Содержание
- Отключаем удаленное управление компьютером
- Запрещаем удаленный доступ
- Шаг 1: Общий запрет
- Шаг 2: Отключение помощника
- Шаг 3: Отключение служб
- Заключение
- Как пользоваться NjRAT? Приколы вируса удаленного доступа
- DDoS на удаленке: RDP-атаки
- Статистика
- Что такое RDP-атаки
- Почему они опасны?
- Как понять, что RDP-атака началась
- Способы от них избавиться
- О дивный новый мир
- Трояны удаленного доступа (RAT) – что это такое и как защитить от них👨⚕️
- Итак, что такое RAT?
- RAT в истории
- RAT как оружие
- Несколько известных RAT
- Back Orifice
- DarkComet
- Mirage
- Защита от RAT – средства обнаружения вторжений IDS
Отключаем удаленное управление компьютером
Запрещаем удаленный доступ
Как уже было сказано выше, мы будем менять исключительно системные настройки, позволяющие сторонним пользователям просматривать содержимое дисков, менять параметры и совершать иные действия на нашем ПК. Имейте в виду, если вы пользуетесь удаленными рабочими столами или машина является частью локальной сети с общим доступом к устройствам и программному обеспечению, то приведенные ниже действия могут нарушить работу всей системы. Это же касается и тех ситуаций, когда требуется подключаться к удаленным компьютерам или серверам.
Отключение удаленного доступа выполняется в несколько этапов или шагов.
Шаг 1: Общий запрет
Данным действием мы отключаем возможность подключения к вашему рабочему столу с помощью встроенной функции Windows.
Доступ отключен, теперь сторонние пользователи не смогут выполнять действия на вашем компьютере, но смогут просматривать события, используя помощник.
Шаг 2: Отключение помощника
Удаленный помощник позволяет пассивно просматривать рабочий стол, а точнее, все действия, которые вы выполняете – открытие файлов и папок, запуск программ и настройка параметров. В том же окне, где мы отключали общий доступ, снимаем галку возле пункта, разрешающего подключение удаленного помощника и жмем «Применить».
Шаг 3: Отключение служб
На предыдущих этапах мы запретили совершать операции и вообще просматривать наш рабочий стол, но не спешите расслабляться. Злоумышленники, получив доступ к ПК вполне могут изменить эти настройки. Еще немного повысить уровень безопасности можно с помощью отключения некоторых системных служб.
Все действия, приведенные выше, можно выполнить только под учетной записью администратора или введя соответствующий пароль. Именно поэтому для предотвращения внесения изменений в параметры системы извне необходимо работать только под «учеткой», имеющей обычные права (не «админские»).
Заключение
Теперь вы знаете, как отключить удаленное управление компьютером через сеть. Действия, описанные в данной статье, помогут повысить безопасность системы и избежать многих проблем, связанных с сетевыми атаками и вторжениями. Правда, почивать на лаврах не стоит, поскольку никто не отменял зараженные вирусами файлы, которые попадают на ПК через интернет. Будьте бдительны, и неприятности обойдут вас стороной.
Помимо этой статьи, на сайте еще 12317 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.
Отблагодарите автора, поделитесь статьей в социальных сетях.
Источник
Как пользоваться NjRAT? Приколы вируса удаленного доступа
Zip File, мамкины хацкеры. Сегодня мы наконец-то поговорим про ратники. Рассмотрим их основные функции, нюансы открытия портов, варианты решения проблемы с DynDNS и прочие вещи, которые так волнуют начинающих злоумышленников. Оговорочка по Фрейду. Конечно, же безопасников, а не злоумышленников. Ведь именно специалистам, отвечающим за защиту, приходится выявлять крыс на компьютерах в своих больших и малых конторах.
Для тех, кто не в теме, проведу краткий экскурс в историю. Ратники, они же Remote Access Trojan (трояны удаленного доступа) или попросту крысы, применяются хацкерами для получения доступа к ресурсам компьютера. По сути, это вирусные утилиты, разработанные по образу и подобию админских программ для обслуживания по удалёнке. Таких, как RAdmin, TeamViewer, TightVNC и прочие известные всем нам ремотки.
Однако принцип внедрения у ратников несколько отличается от вышеперечисленного софта. Для того, чтобы установить тот же RAdmin, вам, как минимум нужно побывать за компьютером пользователя 1 раз. Либо обладать правами на установку прог по сети. TeamViewer при первом запуске также выдаст рандомный пароль с уникальным ID, а для дальнейшего подключения без участия пользователя потребуется войти под своей учеткой.
В любом случае, ваш доступ к машине будет так или иначе санкционирован. Ратники же, имея под капотом вирусный бэкграунд, требуют от юзверя лишь запустить их единожды. После этого информация о соответствующем ПК отлетит прямиком к злоумышленнику, который в свою очередь сможет распорядиться полученным доступом по своему усмотрению.
Вот и образовалось, что называется свободная касса для всех любителей поживиться чужими данными. На форумах в дарке, эту тему форсят ещё с апреля и на сегодняшний день ситуация мало чем изменилась. Разве что ратников стало больше, чем раньше и продавать их стали за бабки. Причём функционал у них у всех плюс-минус одинаковый, а отличаются они лишь графической оболочкой.
В данном уроке, я продемонстрирую вам наиболее популярный ратник NjRAT. Он имеет самое большое количество скачиваний на гитхабе, поэтому очень надеюсь, что комментариев типа «ааа вирус нам скидываешь» не будет. Ведь я не заливаю данный ратник в телегу, а показываю, где его может скачать потенциальный злоумышленник и каким образом использовать для своих целей. Если интересно, устраивайтесь по удобней и приступим к созданию крыски. Погнали.
Шаг 1. Заходим на гитхаб и загружаем архив с NjRAT’ом.
Шаг 2. Распаковываем Zip File и внутри созданного каталога ищем папочку Moded, а в ней файл ратника.
Шаг 3. Запускаем его и прописываем порт, который нам нужно будет открыть на роутере. Надеюсь, что не нужно объяснять то, что он же, должен быть добавлен в исключения вашего брандмауэра. Хотя лично я, всегда вырубаю последний, дабы не выносить себе, и без того утомлённый мозг, этим вопросом. А по поводу проброса портов, у меня на канале есть чудеснейший видос про RDP. Там суть один в один, поэтому растягивать данный ролик по времени разжёвываю эту тему, я тут не буду. Кто не шарит, переходите и смотрите по ссылке в подсказке.
Шаг 4. Ну а мы жмём Start и попадаем в основное окно программы. Тут нас интересует только одна кнопка – «Builder». После нажатия на неё, запускается меню конфигурирования EXE’шки клиента, которая, по сути, и является вирусом. Давайте настроим всё по порядку. В пункте Hostзадаём наш белый IP’шник. Я миллион раз повторял в своих видео, что если вы хотите заниматься изучением администрирования или безопасности на постоянной основе, то обзавестись белым IPу провайдера нужно в обязательном порядке. Далее у нас порт, открываемый на роутере. Чуть ниже имя жертвы. Маскировка под определённый процесс. Обычно злоумышленники маскируют ратник под какую-нибудь системную службу, аля служба печати или диспетчер задач. Ну а справа у нас дополнительные параметры вируса. BSODпри попытке закрытия, копирование в автозагрузку, запись в реестре, распространение по USB в случае подключения носителя к ПК и прочие прелести. В более продвинутых ратниках ещё встречается функция изменения иконки, FUD-крипт и т.д. Ниже размер логов. Пусть будет 512. В принципе, всё. Кликаем «Build» для создания файла.
Шаг 5. Указываем имя и месторасположения. Я назову RAT, однако ясен-красен, что для распространения такое имя уж точно не годится и вы никогда не встретите подобную EXE’шку в чистом виде. По поводу максировки вирусов в меня на канале также есть пару занятных роликов. Ссылка на один из них непременно всплывёт в подсказке.
Шаг 6. Окей. Запускаем файл на компьютере жертвы.
Шаг 7. И вернувшись на свой ПК проверяем статус подключения. Комп подключился, а значит наш вирус уже в системе, и мы можем начинать кошмарить её по полной программе. Для этого достаточно вызвать контекстное меню функций и выбрать наиболее подходящий нам вариант.
Шаг 8. Давайте рассмотрим всё по порядку. Первый пункт Manager предоставляет нам доступ к файлам на дисках, открывает менеджер процессов, в котором мы можем выключить ту или иную задачу, а также посмотреть текущие соединения и поковыряться в регистре.
Шаг 9. Функция «Run File» позволяет запустить любой файл с диска или по внешней ссылке. Давайте я для примера продемонстрирую жертве пикчу носков.
Шаг 10. Указываем путь к картинке. И затем проверяем результат на клиенте.
Шаг 11. Всё отрабатывает. Теперь давайте затестим удалённый рабочий стол. Подключившись с его помощью можно не только смотреть за происходящим, но также, как и в любой популярной удалёнке управлять мышкой, клавой и делать скриншоты.
Шаг 12. Про вебку и микрофон думаю объяснять не нужно. Это, пожалуй, одни из самых полезных функций для злоумышленников, живущих за счёт продажи компромата в даркнете.
Шаг 13. Хотя, как по мне, большинству хацкеров ничуть не меньше зайдёт функция «Get Passwords». Она вытаскивает все сохранённые пассы из браузеров. Т.к. у меня это виртуалка, соответственно тут данный список девственен и чист.
Шаг 14. Далее по списку у нас старый добрый кейлоггер. Он перехватывает все нажатия клавиш пользователя. От набивки текста унылейшей курсовой, до пароля в vk.
Шаг 15. А затем сейвит их в отдельный RTF’овский файл, который складывается в папку пользователя, рядом с TXT’шкой пассвордов.
Шаг 16. Ну и самое весёлое – это, конечно же, чат с жертвой. Вы можете пообщаться с беднягой, пообещав удалить троянчик с компьютера за пару сотен пиастров.
Шаг 17. И в случае удачной сделки, даже сдержать своё слово, мочканув вредонос удалённо.
И вроде бы, с первого взгляда, всё круто, однако, не стоит забывать о подводных камнях. Во-первых, для того, чтобы всё завелось, на компьютере жертвы должен быть либо отключён автивирус. Либо ваш EXE-файл должен быть прокриптован. Во-вторых, на сегодняшний день, львиная доля членов нашего братства, жидится потратить сотку на белый IP и тем самым добавляет себе гемороя с пробросом портов.
Да, чисто теоретически можно попробовать воспользоваться популярным сторонним сервисом No-IP и с помощью технологии DynDNS забацать себе псевдо-белку. Также у некоторых именитых сетевых вендеров есть свои собственные, бесплатные сервисы для этой истории. Например, у тех же ASUS данная фича прекрасно работает из коробки. Однако, никакой дин вам не поможет, если ваш гавно-провайдер по экономическим соображениям экономит пул, и посадив клиентов за NAT, раздаёт, что называется «many to one».
В этом случае, вам поможет только белый IP или VPN. Либо, если у вас есть собственный Web-сайт, можно попробовать поизголяться с online-ратниками. Они хоть и менее функциональны, зато не требуют открытия портов. Следующий ролик у нас, как раз, будет по этой теме. Так что, если ты, друг мой, впервые забрёл на канал и ещё не оформил подписку, сейчас самое время. Клацай на колокол и в твоей ленте будут регулярно появляться годнейшие видосы по вирусологии, этичному хакингу и пентестингу.
С олдов жду лайки и конечно же комментарии по поводу того, какие ратники вы используете в своих обучающих целях. На сегодняшний день их развелось просто офигеть, как много, поэтому давайте посредством народного голосования выберем лучший. Хотя я почти на 100% уверен, что лидером окажется Putin RAT, но всё же давайте ради приличия немножко поиграем в иллюзию демократии. Напоследок, традиционно, желаю всем удачи, успеха и самое главное, безопасной работы.
Берегите себя и свои тачки. Не допускайте крыс в свою ОСь. Самый лучший способ для этого раз и навсегда перейти на Linux и больше никогда не вспоминать об EXE-файлах. Ну а с вами, как обычно, был Денчик. Искренне благодарю за просмотр. До новых встреч, камрады. Всем пока.
Источник
DDoS на удаленке: RDP-атаки
До недавнего времени корпоративный поток данных в подавляющем большинстве случаев циркулировал в контролируемой инфраструктуре. Но пандемия вынудила людей в спешке организовывать весь доступ к корпоративной среде в домашних условиях и незащищенных сетях Wi-Fi. Ну а уж любовь пользователей к простым паролям и нелюбовь к двухфакторной авторизации всегда были головной болью безопасников.
Статистика
Что такое RDP-атаки
В протоколе постоянно находили уязвимости, причем так часто, что в 2018 году даже ФБР выпустило специальное предупреждение. В мае 2019 года в старых версиях протокола была обнаружена критическая уязвимость под названием BlueKeep. Всего через месяц после ее появления началась активная волна атак, использующих BlueKeep. Затем в августе того же года в протоколе нашли еще четыре новые уязвимости. Они были связаны не с протоколом RDP, а с сервисом удаленных рабочих столов RDS и позволяли с помощью специального запроса, отправленного через RDP, получить доступ к уязвимой системе, не проходя при этом процедуру проверки подлинности.
А затем начинается собственно атака изнутри системы. Решения безопасности отключаются или удаляются, а затем либо начинается DDoS-атака, либо запускается программа-вымогатель, которая устанавливает пароль на доступ к базам данных с важной для компании информацией. Либо уводятся реальные персональные данные для credential stuffing и фишинга. Также можно использовать плохо защищенный RDP для установки программ для майнинга криптовалют или создания бэкдора (на случай, если несанкционированный доступ к RDP будет обнаружен и закрыт), для установки рекламного или шпионского ПО, SMS-троянов, и так далее. Этим можно полностью заразить все доступные в сети машины.
Существуют скрипты, которые способны по-максимуму использовать права пользователя, который подключается по RDP и всех последующих пользователей в цепочке RDP-подключений. Этот метод получил название RDPInception. Если атакованная машина подключается по цепочке через несколько серверов и везде монтируются локальные диски, то скрипт самокопируется в нужные директории и становится возможным атаковать все машины, поскольку при входе в систему выполняются скрипты, расположенные в Startup директории. Все, что подключается в этой цепочке, также может быть заражено.
Почему они опасны?
Технически такие атаки тоже становятся все более опасными. Во-первых, злоумышленники больше не работают точечно, а охватывают большие сегменты сетей.
Во-вторых, время простых атак уже прошло. Преступники используют сложные схемы и комбинируют методы. Так, в трояне TrickBot появился новый модуль rdpScanDll, который используется для проведения атак brute force на RDP-соединения. Этот модуль уже отметился в ряде атак на крупные компании, в том числе связанными с образованием и финансами.
В-третьих, персональные данные и инструменты для взлома, к сожалению, становятся все более доступными. Например, недавно исходный код Dharma, ransomware-as-a-service ПО, также нацеленного на RDP, выложили для продажи онлайн (извините, ссылку давать не будем). Растет количество утечек баз с паролями и словарей для перебора паролей, упоминавшиеся выше скрипты для взлома можно найти в открытом доступе, и там же есть готовые списки серверов, у которых открыт RDP порт. На рынке есть огромное количество ботов, которые постоянно сканируют все доступные точки подключения и пытаются подобрать пароль.
Наконец, средств для защиты либо недостаточно для “переборщиков паролей”, либо они не применяются. Часто компании даже не видят, что такая атака уже идет. Они могут заметить низкую производительность и долгое выполнение запросов, но лечат это оптимизацией памяти и другими нерелевантными методами.
Как понять, что RDP-атака началась
Серверы не принимают соединения со службой удалённого доступа, пользователи не могут зайти на свои рабочие столы. При этом ситуация может то временно улучшаться, то ухудшаться. В целом серверы могут быть доступны и даже отвечать на ping.
Способы от них избавиться
Способов, на самом деле, множество, но в данной статье мы решили разделить их на полностью надежные и те, у которых или есть определенные недостатки, или их сложно реализовать, или они могут служить только временной мерой. Начнем с надежных.
Правильная система паролей
Недавнее исследование Verizon показало, что более 80% взломов связано не с уязвимостями протокола RDP, а именно с ненадежными паролями. Поэтому в компаниях должна быть принята и закреплена в инфраструктуре политика использования сложных для подбора паролей и обязательной двухфакторной аутентификации. Пароли пользователям желательно хранить в специальных защищенных менеджерах паролей. Решения по безопасности также должны быть дополнительно защищены паролем, чтобы нельзя было их отключить изнутри при успешной атаке.
Система мониторинга всех запросов
Другой вариант: если нет централизованной системы контроля доступа, то можно создать скрипт на powershell, который сообщает о всех фактах и попытках авторизации. Наконец, можно настроить “События” на отображение всей доступной информации.
Network Level Authentication
NLA обеспечивает более надежную защиту от подмены ключей, требуя аутентификацию до установления сессии и во время сессии. В прошлом году именно NLA затрудняла эксплуатацию серьезных уязвимостей в протоколе.
Ряд других полезных практик:
Используйте нестандартные ключи, например, PKI (Public Key Infrastructure), а соединения RDP стройте с помощью TLS (Transport Layer Security).
Если RDP не используется, то выключите его и отключите на брандмауэре сети внешние соединения с локальными машинами на порту 3389 (TCP/UDP) или любом другом порту RDP.
Постоянно обновляйте все ПО на устройствах сотрудников до актуальных версий. Помните, что 80-90% эксплойтов создано после выхода патча на уязвимость. Узнав, что была уязвимость, атакующие ищут ее именно в старых версиях софта. Конечно, это непростая задача в условиях удаленки, но это должно быть частью корпоративной ИТ-политики. Кроме того, любые незащищенные или устаревшие компьютеры нужно изолировать.
По возможности используйте шифрование на устройствах, которые используются для решения рабочих задач (например, шифрование диска).
Сделайте резервные копии ключевых данных. Резервные копии должны быть доступны только администратору или пользователю резервного копирования. Права на папки к файлам резервного копирования также должны быть максимально ограничены.
Установите на все устройства сотрудников защитные решения и решения, позволяющие отследить технику в случае ее утери.
А теперь перейдем к вариантам, которые сложно назвать однозначными, потому что у них есть и плюсы, и минусы.
Организовать доступ через VPN
Помимо очевидных преимуществ, у этого варианта есть несколько сложностей.
Даже у тех, кто использует Virtual Private Network, иногда разрешена авторизация пользователя без пароля.
Практически во всех популярных VPN-решениях также есть уязвимости для несанкционированного доступа.
В условиях полного домашнего “зоопарка” устройств и подключений к сети (как насчет выхода в интернет через сотовый модем?) на удаленке довольно тяжело объяснять и настраивать каждому из нескольких сотен пользователей, чтобы у пользователя все стабильно работало и не пропадало подключение к сети.
VPN-серверы тоже могут падать, причем в отличие от временного падения какого-то из сервисов, это может грозить серьезными последствиями. Получается, что VPN серверы становятся единой точкой отказа со всеми вытекающими последствиями.
VPN — это двойное шифрование (помимо стандартного RDP шифрования дополнительно выполняется ещё и VPN шифрование), что означает дополнительную нагрузку и более медленное подключение, что не очень хорошо в условиях нестабильного или не особо быстрого канала связи.
При взломе VPN (а это может быть при взломе роутера), если он настроен по умолчанию (или недостаточно компетентно), хакер получает сразу доступ ко всей внутренней сети, в отличии от доступа к одиночному ПК в случае взлома RDP (хотя и через него тоже потом можно получить доступ ко внутренней сети).
Использовать другие средства удаленного доступа
К сожалению, в них также есть уязвимости. Например, в конце прошлого года найдено 37 уязвимостей в разных клиентах, работающих с протоколом VNC.
Изменить настройки всех пользователей на другой порт
Наверное, наименее надежный способ из всех, хотя наверняка найдутся люди, у которых это прекрасно работает. Почему же он “не очень”?
Требует много времени на то, чтобы изменить настройки, если у вас много конечных пользователей, среди которых могут оказаться и клиенты. А ведь счет часто идет на минуты во время активной фазы атак. В этой ситуации нужно как можно быстрее устранить проблему с минимальным отрывом пользователей от дел.
Кроме того, это временное решение, потому что современные боты с интеллектуальной программой сканирования портов быстро найдут новый нестандартный порт. Из нашей анти-бот практики: боты ловят нестандартный порт от пары часов до пары дней. В общем, к вам все равно придут, хоть и позже. Возможно, переименование учетных записей типа Администратор, admin, user, user1 на более несловарные будет здесь даже более эффективно.
Ввести различные ограничения на подключения
Блокировка IP
Кстати, если вы делаете это с помощью Windows Firewall, то через какое-то время Windows начинает сильно тормозить из-за переполненного правила Windows Firewall.
О дивный новый мир
Для многих компаний удаленная работа, вероятно, останется постоянной частью их корпоративной культуры, и с этим придется что-то делать. При этом уязвимости в RDP всплывают постоянно, и приходится регулярно гуглить, что же появилось нового.
Источник
Трояны удаленного доступа (RAT) – что это такое и как защитить от них👨⚕️
Троянец удаленного доступа, или RAT, является одним из самых вредоносных типов вредоносных программ, о которых только можно подумать.
Они могут нанести всевозможные повреждения, а также могут быть ответственны за дорогостоящие потери данных.
С ними нужно активно бороться, потому что, помимо того, что они очень опасны, они довольно распространены.
Сегодня мы сделаем все возможное, чтобы объяснить, что они из себя представляют и как они работают, а также дадим вам знать, что можно сделать, чтобы защититься от них.
Мы начнем наше обсуждение сегодня с объяснения того, что такое RAT.
Мы не будем углубляться в технические детали, но сделаем все возможное, чтобы объяснить, как они работают и как они к вам попадают.
На самом деле, некоторые из них были использованы как таковые.
После этого мы представим несколько самых известных RAT.
Это даст вам лучшее представление о том, на что они способны.
Затем мы увидим, как можно использовать инструменты обнаружения вторжений для защиты от RAT, и рассмотрим некоторые из лучших из этих инструментов.
Итак, что такое RAT?
Троян удаленного доступа – это разновидность вредоносного ПО, которое позволяет хакеру удаленно (отсюда и название) получить контроль над компьютером.
Давайте проанализируем имя.
Троянская часть рассказывает о том, как распространяется вредоносное ПО.
Это относится к древнегреческой истории о троянском коне, который Улисс построил, чтобы вернуть город Трою, который был осажден в течение десяти лет.
В контексте компьютерного вредоносного ПО, троянский конь (или просто троян) представляет собой вредоносное ПО, распространяемое как-то еще.
Например, игра, которую вы загружаете и устанавливаете на свой компьютер, на самом деле может быть троянским конем и содержать некоторый вредоносный код.
Что касается удаленного доступа RAT, то это связано с тем, что делает вредоносная программа.
Проще говоря, это позволяет его автору иметь удаленный доступ к зараженному компьютеру.
И когда он получает удаленный доступ, у него практически нет ограничений на то, что он может сделать.
Это может варьироваться от изучения вашей файловой системы, просмотра ваших действий на экране, сбора ваших учетных данных для входа в систему или шифрования ваших файлов, чтобы затем потребовать выкуп.
Он также может украсть ваши данные или, что еще хуже, данные вашего клиента.
После установки RAT ваш компьютер может стать концентратором, откуда атаки будут запущены на другие компьютеры в локальной сети, что позволит обойти любую защиту периметра.
RAT в истории
К сожалению, rat существуют уже более десяти лет.
Считается, что эта технология сыграла свою роль в широкомасштабном разграблении американской технологии китайскими хакерами еще в 2003 году.
Расследование в Пентагоне выявило кражу данных у американских оборонных подрядчиков, причем секретные данные о разработке и испытаниях были переданы в места расположения в Китае.
Возможно, вы помните, как отключались энергосистемы на восточном побережье США в 2003 и 2008 годах.
Они также были прослежены в Китае и, по-видимому, им способствовали RAT.
Хакер, который может запустить RAT в систему, может воспользоваться любым программным обеспечением, которое есть в распоряжении пользователей зараженной системы, часто даже не замечая этого.
RAT как оружие
Злонамеренный разработчик RAT может взять под контроль электростанции, телефонные сети, ядерные объекты или газопроводы.
Таким образом, RAT не только представляют угрозу для корпоративной безопасности.
Они также могут позволить нациям атаковать вражескую страну.
Хакеры по всему миру используют RAT для слежки за компаниями и кражи их данных и денег.
Между тем проблема RAT теперь стала вопросом национальной безопасности для многих стран, в том числе России.
Первоначально использовавшаяся для промышленного шпионажа и саботажа китайскими хакерами, США стала ценить мощь RAT и интегрировала их в свой военный арсенал.
Теперь они являются частью стратегии наступления, известной как «гибридная война».
Несколько известных RAT
Давайте посмотрим на некоторые из самых известных RAT.
Наша идея здесь не в том, чтобы прославить их, а в том, чтобы дать вам представление о том, насколько они разнообразны.
Back Orifice
Back Orifice – это американский RAT, который существует с 1998 года. Это своего рода дедушка RAT.
Первоначальная схема эксплуатировала уязвимость в Windows 98.
Более поздние версии, которые работали в более новых операционных системах Windows, назывались Back Orifice 2000 и Deep Back Orifice.
Эта RAT способна скрывать себя в операционной системе, что делает ее особенно трудной для обнаружения.
Однако сегодня большинство систем защиты от вирусов используют в качестве сигнатур исполняемые файлы Back Orifice и поведение окклюзии.
Отличительной особенностью этого программного обеспечения является то, что оно имеет простую в использовании консоль, которую злоумышленник может использовать для навигации и просмотра зараженной системы.
После установки эта серверная программа связывается с клиентской консолью по стандартным сетевым протоколам.
Например, известно, что используется номер порта 21337.
DarkComet
DarkComet был создан еще в 2008 году французским хакером Жаном-Пьером Лесуэром, но привлек внимание сообщества кибербезопасности только в 2012 году, когда было обнаружено, что африканское хакерское подразделение использует эту систему для нацеливания на правительство и вооруженные силы США.
DarkComet характеризуется простым в использовании интерфейсом, который позволяет пользователям, практически не имеющим технических навыков, выполнять хакерские атаки.
Это позволяет шпионить через кейлоггинг, захват экрана и сбор пароля.
Управляющий хакер также может управлять функциями питания удаленного компьютера, позволяя включать или выключать компьютер удаленно. Сетевые функции зараженного компьютера также можно использовать для использования компьютера в качестве прокси-сервера и маскировки его личности во время рейдов на других компьютерах. Проект DarkComet был заброшен его разработчиком в 2014 году, когда было обнаружено, что он используется сирийским правительством, чтобы шпионить за его гражданами.
Mirage
Mirage – известная RAT, используемая спонсируемой государством китайской хакерской группой.
После очень активной шпионской кампании с 2009 по 2015 год группа замолчала.
Mirage был основным инструментом группы с 2012 года.
Обнаружение варианта Mirage, названного MirageFox в 2018 году, является намеком на то, что группа может вернуться в действие.
MirageFox был обнаружен в марте 2018 года, когда он использовался для слежки за правительственными подрядчиками Великобритании.
Что касается оригинальной Mirage RAT, она использовалась для атак на нефтяную компанию на Филиппинах, тайваньских военных, канадскую энергетическую компанию и другие цели в Бразилии, Израиле, Нигерии и Египте.
Этот RAT поставляется встроенным в PDF.
Открытие его приводит к выполнению скриптов, которые устанавливают RAT.
После установки его первое действие – отчитаться перед системой управления и контроля с проверкой возможностей зараженной системы.
Эта информация включает в себя скорость процессора, объем памяти и использование, имя системы и имя пользователя.
Защита от RAT – средства обнаружения вторжений IDS
Антивирусное программное обеспечение иногда бесполезно себя ведет при обнаружении и предотвращении RAT.
Это связано отчасти с их природой.
Они прячутся как нечто совершенно законное.
По этой причине они часто лучше всего обнаруживаются системами, которые анализируют компьютеры на предмет ненормального поведения.
Такие системы называются системами обнаружения вторжений IDS.
Мы искали на рынке лучшие системы обнаружения вторжений.
Наш список содержит набор добросовестных систем обнаружения вторжений и другого программного обеспечения, которое имеет компонент обнаружения вторжений или которое может использоваться для обнаружения попыток вторжения.
Как правило, они лучше идентифицируют трояны удаленного доступа, чем другие типы средств защиты от вредоносных программ.
Источник
Содержание
- Трояны удаленного доступа (RAT) – что это такое и как защитить от них👨⚕️
- Итак, что такое RAT?
- RAT в истории
- RAT как оружие
- Несколько известных RAT
- Back Orifice
- DarkComet
- Mirage
- Защита от RAT – средства обнаружения вторжений IDS
- Как пользоваться NjRAT? Приколы вируса удаленного доступа
- Удаленная техподдержка как риск бизнеса
- Угрозы удаленного доступа
- Не давайте удаленный доступ кому попало
- DDoS на удаленке: RDP-атаки
- Статистика
- Что такое RDP-атаки
- Почему они опасны?
- Как понять, что RDP-атака началась
- Способы от них избавиться
- О дивный новый мир
Трояны удаленного доступа (RAT) – что это такое и как защитить от них👨⚕️
Троянец удаленного доступа, или RAT, является одним из самых вредоносных типов вредоносных программ, о которых только можно подумать.
Они могут нанести всевозможные повреждения, а также могут быть ответственны за дорогостоящие потери данных.
С ними нужно активно бороться, потому что, помимо того, что они очень опасны, они довольно распространены.
Сегодня мы сделаем все возможное, чтобы объяснить, что они из себя представляют и как они работают, а также дадим вам знать, что можно сделать, чтобы защититься от них.
Мы начнем наше обсуждение сегодня с объяснения того, что такое RAT.
Мы не будем углубляться в технические детали, но сделаем все возможное, чтобы объяснить, как они работают и как они к вам попадают.
На самом деле, некоторые из них были использованы как таковые.
После этого мы представим несколько самых известных RAT.
Это даст вам лучшее представление о том, на что они способны.
Затем мы увидим, как можно использовать инструменты обнаружения вторжений для защиты от RAT, и рассмотрим некоторые из лучших из этих инструментов.
Итак, что такое RAT?
Троян удаленного доступа – это разновидность вредоносного ПО, которое позволяет хакеру удаленно (отсюда и название) получить контроль над компьютером.
Давайте проанализируем имя.
Троянская часть рассказывает о том, как распространяется вредоносное ПО.
Это относится к древнегреческой истории о троянском коне, который Улисс построил, чтобы вернуть город Трою, который был осажден в течение десяти лет.
В контексте компьютерного вредоносного ПО, троянский конь (или просто троян) представляет собой вредоносное ПО, распространяемое как-то еще.
Например, игра, которую вы загружаете и устанавливаете на свой компьютер, на самом деле может быть троянским конем и содержать некоторый вредоносный код.
Что касается удаленного доступа RAT, то это связано с тем, что делает вредоносная программа.
Проще говоря, это позволяет его автору иметь удаленный доступ к зараженному компьютеру.
И когда он получает удаленный доступ, у него практически нет ограничений на то, что он может сделать.
Это может варьироваться от изучения вашей файловой системы, просмотра ваших действий на экране, сбора ваших учетных данных для входа в систему или шифрования ваших файлов, чтобы затем потребовать выкуп.
Он также может украсть ваши данные или, что еще хуже, данные вашего клиента.
После установки RAT ваш компьютер может стать концентратором, откуда атаки будут запущены на другие компьютеры в локальной сети, что позволит обойти любую защиту периметра.
RAT в истории
К сожалению, rat существуют уже более десяти лет.
Считается, что эта технология сыграла свою роль в широкомасштабном разграблении американской технологии китайскими хакерами еще в 2003 году.
Расследование в Пентагоне выявило кражу данных у американских оборонных подрядчиков, причем секретные данные о разработке и испытаниях были переданы в места расположения в Китае.
Возможно, вы помните, как отключались энергосистемы на восточном побережье США в 2003 и 2008 годах.
Они также были прослежены в Китае и, по-видимому, им способствовали RAT.
Хакер, который может запустить RAT в систему, может воспользоваться любым программным обеспечением, которое есть в распоряжении пользователей зараженной системы, часто даже не замечая этого.
RAT как оружие
Злонамеренный разработчик RAT может взять под контроль электростанции, телефонные сети, ядерные объекты или газопроводы.
Таким образом, RAT не только представляют угрозу для корпоративной безопасности.
Они также могут позволить нациям атаковать вражескую страну.
Хакеры по всему миру используют RAT для слежки за компаниями и кражи их данных и денег.
Между тем проблема RAT теперь стала вопросом национальной безопасности для многих стран, в том числе России.
Первоначально использовавшаяся для промышленного шпионажа и саботажа китайскими хакерами, США стала ценить мощь RAT и интегрировала их в свой военный арсенал.
Теперь они являются частью стратегии наступления, известной как «гибридная война».
Несколько известных RAT
Давайте посмотрим на некоторые из самых известных RAT.
Наша идея здесь не в том, чтобы прославить их, а в том, чтобы дать вам представление о том, насколько они разнообразны.
Back Orifice
Back Orifice – это американский RAT, который существует с 1998 года. Это своего рода дедушка RAT.
Первоначальная схема эксплуатировала уязвимость в Windows 98.
Более поздние версии, которые работали в более новых операционных системах Windows, назывались Back Orifice 2000 и Deep Back Orifice.
Эта RAT способна скрывать себя в операционной системе, что делает ее особенно трудной для обнаружения.
Однако сегодня большинство систем защиты от вирусов используют в качестве сигнатур исполняемые файлы Back Orifice и поведение окклюзии.
Отличительной особенностью этого программного обеспечения является то, что оно имеет простую в использовании консоль, которую злоумышленник может использовать для навигации и просмотра зараженной системы.
После установки эта серверная программа связывается с клиентской консолью по стандартным сетевым протоколам.
Например, известно, что используется номер порта 21337.
DarkComet
DarkComet был создан еще в 2008 году французским хакером Жаном-Пьером Лесуэром, но привлек внимание сообщества кибербезопасности только в 2012 году, когда было обнаружено, что африканское хакерское подразделение использует эту систему для нацеливания на правительство и вооруженные силы США.
DarkComet характеризуется простым в использовании интерфейсом, который позволяет пользователям, практически не имеющим технических навыков, выполнять хакерские атаки.
Это позволяет шпионить через кейлоггинг, захват экрана и сбор пароля.
Управляющий хакер также может управлять функциями питания удаленного компьютера, позволяя включать или выключать компьютер удаленно. Сетевые функции зараженного компьютера также можно использовать для использования компьютера в качестве прокси-сервера и маскировки его личности во время рейдов на других компьютерах. Проект DarkComet был заброшен его разработчиком в 2014 году, когда было обнаружено, что он используется сирийским правительством, чтобы шпионить за его гражданами.
Mirage
Mirage – известная RAT, используемая спонсируемой государством китайской хакерской группой.
После очень активной шпионской кампании с 2009 по 2015 год группа замолчала.
Mirage был основным инструментом группы с 2012 года.
Обнаружение варианта Mirage, названного MirageFox в 2018 году, является намеком на то, что группа может вернуться в действие.
MirageFox был обнаружен в марте 2018 года, когда он использовался для слежки за правительственными подрядчиками Великобритании.
Что касается оригинальной Mirage RAT, она использовалась для атак на нефтяную компанию на Филиппинах, тайваньских военных, канадскую энергетическую компанию и другие цели в Бразилии, Израиле, Нигерии и Египте.
Этот RAT поставляется встроенным в PDF.
Открытие его приводит к выполнению скриптов, которые устанавливают RAT.
После установки его первое действие – отчитаться перед системой управления и контроля с проверкой возможностей зараженной системы.
Эта информация включает в себя скорость процессора, объем памяти и использование, имя системы и имя пользователя.
Защита от RAT – средства обнаружения вторжений IDS
Антивирусное программное обеспечение иногда бесполезно себя ведет при обнаружении и предотвращении RAT.
Это связано отчасти с их природой.
Они прячутся как нечто совершенно законное.
По этой причине они часто лучше всего обнаруживаются системами, которые анализируют компьютеры на предмет ненормального поведения.
Такие системы называются системами обнаружения вторжений IDS.
Мы искали на рынке лучшие системы обнаружения вторжений.
Наш список содержит набор добросовестных систем обнаружения вторжений и другого программного обеспечения, которое имеет компонент обнаружения вторжений или которое может использоваться для обнаружения попыток вторжения.
Как правило, они лучше идентифицируют трояны удаленного доступа, чем другие типы средств защиты от вредоносных программ.
Источник
Как пользоваться NjRAT? Приколы вируса удаленного доступа
Zip File, мамкины хацкеры. Сегодня мы наконец-то поговорим про ратники. Рассмотрим их основные функции, нюансы открытия портов, варианты решения проблемы с DynDNS и прочие вещи, которые так волнуют начинающих злоумышленников. Оговорочка по Фрейду. Конечно, же безопасников, а не злоумышленников. Ведь именно специалистам, отвечающим за защиту, приходится выявлять крыс на компьютерах в своих больших и малых конторах.
Для тех, кто не в теме, проведу краткий экскурс в историю. Ратники, они же Remote Access Trojan (трояны удаленного доступа) или попросту крысы, применяются хацкерами для получения доступа к ресурсам компьютера. По сути, это вирусные утилиты, разработанные по образу и подобию админских программ для обслуживания по удалёнке. Таких, как RAdmin, TeamViewer, TightVNC и прочие известные всем нам ремотки.
Однако принцип внедрения у ратников несколько отличается от вышеперечисленного софта. Для того, чтобы установить тот же RAdmin, вам, как минимум нужно побывать за компьютером пользователя 1 раз. Либо обладать правами на установку прог по сети. TeamViewer при первом запуске также выдаст рандомный пароль с уникальным ID, а для дальнейшего подключения без участия пользователя потребуется войти под своей учеткой.
В любом случае, ваш доступ к машине будет так или иначе санкционирован. Ратники же, имея под капотом вирусный бэкграунд, требуют от юзверя лишь запустить их единожды. После этого информация о соответствующем ПК отлетит прямиком к злоумышленнику, который в свою очередь сможет распорядиться полученным доступом по своему усмотрению.
Вот и образовалось, что называется свободная касса для всех любителей поживиться чужими данными. На форумах в дарке, эту тему форсят ещё с апреля и на сегодняшний день ситуация мало чем изменилась. Разве что ратников стало больше, чем раньше и продавать их стали за бабки. Причём функционал у них у всех плюс-минус одинаковый, а отличаются они лишь графической оболочкой.
В данном уроке, я продемонстрирую вам наиболее популярный ратник NjRAT. Он имеет самое большое количество скачиваний на гитхабе, поэтому очень надеюсь, что комментариев типа «ааа вирус нам скидываешь» не будет. Ведь я не заливаю данный ратник в телегу, а показываю, где его может скачать потенциальный злоумышленник и каким образом использовать для своих целей. Если интересно, устраивайтесь по удобней и приступим к созданию крыски. Погнали.
Шаг 1. Заходим на гитхаб и загружаем архив с NjRAT’ом.
Шаг 2. Распаковываем Zip File и внутри созданного каталога ищем папочку Moded, а в ней файл ратника.
Шаг 3. Запускаем его и прописываем порт, который нам нужно будет открыть на роутере. Надеюсь, что не нужно объяснять то, что он же, должен быть добавлен в исключения вашего брандмауэра. Хотя лично я, всегда вырубаю последний, дабы не выносить себе, и без того утомлённый мозг, этим вопросом. А по поводу проброса портов, у меня на канале есть чудеснейший видос про RDP. Там суть один в один, поэтому растягивать данный ролик по времени разжёвываю эту тему, я тут не буду. Кто не шарит, переходите и смотрите по ссылке в подсказке.
Шаг 4. Ну а мы жмём Start и попадаем в основное окно программы. Тут нас интересует только одна кнопка – «Builder». После нажатия на неё, запускается меню конфигурирования EXE’шки клиента, которая, по сути, и является вирусом. Давайте настроим всё по порядку. В пункте Hostзадаём наш белый IP’шник. Я миллион раз повторял в своих видео, что если вы хотите заниматься изучением администрирования или безопасности на постоянной основе, то обзавестись белым IPу провайдера нужно в обязательном порядке. Далее у нас порт, открываемый на роутере. Чуть ниже имя жертвы. Маскировка под определённый процесс. Обычно злоумышленники маскируют ратник под какую-нибудь системную службу, аля служба печати или диспетчер задач. Ну а справа у нас дополнительные параметры вируса. BSODпри попытке закрытия, копирование в автозагрузку, запись в реестре, распространение по USB в случае подключения носителя к ПК и прочие прелести. В более продвинутых ратниках ещё встречается функция изменения иконки, FUD-крипт и т.д. Ниже размер логов. Пусть будет 512. В принципе, всё. Кликаем «Build» для создания файла.
Шаг 5. Указываем имя и месторасположения. Я назову RAT, однако ясен-красен, что для распространения такое имя уж точно не годится и вы никогда не встретите подобную EXE’шку в чистом виде. По поводу максировки вирусов в меня на канале также есть пару занятных роликов. Ссылка на один из них непременно всплывёт в подсказке.
Шаг 6. Окей. Запускаем файл на компьютере жертвы.
Шаг 7. И вернувшись на свой ПК проверяем статус подключения. Комп подключился, а значит наш вирус уже в системе, и мы можем начинать кошмарить её по полной программе. Для этого достаточно вызвать контекстное меню функций и выбрать наиболее подходящий нам вариант.
Шаг 8. Давайте рассмотрим всё по порядку. Первый пункт Manager предоставляет нам доступ к файлам на дисках, открывает менеджер процессов, в котором мы можем выключить ту или иную задачу, а также посмотреть текущие соединения и поковыряться в регистре.
Шаг 9. Функция «Run File» позволяет запустить любой файл с диска или по внешней ссылке. Давайте я для примера продемонстрирую жертве пикчу носков.
Шаг 10. Указываем путь к картинке. И затем проверяем результат на клиенте.
Шаг 11. Всё отрабатывает. Теперь давайте затестим удалённый рабочий стол. Подключившись с его помощью можно не только смотреть за происходящим, но также, как и в любой популярной удалёнке управлять мышкой, клавой и делать скриншоты.
Шаг 12. Про вебку и микрофон думаю объяснять не нужно. Это, пожалуй, одни из самых полезных функций для злоумышленников, живущих за счёт продажи компромата в даркнете.
Шаг 13. Хотя, как по мне, большинству хацкеров ничуть не меньше зайдёт функция «Get Passwords». Она вытаскивает все сохранённые пассы из браузеров. Т.к. у меня это виртуалка, соответственно тут данный список девственен и чист.
Шаг 14. Далее по списку у нас старый добрый кейлоггер. Он перехватывает все нажатия клавиш пользователя. От набивки текста унылейшей курсовой, до пароля в vk.
Шаг 15. А затем сейвит их в отдельный RTF’овский файл, который складывается в папку пользователя, рядом с TXT’шкой пассвордов.
Шаг 16. Ну и самое весёлое – это, конечно же, чат с жертвой. Вы можете пообщаться с беднягой, пообещав удалить троянчик с компьютера за пару сотен пиастров.
Шаг 17. И в случае удачной сделки, даже сдержать своё слово, мочканув вредонос удалённо.
И вроде бы, с первого взгляда, всё круто, однако, не стоит забывать о подводных камнях. Во-первых, для того, чтобы всё завелось, на компьютере жертвы должен быть либо отключён автивирус. Либо ваш EXE-файл должен быть прокриптован. Во-вторых, на сегодняшний день, львиная доля членов нашего братства, жидится потратить сотку на белый IP и тем самым добавляет себе гемороя с пробросом портов.
Да, чисто теоретически можно попробовать воспользоваться популярным сторонним сервисом No-IP и с помощью технологии DynDNS забацать себе псевдо-белку. Также у некоторых именитых сетевых вендеров есть свои собственные, бесплатные сервисы для этой истории. Например, у тех же ASUS данная фича прекрасно работает из коробки. Однако, никакой дин вам не поможет, если ваш гавно-провайдер по экономическим соображениям экономит пул, и посадив клиентов за NAT, раздаёт, что называется «many to one».
В этом случае, вам поможет только белый IP или VPN. Либо, если у вас есть собственный Web-сайт, можно попробовать поизголяться с online-ратниками. Они хоть и менее функциональны, зато не требуют открытия портов. Следующий ролик у нас, как раз, будет по этой теме. Так что, если ты, друг мой, впервые забрёл на канал и ещё не оформил подписку, сейчас самое время. Клацай на колокол и в твоей ленте будут регулярно появляться годнейшие видосы по вирусологии, этичному хакингу и пентестингу.
С олдов жду лайки и конечно же комментарии по поводу того, какие ратники вы используете в своих обучающих целях. На сегодняшний день их развелось просто офигеть, как много, поэтому давайте посредством народного голосования выберем лучший. Хотя я почти на 100% уверен, что лидером окажется Putin RAT, но всё же давайте ради приличия немножко поиграем в иллюзию демократии. Напоследок, традиционно, желаю всем удачи, успеха и самое главное, безопасной работы.
Берегите себя и свои тачки. Не допускайте крыс в свою ОСь. Самый лучший способ для этого раз и навсегда перейти на Linux и больше никогда не вспоминать об EXE-файлах. Ну а с вами, как обычно, был Денчик. Искренне благодарю за просмотр. До новых встреч, камрады. Всем пока.
Источник
Удаленная техподдержка как риск бизнеса
Как не предоставить доступ к своим компьютерам непонятно кому.
В крупных компаниях все заботы по установке и настройке ПО для сотрудников берет на себя IT-служба. Однако для маленькой команды даже один штатный специалист может оказаться непозволительной роскошью. Такие компании, как правило, пользуются услугами приходящих сисадминов. И в целом это нормально. Если конечно внешние специалисты — профессионалы.
В некоторых фирмах без собственного специалиста считается нормальной практикой, даже когда сотрудник пользуется услугами сторонних эникейщиков за свой счет, а компания потом компенсирует ему затраты. Так или иначе, для работы таким мастерам нужен удаленный доступ — как правило, у них много клиентов, и приехать в офис к каждому они физически не успевают.
Угрозы удаленного доступа
Открывать доступ к своей инфраструктуре незнакомому человеку — это всегда риск. Особенно когда неизвестно, какова квалификация специалиста, насколько серьезно он относится к безопасности хотя бы своего компьютера и насколько он честен. Поэтому бездумно разрешать сотрудникам обращаться к кому попало — не самая удачная идея.
Удаленный сисадмин может случайно увидеть деловую переписку, проекты договоров и другие конфиденциальные документы. Его собственная машина может быть заражена. Неизвестно, как он хранит учетные данные от ваших компьютеров и кто имеет к ним доступ. А ведь он вообще может оказаться нечист на руку.
Не давайте удаленный доступ кому попало
В условиях ограниченных ресурсов полностью отказаться от удаленного администрирования, возможно, и не выйдет. Однако вы можете снизить риск киберинцидента, позаботившись о том, чтобы доступ к компьютерам получали только доверенные люди.
Источник
DDoS на удаленке: RDP-атаки
До недавнего времени корпоративный поток данных в подавляющем большинстве случаев циркулировал в контролируемой инфраструктуре. Но пандемия вынудила людей в спешке организовывать весь доступ к корпоративной среде в домашних условиях и незащищенных сетях Wi-Fi. Ну а уж любовь пользователей к простым паролям и нелюбовь к двухфакторной авторизации всегда были головной болью безопасников.
Статистика
Что такое RDP-атаки
В протоколе постоянно находили уязвимости, причем так часто, что в 2018 году даже ФБР выпустило специальное предупреждение. В мае 2019 года в старых версиях протокола была обнаружена критическая уязвимость под названием BlueKeep. Всего через месяц после ее появления началась активная волна атак, использующих BlueKeep. Затем в августе того же года в протоколе нашли еще четыре новые уязвимости. Они были связаны не с протоколом RDP, а с сервисом удаленных рабочих столов RDS и позволяли с помощью специального запроса, отправленного через RDP, получить доступ к уязвимой системе, не проходя при этом процедуру проверки подлинности.
А затем начинается собственно атака изнутри системы. Решения безопасности отключаются или удаляются, а затем либо начинается DDoS-атака, либо запускается программа-вымогатель, которая устанавливает пароль на доступ к базам данных с важной для компании информацией. Либо уводятся реальные персональные данные для credential stuffing и фишинга. Также можно использовать плохо защищенный RDP для установки программ для майнинга криптовалют или создания бэкдора (на случай, если несанкционированный доступ к RDP будет обнаружен и закрыт), для установки рекламного или шпионского ПО, SMS-троянов, и так далее. Этим можно полностью заразить все доступные в сети машины.
Существуют скрипты, которые способны по-максимуму использовать права пользователя, который подключается по RDP и всех последующих пользователей в цепочке RDP-подключений. Этот метод получил название RDPInception. Если атакованная машина подключается по цепочке через несколько серверов и везде монтируются локальные диски, то скрипт самокопируется в нужные директории и становится возможным атаковать все машины, поскольку при входе в систему выполняются скрипты, расположенные в Startup директории. Все, что подключается в этой цепочке, также может быть заражено.
Почему они опасны?
Технически такие атаки тоже становятся все более опасными. Во-первых, злоумышленники больше не работают точечно, а охватывают большие сегменты сетей.
Во-вторых, время простых атак уже прошло. Преступники используют сложные схемы и комбинируют методы. Так, в трояне TrickBot появился новый модуль rdpScanDll, который используется для проведения атак brute force на RDP-соединения. Этот модуль уже отметился в ряде атак на крупные компании, в том числе связанными с образованием и финансами.
В-третьих, персональные данные и инструменты для взлома, к сожалению, становятся все более доступными. Например, недавно исходный код Dharma, ransomware-as-a-service ПО, также нацеленного на RDP, выложили для продажи онлайн (извините, ссылку давать не будем). Растет количество утечек баз с паролями и словарей для перебора паролей, упоминавшиеся выше скрипты для взлома можно найти в открытом доступе, и там же есть готовые списки серверов, у которых открыт RDP порт. На рынке есть огромное количество ботов, которые постоянно сканируют все доступные точки подключения и пытаются подобрать пароль.
Наконец, средств для защиты либо недостаточно для “переборщиков паролей”, либо они не применяются. Часто компании даже не видят, что такая атака уже идет. Они могут заметить низкую производительность и долгое выполнение запросов, но лечат это оптимизацией памяти и другими нерелевантными методами.
Как понять, что RDP-атака началась
Серверы не принимают соединения со службой удалённого доступа, пользователи не могут зайти на свои рабочие столы. При этом ситуация может то временно улучшаться, то ухудшаться. В целом серверы могут быть доступны и даже отвечать на ping.
Способы от них избавиться
Способов, на самом деле, множество, но в данной статье мы решили разделить их на полностью надежные и те, у которых или есть определенные недостатки, или их сложно реализовать, или они могут служить только временной мерой. Начнем с надежных.
Правильная система паролей
Недавнее исследование Verizon показало, что более 80% взломов связано не с уязвимостями протокола RDP, а именно с ненадежными паролями. Поэтому в компаниях должна быть принята и закреплена в инфраструктуре политика использования сложных для подбора паролей и обязательной двухфакторной аутентификации. Пароли пользователям желательно хранить в специальных защищенных менеджерах паролей. Решения по безопасности также должны быть дополнительно защищены паролем, чтобы нельзя было их отключить изнутри при успешной атаке.
Система мониторинга всех запросов
Другой вариант: если нет централизованной системы контроля доступа, то можно создать скрипт на powershell, который сообщает о всех фактах и попытках авторизации. Наконец, можно настроить “События” на отображение всей доступной информации.
Network Level Authentication
NLA обеспечивает более надежную защиту от подмены ключей, требуя аутентификацию до установления сессии и во время сессии. В прошлом году именно NLA затрудняла эксплуатацию серьезных уязвимостей в протоколе.
Ряд других полезных практик:
Используйте нестандартные ключи, например, PKI (Public Key Infrastructure), а соединения RDP стройте с помощью TLS (Transport Layer Security).
Если RDP не используется, то выключите его и отключите на брандмауэре сети внешние соединения с локальными машинами на порту 3389 (TCP/UDP) или любом другом порту RDP.
Постоянно обновляйте все ПО на устройствах сотрудников до актуальных версий. Помните, что 80-90% эксплойтов создано после выхода патча на уязвимость. Узнав, что была уязвимость, атакующие ищут ее именно в старых версиях софта. Конечно, это непростая задача в условиях удаленки, но это должно быть частью корпоративной ИТ-политики. Кроме того, любые незащищенные или устаревшие компьютеры нужно изолировать.
По возможности используйте шифрование на устройствах, которые используются для решения рабочих задач (например, шифрование диска).
Сделайте резервные копии ключевых данных. Резервные копии должны быть доступны только администратору или пользователю резервного копирования. Права на папки к файлам резервного копирования также должны быть максимально ограничены.
Установите на все устройства сотрудников защитные решения и решения, позволяющие отследить технику в случае ее утери.
А теперь перейдем к вариантам, которые сложно назвать однозначными, потому что у них есть и плюсы, и минусы.
Организовать доступ через VPN
Помимо очевидных преимуществ, у этого варианта есть несколько сложностей.
Даже у тех, кто использует Virtual Private Network, иногда разрешена авторизация пользователя без пароля.
Практически во всех популярных VPN-решениях также есть уязвимости для несанкционированного доступа.
В условиях полного домашнего “зоопарка” устройств и подключений к сети (как насчет выхода в интернет через сотовый модем?) на удаленке довольно тяжело объяснять и настраивать каждому из нескольких сотен пользователей, чтобы у пользователя все стабильно работало и не пропадало подключение к сети.
VPN-серверы тоже могут падать, причем в отличие от временного падения какого-то из сервисов, это может грозить серьезными последствиями. Получается, что VPN серверы становятся единой точкой отказа со всеми вытекающими последствиями.
VPN — это двойное шифрование (помимо стандартного RDP шифрования дополнительно выполняется ещё и VPN шифрование), что означает дополнительную нагрузку и более медленное подключение, что не очень хорошо в условиях нестабильного или не особо быстрого канала связи.
При взломе VPN (а это может быть при взломе роутера), если он настроен по умолчанию (или недостаточно компетентно), хакер получает сразу доступ ко всей внутренней сети, в отличии от доступа к одиночному ПК в случае взлома RDP (хотя и через него тоже потом можно получить доступ ко внутренней сети).
Использовать другие средства удаленного доступа
К сожалению, в них также есть уязвимости. Например, в конце прошлого года найдено 37 уязвимостей в разных клиентах, работающих с протоколом VNC.
Изменить настройки всех пользователей на другой порт
Наверное, наименее надежный способ из всех, хотя наверняка найдутся люди, у которых это прекрасно работает. Почему же он “не очень”?
Требует много времени на то, чтобы изменить настройки, если у вас много конечных пользователей, среди которых могут оказаться и клиенты. А ведь счет часто идет на минуты во время активной фазы атак. В этой ситуации нужно как можно быстрее устранить проблему с минимальным отрывом пользователей от дел.
Кроме того, это временное решение, потому что современные боты с интеллектуальной программой сканирования портов быстро найдут новый нестандартный порт. Из нашей анти-бот практики: боты ловят нестандартный порт от пары часов до пары дней. В общем, к вам все равно придут, хоть и позже. Возможно, переименование учетных записей типа Администратор, admin, user, user1 на более несловарные будет здесь даже более эффективно.
Ввести различные ограничения на подключения
Блокировка IP
Кстати, если вы делаете это с помощью Windows Firewall, то через какое-то время Windows начинает сильно тормозить из-за переполненного правила Windows Firewall.
О дивный новый мир
Для многих компаний удаленная работа, вероятно, останется постоянной частью их корпоративной культуры, и с этим придется что-то делать. При этом уязвимости в RDP всплывают постоянно, и приходится регулярно гуглить, что же появилось нового.
Источник
Троянец удаленного доступа, или RAT, является одним из самых вредоносных типов вредоносных программ, о которых только можно подумать.
Они могут нанести всевозможные повреждения, а также могут быть ответственны за дорогостоящие потери данных.
С ними нужно активно бороться, потому что, помимо того, что они очень опасны, они довольно распространены.
Сегодня мы сделаем все возможное, чтобы объяснить, что они из себя представляют и как они работают, а также дадим вам знать, что можно сделать, чтобы защититься от них.
Мы начнем наше обсуждение сегодня с объяснения того, что такое RAT.
Мы не будем углубляться в технические детали, но сделаем все возможное, чтобы объяснить, как они работают и как они к вам попадают.
Далее, стараясь не показаться слишком параноидальным, мы увидим, что RAT можно рассматривать почти как оружие.
На самом деле, некоторые из них были использованы как таковые.
После этого мы представим несколько самых известных RAT.
Это даст вам лучшее представление о том, на что они способны.
Затем мы увидим, как можно использовать инструменты обнаружения вторжений для защиты от RAT, и рассмотрим некоторые из лучших из этих инструментов.
Содержание
- Итак, что такое RAT?
- RAT в истории
- RAT как оружие
- Несколько известных RAT
- Back Orifice
- DarkComet
- Mirage
- Защита от RAT – средства обнаружения вторжений IDS
Итак, что такое RAT?
Троян удаленного доступа – это разновидность вредоносного ПО, которое позволяет хакеру удаленно (отсюда и название) получить контроль над компьютером.
Давайте проанализируем имя.
Троянская часть рассказывает о том, как распространяется вредоносное ПО.
Это относится к древнегреческой истории о троянском коне, который Улисс построил, чтобы вернуть город Трою, который был осажден в течение десяти лет.
В контексте компьютерного вредоносного ПО, троянский конь (или просто троян) представляет собой вредоносное ПО, распространяемое как-то еще.
Например, игра, которую вы загружаете и устанавливаете на свой компьютер, на самом деле может быть троянским конем и содержать некоторый вредоносный код.
Что касается удаленного доступа RAT, то это связано с тем, что делает вредоносная программа.
Проще говоря, это позволяет его автору иметь удаленный доступ к зараженному компьютеру.
И когда он получает удаленный доступ, у него практически нет ограничений на то, что он может сделать.
Это может варьироваться от изучения вашей файловой системы, просмотра ваших действий на экране, сбора ваших учетных данных для входа в систему или шифрования ваших файлов, чтобы затем потребовать выкуп.
Он также может украсть ваши данные или, что еще хуже, данные вашего клиента.
После установки RAT ваш компьютер может стать концентратором, откуда атаки будут запущены на другие компьютеры в локальной сети, что позволит обойти любую защиту периметра.
RAT в истории
К сожалению, rat существуют уже более десяти лет.
Считается, что эта технология сыграла свою роль в широкомасштабном разграблении американской технологии китайскими хакерами еще в 2003 году.
Расследование в Пентагоне выявило кражу данных у американских оборонных подрядчиков, причем секретные данные о разработке и испытаниях были переданы в места расположения в Китае.
Возможно, вы помните, как отключались энергосистемы на восточном побережье США в 2003 и 2008 годах.
Они также были прослежены в Китае и, по-видимому, им способствовали RAT.
Хакер, который может запустить RAT в систему, может воспользоваться любым программным обеспечением, которое есть в распоряжении пользователей зараженной системы, часто даже не замечая этого.
RAT как оружие
Злонамеренный разработчик RAT может взять под контроль электростанции, телефонные сети, ядерные объекты или газопроводы.
Таким образом, RAT не только представляют угрозу для корпоративной безопасности.
Они также могут позволить нациям атаковать вражескую страну.
Как таковые, их можно рассматривать как оружие.
Хакеры по всему миру используют RAT для слежки за компаниями и кражи их данных и денег.
Между тем проблема RAT теперь стала вопросом национальной безопасности для многих стран, в том числе России.
Первоначально использовавшаяся для промышленного шпионажа и саботажа китайскими хакерами, США стала ценить мощь RAT и интегрировала их в свой военный арсенал.
Теперь они являются частью стратегии наступления, известной как «гибридная война».
Несколько известных RAT
Давайте посмотрим на некоторые из самых известных RAT.
Наша идея здесь не в том, чтобы прославить их, а в том, чтобы дать вам представление о том, насколько они разнообразны.
Back Orifice
Back Orifice – это американский RAT, который существует с 1998 года. Это своего рода дедушка RAT.
Первоначальная схема эксплуатировала уязвимость в Windows 98.
Более поздние версии, которые работали в более новых операционных системах Windows, назывались Back Orifice 2000 и Deep Back Orifice.
Эта RAT способна скрывать себя в операционной системе, что делает ее особенно трудной для обнаружения.
Однако сегодня большинство систем защиты от вирусов используют в качестве сигнатур исполняемые файлы Back Orifice и поведение окклюзии.
Отличительной особенностью этого программного обеспечения является то, что оно имеет простую в использовании консоль, которую злоумышленник может использовать для навигации и просмотра зараженной системы.
После установки эта серверная программа связывается с клиентской консолью по стандартным сетевым протоколам.
Например, известно, что используется номер порта 21337.
DarkComet
DarkComet был создан еще в 2008 году французским хакером Жаном-Пьером Лесуэром, но привлек внимание сообщества кибербезопасности только в 2012 году, когда было обнаружено, что африканское хакерское подразделение использует эту систему для нацеливания на правительство и вооруженные силы США.
DarkComet характеризуется простым в использовании интерфейсом, который позволяет пользователям, практически не имеющим технических навыков, выполнять хакерские атаки.
Это позволяет шпионить через кейлоггинг, захват экрана и сбор пароля.
Управляющий хакер также может управлять функциями питания удаленного компьютера, позволяя включать или выключать компьютер удаленно. Сетевые функции зараженного компьютера также можно использовать для использования компьютера в качестве прокси-сервера и маскировки его личности во время рейдов на других компьютерах. Проект DarkComet был заброшен его разработчиком в 2014 году, когда было обнаружено, что он используется сирийским правительством, чтобы шпионить за его гражданами.
Mirage
Mirage – известная RAT, используемая спонсируемой государством китайской хакерской группой.
После очень активной шпионской кампании с 2009 по 2015 год группа замолчала.
Mirage был основным инструментом группы с 2012 года.
Обнаружение варианта Mirage, названного MirageFox в 2018 году, является намеком на то, что группа может вернуться в действие.
MirageFox был обнаружен в марте 2018 года, когда он использовался для слежки за правительственными подрядчиками Великобритании.
Что касается оригинальной Mirage RAT, она использовалась для атак на нефтяную компанию на Филиппинах, тайваньских военных, канадскую энергетическую компанию и другие цели в Бразилии, Израиле, Нигерии и Египте.
Этот RAT поставляется встроенным в PDF.
Открытие его приводит к выполнению скриптов, которые устанавливают RAT.
После установки его первое действие – отчитаться перед системой управления и контроля с проверкой возможностей зараженной системы.
Эта информация включает в себя скорость процессора, объем памяти и использование, имя системы и имя пользователя.
Защита от RAT – средства обнаружения вторжений IDS
Антивирусное программное обеспечение иногда бесполезно себя ведет при обнаружении и предотвращении RAT.
Это связано отчасти с их природой.
Они прячутся как нечто совершенно законное.
По этой причине они часто лучше всего обнаруживаются системами, которые анализируют компьютеры на предмет ненормального поведения.
Такие системы называются системами обнаружения вторжений IDS.
Мы искали на рынке лучшие системы обнаружения вторжений.
Наш список содержит набор добросовестных систем обнаружения вторжений и другого программного обеспечения, которое имеет компонент обнаружения вторжений или которое может использоваться для обнаружения попыток вторжения.
Как правило, они лучше идентифицируют трояны удаленного доступа, чем другие типы средств защиты от вредоносных программ.
- Лучшие инструменты для сетевого обнаружения вторжений
- Сетевые системы обнаружения вторжений NIDS, HIDS. Виды, различия, плюсы и минусы
- IDS/IPS дистрибутив на основе Suricata : SELKS
- Как установить Bro security suite IDS на сервере Ubuntu
Категория: Ransomware
Повреждения: Severe
Добавленные данные: September 29, 2021
Rdp virus — вредоносная программа, которая шифрует личные документы на компьютере пользователя. Эта ransomware выводит сообщение, предлагающее расшифровать всю информацию за деньги. Инструкции по расшифровке появляются на рабочем столе зараженного ПК.
Rdp virus считается шифровальщиком файлов, ограничивающим доступ к документам, изображениям, видео. Вирус шифрует файлы, а затем вымогает деньги у жертв. Ransomware проникает на все версии Windows. Во время запуска исполняемый файл начинает сканировать все диски на ПК, чтобы найти необходимые данные для шифрования.
Rdp virus ищет файлы с расширениями .doc, .docx, .xls, .pdf и так далее, шифрует файлы, чтобы их нельзя было открыть. Пользователь начнет открывать эти данные, но ransomware тут же покажет примечание, например, ‘HOW TO DECRYPT FILES.txt.’
Кроме того, инфекция удаляет все теневые копии томов, чтобы пользователь не мог использовать их для восстановления данных.
Название | rdp virus |
Тип | Ransomware |
Повреждения | Severe |
Альтернативное название | rdp virus |
Расширение зашифрованных файлов | .rdp |
Сообщение с требованием выкупа | %%_WHERE_MY_FILES_=#.html |
Контакт киберпреступника | [email protected] and @helprestore on Telegram |
Названия обнаружения | Avast (Win32:RansomX-gen [Ransom]), BitDefender (Gen:[email protected]), ESET-NOD32 (A Variant Of MSIL/Filecoder.Paradise.H), Kaspersky (HEUR:Trojan-Ransom.MSIL.Crypren.gen) |
Симптомы | Cannot open files stored on your computer, previously functional files now have a different extension (for example, my.docx.locked). A ransom demand message is displayed on your desktop. Cyber criminals demand payment of a ransom (usually in bitcoins) to |
Методы распространения | Infected email attachments (macros), torrent websites, malicious ads. |
Последствия атаки | All files are encrypted and cannot be opened without paying a ransom. Additional password-stealing trojans and malware infections can be installed together with a ransomware infection. |
Как Rdp virus попало на мой ПК?
Распространение Rdp virus происходит чаще всего через спам, содержащийся в зараженных вложениях, а также с помощью вирусных программ в операционной системе.
Примеры попадания Rdp virus на компьютер:
- Киберпреступники отправляют электронное письмо, которое имеет поддельные заголовки и сплошной обман в контексте. Например, в письме может говориться об акциях от транспортных компаний или о том, что они пытались доставить посылку пользователю, но по каким-то причинам не смогли этого сделать. Часто письма утверждают, что это просто уведомления об отправке заказанных отправлений. Человек не может устоять перед любопытством и открывает такое письмо с вложенным в него файлом или ссылкой. В результате ПК мгновенно заражается Rdp virus.
- Rdp virus атакует жертв, находя уязвимости в программном обеспечении компьютера, в его операционной системе, браузерах, сторонних приложениях и т.д.
Как удалить Rdp virus? Пошаговое руководство
Вот полное руководство, которое поможет избавиться от Rdp virus на вашем компьютере. Наиболее эффективным способом является использование проверенного автоматического инструмента, такого как AVarmor
Вы должны понимать, что если вы хотите удалить Rdp virus и уже начали процесс удаления, вы рискуете потерять все имеющиеся у вас файлы, потому что нет никакой гарантии, что вы сможете их восстановить. Пользовательские данные могут быть полностью повреждены, если вы вручную удалите инфекцию или восстановите зашифрованные файлы.
Однако вы можете попробовать решить все проблемы в режиме ручного удаления. Давайте разберемся в этом более подробно.
Важная информация
К сожалению, восстановить файлы, зашифрованные программой Rdp virus, невозможно. Это связано с тем, что закрытый ключ, который необходим для разблокировки зашифрованных файлов, доступен только киберпреступникам.
Ни в коем случае не платите никаких денег за восстановление ваших файлов. Даже заплатив выкуп, нет никакой гарантии, что преступники предоставят вам доступ к файлам.
Прежде всего, необходимо убедиться, что вредоносная программа удалена из системы ПК, так как она блокирует систему и шифрует файлы, если остается в системе.
Проблема с доступом к зашифрованным файлам существует и сегодня, но антивирусные компании, наряду с хакерами, периодически выпускают дескрипторы — ключи к заблокированным файлам. Поэтому еще одним вариантом выхода из ситуации может стать появление необходимого дескриптора. Перед получением ключа пользователю следует сохранить файлы.
Дескриптор — это систематизация основных параметров вируса в закодированном виде (символы, начинающиеся с заглавной латинской буквы, маленькие латинские буквы и цифры).
Метод 1: Удалить Rdp virus с AVarmor
AVarmor — это инструмент, который удаляет вредоносное ПО. Утилита помогает пользователям удалять с компьютеров ransomware типа Rdp virus и различные вредоносные программы. Утилита имеет простой и удобный интерфейс, а также мощные механизмы для защиты всей системы вашего ПК.
- Скачайте и установите AVarmor.
- После завершения процесса загрузки запустите утилиту, согласившись с ее настройками. Перед этим необходимо закрыть все посторонние программы на вашем компьютере.
- Утилита начнет свою работу, и пользователю необходимо нажать кнопку «Сканировать» на наличие вредоносного ПО.
- После завершения сканирования будет сформирован список найденных опасных объектов.
- Удалить все найденные угрозы.
- После завершения очистки перезагрузите компьютер.
Метод 2: Подключите компьютер к сети и войдите в безопасный режим
Сначала попробуйте загрузить компьютер в безопасном режиме. Это поможет вам предотвратить запуск Rdp virus.
Windows 7, 10, Vista, XP
- Сначала выполните перезагрузку компьютера.
- Нажмите F8 до появления Windows.
- Вы увидите меню дополнительных опций.
- Перейдите в «Безопасный режим с подключением к сети»
- Нажмите Enter.
Windows 8, Windows 8.1
- Нажмите Windows+R, чтобы вызвать окно RUN.
- Введите команду msconfig.
- Нажмите OK.
- Перейдите на вкладку Boot.
- В этой области выберите опции Safe Boot и Networking.
- Нажмите OK.
- Перезагрузите компьютер.
Итог
Мы еще раз напоминаем вам:
- Никогда не переходите по неизвестным ссылкам и не открывайте документы, если не хотите заразить свой ПК опасным Rdp virus.
- Используйте наши проверенные методы, чтобы обезопасить себя от Rdp virus.
- Если у вас возникли проблемы, используйте AVarmor и попытайтесь устранить ransomware.
Эта страница доступна на других языках:
English |
Deutsch |
Español |
Italiano |
Français |
Indonesia |
Nederlands |
Nynorsk |
Português |
Українська |
Türkçe |
Malay |
Dansk |
Polski |
Română |
Suomi |
Svenska |
Tiếng việt |
Čeština |
العربية |
ไทย |
日本語 |
简体中文 |
한국어