Nevidljivi zlonamjerni softver: šta je to, rootkitovi i kako se zaštititi

Prikriveni zlonamjerni softver koristi prikrivene tehnike (rootkitove, virtualizaciju, zero-click) kako bi izbjegao otkrivanje.
Krokodil i Kum na Androidu kradu bankarske podatke pomoću naprednog lažiranja i dozvola.
UEFI perzistencija (CosmicStrand) preživi ponovne instalacije sistema; kombinovanje odbrane je ključno.

Kibernetička sigurnost je postala svakodnevni problem, a ipak, mnoge prijetnje i dalje ostaju nezapažene protiv korisnika i obrambenih alata. Među tim prijetnjama je takozvani "nevidljivi zlonamjerni softver", skup tehnika čiji je cilj jednostavan: sakriti se na vidljivom mjestu i kamuflirati svoje tragove da ostanu aktivni što je duže moguće.

Daleko od toga da je ovo naučna fantastika, govorimo o metodama koje su već u opticaju: od rootkitovi koji se uklapaju u sistem dok mobilni trojanci sposobni da imitiraju bankovne ekrane ili špijuniraju bez da mi išta dodirnemo. I da, postoje i napadi bez klika i ekstremni slučajevi u firmveru koji preživljavaju ponovne instalacije operativnog sistema.

Šta podrazumijevamo pod pojmom "nevidljivi zlonamjerni softver"?

Kada govorimo o „nevidljivosti“, ne radi se o tome da je kod doslovno nemoguće vidjeti, već da primjenjuju se tehnike skrivanja namijenjen je maskiranju promjena i aktivnosti zlonamjernog softvera na zaraženom sistemu. Ova definicija uključuje, na primjer, rootkits, koji manipulišu sistemom kako bi sakrili datoteke, procese, ključeve registra ili veze.

U praksi, ovi sojevi mogu preuzeti sistemske zadatke i smanjuju performanse bez izazivanja sumnje. Čak i kada antivirus otkrije anomalno ponašanje, mehanizmi nevidljivosti omogućavaju izbjegavanje ili odgađanje otkrivanja, na primjer, privremenim udaljavanjem sa zaražene datoteke, kloniranjem na drugi disk ili skrivanje veličine datoteka izmijenjeno. Sve ovo komplikuje djelovanje detekcijski motori i forenzičku analizu.

nevidljivi zlonamjerni softver

Kako se infiltrira i kako se krije

„Nevidljivi virus“, ili, šire gledano, zlonamjerni softver koji koristi tehnike prikrivanja, može se pojaviti u nekoliko oblika: zlonamjerni prilozi u e-porukama, preuzimanjima sa sumnjivih web stranica, softveru no verificado, lažne aplikacije koje se predstavljaju kao popularni uslužni programi ili instalacije putem linkovi na društvenim mrežama i porukama.

Ekskluzivni sadržaj - kliknite ovdje ¿Es seguro usar DiDi?

Kada je unutra, njegova strategija je jasna: ostati nevidljivNeke varijante se "iseljavaju" iz zaražene datoteke kada posumnjaju na skeniranje, kopirajući se na drugu lokaciju i ostavljajući čista zamjena kako bi se izbjeglo aktiviranje upozorenja. Drugi skrivaju metapodatke, veličine datoteka i sistemske unose, što otežava život motori za detekciju i restauracija datoteka nakon infekcije.

Rootkitovi: definicija, rizici i upotreba koja može biti legitimna

U svom porijeklu u okolini UNIX, rootkit je bio skup alata iz samog sistema (kao što su ps, netstat ili passwd) izmijenjeno od strane uljeza u održavati root pristup bez otkrivanjaNaziv "root", odnosno superkorisnik, potiče od . Danas, u Windowsu i drugim sistemima, koncept ostaje isti: programi dizajnirani za skrivanje elemenata (datoteke, procese, ključeve registra, memoriju, pa čak i veze) do operativnog sistema ili sigurnosnih aplikacija.

Upotreba stealth tehnologije sama po sebi nije inherentno zlonamjerna. Može se koristiti u legitimne svrhe kao što su korporativni monitoring, zaštitu intelektualnog vlasništva ili zaštitu od korisničkih grešaka. Problem nastaje kada se ove mogućnosti primjenjuju na prikrivanje zlonamjernog softvera, skrivenih vrata i kriminalnih aktivnosti, što je u skladu s trenutnom dinamikom cyber kriminala, koja nastoji maksimizirati vrijeme rada bez privlačenja pažnje.

Kako otkriti i ublažiti rootkitove

Nijedna tehnika nije nepogrešiva, tako da je najbolja strategija kombinirati pristupe i alate. Klasične i napredne metode uključuju:

Detekcija potpisaSkeniranje i poređenje sa poznatim katalozima zlonamjernog softvera. Efikasno je za varijante već katalogizirane, osim neobjavljenih.
Heuristički ili zasnovan na ponašanju: identifica odstupanja u normalnoj aktivnosti sistema, korisno za otkrivanje novih ili mutiranih porodica.
Detekcija poređenjem: upoređuje ono što sistem izvještava sa očitanjima iz bajo nivel; ako postoje nedosljednosti, sumnja se na prikrivanje.
IntegridadProvjerava datoteke i memoriju u odnosu na pouzdano referentno stanje (osnovna linija) da bi se prikazale promjene.

Ekskluzivni sadržaj - kliknite ovdje Cómo Revisar el Celular de tu Pareja Desde Mi Celular

Na nivou prevencije, preporučljivo je primijeniti buen antimalware aktivno i ažurirano, koristite zaštitni zidovi, mantener sistemi i aplikacije ažurirani sa zakrpama i ograničavanjem privilegija. Ponekad se, radi otkrivanja određenih infekcija, preporučuje pokretanje s vanjskog medija i skeniraju „izvana“ kompromitovani sistem, iako čak i tada neke porodice uspiju reinsertarse u drugim sistemskim datotekama.

Dva slučaja nevidljivog zlonamjernog softvera: XWorm i NotDoor

Ovo bi mogle biti najopasnije nevidljive prijetnje zlonamjernog softvera koje postoje trenutno. Da biste znali kako se zaštititi od njih, najbolje ih je dobro razumjeti:

XWorm

XWorm To je dobro poznati zlonamjerni softver koji se nedavno alarmantno razvio korištenjem imena izvršnih datoteka koje izgledaju legitimno. To mu omogućava da kamuflirati se kao bezopasna aplikacija, sticanjem povjerenja i korisnika i sistema.

Napad počinje sa skrivena .lnk datoteka Obično se distribuira putem phishing kampanja, izvršava zlonamjerne PowerShell naredbe, preuzima tekstualnu datoteku u privremeni direktorij sistema, a zatim pokreće lažnu izvršnu datoteku pod nazivom discord.exe sa udaljenog servera.

Jednom kada se infiltrira u naš računar, XWorm može izvršavanje svih vrsta udaljenih komandi, od preuzimanja datoteka i preusmjeravanja URL-ova do DDoS napada.

NotDoor

Još jedna od najozbiljnijih nevidljivih prijetnji zlonamjernog softvera trenutno je NotDoorMeta ovog sofisticiranog virusa koji su razvili ruski hakeri su Korisnici Outlooka, od kojih kradu njihove povjerljive podatke. Također može preuzeti potpunu kontrolu nad kompromitovanim sistemima. Njegov razvoj pripisuje se APT28, poznatoj ruskoj grupi za sajber špijunažu.

NotDoor je poznat kao skriveni zlonamjerni softver napisan u Visual Basic for Applications (VBA), sposoban za praćenje dolaznih e-poruka za određene ključne riječi. Zapravo koristi vlastite mogućnosti programa da se aktivira. Zatim kreira skriveni direktorij za pohranjivanje privremenih datoteka koje kontrolira napadač.

Ekskluzivni sadržaj - kliknite ovdje ¿Qué protección ofrece Avast Mobile Security App en cuanto a malware?

Najbolje prakse za zaštitu (i kako reagovati ako ste već zaraženi)

Efikasna odbrana kombinuje navike i tehnologiju. Pored "zdravog razuma", potreban vam je procedure i alati koji smanjuju stvarni rizik na računaru i mobilnim uređajima:

Instalirajte aplikacije samo iz službenih izvora i provjerite programera, dozvole i komentare. Budite oprezni s linkovima u porukama, na društvenim mrežama ili na nepoznatim web stranicama.
Koristite pouzdana sigurnosna rješenja na mobilnim uređajima i računarima; ne samo da otkrivaju zlonamjerne aplikacije, već vas i upozoravaju sumnjivo ponašanje.
Mantén todo actualizado: sistem, preglednik i aplikacije. Zakrpe izrezane rute eksploatacije veoma popularan među napadačima.
Aktivirajte dvofaktorsku verifikaciju u bankarstvu, pošti i ključnim uslugama. Nije nepogrešivo, ali dodaje barrera adicional.
Praćenje dozvola za pristup i obavještenja; ako jednostavan uslužni program traži potpunu kontrolu, algo falla.
Povremeno ponovo pokrenite ili isključite mobilni telefon; potpuno sedmično isključivanje može eliminirati memorijski implantati i otežava upornost.
Aktivirajte i konfigurirajte zaštitni zidi ograničava upotrebu računa s administratorskim dozvolama osim ako to nije apsolutno neophodno.

Ako sumnjate na prisustvo nevidljive zlonamjerne infekcije (spor mobilni uređaj, neopravdano zagrijavanje, čudna ponovna pokretanja, aplikacije kojih se ne sjećate da ste ih instalirali ili abnormalno ponašanje): uklonite sumnjive aplikacije, pokrenite mobilni telefon u sigurnom načinu rada i prođite kroz potpuno skeniranje, promijenite lozinke iz drugi uređaj, obavijestite svoju banku i procijenite vrijednost vraćanje na tvorničke postavke Ako se znaci nastave, razmislite o pokretanju sistema sa eksternog medija na računaru kako biste skenirali sistem bez preuzimanja kontrole od strane zlonamjernog softvera.

Zapamtite da se nevidljivi zlonamjerni softver poigrava s našim ritmom: naizmjenično ruido mínimo hirurškim udarima. To nije apstraktna prijetnja, već katalog tehnike prikrivanja koji omogućavaju sve ostalo: bankarske trojance, špijunski softver, krađu identiteta ili postojanost firmvera. Ako učvrstite svoje navike i dobro odaberete alate, bit ćete un paso por delante onog što se ne vidi.

Povezani članak:

Cómo encontrar virus ocultos en tu PC

Daniel Terrasa

Urednik specijaliziran za tehnologiju i internet pitanja s više od deset godina iskustva u različitim digitalnim medijima. Radio sam kao urednik i kreator sadržaja za kompanije za e-trgovinu, komunikaciju, online marketing i oglašavanje. Također sam pisao na web stranicama ekonomije, finansija i drugih sektora. Moj posao je i moja strast. Sada, kroz moje članke u Tecnobits, pokušavam istražiti sve novosti i nove mogućnosti koje nam svijet tehnologije nudi svaki dan da poboljšamo svoje živote.