什么是远程访问木马?预防、检测和清除

(Remote Access Trojans)事实证明,远程访问木马( RAT ) 在劫持计算机或与朋友恶作剧时对这个世界构成巨大风险。(RAT)RAT是恶意软件,可让操作员攻击(operator attack)计算机并获得未经授权的远程访问。RAT(RATs)已经存在多年,并且它们一直存在,因为即使对于现代防病毒软件来说,找到一些(Antivirus software)RAT(RATs)也是一项艰巨的任务。

在这篇文章中,我们将了解什么是远程访问木马,并讨论(Access Trojan and talks)可用的检测和删除技术(detection & removal techniques)。简而言之,它还解释了一些常见的RAT(RATs) ,如Cyber​​Gate(DarkComet)DarkComet(CyberGate)OptixSharkHavexComRat、  VorteX RatSakula 和 KjW0rm(Sakula and KjW0rm)

什么是远程访问木马

远程访问木马

大多数远程访问特洛伊木马(Remote Access Trojan)都是通过恶意电子邮件、未经授权的程序和 Web 链接下载的,让您无处可去。RAT(RATs)不像键盘(Keylogger)记录程序那样简单——它们为攻击者提供了许多功能,例如:

  • 键盘记录(Keylogging):可以监控您的击键,并从中恢复用户名、密码和其他敏感信息。
  • 屏幕(Screen Capture)截图:可以获取屏幕截图以查看您的计算机上发生了什么。
  • 硬件媒体捕获(Hardware Media Capture):RAT 可以访问您的网络摄像头和麦克风,以完全侵犯隐私来记录您和您的周围环境。
  • 管理权限(Administration Rights):攻击者可以在未经您许可的情况下更改任何设置、修改注册表值并对您的计算机进行更多操作。RAT可以为攻击者提供管理员级别的权限。
  • 超频(Overclocking):攻击者可能会提高处理器速度,超频系统会损坏硬件组件并最终将它们烧成灰烬。
  • 其他特定于系统的功能(Other system-specific capabilitie):攻击者可以访问您计算机上的任何内容、文件、密码、聊天和任何内容。

远程访问木马如何工作

远程访问(Remote Access) 木马(Trojans)采用服务器-客户端配置,其中服务器秘密安装在受害 PC(victim PC)上,客户端可用于通过GUI命令界面访问(command interface)受害 PC(victim PC)服务器和客户端(server and client)之间的链接在特定端口上打开,服务器和客户端之间可以进行加密或明文通信。如果正确监控网络和(network and packets)发送/接收的数据包,则可以识别和删除RAT 。(RATs)

RAT 攻击预防

RAT(RATs)通过垃圾邮件、恶意程序软件或作为其他(spam emails)软件或应用程序(software or application)的一部分打包到计算机中。您必须始终在计算机上安装能够检测和消除RAT的良好(RATs)防病毒程序(antivirus program)。检测RAT(RATs)是一项相当艰巨的任务,因为它们以随机名称(random name)安装,可能看起来像任何其他常见应用程序,因此您需要有一个非常好的防病毒程序(Antivirus program)

监控您的网络(Monitoring your network)也是检测任何通过 Internet 发送您的个人数据的木马的好方法。(Trojan)

如果您不使用(t use) 远程管理工具(Remote Administration Tools),请禁用(disable Remote Assistance connections)与您计算机的远程协助连接。您将在SystemProperties > Remote tab > Uncheck 允许远程协助连接到此计算机(Allow Remote Assistance connections to this computer)选项中获得设置。

随时更新您的操作系统(operating system)、已安装的软件,尤其是安全程序(security programs updated)。此外,尽量不要点击您不信任(t trust)且来源不明的电子邮件。请勿从其官网或镜像(website or mirror)以外的来源下载任何软件。

在 RAT 攻击之后

一旦您知道自己受到了攻击,第一步就是断开您的系统与Internet网络(Network)(如果已连接)的连接。更改(Change)您的所有密码和其他敏感信息,并检查您的任何帐户是否已使用另一台干净的计算机被盗用。检查您的银行账户是否有任何欺诈性交易,并立即通知您的银行您计算机中的木马(Trojan)。然后扫描计算机以查找问题并寻求专业帮助(professional help)以删除RAT。考虑关闭端口 80(Port 80)。使用防火墙端口扫描程序(Firewall Port Scanner)检查所有端口。

您甚至可以尝试回溯并知道谁是攻击的幕后黑手,但您需要专业的帮助。一旦检测到 RAT,通常可以将其删除,或者您可以全新安装Windows以将其完全删除。

常见的远程访问木马

许多远程访问(Remote Access) 木马(Trojans)目前处于活动状态,并感染了数百万台设备。本文讨论了最臭名昭著的那些:

  1. Sub7 :通过向后拼写NetBus(一种较旧的RAT )衍生的“Sub7”是一种免费的(RAT)远程管理工具(remote administration tool),可让您控制主机 PC(host PC)。该工具已被安全专家归类为特洛伊木马,将其安装在您的计算机上可能存在潜在风险。
  2. Back Orifice:Back Orifice及其继任者 Back Orifice 2000(successor Back Orifice 2000)是一款免费工具,最初是为远程管理而设计的——(administration –)但它并没有花时间将该工具转换为远程访问特洛伊木马(Access Trojan)。该工具是否为特洛伊木马(Trojan)存在争议,但开发人员坚持认为它是提供远程管理访问(administration access)的合法工具这一事实。该程序现在被大多数防病毒程序识别为恶意软件。
  3. DarkComet:它是一个非常可扩展的远程管理工具(administration tool),具有许多可能用于间谍活动的功能。该工具还与叙利亚内战(Civil War)有关,据报道政府(Government)使用该工具监视平民。该工具已被大量滥用,开发人员已停止进一步开发。
  4. sharK:它是一个先进的远程管理工具(administration tool)。不适合初学者和业余黑客。据说它是安全专业人员和高级用户的工具。
  5. Havex:该木马已被广泛用于工业领域。它收集信息,包括任何工业控制系统(Industrial Control System)的存在,然后将相同的信息传递到远程网站。
  6. Sakula:一种远程访问木马(Trojan),包含在您选择的安装程序中。它将描述它正在您的计算机上安装一些工具,但会同时安装恶意软件。
  7. KjW0rm:该木马(Trojan)具有许多功能,但已被许多防病毒(Antivirus)工具标记为威胁。

这些远程访问木马(Remote Access Trojan)已帮助许多黑客入侵了数百万台计算机。必须对这些工具进行保护,并且只需一个具有警报用户的良好安全程序就可以防止这些特洛伊木马危害您的计算机。(security program)

这篇文章旨在成为一篇关于RAT(RATs)的信息性文章,并不以任何方式宣传它们的使用。无论如何,在您所在的国家/地区可能有一些关于使用此类工具的法律。

在此处阅读有关远程管理工具(Remote Administration Tools)的更多信息。



About the author

我是一名硬件工程师,拥有超过 10 年的 IOS 和 MacOS 系统工作经验。在过去的 5 年里,我也是一名夜班老师,并且自学了如何使用 Google Chrome。我在这两个领域的技能使我成为网站开发、图形设计或网络安全工作的完美人选。



Related posts