Kiel protekti vian komputilon kontraŭ nevidebla malica programaro kiel XWorm kaj NotDoor

Cibersekureco fariĝis ĉiutaga problemo, kaj tamen, multaj minacoj daŭre restas nerimarkitaj kontraŭ uzantoj kaj defensivaj iloj. Inter ĉi tiuj minacoj estas tiel nomata "nevidebla malica programaro", aro da teknikoj kies celo estas simpla: kaŝiĝu en simpla vido kaj kamufligu siajn spurojn resti aktiva kiel eble plej longe.

Malproksime de sciencfikcio, ni parolas pri metodoj jam cirkulantaj: de rudkilaroj kiuj miksiĝas en la sistemon supren moveblaj trojanoj kapablaj ŝajnigi bankajn ekranojn aŭ spioni sen ke ni tuŝu ion ajn. Kaj jes, ekzistas ankaŭ atakoj kun nul-klako kaj ekstremaj kazoj en firmvaro kiuj postvivas reinstalojn de operaciumoj.

Kion ni celas per "nevidebla malica programaro"?

Kiam ni parolas pri "nevidebla", ne temas pri tio, ke la kodo estas laŭvorte nevidebla, sed ke kaŝaj teknikoj estas aplikataj celita maski la ŝanĝojn kaj agadojn de malica programaro sur la infektita sistemo. Ĉi tiu difino inkluzivas, ekzemple, radikilaroj, kiuj manipulas la sistemon por kaŝi dosierojn, procezojn, registroŝlosilojn aŭ konektojn.

En praktiko, ĉi tiuj trostreĉoj povas transpreni sistemajn taskojn kaj degradi rendimenton sen veki suspekton. Eĉ kiam antivirusilo detektas anomalian konduton, nevideblecaj mekanismoj permesas eviti aŭ prokrasti detekton, ekzemple, per provizora foriro de la poluita dosiero, klonado de ĝi al alia disko, aŭ kaŝante la grandecon de la dosieroj ŝanĝita. Ĉio ĉi malfaciligas la agadon de la detektaj motoroj kaj krimmedicina analizo.

Kiel ĝi enfiltriĝas kaj kiel ĝi kaŝiĝas

"Nevidebla viruso", aŭ pli ĝenerale, malica programaro kiu uzas sekretajn teknikojn, povas alveni en pluraj formoj: malicaj aldonaĵoj en retpoŝtoj, elŝutoj de dubindaj retejoj, programaro ne konfirmita, fraŭdaj aplikaĵoj kiuj ŝajnigas esti popularaj iloj aŭ instalaĵoj per ligiloj en sociaj retoj kaj mesaĝado.

Post kiam li estas interne, lia strategio estas klara: persistu nevidateIuj variaĵoj "moviĝas" el la infektita dosiero kiam ili suspektas skanadon, kopiante sin al alia loko kaj lasante pura anstataŭaĵo por eviti alarmojn. Aliaj kaŝas metadatenojn, dosiergrandecojn kaj sistemajn enirojn, malfaciligante la vivon por la detektaj motoroj Kaj la dosierrestarigo post infekto.

Radikaj iloj: difino, riskoj kaj uzoj kiuj povas esti legitimaj

En ĝiaj originoj en medioj UNIKSO, rudkitaro estis aro da iloj el la sistemo mem (kiel ekzemple ps, netstat aŭ pasvorto) ŝanĝita de entrudiĝinto al konservi radikan aliron sen esti detektitaLa nomo "root", la superuzanto, devenas de. Hodiaŭ, en Vindozo kaj aliaj sistemoj, la koncepto restas la sama: programoj desegnitaj por kaŝi elementojn (dosieroj, procezoj, registroŝlosiloj, memoro kaj eĉ konektoj) al la operaciumo aŭ sekurecaj aplikaĵoj.

La uzo de sekreta teknologio, en si mem, ne estas esence malica. Ĝi povas esti uzata por legitimaj celoj kiel ekzemple entreprena monitorado, protekto de intelekta propraĵo, aŭ protektado kontraŭ uzantaj eraroj. La problemo ekestas kiam ĉi tiuj kapabloj estas aplikataj al kaŝu malicajn programojn, malantaŭajn pordojn kaj krimajn agadojn, konforme al la nuna dinamiko de ciberkrimo, kiu celas maksimumigi funkcitempon sen altiri atenton.

Kiel detekti kaj mildigi radikilojn

Neniu unuopa tekniko estas neeraripova, do la plej bona strategio estas kombini alirojn kaj ilojn. Klasikaj kaj progresintaj metodoj inkluzivas:

• Subskribo-detektoSkanado kaj komparado kontraŭ konataj katalogoj de malica programaro. Ĝi estas efika por variaĵoj jam katalogitaj, krom la neeldonita.
• Heŭristika aŭ kondut-bazitaidentigas devioj en normala aktiveco de la sistemo, utila por malkovri novajn aŭ mutaciitajn familiojn.
• Detekto per komparo: komparas tion, kion la sistemo raportas, kun legaĵoj de malalta nivelose estas faktkonfliktoj, oni suspektas kaŝadon.
• Integrieco: Kontrolas dosierojn kaj memoron kontraŭ fidinda referenca stato (bazlinio) por montri ŝanĝojn.

Ĉe la preventa nivelo, estas konsilinde deploji bona kontraŭmalica programaro aktiva kaj ĝisdatigita, uzu firewall, konservi sistemoj kaj aplikaĵoj ĝisdataj kun flikaĵoj, kaj limigi privilegiojn. Iafoje, por detekti certajn infektojn, oni rekomendas starti de ekstera amaskomunikilo kaj skani “de ekstere” la kompromititan sistemon, kvankam eĉ tiam iuj familioj sukcesas reintegri en aliaj sistemaj dosieroj.

Du kazoj de nevidebla malica programaro: XWorm kaj NotDoor

Jen eble la plej danĝeraj nevideblaj minacoj de malica programaro nuntempe. Por scii kiel protekti vin kontraŭ ili, estas plej bone kompreni ilin bone:

XWorm

XWorm Ĝi estas konata malica programaro, kiu lastatempe alarme evoluis per uzado de legitimaspektaj efektivigeblaj dosiernomoj. Tio permesas al ĝi kamufli sin kiel sendanĝeran aplikaĵon, akirante la fidon de kaj uzantoj kaj sistemoj.

La atako komenciĝas per kaŝita .lnk-dosiero Tipe distribuita per fiŝkaptaj kampanjoj, ĝi efektivigas malicajn PowerShell-komandojn, elŝutas tekstdosieron al la provizora dosierujo de la sistemo, kaj poste lanĉas falsan ruleblan dosieron nomatan discord.exe de fora servilo.

Post enfiltriĝo en nian komputilon, XWorm povas plenumi ĉiajn tipojn de telekomandoj, de dosieraj elŝutoj kaj URL-alidirektoj ĝis DDoS-atakoj.

NePordo

Alia el la plej gravaj nevideblaj minacoj de malica programaro nuntempe estas NePordoLa celo de ĉi tiu sofistika viruso evoluigita de rusaj retpiratoj estas la Uzantoj de Outlook, de kiu ili ŝtelas konfidencajn datumojn. Ĝi ankaŭ povas preni kompletan kontrolon de kompromititaj sistemoj. Ĝia disvolviĝo estas atribuita al APT28, konata rusa ciberspionada grupo.

NotDoor estas konata kiel kaŝita malica programaro skribita en Visual Basic por Aplikaĵoj (VBA), kapabla monitori alvenantajn retpoŝtojn laŭ specifaj ŝlosilvortoj. Ĝi fakte utiligas la proprajn kapablojn de la programo por aktivigi sin. Ĝi tiam kreas kaŝitan dosierujon por konservi provizorajn dosierojn kontrolatajn de la atakanto.

Plej bonaj praktikoj por protekti vin (kaj kiel reagi se vi jam estas infektita)

Efika defendo kombinas kutimojn kaj teknologion. Krom "komuna racio", vi bezonas proceduroj kaj iloj kiuj reduktas la realan riskon sur komputilo kaj poŝtelefono:

• Instalu aplikaĵojn nur el oficialaj fontoj kaj kontrolu la programiston, permesojn kaj komentojn. Atentu pri ligiloj en mesaĝoj, en sociaj retoj aŭ en nekonataj retejoj.
• Uzu fidindajn sekurecajn solvojn sur poŝtelefono kaj komputilo; ili ne nur detektas malicajn aplikaĵojn, sed ankaŭ avertas vin suspektinda konduto.
• Tenu ĉion ĝisdatigita: sistemo, retumilo kaj aplikaĵoj. Pecetoj fortranĉitaj ekspluataj vojoj tre populara inter atakantoj.
• Aktivigu dupaŝan konfirmon en bankado, poŝto kaj kritikaj servoj. Ĝi ne estas neeraripova, sed ĝi aldonas plia bariero.
• Monitori alireblecajn permesojn kaj sciigojn; se simpla ilo petas plenan kontrolon, io estas malĝusta.
• Rekomencu aŭ malŝaltu vian poŝtelefonon periodekompleta semajna ĉesigo povas elimini memoraj enplantaĵoj kaj malfaciligas persiston.
• Aktivigu kaj agordu la fajromuron, kaj limigas la uzon de kontoj kun administrantaj permesoj krom se absolute necese.

Se vi suspektas la ĉeeston de nevidebla malica programaro (malrapida poŝtelefono, nepravigebla varmo, strangaj restartigoj, aplikaĵoj, kiujn vi ne memoras instali aŭ nenormala konduto): forigi suspektindajn aplikaĵojn, lanĉu la poŝtelefonon en sekura reĝimo kaj pasigu plenan skanadon, ŝanĝu pasvortojn de alia aparato, informu vian bankon kaj taksu fabriko reset Se signoj daŭras, konsideru startigi de ekstera datumportilo sur komputilo por skani sen ke la malica programaro prenu kontrolon.

Memoru, ke nevidebla malica programaro ludas kun nia ritmo: alternu la minimuma bruo per kirurgiaj atakoj. Ĝi ne estas abstrakta minaco, sed katalogo de kaŝaj teknikoj kiuj ebligas ĉion alian: bankajn trojanojn, spionprogramojn, identecŝtelon aŭ persistecon de firmvaro. Se vi plifortigos viajn kutimojn kaj bone elektos viajn ilojn, vi estos unu paŝon antaŭen de tio, kio ne videblas.