远程访问木马的那些事

admin 2022年10月26日09:29:56评论224 views字数 2248阅读7分29秒阅读模式


 

序言



远程访问木马它是攻击者用来获得完全管理权限和远程控制目标计算机的恶意软件。远程访问木马通常与看似合法的用户请求的程序一起捆绑下载,或者通过网络钓鱼电子邮件作为电子邮件附件发送到目标。


远程访问木马它属于特洛伊木马病毒家族,专门设计用于将自己伪装成合法内容。一旦主机系统被入侵,入侵者就会使用后门来控制主机,或者他们可能会将远程访问木马分发给其他易受攻击的计算机并建立僵尸网络。


 

工作原理



远程访问木马通常使用利用工具包(例如 Metasploit)部署为恶意负载。当安装工具包后, 远程访问木马会自动连接到攻击者所控制的命令和控制服务器。攻击者通过破坏目标设备上的开放TCP端口来实现此连接。


还可以通过网络钓鱼电子邮件、下载包、Web链接或 torrent文件安装远程访问木马。用户被欺骗通过社会工程策略下载恶意文件,或者威胁参与者在获得对受害者机器的物理访问权限后安装它。


远程木马通常会出现以下这些操作:

1、通过键盘记录器和间谍软件监控用户行为,例如击键。

2、访问机密信息,例如信用卡和社会安全号码。

3、激活系统的网络摄像头并录制视频。

4、截屏。

5、分发病毒和恶意软件,以及启动勒索软件

6、格式化驱动器。

7、删除、下载或更改文件和文件系统。

 

威胁


 

远程访问木马是相对难以检测,因为它们通常不会出现在正在运行的程序或任务列表中。它们执行的操作可能类似于合法应用程序的操作。此外,入侵者通常会管理资源使用级别,以便性能下降不会提醒用户出现问题。


与其他网络安全威胁载体不同,远程访问木马即使从系统中移除后也很危险。他们可以通过键盘记录和屏幕截图来修改文件和硬盘驱动器、更改数据以及记录用户密码和代码,所有这些都可以产生持久的影响。


以下是远程访问木马可能危及用户、系统和公司的一些方式:


1、间谍和勒索企图。通过部署远程访问木马,威胁参与者可以访问受害者的智能手机摄像头和麦克风,并损害他们的隐私。他们可以拍摄用户及其周围环境的照片,以进行进一步的攻击或勒索用户达成某种协议,例如提供赎金或绝密数据。


2、加密采矿。威胁参与者通常使用远程访问木马在受害者的计算机上挖掘比特币和其他加密货币。攻击者可以通过在众多设备上传播远程访问木马来产生可观的收益。


3、分布式拒绝服务 (DDoS) 攻击。部署在大量设备上的远程访问木马可用于通过伪造流量淹没目标服务器来执行DDoS 攻击。尽管 DDoS 攻击可能会导致性能下降,但用户通常不知道他们的设备正在被用于执行此类攻击。


4、远程文件存储。为了确保他们的帐户和操作不会被当局关闭,网络犯罪分子可能会使用远程访问木马将非法内容存储在受害者的设备上,而不是存储在他们的存储服务器上。


5、工业系统妥协。威胁行为者通常会部署远程访问木马来控制大型工业系统,例如水和电。这些网络攻击的目标是对工业机械造成广泛破坏,并破坏某些地理区域的关键服务。

 

防范措施


 


1、断开设备

检测到可疑活动或存在 远程访问木马后要采取的第一步是断开设备与网络的连接。这通过从攻击者切断已安装 它 的远程连接来防止额外的恶意活动。


2、更新防病毒和防火墙

保持防病毒软件和防火墙处于最新状态,并避免下载程序或打开不是来自受信任来源的附件。在管理级别,阻止未使用的端口,关闭空闲服务并监控传出流量。


3、部署多因素身份验证

多因素身份验证 ( MFA ) 提供了额外的安全层,因为在服务授予访问权限之前需要两个或更多身份验证器。由于大多数 RAT 都试图窃取用户名和密码,因此在整个组织中设置和执行 MFA 是一种重要的防御机制。


4、避免可疑的链接和附件

网络钓鱼电子邮件诱使毫无戒心的用户打开它们。一旦打开恶意链接或附件,它就可以秘密地将恶意软件和 RAT 分发到受感染的系统上。应向组织内的所有用户提供安全意识培训,以便他们轻松发现网络钓鱼电子邮件并避免下载恶意文件和附件。


5、系统更新最新升级

操作系统 (OS) 应始终使用最新更新进行修补,因为它们包含针对最近观察到的漏洞、漏洞利用、错误和恶意软件(包括 RAT)的修复。


6、使用入侵检测系统

入侵检测系统 ( IDS ) 用于监控网络流量以及检测网络中的异常或可疑活动。尽管许多 RAT 已经演变为避免检测,但某些 IDS 和高级持续威胁 ( APT ) 工具可能是有益的,因为它们可以检测异常的行为模式,例如键盘和鼠标的异常行为或自行提示命令。


7、采用最小特权原则

最小特权原则 ( POLP ) 是一种计算机安全概念,它促进对系统和资源的最小访问。最初授予作业所需的最少权限,并根据需要进行扩展。有限的访问权限可以成为威胁参与者完全控制系统的障碍。

 

检测方案


 

远程访问木马它擅长逃避检测,即使是强大的防病毒软件也可能会检测不到它们。虽然只有特定的扫描可能会检测到远程访问木马的存在,但在搜索检测远程访问木马时应重点关以下5个迹象:


1、防病毒程序失败,不断崩溃或响应缓慢的防病毒程序可能表示感染。


2、系统性能缓慢,它在后台运行并消耗大量处理能力。在没有任何明显原因的情况下运行速度相当慢的计算机可能被远程木马感染。


3、网站重定向,如果浏览器请求不断被重定向或网页未加载,则可能是它感染的迹象。


4、无法识别的文件,任何看起来无法识别或用户未下载或安装的文件或程序都应仔细观察,因为它们可能与木马病毒相关联。


5、可操作的网络摄像头,当程序访问网络摄像头时,网络摄像头上的指示灯通常会亮起,例如视频会议应用程序。但是,如果网络摄像头指示灯无故亮起,则可能是它感染的迹象。

 

阅读完毕 


 

原文始发于微信公众号(安全架构):远程访问木马的那些事

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年10月26日09:29:56
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   远程访问木马的那些事http://cn-sec.com/archives/1372225.html

发表评论

匿名网友 填写信息