Video: A Show of Scrutiny | Critical Role: THE MIGHTY NEIN | Episode 2 (Lokakuu 2024)
Jotkut haittaohjelmahyökkäykset ovat niin räikeitä, et voi unohtaa sitä tosiasiaa, että olet joutunut uhriksi. Ransomware-ohjelmat sulkevat kaiken tietokoneesi käyttöoikeuden, kunnes maksat sen lukituksen. Sosiaalisen median kaappaajat julkaisevat omituisia tilapäivityksiä sosiaalisen median sivuillesi tartuttaen ketään, joka napsauttaa myrkytettyjä linkkejä. Mainosohjelmat roskaavat työpöytäsi ponnahdusikkunoilla, vaikka mikään selain ei ole auki. Kyllä, ne ovat kaikki melko ärsyttäviä, mutta koska tiedät ongelman, voit työskennellä virustorjuntaratkaisun löytämisessä.
Täysin näkymätön haittaohjelma-tartunta voi olla paljon vaarallisempi. Jos virustentorjuntasi ei "näe" sitä ja et huomaa epätoivottua käyttäytymistä, haittaohjelma voi vapaasti seurata verkkopankkitoimintaasi tai käyttää laskentatehoasi vahingollisiin tarkoituksiin. Kuinka ne pysyvät näkymättöminä? Tässä on neljä tapaa, jolla haittaohjelmat voivat piiloutua sinulta, ja seuraa joitain ideoita sen näkemiseksi.
Käyttöjärjestelmän Subversio
Pidämme itsestäänselvyytenä, että Windows Explorer voi luetella kaikki valokuvat, asiakirjat ja muut tiedostot, mutta paljon tapahtuu kulissien takana, jotta se tapahtuisi. Ohjelmisto-ohjain kommunikoi fyysisen kiintolevyn kanssa saadakseen bittejä ja tavuja, ja tiedostojärjestelmä tulkitsee nämä bitit ja tavut tiedostoiksi ja kansioiksi käyttöjärjestelmälle. Kun ohjelman on haettava luettelo tiedostoista tai kansioista, se kysyy käyttöjärjestelmää. Itse asiassa mikä tahansa ohjelma voisi vapaasti kysyä tiedostojärjestelmää suoraan tai jopa kommunikoida suoraan laitteiston kanssa, mutta on huomattavasti helpompaa vain soittaa käyttöjärjestelmälle.
Rootkit-tekniikka antaa haittaohjelman poistaa tehokkaasti itsensä näkymästä sieppaamalla nämä puhelut käyttöjärjestelmään. Kun ohjelma pyytää luetteloa tietyssä paikassa olevista tiedostoista, juurikoodi välittää pyynnön Windowsille, poistaa sitten kaikki viittaukset omiin tiedostoihinsa ennen luettelon palauttamista. Virustentorjunta, joka perustuu ehdottomasti Windowsin tietoihin olemassa olevista tiedostoista, ei koskaan näe juurikoodia. Jotkut juurikomplektit käyttävät samanlaista huijausta rekisteröintiasetustensa piilottamiseen.
Ei tiedostohaittaohjelmia
Tyypillinen virustorjunta skannaa kaikki levyllä olevat tiedostot tarkistamalla, ettei yksikään niistä ole haitallista, ja skannaa myös jokaisen tiedoston ennen sen sallimista sen suorittamiseen. Mutta entä jos tiedostoa ei ole? Kymmenen vuotta sitten ryöstömato aiheutti tuhoa maailmanlaajuisissa verkoissa. Se levisi suoraan muistiin käyttämällä puskurin ylityshyökkäystä mielivaltaisen koodin suorittamiseen eikä koskaan kirjoittanut tiedostoa levylle.
Äskettäin Kaspersky-tutkijat ilmoittivat, että tiedostoa ei ole Java-tartunta, joka hyökkäsi Venäjän uutissivustojen kävijöitä. Bannerimainosten kautta levitettävä hyväksikäytetty koodi suoraan olennaiseen Java-prosessiin. Jos se onnistuu sammuttamaan käyttäjätilien valvonnan, se ottaa yhteyttä komento- ja hallintapalvelimeen saadaksesi ohjeita seuraavaksi. Ajattele sitä miehenä pankkivastaajana, joka indeksoi tuuletuskanavien läpi ja sammuttaa turvajärjestelmän muulle miehistölle. Kasperskyn mukaan yksi yhteinen toimenpide tässä vaiheessa on Lurk-troijalaisen asentaminen.
Vain muistissa olevat haittaohjelmat voidaan puhdistaa yksinkertaisesti käynnistämällä tietokone uudelleen. Näin he osittain pystyivät ottamaan Slammerin takaisin päivässä. Mutta jos et tiedä ongelmaa, et tiedä, että sinun on käynnistettävä uudelleen.
Paluuorientoitu ohjelmointi
Kaikki kolme Microsoftin BlueHat-palkinnon turvatutkimuskilpailun finalistia osallistuivat paluun suuntautuneeseen ohjelmointiin tai ROP-ohjelmaan. Hyökkäys, joka käyttää ROP: ta, on salakavala, koska se ei asenna suoritettavaa koodia, ei sellaisenaan. Pikemminkin se löytää haluamansa ohjeet muista ohjelmista, jopa käyttöjärjestelmän osista.
Tarkemmin sanottuna ROP-hyökkäys etsii koodilohkoja (joita asiantuntijat kutsuvat "vempaimiksi"), jotka molemmat suorittavat hyödyllisen toiminnon ja päättyvät RET (return) -käskyyn. Kun CPU osuu tähän ohjeeseen, se palauttaa ohjauksen kutsuprosessille, tässä tapauksessa ROP-haittaohjelmalle, joka käynnistää seuraavan scrobged-koodilohkon, ehkä toisesta ohjelmasta. Tämä suuri lista laiteosoitteista on vain dataa, joten ROP-pohjaisten haittaohjelmien havaitseminen on vaikeaa.
Frankensteinin haittaohjelmat
Viime vuonna järjestetyssä Usenix WOOT -konferenssissa (Pariisin loukkaavien tekniikoiden työpaja), pari tutkijaa Texasin yliopistosta Dallasissa esitteli samanlaisen idean kuin paluun suuntautunut ohjelmointi. Lehdessä "Frankenstein: Haittaohjelmien ompeleminen hyvänlaatuisista binaareista" he kuvailivat tekniikkaa vaikeasti havaittavien haittaohjelmien luomiseksi liittämällä yhteen koodinpätkät tunnetuista ja luotettavista ohjelmista.
"Kirjoittamalla uusi binaari kokonaan tavanomaisista sekvensseistä, jotka ovat yhteisiä hyvänlaatuisille luokille? Edustetuille binaareille", artikkeli selittää, "tuloksena olevat mutantit vastaavat vähemmän todennäköisesti allekirjoituksia, jotka sisältävät sekä binaaristen ominaisuuksien sallitun että mustan listan." Tämä tekniikka on paljon joustavampi kuin ROP, koska se voi sisältää minkä tahansa koodipalan, ei vain palan, joka päättyy tärkeällä RET-ohjeella.
Kuinka nähdä näkymätön
Hyvä asia on, että voit saada apua näiden salaperäisten haittaohjelmien havaitsemiseksi. Esimerkiksi virustentorjuntaohjelmat voivat havaita juurikomplektit useilla tavoilla. Yksi hidas, mutta yksinkertainen menetelmä käsittää kaikkien levyllä olevien tiedostojen tarkastuksen, kuten Windows on ilmoittanut, toisen tarkastuksen, tutkimalla tiedostojärjestelmän suoraan ja etsimällä eroja. Ja koska rootkit-sovellukset nimenomaan kumoavat Windowsin, viruksentorjuntaohjelma, joka käynnistyy muuhun kuin Windows-käyttöjärjestelmään, ei mene lankaan.
Vain muisti, ei tiedosto-uhka alistuu virustorjuntasuojaukselle, joka seuraa aktiivisia prosesseja tai estää hyökkäysvektorin. Turvaohjelmistosi saattaa estää pääsyn tartunnan saaneelle verkkosivustolle, joka palvelee tätä uhkaa, tai estää sen injektiotekniikan.
Frankensteinin tekniikka saattaa hylätä tiukasti allekirjoituspohjaisen virustentorjuntaohjelman, mutta nykyaikaiset tietoturvatyökalut ylittävät allekirjoitukset. Jos tilkkutäkkihaittaohjelma todella tekee jotain haitallista, käyttäytymiseen perustuva skanneri todennäköisesti löytää sen. Ja koska sitä ei ole koskaan aiemmin nähty, Symantecin Norton File Insightin kaltainen järjestelmä, joka ottaa huomioon esiintyvyyden, merkitsee sen vaaralliseksi poikkeavuudeksi.
Paluuorientoituneiden ohjelmointihyökkäysten lieventäminen on hyvin vaikeaa, mutta sen ratkaisemiseen on käytetty paljon aivovoimaa. Myös taloudellinen voima - Microsoft myönsi neljänneksen miljoonan dollarin huippututkijoille, jotka työskentelevät tämän ongelman parissa. Koska ROP-hyökkäykset ovat niin voimakkaasti riippuvaisia tiettyjen pätevien ohjelmien olemassaolosta, niitä käytetään todennäköisemmin tiettyihin kohteisiin, ei laajalle levinneeseen haittaohjelmakampanjaan. Kotitietokoneesi on todennäköisesti turvallinen; toimistotietokoneesi, ei niin paljon.
