Video: 4.5. incident response: ransomware (Oktober 2024)
Nogle malware-angreb er så åbenlyse, at du ikke kan gå glip af det faktum, at du er blevet offer. Ransomware-programmer låser al adgang til din computer, indtil du betaler for at få den låst op. Flykaprere fra sociale medier sender bisarre statusopdateringer på dine sociale mediesider og inficerer enhver, der klikker på deres forgiftede links. Adware-programmer kaster dit skrivebord med popup-annoncer, selv når ingen browser er åben. Ja, disse er alle ret irriterende, men da du ved, at der er et problem, kan du arbejde på at finde en antivirusløsning.
En helt usynlig malware-angreb kan være meget farligere. Hvis din antivirus ikke "ser" den, og du ikke bemærker nogen uhensigtsmæssig adfærd, er malware fri til at spore dine online bankaktiviteter eller bruge din computerkraft til uærlige formål. Hvordan forbliver de usynlige? Her er fire måder, som malware kan skjule for dig, efterfulgt af nogle ideer til at se det ikke-synlige.
Operativsystem subversion
Vi tager det for givet, at Windows Stifinder kan liste alle vores fotos, dokumenter og andre filer, men der foregår meget bag kulisserne for at få det til. En softwaredriver kommunikerer med den fysiske harddisk for at hente bit og byte, og filsystemet fortolker disse bits og bytes til filer og mapper til operativsystemet. Når et program har brug for at hente en liste over filer eller mapper, spørges det om operativsystemet. I sandhed er ethvert program frit at forespørge filsystemet direkte eller endda kommunikere direkte med hardware, men det er meget lettere at bare kalde OS.
Rootkit-teknologien lader et ondsindet program effektivt slette sig selv fra synet ved at opfange disse opkald til operativsystemet. Når et program beder om en liste over filer på et bestemt sted, overfører rootkit denne anmodning til Windows og sletter derefter alle henvisninger til dets egne filer, før listen returneres. En antivirus, der udelukkende er afhængig af Windows for at få oplysninger om, hvilke filer der findes, vil aldrig se rodkit. Nogle rootkits anvender lignende trickery for at skjule deres Registreringsindstillinger.
Malware uden fil
En typisk antivirus scanner alle filer på disken, kontrollerer for at sikre, at ingen er ondsindede, og scanner også hver fil, før de lader den udføres. Men hvad nu hvis der ikke er nogen fil? For ti år siden udbredte den slamre orme ødelæggelse på netværk over hele verden. Det forplantede sig direkte i hukommelsen ved hjælp af et bufferoverskridende angreb til at udføre vilkårlig kode og skrev aldrig en fil til disk.
For nylig rapporterede Kaspersky-forskere om, at Java-infektion uden fil angreb besøgende på russiske nyhedswebsteder. Formeret gennem bannerannoncer injicerede udnyttelsen kode direkte i en vigtig Java-proces. Hvis det lykkedes at slå Brugerkontokontrol fra, ville den kontakte dens kommando- og kontrolserver for instruktioner om, hvad de skal gøre næste. Tænk på det som fyren i en bank heist, der kravler ind gennem ventilationskanalerne og slukker for sikkerhedssystemet for resten af besætningen. Ifølge Kaspersky er en fælles handling på dette tidspunkt at installere Lurk Trojan.
Malware, der strengt er i hukommelsen, kan renses blot ved at genstarte computeren. Til dels er det, hvordan det lykkedes dem at nedtage Slammer om dagen. Men hvis du ikke ved, at der er et problem, ved du ikke, at du har brug for at genstarte.
Returorienteret programmering
Alle tre finalister i Microsofts BlueHat Prize-sikkerhedsundersøgelseskonkurrence involverede håndtering af Return Oriented Programming, eller ROP. Et angreb, der bruger ROP, er lumsk, fordi det ikke installerer en eksekverbar kode, ikke som sådan. Snarere finder den de instruktioner, den ønsker inden for andre programmer, endda dele af operativsystemet.
Specifikt ser et ROP-angreb efter blokke med kode (kaldet "gadgets" af eksperterne), som begge udfører en nyttig funktion og slutter med en RET (returnering) instruktion. Når CPU'en rammer denne instruktion, vender den tilbage til opkaldsprocessen, i dette tilfælde ROP-malware, der lancerer den næste skruede blok af kode, måske fra et andet program. Den store liste over gadgetadresser er bare data, så det er svært at registrere ROP-baseret malware.
Frankensteins malware
På sidste års Usenix WOOT (Workshop on Offensive Technologies) -konference præsenterede et par forskere fra University of Texas i Dallas en idé, der ligner Return Oriented Programming. I et papir med titlen "Frankenstein: Stitching Malware from Benign Binaries" beskrev de en teknik til at skabe malware, der er vanskelig at opdage, ved at sammenstyve koder fra kendte og pålidelige programmer.
"Ved at komponere den nye binære helt ud af bytesekvenser, der er almindelige for godartede klassificerede binære binære filer, " forklarer papiret, "er de resulterende mutanter mindre tilbøjelige til at matche underskrifter, der inkluderer både hvidlisting og sortlisting af binære funktioner." Denne teknik er meget mere fleksibel end ROP, fordi den kan inkorporere en hvilken som helst del af koden, ikke kun en del, der slutter med den meget vigtige RET-instruktion.
Sådan ses det usynlige
Den gode ting er, at du kan få hjælp til at opdage disse luske ondsindede programmer. For eksempel kan antivirusprogrammer registrere rodkits på flere måder. En langsom, men enkel metode involverer at tage en revision af alle filer på disken, som rapporteret af Windows, foretage en anden revision ved at spørge filsystemet direkte og se efter uoverensstemmelser. Og da rootkits specifikt undergraver Windows, bliver en antivirus, der starter op i et ikke-Windows OS, ikke narret.
En kun hukommelse, ingen fil-trussel vil bukke under for antivirusbeskyttelse, der holder styr på aktive processer eller blokerer dens angrebsvektor. Din sikkerhedssoftware blokerer muligvis adgang til det inficerede websted, der betjener denne trussel, eller blokerer dets indsprøjtningsteknik.
Frankenstein-teknikken kan godt narre en strengt signaturbaseret antivirus, men moderne sikkerhedsværktøjer går ud over underskrifter. Hvis patchwork-malware faktisk gør noget ondsindet, vil en adfærdsbaseret scanner sandsynligvis finde det. Og da det aldrig har set nogen steder før, vil et system som Symantecs Norton File Insight, der tager højde for forekomsten, markere det som en farlig afvigelse.
Hvad angår afbødende returorienteret programmeringsangreb, det er godt, men det er meget hjernekraft, der er blevet brugt til at løse det. Også økonomisk styrke - Microsoft tildelte en fjerdedel af en million dollars til topforskere, der arbejder med dette problem. Fordi de stoler så stærkt på tilstedeværelsen af særlige gyldige programmer, er ROP-angreb sandsynligvis mere brugt mod specifikke mål, ikke i en udbredt malware-kampagne. Din hjemmecomputer er sandsynligvis sikker; din kontor-pc, ikke så meget.
