Содержание
- Почему троянские программы удаленного доступа представляют собой такую угрозу?
- Нет ошибок, нет стресса - ваше пошаговое руководство по созданию изменяющего жизнь программного обеспечения без разрушения вашей жизни
- Защита от троянов удаленного доступа
- Трояны удаленного доступа и расширенные постоянные угрозы
Источник: Jslavy / Dreamstime.com
вынос:
Хотя многие считают троянские программы устаревшими атаками, которые были заменены более сложными вредоносными программами, в последнее время использование троянов с удаленным доступом (RAT) возросло.
Что вас больше всего беспокоит, когда речь заходит о киберугрозах и вредоносном ПО? Если вы следили за тенденциями кибербезопасности в течение последних нескольких лет, вымогатели могут быть вашим центром, когда речь заходит об укреплении защиты сети. (Для получения дополнительной информации о вымогателях см. Способность бороться с вымогателями, только что получилось намного жестче.)
В то время как вымогатели по-прежнему представляют серьезную угрозу для любого бизнеса, исследования 2018 года показывают, что киберпреступники смещают акцент.
Данные показывают, что злоумышленники не всегда ищут немедленную отдачу: впервые в «Топ-10 самых разыскиваемых» появился троян удаленного доступа (RAT), который позволяет хакерам управлять взломанными системами и выполнять фильтрацию конфиденциальных данных. Вредоносное ПО ».
Несмотря на то, что они существуют уже почти два десятилетия, правда заключается в том, что большинство предприятий не готовы к этой мощной форме вредоносного ПО.
Почему троянские программы удаленного доступа представляют собой такую угрозу?
Троянец с удаленным доступом похож на любое другое вредоносное ПО троянского типа в том, что он проникает в вашу систему под видом легитимного программного обеспечения. Но в отличие от других троянов, RAT создают в ваших системах бэкдоры, которые дают злоумышленникам административный контроль над зараженными конечными точками.
Одна из причин того, что RAT стали настолько распространенными в последние месяцы, заключается в том, что злоумышленникам проще, чем когда-либо, создать их. Существуют сотни различных наборов инструментов, которые дают киберпреступникам все, что им нужно для создания RAT и начинают их распространять посредством всех видов атак социальной инженерии.
Требуется только один сотрудник, чтобы открыть вредоносное вложение, загруженное трояном удаленного доступа, чтобы злоумышленники проникли в вашу сеть. Это особенно проблематично, так как RAT оказалось особенно трудно обнаружить.
В качестве примера возьмем самую популярную RAT, FlawedAmmyy. Поскольку FlawedAmmyy построен на основе исходного кода, лежащего в основе Ammyy Admin, распространенного программного обеспечения для удаленного рабочего стола, многие системы безопасности не смогут обнаружить подозрительную активность в вашей сети.
Нет ошибок, нет стресса - ваше пошаговое руководство по созданию изменяющего жизнь программного обеспечения без разрушения вашей жизни
Вы не можете улучшить свои навыки программирования, когда никто не заботится о качестве программного обеспечения.
После того, как RAT, такой как FlawedAmmyy, заразил ваши машины, злоумышленники могут находиться на низком уровне в течение нескольких дней или даже недель, упрощая свою способность:
- Следите за своим поведением, устанавливая кейлоггеры и шпионские программы через черный ход
- Кража конфиденциальной информации, личных данных и учетных данных
- Следите за вами, активируя веб-камеру и микрофон на вашей конечной точке
- Делайте скриншоты действий на вашем экране
- Exfiltrate конфиденциальных данных с помощью инструментов управления файлами
- Переконфигурируйте драйверы устройств для создания новых уязвимостей в вашей сети
С ростом вымогателей и криптоминантов угрозы на основе данных, такие как RAT, стали менее привлекательными для киберпреступников. Однако менеджер группы разведки угроз Check Point Майя Горовиц говорит, что это уже не так:
В то время как криптоминеры остаются доминирующей угрозой, это может указывать на то, что такие данные, как учетные данные для входа в систему, конфиденциальные файлы, банковская информация и информация о платежах, не потеряли свою привлекательную привлекательность для киберпреступников.
Но то, что злоумышленники создают RAT, чтобы выглядеть как законное программное обеспечение, не означает, что вы обречены на атаку. Существуют практические шаги, которые вы можете предпринять, чтобы защитить себя (и свою сеть) от появления троянов удаленного доступа. (Чтобы узнать больше о криптовалюте, ознакомьтесь со взломом криптовалют.)
Защита от троянов удаленного доступа
Хорошая новость, касающаяся RAT, заключается в том, что вы можете защищаться так же, как от других угроз со стороны вредоносных программ. Однако объем и изощренность современных вредоносных программ усложнили стратегии кибербезопасности. А для троянов с удаленным доступом ставки выше, чем для менее распространенных вредоносных программ.
Прежде всего, стратегия защиты RAT зависит от обучения в области безопасности на уровне предприятия. Человеческая ошибка является основной причиной более 90 процентов инцидентов безопасности, и нет никаких исключений, когда речь идет о RAT. Поскольку это вредоносное ПО обычно выполняется с помощью зараженных ссылок и вложений в фишинговых кампаниях, сотрудники должны проявлять повышенную бдительность, чтобы избежать непреднамеренной компрометации вашей сети.
Тем не менее, обучение осведомленности в области безопасности только поможет вам. Независимо от того, сколько вы потратите на обучение, люди все равно будут делать ошибки. Вам нужна многоуровневая стратегия защиты, которая сочетает в себе различные устройства безопасности и программные решения для обеспечения эффективной защиты ваших конечных точек. Для защиты от RAT и других опасных вредоносных программ ваша многоуровневая защита должна включать:
- Строгие процедуры контроля доступа: RAT часто используются для компрометации учетных данных администратора, которые обеспечивают доступ к более ценным данным в вашей сети. При строгом контроле доступа вы можете ограничить влияние скомпрометированных учетных данных. Это означает реализацию двухэтапной проверки, позволяющей выходить за рамки простых паролей во время попыток входа в систему, внесение в белый список IP-адресов для авторизованных пользователей, развертывание более совершенных антивирусных решений и ужесточение конфигурации брандмауэра.
- Решения для безопасного удаленного доступа: Каждая новая конечная точка, которая подключается к вашей сети, представляет собой потенциальную систему, позволяющую злоумышленникам скомпрометировать использование RAT. Чтобы ограничить поверхность атаки, удаленный доступ должен быть разрешен только через защищенные соединения, созданные с помощью защищенных защищенных шлюзов или виртуальных частных сетей (VPN). Но помимо этого, это помогает использовать решение для удаленного доступа без клиента, которое не требует дополнительного программного обеспечения и плагинов на устройствах конечного пользователя, которые являются легкой целью для злоумышленников.
- Технологии безопасности с нулевым доверием: Модели безопасности с нулевым доверием завоевали популярность благодаря их подходу «никогда не доверяй, всегда проверяй». Вместо предоставления учетных данных администраторам для общего доступа по сети, решения для обеспечения безопасности с нулевым доверием обеспечивают детальный контроль над боковыми движениями, которые злоумышленники используют для поиска ценных данных.
Эти три стратегии объединяются, чтобы создать более безопасную среду как для локальных, так и для удаленных работников. Хотя сотрудникам по-прежнему важно уделять пристальное внимание подозрительным ссылкам и связям, интеграция этих компонентов многоуровневой стратегии защиты поможет вам избежать катастрофы, даже когда в игру вступает человеческая ошибка.
Трояны удаленного доступа и расширенные постоянные угрозы
И последнее, важное замечание о крысах - это не просто инструменты краткосрочной финансовой выгоды со стороны киберпреступников. В то время как вымогатели и криптоминеры предоставили хакерам множество способов для выполнения быстрых и прибыльных атак, вы не можете забыть об опасностях продвинутых постоянных угроз (APT).
Компрометация одной машины с трояном удаленного доступа может быть только началом атаки. Поскольку обнаружить RAT так сложно, бэкдоры могут оставаться открытыми в течение длительных периодов времени. Это дает злоумышленникам возможность скомпрометировать другие устройства, выполнить боковое перемещение внутри вашей сети и отфильтровать дополнительные конфиденциальные данные, что приведет к более дорогостоящим инцидентам.
Не позволяйте RAT открыть вашу организацию риску утечки данных на несколько миллионов долларов. Примите все необходимые меры, чтобы подготовить свою рабочую силу к этим угрозам и укрепить свои системы, чтобы противостоять человеческим ошибкам, которые создают уязвимости для использования RAT.