Minden rosszindulatú program rosszindulatú, de míg néhány rosszindulatú program könnyen észlelhető, mások elkerülhetik a védelem fejlett formáit is.
Hiperkapcsolatos világunkban a rosszindulatú programok gyakran a kiberbűnözők által választott fegyverek.
Ez a rosszindulatú szoftver többféle formát ölt, és mindegyiknek megvan a maga biztonsági fenyegetési szintje. A hackerek ezeket a pusztító eszközöket használják eszközök elfogására, adatok feltörésére, pénzügyi pusztításra, sőt akár teljes vállalatok összeállítására is.
A rosszindulatú programok csúnya szoftverek, amelyeket a lehető leghamarabb el kell távolítania, de egyes rosszindulatú programok jobban elrejtőznek, mint mások. Hogy ez miért van így, az nagyban függ a keresett program típusától.
1. Rootkitek
A rootkitek olyan rosszindulatú programok, amelyek célja, hogy behatoljanak egy megcélzott rendszerbe, és titokban megragadják a jogosulatlan irányítást, miközben elkerülik az észlelést.
Lopva bemászik az operációs rendszer legbelső rétegeibe, például a kernelbe vagy a rendszerindító szektorba. Módosíthatják vagy elfoghatják a rendszerhívásokat, fájlokat, folyamatokat, illesztőprogramokat és egyéb összetevőket, hogy elkerüljék a víruskereső szoftverek észlelését és eltávolítását. Rejtett ajtókon keresztül is besurranhatnak, ellophatják adatait, vagy többet tehetnek fel magukból a számítógépére.
A hírhedt Stuxnet féreg, az egyik minden idők leghírhedtebb rosszindulatú támadásai, a rootkit rejtett képességeinek szembetűnő példája. Irán nukleáris programja a 2000-es évek végén súlyos zavarokkal szembesült ennek az összetett rosszindulatú programnak köszönhetően, amely kifejezetten az urándúsító létesítményeit támadta meg. A Stuxnet rootkit komponense fontos szerepet játszott a titkos műveletekben, lehetővé téve, hogy a féreg behatoljon az ipari vezérlőrendszerekbe anélkül, hogy riasztást keltett volna.
A rootkitek észlelése egyedi kihívásokat jelent megfoghatatlan természetük miatt. Amint azt korábban említettük, egyes rootkitek letilthatják vagy megváltoztathatják a víruskereső szoftvert, ami hatástalanná teheti, vagy akár az Ön ellen is fordíthatja. Egyes rootkitek túlélhetik a rendszer újraindítását vagy a merevlemez-formátumot azáltal, hogy megfertőzik a rendszerindító szektort vagy a BIOS-t.
Mindig telepítse a rendszer és a szoftver legújabb biztonsági frissítéseit, hogy megvédje rendszerét az ismert sebezhetőségeket kihasználó rootkitektől. Kerülje továbbá az ismeretlen forrásból származó gyanús mellékletek vagy hivatkozások megnyitását, és használjon tűzfalat és VPN-t a hálózati kapcsolat biztosítására.
2. Polimorfizmus
A polimorf rosszindulatú programok a rosszindulatú szoftverek egy fajtája amely megváltoztathatja kódszerkezetét, hogy minden verziónál másképp nézzen ki, miközben megőrzi káros célját.
A kód módosításával vagy titkosítással a polimorf malware megpróbálja kijátszani a biztonsági intézkedéseket, és ameddig csak lehet, rejtve marad.
A polimorf kártevőkkel nehéz megküzdeni a biztonsági szakemberek, mert folyamatosan változtatják kódját, és számtalan egyedi verziót hoznak létre. Mindegyik verziónak más a felépítése, ami megnehezíti a hagyományos észlelési módszerek követését. Ez összezavarja a víruskereső szoftvert, amelynek rendszeres frissítésre van szüksége a rosszindulatú programok új formáinak pontos azonosításához.
A polimorf kártevők is összetett algoritmusokkal épülnek fel, amelyek új kódváltozatokat generálnak. Ezek az algoritmusok jelentős számítási erőforrásokat és feldolgozási teljesítményt igényelnek a minták elemzéséhez és észleléséhez. Ez az összetettség további nehézségeket okoz a polimorf rosszindulatú programok hatékony azonosításában.
Más típusú rosszindulatú programokhoz hasonlóan a fertőzés megelőzésének néhány alapvető lépése a használat jó hírű vírusirtó szoftver és naprakészen tartva, elkerülve az ismeretlen forrásból származó gyanús mellékletek vagy hivatkozások megnyitását, és rendszeresen készítsen biztonsági másolatot fájljairól, hogy segítsen helyreállítani a rendszert, és fertőzés esetén helyreállítani az adatokat.
3. Fájl nélküli rosszindulatú program
A fájl nélküli rosszindulatú programok a hagyományos fájlok vagy végrehajtható fájlok hátrahagyása nélkül működnek, így az aláírás-alapú észlelés kevésbé hatékony. Azonosítható minták vagy aláírások nélkül a hagyományos víruskereső megoldások nehezen észlelik az ilyen rosszindulatú programokat.
A fájl nélküli rosszindulatú programok a meglévő rendszereszközöket és -folyamatokat használják ki tevékenységei végrehajtásához. Olyan törvényes összetevőket használ, mint a PowerShell vagy a WMI (Windows Management Instrumentation), hogy elindítsa a rakományt, és elkerülje a gyanút, mivel az engedélyezett műveletek határain belül működik.
És mivel a rendszer memóriájában és a lemezen található, és nem hagy nyomot, a fájl nélküli kártevő jelenlétének azonosítása és kriminalisztikai elemzése kihívást jelent a rendszer újraindítása vagy leállítása után.
Néhány példa a fájl nélküli rosszindulatú programok támadásaira a Code Red Worm, amely kihasználta a Microsoft IIS biztonsági rését. szerver 2001-ben, és az USB Thief, amely a fertőzött USB-eszközökön található, és információkat gyűjt a megcélzott rendszer.
A fájl nélküli rosszindulatú programok elleni védekezés érdekében legyen óvatos, amikor ismeretlen forrásból származó hordozható szoftvereket vagy USB-eszközöket használ, és tartsa be a többi biztonsági tippet, amelyekre korábban utaltunk.
4. Titkosítás
Az egyik módja annak, hogy megvédjük az adatokat a nem kívánt expozíciótól vagy interferenciától, a titkosítás használata. A rosszindulatú szereplők azonban titkosítást is használhatnak az észlelés és elemzés elkerülésére.
A rosszindulatú programok kétféleképpen tudják elkerülni az észlelést a titkosítás használatával: a rosszindulatú programok rakományának és a rosszindulatú programok forgalmának titkosításával.
A rosszindulatú program rakományának titkosítása azt jelenti, hogy a rosszindulatú program kódja titkosításra kerül, mielőtt eljutna a célrendszerhez. Ez megakadályozhatja, hogy a víruskereső szoftver átvizsgálja a fájlt, és rosszindulatúként azonosítsa.
Másrészt a rosszindulatú programforgalom titkosítása azt jelenti, hogy a rosszindulatú program titkosítást használ a parancs- és vezérlőszerverével vagy más fertőzött eszközökkel való kommunikációhoz. Ez megakadályozhatja, hogy a hálózati biztonsági eszközök figyeljék és blokkolják a forgalmat, és azonosítsák annak forrását és célját.
Szerencsére a biztonsági eszközök továbbra is használhatnak különféle módszereket a titkosított rosszindulatú programok megtalálására és leállítására, mint például a viselkedéselemzés, heurisztikus elemzés, aláíráselemzés, homokozó, hálózati anomáliák észlelése, visszafejtő eszközök vagy visszafordítás mérnöki.
5. Továbbfejlesztett tartós fenyegetések
Fejlett tartós fenyegetés támadások gyakran alkalmaznak szociális tervezést, hálózati behatolást, nulladik napi exploitokat és egyedileg épített rosszindulatú programokat, hogy beszivárogjanak egy megcélzott környezetbe, és folyamatosan működjenek.
Bár a rosszindulatú programok az APT-támadások összetevői lehetnek, nem ez az egyetlen meghatározó jellemzője. Az APT-k olyan átfogó kampányok, amelyek több támadási vektort is magukban foglalnak, és különféle típusú rosszindulatú programokat, valamint egyéb taktikákat és technikákat tartalmazhatnak.
Az APT támadók erősen motiváltak és eltökéltek, hogy hosszú távon jelen legyenek a célhálózaton vagy rendszeren belül. Kifinomult perzisztencia mechanizmusokat, például hátsó ajtókat, rootkiteket és rejtett parancs- és vezérlő infrastruktúrát alkalmaznak a folyamatos hozzáférés biztosítására és az észlelés elkerülésére.
Ezek a támadók türelmesek és óvatosak, és gondosan tervezik és hajtják végre műveleteiket hosszabb időn keresztül. Lassan és lopakodva hajtanak végre műveleteket, minimalizálva a célrendszerre gyakorolt hatást, és csökkentve az észlelés esélyét.
Az APT-támadások magukban foglalhatnak bennfentes fenyegetéseket, amikor a támadók jogosulatlan hozzáférést szereznek, vagy kihasználják a jogos hozzáférési jogosultságokat, vagy feltörik a bennfenteseket. Emiatt nehéz különbséget tenni a normál felhasználói tevékenység és a rosszindulatú tevékenységek között.
Maradjon védett, és használjon kártevő-elhárító szoftvert
Tartsa titokban ezeket a titkokat. Maradjon egy lépéssel a kiberbűnözők előtt, és előzze meg a rosszindulatú programokat, mielőtt azok olyan problémává válnának, amelyet meg kell keresnie és ki kell törölnie.
És ne feledje ezt az aranyszabályt: ha valami csodálatosnak tűnik, az valószínűleg átverés! Ez csak csali, hogy bajba csalja.