Nejsměsnější druhy malwaru

Některé útoky malwaru jsou tak očividné, že si nemůžete nechat ujít skutečnost, že jste byli obětí. Ransomware programy zamknou veškerý přístup k vašemu počítači, dokud nezaplatíte jeho odemčení. Únosci sociálních médií zveřejňují bizarní aktualizace stavu na vašich stránkách sociálních médií a infikují každého, kdo klikne na jejich otrávené odkazy. Adware programy rozhazují vaši plochu pomocí vyskakovacích reklam, i když není otevřen žádný prohlížeč. Ano, to vše je docela nepříjemné, ale protože víte, že existuje problém, můžete pracovat na nalezení antivirového řešení.

Zcela neviditelné napadení malwarem může být mnohem nebezpečnější. Pokud váš antivirový program „nevidí“ a nevšimnete si žádného nevhodného chování, malware může sledovat své činnosti v oblasti online bankovnictví nebo využívat výpočetní sílu pro škodlivé účely. Jak zůstávají neviditelní? Zde jsou čtyři způsoby, jak se před vámi může malware skrýt, následuje několik nápadů, jak vidět nepoužitelné.

Subversion operačního systému

Považujeme za samozřejmé, že Průzkumník Windows může zobrazit všechny naše fotografie, dokumenty a další soubory, ale za scénami se toho hodně děje. Softwarový ovladač komunikuje s fyzickým pevným diskem za účelem získání bitů a bajtů a systém souborů tyto bity a bajty interpretuje do souborů a složek pro operační systém. Pokud program potřebuje získat seznam souborů nebo složek, zeptá se operačního systému. Po pravdě řečeno, každý program by mohl volně vyhledávat souborový systém přímo nebo dokonce přímo komunikovat s hardwarem, ale je mnohem jednodušší zavolat na OS.

Rootkit technologie umožňuje škodlivému programu účinně vymazat sám z pohledu tím, že zachytí tato volání do operačního systému. Když program požádá o seznam souborů v určitém umístění, rootkit předá tuto žádost systému Windows a před vrácením seznamu odstraní veškerý odkaz na své vlastní soubory. Antivirus, který se striktně spoléhá na Windows, pokud jde o informace o tom, jaké soubory jsou přítomné, rootkit nikdy neuvidí. Některé rootkity používají podobné podvody, aby skryly nastavení registru.

Malware bez souborů

Typický antivirový program prohledává všechny soubory na disku a kontroluje, zda nejsou škodlivé, a také před každým spuštěním prověřuje každý soubor. Ale co když neexistuje žádný soubor? Před deseti lety způsobil červ slammer v sítích po celém světě zmatek. Šíří se přímo v paměti pomocí útoku přetečení vyrovnávací paměti k provedení libovolného kódu a nikdy nenapsal soubor na disk.

Nedávno vědci společnosti Kaspersky hlásili, že infekce Java bez souborů útočí na návštěvníky ruských zpravodajských serverů. Využívá se prostřednictvím bannerových reklam, využívá exploitovaný kód přímo do základního procesu Java. Pokud se jí podaří vypnout řízení uživatelských účtů, obraťte se na jeho příkazový a řídicí server a požádejte o pokyny, co dělat dále. Přemýšlejte o tom jako o členovi v banské loupeži, který se plazí ventilačními kanály a vypíná bezpečnostní systém pro zbytek posádky. Podle společnosti Kaspersky je v tomto bodě jednou z běžných akcí instalace trojského koně Lurk.

Malware, který je striktně v paměti, lze odstranit jednoduše restartováním počítače. To je částečně způsob, jak se jim podařilo Slammera v průběhu dne sundat. Pokud ale nevíte, že je problém, nebudete vědět, že je třeba restartovat počítač.

Návrat orientované programování

Všichni tři finalisté v soutěži Microsoft BlueHat Prize o bezpečnostní výzkum se zabývali Return Oriented Programming neboli ROP. Útok, který používá ROP, je zákeřný, protože nenainstaluje spustitelný kód, nikoli jako takový. Spíše najde požadované pokyny v jiných programech, dokonce i v částech operačního systému.

Konkrétně útok ROP hledá bloky kódu (nazvané „gadgety“ odborníky), které vykonávají nějakou užitečnou funkci a končí instrukcí RET (návrat). Když CPU zasáhne tuto instrukci, vrátí řízení volajícímu procesu, v tomto případě malware ROP, který zahajuje další skroungovaný blok kódu, možná z jiného programu. Tento velký seznam adres gadgetů jsou pouze data, takže detekování malwaru založeného na ROP je obtížné.

Frankensteinův malware

Na loňské konferenci Usenix WOOT (Workshop on Offensive Technologies) představil dvojice vědců z University of Texas v Dallasu nápad podobný návratu orientovanému programování. V článku nazvaném „Frankenstein: Sešívání malwaru z benigních binárních souborů“ popsali techniku ​​vytváření těžko detekovatelného škodlivého softwaru tak, že spojili kousky kódu ze známých a důvěryhodných programů.

„Skládáním nového binárního kódu zcela z bajtových sekvencí společných pro benigní klasifikované binární soubory, “ vysvětluje práce, „výsledné mutanty pravděpodobně méně odpovídají podpisům, které zahrnují jak whitelisting, tak blacklisting binárních funkcí.“ Tato technika je mnohem flexibilnější než ROP, protože může zahrnovat jakýkoli kus kódu, ne pouze kus, který končí důležitou instrukcí RET.

Jak vidět neviditelné

Dobrá věc je, že můžete získat pomoc při odhalování těchto záludných škodlivých programů. Antivirové programy mohou například rootkity detekovat několika způsoby. Jedna pomalá, ale jednoduchá metoda zahrnuje provedení auditu všech souborů na disku podle hlášení systému Windows, provedení dalšího auditu přímým dotazem na systém souborů a hledání nesrovnalostí. A protože rootkity konkrétně podvracují Windows, antivirus, který se zavádí do operačního systému jiného než Windows, nebude oklamán.

Antivirová ochrana, která sleduje pouze aktivní procesy, nebo blokuje její útočný vektor, ohrožuje pouze paměť bez hrozeb. Váš bezpečnostní software může zablokovat přístup na infikovaný web, který tuto hrozbu obsluhuje, nebo zablokovat jeho techniku ​​injekce.

Frankensteinova technika by mohla oklamat přísně antivirový program založený na podpisech, ale moderní bezpečnostní nástroje jdou nad rámec podpisů. Pokud patchwarový malware skutečně dělá něco škodlivého, pravděpodobně jej najde skener založený na chování. A protože to nikdy předtím nebylo vidět, systém jako Symantec's Norton File Insight, který bere v úvahu převahu, jej označí jako nebezpečnou anomálii.

Pokud jde o zmírnění útoků zaměřených na návrat, je to sice těžké, ale jeho vyřešení bylo věnováno mnoho mozku. Také ekonomická síla - Microsoft udělil čtvrt milionu dolarů špičkovým vědcům, kteří se zabývají tímto problémem. Také proto, že se tak silně spoléhají na přítomnost konkrétních platných programů, útoky ROP budou s větší pravděpodobností použity proti konkrétním cílům, nikoli v rozsáhlé kampani na malware. Váš domácí počítač je pravděpodobně bezpečný; váš kancelářský počítač, ne tolik.