Что такое ратка в компьютере
Процессор — самая главная микросхема в компьютере, смартфоне и в самых различных цифровых устройствах. Часто процессор сравнивают с мозгом — да, отчасти это так. Внутри CPU происходят все арифметические вычисления для получения конечного результата.
Первые процессоры не имели ядер и выполняли все операции строго последовательно. Чем выше частота, тем быстрее будет выполняться та или иная операция.
Что такое ядро процессора?
Ядро — физический блок, который находится внутри процессора и занимается линейным вычислением арифметических операций. Чем больше ядер, тем быстрее процессор обрабатывает информацию — все ядра могут работать как одновременно для основной, мощной задачи, так и последовательно, выполняя поток задач.
Если в CPU 1 ядро, то оно будет постоянно переключаться между задачами — от этого снижается производительность ПК в целом.
Кстати, до того того, как изобрели многоядерные процессоры для профессиональных пользователей, производились компьютеры с несколькими физическими процессорами.
Читайте далее:
Trojan.GidraNET.1
Исследованный образец трояна распространялся через скомпрометированные сайты. Он предназначен для сбора информации о системе с ее последующей передачей злоумышленникам по протоколу FTP, а также для загрузки вредоносного дроппера с MSI-пакетом для установки Remote Utilities.
Основная функциональность находится в методе readConfig, вызываемом из Form1_Load.
В начале своей работы собирает о системе следующую информацию:
- внешний IP-адрес;
- имя пользователя;
- имя ПК;
- версия ОС;
- сведения о материнской плате и процессоре;
- объем оперативной памяти;
- сведения о дисках и разделах;
- сетевые адаптеры и их MAC-адреса;
- содержимое буфера обмена.
Полученную информацию сохраняет в файл, затем делает снимок экрана.
Информацию о системе отправляет по протоколу FTP на сервер ateliemilano[.]ru.
В коде трояна зашиты логин и пароль от FTP-сервера. Для каждого зараженного компьютера создается отдельная директория.
После отправки информации загружает и запускает файл с другого скомпрометированного сервера.
Файлы, скачиваемые аналогичными образцами, представляют собой дропперы, написанные на Visual Basic, содержащие MSI-пакеты для скрытой установки Remote Utilities, такие как BackDoor.RMS.187.
В исследованном образце был найден путь к PDB-файлу: C:\Users\Kelevra\Desktop\Last Gidra + PrintScreen + Loader_ Main\Gidra\obj\Debug\Gidra.pdb. Имя пользователя Kelevra совпадает с именем пользователя в пути к файлу проекта в дроппере BackDoor.RMS.187: C:\Users\Kelevra\Desktop\Source\Project1.vbp. В аналогичных образцах встретились и другие варианты.
По найденной нами информации можно предположить, что в 2019 году автор Trojan.GidraNET.1 использовал этот троян для первичного заражения через фишинговое письмо с последующей загрузкой бэкдора, скрыто устанавливающего Remote Utilties.
RAT в истории
К сожалению, rat существуют уже более десяти лет.
Считается, что эта технология сыграла свою роль в широкомасштабном разграблении американской технологии китайскими хакерами еще в 2003 году.
Расследование в Пентагоне выявило кражу данных у американских оборонных подрядчиков, причем секретные данные о разработке и испытаниях были переданы в места расположения в Китае.
Возможно, вы помните, как отключались энергосистемы на восточном побережье США в 2003 и 2008 годах.
Они также были прослежены в Китае и, по-видимому, им способствовали RAT.
Хакер, который может запустить RAT в систему, может воспользоваться любым программным обеспечением, которое есть в распоряжении пользователей зараженной системы, часто даже не замечая этого.
Заключение
Бэкдоры на базе утилит для удаленного администрирования остаются актуальной угрозой безопасности и до сих пор применяются для атак на корпоративный сектор. В свою очередь фишинговые письма являются основным средством доставки полезной нагрузки на заражаемые компьютеры. Отличительная черта вредоносных вложений — архивация полезной нагрузки с использованием пароля, что позволяет письму преодолеть встроенные в почтовый сервер средства защиты. Другой особенностью является наличие текстового файла с паролем к поддельному архиву. Кроме того, использование вредоносной библиотеки и атаки DLL Hijacking обеспечивает скрытое функционирование ПО для удаленного управления на скомпрометированном устройстве.
Статьи
Троянец удаленного доступа, или RAT, является одним из самых вредоносных типов вредоносных программ, о которых только можно подумать.
Они могут нанести всевозможные повреждения, а также могут быть ответственны за дорогостоящие потери данных.
С ними нужно активно бороться, потому что, помимо того, что они очень опасны, они довольно распространены.
Сегодня мы сделаем все возможное, чтобы объяснить, что они из себя представляют и как они работают, а также дадим вам знать, что можно сделать, чтобы защититься от них.
Мы начнем наше обсуждение сегодня с объяснения того, что такое RAT.
Мы не будем углубляться в технические детали, но сделаем все возможное, чтобы объяснить, как они работают и как они к вам попадают.
Далее, стараясь не показаться слишком параноидальным, мы увидим, что RAT можно рассматривать почти как оружие.
На самом деле, некоторые из них были использованы как таковые.
После этого мы представим несколько самых известных RAT.
Это даст вам лучшее представление о том, на что они способны.
Затем мы увидим, как можно использовать инструменты обнаружения вторжений для защиты от RAT, и рассмотрим некоторые из лучших из этих инструментов.
Back Orifice
Back Orifice – это американский RAT, который существует с 1998 года. Это своего рода дедушка RAT.
Первоначальная схема эксплуатировала уязвимость в Windows 98.
Более поздние версии, которые работали в более новых операционных системах Windows, назывались Back Orifice 2000 и Deep Back Orifice.
Эта RAT способна скрывать себя в операционной системе, что делает ее особенно трудной для обнаружения.
Однако сегодня большинство систем защиты от вирусов используют в качестве сигнатур исполняемые файлы Back Orifice и поведение окклюзии.
Отличительной особенностью этого программного обеспечения является то, что оно имеет простую в использовании консоль, которую злоумышленник может использовать для навигации и просмотра зараженной системы.
После установки эта серверная программа связывается с клиентской консолью по стандартным сетевым протоколам.
Например, известно, что используется номер порта 21337.
Как работает программа RAT?
RAT состоит из двух частей: клиент и сервер. В самой программе RAT(Клиент) которая работает на компьютере злоумышленника создается программа сервер которая посылается жертве. После запуска жертвой сервера в окне программы клиента появляется удалённый компьютер(хост), к которому можно удалённо подключиться. Всё. с этого момента компьютер жертвы под полным контролем злоумышленника.
BackDoor.RMS.180
Троян-бэкдор, написанный с использованием компонентов программы Remote Utilities. Основной вредоносный модуль загружается посредством DLL Hijacking.
Самораспаковывающийся архив запускается скриптом:
Состав самораспаковывающегося дроппера:
- libeay32.dll (f54a31a9211f4a7506fdecb5121e79e7cdc1022e), чистый;
- ssleay32.dll (18ee67c1a9e7b9b82e69040f81b61db9155151ab), чистый;
- UniPrint.exe (71262de7339ca2c50477f76fcb208f476711c802), подписан действительной подписью;
- WinPrint.exe (3c8d1dd39b7814fdc0792721050f953290be96f8), подписан действительной подписью;
- winspool.drv (c3e619d796349f2f1efada17c9717cf42d4b77e2) — основной вредоносный модуль, обеспечивающий скрытую работу Remote Utilities.
Функции, отсутствующие в оригинальном модуле winspool.drv и не несущие функциональной нагрузки:
Экспорты с реальными именами содержат переходы к загружаемым в дальнейшем оригинальным функциям из легитимной библиотеки.
Некоторые API-функции выполняются через указатели на функции-переходники:
Функция get_proc ищет необходимую API-функцию разбором таблицы экспорта модуля, затем помещает найденный адрес вместо функции-переходника.
На первом этапе загружает подмененную библиотеку. Имя не зашито жестко, поэтому загружает библиотеку \ . Затем проходит свою таблицу экспорта и загружает оригинальные API-функции по ординалам, пропуская недействительные функции:
- значение равно 0x2ECF3 — первичный запуск с WinPrint.exe;
- значение равно 0xC9FBD1 — работа в контексте UniPrint.exe.
Когда запущен UniPrint.exe, бэкдор переходит к выполнению основных функций. Проверяет, имеет ли пользователь права доступа администратора. Затем устанавливает права доступа на директорию с модулем:
После этого записывает параметры General и Security в ключ реестра HKCU\SOFTWARE\WDMPrint и подготавливает значение параметра InternetID с помощью форматной строки.
Затем бэкдор создает скрытые окна MDICLIENT и RMSHDNLT:
Далее приступает к перехвату API-функций. Для этого использует библиотеку MinHook.
Подробная таблица с описанием перехватываемых функций находится на странице BackDoor.RMS.180 на нашем сайте.
Сетевая активность бэкдора реализована следующим образом. Вначале по дескриптору окна TEdit с помощью функции GetWindowTextA бэкдор получает InternetID, необходимый для удаленного подключения. Затем формирует GET-запрос вида:
Затем создает TCP-сокет. Проверяет значение глобальной переменной, в которой хранится порт для подключения с использованием протокола SSL (в рассматриваемом образце равен нулю). Если порт не равен нулю, то соединение выполняется по SSL посредством функций библиотеки SSLEAY32.dll. Если порт не задан, бэкдор подключается через порт 80.
Далее отправляет сформированный запрос. Если ответ получен, то ожидает в течение минуты и повторно отправляет запрос с InternetID. Если ответа нет, то повторяет запрос через 2 секунды. Отправка происходит в бесконечном цикле.
Сценарий атаки
Обнаруженные нами образцы можно разделить на 2 группы.
Пример письма с вредоносным вложением, использующим DLL Hijacking:
В приложенном архиве находится защищенный RAR-архив и текстовый файл с паролем.
В архиве находится дроппер в виде самораспаковывающегося RAR’а, внутри которого лежит сам BackDoor.RMS.180.
Ниже приведен пример письма с вложением, использующим MSI-пакет.
Помимо архива с вредоносной нагрузкой (BackDoor.RMS.181) и файла с паролем здесь находятся документы-пустышки.
В ходе исследования мы также обнаружили образец фишингового письма, содержащего ссылку на дроппер, который запускает установку утилиты Remote Utilities из настроенного MSI-пакета (детектируется Dr.Web как BackDoor.RMS.187). Здесь задействован несколько иной механизм распространения полезной нагрузки.
«CV_resume.rar» является ссылкой на взломанный сайт, откуда происходит редирект на другой ресурс для загрузки вредоносного архива с BackDoor.RMS.187.
Анализ сетевой инфраструктуры, используемой злоумышленниками для распространения BackDoor.RMS.187, позволил найти еще несколько скомпрометированных сайтов, а также образец трояна Trojan.Gidra. По нашим данным, Trojan.GidraNET.1 использовался для первичного заражения системы при помощи фишингового письма с последующей загрузкой бэкдора, который скрыто устанавливал Remote Utilties.
Подробный разбор алгоритмов работы обнаруженного ПО читайте в вирусной библиотеке на нашем сайте. Ниже мы кратко рассмотрим эти вредоносные программы.
Как происходит заражение RAT-трояном?
Заражение вирусом RAT происходит почти также как другими вредоносными программами через:
- Массовое заражение на варез и торрент сайтах.
- Скрипты(эксплойты) на сайтах, которые без вашего ведома загружают RAT на ваш компьютер.
- Стои отметить что, в большинстве заражение RAT-трояном происходит не от массового а от целенаправленное заражение вашего компьютера друзьями или коллегами.
Кстати не всегда антивирусное по в силах предотвратить заражение, некоторые антивирусы попросту не детектируют вредонос, так как сегодня уже никто не посылает просто трояна, сегодня его предварительно криптуют(что такое крипт и как это делают мы расскажем в другой статье).
Популярные RAT-программы
- DarkComet Rat
- CyberGate
- ProRAT
- Turkojan
- Back Orifice
- Cerberus Rat
- Spy-Net
Какая самая лучшая программа RAT?
Лучший троян RAT на сегодня это DarkComet Rat(на хаЦкерском жаргоне просто Камета)
BackDoor.RMS.187
Исследованный образец представляет собой MSI-пакет с заранее настроенными параметрами для скрытой установки и запуска Remote Utilities. Распространялся в составе вредоносного RAR-архива посредством фишинговой рассылки.
Запускается при помощи дроппера, который хранит установочный архив в секции ресурсов под именем LOG. Дроппер сохраняет MSI-пакет в директорию %TEMP% под именем KB8438172.msi и затем запускает с помощью установщика msiexec.exe. В дроппере находится путь к исходнику — C:\Users\Kelevra\Desktop\Source\Project1.vbp.
Этот образец примечателен способом распространения. На электронную почту жертвы приходит фишинговое письмо со ссылкой, маскирующейся под нужное пользователю вложение.
ateliemilano[.]ru и kiat[.]by — существующие сайты, при этом второй сайт принадлежит кадровому агентству. По нашим сведениям, они неоднократно использовались для загрузки троянов, а также для переадресации запросов на их загрузку.
Как понять что у вас троянская программа RAT?
Понять что у вас на компьютере установлен РАТ очень не легко, но можно. Вот признаки которые могут говорить о наличии троянской программы на вашем компьютере:
- Странная сетевая активность в фаерволе, в частности высокий исходящий трафик.
- Комп начал тормозить или скорость интернета значительно просела.
- У вас увели пароль от соц. сетей или почты.
- Подозрительный трафик в сниффере.
Похожие статьи
Возможности трояна RAT
Что такое поток?
Можно сказать, что поток является виртуальным ядром самого ядра. Поток — параметр исключительно программный, он работает с ядром и способен дать ядру работать параллельно с разными задачами. Сколько потоков — столько и задач. Такая программная хитрость позволяет более рационально использовать вычислительную мощность ядра.
Чем больше программ вы запускаете на компьютере, тем сильнее нагружаете CPU. А он уж сам определяет как задействовать ядра и потоки для максимальной производительности. Для игр и серьезных задач с графикой вычислительная мощность для видеопотока отдается видеокарте для того, чтобы разгрузить графическое ядро CPU. Кстати, процессор видеоадаптера работает примерно также, как и основной.
Но два разобранных в статье параметра не являются самыми ключевыми. Да, чем больше потоков и ядер, тем лучше. Но есть еще и другие параметры, как архитектура процессора, техпроцесс, частота и объем кэш памяти.
Поэтому двухядерный CPU может быть намного лучше, чем четырехъядерный — последний будет проигрывать по другим параметрам.
Троян удаленного доступа (RAT) - это тип вредоносного ПО, которое позволяет хакерам отслеживать и контролировать ваш компьютер или сеть. Но как работает RAT, почему хакеры их используют и как их избежать?
Если вам когда-либо приходилось вызывать техподдержку для ПК, то вы, вероятно, знакомы с магией удаленного доступа. Когда удаленный доступ включен, авторизованные компьютеры и серверы могут контролировать все, что происходит на вашем ПК. Они могут открывать документы, загружать программное обеспечение и даже перемещать курсор по экрану в режиме реального времени.
RAT - это тип вредоносного ПО, очень похожий на легальные программы удаленного доступа. Основное отличие, конечно, заключается в том, что RAT устанавливаются на компьютер без ведома пользователя. Большинство легитимных программ удаленного доступа созданы для технической поддержки и обмена файлами, а RAT - для слежки, взлома или уничтожения компьютеров .
Подобно большинству вредоносных программ, RAT встраиваются в легитимные файлы. Хакеры могут прикрепить RAT к документу по электронной почте или в большом программном пакете, например в видеоигре.
Рекламные объявления и вредоносные веб-страницы также могут содержать RAT, но большинство браузеров предотвращают автоматическую загрузку с веб-сайтов или уведомляют вас, когда сайт небезопасен.
Вообще говоря, RAT не замедляет работу вашего компьютера, и хакеры не всегда выдают себя, удаляя файлы или перемещая курсор по экрану. В некоторых случаях пользователи заражённые RAT, годами не замечают ничего плохого.
Большинство компьютерных вирусов сделаны с единственной целью. Кейлоггеры автоматически записывают все, что вы вводите, вымогатели ограничивают доступ к вашему компьютеру или его файлам до тех пор, пока вы не заплатите, а рекламное ПО выдает сомнительную рекламу на ваш компьютер для получения прибыли.
Но крысы особенные. Они дают хакерам полный анонимный контроль над зараженными компьютерами.
Кроме того, хакеры могут использовать RAT для скрытой активации веб-камеры или микрофона компьютера.
Хакер с RAT может стереть ваш жесткий диск, загрузить нелегальный контент из Интернета через ваш компьютер. Хакеры также могут удаленно управлять вашим компьютером, чтобы выполнять незаконные действия в Интернете от вашего имени, или использовать вашу домашнюю сеть в качестве прокси-сервера для анонимного совершения преступлений.
Хакер также может использовать RAT, чтобы взять под контроль домашнюю сеть и создать ботнет.
По сути, ботнет позволяет хакеру использовать ваши компьютерные ресурсы для выполнения часто нелегальных задач, таких как DDOS-атаки, майнинг биткойнов, хостинг файлов и торрент. Иногда эту технику используют кибер преступники или во время кибервойны.
Не беспокойся. Крыс легко избежать
Если вы хотите избежать RAT, не загружайте файлы из источников, которым вы не можете доверять.
Вы не должны открывать вложения электронной почты от незнакомых людей (или потенциальных работодателей)
Вы не должны загружать игры или программное обеспечение с не официальных веб-сайтов и не должны качать торрент-файлы, если они не из надежного источника.
Обновляйте ваш браузер и операционную систему с помощью исправлений безопасности.
Конечно, вы должны включить антивирусное программное обеспечение. Защитник Windows входит в комплект поставки вашего ПК (и, честно говоря, это отличное антивирусное программное обеспечение), но если вам нужна дополнительная защита, вы можете загрузить коммерческое антивирусное программное обеспечение.
Поскольку большинство хакеров используют известные RAT (вместо того, чтобы разрабатывать свои собственные), антивирусное программное обеспечение является самым простым способом поиска и удаления RAT с вашего компьютера.
Если у вас запущен антивирус, но вы все еще параноидально чувствуете, что на вашем ПК есть RAT, вы всегда можете отформатировать компьютер . Это решительная мера, но вероятность успеха составляет 100% Если антивирусное программное обеспечение не находит RAT, то, вероятно, у вас нет RAT.
Что вы думаете о вредоносных программах? Дайте нам знать в комментариях ниже.
В ноябре 2020 года вирусная лаборатория «Доктор Веб» зафиксировала рассылку фишинговых писем корпоративным пользователям. Злоумышленники попытались применить классический метод социальной инженерии, чтобы заставить потенциальных жертв открыть вложения. В качестве вредоносной нагрузки письма содержали троянские программы, обеспечивающие скрытую установку и запуск утилиты Remote Utilities, установочные компоненты которой также находились в составе вложения. При неблагоприятном стечении обстоятельств, компьютеры сотрудников были бы доступны для удаленного управления без каких-либо визуальных признаков работы программы. В статье мы рассмотрим механизмы распространения и заражения используемых RAT-троянов.
Kali Linux не видит Wi-Fi адаптер
DarkComet
DarkComet был создан еще в 2008 году французским хакером Жаном-Пьером Лесуэром, но привлек внимание сообщества кибербезопасности только в 2012 году, когда было обнаружено, что африканское хакерское подразделение использует эту систему для нацеливания на правительство и вооруженные силы США.
DarkComet характеризуется простым в использовании интерфейсом, который позволяет пользователям, практически не имеющим технических навыков, выполнять хакерские атаки.
Это позволяет шпионить через кейлоггинг, захват экрана и сбор пароля.
Управляющий хакер также может управлять функциями питания удаленного компьютера, позволяя включать или выключать компьютер удаленно. Сетевые функции зараженного компьютера также можно использовать для использования компьютера в качестве прокси-сервера и маскировки его личности во время рейдов на других компьютерах. Проект DarkComet был заброшен его разработчиком в 2014 году, когда было обнаружено, что он используется сирийским правительством, чтобы шпионить за его гражданами.
BackDoor.RMS.181
Исследованный образец представляет собой MSI-пакет с заранее настроенными параметрами удаленного управления, созданный с помощью MSI-конфигуратора из состава Remote Utilities Viewer. Распространялся в составе самораспаковывающегося 7z-дроппера (52c3841141d0fe291d8ae336012efe5766ec5616).
- host6.3_mod.msi (заранее настроенный MSI-пакет);
- installer.exe (5a9d6b1fcdaf4b2818a6eeca4f1c16a5c24dd9cf), подписан действительной цифровой подписью.
После распаковки дроппер запускает файл installer.exe, который, в свою очередь, запускает установку заранее настроенного MSI-пакета. Установщик извлекает и скрыто устанавливает Remote Utilities. После установки отправляет сигнал на управляющий сервер.
MSI-пакет содержит все необходимые параметры для тихой установки Remote Utilities. Установка выполняется в Program Files\Remote Utilities — Host в соответствии с таблицей Directory.
В соответствии с таблицей CustomAction установщик msiexec.exe запускает основной компонент пакета Remote Utilities rutserv.exe с различными параметрами, которые обеспечивают тихую установку, добавление правил сетевого экрана и запуск службы.
Параметры и настройки подключения заносятся в ключ реестра HKLM\Remote Utilities\v4\Server\Parameters. Значения параметров содержатся в таблице Registry:
Параметр CallbackSettings содержит адрес сервера, на который отправляется InternetID для прямого подключения.
10 комментариев
Возможности трояна пункт «Прикалываться над чайниками» повеселил ))
да без крипта не прокатит, антивир пропалит сразу.
а крипт денег стоит
крипт бесплатен был, бесплатный есть и бесплатным будет.
хорошая статья но автор забыл написать ещё про рат PI
Я чувствую ,что я и есть тот чайник над которым поприкалывалась эта крыса до такой степени, что сначала я обнаружила , что почта контролируется и отправленные мною письма пришли на тот же адрес но в другом смарте, я переписываюсь вместо моих друзей с одним лишь человеком, который отслеживает все написанное через клавиатуру. Рекомендованную «Mipco» я не смогла установить, написано при скачивании «error. not found», потому что активация сделана через контролируемую почту. В мессенджере фейсбука и по смарту я не могу пазговаривать — слышу липкие комментарии среди беседы и отключение разговоров на самом важном месте. Но пиком апофеоза стала пропажа денег на моих глазах с моего банковского счета.
Заканчивается суббота. Хочу сначала получить справку банка как такое могло произойти. В полицию я уже обратилась. Даже если я защищусь с помощью ваших рекомендаций, как я смогу вернуть деньги и доказать что при попытке их снятия я не получила ничего, а преступник перевел их куда-то ,куда я не знаю. В первоначальной распечате банка значится что дегьги зашли на счет. А после моей попытки их получить отсутствует запись что они вообще поступали. Я ничего не понимаю. В этом же месяце я обнаружила что некий сайт незаконно снимал несколько месяцев деньги моей кредитной картой. Я написала им ,что поскольку не пользовалась их услугами, требую возврата денег,полученных мошенническим путем. После этого пропали деньги с моего счета. Ясно ,что все кредитки нужно закрывать. Но что делать после обращения в полицию с моим смартом?
Все ответы на ваши вопросы будут в отдельной статье.
Знаю таков троян, есть много КРЕАТОРОВ таких троянов — на пример самый простой — Dark Comet.
Сам кстати пользуюсь такими креаторами, но ничего вредоносного не делаю, максимум просто по прикалываться.
И это интересно, ещё есть один креатор — называется LinkNet.
Вроде его один поц сделал, на ютубе видосы есть, написан на delphi.
У него ООООЧЕНЬ большой функционал.
Кому надо просто введите LinkNet — CSG Chanell. (Вроде так канал называется.)
Сама прога платная, вроде. Но в коментах под видео некоторые говорят что есть бесплатная версия проги, не знаю крч.
Удалить ратник проще некуда, нужно зайти в автозагрузку и удалить все неизвестные программы из автозагрузки или все, затем перезагрузить ПК также можно заглянуть в планировщик задач и посмотреть там некие странные задания и удалить их.
У DarkComet есть такая функция: Persistant Process и Persistent Startup. Когда ты попытаешься закрыть процесс, не выйдет. Когда попытаешься удалить из автозагрузки: не выйдет. Даже в безопасном режиме не прокатит! Никак! И что чайник будет делать? А если он хорошо закриптован, то его никак не найти! И антивирус его удалять не будет! И никакая программа не поможет, кроме переустановки Windows.
Несколько известных RAT
Давайте посмотрим на некоторые из самых известных RAT.
Наша идея здесь не в том, чтобы прославить их, а в том, чтобы дать вам представление о том, насколько они разнообразны.
Как предотвратить заражение троянской программой RAT?
- Не открывать не знакомые файлы, которые вы получаете по почте.
- Пользоваться безопасными браузерами.
- Качать и устанавливать программы только с сайта разработчика.
- Не допускать физического контакта с компьютером посторонних людей.
- Удалить к чертям антивирус и поставить хороший фаервол и хороший сниффер. Можете конечно оставить антивирус, я понимаю привычка дело такое…, но фаерволом пользоваться вам надо обязательно. Но а если научитесь юзать сниффер, то в моих глазах станете продвинутыми юзверями, без пяти минут специалистами в области компьютерной безопасности ))!
Mirage
Mirage – известная RAT, используемая спонсируемой государством китайской хакерской группой.
После очень активной шпионской кампании с 2009 по 2015 год группа замолчала.
Mirage был основным инструментом группы с 2012 года.
Обнаружение варианта Mirage, названного MirageFox в 2018 году, является намеком на то, что группа может вернуться в действие.
MirageFox был обнаружен в марте 2018 года, когда он использовался для слежки за правительственными подрядчиками Великобритании.
Что касается оригинальной Mirage RAT, она использовалась для атак на нефтяную компанию на Филиппинах, тайваньских военных, канадскую энергетическую компанию и другие цели в Бразилии, Израиле, Нигерии и Египте.
Этот RAT поставляется встроенным в PDF.
Открытие его приводит к выполнению скриптов, которые устанавливают RAT.
После установки его первое действие – отчитаться перед системой управления и контроля с проверкой возможностей зараженной системы.
Эта информация включает в себя скорость процессора, объем памяти и использование, имя системы и имя пользователя.
RAT как оружие
Злонамеренный разработчик RAT может взять под контроль электростанции, телефонные сети, ядерные объекты или газопроводы.
Таким образом, RAT не только представляют угрозу для корпоративной безопасности.
Они также могут позволить нациям атаковать вражескую страну.
Как таковые, их можно рассматривать как оружие.
Хакеры по всему миру используют RAT для слежки за компаниями и кражи их данных и денег.
Между тем проблема RAT теперь стала вопросом национальной безопасности для многих стран, в том числе России.
Первоначально использовавшаяся для промышленного шпионажа и саботажа китайскими хакерами, США стала ценить мощь RAT и интегрировала их в свой военный арсенал.
Теперь они являются частью стратегии наступления, известной как «гибридная война».
Защита от RAT – средства обнаружения вторжений IDS
Антивирусное программное обеспечение иногда бесполезно себя ведет при обнаружении и предотвращении RAT.
Это связано отчасти с их природой.
Они прячутся как нечто совершенно законное.
По этой причине они часто лучше всего обнаруживаются системами, которые анализируют компьютеры на предмет ненормального поведения.
Такие системы называются системами обнаружения вторжений IDS.
Мы искали на рынке лучшие системы обнаружения вторжений.
Наш список содержит набор добросовестных систем обнаружения вторжений и другого программного обеспечения, которое имеет компонент обнаружения вторжений или которое может использоваться для обнаружения попыток вторжения.
Как правило, они лучше идентифицируют трояны удаленного доступа, чем другие типы средств защиты от вредоносных программ.
Anything in here will be replaced on browsers that support the canvas element
Passbolt – это менеджер паролей с открытым исходным кодом, который позволяет безопасно хранить и передавать учетные данные для входа на сайт, пароль роутера, пароль Wi-Fi и т.д. В этом руководстве будет показано, как установить Passbolt Community Edition (CE) на Ubuntu 22.04 с сервером базы данных PostgreSQL, который обычно быстрее, чем сервер базы данных MariaDB/MySQL. Особенности […]
socialscan – это инструмент командной строки для проверки использования электронной почты и имен пользователей социальных сетей на онлайн-платформах. Если задан адрес электронной почты или имя пользователя, socialscan возвращает, доступен ли он, занят или недействителен на онлайн-платформах. Другие подобные инструменты проверяют доступность имени пользователя, запрашивая страницу профиля рассматриваемого имени пользователя и на основе такой информации, как […]
Многие советы по безопасности, как правило, делятся на два лагеря: предназначенные для предприятий с постоянно работающими командами безопасности и инфраструктуры, или быстрая установка инструментов без контекста для одиночных веб-разработчиков. В этой статье мы пойдем по среднему пути и рассмотрим некоторые способы безопасного управления веб-сервером для различных распространенных сценариев развертывания. Цель – обеспечить лучшее понимание инструментария […]
Что такое afrog afrog – это высокопроизводительный, быстрый и стабильный, PoC настраиваемый инструмент для сканирования уязвимостей. PoC включает CVE, CNVD, пароль по умолчанию, утечку информации, идентификацию фингерпринтов, несанкционированный доступ, произвольное чтение файлов, выполнение команд и т.д. Он помогает специалистам по сетевой безопасности быстро проверять и своевременно устранять уязвимости. Особенности Основан на ядре xray, но не […]
Краткое руководство по сканированию портов Сканирование портов – это враждебная техника, часто используемая специалистами по тестированию на проникновение и хакерами для сканирования компьютеров, подключенных к Интернету, и определения того, какие приложения или службы прослушивают сеть, обычно для проведения таргетированных атак. Как правило программное обеспечение безопасности обнаруживает активное сканирование портов и отмечает его как потенциальную угрозу. […]
RAT — крыса (английский). Под аббревиатурой RAT скрывается не очень приятное для каждого пользователя обозначение трояна, с помощью которого злоумышленник может получить удалённый доступ к компьютеру. Многие ошибочно переводят эту аббревиатуру как Remote Administration Tool — инструмент для удалённого администрирования, но на самом же деле аббревиатура RAT означает Remote Access Trojan – программа троян для удалённого доступа.
На самом деле шпионская программа RAT это один из наиболее опасных вредоносных программ, который позволяет злоумышленнику получить не просто доступ к вашему компьютеру но и полный контроль над ним. Используя программу RAT, взломщик может удалённо установить клавиатурный шпион или другую вредоносную программу. Также с помощью данной программы хакер может заразить файлы и много чего ещё наделать без вашего ведома.
Итак, что такое RAT?
Троян удаленного доступа – это разновидность вредоносного ПО, которое позволяет хакеру удаленно (отсюда и название) получить контроль над компьютером.
Давайте проанализируем имя.
Троянская часть рассказывает о том, как распространяется вредоносное ПО.
Это относится к древнегреческой истории о троянском коне, который Улисс построил, чтобы вернуть город Трою, который был осажден в течение десяти лет.
В контексте компьютерного вредоносного ПО, троянский конь (или просто троян) представляет собой вредоносное ПО, распространяемое как-то еще.
Например, игра, которую вы загружаете и устанавливаете на свой компьютер, на самом деле может быть троянским конем и содержать некоторый вредоносный код.
Что касается удаленного доступа RAT, то это связано с тем, что делает вредоносная программа.
Проще говоря, это позволяет его автору иметь удаленный доступ к зараженному компьютеру.
И когда он получает удаленный доступ, у него практически нет ограничений на то, что он может сделать.
Это может варьироваться от изучения вашей файловой системы, просмотра ваших действий на экране, сбора ваших учетных данных для входа в систему или шифрования ваших файлов, чтобы затем потребовать выкуп.
Он также может украсть ваши данные или, что еще хуже, данные вашего клиента.
После установки RAT ваш компьютер может стать концентратором, откуда атаки будут запущены на другие компьютеры в локальной сети, что позволит обойти любую защиту периметра.
Как вылечить заражённый трояном компьютер?
Обнаружить троян RAT довольно сложно. Можно скачать бесплатные антивирусы с обновлёнными базами, к примеру отличный на мой взгляд сканер AVZ и просканировать компьютер. На самом деле если вы мало разбираетесь в компьютерах легче не искать иголку в стоге, а предварительно сохранив важные документы отформатировать комп и установить Windows заново.
Кстати устанавливая взломанную Windows вы рискуете заразится вирусом уже на этапе установки. Так как некоторые левые сборки которые раздаются в сети имеют уже вшитые закладки, шпионы, вирусы, скрытые радмины, рмсы и другую красоту. Я знал одного компьютерного мастера который само того не зная устанавливал на машины клиентов левую сборку Windows, знаменитую протрояненную ZverCD.
Лучший WiFi-адаптер для Kali Linux (цена-качество)
Как установить GNOME на Kali Linux
Читайте также: