Hoe kinne jo jo PC beskermje tsjin ûnsichtbere malware lykas XWorm en NotDoor

Cyberfeiligens is in deistich probleem wurden, en dochs, in protte bedrigingen bliuwe ûnopmurken tsjin brûkers en ferdigeningsark. Under dizze bedrigingen is saneamde "ûnsichtbere malware", in set techniken waans doel ienfâldich is: ferbergje yn it sicht en kamouflearje har spoaren om sa lang mooglik aktyf te bliuwen.

Wy hawwe it fier fan science fiction te wêzen, mar oer metoaden dy't al yn omloop binne: fan rootkits dy't yn it systeem yngeane oant mobile Trojanen yn steat om bankskermen te imitearjen of te spionearjen sûnder dat wy wat oanreitsje. En ja, d'r binne ek nul-klik oanfallen en ekstreme gefallen yn firmware dy't OS-werynstallaasjes oerlibje.

Wat bedoele wy mei "ûnsichtbere malware"?

As wy prate oer "ûnsichtber", is it net dat de koade letterlik ûnmooglik te sjen is, mar dat ferbergingstechniken wurde tapast bedoeld om de feroarings en aktiviteiten fan malware op it ynfekteare systeem te maskeren. Dizze definysje omfettet bygelyks rootkits, dy't it systeem manipulearje om bestannen, prosessen, registersleutels of ferbiningen te ferbergjen.

Yn 'e praktyk kinne dizze stammen systeemtaken oernimme en prestaasjes ferleegje sûnder fermoedens te wekken. Sels as in antivirus anomaal gedrach detektearret, meitsje ûnsichtberensmeganismen it mooglik ûntdekking ûntwike of útstellebygelyks troch tydlik fuort te gean fan it fersmoarge bestân, it te klonen nei in oare skiif, of de grutte fan 'e bestannen ferbergje feroare. Dit alles komplisearret de aksje fan 'e deteksjemotoren en forensyske analyze.

Hoe't it ynfiltrearret en hoe't it ferberget

In "ûnsichtber firus", of, breder sein, malware dy't stealth-techniken brûkt, kin yn ferskate foarmen oankomme: kweade taheaksels yn e-mails, downloads fan dubieuze websiden, software no verificado, frauduleuze apps dy't har foardogge as populêre nutsbedriuwen of ynstallaasjes fia keppelings op sosjale netwurken en berjochten.

As er ienris binnen is, is syn strategy dúdlik: ûnsichtber bliuweGuon farianten "ferpleatse" har út it ynfekteare bestân as se in scan fermoedzje, kopiearje harsels nei in oare lokaasje en litte in skjinne ferfanger om warskôgings te foarkommen. Oaren ferbergje metadata, bestânsgrutte en systeemyngongen, wêrtroch it libben lestich wurdt foar de deteksjemotoren en de triemherstel nei in ynfeksje.

Rootkits: definysje, risiko's en gebrûk dat legitime wêze kin

Yn syn oarsprong yn omjouwings UNIX, in rootkit wie in set ark fan it systeem sels (lykas ps, netstat of passwd) feroare troch in yndringer nei root tagong behâlde sûnder ûntdutsen te wurdenDe namme "root", de superbrûker, komt fan. Tsjintwurdich bliuwt it konsept yn Windows en oare systemen itselde: programma's ûntworpen om eleminten te ferbergjen (bestannen, prosessen, registersleutels, ûnthâld en sels ferbiningen) mei it bestjoeringssysteem of befeiligingsapplikaasjes.

It brûken fan stealth-technology is op himsels net ynherint kwea-aardich. It kin brûkt wurde foar legitime doelen lykas bedriuwsmonitoring, beskerming fan yntellektueel eigendom, of beskerming tsjin brûkersflaters. It probleem ûntstiet as dizze mooglikheden tapast wurde op malware, efterdoarren en kriminele aktiviteiten ferbergje, yn oerienstimming mei de hjoeddeiske dynamyk fan cyberkriminaliteit, dy't besiket uptime te maksimalisearjen sûnder oandacht te lûken.

Hoe kinne jo rootkits ûntdekke en ferminderje

Gjin inkele technyk is ûnfeilber, dus de bêste strategy is kombinearje oanpakken en ark. Klassike en avansearre metoaden omfetsje:

• HântekeningdeteksjeScannen en fergelykjen mei bekende malware-katalogussen. It is effektyf foar farianten al katalogisearre, útsein de net-publisearre.
• Heuristysk of gedrachsbasearre: identifica ôfwikingen yn normale aktiviteit fan it systeem, nuttich foar it ûntdekken fan nije of mutearre famyljes.
• Deteksje troch ferliking: fergeliket wat it systeem rapportearret mei lêzingen fan bajo nivel; as der ynkonsistinsjes binne, wurdt fermoeden fan ferburgen hâlden.
• YntegriteitKontrolearret bestannen en ûnthâld tsjin in betroubere referinsjestatus (basisline) om feroarings te sjen litten.

Op previnsjenivo is it oan te rieden om in buen antimalware aktyf en bywurke, brûk brânmuorren, mantener systemen en applikaasjes by de tiid mei patches, en privileezjes beheine. Soms, om bepaalde ynfeksjes te detektearjen, wurdt it oanrikkemandearre opstarte fan eksterne media en "fan bûten" it kompromittearre systeem scannen, hoewol sels dan slagget it guon famyljes om reinsertarse yn oare systeembestannen.

Twa gefallen fan ûnsichtbere malware: XWorm en NotDoor

Dit binne miskien wol de gefaarlikste ûnsichtbere malwarebedrigingen dy't der op it stuit binne. Om te witten hoe't jo josels der tsjin beskermje kinne, is it it bêste om se goed te begripen:

XWorm

XWorm It is in bekende malware dy't koartlyn alarmearjend evoluearre is troch it brûken fan legitime útsjende útfierbere bestânsnammen. Dit makket it mooglik om kamouflearje himsels as in ûnskealike tapassing, it fertrouwen winne fan sawol brûkers as systemen.

De oanfal begjint mei in ferburgen .lnk-bestân Typysk ferspraat fia phishing-kampanjes, fiert it kweade PowerShell-kommando's út, downloadt in tekstbestân nei de tydlike map fan it systeem, en lanseart dan in falske útfierbere triem mei de namme discord.exe fan in eksterne server.

As it ienris yn ús PC ynfiltrearre is, kin XWorm alle soarten kommando's op ôfstân útfiere, fan bestânsdownloads en URL-omliedingen oant DDoS-oanfallen.

NetDoar

In oare fan 'e earnstichste ûnsichtbere malwarebedrigingen op it stuit is NetDoarIt doelwyt fan dit ferfine firus ûntwikkele troch Russyske hackers binne de Outlook-brûkers, fan wa't se fertroulike gegevens stelle. It kin ek folsleine kontrôle oer kompromittearre systemen nimme. De ûntwikkeling dêrfan wurdt taskreaun oan APT28, in bekende Russyske cyberespionaazjegroep.

NotDoor stiet bekend as in ferburgen malware skreaun yn Visual Basic for Applications (VBA), dy't ynkommende e-mails kin kontrolearje op spesifike kaaiwurden. It brûkt eins de eigen mooglikheden fan it programma om himsels te aktivearjen. It makket dan in ferburgen map oan om tydlike bestannen op te slaan dy't troch de oanfaller kontrolearre wurde.

Bêste praktiken om josels te beskermjen (en hoe te reagearjen as jo al ynfekteare binne)

Effektive ferdigening kombinearret gewoanten en technology. Utsein "sûn ferstân" hawwe jo nedich prosedueres en ark dy't it echte risiko op PC en mobyl ferminderje:

• Ynstallearje allinich apps fan offisjele boarnen en kontrolearje de ûntwikkelder, tastimming en opmerkings. Wês foarsichtich mei keppelings yn berjochten, op sosjale media of op ûnbekende websiden.
• Brûk betroubere befeiligingsoplossingen op mobyl en PC; se detektearje net allinich kweade apps, se warskôgje jo ek fertocht gedrach.
• Mantén todo actualizado: systeem, browser en applikaasjes. Patches útsnien eksploitaasjerûtes tige populêr ûnder oanfallers.
• Activa la verificación en dos pasos yn bankieren, post en krityske tsjinsten. It is net ûnfeilber, mar it foeget in barrera adicional.
• Tagongsrjochten en notifikaasjes kontrolearje; as in ienfâldich nutsprogramma om folsleine kontrôle freget, algo falla.
• Skeakelje jo mobyl periodyk opnij út of start it opnij op; in folsleine wyklikse sluting kin eliminearje ûnthâldimplantaten en makket oanhâldendheid lestich.
• Aktivearje en konfigurearje de firewall, en beheint it gebrûk fan akkounts mei beheardersrjochten, útsein as it absolút needsaaklik is.

As jo ​​de oanwêzigens fan in ûnsichtbere malware-ynfeksje fermoedzje (trage mobile tillefoan, ûnrjochtfeardige waarmte, frjemde opnij starte, apps dy't jo net ûnthâlde dat jo ynstalleare hawwe of abnormaal gedrach): fertochte apps fuortsmite, start de mobyl yn feilige modus en fier in folsleine scan út, feroarje wachtwurden fan in oar apparaat, ynformearje jo bank en wurdearje in fabryksreset As de tekens oanhâlde, beskôgje dan it opstarten fan eksterne media op in PC om te scannen sûnder dat de malware de kontrôle oernimt.

Tink derom dat ûnsichtbere malware mei ús ritme spilet: wikselje de ruido mínimo mei sjirurgyske oanfallen. It is gjin abstrakte bedriging, mar in katalogus fan ferbergingstechniken dy't alles oars mooglik meitsje: banktrojanen, spyware, identiteitsdiefstal, of firmware-persistinsje. As jo ​​jo gewoanten fersterkje en jo ark goed kieze, sille jo wêze un paso por delante fan wat net sjoen wurdt.