זן ישן-חדש של סוס טרוייאני – הכירו את ”החולדה”

ה-RAT, או ‘חולדות’ כפי שהן מכונות בפי אנשי האבטחה, נמצאות איתנו כבר זמן רב והן מאפשרות להאקרים גישה מלאה למחשבים שלנו מבלי שנהיה מודעים לכך. מהן אותן חולדות ואיך נמנע מהן מלכרסם את דרכן אל המידע האישי שלנו?

shutterstock rat

הפוסט נכתב על ידי דרור ענבר, מומחה סייבר ויועץ אבטחה לארגונים, ESET ישראל.

מהי חולדה? באנגלית הפירוש של RAT הוא Remote Access Trojan/Tool. חולדה היא וירוס ממשפחת הסוסים הטרויאנים, תוכנה זדונית המאפשרת לתוקף להיכנס למחשב הקורבן, להוציא ממנו מידע או להתקין תוכנות אחרות על המחשב – ללא ידיעת המשתמש. ברוב המקרים התוקף ינסה להחביא את החולדה במשחקים או בתוכנות קטנות ופחות מוכרות על מנת לגרום למשתמש להפעיל את התוכנה או את המשחק ובכך להתקין את החולדה על המחשב – כשלאחר מכן לתוקף תהיה שליטה מלאה על מחשב הקורבן.

ההבדל בין החולדה לתוכנות לגיטימיות ומוכרות להשתלטות מרחוק היא שהחולדה מתקינה את עצמה ללא ידיעת המשתמש, ובכך נותנת לתוקף את כל המידע ואת ההרשאות המתאימות להתקנת תוכנות נוספות ומסוכנות לא פחות. בניגוד לתוכנות ההשתלטות המקובלות כיום לחולדה יש יכולות של צילום מסך, גניבת סיסמאות, הוספה או מחיקה של משתמשים, יכולת פתיחה והעתקה של כל הקבצים על המחשב, הפעלת מצלמת המחשב (במידה וקיימת), הפעלת המיקרופון והאזנה, Key Logger (תוכנה שמתעדת את כל ההקלקות של המחשב) והרצת פקודות וסקריפטים. כל התכונות האלו מופעלות מאחורי הקלעים ולמשתמש אין יכולת להבחין בנעשה.

חשוב לציין שמאמר זה נועד לצרכי העשרה, כל שימוש לא לגיטימי בתוכנות או במידע שבמאמר היא על אחריות המשתמש בלבד.

קצת היסטוריה

החולדות התחילו להופיע בשנות ה-90 המאוחרות. אחת החולדות המפורסמת ביותר מאותה תקופה נקראת SUB7, היא נוצרה על ידי Mobman ונועדה לפגוע בעיקר במחשבי 32 ביט (אלו היו המחשבים באותה תקופה). באותו זמן התפתח מעין טרנד להפיץ את התוכנה ו”לשחק” במחשב הקורבן, וגם היום ניתן למצוא את התוכנה במספר אתרים. Mobman הפסיק לתחזק ולפתח את התוכנה לאחר 10 שנים מאז ההפצה הראשונית, יש אומרים שמישהו מצוות הפיתוח הראשוני עדיין מפתח ומתחזק את החולדה ואף הוציא מספר גרסאות אחרי הגרסה המקורית, כאשר הגרסאות החדשות מותאמות למחשבי 64 ביט.

ישנה עוד חולדה מפורסמת והיא Blackshades, לפי מקורות רשמיים בארצות הברית הסוס הטרויאני הזה הדביק מעל ל-500,000 מחשבים ב-100 מדינות שונות ויש אומרים שהמחשבים הנגועים שימשו למטרות ריגול ולהקמת צבא של Botnets (מחשבי זומבי). כמו כן, בשנת 2014 ארגון ה-FBI בארצות הברית ביצע מאה מעצרים של חשודים במעורבות בפיתוח והפצת החולדה ומתוכם חמישה אנשים הורשעו ונכלאו.

ניתן להשיג את החולדות בחינם ובתשלום. הגרסאות שבתשלום מזהירות משימוש לא ראוי בתוכנה, כמובן שאחרי הקנייה וההורדה אף אחד לא יבדוק את השימושים שלכם בתוכנה. הגרסאות החינמיות של החולדות לרוב נגועות בעצמן, וברגע שתתקינו אותה תוקף יקבל למעשה שליטה מלאה על המחשב שלכם ללא ידיעתכם.

זאוס (ZEUS) היא חולדה שהייתה מאוד נפוצה בשנים 2007-2011 והשתמשה בעיקר במתקפה מסוג גניבת סיסמאות וטפסים מהדפדפן (Man In Browser), במידה והמחשב שלכם נגוע התוקף ידע לאיזה אתר נכנסתם ובאיזה קוד השתמשתם, לדוגמא חשבונות דואר או חשבונות בנקים. תוכנה זו שימשה את התוקפים לגניבה של מיליוני דולרים מבנקים שונים ברחבי העולם. גארי וורנר, מנהל עבירותי מחשב באוניברסיטת אלבמה בברמינגהם טוען שבארצות הברית בלבד נדבקו 3.6 מיליון מחשבים.

איך אפשר להימנע מהדבקה של רוגלה זו?

את החולדה ניתן להעביר בכמה דרכים, כאשר הדרך נפוצה ביותר היום היא באמצעות הדואר האלקטרוני. התוכנה עצמה היא קובץ קטן מאוד ולכן פשוט מאוד לשלוח אותה כקובץ מצורף להודעת מייל. אלפי מיילים, שמוגדרים כספאם, מנסים להפיץ את התוכנה מידי יום, לכן חשוב מאוד לא לפתוח מיילים מאנשים לא מוכרים ועל אחת כמה וכמה לא לפתוח את הקבצים המצורפים להודעות אלה שעלולות להכיל את החולדה.

רוב תוכנות האנטי וירוס המובילות יזהו את האיום וימנעו את ההדבקה, לכן חשוב להקפיד על תוכנת אנטי וירוס אמינה ובעלת מאגר חתימות עדכני.

מכיוון שהחולדה היא קובץ קטן יחסית האקרים אוהבים להצמיד אותה לתוכנה לגיטימית, לדוגמא אם אני מחפש תוכנה באינטרנט ואני מוריד אותה מאתר מפוקפק יש סיכוי טוב שקובץ ההתקנה של התוכנה נגוע, התוכנה שרציתי להוריד אכן תותקן על המחשב אבל עם תוספת של חולדה.

מומלץ תמיד להוריד תוכנות מאתרים רשמיים של יצרן התוכנה ולא מאתרים לא רשמיים, כמו כן לפעמים אתרים רשמיים מציעים בדיקת MD5 – זוהי בדיקה של שלמות הקובץ, ברגע שהקובץ המקורי שונה או פגום תהייה לו חתימה שונה מאשר הקובץ הרשמי המפורסם באתר החברה.

חשוב לסרוק כל קובץ או תוכנה שהורדתם לפני הפעלת הקובץ בעזרת תוכנת אנטי וירוס, כמו כן מומלץ להשתמש בחומת אש ובכך למנוע את הכניסה הלא רצויה של התוקף למחשב.

אני חושב שהדרך הכי טובה להימנע מהדבקה היא שיקול דעת הגיוני, כולנו מכירים את הסכנות שיש מאחורי פשעי מחשב, הרי אנחנו לא נפתח את דלת הבית שלנו לכולם, קודם נחשוד, נבדוק ונפעיל שיקול דעת הגיוני ואז אולי נפתח את הדלת. לא כל מייל צריך לפתוח ולא כל קובץ צריך להפעיל, מודעות גלישה בטוחה והורדת תוכנות לגיטימיות בלבד יעזרו לכם למנוע את ההדבקה של תוכנות לא רצויות ווירוסים.

מומלץ לבצע סריקת מחשב מלאה לפחות פעם בשבוע, חובה לבצע סריקה של כוננים ניידים לדוגמא דיסק און קי ברגע החיבור למחשב ולא ישר לפתוח את הקבצים.

darkcomet

דוגמא ל-DarkComet

קרדיט תמונה ראשית: rat with a basket via shutterstock


הכתבה בחסות ESET

חברת האבטחה הבינלאומית ESET היא חלוצת האנטי וירוס מזה 25 שנה, המגינה כיום על יותר מ-100 מיליון משתמשים בכל רגע. פתרונות האבטחה המובילים שלה - ESET NOD32 Antivirus, ESET Smart Security ו- ESET Mobile Security for Android - מיועדים לצרכנים פרטיים ולארגונים בגדלים שונים. החברה מתמחה ביכולות זיהוי מדויקות בזכות טכנולוגיה פרו-אקטיבית (מזהה וירוסים ומזיקים לא מוכרים על סמך ניתוח קוד ודפוסי התנהגות, ללא תלות בעדכוני חתימות) ומוצריה נחשבים ליעילים בצריכת משאבים כך שלא יכבידו על המערכת.


בשנתיים האחרונות ESET הוכרזה כחברת הסקיוריטי בעלת הצמיחה גדולה ביותר בעולם בשוק הפרטי ולאחת מ 500 חברות ה-IT  בעלות קצב הצמיחה הגבוה ביותר בצפון אמריקה , על פי גרטנר ומדד Fortune500.


בישראל מיוצגת ESET על ידי חברת קומסקיור בע"מ, המשווקת את מוצריה בלעדית ומפעילה מרכז תמיכה טכני בשפה העברית לכל הלקוחות. בין לקוחות ESET בישראל ניתן למצוא חברות היי-טק, ארגוני ענק, חברות אינטרנט, מכללות ואוניברסיטאות, 
עיריות ומשרדי ממשלה ועסקים קטנים,בינוניים וגדולים מתחומים מגוונים.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

4 תגובות על "זן ישן-חדש של סוס טרוייאני – הכירו את ”החולדה”"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* שימו לב: תגובות הכוללות מידע המפר את תנאי השימוש של Geektime, לרבות דברי הסתה, הוצאת דיבה וסגנון החורג מהטעם הטוב ו/או בניגוד לדין ימחקו. Geektime מחויבת לחופש הביטוי, אך לא פחות מכך לכללי דיון הולם, אתיקה, כבוד האדם והדין הישראלי.

סידור לפי:   חדש | ישן | הכי מדורגים
ליאור
Guest

ZEOS? לא התכוונתם ZEUS?

גלעד
Guest

תוקן, תודה.

אורי
Guest

“וירוס ממשפחת הסוסים הטרויאנים”?

אמנם ויקיפדיה הוא לא מקור המידע האמין ביותר, אבל במקרה הזה הוא מספיק טוב בשביל לחדד ולהסביר את ההבדל בין וירוס לבין סוס טרויאני.

http://en.wikipedia.org/wiki/Computer_virus
http://en.wikipedia.org/wiki/Trojan_Horse

אורי
Guest
ZeuS אינו RAT אלא Banker Trojan לפי הגדרה. זה נכון שבזכות מודול ה-VNC שלו ניתן להשתמש ב-ZeuS בתור RAT, אך זהו אינו השימוש העיקרי של סוס טרויאני זה. זוית מעניינת נוספת שחסרה לי בכתבה היא ציון העובדה שמספר כלי RAT עברו אבולוציה והוטמעו בהם יכולות לשמש כ-Banker Trojan, למרות שמלכתחילה הם לא תוכננו למטרה זו, BlackShades הנו דוגמה מייצגת. בנוסף, חשוב לציין ש-RAT הנו כלי לגיטימי אשר מנהלי רשת רבים יכולים להשתמש בו לניהול רשתות של מחשבים בצורה חוקית. העבירה על החוק מתבצעת בעת שימוש פסול ולא אתי בכלי, בדומה לסכין שניתן להשתמש בה למריחה של ממרח אבוקדו על פרוסת… Read more »
wpDiscuz

תגיות לכתבה: