me këto metoda. hetoj sistemet e zbulimit të ndërhyrjes me qëllim të mposhtjes së kësaj strategjie të hakerave.

A keni përjetuar një ndërhyrje në rrjet që rezultoi në dëmtim ose humbje të të dhënave? A keni zbatuar një strategji të parandalimit të ndërhyrjes për të zgjidhur problemin e RAT? Lini një mesazh në pjesën e Komente më poshtë për të shkëmbyer përvojat tuaja.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map