Что такое RAT Malware и почему он так опасен?
Троян удаленного доступа (RAT) — это тип вредоносного ПО, которое позволяет хакерам отслеживать и контролировать ваш компьютер или сеть. Но как работает RAT, почему хакеры их используют и как их избежать?
RAT предоставляют хакерам удаленный доступ к вашему компьютеру
Если вам когда-либо приходилось вызывать техподдержку для ПК, то вы, вероятно, знакомы с магией удаленного доступа. Когда удаленный доступ включен, авторизованные компьютеры и серверы могут контролировать все, что происходит на вашем ПК. Они могут открывать документы, загружать программное обеспечение и даже перемещать курсор по экрану в режиме реального времени.
RAT — это тип вредоносного ПО, очень похожий на легальные программы удаленного доступа. Основное отличие, конечно, заключается в том, что RAT устанавливаются на компьютер без ведома пользователя. Большинство легитимных программ удаленного доступа созданы для технической поддержки и обмена файлами, а RAT — для слежки, взлома или уничтожения компьютеров .
НЕ РАТНИК на Android. НЕДОРАЗУМЕНИЕ AhMyth RAT
Статьи на тему
Подобно большинству вредоносных программ, RAT встраиваются в легитимные файлы. Хакеры могут прикрепить RAT к документу по электронной почте или в большом программном пакете, например в видеоигре.
Рекламные объявления и вредоносные веб-страницы также могут содержать RAT, но большинство браузеров предотвращают автоматическую загрузку с веб-сайтов или уведомляют вас, когда сайт небезопасен.
Вообще говоря, RAT не замедляет работу вашего компьютера, и хакеры не всегда выдают себя, удаляя файлы или перемещая курсор по экрану. В некоторых случаях пользователи заражённые RAT, годами не замечают ничего плохого.
Большинство компьютерных вирусов сделаны с единственной целью. Кейлоггеры автоматически записывают все, что вы вводите, вымогатели ограничивают доступ к вашему компьютеру или его файлам до тех пор, пока вы не заплатите, а рекламное ПО выдает сомнительную рекламу на ваш компьютер для получения прибыли.
Но крысы особенные. Они дают хакерам полный анонимный контроль над зараженными компьютерами.
Кроме того, хакеры могут использовать RAT для скрытой активации веб-камеры или микрофона компьютера.
Хакер с RAT может стереть ваш жесткий диск, загрузить нелегальный контент из Интернета через ваш компьютер. Хакеры также могут удаленно управлять вашим компьютером, чтобы выполнять незаконные действия в Интернете от вашего имени, или использовать вашу домашнюю сеть в качестве прокси-сервера для анонимного совершения преступлений.
Хакер также может использовать RAT, чтобы взять под контроль домашнюю сеть и создать ботнет.
По сути, ботнет позволяет хакеру использовать ваши компьютерные ресурсы для выполнения часто нелегальных задач, таких как DDOS-атаки, майнинг биткойнов, хостинг файлов и торрент. Иногда эту технику используют кибер преступники или во время кибервойны.
Не беспокойся. Крыс легко избежать
DarkComet RAT — скрытый удаленный доступ к ПК — как удалить вирус?
Если вы хотите избежать RAT, не загружайте файлы из источников, которым вы не можете доверять.
Вы не должны открывать вложения электронной почты от незнакомых людей (или потенциальных работодателей)
Вы не должны загружать игры или программное обеспечение с не официальных веб-сайтов и не должны качать торрент-файлы, если они не из надежного источника.
Обновляйте ваш браузер и операционную систему с помощью исправлений безопасности.
Конечно, вы должны включить антивирусное программное обеспечение. Защитник Windows входит в комплект поставки вашего ПК (и, честно говоря, это отличное антивирусное программное обеспечение), но если вам нужна дополнительная защита, вы можете загрузить коммерческое антивирусное программное обеспечение.
Поскольку большинство хакеров используют известные RAT (вместо того, чтобы разрабатывать свои собственные), антивирусное программное обеспечение является самым простым способом поиска и удаления RAT с вашего компьютера.
Если у вас запущен антивирус, но вы все еще параноидально чувствуете, что на вашем ПК есть RAT, вы всегда можете отформатировать компьютер . Это решительная мера, но вероятность успеха составляет 100% Если антивирусное программное обеспечение не находит RAT, то, вероятно, у вас нет RAT.
Что вы думаете о вредоносных программах? Дайте нам знать в комментариях ниже.
Источник: dzen.ru
Чем опасен троян удаленного доступа
Троян удаленного доступа (RAT) — это тип вредоносного ПО, которое позволяет хакерам отслеживать и контролировать ваш компьютер или сеть. Но как работает RAT, почему хакеры их используют и как их избежать?
RAT предоставляют хакерам удаленный доступ к вашему компьютеру
Если вам когда-либо приходилось вызывать техподдержку для ПК, то вы, вероятно, знакомы с магией удаленного доступа. Когда удаленный доступ включен, авторизованные компьютеры и серверы могут контролировать все, что происходит на вашем ПК. Они могут открывать документы, загружать программное обеспечение и даже перемещать курсор по экрану в режиме реального времени.
RAT — это тип вредоносного ПО, очень похожий на легальные программы удаленного доступа. Основное отличие, конечно, заключается в том, что RAT устанавливаются на компьютер без ведома пользователя. Большинство легитимных программ удаленного доступа созданы для технической поддержки и обмена файлами, а RAT — для слежки, взлома или уничтожения компьютеров.
Статьи на тему
Подобно большинству вредоносных программ, RAT встраиваются в легитимные файлы. Хакеры могут прикрепить RAT к документу по электронной почте или в большом программном пакете, например в видеоигре.
Рекламные объявления и вредоносные веб-страницы также могут содержать RAT, но большинство браузеров предотвращают автоматическую загрузку с веб-сайтов или уведомляют вас, когда сайт небезопасен.
В отличие от некоторых вредоносных программ и вирусов, бывает сложно определить, когда вы загрузили RAT.
Вообще говоря, RAT не замедляет работу вашего компьютера, и хакеры не всегда выдают себя, удаляя файлы или перемещая курсор по экрану. В некоторых случаях пользователи заражённые RAT, годами не замечают ничего плохого.
Но почему крысы такие скрытные? И чем они полезны для хакеров?
Крысы работают лучше всего, когда остаются незамеченными
Большинство компьютерных вирусов сделаны с единственной целью. Кейлоггеры автоматически записывают все, что вы вводите, вымогатели ограничивают доступ к вашему компьютеру или его файлам до тех пор, пока вы не заплатите, а рекламное ПО выдает сомнительную рекламу на ваш компьютер для получения прибыли.
Но крысы особенные. Они дают хакерам полный анонимный контроль над зараженными компьютерами. Как вы можете себе представить, хакер управляющий RAT может делать практически все.
В большинстве случаев RAT используются как шпионские программы. Хакер, жаждущий денег (или просто жадный), может использовать RAT для получения нажатий клавиш и файлов с зараженного компьютера. Эти нажатия клавиш и файлы могут содержать банковскую информацию, пароли, конфиденциальные фотографии или личные разговоры.
Кроме того, хакеры могут использовать RAT для скрытой активации веб-камеры или микрофона компьютера. Идея шпионить за каким-то анонимным ботаником огорчает, но это самое легкое нарушение по сравнению с тем, что некоторые хакеры делают внедрив жертве RAT.
Поскольку RAT предоставляют хакерам административный доступ к зараженным компьютерам, они могут изменять или скачивать любые файлы по своему усмотрению. Это означает, что хакер с RAT может стереть ваш жесткий диск, загрузить нелегальный контент из Интернета через ваш компьютер или разместить на вашем компьютере дополнительные вредоносные программы. Хакеры также могут удаленно управлять вашим компьютером, чтобы выполнять незаконные действия в Интернете от вашего имени, или использовать вашу домашнюю сеть в качестве прокси-сервера для анонимного совершения преступлений.
Хакер также может использовать RAT, чтобы взять под контроль домашнюю сеть и создать ботнет.
По сути, ботнет позволяет хакеру использовать ваши компьютерные ресурсы для выполнения часто нелегальных задач, таких как DDOS-атаки, майнинг биткойнов, хостинг файлов и торрент. Иногда эту технику используют кибер преступники или во время кибервойны.
Ботнет, состоящий из тысяч компьютеров, может производить много биткойнов или разрушать большие сети с помощью DDOS-атак.
Не беспокойся. Крыс легко избежать
Если вы хотите избежать RAT, не загружайте файлы из источников, которым вы не можете доверять.
Вы не должны открывать вложения электронной почты от незнакомых людей (или потенциальных работодателей)
Вы не должны загружать игры или программное обеспечение с не официальных веб-сайтов и не должны качать торрент-файлы, если они не из надежного источника.
Обновляйте ваш браузер и операционную систему с помощью исправлений безопасности.
Конечно, вы должны включить антивирусное программное обеспечение. Защитник Windows входит в комплект поставки вашего ПК (и, честно говоря, это отличное антивирусное программное обеспечение), но если вам нужна дополнительная защита, вы можете загрузить коммерческое антивирусное программное обеспечение.
Используйте антивирус для поиска и уничтожения RAT
Весьма вероятно, что ваш компьютер не заражен RAT. Если вы не заметили каких-либо странных действий на вашем компьютере, то вы, вероятно, в безопасности. При этом не повредит проверять ваш компьютер на наличие RAT время от времени.
Поскольку большинство хакеров используют известные RAT (вместо того, чтобы разрабатывать свои собственные), антивирусное программное обеспечение является самым простым способом поиска и удаления RAT с вашего компьютера. Они располагают обширной, постоянно расширяющейся базой данных RAT, поэтому вам не нужно беспокоиться о том, что ваше антивирусное программное обеспечение устарело или испортилось.
Если у вас запущен антивирус, но вы все еще параноидально чувствуете, что на вашем ПК есть RAT, вы всегда можете отформатировать компьютер. Это решительная мера, но вероятность успеха составляет 100% — за исключением экзотических, узкоспециализированных вредоносных программ, которые могут проникнуть в прошивку UEFI вашего компьютера.
Создание новых RAT, которые не могут быть обнаружены антивирусным программным обеспечением, занимает много времени, и они обычно зарезервированы для использования крупными корпорациями, известными людьми, государственными чиновниками и миллионерами. Если антивирусное программное обеспечение не находит RAT, то, вероятно, у вас нет RAT.
Источник: ex-hort.ru
Программы удаленного администрирования (RAT — Remote Administration Tools)
Программы удаленного администрирования (Remote Administration Tools, сокращенно — RAT) используются для удаленного управления рабочими станциями или другими компьютерными устройствами, являются разновидностью потенциально опасного программного обеспечения. Через них можно выполнять почти любые действия с удаленной системой: передавать файлы, вести наблюдение за действиями пользователя, производить настройки системы, управлять функциями ввода/вывода и т.п. Чаще всего такие программы состоят из двух частей — агент на целевом компьютере, предоставляющий доступ к системе, и панель управления на другом конце канала связи. Есть, впрочем, и варианты, позволяющие управлять из браузера — для тех, кому необходимо иметь доступ с любого компьютера без предварительно установленных программ.
В легальных целях RAT используются для доступа к ресурсам другого компьютера (например, с домашнего ПК можно управлять рабочим) или при удаленной технической поддержке пользователей. Однако существует и нелегальный вариант — удаленное подключение злоумышленника с целью получить полный контроль над компьютером и всеми возможностями, которые этот контроль предоставляет. Большинство таких инструментов позволяет не только красть данные или выполнять файловые операции, но и транслировать изображение с веб-камеры, захватывать аудиопоток из микрофона, узнавать местоположение зараженного устройства (если на нем есть GPS), получать доступ к рабочему столу и командной строке. Всё перечисленное — лишь минимальный набор возможностей RAT.
Классификация программ удаленного администрирования
Программы класса RAT (Remote Administration Tools) бывают как легальными, так и нелегальными. В первом сценарии они являются отличным инструментом для системного администратора, который удаленно может провести диагностику, настройку и исправление ошибок. Нелегально же RAT часто используют хакеры для слежки или сбора информации о жертве. Каждый разработчик стремится реализовать свой набор доступных функций в зависимости от задач, сегмента использования и квалификации пользователей, ориентации на платное или бесплатное распространение.
Чаще всего программы удаленного администрирования делят по возможности работы на различных операционных системах — инструменты для Windows, macOS, Linux, способные работать с несколькими ОС, дающие доступ с мобильных устройств.
В плане безопасности различают программы, предоставляющие доступ при наличии пароля и такие, где необходимо разрешение пользователя удаленного компьютера, системы с встроенными протоколами шифрования, возможностью фильтрации по ID и IP.
Как используются программы удаленного администрирования?
Злоумышленники используют RAT для слежки за человеком, сбора информации о нем. При этом целью может стать кто угодно: известный политический деятель или обычный гражданин, о жизни которого кто-то хочет узнать больше.
Имея физический доступ к серверу, злоумышленник может украсть идентификатор и пароль для клиента либо создать собственные. Можно поработать на компьютере в отсутствие владельца или опять же скопировать пароль доступа. Другой тип атаки — заражение троянцем-кейлогером либо иной программой, крадущей пароли. Наконец, можно украсть популярные среди офисных работников стикеры с записанными на них паролями.
Еще одним объектом воздействия может стать канал, по которому владелец управляемого компьютера передает пароль на подключение. Для передачи используют телефоны (SMS или устный разговор), электронную почту, Skype, любой из мессенджеров, и если преступник сумеет получить доступ к каналу передачи, то он захватит пароль и возможность управлять чужой машиной.
Как распространяются программы удаленного администрирования?
Как отмечено выше, хакер может внедрить RAT при физическом контакте с компьютером. Не менее распространенный способ — социальная инженерия. Злоумышленник способен представить этот инструмент как интересную, полезную программу, заставив жертву установить ее самостоятельно.
Помимо программ, доступны для использования компоненты ОС, которые уязвимы или защищены слабым паролем — например, RDP или Telnet. Также входной точкой для хакера может стать установленная когда-то и забытая системным администратором программа удаленного управления, к которой взломщик подберет пароль, получив тем самым контроль над ПК.
Следующая уязвимость — настройка прав доступа к удаленной системе. Можно разрешить доступ лишь по запросу пользователя, с определенными идентификаторами и только с некоторых IP, но нередко люди выбирают автозапуск с любого адреса. Это удобно, когда необходим доступ к машине, за которой никто не сидит (например, к собственному рабочему компьютеру), но в то же время открывает дорогу и преступникам.
Последнее — человеческий фактор. Чаще всего удаленный доступ используют не внешние злоумышленники, а собственные уволенные сотрудники. Как уже упоминалось, на десятках компьютеров могут быть установлены утилиты удаленного управления. В результате бывший сотрудник может либо сам проникнуть в систему, либо продать информацию конкурентам.
Опасность может представлять и установка программ удаленного доступа втайне от пользователя. В ряде случаев она вообще никак себя не проявляет, но при этом злоумышленник получит возможность копировать нужную информацию и нарушать работу системы.
Риски использования программ удаленного администрирования
Удаленное администрирование охотно применяют для получения помощи от товарищей либо служб поддержки. Неопытные пользователи разрешают доступ с любого IP-адреса без подтверждения, устанавливают слабый пароль. Взломать такой компьютер сможет даже начинающий злоумышленник.
Важно использовать уникальные и сильные пароли для каждой машины и каждого сервиса, ведь учетные данные наподобие root:toor или admin:admin хакер может быстро подобрать, получив полный или частичный контроль над компьютером и использовав его как отправную точку для взлома всей инфраструктуры компании.
Универсального решения не существует, ведь любое усиление безопасности, введение дополнительных ограничений неизбежно усложняет, а порой и делает невозможной нормальную работу. И все же не следует разрешать удаленный доступ тем, кому он явно не требуется. Важно следить за штатными средствами ОС и программами, установленными на компьютере (компьютерах), ведь они также могут быть взломаны и предоставлять хакеру контроль над машиной.
И службам информационной безопасности, и пользователям очень важно отслеживать установленные на компьютере программы, а также контролировать настройки штатных утилит. Кроме этого, необходимо установить актуальный сетевой экран и надежную антивирусную программу, в которой предусмотрен поведенческий анализ. Такая функция позволит обнаруживать RAT как потенциально опасные или вредоносные программы.
Источник: www.anti-malware.ru
Трояны удаленного доступа (RAT) – что это такое и как защитить от них⚕️
Статьи
Автор cryptoparty На чтение 7 мин Опубликовано 11.02.2019
Троянец удаленного доступа, или RAT, является одним из самых вредоносных типов вредоносных программ, о которых только можно подумать.
Они могут нанести всевозможные повреждения, а также могут быть ответственны за дорогостоящие потери данных.
С ними нужно активно бороться, потому что, помимо того, что они очень опасны, они довольно распространены.
Сегодня мы сделаем все возможное, чтобы объяснить, что они из себя представляют и как они работают, а также дадим вам знать, что можно сделать, чтобы защититься от них.
Мы начнем наше обсуждение сегодня с объяснения того, что такое RAT.
Мы не будем углубляться в технические детали, но сделаем все возможное, чтобы объяснить, как они работают и как они к вам попадают.
Далее, стараясь не показаться слишком параноидальным, мы увидим, что RAT можно рассматривать почти как оружие.
На самом деле, некоторые из них были использованы как таковые.
После этого мы представим несколько самых известных RAT.
Это даст вам лучшее представление о том, на что они способны.
Затем мы увидим, как можно использовать инструменты обнаружения вторжений для защиты от RAT, и рассмотрим некоторые из лучших из этих инструментов.
Итак, что такое RAT?
Троян удаленного доступа – это разновидность вредоносного ПО, которое позволяет хакеру удаленно (отсюда и название) получить контроль над компьютером.
Давайте проанализируем имя.
Троянская часть рассказывает о том, как распространяется вредоносное ПО.
Это относится к древнегреческой истории о троянском коне, который Улисс построил, чтобы вернуть город Трою, который был осажден в течение десяти лет.
В контексте компьютерного вредоносного ПО, троянский конь (или просто троян) представляет собой вредоносное ПО, распространяемое как-то еще.
Например, игра, которую вы загружаете и устанавливаете на свой компьютер, на самом деле может быть троянским конем и содержать некоторый вредоносный код.
Что касается удаленного доступа RAT, то это связано с тем, что делает вредоносная программа.
Проще говоря, это позволяет его автору иметь удаленный доступ к зараженному компьютеру.
И когда он получает удаленный доступ, у него практически нет ограничений на то, что он может сделать.
Это может варьироваться от изучения вашей файловой системы, просмотра ваших действий на экране, сбора ваших учетных данных для входа в систему или шифрования ваших файлов, чтобы затем потребовать выкуп.
Он также может украсть ваши данные или, что еще хуже, данные вашего клиента.
После установки RAT ваш компьютер может стать концентратором, откуда атаки будут запущены на другие компьютеры в локальной сети, что позволит обойти любую защиту периметра.
RAT в истории
К сожалению, rat существуют уже более десяти лет.
Считается, что эта технология сыграла свою роль в широкомасштабном разграблении американской технологии китайскими хакерами еще в 2003 году.
Расследование в Пентагоне выявило кражу данных у американских оборонных подрядчиков, причем секретные данные о разработке и испытаниях были переданы в места расположения в Китае.
Возможно, вы помните, как отключались энергосистемы на восточном побережье США в 2003 и 2008 годах.
Они также были прослежены в Китае и, по-видимому, им способствовали RAT.
Хакер, который может запустить RAT в систему, может воспользоваться любым программным обеспечением, которое есть в распоряжении пользователей зараженной системы, часто даже не замечая этого.
RAT как оружие
Злонамеренный разработчик RAT может взять под контроль электростанции, телефонные сети, ядерные объекты или газопроводы.
Таким образом, RAT не только представляют угрозу для корпоративной безопасности.
Они также могут позволить нациям атаковать вражескую страну.
Как таковые, их можно рассматривать как оружие.
Хакеры по всему миру используют RAT для слежки за компаниями и кражи их данных и денег.
Между тем проблема RAT теперь стала вопросом национальной безопасности для многих стран, в том числе России.
Первоначально использовавшаяся для промышленного шпионажа и саботажа китайскими хакерами, США стала ценить мощь RAT и интегрировала их в свой военный арсенал.
Теперь они являются частью стратегии наступления, известной как «гибридная война».
Несколько известных RAT
Давайте посмотрим на некоторые из самых известных RAT.
Наша идея здесь не в том, чтобы прославить их, а в том, чтобы дать вам представление о том, насколько они разнообразны.
Back Orifice
Back Orifice – это американский RAT, который существует с 1998 года. Это своего рода дедушка RAT.
Первоначальная схема эксплуатировала уязвимость в Windows 98.
Более поздние версии, которые работали в более новых операционных системах Windows, назывались Back Orifice 2000 и Deep Back Orifice.
Эта RAT способна скрывать себя в операционной системе, что делает ее особенно трудной для обнаружения.
Однако сегодня большинство систем защиты от вирусов используют в качестве сигнатур исполняемые файлы Back Orifice и поведение окклюзии.
Отличительной особенностью этого программного обеспечения является то, что оно имеет простую в использовании консоль, которую злоумышленник может использовать для навигации и просмотра зараженной системы.
После установки эта серверная программа связывается с клиентской консолью по стандартным сетевым протоколам.
Например, известно, что используется номер порта 21337.
DarkComet
DarkComet был создан еще в 2008 году французским хакером Жаном-Пьером Лесуэром, но привлек внимание сообщества кибербезопасности только в 2012 году, когда было обнаружено, что африканское хакерское подразделение использует эту систему для нацеливания на правительство и вооруженные силы США.
DarkComet характеризуется простым в использовании интерфейсом, который позволяет пользователям, практически не имеющим технических навыков, выполнять хакерские атаки.
Это позволяет шпионить через кейлоггинг, захват экрана и сбор пароля.
Управляющий хакер также может управлять функциями питания удаленного компьютера, позволяя включать или выключать компьютер удаленно. Сетевые функции зараженного компьютера также можно использовать для использования компьютера в качестве прокси-сервера и маскировки его личности во время рейдов на других компьютерах. Проект DarkComet был заброшен его разработчиком в 2014 году, когда было обнаружено, что он используется сирийским правительством, чтобы шпионить за его гражданами.
Mirage
Mirage – известная RAT, используемая спонсируемой государством китайской хакерской группой.
После очень активной шпионской кампании с 2009 по 2015 год группа замолчала.
Mirage был основным инструментом группы с 2012 года.
Обнаружение варианта Mirage, названного MirageFox в 2018 году, является намеком на то, что группа может вернуться в действие.
MirageFox был обнаружен в марте 2018 года, когда он использовался для слежки за правительственными подрядчиками Великобритании.
Что касается оригинальной Mirage RAT, она использовалась для атак на нефтяную компанию на Филиппинах, тайваньских военных, канадскую энергетическую компанию и другие цели в Бразилии, Израиле, Нигерии и Египте.
Этот RAT поставляется встроенным в PDF.
Открытие его приводит к выполнению скриптов, которые устанавливают RAT.
После установки его первое действие – отчитаться перед системой управления и контроля с проверкой возможностей зараженной системы.
Эта информация включает в себя скорость процессора, объем памяти и использование, имя системы и имя пользователя.
Защита от RAT – средства обнаружения вторжений IDS
Антивирусное программное обеспечение иногда бесполезно себя ведет при обнаружении и предотвращении RAT.
Это связано отчасти с их природой.
Они прячутся как нечто совершенно законное.
По этой причине они часто лучше всего обнаруживаются системами, которые анализируют компьютеры на предмет ненормального поведения.
Такие системы называются системами обнаружения вторжений IDS.
Мы искали на рынке лучшие системы обнаружения вторжений.
Наш список содержит набор добросовестных систем обнаружения вторжений и другого программного обеспечения, которое имеет компонент обнаружения вторжений или которое может использоваться для обнаружения попыток вторжения.
Как правило, они лучше идентифицируют трояны удаленного доступа, чем другие типы средств защиты от вредоносных программ.
- Лучшие инструменты для сетевого обнаружения вторжений
- Сетевые системы обнаружения вторжений NIDS, HIDS. Виды, различия, плюсы и минусы
- IDS/IPS дистрибутив на основе Suricata : SELKS
- Как установить Bro security suite IDS на сервере Ubuntu
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий Отменить ответ
Поддержать нас
- Аудит ИБ (49)
- Вакансии (12)
- Закрытие уязвимостей (105)
- Книги (27)
- Мануал (2 227)
- Медиа (66)
- Мероприятия (39)
- Мошенники (23)
- Обзоры (798)
- Обход запретов (34)
- Опросы (3)
- Скрипты (109)
- Статьи (334)
- Философия (97)
- Юмор (18)
Наш Telegram
Социальные сети
Поделиться
Anything in here will be replaced on browsers that support the canvas element
- Выполняем атаку включения локального файла 21.12.2022
Включение локальных файлов (LFI) – это тип кибер-атаки, при которой злоумышленник получает доступ к конфиденциальной информации, хранящейся на сервере, используя уязвимости сервера и включая локальные файлы. Злоумышленник ищет небезопасные методы и недостатки в системе, которые могут быть использованы для получения доступа к конфиденциальным файлам, например, содержащим системные настройки, конфигурационные файлы и другие важные данные. Этот […]
Разработать сайта сегодня может каждый, и если ранее компании выбирали варианты дешевле, то сегодня очень желанием является создание сайта бесплатно. Реально ли это, следует разобраться в деталях. Сразу хочется сказать, что теоретически это возможно, но не для всех типов сайтов. По крайней мере, если хотите развивать свой ресурс, а не просто сделать и забросить. Бесплатный […]
Кэш браузера — это сохраненные копии контента с сайтов, которые пользователь просматривал в браузере. Эти копии сохраняются в памяти компьютера. Функция кэширования браузера преследует две цели: экономия трафика. Контент сохраняется на компьютере пользователя, поэтому ему не приходится каждый раз заново загружать его из интернета; ускорение загрузки страниц, которые пользователь посещал ранее. Это также достигается за […]
Это краткое руководство объясняет, что такое ramfetch, как установить ramfetch на Linux и как отобразить информацию о памяти с помощью ramfetch в операционных системах Linux. Что такое ramfetch? Для Linux существует множество программ с данным функционалом (например, Neofetch, Screenfetch, Macchina и т.д.). Эти программы используются для отображения общей информации о системе Linux, такой как версия […]
Использование памяти в Linux обычно измеряется объемом оперативной памяти, используемой определенным процессом. Это можно отследить с помощью команды free, которая отображает общий объем памяти, используемую память и свободную память, доступную в системе. Использование процессора в Linux обычно измеряется количеством ядер процессора, используемых определенным процессом. Это можно отследить с помощью команды top, которая отображает количество ядер […]
Источник: itsecforu.ru
Словарь терминов: RAT
Yuri Ilyin
Термин RAT нередко используется в статьях по кибербезопасности, хотя он и не встречается так часто, как троян. Тем не менее, в конце августа Threatpost упомянул различные RAT, по крайней мере, трижды.
RAT – это сокращение от Remote Administration Tool (средства удалённого администрирования или управления). Хотя это объяснение может казаться довольно безобидным, термин RAT, как правило, связан с программным обеспечением, используемым в преступных или зловредных целях. Так что аббревиатура (а в английском слово «rat» обозначает крысу) не лишена смысла.
Вредоносное ПО типа RAT, как правило, устанавливается без ведома жертвы, зачастую в качестве полезной нагрузки трояна, и стремится скрыть свою активность от жертвы, а также от защитного программного обеспечения.
Учуять крысу
Сегодня RAT часто являются компонентами троянов и бэкдоров: их возможности позволяют злоумышленнику во многом контролировать компьютер жертвы, в том числе загружать любые программы (в том числе вредоносные, конечно), пересылать, удалять и переименовывать файлы, форматировать диски, красть пароли и номера кредитных карт и т.д. На самом деле хорошо сработанный RAT позволяет злоумышленнику что угодно делать с машиной, к которой получен физический доступ, что превращает RAT в идеальный инструмент шпионажа. RAT, среди прочего, позволяют записывать аудио и видео (при наличии соответствующих аппаратных средств), делать скриншоты экрана жертвы и дистанционно управлять им, втихую устанавливать приложения, просматривать, удалять и запускать задачи в диспетчере, а также осуществлять веб-серфинг с IP-адреса инфицированного компьютера.
Добавьте сюда возможность «разгона» оборудования вплоть до его необратимого повреждения.
Зарыться в систему
Если в реальном мире грызуны могут сами рыть норы, то их «киберколлегам» требуются уже имеющиеся дыры в безопасности. Ряды последних не ограничиваются изъянами программного обеспечения.
Одна из недавно выявленных кампаний использовала некое очень убедительное фишинговое письмо в сочетании с перегруженными макросами документами Word, для того чтобы подсадить RAT AutoIt и внедрить вредоносную программу.
Несмотря на то, что Microsoft отключила макросы по умолчанию 8 лет назад, хакеры недавно начали их использовать снова, используя фишинговые электронные письма, призывающие жертвы включить макросы. Эта кампания является лишь примером такого нападения. После того как макросы задействованы, выполняется атака, и макросы загружают некие двоичные коды и архивы, занося RAT AutoIt.
AutoIt является полностью законным, бесплатным инструментом, который позволяет администраторам в Windows писать скрипты для автоматизации задач. Он может даже присутствовать в белых списках целого ряда компаний. Загружается огромный, на 600 Мб скрипт AutoIt, а вместе с ним приходят антианалитические проверки, дешифратор полезной нагрузки, устанавливается вредоносная программа, и включаются механизмы постоянной работы. Скрипт также инсталлировал другие RAT (Cybergate или NanoCore) или же червя Parite. Подробное описание можно найти здесь.
Среди других недавних находок есть трояны удалённого доступа, названные uWarrior и Jsocket. Последний оказался перелицованным трояном удалённого доступа AlienSpy.
В свою очередь, первый выглядит как монстр Франкенштейна среди RAT, так как весь сшит из различных готовых компонентов, взятых из других вредоносных программ (таких как RAT ctOS). Исследователи говорят, однако, что вредоносная программа «полнофункциональна», и когда дело доходит до эксплуатации, «сочетание методов и пострадавшего кода является новаторским и весьма сложным».
Согласно Threatpost, «вредоносная программа включает в себя два кода старых эксплойтов, дистанционно задействующих ошибки CVE-2012-1856 и CVE-2015-1770. Первый, который поражал MSCOMCTL.OCX в Microsoft Windows Common ещё в 2012 году, по-видимому, вернулся и использует цепочку возврат-ориентированного программирования (ROP), чтобы обойти ASLR…»
UWarrior же встраивается в фальсифицированные документы .RTF. А это означает, что фишинг является главным вектором заражения.
RAT часто являются компонентами #троянцев и #бэкдоров и детектируются как таковые. #бизнесбезугроз
Tweet
Дератизация
Как было сказано выше, RAT часто являются компонентами троянов и бэкдоров, и они попадают в систему «обычными» путями — через фишинговые письма, нашпигованные макросами документы Word, эксплуатируют недостатки программного обеспечения и т.д. Всё это можно предотвратить.
Бизнес-продукты «Лаборатории Касперского» способны обнаруживать и блокировать эти угрозы с помощью изрядного набора защитных технологий, которые включают в себя обнаружение вредоносных программ, поведенческий анализ, оценку системы и уязвимостей, а также инструменты управления патчами. Для получения более подробной информации об этих функциях, пожалуйста, посетите корпоративный сайт «Лаборатории Касперского».
Источник: www.kaspersky.ru