Дело не в том, как предотвращать или избавляться от тех крупных грызунов, от которых взрослые взрослые кричат, как маленькие дети, когда они бегают по полу или падают с порога. В качестве примера можно привести троянские программы для удаленного доступа (RAT), которые инфицируют машины и сети по всей планете. Эти RAT - тип вирусов, который позволяет хакеру получить доступ к управлению вашим компьютером. Эта угроза все больше и больше становится известна в одной форме, входящей в топ-10 наиболее распространенных вредоносных программ по данным рейтинга глобальных угроз Check Point за октябрь 2018 года, и имеет недостатки. Как мы можем избегать или не допускать заражения РАТ?
Что такое RAT?
Вредоносная программа для удаленного доступа (RAT) - это троянская программа, которая открывает заднюю крышку вашего пк для полного контроля над ПК жертвы. RAT скачиваются обычно невидимо с программой, запрошенной пользователем, или встроены в письмо в электронной почте. Сразу после установки он может следить за действиями пользователя с помощью таких шпионских программ, как кейлоггеры, иметь доступ к приватной информации, подключать веб-камеры системы, передавать вирусы и другие вредоносные программы, изменять системы файлов и архивов, и многое другое. Кое-кто начинает понимать и способен обойти некоторые распространенные методы детектирования вредоносных программ. У них также есть умение маскировать свое участие и действовать тихо. Один RAT, названный GravityRAT, может определять уровень температуры процессора и активность системы и действовать соответствующим образом, чтобы избежать распознавания.
Как было сказано ранее, RAT как правило, доставляются в электронной почте и прилагаются в виде вложений в практически любом формате, таком как MS Office, например Word, Excel, Publisher, PowerPoint и др. Они также могут выпускаться в виде файлов Adobe Acrobat или аудио- и видеороликов. В то же время большинство RAT применяются в специальных фишинговых кампаниях (прямая целенаправленная атака на человека), такие, как FlawedAmmyyy, были использованы в массированных фишинговых атаках. Сообщается об одном крупном нападении на компании "Годива шоколад", "Йогуртланд" и "Пинкберри". Присылаемые вложения могут быть скрыты в счетах-фактурах или накладных. Одна из кампаний в Турции представляла собой официальное сообщение от Налогового управления Турции, и если приложенные к нему документы будут заполнены, то получатель может быть освобожден от уплаты налогов. Для того чтобы просматривать документы, потерпевший должен был разрешить использование макросов. В прикрепленный документ был встроен код для загрузки и установки RAT, так называемой Remcos (основанной на одноименной утилите удаленного доступа).
В добавление к рассмотренным, есть и другие RAT, на которые следует обратить внимание - JBIFrost, DarkComet, Adwind, Coldroot и njRAT. Схожими задачами является предоставление злоумышленнику прав удаленного администрирования на компьютере пострадавшего. Взглянув, что такое RAT, и что он может сделать, мы можем выявить, вылечить и предотвратить заражение?
Как выявить, обезвредить и устранить неисправности?
Несмотря на то, что эта разновидность атак не нова, поскольку появилась в 2002 году, она постоянно развивается, опережая прогресс систем обнаружения вторжений (IDS) и современных средств обнаружения постоянных угроз (APT). Выявление не всегда легко, но возможно. Если это персональная система, и вы обнаружили проблему с производительностью и странности, которые происходят после того, как вы открыли приложение вызова специалиста.
Если вы находитесь в технически подкованном положении и не хотите нанимать профессионала, то не бойтесь расследовать, не запущены ли какие-то нестандартные процессы. Дополнительно, посмотрите на странный трафик, исходящий от компьютера или сети, используя такие инструменты, как Wireshark или используя Netstat в командной строке. Сведения о подозрениях, которые могут появиться в вашей системе, можно получить у сетевого администратора или в отделе кибербезопасности, если вы находитесь на устройстве, принадлежащем компании. Если RAT находится в системе, то исправление может быть затруднено в зависимости от используемого устройства. Рекомендованный метод заключается в том, чтобы обеспечить резервное копирование всех данных, стереть систему, а затем переустановить операционную систему.
Что касается профилактики, то наилучшим вариантом является многоуровневый подход.
Который должен состоять из:
- Системы, на которых установлены антивирус и программы защиты от вредоносного ПО и которые всегда находятся в актуальном состоянии;
- Полностью исправлены и обновлены системы и установленные приложения;
- Администраторы используют строгие белые списки для приложений, блокируют неиспользуемые порты, отключают неиспользуемые сервисы и отслеживают исходящий трафик для предотвращения распространения заражения и защиты, используют специальные белые списки приложений;
- Воздерживаться от загрузки программ или открытия вложений, которые не принадлежат доверенным лицам.
- Избегайте включения макросов, не убедившись в том, что вложение было отправлено из надежного источника.
- Первоначальный механизм распространения RAT обычно заключается в использовании фишинговой почты, и поэтому вы можете помочь в предотвращении заражения, блокируя эти сообщения, помогая идентифицировать и сообщить о них пользователям и устанавливая меры безопасности, чтобы предотвратить несанкционированный доступ к ним ваших нежелательных электронных сообщений.
