Hvordan oppdage og redusere Poison Ivy RAT malware-stil attacks

Spør eksperten!

Har du spørsmål om bedriften informasjon sikkerhetstrusler for ekspert Nick Lewis? Sende dem via e-post i dag! (Alle spørsmål er anonyme.)

Bedrifter har noen alternativer for å dempe virkningene av ekstern administrasjon verktøysett (rotter) innvirkning på deres nettverk. Men først, la oss undersøke hvorfor disse rotter, ikke ulikt den faktiske gnagere, er slik en plage.

fjernadministrasjon verktøysett er i hovedsak malware pakkene som ble opprettet av angripere til å plante på målet maskiner og ta kontroll over dem eksternt under dekke av en legitim ekstern støtte verktøyet. Usofistikert angripere laging sine egne rotter, slik som Poison Ivy RAT malware, er en relativt ny utvikling, selv om rotter i Windows har eksistert siden 1998. Trolig den mest kjente tidlig RAT er Back Orifice (BO) fra hackergruppen Cult of the Dead Cow. Back Orifice er et mer generelt RAT og kunne brukes til legitime ekstern støtte, men mange av de moderne rotter har blitt designet utelukkende for å unndra brannmurer og andre perimeter nettverk forsvar, og å omgå sikkerheten i det lokale systemet.

Men det er legitime rotter eller eksterne støtteverktøy som brukes jevnlig for å støtte eksterne arbeidere. Skillet mellom legitime og ondsinnede rotter er at en ondsinnet RAT er laget for å skjule seg fra oppdagelse, men legitime rotter har typisk varslinger sendt til den lokale brukeren indikerer bruk og for å sikre sluttbrukeren vet det er installert.

Bedrifter kan være lurt å anta at endepunktene står i fare for svekket av rotter og implementere nettverkskontroller for å kompensere for kompromittert endepunkter. Den minst tiltalende alternativ for blokkering av rotter er å ikke tillate Internett-tilgang, men dette vil mest sannsynlig ikke være rimelig i de fleste miljøer. Bedrifter kan tvinge all trafikk på Internett via en proxy-server, men en RAT kunne arbeide gjennom en proxy-server, avhengig av funksjonaliteten til RAT. Den RAT kan se ut som legitim HTTP trafikk og ikke bli oppdaget, men ved hjelp av en IDS, SEIM, og analyse av loggene, kan du være i stand til å oppdage trafikken. En antimalware enheten kan bli implementert som inkluderer RAT overvåking og styring i funksjonaliteten. Et foretak kan også bare sørge for at den har minimal påvisninger på plass gjennom en eksisterende IDS og oppdaterte signaturer. Anmeldelser



Previous:
Next Page: