Erklärte Fernzugriffs-Trojaner sowie die 11 besten RAT-Software, Scanner und Erkennungstools
Remote-Access-Trojaner (RATs)sind eine Art von Schadsoftware Bedrohung, die es einem Hacker ermöglicht, die Kontrolle über Ihren Computer zu übernehmen. Die Spionageaktivitäten, die der Hacker nach der Installation des RAT durchführen kann, sind unterschiedlichErkunden Sie Ihr Dateisystem,Aktivitäten auf dem Bildschirm beobachten, UndAnmeldedaten sammeln.
Der Hacker könnte Ihre Internetadresse auch als Tarnung für illegale Aktivitäten nutzen, sich als Sie ausgeben und andere Computer angreifen. Über RAT heruntergeladene Viren infizieren andere Computer und schädigen gleichzeitig Ihr System, indem sie wichtige Software löschen oder verschlüsseln. RATs sollten nicht mit verwechselt werden Remote-Verwaltungstools die das gleiche Akronym tragen.
Hier ist unsere Liste der besten Intrusion-Detection-Tools für RAT-Software, Scanner und Erkennungstools:
- SolarWinds Security Event Manager WAHL DES HERAUSGEBERSGeht über die RAT-Erkennung hinaus mit automatisierten Behebungsaufgaben, die Ihnen helfen, RAT-Aktivitäten zu blockieren und verdächtiges Verhalten in Ihrem gesamten Netzwerk zu überprüfen. Laden Sie eine 30-tägige kostenlose Testversion herunter.
- SchnaubenBranchentreuer bei NIDS, das erstmals von Cisco eingeführt wurde.
- OSSECOpen-Source-HIDS gewinnt aufgrund seiner Datenerfassungsfunktionen an Popularität.
- Sei Kostenloses netzwerkbasiertes Intrusion-Detection-System für Unix, Linux und Mac OS.
- MindestÜberwacht IP-, TLS-, TCP- und UDP-Protokollaktivität.
- SaganKein eigenständiges Einbrucherkennungssystem, gut für die Automatisierung von Skripten geeignet.
- SicherheitszwiebelOpen-Source-Zusammenführung anderer Open-Source-Tools auf dieser Liste.
- BERATERSpezialisiert auf Rootkit-Erkennung und Dateisignaturvergleiche.
- OpenWIPS-NGBevorzugt für drahtloses Paket-Sniffing.
- SamhainIdeal zum Festlegen von Warnungen, aber keine wirklichen Funktionen zur Fehlerbehebung.
- Fail2banScannt Protokolldateien und sperrt IPs, die bösartige Aktivitäten anzeigen.
RAT-Softwaretools und APTs
RATs sind Tools, die normalerweise bei einem heimlichen Hackerangriff eingesetzt werden, der als „Angriff“ bezeichnet wirdErweiterte anhaltende Bedrohung, oderGEEIGNET. Bei dieser Art von Einbruch geht es nicht darum, Informationen zu beschädigen oder Computer schnell nach Daten zu durchsuchen.
Stattdessen,APTs bestehen aus regelmäßigen Besuchen Ihres Netzwerks, die sich über Jahre erstrecken können. RATs können auch dazu verwendet werden, den Datenverkehr durch Ihr Unternehmensnetzwerk umzuleiten, um illegale Aktivitäten zu verschleiern.
Einige Hackergruppen, vor allem in China, haben sich sogar gegründetein Hacker-Netzwerkdas durch die Unternehmensnetzwerke der Welt läuft, und sie vermieten den Zugang zu dieser Autobahn der Cyberkriminalität an andere Hacker. Dies nennt man „Terrakotta-VPN” und es wird durch RATs erleichtert.
Frühe Invasionen
RATs gibt es seit mehr als einem Jahrzehnt im Stillen. Es wurde festgestellt, dass die Technologie bereits 2003 an der umfangreichen Plünderung US-amerikanischer Technologie durch chinesische Hacker beteiligt war. Das Pentagon leitete eine Untersuchung mit dem Namen „Titanenregen, das Datendiebstahl von US-Verteidigungsunternehmen aufdeckte, wobei Entwicklungs- und geheime Testdaten an Standorte in China übertragen wurden.
Sie erinnern sich vielleichtdie Stromnetzabschaltungen an der US-Ostküste in den Jahren 2003 und 2008. Diese wurden ebenfalls auf China zurückgeführt und ebenfalls durch RATs ermöglicht. Kurz gesagt: Ein Hacker, der ein RAT in ein System einschleusen kann, kann die gesamte Software aktivieren, die den Benutzern dieser Computer zur Verfügung steht.
Hybride Kriegsführung
Ein Hacker mit einem RAT kann Kraftwerke, Telefonnetze, Nuklearanlagen oder Gaspipelines steuern. RATs stellen nicht nur ein Sicherheitsrisiko für Unternehmensnetzwerke dar, sondern können es kriegführenden Nationen auch ermöglichen, ein feindliches Land lahmzulegen.
Die ursprünglichen Nutzer von RATs für Industriespionage und Sabotage waren chinesische Hacker. Über die Jahre,Russland hat die Macht von RATs zu schätzen gelerntund hat sie in sein militärisches Arsenal integriert. APTs sind nun offiziell Teil der russischen Angriffsstrategie, die als „Hybride Kriegsführung.“
Wann Russland beschlagnahmte 2008 Gebiete von Georgien Es nutzte DDoS-Angriffe, um Internetdienste und APTs zu blockieren, indem es RATs nutzte, um Informationen zu sammeln, die militärische Hardware und wichtige Versorgungseinrichtungen Georgiens zu kontrollieren und zu stören. Der Einsatz von RATs durch Russland zur Destabilisierung der Ukraine und der baltischen Staaten dauert bis heute an.
Russland beschäftigt halboffizielle Hackergruppen, wie zAPT28. Eine andere Hackergruppe, bekannt alsAPT15wird regelmäßig von der chinesischen Regierung genutzt. Die Namen dieser Gruppen erklären ihre Hauptstrategie, die „Advanced Persistent Threat“, die durch RATs ermöglicht wird.
Der Anstieg der Handelszölle im Jahr 2018 hat zu einem neuen Anstieg der chinesischen Hackeraktivitäten geführt, insbesondere der halbmilitärischen Gruppe APT15. Die seit 2015 andauernden Unruhen zwischen den USA und Nordkorea haben auch zu einem Anstieg der RAT-gestützten APT-Aktivitäten mit Ursprung in Nordkorea geführt.
Also, währendBedrohungsakteure und Hacker auf der ganzen Welt nutzen RATs, um Unternehmen auszuspionierenund ihre Daten und ihr Geld stehlen, ist das RAT-Problem mittlerweile für viele Länder, insbesondere die USA, zu einem Problem der nationalen Sicherheit geworden. Wir haben aufgenommen Nachfolgend einige Beispiele für RAT-Tools .
Abwehr von Remote Access-Trojaner-Software
Antivirensysteme sind gegen RATs nicht besonders gut geeignet.Oft bleibt die Infektion eines Computers oder Netzwerks jahrelang unentdeckt. Die Verschleierungsmethoden, mit denen parallele Programme die RAT-Prozeduren verschleiern, machen es sehr schwierig, sie zu erkennen. Persistenzmodule, die Rootkit-Techniken verwenden, machen es sehr schwierig, RATs loszuwerden. Manchmal besteht die einzige Lösung, um Ihren Computer von einem RAT zu befreien, darin, Ihre gesamte Software zu löschen und das Betriebssystem neu zu installieren.
RAT-Präventionssysteme sind selten, da die RAT-Software erst identifiziert werden kann, wenn sie auf Ihrem System ausgeführt wird. Der beste Weg, das RAT-Problem in den Griff zu bekommen, ist:Verwenden Sie ein Einbruchmeldesystem. Comparitech hat einen Leitfaden dazu Einbrucherkennungssystem Hier erfahren Sie ausführlich, wie diese Systeme funktionieren, und erhalten einen Überblick über die empfohlenen Tools.
Die beste RAT-Software, Scanner und Erkennungstools
Unsere Methodik zur Auswahl von Fernzugriffs-Trojaner-Schutzsystemen
Wir haben den Markt für Fernzugriffs-Trojaner-Scanner untersucht und die Optionen anhand der folgenden Kriterien analysiert:
- Optionen für netzwerk- und hostbasiertes RAT-Scannen
- Bedrohungsminderungsdienste zur Beseitigung erkannter RATs
- Optionen zum Scannen drahtloser Netzwerke
- Warnungen, um auf RATs aufmerksam zu machen und die Entfernung anzuleiten
- Erkennungs- und Entfernungsprotokollierung zur Einhaltung von Datenschutzstandards
- Ein kostenloses Tool oder eine kostenlose Testphase zur Bewertung
- Ein guter Werkzeugmix zu einem fairen Preis, der ein gutes Preis-Leistungs-Verhältnis bietet
1. SolarWinds Security Event Manager (KOSTENLOSE TESTVERSION)
Intrusion-Detection-Systeme sind wichtige Tools zum Blockieren von Softwareeinbrüchen, die der Erkennung durch Antivirensoftware und Firewall-Dienstprogramme entgehen können. DerSolarWinds Security Event Managerist ein hostbasiertes Intrusion Detection System. Es gibt jedoch einen Abschnitt des Tools, der als netzwerkbasiertes Einbrucherkennungssystem fungiert. Dies ist der Snort Log-Analysator. Weiter unten können Sie mehr über Snort lesen, allerdings sollten Sie hier wissen, dass es sich um einen weit verbreiteten Paket-Sniffer handelt. Durch den Einsatz von Snort als Datensammler zur Einspeisung in den Snort Log Analyzer erhalten Sie sowohl Echtzeit- als auch historische Datenanalysen aus dem Security Event Manager.
Hauptmerkmale:
- Die Protokolldatei sucht nach Eindringlingen
- Live-Datenüberwachung auf Anomalien
- Automatisierte Sanierung
- Konform mit PCI DSS, HIPAA und SOX
Diese Doppelfunktion bietet Ihnen einen umfassenden SIEM-Service (Security Information and Event Management). Dies bedeutet, dass Sie von Snort erfasste Ereignisse live beobachten und auch paketübergreifende Einbruchssignaturen untersuchen können, die durch Protokolldateiaufzeichnungen identifiziert werden.
Der Security Event Manager geht über die RAT-Erkennung hinaus, da er automatisierte Behebungsaufgaben umfasst, die Ihnen beim Blockieren von RAT-Aktivitäten helfen. Das Tool entspricht einer Reihe von Datensicherheitsstandards, darunterPCI DSS,HIPAA,SOX, UndMANCHE BÜHNE.
Vorteile:
- Speziell entwickelt, um RATs, Malware, Würmer und Insider-Bedrohungen zu erkennen und sofort zu stoppen
- Unterstützt Tools wie Snort, sodass SEM Teil einer größeren Sicherheitsstrategie sein kann
- Über 700 vorkonfigurierte Warnungen, Korrelationsregeln und Erkennungsvorlagen bieten sofortige Einblicke bei der Installation
- Regeln für die Reaktion auf Bedrohungen sind einfach zu erstellen und nutzen intelligente Berichte, um Fehlalarme zu reduzieren
- Integrierte Berichts- und Dashboard-Funktionen tragen dazu bei, die Anzahl der Tools mehrerer Anbieter zu reduzieren, die für Ihre Cybersicherheitsstrategie erforderlich sind
Nachteile:
- Funktionsdichte – erfordert Zeit, um alle Funktionen vollständig zu erkunden
Der SolarWinds Security Event Manager kann auf Windows Server installiert werden. Die Nutzung des Dienstprogramms ist nicht kostenlos, aber Sie können es auf einem herunterladen30-tägige kostenlose Testversion.
DIE WAHL DES HERAUSGEBERS
SolarWinds Security Event Managerverfügt über Hunderte sofort einsatzbereiter Korrelationsregeln, die Sie in Echtzeit auf verdächtiges Verhalten aufmerksam machen können. Dank der Normalisierung der Protokolldaten können Sie auch neue Regeln festlegen. Das Dashboard bietet Ihnen eine leistungsstarke Kommandozentrale zur Identifizierung potenzieller Netzwerkschwachstellen.
Starten Sie die kostenlose 30-Tage-Testversion:solarwinds.com/security-event-manager
DU:Windows 10 und höher, Windows Server 2012 und höher, Cloud-basiert: Hypervisor, AWS und MS Azure
2. Schnauben
Die Nutzung von Snort ist kostenlos und branchenführendNester, die einSystem zur Erkennung von Netzwerkeinbrüchen.
Hauptmerkmale:
- Das weltweit führende NIDS
- Paketschnüffler
- Einbrucherkennungsmodus
- Datenanalyse
- Kostenlose Nutzung
Dieses System wurde erstellt vonCisco-Systemeund es kann darauf installiert werdenWindows,Linux, UndUnix. Snort kann Verteidigungsstrategien umsetzen, was es zu einem machtAngrifferkennungssystem. Es gibt drei Modi:
- Sniffer-Modus – ein Live-Paket-Sniffer
- Paketlogger – zeichnet Datenpakete in einer Datei auf
- Einbrucherkennungsmodus – beinhaltet ein Analysemodul
Der IDS-Modus von Snort gilt „Basisrichtlinien” zu den Daten. Hierbei handelt es sich um Alarmregeln, die die Erkennung von Eindringlingen ermöglichen.Policen können kostenlos auf der Snort-Website erworben werden, stammen aus der Benutzergemeinschaft, oder Sie können Ihr eigenes schreiben. Zu den verdächtigen Ereignissen, die Snort hervorheben kann, gehören:Stealth-Port-Scanning,Pufferüberlaufangriffe,CGI-Angriffe,SMB-Sonden, UndBetriebssystem-Fingerprinting. Snort ist zu beidem fähigsignaturbasierte ErkennungsmethodenUndAnomaliebasierte Systeme.
Das Frontend von Snort ist nicht sehr gut und die meisten Benutzer übertragen Daten von Snort auf bessere Konsolen und Analysetools, wie zSnorby,BASE,Squil, Undanal.
Vorteile:
- Völlig kostenlos und Open Source
- Eine große Community teilt neue Regelsätze und Konfigurationen für Systemadministratoren, um neue RATs und sich entwickelnde Bedrohungen zu entdecken
- Unterstützt Paket-Sniffing für Live-Verkehrsanalysen in Verbindung mit Protokoll-Scans
Nachteile:
- Verlassen Sie sich auf die Unterstützung der Community
- Hat eine steilere Lernkurve als andere Produkte mit dediziertem Support
- Ich würde gerne mehr sofort einsatzbereite Funktionen sehen
3. OSSEC
OSSEC steht für Open Source HIDS Security. AVERSTECKTist einHost-Intrusion-Detection-System, welcheuntersucht Ereignisse auf den Computernin einem Netzwerk, anstatt es zu versuchenErkennen Sie Anomalien im Netzwerkverkehr, welches ist wasSysteme zur Erkennung von NetzwerkeinbrüchenTun. OSSEC ist der aktuelle HIDS-Führer und kann auf installiert werdenUnix,Linux,UndMac OSBetriebssysteme. Obwohl es nicht auf Windows-Computern ausgeführt werden kann, kann es Daten von diesen akzeptieren. OSSEC untersucht Ereignisprotokolle, um nach RAT-Aktivitäten zu suchen. Diese Software ist ein Open-Source-Projekt, das dem Cybersicherheitsunternehmen gehört.Trend Micro.
Hauptmerkmale:
- Protokolldateibasiertes IDS
- Anpassbare Erkennungsregeln
- Kostenlose Nutzung
Dabei handelt es sich um ein Datenerfassungstool, das über kein sehr benutzerfreundliches Frontend verfügt. Im Allgemeinen wird das Frontend für dieses System von anderen Tools bereitgestellt, zSplunk,Kibana, oderGraylog. Die Erkennungsmaschine von OSSEC basiert aufRichtlinienDabei handelt es sich um Alarmbedingungen, die in den Daten auftreten können.Sie können vorgefertigte Richtlinienpakete von anderen OSSEC-Benutzern erwerbendie ihre Pakete kostenlos im OSSEC-Benutzer-Community-Forum zur Verfügung stellen. Sie können auch Ihre eigenen Richtlinien schreiben.
Vorteile:
- Kann auf einer Vielzahl von Betriebssystemen verwendet werden, Linux, Windows, Unix und Mac
- Kann als Kombination von SIEM und HIDS fungieren
- Die Benutzeroberfläche ist einfach anzupassen und sehr visuell
Nachteile:
- Erfordert sekundäre Tools wie Graylog und Kibana für die weitere Analyse
- Der Open-Source-Version fehlt kostenpflichtiger Support
4. Zeek
Sei ist ein sehr gut etabliertes netzwerkbasiertes Einbruchmeldesystem. Dieses kostenlose Tool ist besser unter seinem alten Namen bekannt: Bruder . Das Tool wurde 2018 in Zeek umbenannt. Zeek ist ein Open-Source-Projekt, das von einigen sehr großen Namen finanziell unterstützt wird, darunter die Mozilla Foundation und das Internationales Institut für Informatik .
Hauptmerkmale:
- Erkennung der Anwendungsschicht
- Anomaliegesteuerte und signaturbasierte Suchen
- Kostenlose Nutzung
Obwohl es sich um ein netzwerkbasiertes System handelt, Zeek arbeitet nicht mit Live-Daten . Dies liegt daran, dass die Paketanalyse nicht viele Arten von Angriffen erkennt, die stufenweise, paketübergreifend und aus verschiedenen Quellen implementiert werden. Zeek erfasst also Datenpakete und speichert sie dann in Dateien. Dies macht es zu einem NIDS auf Anwendungsebene.
Die Paketdateien werden von der Zeek Event Engine analysiert. Das ist ein semantischer Analysator das nach ungewöhnlichen Mustern sucht, die aus dem Standardaktivitätsverhalten ausbrechen. Die vom Analysator verwendeten Erkennungstechniken basieren daher auf Anomalien. Der Analysator führt jedoch auch eine Suche nach bekanntem böswilligem Eindringlingsverhalten durch und führt daher auch eine signaturbasierte Analyse durch.
Zeek rennt weiter Unix , Linux , Und Mac OS . Das System umfasst eine Skriptsprache, die es Technikern ermöglicht, ihre eigenen Erfassungsroutinen und Anomaliescans zu schreiben. Dieser technische Aspekt könnte viele Menschen davon abhalten, das System zu nutzen. Allerdings hat der Monitor eine große Fangemeinde, sodass es eine große Benutzergemeinschaft gibt, die Neulinge berät. Ein großes Problem mit Zeek ist das es hat kein eigenes Frontend Daher muss es mit anderen Schnittstellen gekoppelt werden. Kibana ist wahrscheinlich die am häufigsten verwendete Schnittstelle für Zeek.
Vorteile:
- Hochgradig anpassbar, konzipiert für Sicherheitsexperten, die Nix-Betriebssysteme verwenden
- Nutzt die Signaturerkennung und das Scannen anomaler Verhaltensweisen, um bekannte und unbekannte Bedrohungen zu erkennen
- Unterstützt die Automatisierung durch Skripterstellung, sodass Administratoren problemlos verschiedene Aktionen skripten können
Nachteile:
- Nur für Unix, Linux und Mac verfügbar
- Nicht so benutzerfreundlich, erfordert umfassende Kenntnisse in Cybersicherheit
- Besser geeignet für Forscher und Spezialisten
5. Erdmännchen
Suricata ist und NIDS auf dem man es installieren kann Windows , Linux , Mac OS , Und Unix . Das ist ein kostenpflichtiges System das trifft zu Analyse der Anwendungsschicht , sodass Signaturen erkannt werden, die über Datenpakete verteilt sind. Suricata-Monitore IP , TLS, TCP , Und UDP Protokollaktivität und konzentriert sich auf wichtige Netzwerkanwendungen, wie z FTP , HTTP , ICMP , Und KMU . Es kann auch untersucht werden TLS Zertifikate und Fokus auf HTTP Anfragen und DNS Anrufe. Es gibt auch eine Funktion zum Extrahieren von Dateien ermöglicht die Analyse vireninfizierter Dateien .
Hauptmerkmale:
- Analyse der Anwendungsschicht
- Tolle Datenvisualisierungen
- Analysiert den Netzwerkverkehr
Suricata verfügt über ein integriertes Skriptmodul, das Ihnen dies ermöglicht Regeln kombinieren und erhalten Sie ein präziseres Erkennungsprofil. Dieses IDS verwendet sowohl signaturbasierte als auch anomaliebasierte Erkennungsmethoden . VRT-Regeldateien, für die geschrieben wurde Schnauben kann auch in Suricata importiert werden, da dieses Einbruchmeldesystem mit der Snort-Plattform kompatibel ist. Das bedeutet auch das Snorby , BASE , Squil , Und anal können als Frontends für Suricata dienen. Allerdings ist die Suricata-GUI sehr anspruchsvoll und enthält grafische Darstellungen von Daten, sodass Sie möglicherweise kein anderes Tool zum Anzeigen und Analysieren von Daten verwenden müssen.
Vorteile:
- Sammelt Daten auf Anwendungsebene und bietet so einen einzigartigen Einblick in das Verhalten von RATs
- Analysiert und setzt Protokollpakete sehr effizient wieder zusammen
- Kann mehrere Protokolle überwachen und die Integrität von Zertifikaten in TLS, HTTP und SSL überprüfen
Nachteile:
- Integriertes Scripting könnte einfacher zu verwenden sein
- Ist kostenlos, hat aber keine so große Community wie Tools wie Snort oder Zeek
- Könnte besser aussehende Visualisierungen im Live-Dashboard gebrauchen
6. Sagan
Sagan istein kostenloses hostbasiertes System zur Erkennung von Eindringlingenauf dem man es installieren kannUnix,Linux, UndMac OS. Sie können Sagan nicht unter Windows ausführen, aber Sie können esFügen Sie Windows-Ereignisprotokolle hinzu. Daten gesammelt vonSchnauben,Mindest, oderBruderkann in Sagan importiert werden, wodurch das Datenanalysetool dieses Dienstprogramms aNesterPerspektive sowie seine nativeVERSTECKTFähigkeiten. Sagan ist auch mit anderen Snort-Systemen kompatibel, zSnorby,BASE,Squil, Undanal, die alle ein Frontend für die Datenanalyse bieten könnten.
Sagan istein Protokollanalysetoolund es muss in Verbindung mit anderen Datenerfassungssystemen verwendet werden, um ein vollständiges Einbrucherkennungssystem zu schaffen. Das Dienstprogramm umfasst eineIP-Locator, sodass Sie die Quellen verdächtiger Aktivitäten zu einem bestimmten Ort zurückverfolgen können.Es kann auch die Aktivitäten verdächtiger IP-Adressen gruppieren, um Team- oder verteilte Angriffe zu identifizieren. Das Analysemodul arbeitet mitsowohl Signatur- als auch Anomalieerkennungsmethoden.
Sagan kannFühren Sie automatisch Skripte aus, um das Netzwerk zu sperrenwenn bestimmte Ereignisse erkannt werden. Es nimmt diese Präventionsaufgaben wahrdurch Interaktion mit Firewall-Tabellen. Es handelt sich also um ein Intrusion-Prevention-System.
Vorteile:
- Ein kostenloses Protokollanalysetool
- Ist mit anderen Open-Source-Tools wie Zeek und Snort kompatibel
- Bietet gute Arbeit bei der automatisierten Behebung von Bedrohungen
Nachteile:
- Nicht verfügbar für Windows-Betriebssysteme
- Ist keine eigenständige Lösung zur Entfernung/Prävention von RAT
- Hat eine ziemlich steile Lernkurve für neue Benutzer
7. Sicherheitszwiebel
Sicherheitszwiebelwurde durch Zusammenfügen des Codes für entwickeltSchnauben,Mindest,OSSEC,Bruder,Snorby,Schule,Spritzen,Kibana,ELSA,Xplico, UndNetworkMiner, die alle Open-Source-Projekte sind. Dieses leistungsstarke Tool ist einkostenloses Linux-basiertes NIDSdas beinhaltetVERSTECKTFunktionalität. Es wurde speziell für die Ausführung geschriebenUbuntu.
Hostbasierte Analyse prüft auf Dateiänderungen und Die Netzwerkanalyse wird von einem Paket-Sniffer durchgeführt , das vorbeikommende Daten auf einem Bildschirm anzeigen und auch in eine Datei schreiben kann. Die Analyse-Engine von Security Onion ist kompliziert, weil sie die Verfahren so vieler verschiedener Tools kombiniert. Es umfasst die Überwachung des Gerätestatus sowie die Analyse des Netzwerkverkehrs.
Es gibt sowohl signaturbasierte als auch anomaliebasierte Alarmregeln in diesem System enthalten. Die Schnittstelle von Kibana stellt das Dashboard für Security Onion bereit und enthält Grafiken und Diagramme, um die Datenanalyse zu erleichtern.
Vorteile:
- Kostenlose Open-Source-Software
- Entwickelt für Sicherheitsexperten
- Verfügt über einen integrierten Paket-Sniffer für Live-Verkehrsanalysen – ideal zum Hervorheben der RAT-Kommunikation
Nachteile:
- Nur für Linux verfügbar
- Verwendet Kibana zur Visualisierung und würde gerne integrierte Visualisierungen sehen
- Die Benutzeroberfläche ist ziemlich kompliziert und könnte benutzerfreundlicher sein
8. AIDE
AIDE steht für „Erweiterte Einbruchserkennungsumgebung.“ Das istein kostenloses HIDSdas läuft weiterMac OS,Unix, UndLinux. Dieses IDS konzentriert sich aufRootkit-ErkennungUndDateisignaturvergleiche. Das Datenerfassungsmodul wird gefüllteine Datenbank mit Merkmalendie aus Protokolldateien entnommen werden. Diese Datenbank ist ein Systemstatus-Snapshot undAlle Änderungen in der Gerätekonfiguration lösen Warnungen aus. Diese Änderungen können durch Bezugnahme auf die Datenbank rückgängig gemacht werden oder die Datenbank kann aktualisiert werden, um autorisierte Konfigurationsänderungen widerzuspiegeln.
Systemaktivitätsprüfungen werden bei Bedarf und nicht kontinuierlich durchgeführt Es kann als Cron-Job eingeplant werden . Die Regelbasis von AIDE verwendet sowohl signaturbasierte als auch anomaliebasierte Überwachungsmethoden .
Vorteile:
- Kostenlose Open-Source-Software
- Entwickelt für Sicherheitsexperten
- Extrem einfache Bereitstellung – kann in älteren Umgebungen ausgeführt werden, um RATs zu erkennen
Nachteile:
- Nur für Linux- und Unix-Betriebssysteme verfügbar
- Nicht anfängerfreundlich
- Nutzt für die meisten Aktionen die Befehlszeilenschnittstelle
9. OpenWIPS-NG
OpenWIPS-NGkommt von den Entwicklern vonAircrack-Sprache. Tatsächlich integriert es Aircrack-NG als seinDrahtloser Paket-Sniffer. Aircrack-NG ist ein bekanntes Hacker-Tool, daher könnte Sie diese Assoziation etwas misstrauisch machen. WIPS steht für „Drahtloses Intrusion-Prevention-System' und esläuft unter Linux. Das istein kostenloses Dienstprogrammdas umfasst drei Elemente:
- Sensor – der Paket-Sniffer
- Server – Regelbasis für die Datenspeicherung und -analyse
- Schnittstelle – benutzerorientiertes Frontend.
Der Sensor ist auchein Sender, also kann esMaßnahmen zur Eindringungsprävention umsetzenund unerwünschte Übertragungen lahmlegen. DerDer Server führt eine Analyse durchund führt außerdem Interventionsrichtlinien ein, um erkannte Eindringlinge zu blockieren. DerSchnittstellenmodul zeigt Ereignisse anund Benachrichtigungen an den Systemadministrator. Hier können auch Einstellungen angepasst und Abwehrmaßnahmen angepasst oder außer Kraft gesetzt werden.
Vorteile:
- Hochflexibles Tool, entwickelt von der Hacking-Community zur Sicherung von WLAN-Netzwerken
- Leichte Befehlszeilenschnittstelle
- Leicht zu merkende Syntax
Nachteile:
- In erster Linie für Sicherheitsspezialisten konzipiert
- Verlässt sich auf andere Tools, um die Funktionalität zu erweitern
- Nicht ideal für diejenigen, die eine Komplettlösung suchen
10. Samhain
Samhain, hergestellt von Samhain Design Labs in Deutschland, istein kostenloses hostbasiertes System zur Erkennung von Eindringlingendas installiert aufUnix,Linux, UndMac OS. Es nutzt Agenten, die an verschiedenen Punkten im Netzwerk laufen und an ein zentrales Analysemodul berichten. Jeder Agent leistet LeistungÜberprüfung der Dateiintegrität,Protokolldateiüberwachung, UndHafenüberwachung. Die Prozesse suchenRootkit-Viren,Schurken-SUIDs(Benutzerzugriffsrechte) undversteckte Prozesse.
Die Netzwerkkommunikation zwischen Agenten und der Konsole erfolgtdurch Verschlüsselung geschützt. Verbindungen zur Lieferung von Protokolldateidaten beinhalten Authentifizierungsanforderungen, dieVerhindern Sie, dass Eindringlinge den Überwachungsprozess kapern oder ersetzen.
Samhain weist auf Warnzeichen eines Einbruchs hin, verfügt jedoch über keine Lösungsprozesse. Sie müssen Sicherungskopien Ihrer Konfigurationsdateien und Benutzeridentitäten erstellen, um Maßnahmen zur Lösung der vom Samhain-Monitor aufgedeckten Probleme ergreifen zu können.Samhain hält seine Prozesse durch Stealth-Technologie verborgen, angerufen 'Steganographie” um zu verhindern, dass Eindringlinge das IDS manipulieren oder töten.Zentrale Protokolldateien und Konfigurationssicherungen werden mit einem PGP-Schlüssel signiertum Manipulationen durch Eindringlinge zu verhindern.
Vorteile:
- Kostenloses Open-Source-Tool
- Kann betrügerische Prozesse, Einbrüche und böswillige Verbindungen anhand von Protokolldateien erkennen
- Kann Benutzerzugriffsrechte überwachen, um eine Rechteausweitung zu erkennen, ein häufiges RAT-Verhalten
Nachteile:
- Keine kostenpflichtigen Supportoptionen
- Nicht verfügbar für Windows-Betriebssysteme
- Die Benutzeroberfläche fühlt sich veraltet an und ist nicht besonders einfach zu bedienen
11. Fail2Ban
Fail2BanIstein kostenloses hostbasiertes Intrusion-Prevention-Systemdas läuft weiterUnix,Linux, UndMac OS X. Das IDS analysiert Protokolldateien undverhängt Sperren für IP-Adressen, die verdächtiges Verhalten zeigen. Automatische Sperren treten in Netfilter/IPtables- oder PF-Firewallregeln und der hosts.deny-Tabelle des TCP Wrappers auf. Diese Blockaden dauern normalerweise nur ein paar Minuten, aberDies kann ausreichen, um ein standardmäßiges automatisiertes Brute-Force-Passwortknackszenario zu stören. Zu den Alarmsituationen gehören übermäßig viele fehlgeschlagene Anmeldeversuche. Ein Problem bei Fail2Ban besteht darin, dass es sich auf wiederholte Aktionen von einer Adresse aus konzentriert. Dadurch ist es nicht in der Lage, verteilte Kampagnen zum Knacken von Passwörtern oder DDoS-Angriffe zu bewältigen.
Der Überwachungsbereich des Systems wird durch eine Reihe von „Filter.“ Diese weisen das IPS an, welche Dienste überwacht werden sollen. Diese beinhaltenPostfix, Apache, Courier Mail Server, Lighttpd, sshd, vsftpd und qmail. Jeder Filter ist mit einer Aktion kombiniert, die im Falle der Erkennung einer Alarmbedingung ausgeführt werden soll. Die Kombination aus einem Filter und einer Aktion wird als „Gefängnis.“
Vorteile:
- Völlig kostenloses Tool
- Blockiert automatisch angreifende IP-Adressen – ideal zum Stoppen von RAT-C&C-Servern
- Fungiert als Kombination aus IDS und HIDS
Nachteile:
- Kein bezahlter Support
- Es fehlen weitere präventive Funktionen, die in unseren Top-Angeboten zu finden sind
- Nur für Unix, Linux und Mac verfügbar
RAT-Programme und Beispiele
Es gibt eine Reihe von Fernzugriffssystemen, die legitime Anwendungen haben könnten, aber als Tools dafür bekannt sindwird hauptsächlich von Hackern als Teil eines Trojaners verwendet; diesewerden als RAS-Trojaner kategorisiert. Nachfolgend werden die Details der bekanntesten RATs erläutert.
Hintere Öffnung
Back Orifice, das auch als BO bezeichnet wirdeine in den USA hergestellte RATDas gibt es seit 1998. Das ist der Urvater der RATs und das schon immervon anderen Hackergruppen verfeinert und angepasst, um neuere RAT-Systeme zu erstellen. Das ursprüngliche System nutzte eine Schwachstelle von Windows 98 aus. Spätere Versionen, die auf neueren Windows-Betriebssystemen liefen, waren esHintere Öffnung 2000UndTiefe Rückenöffnung.
Dieser RAT kann sich im Betriebssystem verstecken, was seine Erkennung zunächst erschwert. Heutzutage jedochDie meisten Antivirensysteme haben die ausführbaren Dateien und das Okklusionsverhalten von Back Orifice in ihren Datenbanken protokolliertals Signaturen, auf die man achten sollte. Ein nettes Feature dieser Software ist, dass sie es hateine einfach zu bedienende Konsolemit dem der Eindringling im infizierten System navigieren kann. Das Remote-Element kann über einen Trojaner in einen Zielcomputer eingeschleust werden. Nach der Installation kommuniziert dieses Serverprogramm über Standard-Netzwerkverfahren mit der Client-Konsole. Es ist bekannt, dass Back Orifice die Portnummer 21337 verwendet.
Tier
Die Beast RAT greift Windows-Systeme anvon Windows 95 bis Windows 10. Dabei kommt die gleiche Client-Server-Architektur zum Einsatz, die Back Orifice entwickelt hat, wobei der Serverteil des Systems die Malware ist, die heimlich auf dem Zielcomputer installiert wird.Sobald das Serverelement betriebsbereit ist, kann der Hacker über das Client-Programm nach Belieben auf den Computer des Opfers zugreifen. Der Client stellt über Portnummer 6666 eine Verbindung zum Zielcomputer her. Der Server ist auch in der Lage, Verbindungen zurück zum Client herzustellen, und zwar über Portnummer 9999.Beast wurde 2002 geschrieben und wird immer noch häufig verwendet.
Bifrost
Dieser Trojaner beginnt seine Infektion mit der Installation eines Server-Builder-Programms. Zunächst nimmt dieses Programm lediglich Kontakt mit einem Command-and-Control-Server auf und wartet auf Anweisungen. Der Trojaner infiziert Windows-Systemevon Windows 95 auf Windows 10. Allerdings sind seine Fähigkeiten bei Windows-Versionen XP und höher eingeschränkt.
Sobald es ausgelöst wird, richtet der Server-Builder ein Serverprogramm auf dem Zielcomputer ein. Dies ermöglicht es dem Hacker, über ein entsprechendes Client-Programm Zugriff auf die kompromittierte Maschine zu erhalten und Befehle nach Belieben auszuführen. Die Serversoftware ist in gespeichert C:WindowsBifrostserver.exe oder C:ProgrammeBifrostserver.exe . Dieses Verzeichnis und diese Datei sind versteckt und so Einige Antiviren-Systemprüfungen können Bifrost nicht erkennen .
Der Server-Builder beendet seinen Betrieb nicht, sobald der Server erstellt wurde. Stattdessen funktioniert es alsein Persistenzsystemund erstellt den Server an einem anderen Ort und mit einem anderen Namen neu, wenn die ursprüngliche Serverinstallation entdeckt und entfernt wird.Der Server-Builder verwendet auch Rootkit-Methoden, um Serverprozesse zu maskierenund machen das aktive Einbruchmeldesystem sehr schwer zu erkennen.
Seit Windows Vista wurden die vollständigen Zerstörungsfähigkeiten von Bifrost verlangsamt, weil Viele der von der Malware genutzten Dienste erfordern Systemrechte . Wenn jedoch ein legitimer Benutzer dazu verleitet wird, den getarnten Server-Builder mit Systemrechten zu installieren, kann das Bifrost-System voll funktionsfähig werden und nur sehr schwer zu entfernen sein.
Verwandt: Die besten kostenlosen Rootkit-Entfernungs-, Erkennungs- und Scannerprogramme
Schwarztöne
Blackshades ist ein Hacking-Tool von der Stangevon seinen Entwicklern für 40 US-Dollar pro Stück an Hacker verkauft. Das FBI schätzte, dass seine Hersteller mit dem Verkauf dieser Software insgesamt 340.000 US-Dollar verdienten.Die Entwickler wurden 2012 geschlossen und verhaftet, und in einer zweiten Verhaftungswelle im Jahr 2014 wurden mehr als 100 Benutzer von Blackshades gefangen genommen. Allerdings sind immer noch Kopien des Blackshades-Systems im Umlauf und es wird immer noch aktiv genutzt.Blackshades zielt auf Microsoft Windows abvon Windows 95 auf Windows 10.
Das Toolkit umfasst Infektionsmethoden, beispielsweise das Einbetten von Schadcode in Websites, der Installationsroutinen auslöst. Andere Elemente verbreiten die RAT, indem sie Links zu infizierten Webseiten versenden. Diese werden an gesendetdie Social-Media-Kontakte eines infizierten Benutzers.
Die Malware ermöglicht es einem Hacker, auf das Dateisystem des Zielcomputers zuzugreifen und Dateien herunterzuladen und auszuführen.Zu den Einsatzmöglichkeiten des Programms gehören unter anderem Botnet-Funktionen, die den Zielcomputer dazu bringen, Denial-of-Service-Angriffe zu starten. Der infizierte Computer kann auch als Proxyserver verwendet werden, um Hackerverkehr weiterzuleitenBieten Sie Identitätsschutz für andere Hackeraktivitäten.
Das Blackshades-Toolkit ist sehr einfach zu bedienen und ermöglicht es auch denjenigen, denen es an technischen Fähigkeiten mangelt, Hacker zu werden.Das System kann auch zur Erstellung von Ransomware-Angriffen genutzt werden. Ein zweites Verschleierungsprogramm, das zusammen mit Blackshades verkauft wird, hält das Programm verborgen, ermöglicht einen Neustart, wenn es beendet wird, und entzieht sich der Erkennung durch Antivirensoftware.
Zu den Angriffen und Ereignissen, die auf Blackshades zurückgeführt wurden, gehören:eine Störungskampagne aus dem Jahr 2012, die sich gegen syrische Oppositionskräfte richtete.
Siehe auch: Ransomware-Statistiken und Fakten 2017–2018
Das Handbuch zum Entfernen von Ransomware: Umgang mit gängigen Ransomware-Varianten
DarkComet
Französischer HackerJean-Pierre Lesueurentwickelte DarkComet im Jahr 2008, aber das System verbreitete sich erst 2012 wirklich. Dabei handelt es sich um ein weiteres Hackersystem, das es auf das Windows-Betriebssystem abgesehen hatvon Windows 95 bis Windows 10. Es verfügt über eine sehr einfach zu bedienende Benutzeroberfläche und ermöglicht es auch Personen ohne technische Kenntnisse, Hackerangriffe durchzuführen.
Die Software ermöglicht das Durchspionieren Keylogging ,Bildschirmaufnahme,UndPasswort-Ernte. Der kontrollierende Hacker kann das auchBedienen Sie die Energiefunktionen eines Remote-Computers, wodurch ein Computer aus der Ferne ein- oder ausgeschaltet werden kann. Die Netzwerkfunktionen eines infizierten Computers können auch genutzt werden, um den Computer als zu nutzenein Proxyserver, der den Datenverkehr kanalisiert und die Identität des Hackers verschleiertbei Razzien auf andere Computer.
Die Cybersicherheits-Community wurde 2012 auf DarkComet aufmerksam, als dies entdeckt wurdeEine afrikanische Hackereinheit nutzte das System, um die US-Regierung und das US-Militär ins Visier zu nehmen. Gleichzeitig wurden von Afrika ausgehende DarkComet-Angriffe gegen Online-Gamer gestartet.
Lesueur gab das Projekt 2014 aufals entdeckt wurde, dass DarkComet von der syrischen Regierung zum Ausspionieren ihrer Bürger eingesetzt wurde. Die allgemeine Bevölkerung hatte sich dazu durchgesetzt, VPNs und sichere Chat-Apps zu nutzen, um die Überwachung durch die Regierung zu blockieren, also die Spyware-Funktionen von DarkCometermöglichte es der syrischen Regierung, diese Sicherheitsmaßnahmen zu umgehen.
Fata Morgana
Mirage ist die Schlüssel-RAT, die von verwendet wirddie staatlich geförderte chinesische Hackergruppe APT15. Nach einer sehr aktiven Spionagekampagne von 2009 bis 2015 wurde es plötzlich still um APT15. Mirage selbst war ab 2012 von der Gruppe im Einsatz. Die Entdeckung einer Mirage-Variante im Jahr 2018 signalisierte, dass die Gruppe wieder im Einsatz war. Diese neue RAT, bekannt alsMirageFoxwurde zum Ausspionieren von Auftragnehmern der britischen Regierung eingesetzt und im März 2018 entdeckt. Jeweils Mirage und MirageFoxAls Agent auf dem infizierten Computer fungieren. Der Trojaner-Teil der Intrusion Suite fragt eine Command-and-Control-Adresse nach Anweisungen ab. Diese Anweisungen werden dann auf dem Computer des Opfers umgesetzt.
Die ursprüngliche Mirage RAT wurde für Angriffe auf verwendetein Ölunternehmen auf den Philippinen,das taiwanesische Militär,ein kanadisches Energieunternehmenund andere Ziele in Brasilien, Israel, Nigeria und Ägypten. Mirage und MirageFox gelangen durchSpeerfischenKampagnen. Diese richten sich in der Regel an die Führungskräfte eines Opferunternehmens. Der Trojaner wird eingebettet in ein PDF geliefert. Durch das Öffnen der PDF-Datei werden Skripte ausgeführt und die RAT installiert.Die erste Aktion des RAT besteht darin, dem Command-and-Control-System eine Rückmeldung über die Fähigkeiten des infizierten Systems zu übermitteln. Zu diesen Informationen gehören die CPU-Geschwindigkeit, Speicherkapazität und -auslastung, Systemname und Benutzername.
Der erste Systembericht lässt den Eindruck entstehen, dass die Entwickler von Mirage die RAT erstellt haben, um Systemressourcen zu stehlen, anstatt auf Daten auf dem Zielsystem zuzugreifen.Es gibt keinen typischen Mirage-Angriffdenn es scheint, dass jeder Eingriff auf bestimmte Ziele zugeschnitten ist. Die RAT-Installation kann durch eine Informationskampagne und Systemprüfungen vorhergesehen werden. Zum Beispiel der Angriff auf das britische Militärunternehmen NCC im Jahr 2018über den autorisierten VPN-Dienst des Unternehmens Zugriff auf das System erhalten.
Die Tatsache, dass jeder Angriff sehr zielgerichtet ist, bedeutet diesEine Mirage-Infektion ist mit hohen Kosten verbunden. Das zeigen die hohen KostenMirage-Angriffe zielen in der Regel nur auf hochwertige Ziele ab, die die chinesische Regierung untergraben oder denen sie Technologie stehlen möchte.
Umgang mit Bedrohungen durch Remote Access-Trojaner
Obwohl Viele RAT-Aktivitäten scheinen von der Regierung gesteuert zu werden , macht die Existenz von RAT-Toolkits deutlich Netzwerkeinbruch ist eine Aufgabe, die jeder ausführen kann . RAT- und APT-Aktivitäten beschränken sich also nicht auf Angriffe auf das Militär oder High-Tech-Unternehmen. Sicherheitsbewusstsein ist der Schlüssel, um Sicherheitsverletzungen in Ihren Netzwerken zu verhindern.
RATs werden mit anderer Malware kombiniertsich zu verstecken, was bedeutet, dassDie Installation von Antivirensoftware auf Ihren Computern reicht nicht aus, um Hacker daran zu hindern, Ihr System mit diesen Methoden zu kontrollieren. UntersuchenEinbrucherkennungssystemum diese Hackerstrategie zu vereiteln.
Haben Sie einen Netzwerkeinbruch erlebt, der zu Schäden oder Datenverlust geführt hat? Haben Sie eine Intrusion-Prevention-Strategie implementiert, um dem RAT-Problem vorzubeugen? Hinterlassen Sie im Kommentarbereich unten eine Nachricht, um Ihre Erfahrungen zu teilen.
Häufig gestellte Fragen zu Fernzugriffstrojanern
Kann ein RAS-Trojaner im BIOS installiert werden?
Der Zugriff auf das BIOS ist Hackern auf der ganzen Welt seit 2015 bekannt. Viele glauben, dass die NSA schon früher RATs und Tracker in das BIOS eingeschleust hat.
Wie unterscheidet sich ein RAT-Trojaner für den Fernzugriff von einem normalen Trojaner?
Ein Trojaner ist ein Virus, der auf den Computer des Opfers gelangt, indem er sich als legitime Software ausgibt. Ein RAT ist ein Trojaner, mit dem sich der Hacker regelmäßig Zugriff auf das Zielsystem verschaffen kann.
Was ist der Sakula Remote Access Trojan RAT?
Sakula ist ein RAT, der zum Eindringen in IT-Systeme von Regierungsabteilungen und -behörden, Gesundheitseinrichtungen und anderen großen Organisationen verwendet wird. Sakula fungiert als Hacker-Plattform und kann eine Reihe böswilliger Aktivitäten, einschließlich Ransomware-Angriffe, ermöglichen.