У дома Отзиви Най-скритите видове злонамерен софтуер

Най-скритите видове злонамерен софтуер

Видео: Мультики про машинки новые серии 2017 - Кто сильнее! Лучшие мультфильмы для детей /#мультик игра (Ноември 2024)

Видео: Мультики про машинки новые серии 2017 - Кто сильнее! Лучшие мультфильмы для детей /#мультик игра (Ноември 2024)
Anonim

Някои атаки на злонамерен софтуер са толкова крещящи, че не можете да пропуснете факта, че сте били жертва. Програмите Ransomware блокират целия достъп до компютъра, докато не платите, за да го отключите. Похитителите на социални медии публикуват странни актуализации за състоянието на страниците ви в социалните медии, заразявайки всеки, който кликне върху отровените им връзки. Рекламните програми заливат работния плот с изскачащи реклами, дори когато не е отворен браузър. Да, всички те са доста досадни, но тъй като знаете, че има проблем, можете да работите върху намирането на антивирусно решение.

Напълно невидима зараза с зловреден софтуер може да бъде много по-опасна. Ако вашият антивирус не го „вижда“ и не забелязвате недоброжелателно поведение, зловредният софтуер е свободен да проследява вашите онлайн банкови дейности или да използва вашите изчислителни способности за коварни цели. Как остават невидими? Ето четири начина, по които злонамереният софтуер може да се скрие от вас, последван от някои идеи за виждане на невидимото.

    Subversion на операционната система

    Приемаме за даденост, че Windows Explorer може да изброява всички наши снимки, документи и други файлове, но много неща се случват зад кулисите, за да се случи това. Софтуерният драйвер комуникира с физическия твърд диск, за да получи битовете и байтовете, а файловата система интерпретира тези битове и байтове във файлове и папки за операционната система. Когато една програма трябва да получи списък с файлове или папки, тя пита операционната система. В действителност, всяка програма би била свободна да запитва директно файловата система или дори да комуникира директно с хардуера, но е много по-лесно просто да се обадите в операционната система.

    Технологията Rootkit позволява на злонамерена програма ефективно да се изтрие от гледката, като прихваща обажданията към операционната система. Когато програма поиска списък с файлове на определено място, rootkit предава тази заявка в Windows, след което изтрива всички препратки към собствените си файлове, преди да върне списъка. Антивирус, който разчита строго на Windows за информация относно наличните файлове, никога няма да види rootkit. Някои руткити прилагат подобна хитрост, за да скрият настройките си в системния регистър.

    Не-файл Malware

    Типичният антивирус сканира всички файлове на диска, като проверява дали нито един не е злонамерен, а също така сканира всеки файл, преди да му позволи да се изпълни. Но какво ще стане, ако няма файл? Преди десет години по-слабият червей предизвика хаос в мрежите по целия свят. Той се разпространява директно в паметта, използвайки атака за надхвърляне на буфер за изпълнение на произволен код и никога не записва файл на диск.

    Съвсем наскоро изследователите на Касперски съобщиха за липса на Java инфекция, атакуваща посетителите на руски новинарски сайтове. Разпространен чрез рекламни банери, експлоатационният код се инжектира директно в основен Java процес. Ако успее да изключи Контрола на потребителските акаунти, той ще се свърже със своя команден и контролен сървър за инструкции какво да правите по-нататък. Помислете за това като за съгражданите в банковата печка, които пропълзяват през вентилационните канали и изключват системата за сигурност за останалата част от екипажа. Според Касперски едно често действие в този момент е инсталирането на Lurk Trojan.

    Зловредният софтуер, който е строго в паметта, може да бъде изчистен, просто като рестартирате компютъра. Това отчасти е начинът, по който те успяха да свалят Slammer обратно през деня. Но ако не знаете, че има проблем, няма да знаете, че трябва да рестартирате.

    Обратно ориентирано програмиране

    И тримата финалисти в изследователския конкурс за сигурност на BlueHat Prize на Microsoft се занимаваха с връщане ориентирано програмиране или ROP. Атака, която използва ROP, е коварна, защото не инсталира изпълним код, а не като такъв. По-скоро намира инструкциите, които иска в рамките на други програми, дори части от операционната система.

    По-конкретно, ROP атаката търси блокове от кодове (наричани от специалистите „джаджи“), които и двете изпълняват някаква полезна функция и завършват с инструкция за RET (връщане). Когато централният процесор удари тази инструкция, той връща контрола на процеса на извикване, в този случай злонамерения софтуер ROP, който стартира следващия кодиран блок от код, може би от друга програма. Този голям списък с адреси на притурки е само данни, така че откриването на ROP-базиран злонамерен софтуер е трудно.

    Зловреден софтуер на Франкенщайн

    На миналогодишната конференция Usenix WOOT (семинар по нападателните технологии) двойка изследователи от Тексаския университет в Далас представиха идея, подобна на връщането ориентирано програмиране. В документ, озаглавен „Frankenstein: Stitching malware from Benign Binaries“, те описаха техника за създаване на трудно откриваем злонамерен софтуер чрез събиране на парчета код от известни и надеждни програми.

    „Съставяйки новата двоична форма изцяло от байтови последователности, общи за доброкачествено класифицирани двоични файлове“, обяснява документът, „получените мутанти са по-малко склонни да съвпадат с подписи, които включват както бели списъци, така и черни списъци на двоични характеристики.“ Тази техника е много по-гъвкава от ROP, тъй като може да включва всеки фрагмент код, а не само парче, което завършва с всички важни инструкции за RET.

Как да видите невидимото

Хубавото е, че можете да получите помощ за откриване на тези подли злонамерени програми. Например антивирусните програми могат да откриват руткити по няколко начина. Един бавен, но прост метод включва извършване на одит на всички файлове на диска, както е докладвано от Windows, извършване на друг одит чрез директно запитване на файловата система и търсене на несъответствия. И тъй като rootkits специално подриват Windows, антивирус, който се стартира в ОС извън Windows, няма да се заблуди.

Заплахата без файлове, само за памет, ще се поддаде на антивирусна защита, която следи активните процеси или блокира своя вектор за атака. Вашият софтуер за сигурност може да блокира достъпа до заразения уебсайт, обслужващ тази заплаха, или да блокира техниката му на инжектиране.

Техниката на Франкенщайн може да заблуди строго базиран на подписи антивирусен, но съвременните инструменти за сигурност надхвърлят подписа. Ако злонамереният софтуер на patchwork действително направи нещо злонамерено, скенер на базата на поведение вероятно ще го намери. И тъй като никога досега не е бил виждан, система като Norton File Insight на Symantec, която взема предвид разпространението, ще я маркира като опасна аномалия.

Що се отнася до смекчаването на атаките за програмиране, ориентирано към връщане, това е трудно, но за решаването му беше отделено много мозъчна сила. Икономическа мощ също - Microsoft присъди четвърт милион долара на най-добрите изследователи, работещи по този проблем. Освен това, тъй като разчитат толкова много на наличието на конкретни валидни програми, по-вероятно е ROP атаките да се използват срещу конкретни цели, а не в широко разпространена кампания за злонамерен софтуер. Вашият домашен компютър вероятно е безопасен; вашия офис компютър, не толкова.

Най-скритите видове злонамерен софтуер