Как создать вирус удаленного доступа
Предупреждение! Всё ниже описанное я не призываю исполнять и повторять, а лишь рассказываю и обучаю, чтобы вы могли знать как собран механизм взлома/обмана/и т.п.
Предупреждение2! Некоторые ниже описанные программы детектятся антивирусами как Trojan/HackTool. Здесь присутствует логика антивирусов, т.к. фактически это программы для того же самого взлома. Я никого не хочу тут запичкать троянами и т.п. так что ваш выбор доверять мне или нет. Можете просто погуглить на счёт этих программ, посмотреть пару видео и т.д.
В данной статье зайдёт речь о создании вируса. Давайте сначала разберёмся что такое RAT. Это естественно вирус-троян, который запускается с помощью управления удалённого доступа. Если компьютер жертвы заражён данным вирусом, на нём могут происходить совершенно любые операции, которые захочет сам хакер. Крэкер может что угодно скрытно грузить на комп жертвы, например для использования как точки DDoS-атаки или просто использовать чужой комп как "лабораторную крысу" создавая или качая программы для уязвимой машины.
С понятием RAT'ника разобрались. Теперь начнём создание данного трояна.
Я оставлю ссылку на Яндекс.Диск (в конце статьи) через которую вы сможете скачать данные для билда вируса.
1) Начнём с папки "Отправка данных на почту". Вписываете свою почту на которую в дальнейшем будут приходить уведомления о подключении к жертве. Создайте новую почту для всего этого. Желательно создавать именно @mail.ru, т.к. с gmail, yandex и т.д. я не пробовал. Создастся файл "regedit.reg", сохраняем эту программу, она в будущем пригодится.
2) Открываем папку "Создание RMS". RMS- это сам удалённый доступ, но как понимаете это легальная программа требующая всегда подтверждение с обоих сторон для использования этой функции. Устанавливаете эти два файла.
3) Заходим в папку "Данные для создания вируса". Там будет 6 файлов, туда же кидаем наш "regedit.reg" файл.
Далее выделяете все 7 файлов и добавляете их в архив.
-Переименовываете (например 571.exe)
-Ставите метод сжатия: Максимальный
-Ставите галочку напротив: "создать SFX-архив
Дополнительно: Параметры SFX
-Выбираете путь для распаковки, например C:\Program Files\Games
-Выполнить после распаковки: (прописываете в данном окне) install.vbs
-Ставите галочку напротив: "Скрыть всё"
-Ставите галочки напротив пунктов: "Извлечь и обновить файлы" и "Перезаписывать все файлы без запроса" (т.е. галочки напротив двух пунктов "2")
Текст и графика(не обязательно, но для маскировки более-менее пойдёт):
-Загрузить значок SFX из файла: загружаете .ico файл.
Создастся файл 571.exe, который уже является полноценным RAT-вирусом.
Чтобы просмотреть активированный вирус на другой машине нужно в первую очередь получить ID, который будет отправлен вам на почту при включении данного RAT'ника. Далее заходим с созданную RMS и нажимаем "Добавить соединение". Имя пользователя вводить не нужно, а пароль от всех подключений будет "12345". Всё.
Запустив вирус 571.exe, в папке C:\Program Files\Games появятся 7 файлов. Чтобы удалить эти файлы нужно будет отыскать в Диспетчере задач (Ctrl+Shift+Esc) 3 процесса: rfuclient.exe, rfuclient.exe *32, rutserv.exe *32. Далее отключить их и уже можно будет просто-напросто удалить распакованные файлы.
Нужные файлы для создания RAT'ника:
Надеюсь вам понравилось, в дальнейшем буду опубликовывать более интересные статьи по данной тематике.
Гляди ты, дело "Зверь-CD" все еще процветает, не перевелись школьники-хакеры на Руси.
это все на компе жертвы делать надо?)
Наличие этих файлов в системе позволяло обмануть малварь, заставив GandCrab считать, что этот компьютер уже был заражен ранее.
Журналисты Bleeping Computer сообщают, что в ответ на это разработчик GandCrab решил объявить исследователям войну. Вирусописатель, скрывающийся под псевдонимом Crabs, вышел на связь с изданием и заявил, что обнаруженный аналитиками AhnLab способ защиты был актуален лишь на протяжении пары часов, после чего была выпущена новая версия шифровальщика. Хуже того, Crabs сообщил, что нашел баг в антивирусе AhnLab v3 Lite и намерен его использовать.
Журналисты Bleeping Computer не собирались придавать это огласке, пока инженеры AhnLab не проверят разработку вирусописателя и, если потребуется, не выпустят патч. Однако в конце прошлой недели эксперт Malwarebytes публично сообщил об обнаружении новых версий GandCrab (4.2.1 и 4.3), в коде которых был замечен тот самый эксплоит для продукции AhnLab (с комментарием «привет AhnLab, счет — 1:1″).
Но один из директоров AhnLab объяснил изданию, что код, интегрированный в GandCrab 4.2.1 и 4.3, выполняется уже после исполнения самой малвари и заражения нормальных файлов. То есть антивирус AhnLab обнаруживает и нейтрализует малварь задолго до того, как та попытается воспользоваться DOS-эксплоитом. В итоге шансы на успешное срабатывание эксплоита крайне малы. При этом разработчики подчеркивают, что Crabs не обнаружил какой-то страшный 0-day баг, и вряд ли его способ позволяет исполнить какой-либо дополнительный пейлоад.
Обнаружен троян для Android ворующий данные из Facebook Messenger, Skype, Telegram, Twitter.
Аналитики Trustlook Labs обнаружили трояна для Android, который похищает данные из популярных мобильных мессенджеров, включая Facebook Messenger, Skype, Telegram, Twitter и так далее.
Изучение вредоноса показало, что он весьма прост, но при этом и эффективен. Так, после установки вредоносного приложения, троян сначала пытается внести изменения в файл /system/etc/install-recovery.sh. Если операция проходит успешно, это гарантирует малвари устойчивое присутствие в системе и запуск после каждой перезагрузки.
Tencent WeChat;
Weibo;
Voxer Walkie Talkie Messenger;
Telegram Messenger;
Gruveo Magic Call;
Twitter;
Line;
Coco;
BeeTalk;
TalkBox Voice Messenger;
Viber;
Momo;
Facebook Messenger;
Новый RAT использует протокол Telegram для кражи данных жертв
На портале GitHub был опубликован исходный код нового трояна для удаленного доступа (RAT), использующего протокол Telegram для хищения информации с инфицированных устройств.
Как утверждает разработчик инструмента, основная проблема большинства существующих на сегодняшний день RAT заключается в том, что они не используют шифрование и их операторы вынуждены настраивать переадресацию портов на устройстве жертвы для управления инфицированным компьютером. Вирусописатель решил исправить это упущение и представил собственный инструмент под названием RATAttack, который устанавливает зашифрованный канал между оператором и жертвой, используя протокол Telegram.
Прежде, чем начинать атаку, владелец RATAttack должен создать бот Telegram и встроить его токен (ключ) в конфигурационный файл трояна. Таким образом все инфицированные устройства будут подключаться к каналу бота и атакующий получит возможность отправлять простые команды для управления RATAttack на зараженном компьютере.
Троян может действовать в качестве кейлоггера, собирать данные об установленной версии ОС Windows, процессоре и т.д., IP-адресе и приблизительном местоположении хоста, отображать сообщения, загружать и выгружать различные файлы, делать скриншоты, исполнять любые файлы на целевом компьютере, делать снимки с web-камеры, копировать, перемещать и удалять файлы, а также запускать процесс самоуничтожения.
По данным ресурса BleepingComputer, разработчик RATAttack не рекламировал троян на каких-либо хакерских форумах и опубликовал код только на GitHub. В настоящее время он уже удален с портала.
Программ для организации удаленного доступа достаточно много. Есть платные и бесплатные программы, есть программы для разных операционных систем. Понятно, что в этой статье мы не сможем рассмотреть все сразу, но поговорим о самых интересных из них, а главное — поймем что эффективнее для той или иной задачи.
Radmin (shareware)
Лет десять назад самой популярной программой для удаленного доступа была Radmin, она и сейчас есть (www.radmin.ru) — она никуда не подевалась за это время. С нее и начнем обзор.
Программа состоит из двух частей: Server и Viewer. Первая запускается на удаленном компьютере (или удаленных компьютерах), а вторая — на твоем компьютере и используется для подключения к удаленным машинам, которые ты собираешься настраивать. На сайте разработчиков можно скачать как полный комплект, так и отдельные компоненты. Также есть portable-версия Viewer, работающая без установки, и версия Radmin Server 3.5 NTI — это специальная версия без пиктограммы в трее, то есть пользователь удаленного компа и не узнает, что на нем установлена Radmin, пока ты не начнешь управлять его компьютером.
Рис. 2. Radmin Viewer
Отмечу ключевые возможности: поддержка Windows 8 32/64 bit, поддержка переключения сессий пользователей в Windows XP/Vista/7/8, совместимость с Wine (Radmin может организовать удаленный доступ к ПК под управлением Linux через Wine), поддержка Telnet, удаленное выключение ПК, сканер серверов Radmin (позволяет найти все ПК, которыми ты можешь управлять в своей сети), передача файлов между Server и Viewer.
Рис. 3. Брандмауэр заблокировал попытку подключения
TeamViewer (freeware)
Рис. 4. TeamViewer запущен
Рис. 5. TeamViewer в действии
Есть еще одна программа, о которой ты должен знать: TeamViewer Host. Она запускается как системная служба и используется для круглосуточного доступа к удаленному компу, включая вход в систему / выход из нее. Получается, что TeamViewer Host позволяет организовать сервер терминалов, причем он поддерживает неограниченное число клиентов для одного сервера (число клиентов ограничено только вычислительными возможностями твоего компа). Также нужно отметить, что для установки TeamViewer Host нужны права администратора, которые не всегда есть, поэтому все равно в большинстве случаев будешь пользоваться обычным TeamViewer. Однако если нужно настроить всего один комп (или просто организовать к нему удаленный доступ, скажем из дому), то TeamViewer Host не нужен. Ради справедливости нужно отметить, что если на компьютере А запущен обычный TeamViewer (не Host), то к нему могут подключиться компы Б, В, Г (число три приведено для примера) для совместного администрирования. Другое дело, что нужно согласовывать действия администраторов, поскольку клавиатура и мышь общие, но один может настраивать, остальные будут наблюдать.
- Простота (программа проще, чем Radmin, — огромное преимущество для неподготовленных пользователей, которым придется установить ее на удаленной стороне).
- Программа полностью не требует установки: как на клиенте, так и на сервере. Установка производится по желанию.
- Работает через порт 80 (и еще некоторые дополнительные порты), благодаря чему не требует настройки брандмауэра.
- Наличие версий для других ОС.
- Наличие мобильных клиентов для Android, iOS и Windows Phone 8 (то есть ты можешь управлять удаленным компом прямо со своего iPad).
- Возможность организации интерактивных конференций (до 25 участников).
- Не требует прав администратора для удаленного доступа.
- Грузит процессор заметно больше, чем Radmin, мой старенький ноут даже перегрелся и выключился.
- Мобильные клиенты хоть и есть, но они не очень удобны (впрочем, это лучше, чем ничего).
Royal TS (shareware)
Когда-то была такая программулина — mRemote. Не знаю, что там произошло, но проект mRemote был закрыт, а разработчики взяли и создали другой проект — Royal TS. На сайте ты найдешь версии для Windows, OS X и iOS (можно запускать с iPhone и iPad).
В Royal TS перед созданием подключения нужно создать документ, то есть одно подключение = один документ. Документы Royal TS весьма удобная штука, их можно передавать как обычные файлы, например другому админу. Он сможет открыть такой документ и сразу подключиться к удаленному компу без необходимости создавать соединение вручную. У shareware-версии есть ограничение на число одновременно открытых документов — десять. Как по мне, то этого вполне достаточно для некоммерческого использования программы, поэтому на практике ты даже не заметишь, что тебе чего-то не хватает (если, конечно, ты не администрируешь удаленно огромную сеть компов).
Первым делом нужно сказать, что эта программа кардинально отличается от Radmin и TeamViewer. Обе эти программы сочетают в себе функциональность как сервера, так и клиента (в случае с Radmin сервер и клиент — это разные программы, в случае с TeamViewer — одна и та же программа). Другими словами, на одном из компьютеров ты можешь установить Radmin Server или TeamViewer, а на другом использовать Radmin Viewer или TeamViewer соответственно для подключения к этому удаленному компу. Так вот, Royal TS — это что-то наподобие Radmin Viewer, то есть программа для подключения к удаленному серверу, но вот сервер придется создавать своими силами. Как ты это сделаешь — твои проблемы. Royal TS не поможет тебе создать такой сервер, а только даст подключиться к нему.
Рис. 6. Royal TS для Windows
Среди протоколов подключения к удаленному серверу, которые поддерживает Royal TS: RDP, Telnet, SSH, Citrix, VNC. Сами же серверы RDP/Telnet/SSH и прочие придется настраивать самостоятельно.
С одной стороны, это выходит за рамки статьи, с другой — она была бы неполной, если бы я не привел пример настройки хотя бы одного из серверов, которые поддерживает Royal TS. SSH/Telnet-серверы, думаю, читателю будут не очень интересны. Хочется чего-то графического. Пусть у нас есть Linux (Ubuntu или ее клон) и нужно настроить VNC-сервер. Для этого сначала установим VNC-сервер командой:
После этого нужно его запустить — в первый раз без параметров:
В процессе запуска команды sudo vnc4server нужно ввести пароль, который будет использоваться для подключения к этому VNC-серверу. Сам пароль будет сохранен в $HOME/.vnc/passwd. Больше не скажу ни слова — есть man :). После первого запуска нужно запустить vnc4server, указав номер экрана:
Далее в Royal TS нужно создать новый документ (на вкладке File), далее перейти на вкладку Edit и нажать кнопку VNC. В появившемся окне (рис. 7) нужно ввести имя дисплея (Display Name) — в нашем случае :3, IP-адрес VNC-сервера и указать номер порта (обычно 5900). Пароль будет запрошен при подключении к серверу.
Рис. 7. Параметры подключения к VNC
- Универсальный клиент для подключения к удаленному серверу по различным протоколам.
- Есть версии для Windows, OS X и iOS.
- Невозможно организовать удаленный доступ только средствами Royal TS, нужны дополнительные программы.
- Не подходит для удаленной настройки компьютеров неопытных пользователей — они просто не смогут настроить необходимые службы удаленного доступа.
Supremo: бесплатно и просто (freeware)
Давай проанализируем ситуацию. Если тебе не нравится TeamViewer или ты не можешь его использовать по некоторым причинам (в том числе и из-за необходимости покупки лицензии для коммерческого использования), а Radmin тоже не подходит по каким-либо причинам, то придется искать аналоги. Раз в статье идет речь о простых и бесплатных программах, то нужно, чтобы следующая программа была: а) бесплатной; б) простой. Такой является программа Supremo, которую можно скачать с сайта.
Настраиваемый компьютер и компьютер специалиста поддержки должны работать под управлением только Windows. Поддерживаются разные выпуски Windows, в том числе Windows 7 и Windows Server 2008 R2. О поддержке Windows 8 и Windows Server 2012 на официальном сайте пока ничего не сказано.
Рис. 8. Программа Supremo
Рис. 9. Параметры безопасности Supremo
Рис. 10. Параметры соединения Supremo
Кроме своего прямого назначения, а именно удаленного управления компьютером, программа может использоваться для обмена файлами. Для обмена файлами (который возможен в двух направлениях — как скачивание, так и закачка) просто используй drag & drop.
- Проста в использовании.
- Не требует установки.
- Возможность передачи файлов.
- Возможность чата.
- Не требует настройки брандмауэра (используется HTTPS/SSL).
- Нет поддержки других ОС, кроме Windows.
- Нет мобильных клиентов.
Лично мне понравились функции копирования и вставки данных между компьютерами, а также функция перезагрузки: в процессе настройки компьютера иногда требуется его перезагрузка, после которой будет автоматически восстановлен сеанс удаленного доступа, что очень удобно.
Рис. 11. Основное окно LogMeIn
Рис. 12. Как подключиться к этому ПК
Рис. 13. Управление удаленным компьютером через браузер
- Не требует прав администратора.
- Не требует настройки брандмауэра.
- Возможность использования браузера для удаленного управления.
- Мобильные клиенты.
- Несколько необычный принцип работы.
Mosh (mobile shell): хорошая альтернатива для SSH
Mosh тоже можно использовать для удаленного доступа к консоли (то есть ты сможешь удаленно выполнять команды и будешь видеть их результат). Основное преимущество Mosh над SSH — возможность роуминга, то есть смены сети на клиентской машине, что полезно в дороге, когда сеть может меняться (сейчас она сотовая, через несколько минут — Wi-Fi, при этом меняется IP, но соединение остается). Часто путешествующие админы оценят это по достоинству. Но есть один большой недостаток: к обычному SSH-серверу Mosh не подключится, то есть на сервере придется устанавливать Mosh. Зато Mosh работает не в виде демона, как SSH, а как обычная программа, то есть для ее запуска не нужен root-доступ. Mosh доступен для многих дистрибутивов Linux и BSD, OS X, iOS (в составе популярного клиента iSSH) и Android.
UltraVNC/RealVNC
VNC (Virtual Network Computing) — система удаленного доступа к рабочему столу компьютера, использующая протокол RFB (Remote FrameBuffer). Ранее было показано, как организовать VNC-сервер в Linux, в Windows такой сервер можно создать средствами программ UltraVNCили RealVNC. Программа UltraVNC подобна RealVNC, но обладает дополнительными возможностями вроде шифрования соединения между клиентом и сервером, модуля Java Viewer (доступ к удаленному ПК через браузер с поддержкой Java) и других. Хотя у RealVNC есть плагин VNC Viewer для Google Chrome, поэтому нет необходимости в Java Viewer. Как уже было отмечено, программы во многом подобны, поэтому в этой статье мы рассмотрим только UltraVNC.
Для подключения к VNC-серверу используется программа UltraVNC Viewer. Программа универсальна, и ты можешь использовать ее для подключения к любому VNC-серверу, а не только к тому, на котором запущен UltraVNC Server. Аналогично к серверу, созданному программой UltraVNC Server, можно подключиться программой RoyalTS или любым другим VNC-клиентом.
Пару слов о том, как это все работает. Сначала запускаем программу UltraVNC Edit Settings и на вкладке Security задаем пароль для доступа к VNC-серверу, затем нужно запустить программу UltraVNC Server. После на другом компьютере запускаем UltraVNC Viewer (рис. 14) и вводим IP компа, на котором установлен VNC-сервер, и нажимаем кнопку Connect.
Рис. 14. UltraVNC Viewer
- Нужны права админа, нужно настраивать брандмауэр.
- Один и тот же протокол можно использовать для управления Windows, OS X и Linux, но это преимущества не конкретной программы, а самой VNC.
SSH-доступ
Ammyy Admin (freeware)
AnywhereTS (freeware)
Удаленный доступ в Windows 8
Рис. 15. Разрешение удаленного доступа
Google Hangouts: шеринг экрана и видеоконференции
Как крайнюю меру можно использовать новый сервис от Google — Hangouts. Он позволяет устраивать видеовстречи, во время которых пользователи могут демонстрировать друг другу свой экран. При желании можешь ознакомиться с этим сервисом самостоятельно.
stay tune stay secure
Троянец удаленного доступа, или RAT, является одним из самых вредоносных типов вредоносных программ, о которых только можно подумать.
Они могут нанести всевозможные повреждения, а также могут быть ответственны за дорогостоящие потери данных.
С ними нужно активно бороться, потому что, помимо того, что они очень опасны, они довольно распространены.
Сегодня мы сделаем все возможное, чтобы объяснить, что они из себя представляют и как они работают, а также дадим вам знать, что можно сделать, чтобы защититься от них.
Мы начнем наше обсуждение сегодня с объяснения того, что такое RAT.
Мы не будем углубляться в технические детали, но сделаем все возможное, чтобы объяснить, как они работают и как они к вам попадают.
Далее, стараясь не показаться слишком параноидальным, мы увидим, что RAT можно рассматривать почти как оружие.
На самом деле, некоторые из них были использованы как таковые.
После этого мы представим несколько самых известных RAT.
Это даст вам лучшее представление о том, на что они способны.
Затем мы увидим, как можно использовать инструменты обнаружения вторжений для защиты от RAT, и рассмотрим некоторые из лучших из этих инструментов.
Троян удаленного доступа — это разновидность вредоносного ПО, которое позволяет хакеру удаленно (отсюда и название) получить контроль над компьютером.
Давайте проанализируем имя.
Троянская часть рассказывает о том, как распространяется вредоносное ПО.
Это относится к древнегреческой истории о троянском коне, который Улисс построил, чтобы вернуть город Трою, который был осажден в течение десяти лет.
В контексте компьютерного вредоносного ПО, троянский конь (или просто троян) представляет собой вредоносное ПО, распространяемое как-то еще.
Например, игра, которую вы загружаете и устанавливаете на свой компьютер, на самом деле может быть троянским конем и содержать некоторый вредоносный код.
Что касается удаленного доступа RAT, то это связано с тем, что делает вредоносная программа.
Проще говоря, это позволяет его автору иметь удаленный доступ к зараженному компьютеру.
И когда он получает удаленный доступ, у него практически нет ограничений на то, что он может сделать.
Это может варьироваться от изучения вашей файловой системы, просмотра ваших действий на экране, сбора ваших учетных данных для входа в систему или шифрования ваших файлов, чтобы затем потребовать выкуп.
Он также может украсть ваши данные или, что еще хуже, данные вашего клиента.
После установки RAT ваш компьютер может стать концентратором, откуда атаки будут запущены на другие компьютеры в локальной сети, что позволит обойти любую защиту периметра.
К сожалению, rat существуют уже более десяти лет.
Считается, что эта технология сыграла свою роль в широкомасштабном разграблении американской технологии китайскими хакерами еще в 2003 году.
Расследование в Пентагоне выявило кражу данных у американских оборонных подрядчиков, причем секретные данные о разработке и испытаниях были переданы в места расположения в Китае.
Возможно, вы помните, как отключались энергосистемы на восточном побережье США в 2003 и 2008 годах.
Они также были прослежены в Китае и, по-видимому, им способствовали RAT.
Хакер, который может запустить RAT в систему, может воспользоваться любым программным обеспечением, которое есть в распоряжении пользователей зараженной системы, часто даже не замечая этого.
Злонамеренный разработчик RAT может взять под контроль электростанции, телефонные сети, ядерные объекты или газопроводы.
Таким образом, RAT не только представляют угрозу для корпоративной безопасности.
Они также могут позволить нациям атаковать вражескую страну.
Как таковые, их можно рассматривать как оружие.
Хакеры по всему миру используют RAT для слежки за компаниями и кражи их данных и денег.
Между тем проблема RAT теперь стала вопросом национальной безопасности для многих стран, в том числе России.
Первоначально использовавшаяся для промышленного шпионажа и саботажа китайскими хакерами, США стала ценить мощь RAT и интегрировала их в свой военный арсенал.
Давайте посмотрим на некоторые из самых известных RAT.
Наша идея здесь не в том, чтобы прославить их, а в том, чтобы дать вам представление о том, насколько они разнообразны.
Back Orifice — это американский RAT, который существует с 1998 года. Это своего рода дедушка RAT.
Первоначальная схема эксплуатировала уязвимость в Windows 98.
Более поздние версии, которые работали в более новых операционных системах Windows, назывались Back Orifice 2000 и Deep Back Orifice.
Эта RAT способна скрывать себя в операционной системе, что делает ее особенно трудной для обнаружения.
Однако сегодня большинство систем защиты от вирусов используют в качестве сигнатур исполняемые файлы Back Orifice и поведение окклюзии.
Отличительной особенностью этого программного обеспечения является то, что оно имеет простую в использовании консоль, которую злоумышленник может использовать для навигации и просмотра зараженной системы.
После установки эта серверная программа связывается с клиентской консолью по стандартным сетевым протоколам.
Например, известно, что используется номер порта 21337.
DarkComet был создан еще в 2008 году французским хакером Жаном-Пьером Лесуэром, но привлек внимание сообщества кибербезопасности только в 2012 году, когда было обнаружено, что африканское хакерское подразделение использует эту систему для нацеливания на правительство и вооруженные силы США.
DarkComet характеризуется простым в использовании интерфейсом, который позволяет пользователям, практически не имеющим технических навыков, выполнять хакерские атаки.
Это позволяет шпионить через кейлоггинг, захват экрана и сбор пароля.
Управляющий хакер также может управлять функциями питания удаленного компьютера, позволяя включать или выключать компьютер удаленно. Сетевые функции зараженного компьютера также можно использовать для использования компьютера в качестве прокси-сервера и маскировки его личности во время рейдов на других компьютерах. Проект DarkComet был заброшен его разработчиком в 2014 году, когда было обнаружено, что он используется сирийским правительством, чтобы шпионить за его гражданами.
Mirage — известная RAT, используемая спонсируемой государством китайской хакерской группой.
После очень активной шпионской кампании с 2009 по 2015 год группа замолчала.
Mirage был основным инструментом группы с 2012 года.
Обнаружение варианта Mirage, названного MirageFox в 2018 году, является намеком на то, что группа может вернуться в действие.
MirageFox был обнаружен в марте 2018 года, когда он использовался для слежки за правительственными подрядчиками Великобритании.
Что касается оригинальной Mirage RAT, она использовалась для атак на нефтяную компанию на Филиппинах, тайваньских военных, канадскую энергетическую компанию и другие цели в Бразилии, Израиле, Нигерии и Египте.
Этот RAT поставляется встроенным в PDF.
Открытие его приводит к выполнению скриптов, которые устанавливают RAT.
После установки его первое действие — отчитаться перед системой управления и контроля с проверкой возможностей зараженной системы.
Эта информация включает в себя скорость процессора, объем памяти и использование, имя системы и имя пользователя.
Антивирусное программное обеспечение иногда бесполезно себя ведет при обнаружении и предотвращении RAT.
Это связано отчасти с их природой.
Они прячутся как нечто совершенно законное.
По этой причине они часто лучше всего обнаруживаются системами, которые анализируют компьютеры на предмет ненормального поведения.
Такие системы называются системами обнаружения вторжений IDS.
Мы искали на рынке лучшие системы обнаружения вторжений.
Наш список содержит набор добросовестных систем обнаружения вторжений и другого программного обеспечения, которое имеет компонент обнаружения вторжений или которое может использоваться для обнаружения попыток вторжения.
Как правило, они лучше идентифицируют трояны удаленного доступа, чем другие типы средств защиты от вредоносных программ.
Читайте также: