Video: ELIMINATING THE SNEAKIEST PLAYER - Rust (Oktober 2024)
Noen malware-angrep er så åpenbare at du ikke kan gå glipp av det faktum at du er blitt utsatt for vold. Ransomware-programmer låser all tilgang til datamaskinen din til du betaler for å få den låst opp. Flykaprere i sosiale medier legger ut bisarre statusoppdateringer på sidene dine på sosiale medier, og smitter alle som klikker på deres forgiftede lenker. Adware-programmer kaster skrivebordet ditt med popup-annonser, selv når ingen nettlesere er åpne. Ja, alle er irriterende, men siden du vet at det er et problem, kan du jobbe med å finne en antivirusløsning.
En helt usynlig infeksjon med skadelig programvare kan være mye farligere. Hvis antiviruset ditt ikke "ser" det, og du ikke legger merke til noen ubehagelige oppførsel, er skadelig programvare gratis å spore nettbankaktivitetene dine eller bruke datakraften til ubehagelige formål. Hvordan forblir de usynlige? Her er fire måter malware kan skjule for deg, etterfulgt av noen ideer for å se det ikke synlige.
Operativsystem Subversion
Vi tar det for gitt at Windows Utforsker kan liste alle bilder, dokumenter og andre filer, men mye skjer bak kulissene for å få det til. En programvaredriver kommuniserer med den fysiske harddisken for å få biter og byte, og filsystemet tolker disse bitene og bytene til filer og mapper for operativsystemet. Når et program trenger å få en liste over filer eller mapper, spør det operativsystemet. I sannhet vil ethvert program være fritt til å spørre filsystemet direkte, eller til og med kommunisere direkte med maskinvaren, men det er veldig enklere å bare kalle på operativsystemet.
Rootkit-teknologien lar et skadelig program effektivt slette seg fra synet ved å avskjære disse anropene til operativsystemet. Når et program ber om en liste over filer på et bestemt sted, sender rootkit den forespørselen til Windows, og sletter all referanse til sine egne filer før du returnerer listen. Et antivirusprogram som er avhengig av Windows for informasjon om hvilke filer som er til stede, vil aldri se rootkit. Noen rootkits bruker lignende lurerier for å skjule registerinnstillingene.
Malware uten fil
Et typisk antivirus skanner alle filene på disken, og kontrollerer at ingen er skadelige, og skanner også hver fil før du lar den kjøres. Men hva hvis det ikke er noen fil? For ti år siden utbredte den slammende ormen ødeleggelser i nettverk over hele verden. Det forplantet seg direkte i minnet, ved hjelp av et bufferoverskridende angrep for å utføre vilkårlig kode, og skrev aldri en fil til disk.
Mer nylig rapporterte Kaspersky-forskere at en Java-infeksjon uten fil angrep besøkende på russiske nyhetssider. Utbredt gjennom bannerannonser injiserte utnyttelsen kode direkte i en viktig Java-prosess. Hvis det lyktes å slå av Brukerkontokontroll, ville den kontakte kommandoen og kontrollserveren for instruksjoner om hva de skal gjøre videre. Tenk på det som fyren i en bank heist som kryper inn gjennom ventilasjonskanalene og slår av sikkerhetssystemet for resten av mannskapet. I følge Kaspersky er en vanlig handling på dette tidspunktet å installere Lurk Trojan.
Malware som strengt tatt er i minnet, kan renses bare ved å starte datamaskinen på nytt. Det var delvis slik de klarte å ta ned Slammer i løpet av dagen. Men hvis du ikke vet at det er noe problem, vil du ikke vite at du trenger å starte på nytt.
Returorientert programmering
Alle de tre finalistene i Microsofts sikkerhetsforskningskonkurranse for BlueHat-prisen involverte å håndtere Return Oriented Programming, eller ROP. Et angrep som bruker ROP er snikende, fordi det ikke installerer kjørbar kode, ikke som sådan. Snarere finner den instruksjonene den ønsker i andre programmer, til og med deler av operativsystemet.
Spesielt ser et ROP-angrep etter blokker med kode (kalt "gadgets" av ekspertene) som begge utfører en viss nyttig funksjon og avsluttes med en RET (retur) instruksjon. Når CPU-en treffer denne instruksjonen, returnerer den kontrollen til anropsprosessen, i dette tilfellet ROP-skadelig programvare, som lanserer den neste skrapede kodeblokken, kanskje fra et annet program. Den store listen over gadgetadresser er bare data, så det er tøft å oppdage ROP-basert malware.
Frankensteins Malware
På fjorårets Usenix WOOT (Workshop on Offensive Technologies) -konferanse presenterte et par forskere fra University of Texas i Dallas en ide som ligner på Return Oriented Programming. I et papir med tittelen "Frankenstein: Stitching Malware from Benign Binaries" beskrev de en teknikk for å lage skadelig å oppdage skadelig programvare ved å samle deler av koden fra kjente og pålitelige programmer.
"Ved å komponere den nye binæren helt ut av bytesekvenser som er vanlige for godartede klasser, " forklarer papiret, "er det mindre sannsynlig at de resulterende mutantene samsvarer med signaturer som inkluderer både hvitlisting og svartelisting av binære funksjoner." Denne teknikken er mye mer fleksibel enn ROP, fordi den kan inkludere hvilken som helst biter med kode, ikke bare en del som ender med den helt viktige RET-instruksjonen.
Hvordan se det usynlige
Det gode er at du kan få hjelp til å oppdage disse lurvete ondsinnede programmene. For eksempel kan antivirusprogrammer oppdage rootkits på flere måter. En langsom, men enkel metode innebærer å ta en revisjon av alle filer på disken som rapportert av Windows, ta en ny revisjon ved å spørre filsystemet direkte og se etter avvik. Og siden rootkits spesielt undergraver Windows, vil ikke et antivirusprogram som starter i et ikke-Windows-operativsystem lure.
En trussel som bare er minne, uten fil, vil bukke under for antivirusbeskyttelse som holder oversikt over aktive prosesser, eller blokkerer angrepsvektoren. Sikkerhetsprogramvaren din kan blokkere tilgangen til det infiserte nettstedet som serverer denne trusselen, eller blokkere injeksjonsteknikken.
Frankenstein-teknikken kan godt lure et strengt signaturbasert antivirus, men moderne sikkerhetsverktøy går utover signaturer. Hvis patchwork-malware faktisk gjør noe ondsinnet, vil en atferdsbasert skanner sannsynligvis finne det. Og siden det aldri har blitt sett noe sted før, vil et system som Symantecs Norton File Insight som tar hensyn til utbredelse, flagge det som en farlig avvik.
Når det gjelder avbøtende returorienterte programmeringsangrep, vel, det er tøft, men mye hjernekraft har blitt viet til å løse det. Også økonomisk makt - Microsoft tildelte en kvart million dollar til toppforskere som jobber med dette problemet. Fordi de stoler så sterkt på tilstedeværelsen av spesielle gyldige programmer, er det mer sannsynlig at ROP-angrep brukes mot spesifikke mål, ikke i en utbredt skadelig kampanje. Hjemmemaskinen din er sannsynligvis trygg; din kontor-PC, ikke så mye.
