Remote Access Trojan คืออะไร?
เทคนิคการป้องกัน การตรวจสอบ และการกำจัด
Remote Access Trojans (RAT) ได้แสดงให้เห็นแล้วว่า เป็นความเสี่ยงที่ยิ่งใหญ่ของโลกนี้ เมื่อพูดถึงการโจรกรรมข้อมูลคอมพิวเตอร์ หรือแค่เพียงเล่นตลกกับเพื่อน
RAT จัดเป็นซอฟต์แวร์ที่เป็นอันตราย ที่ช่วยให้ผู้ควบคุมเครื่องนั้น สามารถโจมตีคอมพิวเตอร์ และเข้าใช้งานจากระยะไกล (Remote) โดยไม่ได้รับอนุญาต
RAT มีมาหลายปีแล้ว และเราก็ขอยืนยันว่า การหา RATs บางอย่างนั้น เป็นงานที่ยากยิ่งสำหรับซอฟต์แวร์ Antivirus ที่ทันสมัยทุกยี่ห้อ
ในโพสต์นี้ เราจะเห็นสิ่งที่เป็น Remote Access Trojan และพูดคุยเกี่ยวกับเทคนิคการตรวจจับ และการกำจัด นอกจากนี้ยังอธิบายสั้นๆ เกี่ยวกับคุณลักษณะบางส่วนของ RATs ทั่วไป เช่น CyberGate, DarkComet, Optix, Shark, Havex, ComRat, VorteX Rat, Sakula และ KjW0rm
Remote Access Trojans
สำหรับ Remote Access Trojan ส่วนใหญ่จะพบมากในการดาวน์โหลดอีเมลที่เป็นอันตราย โปรแกรมที่ไม่ได้รับอนุญาต และเว็บลิงค์ที่จะพาคุณไปยังทุกที่
RAT มีพฤติกรรมไม่พบง่ายเหมือนโปรแกรม Keylogger พวกมันนั้นได้ให้ความสามารถกับผู้โจมตีมากมายเช่น:
คีย์ล็อกเกอร์
การกดแป้นพิมพ์ของคุณ สามารถตรวจสอบได้ โดยเฉพาะชื่อผู้ใช้งาน รหัสผ่าน และข้อมูลที่ละเอียดอ่อนอื่นๆ สามารถกู้คืนได้ หรือขโมยข้อมูลบางอย่างออกไป
การทำการแค็ปเจอร์หน้าจอ
สามารถถ่ายภาพหน้าจอ เพื่อดูว่าเกิดอะไรขึ้นกับคอมพิวเตอร์ของคุณ
การแค็ปเจอร์จากฮาร์ดแวร์ในอุปกรณ์ของคุณ
RATs สามารถเข้าถึงเว็บแคม และไมโครโฟนของคุณ เพื่อบันทึกวิดีโอของคุณ และสภาพแวดล้อมของคุณโดยสิ้นเชิง ซึ่งเป็นการละเมิดความเป็นส่วนตัวที่น่ากลั่วเป็นอย่างยิ่ง
สิทธ์ของผู้ดูแลระบบ
ผู้โจมตีอาจเปลี่ยนแปลงการตั้งค่า แก้ไขค่ารีจิสทรี และทำสิ่งต่างๆ ในคอมพิวเตอร์ของคุณได้มากขึ้น โดยไม่ได้รับอนุญาตจากคุณ RAT สามารถให้สิทธิ์ระดับผู้ดูแลระบบแก่ผู้โจมตี
การโอเวอร์คล็อกระบบ
ผู้โจมตีอาจทำการเพิ่มความเร็วหน่วยประมวลผลของคุณ การโอเวอร์คล็อกระบบอาจเป็นอันตรายต่อส่วนประกอบฮาร์ดแวร์ และในที่สุด ฮาร์ดแวร์ที่ทำงานเกินโหลดของตัวเองอย่างเป็นเวลานาน ก็จะทำการเผาไหม้ตัวเองให้เป็นเถ้าถ่านในที่สุด
ความสามารถเฉพาะของระบบอื่นๆ
Attacker สามารถเข้าถึงสิ่งต่างๆ บนคอมพิวเตอร์ของคุณได้ ไม่ว่าจะเป็น ไฟล์ รหัสผ่าน ข้อมูลการแชท และอะไรก็ตาม
Remote Access Trojans มีทำงานอย่างไร?
Remote Access Trojans มีการกำหนดค่าเซิร์ฟเวอร์ – ไคลเอนต์ ที่ติดตั้งเซิร์ฟเวอร์อย่างลับๆ บนอุปกรณ์ของผู้เสียหาย และไคลเอ็นต์สามารถใช้เพื่อเข้าถึงอุปกรณ์ที่เป็นเหยื่อผ่านทาง GUI หรืออินเตอร์เฟสคำสั่งคอมมานด์ได้
ลิงก์ระหว่างเซิร์ฟเวอร์ และไคลเอนต์เปิดอยู่บนพอร์ตเฉพาะ และการสื่อสารที่เป็นแบบเข้ารหัส หรือแบบธรรมดา ก็สามารถเกิดขึ้นระหว่างเซิร์ฟเวอร์และไคลเอนต์ได้
หากเครือข่ายและแพ็คเก็ตที่ส่ง / รับ ได้รับการตรวจสอบอย่างเหมาะสม สามารถระบุและลบ RATs ได้
การป้องกันการโจมตีแบบ RAT
1. ติดตั้งซอฟต์แวร์แอนตี้ไวรัส
RATs จะหาทางไปยังคอมพิวเตอร์ จากอีเมลขยะ ซอฟต์แวร์ที่ติดตั้งโปรแกรมที่มุ่งผลร้าย หรือเกิดจากการมารวมกันเป็นส่วนหนึ่งของซอฟต์แวร์ หรือแอปพลิเคชันอื่นๆ คุณจำเป็นจะต้องมีโปรแกรมป้องกันไวรัสที่ดี ที่ติดตั้งบนคอมพิวเตอร์ของคุณ ซึ่งสามารถตรวจจับและกำจัด RAT ได้เป็นอย่างดี
การตรวจจับ RATs นั้นค่อนข้างเป็นเรื่องที่ยาก เนื่องจากมีการติดตั้งภายใต้การใช้ชื่อแบบสุ่ม ซึ่งก็อาจดูเหมือนแอปพลิเคชั่นทั่วไปแบบอื่นๆ ดังนั้นคุณต้องมีโปรแกรมป้องกันไวรัสที่ดีจริงๆ เพื่อทำการป้องกันพวกมัน
2. ตรวจสอบเครือข่ายของคุณ
การตรวจสอบเครือข่ายของคุณ อาจเป็นวิธีที่ดีในการตรวจจับโทรจันที่ส่งข้อมูลส่วนตัวของคุณผ่านอินเทอร์เน็ต
หากคุณไม่ได้ใช้เครื่องมือการดูแลระบบระยะไกล ให้ปิดการใช้งานการเชื่อมต่อความช่วยเหลือระยะไกลกับคอมพิวเตอร์ของคุณ คุณจะได้รับการตั้งค่าใน SystemProperties > Remote tab > ยกเลิกการทำ Allow Remote Assistance connections to this computer ออกไป
3. Keep your system and applications updated
อัปเดตระบบปฏิบัติการซอฟต์แวร์ที่ติดตั้ง และซอฟต์แวร์รักษาความปลอดภัยเป็นพิเศษตลอดเวลา นอกจากนี้พยายามอย่าคลิกอีเมลที่คุณไม่รู้จักและมาจากแหล่งที่ไม่น่าเชื่อถือ อย่าดาวน์โหลดซอฟต์แวร์ใดๆ จากแหล่งอื่น นอกเหนือจากเว็บไซต์ทางการหรือมิเรอร์ไซต์
ทำอย่างไรหลังโดน RAT โจมตี?
1. ติดตั้งซอฟต์แวร์แอนตี้ไวรัสและทำการสแกนแบบเต็มรูปแบบทันที
สแกนคอมพิวเตอร์เพื่อตรวจสอบปัญหา และขอความช่วยเหลือจากผู้เชี่ยวชาญในการลบ RAT พิจารณาใช้ซอฟต์แวร์ป้องกันไวรัสระดับมืออาชีพ
2. เปลียนรหัสผ่านทุกอย่าง
เมื่อเราทราบว่าได้ถูกโจมตี ขั้นตอนแรกคือยกเลิกการเชื่อมต่อระบบของคุณจากอินเทอร์เน็ต และเครือข่ายหากคุณเชื่อมต่อ เปลี่ยนรหัสผ่านทั้งหมดของคุณ และข้อมูลที่ละเอียดอ่อนอื่นๆ และตรวจสอบว่าบัญชีใดๆ ของคุณถูกบุกรุก โดยใช้คอมพิวเตอร์ใหม่ปลอดภัย เป็นต้น
3. เช็คบัญชีธนาคารของคุณ
ตรวจสอบบัญชีธนาคารของคุณสำหรับธุรกรรมที่เป็นการแอบอ้าง และอาจแจ้งธนาคารที่คุณได้ใช้บริการ เกี่ยวกับโทรจันในคอมพิวเตอร์ของคุณทันที
Remote Access Trojans ทั่วไป
RAT จำนวนมากกำลังทำงานอยู่ในขณะนี้ และทำให้อุปกรณ์หลายล้านเครื่องติดอยู่ โดยเราจะกล่าวถึง RAT ที่มีชื่อเสียงที่สุดในบทความนี้:
1. Sub 7
‘Sub7’ ได้มาจากการสะกดคำ NetBus (RAT รุ่นเก่าก่อนหน้านี้) โดยในสมัยก่อน เป็นเครื่องมือการดูแลระบบระยะไกลแบบฟรี ที่ช่วยให้คุณสามารถควบคุมโฮสต์อุปกรณ์ เครื่องมือนี้ได้รับการจัดประเภทเป็นโทรจันโดยผู้เชี่ยวชาญด้านความปลอดภัย และอาจมีความเสี่ยงที่จะมีในคอมพิวเตอร์ของคุณ
ข้อมูลเพิ่มเติมจาก Wikipedia
2. Back Orifice
Back Orifice และเป็นตัวตายตัวแทนของ Back Orifice 2000 เป็นเครื่องมือฟรีที่เดิม ที่มีไว้สำหรับการดูแลระบบจากระยะไกล – แต่ในเวลาไม่นาน มันก็กลายเป็น Remote Access Trojan ได้มีการโต้เถียงกันว่าเครื่องมือนี้เป็นโทรจัน แต่นักพัฒนาซอฟต์แวร์ต่างก็เห็นด้วยกับข้อเท็จจริงที่ว่า มันเป็นเครื่องมือที่ถูกต้องตามกฎหมาย ที่ให้การเข้าถึงการดูแลระบบจากระยะไกล โปรแกรมนี้ถูกระบุว่าเป็นมัลแวร์โดยซอฟต์แวร์ป้องกันไวรัสส่วนใหญ่
ข้อมูลเพิ่มเติมจาก Wikipedia
3. DarkComet
เป็นเครื่องมือการดูแลระบบจากระยะไกลที่สามารถทำการขยายได้ และมีคุณสมบัติมากมายที่สามารถนำมาใช้ในการสอดแนมได้ เครื่องมือนี้ยังเชื่อมโยงกับสงครามกลางเมืองของซีเรีย ซึ่งมีรายงานว่ารัฐบาลใช้เครื่องมือนี้เพื่อสอดแนมพลเรือนนั่นเอง
เครื่องมือนี้ถูกใช้ไปในทางที่ผิดจำนวนมาก และผู้พัฒนาได้ทำการหยุดพัฒนาต่อไปแล้ว
ข้อมูลเพิ่มเติมจาก Wikipedia
4. Havex
โทรจันนี้มีการใช้อย่างกว้างขวางต่อภาคอุตสาหกรรม
มีพฤติกรรมรวบรวมข้อมูล และจากนั้นส่งผ่านข้อมูลเดียวกันไปยังเว็บไซต์เป้าหมายของผู้ไม่ประสงค์ดีได้จากระยะไกล
ข้อมูลเพิ่มเติมจาก Wikipedia
5. KjW0rm
โทรจันนี้มาพร้อมกับความสามารถมากมาย แต่ถูกทำเครื่องหมายว่าเป็นภัยคุกคามโดยเครื่องมือป้องกันไวรัสหลายตัว
ข้อสรุป
Remote Access Trojan เหล่านี้ ช่วยให้แฮกเกอร์จำนวนมากทำการแสวงประโยชน์จากคอมพิวเตอร์หลายล้านเครื่องที่เป็นเหยื่อ
จำเป็นต้องมีการป้องกันเครื่องมือเหล่านี้ และมีโปรแกรมความปลอดภัยที่ดี พร้อมการแจ้งเตือนผู้ใช้ เพื่อป้องกันโทรจันเหล่านี้จากคอมพิวเตอร์ของคุณ
บทความนี้มีวัตถุประสงค์เพื่อเป็นบทความที่ให้ข้อมูลเกี่ยวกับ RAT และไม่ได้ส่งเสริมการใช้งานของพวกเขาแต่อย่างใด
อาจมีกฎหมายบางประการเกี่ยวกับการใช้เครื่องมือดังกล่าวในประเทศของคุณ ไม่ว่าในกรณีใด
