Videó: 💻 [TOP 5] Hasznos Program, amit minden számítógépemen használok 💻 (November 2024)
Néhány rosszindulatú program támadás annyira nyilvánvaló, hogy nem szabad kihagyni azt a tényt, hogy áldozatává váltak. A Ransomware programok zárolják az összes hozzáférést a számítógépéhez, amíg nem fizet, hogy a számítógép feloldódjon. A közösségi média-gépeltérítők bizarr állapotfrissítéseket tesznek a közösségi média oldalain, megfertőzve bárkit, aki rákattint a mérgezett linkre. Az adware programok akkor dobják fel az asztalra felugró hirdetéseket, ha egyetlen böngésző sem nyitott. Igen, ezek mind bosszantóak, de mivel tudod, hogy van egy probléma, dolgozhat egy vírusvédelmi megoldás megtalálásán.
A teljesen láthatatlan malware fertőzés sokkal veszélyesebb lehet. Ha az antivírus nem „látja”, és nem észlel semmilyen kéretlen viselkedést, akkor a rosszindulatú program ingyenesen nyomon tudja követni online banki tevékenységeit, vagy számítógépes teljesítményét rossz célokra felhasználhatja. Hogyan maradnak láthatatlanok? A rosszindulatú szoftverek négyféle módon rejthetnek el magukat tőled, és néhány ötletet követ el, hogy láthassák azokat.
Operációs rendszer felforgatása
Magától értetődőnek tekintjük, hogy a Windows Explorer felsorolhatja az összes fényképünket, dokumentumainkat és egyéb fájljainkat, ám sok a színfalak mögött történik, hogy ez megtörténjen. A szoftver illesztőprogram kommunikál a fizikai merevlemezzel, hogy megszerezze a biteket és bájtot, és a fájlrendszer ezeket a biteket és bájtákat fájlokba és mappákba értelmezi az operációs rendszer számára. Ha egy programnak fájlok vagy mappák listáját kell beszereznie, lekérdezi az operációs rendszert. Igaz, hogy bármely program szabadon lekérdezheti a fájlrendszert közvetlenül, vagy akár közvetlenül is kommunikálhat a hardverrel, ám rendkívül egyszerűen csak felhívni az operációs rendszert.
A Rootkit technológia lehetővé teszi, hogy egy rosszindulatú program hatékonyan törölje magát a látásból, az operációs rendszerre irányuló hívások megszakításával. Amikor egy program egy fájlok listáját kéri egy adott helyen, a gyökérkészlet továbbítja ezt a kérést a Windows-nak, majd a lista visszaadása előtt törli az összes hivatkozást a saját fájljaira. Az a víruskereső, amely szigorúan a Windows-ra támaszkodik a jelen lévő fájlokkal kapcsolatos információkra, soha nem fogja látni a rootkit-et. Egyes rootkit hasonló trükköket alkalmaz a nyilvántartási beállítások elrejtésére.
Nem fájl malware
Egy tipikus víruskereső megvizsgálja a lemezen lévő összes fájlt, ellenőrizve, hogy egyikük sem rosszindulatú-e, és beolvassa az egyes fájlokat is, mielőtt végrehajtja azokat. De mi van, ha nincs fájl? Tíz évvel ezelőtt a rohamos féreg pusztítást okozott a világ minden részén található hálózatokban. Közvetlenül a memóriában terjedt, egy puffer túllépés támadással tetszőleges kód végrehajtására, és soha nem írt fájlt a lemezen.
A közelmúltban a Kaspersky kutatói be nem jelentett Java fertőzésről számoltak be, amely az orosz híroldalak látogatóit támadta meg. Szalaghirdetések útján terjesztették a befecskendezett kódot közvetlenül egy alapvető Java folyamatba. Ha sikerült kikapcsolnia a felhasználói fiókok vezérlését, vegye fel a kapcsolatot a parancs- és vezérlőkiszolgálóval a következő lépésekkel kapcsolatban. Gondolj rá, mint egy banktiszt, aki a szellőzőcsatornán mászik be és kikapcsolja a biztonsági rendszert a legénység többi tagja számára. Kaspersky szerint ezen a ponton az egyik legfontosabb lépés a Lurk trójai telepítése.
A szigorúan a memóriában lévő rosszindulatú programok egyszerűen a számítógép újraindításával tisztíthatók. Ez részben így sikerült visszahoznia a Slammer-t a nap folyamán. De ha nem tudja, hogy van-e probléma, akkor nem is fogja tudni, hogy újra kell indítania.
Visszaorientált programozás
A Microsoft BlueHat Award díjbiztonsági kutatási versenyének mindhárom döntőse részt vett a visszatérés-orientált programozással (ROP). A ROP-t használó támadás félrevezető, mert nem telepíti a futtatható kódot, nem mint ilyen. Inkább megtalálja a kívánt utasításokat más programokban, akár az operációs rendszer részein is.
Pontosabban, egy ROP támadás keres egy olyan kódblokkokat (amelyeket a szakértők "moduloknak" neveznek), amelyek egyaránt hasznos funkciót látnak el, és RET (visszatérés) utasítással zárulnak. Amikor a CPU eléri ezt az utasítást, akkor visszatér az irányítás a hívási folyamathoz, ebben az esetben a ROP rosszindulatú programhoz, amely elindítja a következő scrownált kódblokkot, talán egy másik programból. Ez a nagyszámú eszközcímek csupán adatok, ezért a ROP-alapú malware észlelése nehéz.
Frankenstein malware
A tavalyi Usenix WOOT (szeminárium az sértő technológiákról) konferencián a texasi egyetemi kutatók párja a dallas-i ötletet bemutatta, amely hasonló a visszatérés-orientált programozáshoz. A „Frankenstein: A rosszindulatú programok összefűzése a jóindulatú binárisokról” című cikkben leírják a nehezen felismerhető rosszindulatú programok létrehozásának technikáját az ismert és megbízható programokból származó kóddarabok összeillesztésével.
"Azáltal, hogy az új bináris fájlt teljes egészében a jóindulatú osztályba sorolt bináris fájlok szekvenciáiból állítja össze" - magyarázza a cikk - "a kapott mutánsok valószínűleg nem egyeznek meg az olyan aláírásokkal, amelyek tartalmazzák a bináris tulajdonságok feketelistáját és feketelistáját". Ez a technika sokkal rugalmasabb, mint a ROP, mert bármilyen kódrészt tartalmazhat, nem csak egy darabot, amely az összes fontos RET utasítással végződik.
Hogyan lehet látni a láthatatlant
Jó dolog az, hogy segítséget kaphat ezeknek a alattomos rosszindulatú programok felismerésében. Például a víruskereső programok többféle módon is felismerhetik a rootkit-programokat. Az egyik lassú, de egyszerű módszer a lemezen lévő összes fájl ellenőrzése a Windows jelentése szerint, egy másik ellenőrzés a fájlrendszer közvetlen lekérdezésével és az eltérések keresésével jár. Mivel a rootkit-ek kifejezetten felforgatják a Windows-ot, egy antivírus, amely nem Windows operációs rendszerre indul, nem kerül becsapásra.
A csak memória nélküli fájl nélküli fenyegetés megbukik a vírusvédelem ellen, amely nyomon követi az aktív folyamatokat, vagy blokkolja támadási vektorát. Lehet, hogy a biztonsági szoftver blokkolja a fertőzött webhely hozzáférését az adott fenyegetést kiszolgáló webhelyhez, vagy blokkolja a befecskendezés technikáját.
A Frankenstein technika talán becsaphatja a szigorúan aláírás-alapú vírusölőket, ám a modern biztonsági eszközök meghaladják az aláírásokat. Ha a patchwork malware valójában rosszindulatúak, akkor egy viselkedésen alapuló szkenner valószínűleg megtalálja. És mivel még soha nem láttak ilyen helyet, egy olyan rendszer, mint a Symantec Norton File Insight, amely figyelembe veszi a prevalenciát, veszélyes anomáliává fogja jelölni.
A visszatérés-orientált programozási támadások enyhítését illetően, nos, ez nehéz feladat, de sok agyi erőt szenteltek annak megoldására. Gazdasági hatalom is - a Microsoft negyedmillió dollárt ítél oda a legfontosabb kutatóknak, akik ezzel a problémával foglalkoznak. Továbbá, mivel annyira támaszkodnak bizonyos érvényes programok jelenlétére, a ROP támadásokat valószínűleg inkább meghatározott célok ellen használják, nem pedig egy elterjedt rosszindulatú programban. Az otthoni számítógép valószínűleg biztonságban van; az irodai számítógépére, nem annyira.
