โทรจันการเข้าถึงระยะไกลคืออะไร? การป้องกัน การตรวจจับ และการกำจัด

โทรจันการเข้าถึงระยะไกล(Remote Access Trojans) ( RAT ) ได้พิสูจน์ให้เห็นเสมอว่าเป็นความเสี่ยงที่ยิ่งใหญ่ต่อโลกนี้ เมื่อพูดถึงการจี้คอมพิวเตอร์หรือเพียงแค่เล่นตลกกับเพื่อน หนู(RAT)เป็นซอฟต์แวร์ที่เป็นอันตรายที่ช่วยให้ผู้ปฏิบัติงานโจมตีคอมพิวเตอร์และเข้าถึงคอมพิวเตอร์จากระยะไกลโดยไม่ได้รับอนุญาต RAT(RATs)อยู่ที่นี่มาหลายปีแล้ว และพวกมันยังคงมีอยู่เนื่องจากการค้นหาRAT(RATs) บาง ตัวเป็นงานที่ยากแม้แต่กับซอฟต์แวร์Antivirus สมัยใหม่ที่มีอยู่(Antivirus)

ในโพสต์นี้ เราจะมาดูกันว่า Remote Access Trojan คืออะไร และพูดถึงเทคนิคการตรวจหาและกำจัดที่มีอยู่ นอกจากนี้ยังอธิบายโดยย่อ RAT ทั่วไปบางตัว(CyberGate)เช่นCyberGate ,(RATs) DarkComet ,(DarkComet) Optix ,(Optix) Shark ,(Shark) Havex ,(Havex) ComRat ,(ComRat) VorteX  Rat(VorteX Rat) , SakulaและKjW0rm

โทรจันการเข้าถึงระยะไกลคืออะไร

โทรจันการเข้าถึงระยะไกล

โทรจันการเข้าถึงระยะไกล(Remote Access Trojan)ส่วนใหญ่ถูกดาวน์โหลดในอีเมลที่เป็นอันตราย โปรแกรมที่ไม่ได้รับอนุญาต และลิงก์ของเว็บที่นำคุณไปสู่ทุกที่ RAT(RATs)นั้นไม่ธรรมดาเหมือน โปรแกรม Keylogger – พวกมันให้ความสามารถมากมายแก่ผู้โจมตี เช่น:

  • Keylogging : สามารถตรวจสอบการกดแป้นพิมพ์ของคุณ และสามารถกู้คืนชื่อผู้ใช้ รหัสผ่าน และข้อมูลสำคัญอื่นๆ ได้
  • จับภาพ(Screen Capture)หน้าจอ : สามารถรับภาพหน้าจอเพื่อดูว่าเกิดอะไรขึ้นบนคอมพิวเตอร์ของคุณ
  • การจับภาพสื่อฮาร์ดแวร์(Hardware Media Capture) : หนูสามารถเข้าถึงเว็บแคมและไมโครโฟนของคุณเพื่อบันทึกคุณและสภาพแวดล้อมที่ละเมิดความเป็นส่วนตัวอย่างสมบูรณ์
  • สิทธิ์(Administration Rights) ในการดูแลระบบ : ผู้โจมตีอาจเปลี่ยนการตั้งค่า แก้ไขค่ารีจิสทรี และทำสิ่งต่างๆ มากมายกับคอมพิวเตอร์ของคุณโดยไม่ได้รับอนุญาตจากคุณ หนู(RAT)สามารถให้สิทธิ์ระดับผู้ดูแลระบบแก่ผู้โจมตีได้
  • การ โอเวอร์คล็อก(Overclocking) : ผู้โจมตีอาจเพิ่มความเร็วของโปรเซสเซอร์ การโอเวอร์คล็อกระบบอาจเป็นอันตรายต่อส่วนประกอบฮาร์ดแวร์และในที่สุดก็เผาให้เป็นเถ้าถ่าน
  • ความสามารถเฉพาะระบบอื่นๆ(Other system-specific capabilitie) : ผู้โจมตีสามารถเข้าถึงอะไรก็ได้บนคอมพิวเตอร์ของคุณ ไฟล์ รหัสผ่าน แชท และอะไรก็ได้

โทรจันการเข้าถึงระยะไกลทำงานอย่างไร

(Remote Access) โทรจัน(Trojans)การเข้าถึงระยะไกลมาในรูปแบบเซิร์ฟเวอร์-ไคลเอนต์ โดยที่เซิร์ฟเวอร์ได้รับการติดตั้งอย่างลับๆ บนพีซีของเหยื่อ และไคลเอนต์สามารถใช้เพื่อเข้าถึงพีซีของเหยื่อผ่านGUIหรืออินเทอร์เฟซคำสั่ง ลิงก์ระหว่างเซิร์ฟเวอร์และไคลเอ็นต์เปิดอยู่บนพอร์ตเฉพาะ และการสื่อสารที่เข้ารหัสหรือธรรมดาสามารถเกิดขึ้นได้ระหว่างเซิร์ฟเวอร์และไคลเอ็นต์ หากเครือข่ายและแพ็กเก็ตที่ส่ง/รับได้รับการตรวจสอบอย่างถูกต้องจะสามารถระบุและลบRAT ได้(RATs)

การป้องกันการโจมตีหนู

หนู(RATs)เข้าถึงคอมพิวเตอร์จากอีเมลขยะ(spam emails)ซอฟต์แวร์ตั้งโปรแกรมที่ประสงค์ร้าย หรือรวมอยู่ในซอฟต์แวร์หรือแอปพลิเคชันอื่นๆ คุณต้องมีโปรแกรมป้องกันไวรัสที่ดีติดตั้งอยู่ในคอมพิวเตอร์ของคุณเสมอซึ่งสามารถตรวจจับและกำจัดหนู(RATs)ได้ การตรวจจับหนู(RATs)เป็นงานที่ค่อนข้างยาก เนื่องจากติดตั้งภายใต้ชื่อสุ่มที่อาจดูเหมือนแอปพลิเคชันทั่วไปอื่นๆ ดังนั้น คุณจึงจำเป็นต้องมี โปรแกรม ป้องกันไวรัส(Antivirus) ที่ดีจริงๆ สำหรับสิ่งนั้น

การ ตรวจสอบเครือข่ายของคุณ(Monitoring your network)ยังเป็นวิธีที่ดีในการตรวจหาโทรจัน(Trojan)ที่ส่งข้อมูลส่วนตัวของคุณทางอินเทอร์เน็ต

หากคุณไม่ได้ใช้เครื่องมือการดูแลระบบระยะไกล(Remote Administration Tools)ให้ปิดใช้งานการเชื่อมต่อความช่วยเหลือระยะไกล(disable Remote Assistance connections)กับคอมพิวเตอร์ของคุณ คุณจะได้รับการตั้งค่าในSystemProperties > Remoteแท็บ ระยะไกล > Uncheck อนุญาตการเชื่อมต่อระยะไกลกับคอมพิวเตอร์เครื่อง(Allow Remote Assistance connections to this computer)นี้

อัปเดต(security programs updated)ระบบปฏิบัติการ ซอฟต์แวร์ที่ติดตั้ง และโดยเฉพาะ โปรแกรมความปลอดภัย อยู่เสมอ นอกจากนี้ พยายามอย่าคลิกอีเมลที่คุณไม่เชื่อถือและมาจากแหล่งที่ไม่รู้จัก อย่าดาวน์โหลดซอฟต์แวร์ใด ๆ จากแหล่งอื่นนอกเหนือจากเว็บไซต์ทางการหรือมิเรอร์

หลังโดนหนูโจมตี

เมื่อคุณรู้ว่าคุณถูกโจมตี ขั้นตอนแรกคือยกเลิกการเชื่อมต่อระบบของคุณจากอินเทอร์เน็ต(Internet)และเครือข่าย(Network)หากคุณเชื่อมต่ออยู่ เปลี่ยน(Change)รหัสผ่านและข้อมูลสำคัญอื่น ๆ ทั้งหมดของคุณและตรวจสอบว่าบัญชีของคุณถูกบุกรุกโดยใช้คอมพิวเตอร์เครื่องอื่นที่สะอาดหรือไม่ ตรวจสอบบัญชีธนาคารของคุณเพื่อหาธุรกรรมที่เป็นการฉ้อโกง และแจ้งให้ธนาคารของคุณทราบทันทีเกี่ยวกับโทรจัน(Trojan)ในคอมพิวเตอร์ของคุณ จากนั้นสแกนคอมพิวเตอร์เพื่อหาปัญหาและขอความช่วยเหลือ จากผู้เชี่ยวชาญในการถอดRAT พิจารณาปิดพอร์ต80 (Port 80)ใช้Firewall Port Scannerเพื่อตรวจสอบพอร์ตทั้งหมดของคุณ

คุณสามารถลองย้อนรอยและรู้ว่าใครอยู่เบื้องหลังการโจมตี แต่คุณจะต้องได้รับความช่วยเหลือจากผู้เชี่ยวชาญ โดยปกติหนูสามารถลบออกได้เมื่อตรวจพบ หรือคุณอาจติดตั้งWindows ใหม่ เพื่อลบออกทั้งหมด

โทรจันการเข้าถึงระยะไกลทั่วไป

โทรจัน(Trojans)การเข้าถึงระยะไกล(Remote Access) จำนวนมากกำลังทำงานอยู่ในขณะนี้และแพร่ระบาดในอุปกรณ์หลายล้านเครื่อง เรื่องที่โด่งดังที่สุดถูกกล่าวถึงในบทความนี้:

  1. Sub7 : 'Sub7' มาจากการสะกดNetBus ( RATที่เก่ากว่า) ย้อนหลังเป็นเครื่องมือการดูแลระบบระยะไกลฟรีที่ให้คุณควบคุมโฮสต์พีซีได้ เครื่องมือนี้ได้รับการจัดประเภทเป็นโทรจันโดยผู้เชี่ยวชาญด้านความปลอดภัย และอาจมีความเสี่ยงที่จะมีเครื่องมือนี้ในคอมพิวเตอร์ของคุณ
  2. Back Orifice : Back Orificeและผู้สืบทอดต่อBack Orifice 2000เป็นเครื่องมือฟรีที่เดิมมีไว้สำหรับการดูแลระบบจากระยะไกล – แต่เครื่องมือนี้ใช้เวลาไม่นานในการแปลงเป็น Remote Access Trojan (Access Trojan)มีการโต้เถียงกันว่าเครื่องมือนี้เป็นโทรจัน(Trojan)แต่นักพัฒนายืนกรานว่าเป็นเครื่องมือที่ถูกต้องตามกฎหมายที่ให้การเข้าถึงการดูแลระบบจากระยะไกล โปรแกรมป้องกันไวรัสส่วนใหญ่ระบุว่าโปรแกรมเป็นมัลแวร์ในขณะนี้
  3. DarkComet : เป็นเครื่องมือการดูแลระบบระยะไกลที่ขยายได้มากพร้อมคุณสมบัติมากมายที่อาจใช้ในการสอดแนม เครื่องมือนี้ยังมีความเชื่อมโยงกับสงครามกลางเมือง(Civil War) ในซีเรีย ซึ่งมีรายงานว่ารัฐบาล(Government)ใช้เครื่องมือนี้เพื่อสอดแนมพลเรือน เครื่องมือนี้ถูกใช้ในทางที่ผิดไปมากแล้ว และนักพัฒนาได้หยุดการพัฒนาเพิ่มเติม
  4. sharK : เป็นเครื่องมือการดูแลระบบระยะไกลขั้นสูง ไม่ได้มีไว้สำหรับผู้เริ่มต้นและแฮ็กเกอร์มือสมัครเล่น กล่าวกันว่าเป็นเครื่องมือสำหรับผู้เชี่ยวชาญด้านความปลอดภัยและผู้ใช้ขั้นสูง
  5. Havex : โทรจันนี้ถูกใช้อย่างกว้างขวางกับภาคอุตสาหกรรม รวบรวมข้อมูลรวมถึงการมีอยู่ของระบบควบคุมอุตสาหกรรม(Industrial Control System) ใด ๆ จากนั้นส่งข้อมูลเดียวกันไปยังเว็บไซต์ระยะไกล
  6. Sakula : โทรจัน(Trojan)การเข้าถึงระยะไกลที่มาพร้อมกับโปรแกรมติดตั้งที่คุณเลือก มันจะแสดงว่ามันกำลังติดตั้งเครื่องมือบางอย่างบนคอมพิวเตอร์ของคุณ แต่จะติดตั้งมัลแวร์พร้อมกับมัน
  7. KjW0rm : โทรจัน(Trojan) นี้ อัดแน่นไปด้วยความสามารถมากมาย แต่ถูกทำเครื่องหมายว่าเป็นภัยคุกคามด้วยเครื่องมือป้องกันไวรัส มากมาย(Antivirus)

โทรจันการเข้าถึงระยะไกล(Remote Access Trojan)เหล่านี้ได้ช่วยให้แฮกเกอร์จำนวนมากสามารถประนีประนอมกับคอมพิวเตอร์หลายล้านเครื่อง ต้องมีการป้องกันเครื่องมือเหล่านี้ และโปรแกรมความปลอดภัยที่ดีพร้อมการแจ้งเตือนผู้ใช้ก็เพียงพอแล้วที่จะป้องกันโทรจันเหล่านี้จากการบุกรุกคอมพิวเตอร์ของคุณ

โพสต์นี้มีขึ้นเพื่อเป็นบทความที่ให้ข้อมูลเกี่ยวกับหนู(RATs)และไม่ได้ส่งเสริมการใช้งานในทางใดทางหนึ่ง อาจมีกฎหมายทางกฎหมายเกี่ยวกับการใช้เครื่องมือดังกล่าวในประเทศของคุณในทุกกรณี

อ่านเพิ่มเติมเกี่ยวกับเครื่องมือการดูแลระบบระยะไกล(Remote Administration Tools)ที่นี่



วรวุฒิ วรรณดำรง

About the author

ฉันเป็นวิศวกรซอฟต์แวร์เต็มเวลาที่มีประสบการณ์มากกว่า 10 ปีในการทำงานกับซอฟต์แวร์ Windows และ Mac ฉันรู้วิธีออกแบบ ทดสอบ และปรับใช้แอปพลิเคชันบนทั้งสองแพลตฟอร์ม ฉันยังมีประสบการณ์ด้านความปลอดภัยและการจัดการระบบ ทักษะและความรู้ของฉันสามารถช่วยให้คุณสร้างระบบคอมพิวเตอร์ที่ดีขึ้นและมีประสิทธิภาพมากขึ้น


Related posts