Video: 😈 De cate tipuri poate fi un Malware ? | Virus, Troian, Ransomware | Invata Securitate Ep. 11 (Octombrie 2024)
Unele atacuri malware sunt atât de flagrante încât nu puteți rata faptul că ați fost victimizat. Programele Ransomware blochează tot accesul la computer până când plătiți pentru a-l debloca. Avioanele de socializare postează actualizări bizare de stare pe paginile dvs. de socializare, infectând pe orice persoană care face clic pe linkurile lor otrăvite. Programele Adware aruncă desktopul cu reclame pop-up chiar și atunci când niciun browser nu este deschis. Da, toate sunt destul de enervante, dar din moment ce știi că există o problemă, poți lucra la găsirea unei soluții antivirus.
O infestare cu malware total invizibilă poate fi mult mai periculoasă. Dacă antivirusul tău nu îl „vede” și nu observi niciun comportament neatent, malware-ul este liber să-ți urmărească activitățile bancare online sau să-ți folosească puterea de calcul în scopuri nefaste. Cum rămân invizibili? Iată patru moduri în care malware vă poate ascunde, urmate de câteva idei pentru a vedea ceea ce nu poate fi văzut.
Subversiunea sistemului de operare
Considerăm că Windows Explorer poate enumera toate fotografiile, documentele și alte fișiere, dar multe se întâmplă în spatele scenei pentru a face acest lucru. Un driver de software comunică cu hard disk-ul fizic pentru a obține biți și octeți, iar sistemul de fișiere interpretează acele biți și octeți în fișiere și foldere pentru sistemul de operare. Când un program trebuie să obțină o listă de fișiere sau foldere, acesta solicită sistemul de operare. Într-adevăr, orice program ar fi liber să interogheze sistemul de fișiere direct sau chiar să comunice direct cu hardware-ul, dar este mult mai ușor să apelezi doar la sistemul de operare.
Tehnologia Rootkit permite unui program rău intenționat să se șteargă din vedere prin interceptarea acelor apeluri către sistemul de operare. Când un program solicită o listă de fișiere într-o anumită locație, rootkit trece acea solicitare către Windows, apoi șterge toate referințele la propriile fișiere înainte de a returna lista. Un antivirus care se bazează strict pe Windows pentru informații despre fișierele prezente nu va vedea niciodată rootkit-ul. Unele rootkit-uri aplică trucuri similare pentru a-și ascunde setările Registrului.
Malware fără fișier
Un antivirus tipic scanează toate fișierele de pe disc, verificând pentru a vă asigura că niciunul nu este rău intenționat și, de asemenea, scanează fiecare fișier înainte de a permite executarea acestuia. Dar dacă nu există fișier? În urmă cu zece ani, viermele cel mai slab a făcut ravagii în rețelele din întreaga lume. S-a propagat direct în memorie, folosind un atac de depășire a tamponului pentru a executa cod arbitrar și nu a scris niciodată un fișier pe disc.
Mai recent, cercetătorii Kaspersky au raportat o infecție Java fără fișiere care atacă vizitatorii site-urilor de știri rusești. Propagat prin anunțuri banner, exploitarea codului injectat direct într-un proces esențial Java. În cazul în care a reușit să oprească Controlul contului de utilizator, acesta va contacta serverul său de comandă și control pentru instrucțiuni despre ce trebuie să facă în continuare. Gândiți-vă la acesta ca la un coleg de la o bancă care se târâie prin conductele de ventilație și oprește sistemul de securitate pentru restul echipajului. Potrivit Kaspersky, o acțiune comună în acest moment este instalarea troianului Lurk.
Programele malware care sunt strict în memorie pot fi curățate pur și simplu repornind computerul. În parte, în felul acesta, au reușit să-l doboare pe Slammer în timpul zilei. Dar dacă nu știți că există o problemă, nu veți ști că trebuie să reporniți.
Programare orientată spre întoarcere
Toți cei trei finaliști din concursul de cercetare pentru securitate al premiului BlueHat Microsoft au implicat o abordare cu programarea orientată spre întoarcere sau ROP. Un atac care folosește ROP este insidios, deoarece nu instalează cod executabil, nu ca atare. Mai degrabă, găsește instrucțiunile pe care le dorește în cadrul altor programe, chiar părți ale sistemului de operare.
Mai exact, un atac ROP caută blocuri de cod (numite „gadgeturi” de către experți) care ambele îndeplinesc unele funcții utile și se încheie cu o instrucțiune RET (return). Când CPU atinge acea instrucțiune, returnează controlul la procesul de apelare, în acest caz malware-ul ROP, care lansează următorul bloc de cod scanat, poate dintr-un program diferit. Acea listă mare de adrese gadget este doar date, astfel încât detectarea malware bazat pe ROP este dificil.
Malware-ul lui Frankenstein
La conferința Usenix WOOT (Workshop on Offensive Technologies) de anul trecut, o pereche de cercetători de la Universitatea Texas din Dallas au prezentat o idee similară cu programarea orientată spre întoarcere. Într-o lucrare intitulată "Frankenstein: Stitching Malware de la Benign Binaries", ei au descris o tehnică pentru crearea de malware greu de detectat, prin alcătuirea unor bucăți de cod din programe cunoscute și de încredere.
"Compunând noul binar complet în afara secvențelor de octeți comune binarelor de clasă benignă", explică lucrarea, "mutanții rezultați sunt mai puțin susceptibili de a se potrivi cu semnăturile care includ atât lista albă, cât și lista neagră a funcțiilor binare". Această tehnică este mult mai flexibilă decât ROP, deoarece poate încorpora orice bucată de cod, nu doar o bucată care se termină cu instrucțiunea RET atât de importantă.
Cum să vezi Invisibilul
Lucrul bun este că puteți obține ajutor pentru a detecta aceste programe rău intenționate. De exemplu, programele antivirus pot detecta rootkit-uri în mai multe moduri. O metodă lentă, dar simplă, presupune efectuarea unui audit al tuturor fișierelor de pe disc, așa cum este raportat de Windows, efectuarea unui alt audit prin interogarea directă a sistemului de fișiere și căutarea discrepanțelor. Și din moment ce rootkit-urile subvertesc în mod special Windows, un antivirus care se lansează într-un sistem de operare non-Windows nu va fi păcălit.
O amenințare fără memorie, fără fișier, va ceda la protecția antivirus care ține evidența proceselor active sau blochează vectorul său de atac. Software-ul dvs. de securitate ar putea bloca accesul la site-ul web infectat, care ar reprezenta această amenințare sau ar putea bloca tehnica de injecție a acestuia.
Tehnica Frankenstein ar putea păcăli foarte bine un antivirus bazat pe semnături, dar instrumentele de securitate moderne depășesc semnăturile. Dacă malware-ul patchwork face de fapt ceva rău intenționat, probabil un scaner bazat pe comportament îl va găsi. Și din moment ce nu a mai fost văzut nicăieri, un sistem precum Norton File Insight de Symantec, care ține cont de prevalență, îl va marca ca o anomalie periculoasă.
În ceea ce privește atenuarea atacurilor de programare orientată spre întoarcere, bine, acesta este unul dur, dar o mulțime de puteri ale creierului au fost dedicate soluționării acesteia. Putere economică - Microsoft a acordat un sfert de milion de dolari cercetătorilor de top care lucrează la această problemă. De asemenea, deoarece se bazează atât de mult pe prezența anumitor programe valide, atacurile POR sunt mai susceptibile de a fi utilizate împotriva unor ținte specifice, nu într-o campanie malware răspândită. Calculatorul de acasă este probabil în siguranță; computerul de birou, nu atât.
