Video: Top 10 Nejhorší počítačové viry (November 2024)
Niektoré útoky škodlivého softvéru sú tak očividné, že nemôžete nechať ujsť skutočnosť, že ste sa stali obeťou. Programy Ransomware blokujú všetok prístup k počítaču, kým nezaplatíte jeho odomknutie. Únoscovia sociálnych médií zverejňujú na svojich stránkach sociálnych médií bizarné aktualizácie stavu, čím infikujú každého, kto klikne na ich otrávené odkazy. Programy Adware rozhadzujú plochu pomocou reklamných okien, aj keď nie je otvorený žiadny prehliadač. Áno, všetky sú dosť nepríjemné, ale keďže viete, existuje problém, že môžete nájsť antivírusové riešenie.
Úplne neviditeľné napadnutie škodlivým softvérom môže byť oveľa nebezpečnejšie. Ak váš antivírus „nevidí“ a nevšimnete si nijakého nevhodného správania, malvér môže sledovať svoje činnosti v oblasti online bankovníctva alebo využívať svoju výpočtovú silu na škodlivé účely. Ako zostávajú neviditeľní? Tu sú štyri spôsoby, ako sa môže malware pred vami skryť, nasledované niektorými nápadmi, ako vidieť nevyhovujúce.
Subversion operačného systému
Považujeme za samozrejmé, že program Prieskumník systému Windows dokáže uviesť všetky naše fotografie, dokumenty a ďalšie súbory, ale v zákulisí toho veľa pokračuje. Softvérový ovládač komunikuje s fyzickým pevným diskom za účelom získania bitov a bajtov a systém súborov interpretuje tieto bity a bajty do súborov a priečinkov pre operačný systém. Ak program potrebuje získať zoznam súborov alebo priečinkov, spýta sa na operačný systém. Po pravde povedané, každý program by mohol slobodne vyhľadávať súborový systém priamo alebo dokonca priamo komunikovať s hardvérom, ale je oveľa jednoduchšie jednoducho zavolať na operačný systém.
Rootkit technológia umožňuje škodlivému programu efektívne vymazať sa z pohľadu zachytením týchto volaní do operačného systému. Keď program požiada o zoznam súborov v určitom umiestnení, rootkit postúpi túto požiadavku systému Windows a pred vrátením zoznamu odstráni všetky odkazy na svoje vlastné súbory. Antivírus, ktorý sa striktne spolieha na Windows, pokiaľ ide o informácie o tom, ktoré súbory sú prítomné, rootkit nikdy neuvidí. Niektoré rootkity používajú podobné podvody, aby skryli svoje nastavenia registra.
Malware bez súborov
Typický antivírus kontroluje všetky súbory na disku a kontroluje, či nie sú škodlivé, a tiež kontroluje každý súbor pred jeho spustením. Ale čo keď neexistuje súbor? Pred desiatimi rokmi červ slammer spôsobil zmätok v sieťach po celom svete. Šírilo sa priamo v pamäti pomocou útoku na prekročenie vyrovnávacej pamäte na vykonanie ľubovoľného kódu a nikdy nenapísalo súbor na disk.
Nedávno vedci spoločnosti Kaspersky informovali o tom, že infiltrácia Java bez súboru útočila na návštevníkov ruských spravodajských serverov. Využívaný prostredníctvom reklamných bannerov využíva zneužitý kód priamo do základného procesu Java. Ak sa jej podarí vypnúť kontrolu používateľských účtov, obráti sa na svoj príkazový a riadiaci server a požiada ho o pokyny, ako postupovať ďalej. Zamyslite sa nad tým ako s bankou v lúpeži, ktorá sa plazí cez vetracie kanály a vypína bezpečnostný systém pre zvyšok posádky. Podľa spoločnosti Kaspersky je v tomto momente jednou z bežných akcií inštalácia trurského lurka.
Škodlivý softvér, ktorý je prísne v pamäti, sa dá vyčistiť jednoducho reštartovaním počítača. To je čiastočne to, ako sa im podarilo v priebehu dňa Slammera zosadiť. Ale ak neviete, že existuje problém, nebudete vedieť, že musíte reštartovať počítač.
Programovanie zamerané na návrat
Všetci traja finalisti v súťaži spoločnosti Microsoft o ocenenie BlueHat Prize sa zaoberali programom Return Oriented Programming alebo ROP. Útok, ktorý používa ROP, je zákerný, pretože nenainštaluje spustiteľný kód, nie ako taký. Skôr nájde pokyny, ktoré chce v rámci iných programov, dokonca aj v častiach operačného systému.
Konkrétne útok ROP hľadá bloky kódu (nazývané odborníkmi), ktoré vykonávajú užitočnú funkciu a končia inštrukciou RET (návrat). Keď CPU zasiahne túto inštrukciu, vráti riadenie volajúcemu procesu, v tomto prípade malware ROP, ktorý spúšťa ďalší skroungovaný blok kódu, pravdepodobne z iného programu. Tento veľký zoznam adries modulov gadget je iba údajom, takže detekcia škodlivého softvéru založeného na ROP je náročná.
Frankensteinov malvér
Na minuloročnej konferencii Usenix WOOT (Workshop on Offensive Technologies) predstavil dvojica vedcov z Texaskej univerzity v Dallase nápad podobný programu zameranému na návrat. V článku s názvom „Frankenstein: Šitie malwaru od benígnych binárnych súborov“ opísali techniku vytvárania ťažko detekovateľného škodlivého softvéru pomocou zhromažďovania kúskov kódu zo známych a dôveryhodných programov.
„Zložením nového binárneho súboru úplne z bajtových sekvencií bežných pre binárne klasifikované binárne súbory, “ vysvetľuje štúdia, „je menej pravdepodobné, že výsledné mutanty budú porovnávať podpisy, ktoré zahŕňajú bielu listinu aj čiernu listinu.“ Táto technika je omnoho flexibilnejšia ako ROP, pretože môže obsahovať akýkoľvek kúsok kódu, nielen kus, ktorý končí dôležitou inštrukciou RET.
Ako vidieť neviditeľné
Dobrá vec je, že môžete získať pomoc pri odhaľovaní týchto záludných škodlivých programov. Napríklad antivírusové programy dokážu rootkity detekovať niekoľkými spôsobmi. Jedna pomalá, ale jednoduchá metóda zahŕňa vykonanie auditu všetkých súborov na disku podľa hlásení systému Windows, vykonanie ďalšieho auditu priamym dotazom na systém súborov a hľadanie nezrovnalostí. A keďže rootkity špecificky podvracajú Windows, antivírusový program, ktorý sa zavedie do OS iného ako Windows, nebude oklamaný.
Antivírusová ochrana, ktorá sleduje iba aktívne súbory, podľahne antivírusovej ochrane, ktorá sleduje aktívne procesy alebo blokuje jeho útokový vektor. Váš bezpečnostný softvér môže blokovať prístup na infikovanú webovú stránku, ktorá slúži tejto hrozbe, alebo blokovať jej techniku vstrekovania.
Frankensteinova technika by mohla oklamať striktne založený antivírusový program, ale moderné bezpečnostné nástroje idú nad rámec podpisov. Ak patchworkový malware skutočne robí niečo škodlivé, pravdepodobne ho nájde skener založený na správaní. A keďže to ešte nikdy predtým nikto nevidel, systém ako Symantec's Norton File Insight, ktorý zohľadňuje prevalenciu, ho označí ako nebezpečnú anomáliu.
Pokiaľ ide o zmiernenie útokov zameraných na návrat, je to síce ťažké, ale na ich vyriešenie bolo vynaložených veľa úsilia. Aj ekonomická sila - spoločnosť Microsoft udelila štvrtinu milióna dolárov najlepším vedcom pracujúcim na tomto probléme. Taktiež, pretože sa veľmi spoliehajú na prítomnosť konkrétnych platných programov, je pravdepodobnejšie, že útoky ROP sa použijú proti konkrétnym cieľom, nie v rozsiahlej kampani na škodlivý softvér. Váš domáci počítač je pravdepodobne bezpečný; váš kancelársky počítač, nie toľko.