Obsah
- Proč jsou trojské koně vzdáleného přístupu takovou hrozbou?
- Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života
- Obrana proti vzdálenému přístupu Trojské koně
- Trójské kone pro vzdálený přístup a pokročilé trvalé hrozby
Zdroj: Jslavy / Dreamstime.com
Odnést:
Zatímco mnozí považují trojské koně za zastaralé útoky, které byly nahrazeny sofistikovanějším malwarem, trojské koně s vzdáleným přístupem (RAT) zaznamenaly v poslední době nárůst používání.
Co vás nejvíce znepokojuje, pokud jde o počítačové hrozby a malware? Pokud jste v posledních letech sledovali trendy kybernetické bezpečnosti, může být ransomware vaším ohniskem, pokud jde o posílení obrany v síti. (Další informace o ransomwaru naleznete v tématu Schopnost bojovat proti Ransomwaru, který byl mnohem tvrdší.)
Zatímco ransomware je stále hlavní hrozbou pro jakoukoli firmu, výzkum z roku 2018 ukazuje, že se kybernetičtí zločinci zaměřují.
Data ukazují, že útočníci ne vždy hledají okamžitou návratnost: Poprvé vůbec se v seznamu „Top 10 nejžádanějších“ objevil Trojan pro vzdálený přístup (RAT), který hackerům umožňuje kontrolovat ohrožené systémy a exfiltrovat citlivá data. Malware ”.
Přestože existují téměř dvě desetiletí, pravdou je, že většina podniků není na tuto výkonnou formu malwaru připravena.
Proč jsou trojské koně vzdáleného přístupu takovou hrozbou?
Trojan pro vzdálený přístup je podobný jako jakýkoli jiný malware typu Trojan v tom, že vstupuje do vašeho systému přestrojeného za legitimní software. Na rozdíl od jiných trojských koní však RAT ve vašich systémech vytvářejí zadní vrátka, která útočníkům umožňují administrátorskou kontrolu nad infikovanými koncovými body.
Jedním z důvodů, proč se RAT v posledních měsících staly tak běžnými, je to, že je pro útočníky snazší je sestavit. Existují stovky různých sad nástrojů, které poskytují kybernetickým zločincům vše, co potřebují k sestavení RAT, a začnou je distribuovat prostřednictvím všech druhů útoků v oblasti sociálního inženýrství.
Otevření škodlivé přílohy načtené pomocí Trojan pro vzdálený přístup vyžaduje útočníkům, aby infiltrovali vaši síť. To je obzvláště problematické, protože RAT se ukázaly jako zvláště obtížné odhalit.
Jako příklad si vezměte nejoblíbenější RAT, FlawedAmmyy. Protože FlawedAmmyy je vytvořen ze zdrojového kódu za Ammyy Admin, běžným softwarem pro vzdálené plochy, mnoho bezpečnostních systémů nedokáže identifikovat podezřelé aktivity ve vaší síti.
Žádné chyby, žádný stres - Váš průvodce krok za krokem k vytváření softwaru pro změnu života, aniž by došlo ke zničení vašeho života
Nemůžete zlepšit své programovací schopnosti, když se nikdo nestará o kvalitu softwaru.
Jakmile RAT, jako je FlawedAmmyy, infikoval vaše stroje, mohou útočníci několik dní nebo dokonce týdnů ležet na nízké úrovni, čímž zničí jejich schopnost:
- Sledujte své chování instalací keyloggerů a spywaru přes zadní vrátka
- Krást důvěrné informace, osobní údaje a přihlašovací údaje
- Vyzkoušejte si aktivaci webkamery a mikrofonu v koncovém bodě
- Vezměte si screenshoty aktivity na obrazovku
- Vyfiltrujte citlivá data přístupem k nástrojům pro správu souborů
- Překonfigurujte ovladače zařízení a vytvořte ve své síti nové chyby zabezpečení
S nárůstem ransomwaru a kryptominerů se zdálo, že hrozby založené na datech, jako jsou RAT, jsou pro počítačové zločince méně přitažlivé. Manažer zpravodajské skupiny pro hrozby Check Point Maya Horowitz však tvrdí, že tomu tak již není:
I když kryptominery zůstávají dominantní hrozbou, může to naznačovat, že data, jako jsou přihlašovací údaje, citlivé soubory, bankovní a platební informace, neztratily lukrativní přitažlivost vůči zločincům.
Ale to, že útočníci vytvářejí RAT tak, aby vypadali jako legitimní software, neznamená, že jste odsouzeni k útoku. Existují praktické kroky, které můžete podniknout k ochraně sebe (a své sítě) před vzestupem trojských koní se vzdáleným přístupem. (Chcete-li se dozvědět více o kryptominaci, podívejte se na hackerské kryptoměny.)
Obrana proti vzdálenému přístupu Trojské koně
Dobrou zprávou týkající se RAT je, že se můžete bránit stejným způsobem, jakým jste zabránili jakýmkoli dalším hrozbám malwaru. Objem a sofistikovanost dnešních hrozeb škodlivého softwaru však mají složité strategie kybernetické bezpečnosti. A v případě trójských koní pro vzdálený přístup jsou sázky vyšší než u menších forem malwaru.
V první řadě je obranná strategie RAT závislá na celofiremním školení o zvyšování povědomí o bezpečnosti. Lidská chyba je hlavní příčinou více než 90 procent bezpečnostních incidentů a není žádná výjimka, pokud jde o RAT. Protože tento malware je obecně spouštěn prostřednictvím infikovaných odkazů a příloh v phishingových kampaních, je třeba, aby zaměstnanci byli velmi ostražití, aby nedocházelo k neúmyslnému ohrožení vaší sítě.
Školení týkající se povědomí o bezpečnosti vás však zatím dostane pouze. Bez ohledu na to, kolik školení investujete, lidé budou stále dělat chyby. Potřebujete účinnou ochrannou strategii s více vrstvami, která kombinuje různá bezpečnostní zařízení a softwarová řešení, aby zajistila účinnou ochranu vašich koncových bodů. Chcete-li se bránit proti RAT a jinému nebezpečnému malwaru, měla by vaše vícevrstvá obrana zahrnovat:
- Přísné postupy kontroly přístupu: Hodnoty RAT se často používají ke kompromitaci přihlašovacích údajů správce, které poskytují přístup k cennějším datům ve vaší síti. Díky přísným kontrolám přístupu můžete omezit dopad kompromitovaných přihlašovacích údajů. To znamená implementaci dvoufázového ověření, které během pokusů o přihlášení přesáhne jednoduchá hesla, whitelisting IP adres pro oprávněné uživatele, nasazení pokročilejších antivirových řešení a zpřísnění konfigurace brány firewall.
- Řešení zabezpečeného vzdáleného přístupu: Každý nový koncový bod, který se připojuje k vaší síti, představuje potenciální systém, který by útočníci mohli kompromitovat pomocí RAT. Aby se omezila plocha útoku, měl by být vzdálený přístup povolen pouze prostřednictvím zabezpečených připojení vytvořených pomocí zpřísněných zabezpečených bran nebo virtuálních privátních sítí (VPN). Kromě toho však pomáhá používat řešení vzdáleného přístupu bez klientů, které nevyžaduje další software a pluginy na koncových zařízeních, což jsou pro útočníky snadné cíle.
- Bezpečnostní technologie s nulovou důvěrou: Bezpečnostní modely s nulovou důvěrou získaly trakci díky přístupu „nikdy nedůvěřujte, vždy ověřujte“. Řešení zabezpečení bez důvěryhodnosti neposkytují přihlašovací údaje správce pro úplný přístup v síti, ale poskytují granulární kontrolu nad postranními pohyby, které útočníci používají k nalezení cenných dat.
Tyto tři strategie společně vytvářejí bezpečnější prostředí pro pracovníky na místě i pro vzdálené pracovníky. I když je stále důležité, aby zaměstnanci věnovali pozornost podezřelým a vazbám, integrace těchto součástí vícevrstvé obranné strategie vám pomůže vyhnout se katastrofě, i když se objeví lidská chyba.
Trójské kone pro vzdálený přístup a pokročilé trvalé hrozby
Jednou z posledních důležitých poznámek o RAT je, že nejde jen o nástroje pro krátkodobé finanční zisky kyberkriminálů. Zatímco ransomware a kryptominery poskytly hackerům spoustu způsobů, jak provádět rychlé a lukrativní útoky, nesmíte zapomenout na nebezpečí pokročilých přetrvávajících hrozeb (APT).
Kompromitování jednoho počítače se vzdáleným přístupem Trojan může být pouze začátkem útoku. Protože je tak obtížné detekovat RAT, mohou zadní vrátka zůstat otevřená po dlouhou dobu. Útočníci tak získají příležitost ohrozit jiná zařízení, postoupit postranně v síti a exfiltrovat další citlivá data, což vede k nákladnějším incidentům.
Nenechte RAT otevřít vaší organizaci riziku narušení dat v řádu milionů dolarů. Podnikněte všechny kroky potřebné k přípravě své pracovní síly na tyto hrozby a ztvrdněte své systémy tak, aby odolávaly lidským chybám, které vytvářejí zranitelnosti, které mohou RAT využívat.