10种最佳RAT软件检测工具–加上示例的权威指南

一种 远程访问木马（RAT） 是一种可让黑客控制您计算机的恶意软件。一旦安装了RAT，黑客可能执行的间谍活动与 探索文件系统, 在屏幕上观看活动, 和 收集登录凭证.

黑客还可能利用您的Internet地址作为非法活动的前台，冒充您并攻击其他计算机。通过RAT下载的病毒会感染其他计算机，同时还会通过擦除或加密基本软件对系统造成损害.

我们在下面详细介绍了每种入侵检测工具和RAT示例，但是如果您没有时间阅读全文，这是我们的 RAT软件的最佳入侵检测工具列表：

1. SolarWinds安全事件管理器（免费试用） 通过自动修复任务超越了RAT检测，可帮助您阻止RAT活动
2. 鼻息 思科首次推出的NIDS助力行业发展
3. OSSEC 开源HIDS在数据收集功能方面赢得关注
4. 兄弟 适用于Unix，Linux和Mac OS的免费NIDS
5. 苏里卡塔 监视IP，TLS，TCP和UDP协议活动
6. 萨根 不是独立的IDS，适合于自动化脚本
7. 安全洋葱 此列表上其他开源工具的开源合并
8. 助手 专门从事Rootkit检测和文件签名比较
9. OpenWIPS-NG 无线数据包嗅探的首选
10. 萨姆海因 非常适合设置警报，但没有真正的故障排除功能

RAT软件工具和APT

RAT是通常用于隐身类型的黑客攻击（称为“ 高级持续威胁, 要么 易于. 这种类型的入侵并不专注于破坏信息或快速袭击计算机以获取数据。代替, APT包含对网络的定期访问，可以持续数年. RAT还可以用于通过公司网络重新路由流量，以掩盖非法活动。一些主要在中国的黑客组织甚至创建了 黑客网络 遍布全球的公司网络，他们将对网络犯罪高速公路的访问权出租给其他黑客。这就是所谓的“兵马俑VPN”，并且由RAT促进.

早期入侵

RAT已经悄悄地存在了十多年。早在2003年，中国黑客就发现该技术在抢劫美国技术中发挥了作用。五角大楼发起了一项调查，名为 泰坦雨, 发现美国国防承包商的数据被盗，并将开发和分类测试数据转移到中国.

您可能还记得 美国东海岸电网于2003年和2008年关闭. 这些也可以追溯到中国，也得到了RAT的协助。简而言之，可以将RAT接入系统的黑客可以激活这些计算机用户可以使用的所有软件。.

混合战

拥有RAT的黑客可以指挥电站，电话网络，核设施或天然气管道。 RAT不仅构成公司的安全风险，而且还可以使交战国削弱敌国.

从事工业间谍活动和破坏活动的RAT的最初用户是中国黑客。这些年来, 俄罗斯已开始欣赏RAT的力量 并将其纳入其军事武库。现在，APT已正式成为俄罗斯进攻策略的一部分，这被称为“混合战.”

俄罗斯在2008年从格鲁吉亚占领领土时，利用DDoS攻击来利用RAT收集情报，控制并破坏格鲁吉亚的军事硬件和基本公用事业，从而阻止互联网服务和APT。俄罗斯使用RAT破坏乌克兰和波罗的海国家的稳定至今.

俄罗斯雇用半官方的黑客组织，例如 APT28. 另一个黑客组织，称为 APT15 中国政府经常使用。这些小组的名称说明了他们的主要策略，即“先进的持续威胁”，由RAT推动.

2023年贸易关税紧张局势的加剧已经见证了中国黑客活动的新突增，特别是半军事APT15组。自2015年以来，美国和朝鲜之间的麻烦不断传出，这也导致源自朝鲜的RAT辅助APT活动增加.

所以，虽然 世界各地的黑客使用RAT监视公司 并窃取他们的数据和金钱，RAT问题现已成为许多国家（尤其是美国）的国家安全问题。我们在下面提供了一些RAT工具的示例.

防御远程访问Trojan软件

防病毒系统对RAT的效果不佳. 多年来，通常不会发现计算机或网络的感染. 并行程序用来掩盖RAT过程的混淆方法使它们很难发现。使用rootkit技术的持久性模块意味着RAT很难摆脱。有时，摆脱计算机使用RAT的唯一解决方案是清除所有软件并重新安装操作系统.

RAT预防系统很少见，因为只有在系统上运行RAT软件后，才能对其进行识别。解决RAT问题的最佳方法是 使用入侵检测系统. Comparitech拥有入侵检测系统指南，可为您提供有关这些系统如何工作的完整说明以及推荐工具的概述.

最好的RAT软件检测工具

在这里我们回顾 最好的RAT软件检测工具：

1. SolarWinds安全事件管理器（免费试用）

入侵检测系统是阻止软件入侵的重要工具，这些软件入侵可以逃避防病毒和防火墙实用程序的检测。的 SolarWinds安全事件管理器 是基于主机的入侵检测系统。但是，该工具的一部分可以用作基于网络的入侵检测系统。这是Snort日志分析器。您可以在下面阅读有关Snort的更多信息，但是，在这里您应该知道它是一种广泛使用的数据包嗅探器。通过将Snort用作数据收集器并送入Snort日志分析器，您可以从Security Event Manager中获得实时和历史数据分析.

此双重功能为您提供了完整的安全信息和事件管理（SIEM）服务。这意味着您可以实时观看Snort捕获的事件，还可以检查通过日志文件记录识别的跨数据包入侵签名.

Security Event Manager不仅限于RAT检测，还包括自动修复任务，可帮助您阻止RAT活动。该工具符合一系列数据安全标准，包括 PCI DSS, HIPAA, SOX, 和 迪沙 斯蒂格.

可以在Windows Server上安装SolarWinds Security Event Manager。该实用程序不是免费使用的，但是您可以在 30天免费试用.

SolarWinds Security Event Manager下载30天免费试用版

2.喷鼻息

Snort是免费使用的，它是 尼德斯, 这是一个 网络入侵检测系统. 该系统由创建 思科系统 它可以安装在 视窗, 的Linux, 和 Unix系统. Snort可以实施防御策略，这使其成为 入侵防御系统. 它具有三种模式选项：

• 嗅探器模式–实时数据包嗅探器
• 数据包记录器–将数据包记录到文件中
• 入侵检测–包括分析模块

Snort的IDS模式适用于“基本政策”到数据。这些是提供入侵检测的警报规则. 可以从Snort网站上免费获取政策, 来自用户社区，或者您可以编写自己的社区。 Snort可以突出显示的可疑事件包括 隐形端口扫描, 缓冲区溢出攻击, CGI攻击, SMB探针, 和 操作系统指纹. Snort既有能力 基于签名的检测方法 和 基于异常的系统.

Snort的前端不是很好，大多数用户将Snort的数据与更好的控制台和分析工具进行交互，例如  斯诺比, 基础, quil, 和 阿纳瓦尔.

3. OSSEC

OSSEC代表开源HIDS安全性。一种 HIDS 是一个 主机入侵检测系统, 哪一个 检查计算机上的事件 在网络中而不是试图 在网络流量中发现异常, 那是什么 网络入侵检测系统 做。 OSSEC是当前的HIDS领导者，可以安装在 Unix系统, 的Linux 和 苹果系统 操作系统。尽管它无法在Windows计算机上运行，​​但可以接受来自它们的数据。 OSSEC检查事件日志以查找RAT活动。该软件是网络安全公司所有的开源项目, 趋势科技.

这是一个数据收集工具，它没有非常用户友好的前端。通常，此系统的前端由其他工具提供，例如 Splunk, 基巴纳, 要么 Graylog. OSSEC的检测引擎基于 政策, 这是数据中可能出现的警报条件. 您可以从其他OSSEC用户那里获取预先编写的策略包 他们可以在OSSEC用户社区论坛上免费提供其软件包。您也可以编写自己的政策.

4.兄弟

兄弟是一个 免费NIDS 可以安装在 Unix系统, 的Linux, 和 苹果系统. 这是一个包含入侵检测方法的网络监视系统。 IDS将数据包数据收集到文件中以供以后分析。在实时数据上运行的NIDS会丢失某些入侵标识符，因为黑客有时会将RAT消息拆分为多个数据包。因此, NIDS等应用程序层具有更好的检测功能 因为它们对数据包进行分析。兄弟同时使用 基于签名的分析 和 基于异常的检测.

的 兄弟事件引擎 “侦听”触发事件（例如新的TCP连接或HTTP请求）并记录它们. 策略脚本 然后搜索这些日志以查找行为模式，例如一个用户帐户执行的异常和不合逻辑的活动. 兄弟将跟踪HTTP，DNS和FTP活动. 它还收集SNMP通知，可用于检测设备配置更改和SNMP陷阱消息。.

5.海岛猫鼬类

海岛猫鼬类是 一个NIDS 可以安装在 视窗, 的Linux, 苹果系统, 和 Unix系统. 这是 收费系统 适用 应用层分析, 因此它将检测分布在数据包之间的签名。 Suricata显示器 知识产权, TLS，TCP, 和 UDP协议 协议活动，并专注于关键网络应用，例如 的FTP, HTTP, ICMP, 和 中小企业. 它也可以检查 TLS 证书并专注于 HTTP 请求和 域名解析 电话。还有一个文件提取工具 能够分析病毒感染的文件.

Suricata具有内置脚本模块，使您能够 结合规则 并获得更精确的检测配置文件。该IDS使用 基于签名和基于异常的检测方法. 为以下内容编写的VRT规则文件 鼻息 也可以导入到Surcata中，因为此IDS与Snort平台兼容。这也意味着 斯诺比, 基础, quil, 和 阿纳瓦尔 可以用作Suricata的前端。但是，Suricata GUI非常复杂，并且包含数据的图形表示，因此您可能不需要使用任何其他工具来查看和分析数据。.

6.萨根

萨根是 一个免费的基于主机的入侵检测系统 可以安装在 Unix系统, 的Linux, 和 苹果系统. 您无法在Windows上运行Sagan，但可以 向其中输入Windows事件日志. 收集的数据 鼻息, 苏里卡塔, 要么 兄弟 可以导入Sagan，从而为该实用程序提供了数据分析工具 尼德斯 观点及其本机 HIDS 能力。 Sagan还与其他Snort型系统兼容，例如 斯诺比, 基础, quil, 和 阿纳瓦尔, 都可以为数据分析提供前端.

萨根是 日志分析工具 它需要与其他数据收集系统一起使用，以创建完整的入侵检测系统。该实用程序包括 IP定位器, 这样您就可以将可疑活动的来源跟踪到某个位置. 它还可以将可疑IP地址的活动分组在一起，以识别团队或分布式攻击. 分析模块与 签名和异常检测方法.

萨根罐头 自动执行脚本以锁定网络 当它检测到特定事件时。它执行这些预防任务 通过与防火墙表的交互. 所以，这是一个入侵防御系统.

7.安全洋葱

安全洋葱是通过将以下代码拼接在一起而开发的 鼻息, 苏里卡塔, OSSEC, 兄弟, 斯诺比, 斯奎尔, ert, 基巴纳, 艾尔莎, Xplico, 和 网络矿工, 这些都是开源项目。这个工具是 基于Linux的免费NIDS 包括 HIDS 功能。它被编写为专门在 的Ubuntu.

基于主机的分析检查文件更改和 网络分析由数据包嗅探器进行, 它可以在屏幕上显示正在传递的数据，也可以写入文件。 Security Onion的分析引擎非常复杂，因为它结合了许多不同工具的过程。它包括设备状态监视以及流量分析。有 基于签名和基于异常的警报规则 包含在此系统中。的界面 基巴纳 提供用于Security Onion的仪表板，其中包括图形和图表以简化数据分析.

8.助手

AIDE代表“先进的入侵检测环境.“ 这是 免费的HIDS 在 苹果系统, Unix系统, 和 的Linux. 该IDS专注于 Rootkit检测 和 文件签名比较. 数据收集模块填充 特征数据库 从日志文件中收集的文件。该数据库是系统状态快照， 设备配置中的任何更改都会触发警报. 可以通过参考数据库取消这些更改，或者可以更新数据库以反映授权的配置更改.

系统检查是按需执行的，不是连续进行的，但是 可以将其安排为同步作业. AIDE的规则库使用 基于签名和基于异常的监视方法.

9. OpenWIPS-NG

OpenWIPS-NG来自 空袭NG. 实际上，它整合了Aircrack-NG作为其 无线数据包嗅探器. Aircrack-NG是一个著名的黑客工具，因此这种关联可能会让您有些警觉。 WIPS代表“无线入侵防御系统”和 在Linux上运行. 这是 免费的实用程序 包括三个元素：

• 传感器–数据包嗅探器
• 服务器–数据存储和分析规则库
• 界面–面向用户的前端.

传感器也是 发射器, 这样就可以 实施入侵防御措施 并削弱不必要的传输。的 服务器执行分析 并启动干预策略以阻止检测到的入侵。的 接口模块显示事件 并向系统管理员发出警报。这也是可以调整设置，可以调整或覆盖防御措施的地方.

10. Samhain

由德国Samhain设计实验室生产的Samhain是 一个免费的基于主机的入侵检测系统 安装在 Unix系统, 的Linux, 和 苹果系统. 它使用在网络上不同点运行的代理，这些代理会报告给中央分析模块。每个代理执行 文件完整性检查, 日志文件监控, 和 端口监控. 流程寻找 Rootkit病毒, 流氓SUID （用户访问权限），以及 隐藏的过程.

代理与控制台之间的网络通信是 受加密保护. 传送日志文件数据的连接包括身份验证要求， 防止入侵者劫持或替换监视过程.

Samhain将突出显示入侵的警告信号，但没有任何解决程序。您将需要保留配置文件和用户身份的备份，以便采取措施解决Samhain监视器显示的问题。. Samhain通过隐身技术隐藏其流程, 称为“隐写术以防止入侵者操纵或杀死IDS. 中央日志文件和配置备份使用PGP密钥签名 防止入侵者篡改.

11. Fail2Ban

现“ Fail2Ban”为 一个免费的基于主机的入侵防御系统 在 Unix系统, 的Linux, 和 Mac OS X. IDS分析日志文件并 禁止显示可疑行为的IP地址. 自动锁定发生在Netfilter / IPtables或PF防火墙规则以及TCP Wrapper的hosts.deny表中。这些块通常仅持续几分钟，但是 足以破坏标准的自动暴力破解密码的情况. 警报情况包括过多的失败登录尝试。 Fail2Ban的问题在于，它专注于从一个地址重复执行操作。这使其无法应对分布式密码破解活动或DDoS攻击.

系统的监控范围由一系列“过滤器.这些指示IPS监视哪些服务。这些包括 Postfix，Apache，Courier Mail Server，Lighttpd，sshd，vsftpd和qmail. 每个过滤器都与一个动作结合在一起，以在检测到警报情况时执行。过滤器和操作的组合称为“监狱.”

RAT程序和示例

有许多可能具有合法应用程序的远程访问系统，但众所周知，它们是 主要由黑客作为特洛伊木马的一部分使用；这些 被归类为“远程访问木马”。最著名的RAT的详细信息如下.

后孔

后孔，也称为BO是 美国制造的RAT 自1998年以来一直存在。这是RAT的祖父， 由其他黑客组织改进和改编，以生产更新的RAT系统. 原始系统利用了Windows 98中的一个弱点。在较新的Windows操作系统上运行的更高版本是 后孔口2000 和 深孔口.

此RAT能够将自身隐藏在操作系统中，这最初使它难以检测。但是，如今, 大多数防病毒系统的数据库中都记录了Back Orifice可执行文件和阻塞行为 作为要注意的签名。该软件的一个不错的功能是它具有 易于使用的控制台 入侵者可以使用它来浏览受感染的系统。可以通过特洛伊木马将远程元素放到目标计算机上。安装后，该服务器程序将使用标准联网过程与客户端控制台进行通信。已知后孔使用端口号21337.

兽

野兽RAT攻击Windows系统 从Windows 95到Windows 10. 它使用Back Orifice率先采用的相同的客户端-服务器架构，该系统的服务器部分是秘密安装在目标计算机上的恶意软件。. 服务器元素一旦运行，黑客就可以通过客户端程序随意访问受害计算机。. 客户端通过端口号6666连接到目标计算机。服务器还能够打开回到客户端的连接，并且使用端口号9999。.  Beast写于2002年，至今仍在广泛使用.

双霜

该木马病毒通过安装服务器构建器程序开始感染。最初，该程序仅与Command and Control服务器联系并等待指令。木马感染Windows系统 从Windows 95到Windows 10. 但是，在Windows XP和更高版本中，其功能降低了.

触发后，服务器构建器将在目标计算机上设置服务器程序。这使黑客能够使用相应的客户端程序来访问受感染的计算机并随意执行命令。服务器软件存储在 C：\ Windows \ Bifrost \ server.exe 要么 C：\ Program档案\ Bifrost \ server.exe. 此目录和文件 隐藏 所以 一些防病毒系统无法检测到Bifrost.

创建服务器后，服务器构建器不会结束其操作。相反，它作为 持久性系统 如果发现并删除了原始服务器安装，它将在其他位置和名称下重新创建服务器. 服务器构建器还使用rootkit方法来掩盖服务器进程 并且使操作系统难以检测.

从Windows Vista开始，Bifrost的全部破坏功能已被减慢，原因是 恶意软件使用的许多服务都需要系统特权. 但是，如果诱使用户使用系统特权安装了伪装的服务器构建器，则Bifrost系统可能会完全正常运行，并且很难移除.

相关：最好的免费rootkit删除，检测和扫描仪程序

黑影

Blackshades是一种现成的黑客工具， 由开发人员以40美元的价格卖给黑客. 联邦调查局（FBI）估计，销售该软件的生产商共赚取了34万美元。. 开发商在2012年被关闭并被捕，2014年的第二波逮捕逮捕了100多个Blackshades用户. 但是，仍有Blackshades系统的副本在流通，并且仍在积极使用中. Blackshades针对Microsoft Windows 从Windows 95到Windows 10.

该工具包包括感染方法，例如嵌入到触发安装例程的网站中的恶意代码。其他元素通过发送链接到感染的网页来传播RAT。这些被发送到 感染用户的社交媒体联系人.

该恶意软件使黑客能够访问目标计算机的文件系统并下载并执行文件. 该程序的使用包括僵尸网络功能，这些僵尸网络功能可以使目标计算机发起拒绝服务攻击. 被感染的计算机还可以用作代理服务器，以路由黑客流量和 为其他黑客活动提供身份证明.

Blackshades工具包非常易于使用，可以使那些缺乏技术技能的人成为黑客。. 该系统还可以用于创建勒索软件攻击. 与Blackshades一起出售的第二个混淆程序使该程序保持隐藏状态，使其在被杀死时能够重新启动，并避免使用防病毒软件进行检测.

可以追溯到黑影的攻击和事件包括 2012年针对叙利亚反对派部队的破坏运动.

另请参阅：2023-2023年勒索软件统计信息和事实

勒索软件删除手册：处理常见的勒索软件

黑暗彗星

法国黑客 让·皮埃尔·莱索尔 在2008年开发了DarkComet，但该系统直到2012年才真正普及。这是另一个针对Windows操作系统的黑客系统 从Windows 95到Windows 10. 它具有非常易于使用的界面，使没有技术技能的人能够进行黑客攻击.

该软件可以通过按键记录进行间谍活动, 屏幕截图 和 密码收集. 控制黑客还可以 操作远程计算机的电源功能, 允许远程打开或关闭计算机。也可以利用受感染计算机的网络功能来将计算机用作 代理服务器以引导流量并掩盖黑客的身份 在其他计算机上进行突袭时.

DarkComet在2012年被发现时，引起了网络安全社区的关注 一个非洲黑客单位正在使用该系统瞄准美国政府和军事. 同时，针对网络游戏玩家发动了源自非洲的DarkComet攻击.

Lesueur在2014年放弃了该项目 当发现叙利亚政府正在使用DarkComet来监视其公民时。普通民众开始采用VPN和安全的聊天应用程序来阻止政府监视，因此DarkComet的间谍软件功能 使叙利亚政府能够规避这些安全措施.

海市age楼

海市age楼是关键的RAT使用 国家资助的中国黑客组织APT15. 在2009年至2015年的一次非常活跃的间​​谍活动之后，APT15突然变得安静了。该团队从2012年开始使用Mirage。2023年检测到Mirage变体，表明该团队又恢复了行动。这种新的RAT被称为 幻影狐 被用来监视英国政府承包商，并于2023年3月被发现。Mirage和MirageFox各自 充当受感染计算机上的代理. 入侵套件的Trojan部分轮询命令和控制地址以获取指令。这些指令然后在受害计算机上实现.

最初的Mirage RAT用于攻击 菲律宾的一家石油公司, 台湾军人, 加拿大一家能源公司, 以及巴西，以色列，尼日利亚和埃及的其他目标。 Mirage和MirageFox通过以下方式进入目标系统 鱼叉式网络钓鱼 广告活动。这些通常是针对受害者公司的高管。该木马以PDF格式嵌入交付。打开PDF会导致脚本执行并安装RAT. RAT的第一个动作是通过对受感染系统的功能进行审核，向命令与控制系统报告. 此信息包括CPU速度，内存容量和利用率，系统名称和用户名.

最初的系统报告使Mirage的设计人员似乎为了窃取系统资源而不是访问目标系统上的数据而设计了RAT。. 没有典型的幻影攻击 因为似乎每个入侵都是针对特定目标量身定制的。事实调查活动和系统检查可以预示RAT的安装。例如，2023年对英国军事承包商NCC的袭击 通过公司的授权VPN服务获得了对系统的访问权限.

每次攻击都是针对性强的事实，这意味着 海市age楼感染需要大量费用. 如此高的成本表明 幻影攻击通常只针对中国政府希望破坏或窃取技术的高价值目标.

远程访问木马威胁

虽然 许多RAT活动似乎是政府主导的, RAT工具箱的存在使 网络入侵是任何人都可以执行的任务. 因此，RAT和APT活动将不仅限于对军事或高科技公司的攻击.

RAT与其他恶意软件结合 躲藏起来, 意思就是 在计算机上安装防病毒软件不足以防止黑客使用这些方法控制您的系统. 调查 入侵检测系统 为了打败这种黑客策略.

您是否经历过网络入侵而导致数据损坏或丢失？您是否实施了入侵防御策略来预防RAT问题？在下面的评论部分留言以分享您的经验.