Nola babestu zure ordenagailua XWorm eta NotDoor bezalako malware ikusezinetatik

Zibersegurtasuna eguneroko arazo bihurtu da, eta hala ere, mehatxu asko oharkabean pasatzen jarraitzen dute erabiltzaileen eta defentsa tresnen aurka. Mehatxu horien artean "malware ikusezina" dago, helburua sinplea duten teknika multzo bat: begi-bistan ezkutatu eta beren arrastoak kamuflatu ahalik eta denbora gehien aktibo mantentzeko.

Zientzia fikzioa izatetik urrun, dagoeneko zirkulazioan dauden metodoei buruz ari gara: -tik sisteman nahasten diren rootkitak arte mugikorreko troiarrak bankuko pantailak imitatzeko edo espioitza egiteko gai direnak guk ezer ukitu gabe. Eta bai, badaude ere zero klik erasoak eta firmwarearen muturreko kasuak sistema eragilearen berrinstalazioen ondoren bizirik irauten dutenak.

Zer esan nahi dugu "malware ikusezin" esaten dugunean?

«Ikustezinaz» hitz egiten dugunean, ez da kodea literalki ikustea ezinezkoa delako, baizik eta ezkutatzeko teknikak aplikatzen dira malwarearen aldaketak eta jarduerak kutsatutako sisteman maskaratzeko asmoarekin. Definizio honek honako hauek barne hartzen ditu, adibidez: rootkits, sistema manipulatzen dutenak fitxategiak, prozesuak, erregistroko gakoak edo konexioak ezkutatzeko.

Praktikan, tentsio hauek egin dezakete sistemaren zereginak hartu eta errendimendua gutxitu susmorik sortu gabe. Antibirus batek portaera anomaloa detektatzen duenean ere, ikusezintasun mekanismoek ahalbidetzen dute detekzioa saihestu edo atzeratuadibidez, kutsatutako fitxategitik aldi baterako aldenduz, beste unitate batera klonatuz edo fitxategien tamaina ezkutatzea aldatuta. Horrek guztiak zaildu egiten du ekintza detekzio-motorrak eta analisi forentsea.

Nola sartzen den eta nola ezkutatzen den

"Birus ikusezin" bat, edo, zabalago esanda, teknika ezkutuak erabiltzen dituen malware bat, hainbat formatan ager daiteke: eranskin gaiztoak mezu elektronikoetan, webgune zalantzagarrietatik egindako deskargetan, softwarean no verificado, utilitate edo instalazio ezagunen itxurak egiten dituzten aplikazio iruzurrezkoak sare sozialetako eta mezularitzako estekak.

Behin barruan, bere estrategia argia da: ikusezin iraunAldaera batzuk kutsatutako fitxategitik “mugitzen” dira eskaneatu bat susmatzen dutenean, beste kokapen batera kopiatuz eta utziz... ordezko garbia alertak ez agertzeko. Beste batzuek metadatuak, fitxategien tamaina eta sistemaren sarrerak ezkutatzen dituzte, bizitza zailduz detekzio motorrak. eta fitxategien leheneratzea infekzio baten ondoren.

Rootkitak: definizioa, arriskuak eta zilegi izan daitezkeen erabilerak

Inguruneetan jatorria duela UNIXrootkit bat sistemaren beraren tresna multzo bat zen (adibidez, ps, netstat edo passwd) intruso batek aldatua mantendu root sarbidea detektatu gabe"Root" izena, supererabiltzailea, hemendik dator. Gaur egun, Windows eta beste sistemetan, kontzeptua berdina da: elementuak ezkutatzeko diseinatutako programak (fitxategiak, prozesuak, erregistroko gakoak, memoria eta baita konexioak ere) sistema eragileari edo segurtasun aplikazioei.

Ezkutuko teknologiaren erabilera, berez, ez da berez gaiztoa. Helburu legitimoetarako erabil daiteke, hala nola enpresaren jarraipena, jabetza intelektualaren babesa edo erabiltzaileen akatsen aurkako babesa. Arazoa sortzen da gaitasun hauek aplikatzen direnean malwarea, atzeko ateak eta jarduera kriminalak estali, ziberkrimenaren egungo dinamikarekin bat etorriz, arreta erakarri gabe funtzionamendu-denbora maximizatzea bilatzen duena.

Nola detektatu eta arindu rootkit-ak

Ez dago teknika bakar bat hutsezin denik, beraz, estrategia onena da ikuspegiak konbinatu eta tresnak. Metodo klasiko eta aurreratuen artean hauek daude:

• Sinadura detekzioaMalware katalogo ezagunekin eskaneatzea eta alderatzea. Eraginkorra da honetarako dagoeneko katalogatutako aldaerak, argitaratu gabekoak izan ezik.
• Heuristikoa edo portaeran oinarritutakoa: identifica jarduera normalaren desbideratzeak sistemaren, familia berriak edo mutatuak aurkitzeko erabilgarria.
• Konparazio bidezko detekzioasistemak jakinarazten duena irakurketekin alderatzen du bajo nivel; koherentziarik ez badago, ezkutatzea susmatzen da.
• Integridad: Fitxategiak eta memoria egiaztatzen ditu erreferentziazko egoera fidagarria (oinarrizko lerroa) aldaketak erakusteko.

Prebentzio mailan, komenigarria da bat ezartzea buen antimalware aktibo eta eguneratua, erabili suebakiak, mantener sistemak eta aplikazioak eguneratuta adabakiekin eta pribilegioak mugatuz. Batzuetan, infekzio batzuk detektatzeko, gomendatzen da kanpoko euskarritik abiarazi eta sistema kaltetua “kanpotik” eskaneatu, nahiz eta orduan ere familia batzuek lortzen duten reinsertarse beste sistema fitxategietan.

Bi malware ikusezin kasu: XWorm eta NotDoor

Baliteke hauek izatea une honetan dauden malware mehatxu ikusezin arriskutsuenak. Haietatik nola babestu jakiteko, hobe da ondo ulertzea:

XWorm

XWorm Malware ezaguna da, azkenaldian modu kezkagarrian eboluzionatu duena itxura legitimoko fitxategi exekutagarrien izenak erabiliz. Horri esker, aplikazio kaltegabe gisa kamuflatzen du bere burua, erabiltzaileen eta sistemen konfiantza irabaziz.

Erasoa batekin hasten da ezkutuko .lnk fitxategia Phishing kanpainen bidez banatzen da normalean, PowerShell komando gaiztoak exekutatzen ditu, testu-fitxategi bat deskargatzen du sistemaren aldi baterako direktoriora eta, ondoren, discord.exe izeneko exekutagarri faltsu bat abiarazten du urruneko zerbitzari batetik.

Behin gure ordenagailuan sartuta, XWorm-ek urruneko komando mota guztiak exekutatu, fitxategien deskargetatik eta URL birbideratzeetatik DDoS erasoetaraino.

EzAtea

Gaur egungo malware mehatxu ikusezin larrienetako bat da EzAteaErrusiako hackerrek garatutako birus sofistikatu honen helburua hauek dira: Outlook erabiltzaileak, zeinengandik datu konfidentzialak lapurtzen dituzten. Sistema kaltetuen kontrol osoa ere har dezake. Bere garapena APT28ri egozten zaio, Errusiako ziberespioitza talde ezagunari.

NotDoor ezaguna da Visual Basic for Applications (VBA) programan idatzitako malware ezkutu bat, sarrerako mezu elektronikoak gako-hitz espezifikoen arabera kontrolatzeko gai da. Programaren beraren gaitasunak erabiltzen ditu bere burua aktibatzeko. Ondoren, erasotzaileak kontrolatzen dituen aldi baterako fitxategiak gordetzeko direktorio ezkutu bat sortzen du.

Zeure burua babesteko jardunbide egokiak (eta nola erreakzionatu kutsatuta bazaude)

Defentsa eraginkorrak ohiturak eta teknologia konbinatzen ditu. "Zentzu komuna" baino haratago, behar duzu prozedurak eta tresnak ordenagailuan eta mugikorrean benetako arriskua murrizten dutenak:

• Aplikazioak iturri ofizialetatik bakarrik instalatu eta egiaztatu garatzailea, baimenak eta iruzkinak. Kontuz mezuetako, sare sozialetako edo webgune ezezagunetako estekekin.
• Erabili segurtasun-irtenbide fidagarriak mugikorrean eta ordenagailuan; ez dituzte aplikazio gaiztoak detektatzen bakarrik, baita abisatzen ere portaera susmagarria.
• Mantén todo actualizado: sistema, arakatzailea eta aplikazioak. Adabakiak moztuta ustiapen bideak oso ezaguna erasotzaileen artean.
• Aktibatu bi urratseko egiaztapena bankuetan, posta elektronikoan eta zerbitzu kritikoetan. Ez da hutsezina, baina gehitzen du barrera adicional.
• Irisgarritasun baimenak eta jakinarazpenak kontrolatuutilitate soil batek kontrol osoa eskatzen badu, algo falla.
• Berrabiarazi edo itzali mugikorra aldian-aldianasteroko itxiera oso batek ezaba dezake memoria-inplanteak eta iraunkortasuna zailtzen du.
• Aktibatu eta konfiguratu suebakia, eta administratzaile baimenak dituzten kontuen erabilera mugatzen du, guztiz beharrezkoa ez bada behintzat.

Malware infekzio ikusezin baten presentzia susmatzen baduzu (mugikor motela, bero justifikatu gabea, berrabiarazte arraroak, instalatu ez dituzun aplikazioak edo portaera anormala): aplikazio susmagarriak kendu, abiarazi mugikorra modu seguruan eta gainditu eskaneatu osoa, aldatu pasahitzak hemendik beste gailu bat, jakinarazi zure bankuari eta baloratu fabrika berrezarpena Seinaleak konpontzen ez badira, kontuan hartu ordenagailu bateko kanpoko euskarri batetik abiaraztea malwareak kontrola hartu gabe eskaneatzeko.

Gogoratu malware ikusezinak gure erritmoarekin jolasten duela: txandakatu ruido mínimo ebakuntza-kolpeekin. Ez da mehatxu abstraktu bat, baizik eta katalogo bat ezkutatzeko teknikak beste guztia ahalbidetzen dutenak: banku-troiarrak, spywarea, identitate-lapurreta edo firmwarearen iraunkortasuna. Ohiturak indartzen badituzu eta tresnak ondo aukeratzen badituzu, izango zara un paso por delante ikusten ez denaren.