Video: Desperados 3 Test - Pregled - fantastična skrivena strategija na divljem zapadu (njemački, titlovi) (Studeni 2024)
Neki napadi zlonamjernog softvera toliko su očiti da ne možete propustiti činjenicu da ste postali žrtva. Ransomware programi blokiraju sav pristup vašem računalu dok ne platite za otključavanje. Otmičari na društvenim mrežama objavljuju bizarna ažuriranja statusa na vašim stranicama društvenih medija, zarazu svakoga tko klikne na njihove otrovane veze. Adware programi zasipaju radnu površinu skočnim oglasima čak i kad nije otvoren preglednik. Da, sve su to neugodne, ali s obzirom da znate da postoji problem, možete raditi na pronalaženju antivirusnog rješenja.
Potpuno nevidljiva zaraza zlonamjernim softverom može biti puno opasnija. Ako vaš antivirus ne "vidi" i ne primijetite neugodno ponašanje, zlonamjerni softver može slobodno pratiti vaše mrežne bankarske aktivnosti ili koristiti računalnu moć u štetne svrhe. Kako ostaju nevidljivi? Evo četiri načina na koji se od vas može sakriti zlonamjerni softver, a slijede neke ideje za otkrivanje nevidljivog.
Subverzija operativnog sustava
Prihvatamo zdravo za gotovo da Windows Explorer može popisati sve naše fotografije, dokumente i druge datoteke, ali mnogo toga se događa iza scene, da bi se to dogodilo. Upravljački program softvera komunicira s fizičkim hard diskom kako bi dobio bitove i bajtove, a datotečni sustav te bitove i bajtove interpretira u datoteke i mape za operativni sustav. Kada program treba da dobije popis datoteka ili mapa, pita operativni sustav. Zapravo, bilo koji program mogao bi izravno direktno upitati datotečni sustav ili čak izravno komunicirati s hardverom, ali znatno je lakše samo nazvati OS.
Rootkit tehnologija omogućava da se zlonamjerni program učinkovito izbrisa iz pogleda presrećujući te pozive u operativni sustav. Kada program zatraži popis datoteka na određenom mjestu, rootkit prosljeđuje taj zahtjev Windows-u, a zatim briše svu referencu na svoje datoteke prije nego što vrati popis. Antivirus koji se strogo oslanja na Windows radi informacija o prisutnim datotekama nikada neće vidjeti rootkit. Neki rootkiti primjenjuju slične trikove kako bi sakrili svoje postavke registra.
Zlonamjerni softver bez datoteke
Tipični antivirus skenira sve datoteke na disku, provjeravajući da nijedna nije zlonamjerna, a također skenira svaku datoteku prije nego što joj dopusti izvršenje. Ali što ako nema datoteke? Prije deset godina pljačkaši crv učinio je pustoš na mrežama širom svijeta. Razmnožavalo se izravno u memoriji, koristeći napad prekoračenja međuspremnika za izvršavanje proizvoljnog koda i nikad nije pisalo datoteku na disk.
U novije vrijeme, istraživači Kasperskog izvijestili su o Javnoj infekciji bez datoteke koja napada posjetitelje ruskih vijesti. Rasprostranjen oglasima za natpise, eksploatacijski kôd ubrizgavao se izravno u bitni proces Java. Ako je uspio isključiti kontrolu korisničkih računa, kontaktirao će svoj naredbeni i kontrolni poslužitelj radi uputa o daljnjem postupanju. Zamislite to kao sugovornika iz pljačke banke koji provlači kroz ventilacijske kanale i isključuje sigurnosni sustav za ostatak posade. Prema Kasperskyu, jedna uobičajena akcija u ovom trenutku je instalacija Lurk Trojan.
Zlonamjerni softver koji vam je strogo u memoriji može se očistiti jednostavnim ponovnim pokretanjem računala. Djelomično su to uspjeli srušiti Slammera. Ali ako ne znate da postoji problem, nećete znati da trebate ponovno pokrenuti sustav.
Povratno orijentirano programiranje
Sva su tri finalista na Microsoftovom natječaju za sigurnosna istraživanja BlueHat Prize uključila bavljenje povratnim orijentiranim programiranjem ili ROP-om. Napad koji koristi ROP je podmukao, jer ne instalira izvršni kôd, ne kao takav. Umjesto toga, on nalazi upute koje želi u drugim programima, čak i dijelovima operativnog sustava.
Konkretno, ROP napad traži blokove koda (koji stručnjaci nazivaju "gadgeti") koji oba obavljaju neku korisnu funkciju i završavaju se RET (povratnom) uputom. Kad CPU pogodi tu upute, vraća kontrolu procesu pozivanja, u ovom slučaju ROP zlonamjernog softvera, koji pokreće sljedeći proklizani blok koda, možda iz drugog programa. Taj veliki popis adresa gadgeta samo su podaci pa je teško otkrivanje zlonamjernog softvera utemeljenog na ROP-u.
Frankensteinov zlonamjerni softver
Na prošlogodišnjoj konferenciji Usenix WOOT (radionica o ofenzivnim tehnologijama), par istraživača sa Sveučilišta u Teksasu u Dallasu predstavio je ideju sličnu programiranju usmjerenom na povratak. U radu pod naslovom "Frankenstein: Stitching malware from Benign Binaries", opisali su tehniku stvaranja teško prepoznatljivog zlonamjernog softvera spajanjem komada koda poznatih i pouzdanih programa.
"Sastavljajući novu binarnu cjelinu potpuno iz bajtovskih nizova koji su zajednički dobronamjernim binarnim datotekama", objašnjava rad, "rezultirajući mutanti manje će odgovarati potpisima koji uključuju i bijelu listu i crnu listu binarnih značajki." Ova je tehnika mnogo fleksibilnija od ROP-a, jer može uključiti bilo koji dio koda, a ne samo komad koji završava sve važnom RET uputama.
Kako vidjeti nevidljivo
Dobra stvar je što možete dobiti pomoć za otkrivanje tih prikrivenih zlonamjernih programa. Na primjer, antivirusni programi mogu otkriti rootkite na nekoliko načina. Jedna spora, ali jednostavna metoda uključuje reviziju svih datoteka na disku kako je izvijestio Windows, poduzimanje druge revizije putem neposrednog ispitivanja datotečnog sustava i traženje odstupanja. A budući da rootkiti posebno subvertiraju Windows, antivirus koji podiže u OS koji nije Windows zavaravat se neće.
Prijetnja bez datoteke samo za pamćenje podleći će antivirusnoj zaštiti koja prati aktivne procese ili blokira njegov vektor napada. Vaš sigurnosni softver može blokirati pristup zaraženom web mjestu koji poslužuje tu prijetnju ili blokirati njegovu tehniku ubrizgavanja.
Frankensteinova tehnika mogla bi zavarati antivirus koji se temelji na isključivo potpisima, ali moderni sigurnosni alati prevazilaze potpise. Ako zlonamjerni softver patchwork zapravo učini nešto zlonamjerno, skener koji se temelji na ponašanju vjerojatno će ga pronaći. A budući da ga nigdje prije nisu vidjeli, sustav poput Symantecove Norton File Insight koji uzima u obzir učestalost, označiće to opasnom anomalijom.
Što se tiče ublažavanja napada programiranja usmjerenih na povratak, dobro, to je teško, ali puno je snage mozga posvećeno njegovom rješavanju. I ekonomska moć - Microsoft je dodijelio četvrt milijuna dolara vrhunskim istraživačima koji rade na ovom problemu. Također, budući da se toliko oslanjaju na prisutnost određenih valjanih programa, ROP napadi će se vjerovatnije upotrijebiti protiv određenih ciljeva, a ne u širokoj kampanji zlonamjernog softvera. Kućno je računalo vjerojatno sigurno; uredsko računalo, ne toliko.
