Meddalwedd anweledig: beth ydyw, rootkits, a sut i amddiffyn eich hun

Mae meddalwedd faleisus cudd yn defnyddio technegau cudd (gwreiddiau gwreiddiau, rhithwiroli, dim clic) i osgoi cael ei ganfod.
Mae Crocodilus a Godfather ar Android yn dwyn manylion mewngofnodi banc gyda ffugio a chaniatâd uwch.
Mae dyfalbarhad UEFI (CosmicStrand) yn goroesi ailosodiadau system; mae cyfuno amddiffynfeydd yn allweddol.

Mae seiberddiogelwch wedi dod yn fater bob dydd, ac eto, mae llawer o fygythiadau'n parhau i fynd heb i neb sylwi arnynt yn erbyn defnyddwyr ac offer amddiffynnol. Ymhlith y bygythiadau hyn mae'r hyn a elwir yn "ddrwgwedd anweledig," set o dechnegau y mae eu hamcan yn syml: cuddio mewn golwg plaen a chuddliwio eu holrhain i aros yn weithgar cyhyd â phosibl.

Ymhell o fod yn ffuglen wyddonol, rydym yn sôn am ddulliau sydd eisoes mewn cylchrediad: o rootkits sy'n cymysgu i'r system i fyny Trojans symudol yn gallu dynwared sgriniau banc neu ysbïo heb i ni gyffwrdd ag unrhyw beth. Ac ie, mae yna hefyd ymosodiadau dim-glicio ac achosion eithafol mewn cadarnwedd sy'n goroesi ailosodiadau OS.

Beth ydym yn ei olygu wrth “ddrwgwedd anweledig”?

Pan rydyn ni'n siarad am "anweledig," nid yw'n golygu bod y cod yn llythrennol yn amhosibl i'w weld, ond hynny mae technegau cuddio yn cael eu cymhwyso wedi'i fwriadu i guddio newidiadau a gweithgareddau meddalwedd faleisus ar y system heintiedig. Mae'r diffiniad hwn yn cynnwys, er enghraifft, gwreiddgyffion, sy'n trin y system i guddio ffeiliau, prosesau, allweddi cofrestrfa neu gysylltiadau.

Yn ymarferol, gall y straeniau hyn cymryd drosodd tasgau system a dirywio perfformiad heb godi amheuaeth. Hyd yn oed pan fydd gwrthfeirws yn canfod ymddygiad annormal, mae mecanweithiau anweledigrwydd yn caniatáu osgoi neu ohirio canfod, er enghraifft, drwy symud i ffwrdd dros dro o'r ffeil halogedig, ei chlonio i yriant arall, neu cuddio maint y ffeiliau wedi'i newid. Mae hyn i gyd yn cymhlethu gweithred y peiriannau canfod a dadansoddiad fforensig.

meddalwedd faleisus anweledig

Sut mae'n treiddio a sut mae'n cuddio

Gall “firws anweledig,” neu, yn fwy cyffredinol, meddalwedd faleisus sy’n defnyddio technegau cudd, gyrraedd mewn sawl ffurf: atodiadau maleisus mewn negeseuon e-bost, lawrlwythiadau o wefannau amheus, meddalwedd heb ei wirio, apiau twyllodrus sy'n esgus bod yn gyfleustodau neu'n osodiadau poblogaidd drwy dolenni ar rwydweithiau cymdeithasol a negeseuon.

Cynnwys unigryw - Cliciwch Yma Pa gynhyrchion eraill y mae ExpressVPN yn eu cynnig ar wahân i'r gwasanaeth VPN?

Unwaith y tu mewn, mae ei strategaeth yn glir: parhau'n anweledigMae rhai amrywiadau'n "symud" allan o'r ffeil heintiedig pan fyddant yn amau sgan, gan gopïo eu hunain i leoliad arall a gadael amnewidyn glân i osgoi codi rhybuddion. Mae eraill yn cuddio metadata, meintiau ffeiliau a chofnodion system, gan wneud bywyd yn anodd i y peiriannau canfod ac adfer ffeiliau ar ôl haint.

Rootkits: diffiniad, risgiau, a defnyddiau cyfreithlon

Yn ei darddiad mewn amgylcheddau UNIX, roedd rootkit yn set o offer o'r system ei hun (megis ps, netstat neu passwd) wedi'i newid gan dresmaswr i cynnal mynediad gwraidd heb gael eich canfodDaw'r enw "gwreiddyn," yr uwch-ddefnyddiwr, o. Heddiw, yn Windows a systemau eraill, mae'r cysyniad yn parhau'r un fath: rhaglenni wedi'u cynllunio i guddio elfennau (ffeiliau, prosesau, allweddi cofrestrfa, cof a hyd yn oed cysylltiadau) i'r system weithredu neu gymwysiadau diogelwch.

Nid yw defnyddio technoleg gudd, ynddo'i hun, yn faleisus yn ei hanfod. Gellir ei ddefnyddio at ddibenion cyfreithlon fel monitro corfforaethol, amddiffyn eiddo deallusol, neu ddiogelu rhag gwallau defnyddwyr. Mae'r broblem yn codi pan gymhwysir y galluoedd hyn i cuddio meddalwedd faleisus, drysau cefn, a gweithgareddau troseddol, gan gyd-fynd â deinameg gyfredol seiberdroseddu, sy'n ceisio cynyddu amser gweithredu i'r eithaf heb ddenu sylw.

Sut i ganfod a lliniaru rootkits

Nid oes unrhyw dechneg sengl yn anffaeledig, felly'r strategaeth orau yw cyfuno dulliau ac offer. Mae dulliau clasurol ac uwch yn cynnwys:

Canfod llofnodionSganio a chymharu yn erbyn catalogau meddalwedd faleisus hysbys. Mae'n effeithiol ar gyfer amrywiadau wedi'u catalogio eisoes, ac eithrio'r rhai heb eu cyhoeddi.
Hewristig neu seiliedig ar ymddygiad: yn nodi gwyriadau mewn gweithgaredd arferol y system, yn ddefnyddiol ar gyfer darganfod teuluoedd newydd neu deuluoedd wedi mwtaneiddio.
Canfod trwy gymharu: yn cyferbynnu'r hyn y mae'r system yn ei adrodd â darlleniadau o lefel isel; os oes anghysondebau, mae amheuaeth o guddio.
UniondebYn gwirio ffeiliau a chof yn erbyn a cyflwr cyfeirio dibynadwy (llinell sylfaen) i ddangos newidiadau.

Cynnwys unigryw - Cliciwch Yma Sut i ddod o hyd i CVV cerdyn BBVA

Ar lefel atal, mae'n ddoeth defnyddio antimalware da yn weithredol ac wedi'i ddiweddaru, defnyddiwch wal dân, cadw systemau a chymwysiadau wedi'u diweddaru gyda chlytiau, a chyfyngu ar freintiau. Weithiau, er mwyn canfod rhai heintiau, argymhellir cychwyn o gyfryngau allanol a sganio “o’r tu allan” i’r system sydd wedi’i pheryglu, er hyd yn oed wedyn mae rhai teuluoedd yn llwyddo i wneud hynny ailintegreiddio mewn ffeiliau system eraill.

Dau achos o ddrwgwedd anweledig: XWorm a NotDoor

Efallai mai dyma'r bygythiadau meddalwedd faleisus anweledig mwyaf peryglus sydd ar gael ar hyn o bryd. Er mwyn gwybod sut i amddiffyn eich hun rhagddynt, mae'n well eu deall yn dda:

XWorm

XWorm Mae'n ddrwgwedd adnabyddus sydd wedi esblygu'n frawychus yn ddiweddar trwy ddefnyddio enwau ffeiliau gweithredadwy sy'n edrych yn gyfreithlon. Mae hyn yn caniatáu iddo cuddio ei hun fel cymhwysiad diniwed, gan ennill ymddiriedaeth defnyddwyr a systemau fel ei gilydd.

Mae'r ymosodiad yn dechrau gyda ffeil .lnk gudd Fel arfer, caiff ei ddosbarthu drwy ymgyrchoedd gwe-rwydo, mae'n gweithredu gorchmynion PowerShell maleisus, yn lawrlwytho ffeil destun i gyfeiriadur dros dro'r system, ac yn olaf yn lansio ffeil weithredadwy ffug o'r enw discord.exe o weinydd anghysbell.

Ar ôl iddo ymdreiddio i'n cyfrifiadur, gall XWorm gweithredu pob math o orchmynion o bell, o lawrlwythiadau ffeiliau ac ailgyfeiriadau URL i ymosodiadau DDoS.

DdimDrws

Un arall o'r bygythiadau meddalwedd faleisus anweledig mwyaf difrifol ar hyn o bryd yw DdimDrwsTarged y firws soffistigedig hwn a ddatblygwyd gan hacwyr Rwsiaidd yw'r Defnyddwyr Outlook, y maen nhw'n dwyn data cyfrinachol oddi wrtho. Gall hefyd gymryd rheolaeth lwyr dros systemau sydd wedi'u peryglu. Priodolir ei ddatblygiad i APT28, grŵp seiberysbïo adnabyddus o Rwsia.

Mae NotDoor yn hysbys i fod meddalwedd faleisus cudd wedi'i ysgrifennu yn Visual Basic for Applications (VBA), sy'n gallu monitro negeseuon e-bost sy'n dod i mewn am allweddeiriau penodol. Mae'n defnyddio galluoedd y rhaglen ei hun i'w actifadu ei hun mewn gwirionedd. Yna mae'n creu cyfeiriadur cudd i storio ffeiliau dros dro a reolir gan yr ymosodwr.

Cynnwys unigryw - Cliciwch Yma Sut i wybod a yw fy ffôn symudol wedi'i ymyrryd 2020 Mecsico

Arferion gorau i amddiffyn eich hun (a sut i ymateb os ydych chi eisoes wedi'ch heintio)

Mae amddiffyn effeithiol yn cyfuno arferion a thechnoleg. Y tu hwnt i "synnwyr cyffredin," mae angen gweithdrefnau ac offer sy'n lleihau'r risg wirioneddol ar gyfrifiadur personol a ffôn symudol:

Gosodwch apiau o ffynonellau swyddogol yn unig a gwiriwch y datblygwr, caniatâd, a sylwadau. Byddwch yn ofalus o ddolenni mewn negeseuon, ar gyfryngau cymdeithasol, neu ar wefannau anhysbys.
Defnyddiwch atebion diogelwch dibynadwy ar ffôn symudol a chyfrifiadur personol; nid yn unig y maent yn canfod apiau maleisus, maent hefyd yn eich rhybuddio ymddygiad amheus.
Cadwch bopeth yn gyfoes: system, porwr, a chymwysiadau. Clytiau wedi'u torri llwybrau camfanteisio yn boblogaidd iawn ymhlith ymosodwyr.
Cychwyn dilysu dau gam mewn bancio, post, a gwasanaethau hanfodol. Nid yw'n anffaeledig, ond mae'n ychwanegu rhwystr ychwanegol.
Monitro caniatâd a hysbysiadau hygyrchedd; os yw cyfleustodau syml yn gofyn am reolaeth lawn, mae rhywbeth o'i le.
Ailgychwyn neu ddiffodd eich ffôn symudol o bryd i'w gilydd; gall cau wythnosol llwyr ddileu mewnblaniadau cof ac yn gwneud dyfalbarhad yn anodd.
Galluogi a ffurfweddu'r wal dân, ac yn cyfyngu ar ddefnyddio cyfrifon sydd â chaniatâd gweinyddwr oni bai ei fod yn gwbl angenrheidiol.

Os ydych chi'n amau presenoldeb haint meddalwedd faleisus anweledig (symudol araf, gwres anghyfiawn, ailgychwyniadau rhyfedd, apiau nad ydych chi'n cofio eu gosod neu ymddygiad annormal): tynnu apiau amheus, cychwyn y ffôn symudol mewn modd diogel a phasio sgan llawn, newid cyfrineiriau o dyfais arall, rhowch wybod i'ch banc a gwerthwch ailosod ffatri Os yw'r arwyddion yn parhau, ystyriwch gychwyn o gyfryngau allanol ar gyfrifiadur personol i sganio heb i'r meddalwedd faleisus gymryd rheolaeth.

Cofiwch fod meddalwedd faleisus anweledig yn chwarae gyda'n rhythm: bob yn ail sŵn lleiaf posibl gyda streiciau llawfeddygol. Nid bygythiad haniaethol mohono, ond catalog o technegau cuddio sy'n galluogi popeth arall: Trojans bancio, ysbïwedd, lladrad hunaniaeth, neu barhad cadarnwedd. Os byddwch chi'n atgyfnerthu eich arferion ac yn dewis eich offer yn dda, byddwch chi'n un cam ar y blaen o'r hyn nad yw i'w weld.

Erthygl gysylltiedig:

Sut i ddod o hyd i firysau cudd ar eich cyfrifiadur

Daniel Terrace

Roedd golygydd yn arbenigo mewn technoleg a materion rhyngrwyd gyda mwy na deng mlynedd o brofiad mewn gwahanol gyfryngau digidol. Rwyf wedi gweithio fel golygydd a chrëwr cynnwys ar gyfer cwmnïau e-fasnach, cyfathrebu, marchnata ar-lein a hysbysebu. Rwyf hefyd wedi ysgrifennu ar wefannau economeg, cyllid a sectorau eraill. Fy ngwaith hefyd yw fy angerdd. Nawr, trwy fy erthyglau yn Tecnobits, Rwy'n ceisio archwilio'r holl newyddion a chyfleoedd newydd y mae byd technoleg yn eu cynnig i ni bob dydd i wella ein bywydau.