10 bedste værktøj til detektering af software til software – plus en definitiv guide med eksempler

Hvad er en Trojan eller RAT-adgang til fjernadgang


EN Fjernadgang Trojan (RAT) er en type malware, der lader en hacker tage kontrol over din computer. De spionageaktiviteter, som hacker muligvis udfører, når RAT er installeret, varierer fra udforske dit filsystem, se aktiviteter på skærmen, og høstes loginoplysninger.

Hackeren bruger muligvis også din internetadresse som en front til ulovlige aktiviteter, efterligger dig og angriber andre computere. Vira, der downloades via RAT, inficerer andre computere, mens de også skader dit system ved at slette eller kryptere essentiel software.

Vi får en masse detaljer om hvert af indtrængende detekteringsværktøjer og RAT-eksempler nedenfor, men hvis du ikke har tid til at læse hele stykket, her er vores liste over de bedste indtrædelsesdetektionsværktøjer til RAT-software:

  1. SolarWinds Security Event Manager (GRATIS PRØVE) går ud over RAT-registrering med automatiserede saneringsopgaver, der hjælper dig med at blokere RAT-aktiviteter
  2. Snøfte industristandard i NIDS først lanceret af Cisco
  3. OSSEC open source HIDS, der får et følgende for dataindsamlingsfunktioner
  4. brormand gratis NIDS til Unix, Linux og Mac OS
  5. Suricata overvåger IP-, TLS-, TCP- og UDP-protokolleaktivitet
  6. Sagan Ikke et selvstændigt IDS, godt til at automatisere scripts
  7. Sikkerhedsløg open source-sammenlægning af andre open source-værktøjer på denne liste
  8. AIDE er specialiseret i rootkit-detektion og sammenligning af filsignaturer
  9. OpenWIPS-NG foretrækkes til trådløs pakkesniffing
  10. Samhain fantastisk til at indstille advarsler, men ingen reelle fejlfindingsfunktioner

RAT softwareværktøjer og APT'er

RATs er værktøjer, der normalt bruges i en stealth type hackerangreb, der kaldes en Avanceret vedvarende trussel, eller APT. Denne type indtrængen er ikke fokuseret på at beskadige information eller angribe computere hurtigt til data. I stedet, APT'er består af regelmæssige besøg på dit netværk, der kan vare over år. RATS kan også bruges til at omdirigere trafik gennem dit virksomheds netværk til at maskere ulovlige aktiviteter. Nogle hackergrupper, overvejende i Kina, har endda oprettet et hacker-netværk der løber gennem verdens virksomhedsnetværk, og de udlejer adgang til denne cyberkriminalitetsvej til andre hackere. Dette kaldes "terracotta VPN”Og det lettes af RATs.

Tidlige invasioner

Rat har roligt eksisteret i mere end et årti. Teknologien blev opdaget at have spillet en rolle i omfattende plyndring af amerikansk teknologi af kinesiske hackere i 2003. Pentagon lancerede en efterforskning, kaldet Titan Rain, der opdagede datatyveri fra amerikanske forsvarsentreprenører, hvor udviklings- og klassificerede testdata blev overført til lokationer i Kina.

Du husker det måske den amerikanske østkyst nedlukning af strømnettet i 2003 og 2008. Disse blev også sporet tilbage til Kina og blev også lettet af RATs. Kort sagt kan en hacker, der kan få en RAT på et system, aktivere al den software, som brugerne af disse computere har til rådighed.

Hybrid krigsførelse

En hacker med en RAT kan kommandere kraftværker, telefonnet, nukleare anlæg eller gasledninger. RATs repræsenterer ikke kun en virksomheds sikkerhedsrisiko, men de kan også gøre det muligt for krigsførende nationer at lamme et fjendeland.

De originale brugere af RATs til industriel spionage og sabotage var kinesiske hackere. I årenes løb, Rusland er kommet til at sætte pris på RATs magt og har integreret dem i dets militære arsenal. APT'er er nu officielt en del af den russiske lovovertrædelsesstrategi, der er kendt som "hybrid krigføring.”

Da Rusland beslaglagde territorium fra Georgien i 2008, anvendte det DDoS-angreb for at blokere internettjenester og APT'er ved hjælp af RATs til at indsamle efterretning, kontrol og forstyrre georgisk militær hardware og vigtige værktøjer. Ruslands brug af RATs for at destabilisere Ukraine og Baltikum fortsætter i dag.

Rusland beskæftiger semi-officielle hackergrupper, sådan APT28. En anden hacker-gruppe, kendt som APT15 bruges regelmæssigt af den kinesiske regering. Navnene på disse grupper forklarer deres hovedstrategi, den "avancerede vedvarende trussel", som er lettet af RATs.

Stigningen i handelstarifspændingerne i 2018 har set en ny spurt i den kinesiske hackeraktivitet, især den semi-militære APT15-gruppe. Problemerne mellem USA og Nordkorea, der har rumlet om siden 2015, har også forårsaget en stigning i RAT-assisteret APT-aktivitet med oprindelse i Nordkorea.

Så mens hackere over hele verden bruger RATs til at spionere på virksomheder og stjæle deres data og penge, er RAT-problemet nu blevet et spørgsmål om national sikkerhed for mange lande, især USA. Vi har medtaget nogle eksempler på RAT-værktøjer nedenfor.

Forsvar mod Trojan-software til fjernadgang

Antivirussystemer klarer sig ikke særlig godt mod RATs. Ofte inficeres en computer eller netværk i mange år. Tilsløremetoderne, der anvendes af parallelle programmer til at kappe RAT-procedurerne, gør dem meget vanskelige at få øje på. Persistensmoduler, der bruger rootkit-teknikker, betyder, at RATs er meget vanskelige at slippe af med. Nogle gange er den eneste løsning til at befri din computer fra en RAT at udslette al din software og geninstallere operativsystemet.

RAT-forebyggende systemer er sjældne, fordi RAT-softwaren kun kan identificeres, når den fungerer på dit system. Den bedste måde at håndtere RAT-problemet er at gøre Brug et indtrængende detektionssystem. Comparitech har en guide til systemer til påvisning af indtrængen, som giver dig en fuldstændig forklaring af, hvordan disse systemer fungerer, og en oversigt over anbefalede værktøjer.

De bedste RAT-softwaredetekteringsværktøjer

Her gennemgår vi de bedste RAT-softwaredetekteringsværktøjer:

1. SolarWinds Security Event Manager (GRATIS PRØVE)

Solarwinds Log og Event Manager

Intrusionsdetekteringssystemer er vigtige værktøjer til at blokere indtrængen af ​​software, der kan undgå detektering af antivirus- og firewall-værktøjer. Det SolarWinds Security Event Manager er et værtsbaseret system til detektion af indtrængen. Der er dog et afsnit af værktøjet, der fungerer som et netværksbaseret indtrængningsregistreringssystem. Dette er Snort Log Analyzer. Du kan læse mere om Snort nedenfor, men du skal vide her, at det er en meget brugt pakkesniffer. Ved at ansætte Snort som en dataindsamler til at tilføje Snort Log Analyzer får du både live og historisk dataanalyse fra Security Event Manager.

Denne dobbelte kapacitet giver dig en komplet SIEM-service (Security Information and Event Management). Dette betyder, at du kan se Snort-erobrede begivenheder live og også undersøge krydspakket indtrængesignaturer, der er identificeret gennem logfilposter.

Security Event Manager overskrider RAT-registrering, fordi den inkluderer automatiserede saneringsopgaver, der hjælper dig med at blokere RAT-aktiviteter. Værktøjet overholder en række datasikkerhedsstandarder, herunder PCI DSS, HIPAA, SOX, og DISA STIG.

SolarWinds Security Event Manager kan installeres på Windows Server. Hjælpeprogrammet er ikke gratis at bruge, men du kan få det på en 30-dages gratis prøveperiode.

SolarWinds Security Event ManagerDownload 30-dages GRATIS prøveversion

2. Snort

Snort-skærmbillede

Snort er gratis at bruge, og det er branchens førende inden for NIDS, som er en Netværksintrusionsdetekteringssystem. Dette system blev oprettet af Cisco Systems og det kan installeres på vinduer, Linux, og Unix. Snort kan implementere forsvarsstrategier, hvilket gør det til en system til forebyggelse af indtrængen. Det har tre indstillinger:

  • Sniffer mode - en live pakke sniffer
  • Pakkelogger - registrerer pakker til en fil
  • Intrusionsdetektion - inkluderer et analysemodul

IDS-tilstanden for Snort gælder “basepolitikker”Til dataene. Dette er alarmregler, der giver indtrængende detektion. Politikker kan købes gratis fra Snort-webstedet, hentet fra brugerfællesskabet, eller du kan skrive dine egne. Mistænkelige begivenheder, som Snort kan fremhæve, inkluderer stealth port scanning, bufferoverløb angreb, CGI angreb, SMB sonder, og OS fingeraftryk. Snort er i stand til begge signaturbaserede detektionsmetoder og anomali-baserede systemer.

Forenden af ​​Snort er ikke særlig god, og de fleste brugere bruger grænsefladedata fra Snort til bedre konsoller og analyseværktøjer, f.eks.  Snorby, BASE, Squil, og Anaval.

3. OSSEC

OSSEC-skærmbillede

OSSEC står for Open Source HIDS Security. EN HIDS er en Host Intrusion Detection System, hvilken undersøger begivenheder på computere i et netværk i stedet for at prøve opdage uregelmæssigheder i netværkstrafikken, hvilket er hvad netværk intrusionsdetekteringssystemer gøre. OSSEC er den nuværende HIDS-leder og den kan installeres på Unix, Linux og Mac OS operativsystemer. Selvom det ikke kan køre på Windows-computere, kan det acceptere data fra dem. OSSEC undersøger begivenhedslogfiler for at se efter RAT-aktiviteter. Denne software er et open source-projekt, der ejes af cybersecurity-firmaet, Trend Micro.

Dette er et dataindsamlingsværktøj, der ikke har en meget brugervenlig frontend. Generelt leveres frontenden til dette system af andre værktøjer, f.eks splunk, Kibana, eller Graylog. OSSECs detektionsmotor er baseret på politikker, som er alarmbetingelser, der kan opstå i dataene. Du kan erhverve forhåndskrevne pakker med politikker fra andre OSSEC-brugere der gør deres pakker gratis tilgængelige på OSSEC brugersamfundsforum. Du kan også skrive dine egne politikker.

4. Bro

Bro skærmbillede

Bro er en gratis NIDS der kan installeres på Unix, Linux, og Mac OS. Dette er et netværksovervågningssystem, der inkluderer metoder til påvisning af indtrængen. IDS indsamler pakkedata til en fil til senere analyse. NIDS, der opererer på live data, savner visse indtrængende identifikatorer, fordi hackere undertiden deler RAT-meddelelser over flere pakker. Derfor, applikationslag NIDS, såsom Bro, har bedre detektionsfunktioner fordi de anvender analyse på tværs af pakker. Bro bruger begge dele signaturbaseret analyse og anomali-baseret detektion.

Det Bro Event Engine "Lytter" til at udløse begivenheder, såsom en ny TCP-forbindelse eller en HTTP-anmodning og logger dem. Politik scripts søg derefter gennem disse logfiler for at kigge efter mønstre i adfærd, f.eks. afvigende og ulogisk aktivitet udført af en brugerkonto. Bro sporer HTTP-, DNS- og FTP-aktivitet. Det samler også SNMP-underretninger og kan bruges til at registrere enhedskonfigurationsændringer og SNMP Trap-meddelelser.

5. Suricata

Suricata-skærmbillede

Suricata er et NIDS der kan installeres på vinduer, Linux, Mac OS, og Unix. Dette er et gebyrbaseret system det gælder applikationslagsanalyse, så det vil registrere signaturer, der er spredt over pakker. Suricata skærme IP, TLS, TCP, og UDP protokolaktivitet og fokuserer på centrale netværksapplikationer, f.eks FTP, HTTP, ICMP, og SMB. Det kan også undersøge TLS certifikater og fokus på HTTP anmodninger og DNS opkald. Der er også en filekstraktionsfacilitet, der muliggør analyse af virusinficerede filer.

Suricata har et indbygget scripting-modul, der gør det muligt for dig kombiner regler og få en mere præcis detekteringsprofil. Denne IDS bruger både signaturbaserede og anomali-baserede detektionsmetoder. VRT regler filer der er skrevet til Snøfte kan også importeres til Surcata, fordi dette IDS er kompatibelt med Snort-platformen. Dette betyder også det Snorby, BASE, Squil, og Anaval kan fungere som frontend til Suricata. Dog er Suricata GUI meget sofistikeret og inkluderer grafiske repræsentationer af data, så du behøver muligvis ikke bruge noget andet værktøj til at se og analysere data.

6. Sagan

Sagan-skærmbillede

Sagan er et gratis værtsbaseret intrusionsdetekteringssystem der kan installeres på Unix, Linux, og Mac OS. Du kan ikke køre Sagan på Windows, men du kan feed Windows-begivenheder logger på det. Data indsamlet af Snøfte, Suricata, eller brormand kan importeres til Sagan, som giver dataanalyseværktøjet til dette værktøj a NIDS perspektiv såvel som dets indfødte HIDS kapaciteter. Sagan er også kompatibel med andre Snort-systemer, f.eks Snorby, BASE, Squil, og Anaval, som alle kunne give en frontend til dataanalyse.

Sagan er et loganalyseværktøj og det skal bruges i forbindelse med andre dataindsamlingssystemer for at skabe et komplet detekteringssystem til indtrængen. Værktøjet inkluderer en IP-lokalisering, så du kan spore kilderne til mistænkelige aktiviteter til et sted. Det kan også gruppere aktiviteterne på mistænkelige IP-adresser for at identificere hold eller distribuerede angreb. Analysemodulet fungerer sammen med både signatur- og anomali-detektionsmetoder.

Sagan kan kører automatisk scripts for at låse netværket når det registrerer specifikke begivenheder. Den udfører disse forebyggelsesopgaver gennem interaktion med firewall-tabeller. Så dette er et system til forebyggelse af indtrængen.

7. Sikkerhedsløg

Skærmbillede af sikkerhedsløg

Security Onion blev udviklet ved at splitte koden sammen til Snøfte, Suricata, OSSEC, brormand, Snorby, Sguil, Squert, Kibana, ELSA, Xplico, og NetworkMiner, som alle er open source-projekter. Dette værktøj er en gratis Linux-baserede NIDS der inkluderer HIDS funktionalitet. Det blev skrevet til at køre specifikt på Ubuntu.

Værtsbaseret analyse kontrollerer for filændringer og netværksanalyse udføres af en pakkesniffer, som kan vise passerende data på en skærm og også skrive til en fil. Analysemotoren for Security Onion er kompliceret, fordi den kombinerer procedurerne for så mange forskellige værktøjer. Det inkluderer enhedsstatusovervågning samt trafikanalyse. Der er både signaturbaserede og anomali-baserede alarmregler inkluderet i dette system. Grænsefladen til Kibana leverer instrumentbrættet til Security Onion og det inkluderer grafer og diagrammer for at lette dataanalyse.

8. AIDE

AIDE-skærmbillede

AIDE står for “Avanceret indtrædelsesdetektionsmiljø." Dette er en gratis HIDS der kører videre Mac OS, Unix, og Linux. Dette IDS fokuserer på rootkit-detektion og sammenligning af filsignatur. Modulet til indsamling af data udfyldes en database med egenskaber der hentes fra logfiler. Denne database er et snapshot af systemstatus og eventuelle ændringer i enhedskonfiguration udløser alarmer. Disse ændringer kan annulleres ved henvisning til databasen, eller databasen kan opdateres for at afspejle autoriserede konfigurationsændringer.

Systemcheck udføres efter behov og ikke kontinuerligt, men det kan planlægges som et kronjob. Regelbasen for AIDE bruger både signaturbaserede og anomali-baserede overvågningsmetoder.

9. OpenWIPS-NG

OpenWIPS-NG skærmbillede

OpenWIPS-NG kommer fra udviklerne af Aircrack-NG. Faktisk integrerer det Aircrack-NG som dets trådløs pakke sniffer. Aircrack-NG er et velkendt hacker-værktøj, så denne forening kan gøre dig lidt forsigtig. WIPS står for “Trådløst indbrudssikringssystem" og det kører på Linux. Dette er et gratis værktøj der inkluderer tre elementer:

  • Sensor - pakkesnifferen
  • Server - datalagring og analyse regelbase
  • Interface - brugervendt frontend.

Sensoren er også en sender, så det kan gennemføre indtrængenforebyggende handlinger og lamre uønskede transmissioner. Det server udfører analyse og lancerer også interventionspolitikker for at blokere fundne indtrængen. Det interface-modul viser begivenheder og advarsler til systemadministratoren. Det er også her, at indstillinger kan finjusteres, og defensive handlinger kan justeres eller tilsidesættes.

10. Samhain

Samhain-skærmbillede

Samhain, produceret af Samhain Design Labs i Tyskland, er et gratis værtsbaseret intrusionsdetekteringssystem der installeres på Unix, Linux, og Mac OS. Den bruger agenter, der kører på forskellige punkter på netværket, som rapporterer tilbage til et centralt analysemodul. Hver agent udfører kontrol af filintegritet, logfilovervågning, og havneovervågning. Processerne ser efter rootkit-vira, slyngelige SUID'er (brugeradgangsrettigheder), og skjulte processer.

Netværkskommunikation mellem agenter og konsollen er beskyttet af kryptering. Forbindelser til levering af logfildata inkluderer godkendelseskrav, som forhindre indtrængende i at kapre eller erstatte overvågningsprocessen.

Samhain vil fremhæve advarselstegn for indtrængen, men det har ikke nogen opløsningsprocesser. Du skal beholde sikkerhedskopier af dine konfigurationsfiler og brugeridentiteter for at tage handling for at løse de problemer, som Samhain-skærmen afslører. Samhain holder sine processer skjult af stealth-teknologi, hedder "steganografi”For at forhindre indtrængende i at manipulere eller dræbe IDS. Centrale logfiler og konfigurationssikkerhedskopier er underskrevet med en PGP-nøgle for at forhindre manipulation af indtrængende.

11. Fail2Ban

Fail2ban skærmbillede

Fail2Ban er et gratis værtsbaseret system til forebyggelse af indtrængen der kører videre Unix, Linux, og Mac OS X. IDS analyserer logfiler og indfører forbud mod IP-adresser, der viser mistænkelig opførsel. Automatiske låsninger forekommer i Netfilter / IPtables eller PF firewall-regler og hosts.deny-tabellen i TCP Wrapper. Disse blokke varer normalt kun et par minutter, men det kan være nok til at forstyrre et standard automatiseret brute-force password-cracking-scenarie. Alarmsituationer inkluderer overdrevne mislykkede loginforsøg. Et problem med Fail2Ban er, at det fokuserer på gentagne handlinger fra én adresse. Dette giver det ikke mulighed for at klare distribuerede adgangskodekrackningskampagner eller DDoS-angreb.

Systemets overvågningsomfang er defineret af en række "filtre.”Disse instruerer IPS, hvilke tjenester der skal overvåges. Disse inkluderer Postfix, Apache, Courier Mail Server, Lighttpd, sshd, vsftpd og qmail. Hvert filter er kombineret med en handling, der skal udføres i tilfælde af, at der vises en alarmtilstand. Kombinationen af ​​et filter og en handling kaldes en "fængsel.”

RAT programmer og eksempler

Der er et antal fjernadgangssystemer, der kunne have legitime applikationer, men er velkendt som værktøjer, der er bruges hovedsageligt af hackere som en del af en trojan; Disse er kategoriseret som trojanere med ekstern adgang. Detaljerne om de bedst kendte RATs forklares nedenfor.

Tilbage åbning

Back Orifice, der også kaldes BO, er en amerikansk fremstillet RAT der har eksisteret siden 1998. Dette er bedstemødre til RATs og har været raffineret og tilpasset af andre hackergrupper til at producere nyere RAT-systemer. Det originale system udnyttede en svaghed i Windows 98. Senere versioner, der kørte på nyere Windows-operativsystemer, var Tilbage Orifice 2000 og Deep Back Orifice.

Denne RAT er i stand til at skjule sig selv i operativsystemet, hvilket oprindeligt gør det vanskeligt at opdage. Men i dag, de fleste antivirussystemer har Back Orifice-eksekverbare filer og okklusionsadfærd logget i deres databaser som underskrifter at kigge efter. En dejlig funktion ved denne software er, at den har en brugervenlig konsol som ubuden gæster kan bruge til at navigere rundt i det inficerede system. Det fjerne element kan glides til en målcomputer gennem en Trojan. Når det er installeret, kommunikerer dette serverprogram med klientkonsollen ved hjælp af almindelige netværksprocedurer. Back Orifice er kendt for at bruge portnummer 21337.

Dyr

Beast RAT angriber Windows-systemer fra Windows 95 op til Windows 10. Dette bruger den samme klient-serverarkitektur, som Back Orifice banebrydende med serverdelen af ​​systemet, som er malware, der bliver installeret uhyre på målcomputeren.. Når serverelementet er i drift, kan hackeren få adgang til offercomputeren efter eget ønske gennem klientprogrammet. Klienten opretter forbindelse til målcomputeren på portnummer 6666. Serveren er også i stand til at åbne forbindelser tilbage til klienten, og der bruger portnummer 9999.  Beast blev skrevet i 2002 og er stadig meget i brug.

Bifrost

Denne Trojan begynder sin infektion med installationen af ​​et serverbuilder-program. Oprindeligt tager dette program bare kontakt med en kommando- og kontrolserver og venter på instruktioner. Trojan inficerer Windows-systemer fra Windows 95 til Windows 10. Dog reduceres dens muligheder i Windows version XP og nyere.

Når det er udløst, opretter serverbyggeren et serverprogram på målcomputeren. Dette gør det muligt for hackeren ved hjælp af et tilsvarende klientprogram at få adgang til den inficerede computer og udføre kommandoer efter eget ønske. Serversoftwaren er gemt i C: \ Windows \ Bifrost \ Server.exe eller C: \ Program Files \ Bifrost \ server.exe. Dette bibliotek og denne fil er skjult også nogle anti-virussystemer kan ikke registrere Bifrost.

Serverbyggeren afslutter ikke sine operationer, når serveren er oprettet. I stedet fungerer det som et vedvarende system og genskaber serveren på et andet sted og med et andet navn, hvis den originale serverinstallation opdages og fjernes. Serverbyggeren anvender også rootkit-metoder til at maskere serverprocesser og gør operativindtrængningssystemet meget vanskeligt at registrere.

Siden Windows Vista er Bifrosts fulde destruktive kapacitet bremset, fordi mange af de tjenester, som malware bruger, kræver systemrettigheder. Hvis en bruger bliver narret til at installere den skjulte serverbygger med systemrettigheder, kan Bifrost-systemet imidlertid blive fuldt operationelt og vil være meget vanskeligt at fjerne.

Relateret: Den bedste gratis rootkit-fjernelse, detektion og scannerprogrammer

Blackshades

Blackshades er et off-the-peg hacking værktøj, der var solgt til hackere af dens udviklere for $ 40 pr. pop. FBI vurderede, at dens producenter i alt tjente $ 340.000 på at sælge denne software. Udviklerne blev lukket ned og arresteret i 2012, og en anden bølge af arrestationer i 2014 fangede mere end 100 brugere af Blackshades. Der er dog stadig kopier af Blackshades-systemet i omløb, og det er stadig i aktiv brug. Blackshades er rettet mod Microsoft Windows fra Windows 95 til Windows 10.

Værktøjssættet indeholder infektionsmetoder, såsom ondsindet kode, der skal integreres på websteder, der udløser installationsrutiner. Andre elementer formerer RAT ved at sende links til inficerede websider. Disse sendes til de sociale mediekontakter fra en inficeret bruger.

Malware giver en hacker mulighed for at få adgang til målcomputerens filsystem og downloade og udføre filer. Anvendelser af programmet inkluderer botnetfunktioner, der får målcomputeren til at starte angreb på afslag på tjenester. Den inficerede computer kan også bruges som en proxyserver til at dirigere hacker-trafik og give identitetsdækning til andre hackeraktiviteter.

Blackshades-værktøjssættet er meget let at bruge og gør det muligt for dem, der mangler tekniske færdigheder, at blive hackere. Systemet kan også bruges til at oprette ransomware-angreb. Et andet tilslørende program, der sælges sammen med Blackshades, holder programmet skjult, gør det muligt for det at genstarte, når det dræbes, og undgår detektion med antivirus-software.

Blandt angreb og begivenheder, der er sporet til Blackshades, er en forstyrrelseskampagne i 2012, der målrettede syriske oppositionsstyrker.

Se også: 2017-2018 Ransomware-statistik og fakta

Ransomware-fjernelseshåndbogen: Håndtering af almindelige stammer af ransomware

DarkComet

Fransk hacker Jean-Pierre Lesueur udviklede DarkComet i 2008, men systemet spredte sig ikke rigtig før 2012. Dette er et andet hacker-system, der er målrettet mod Windows-operativsystemet fra Windows 95 op til Windows 10. Det har et meget brugervenligt interface og gør det muligt for dem uden tekniske færdigheder at udføre hackerangreb.

Softwaren muliggør spionering gennem keylogging, skærmbillede og høst af adgangskode. Den kontrollerende hacker kan også betjene strømfunktionerne på en fjerncomputer, der tillader fjernbetjening til en computer. Netværksfunktionerne på en inficeret computer kan også udnyttes til at bruge computeren som en proxyserver, der kanaliserer trafik og maskerer hackerens identitet under angreb på andre computere.

DarkComet blev opmærksom på cybersecurity-samfundet i 2012, da det blev opdaget en afrikansk hacker-enhed brugte systemet til at målrette den amerikanske regering og militæret. På samme tid blev DarkComet-angreb med oprindelse i Afrika lanceret mod online-spillere.

Lesueur opgav projektet i 2014 da det blev opdaget, at DarkComet blev brugt af den syriske regering til at spionere på sine borgere. Den generelle befolkning havde brugt VPN'er og sikre chat-apps for at blokere regeringsovervågning, så spywarefunktionerne i DarkComet gjorde det muligt for den syriske regering at omgå disse sikkerhedsforanstaltninger.

Mirage

Mirage er den nøgle RAT, der bruges af den stats sponsorerede kinesiske hacker-gruppe kendt som APT15. Efter en meget aktiv spionage-kampagne fra 2009 til 2015 gik APT15 pludselig stille. Mirage var selv i brug af gruppen fra 2012. Opdagelsen af ​​en Mirage-variant i 2018 signaliserede, at gruppen var tilbage i aktion. Denne nye RAT, kendt som MirageFox blev brugt til at spionere på britiske regeringsentreprenører og blev opdaget i marts 2018. Mirage og MirageFox hver fungere som en agent på den inficerede computer. Den trojanske del af indbrudssuite viser en kommando- og kontroladresse til instruktioner. Disse instruktioner implementeres derefter på offercomputeren.

Den originale Mirage RAT blev brugt til angreb på et olieselskab i Filippinerne, det taiwanesiske militær, et canadisk energifirma, og andre mål i Brasilien, Israel, Nigeria og Egypten. Mirage og MirageFox kommer ind på målsystemer gennem spyd phishing kampagner. Disse er normalt rettet mod ledere af et offerfirma. Trojan leveres indlejret i en PDF. Åbning af PDF får scripts til at udføres, og de installerer RAT. RAT's første handling er at rapportere tilbage til kommando- og kontrolsystemet med en revision af det inficerede systems muligheder. Disse oplysninger inkluderer CPU-hastighed, hukommelseskapacitet og anvendelse, systemnavn og brugernavn.

Den indledende systemrapport får det til at virke som om designerne af Mirage lavede RAT for at stjæle systemressourcer i stedet for at få adgang til data på målsystemet. Der er ikke noget typisk Mirage-angreb fordi det ser ud til, at hver indtrængen er skræddersyet til specifikke mål. RAT-installationen kan foregå ved hjælp af en fakta-søgningskampagne og systemcheck. For eksempel 2018-angrebet på den britiske militære entreprenør NCC fik adgang til systemet via virksomhedens autoriserede VPN-service.

At hvert angreb er meget målrettet betyder det en masse udgifter er forbundet med en Mirage-infektion. Denne høje pris viser det Mirage-angreb sigter normalt kun mod mål med høj værdi, som den kinesiske regering ønsker at undergrave eller fra hvilken de skal stjæle teknologi.

Trojan-trusler med fjernadgang

Selvom meget RAT-aktivitet ser ud til at være regeringsstyret, eksistensen af ​​RAT-værktøjssæt gør netværksintrusion en opgave, som enhver kan udføre. Så RAT- og APT-aktivitet vil ikke være begrænset til angreb på militær- eller højteknologiske virksomheder.

RATs kombineres med anden malware at holde sig skjult, hvilket betyder at installation af antivirus-software på dine computere er ikke nok til at forhindre hackere, der kontrollerer dit system med disse metoder. Undersøge indtrængende detektionssystemer for at besejre denne hacker-strategi.

Har du oplevet en netværksintrusion, der resulterede i skade eller tab af data? Har du implementeret en strategi til forebyggelse af indtrængen for at afværge RAT-problemet? Efterlad en besked i afsnittet Kommentarer nedenfor for at dele dine oplevelser.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

+ 3 = 11