Какво е троянски кон за отдалечен достъп? Предотвратяване, откриване и отстраняване

Троянските коне за отдалечен достъп(Remote Access Trojans) ( RAT ) винаги са се оказвали голям риск за този свят, когато става въпрос за отвличане на компютър или просто шега с приятел. RAT е злонамерен софтуер, който позволява на оператора да атакува компютър и да получи неоторизиран отдалечен достъп до него. RAT(RATs) са тук от години и продължават да продължават, тъй като намирането на някои RAT(RATs) е трудна задача дори за съвременния антивирусен(Antivirus) софтуер там.

В тази публикация ще видим какво е троян за отдалечен достъп(Access Trojan) и ще говорим за наличните техники за откриване и премахване. Той също така обяснява накратко някои от често срещаните RAT(RATs) като CyberGate , DarkComet , Optix , Shark , Havex , ComRatVorteX Rat , Sakula и KjW0rm .

Какво представляват троянските коне за отдалечен достъп

Троянски кон за отдалечен достъп

Повечето от троянски коне за отдалечен достъп(Remote Access Trojan) се изтеглят в злонамерени имейли, неоторизирани програми и уеб връзки, които не ви отвеждат никъде. RAT(RATs) не са прости като програмите Keylogger – те предоставят на нападателя много възможности като:

  • Keylogging : Вашите натискания на клавиши могат да бъдат наблюдавани и потребителски имена, пароли и друга чувствителна информация могат да бъдат възстановени от тях.
  • Заснемане на екрана(Screen Capture) : Можете да получите екранни снимки, за да видите какво се случва на вашия компютър.
  • Хардуерно заснемане на медии(Hardware Media Capture) : RAT могат да получат достъп до вашата уеб камера и микрофон, за да записват вас и вашето обкръжение, нарушавайки напълно поверителността.
  • Права на администратор(Administration Rights) : Нападателят може да промени всякакви настройки, да промени стойностите на системния регистър и да направи много повече на вашия компютър без ваше разрешение. RAT може да предостави права на администраторско ниво на нападателя.
  • Овърклок(Overclocking) : Нападателят може да увеличи скоростите на процесора, овърклокването на системата може да навреди на хардуерните компоненти и в крайна сметка да ги изпепели.
  • Други специфични за системата възможности(Other system-specific capabilitie) : Нападателят може да има достъп до всичко на вашия компютър, вашите файлове, пароли, чатове и просто всичко.

Как работят троянските коне за отдалечен достъп

(Remote Access) Троянските коне (Trojans)за отдалечен достъп идват в конфигурация сървър-клиент, където сървърът е тайно инсталиран на компютъра жертва, а клиентът може да се използва за достъп до компютъра жертва чрез GUI или команден интерфейс. Връзка между сървър и клиент се отваря на конкретен порт и може да се осъществи криптирана или обикновена комуникация между сървъра и клиента. Ако мрежата и изпратените/получените пакети се наблюдават правилно, RAT(RATs) могат да бъдат идентифицирани и премахнати.

Предотвратяване на атаки на RAT

RAT(RATs) си проправят път към компютрите от спам имейли(spam emails) , злонамерено програмиран софтуер или идват опаковани като част от друг софтуер или приложение. Винаги трябва да имате инсталирана добра антивирусна програма на вашия компютър, която може да открива и премахва RAT(RATs) . Откриването на RAT(RATs) е доста трудна задача, тъй като те са инсталирани под произволно име, което може да изглежда като всяко друго често срещано приложение и затова трябва да имате наистина добра антивирусна(Antivirus) програма за това.

Наблюдението на вашата мрежа(Monitoring your network) също може да бъде добър начин за откриване на всеки троянски кон(Trojan) , изпращащ вашите лични данни през интернет.

Ако не използвате Инструменти за отдалечено администриране(Remote Administration Tools) , деактивирайте връзките за отдалечена помощ(disable Remote Assistance connections) към вашия компютър. Ще получите настройката в SystemProperties > Remote tab > Uncheck Разрешаване на връзки за отдалечена помощ към тази опция на компютъра .(Allow Remote Assistance connections to this computer)

Поддържайте операционната си система, инсталирания софтуер и особено програмите за сигурност актуализирани(security programs updated) по всяко време. Също така, опитайте се да не щраквате върху имейли, на които нямате доверие и са от неизвестен източник. Не изтегляйте никакъв софтуер от източници, различни от официалния уебсайт или огледало.

След атаката на RAT

След като разберете, че сте били атакувани, първата стъпка е да изключите системата си от интернет(Internet) и мрежата(Network) , ако сте свързани. Променете(Change) всичките си пароли и друга чувствителна информация и проверете дали някой от вашите акаунти е бил компрометиран, като използвате друг чист компютър. Проверете банковите си сметки за измамни транзакции и незабавно информирайте банката си за троянски кон(Trojan) в компютъра ви. След това сканирайте компютъра за проблеми и потърсете професионална помощ за премахване на RAT . Помислете за затваряне на порт 80(Port 80) . Използвайте скенер за портове на защитната стена , за да проверите всичките си портове.

Можете дори да опитате да се върнете назад и да разберете кой стои зад атаката, но за това ще ви трябва професионална помощ. RAT обикновено могат да бъдат премахнати, след като бъдат открити, или можете да имате нова инсталация на Windows , за да я премахнете напълно.

Често срещани троянски коне за отдалечен достъп

Много троянски коне (Trojans)за отдалечен достъп(Remote Access) в момента са активни и заразяват милиони устройства. Най-известните са разгледани тук в тази статия:

  1. Sub7 : „Sub7“, получен чрез изписване на NetBus (по-стар RAT ) назад, е безплатен инструмент за отдалечено администриране, който ви позволява да имате контрол над хост компютъра. Инструментът е категоризиран като троянски коне от експерти по сигурността и може да бъде потенциално рисковано да го имате на компютъра си.
  2. Back Orifice : Back Orifice и неговият наследник Back Orifice 2000 е безплатен инструмент, който първоначално е предназначен за отдалечено администриране – но не отнема време, докато инструментът се преобразува в троянски кон за отдалечен достъп(Access Trojan) . Имаше спор, че този инструмент е троянски кон(Trojan) , но разработчиците стоят на факта, че това е легитимен инструмент, който осигурява достъп от отдалечена администрация. Програмата вече се идентифицира като зловреден софтуер от повечето антивирусни програми.
  3. DarkComet : Това е много разширяем инструмент за отдалечено администриране с много функции, които потенциално могат да бъдат използвани за шпиониране. Инструментът също има своите връзки с Гражданската война(Civil War) в Сирия , където се съобщава, че правителството(Government) е използвало този инструмент, за да шпионира цивилни. Инструментът вече е бил злоупотребен много и разработчиците са спрели по-нататъшното му развитие.
  4. sharK : Това е усъвършенстван инструмент за отдалечено администриране. Не е предназначен за начинаещи и любители хакери. Твърди се, че е инструмент за професионалисти по сигурността и напреднали потребители.
  5. Havex : Този троянски кон е широко използван срещу индустриалния сектор. Той събира информация, включително наличието на всяка индустриална система за управление(Industrial Control System) и след това предава същата информация на отдалечени уебсайтове.
  6. Sakula : Троянски кон(Trojan) за отдалечен достъп , който се предлага в инсталатор по ваш избор. Той ще изобрази, че инсталира някакъв инструмент на вашия компютър, но ще инсталира злонамерения софтуер заедно с него.
  7. KjW0rm : Този троянец(Trojan) се предлага с много възможности, но вече е маркиран като заплаха от много антивирусни(Antivirus) инструменти.

Тези троянски коне за отдалечен достъп(Remote Access Trojan) помогнаха на много хакери да компрометират милиони компютри. Наличието на защита срещу тези инструменти е задължително, а добра програма за сигурност с предупредителен потребител е всичко, което е необходимо, за да предотвратите компрометирането на компютъра от тези троянски коне.

Тази публикация е предназначена да бъде информативна статия за RAT(RATs) и по никакъв начин не насърчава тяхното използване. Във всеки случай може да има някои законови закони относно използването на такива инструменти във вашата страна.

Прочетете повече за инструментите за отдалечено администриране(Remote Administration Tools) тук.



About the author

Здрасти! Аз съм компютърен програмист с над 10 години опит в областта. Специализирам се в разработването и поддръжката на софтуер за смартфони и актуализации на windows. Освен това предлагам услугите си като месечен представител за поддръжка на имейл клиенти.



Related posts