- נוזקות חמקניות משתמשות בטכניקות חמקניות (rootkits, וירטואליזציה, zero-click) כדי להתחמק מגילוי.
- קרוקודילוס וסנדק באנדרואיד גונבים פרטי בנק באמצעות זיופים והרשאות מתקדמות.
- CosmicStrand (התמדה ב-UEFI) שורדת גם לאחר התקנות מחדש של המערכת; שילוב של הגנות הוא המפתח.
אבטחת סייבר הפכה לנושא יומיומי, ובכל זאת, איומים רבים ממשיכים להתעלם נגד משתמשים וכלי הגנה. בין האיומים הללו נמצאת מה שנקרא "תוכנה זדונית בלתי נראית", קבוצה של טכניקות שמטרתן פשוטה: להסתתר לעין ולהסוות את עקבותיהם כדי להישאר פעילים כמה שיותר זמן.
רחוק מלהיות מדע בדיוני, אנחנו מדברים על שיטות שכבר נמצאות בשימוש: החל מ ערכות רוט (rootkits) שמשתלבות במערכת עַד טרויאנים ניידים מסוגלים לחקות מסכי בנק או לרגל מבלי שנגע בכלום. וכן, יש גם התקפות ללא קליקים ומקרים קיצוניים בקושחה ששורדים התקנות מחדש של מערכת הפעלה.
למה אנו מתכוונים ב"תוכנה זדונית בלתי נראית"?
כשאנחנו מדברים על "בלתי נראה", זה לא שהקוד פשוט בלתי אפשרי לראות, אלא ש טכניקות הסתרה מיושמות נועד להסוות את השינויים והפעילויות של תוכנות זדוניות במערכת הנגועה. הגדרה זו כוללת, לדוגמה, ערכות שורשים, אשר מניפולציות במערכת כדי להסתיר קבצים, תהליכים, מפתחות רישום או חיבורים.
בפועל, זנים אלה יכולים להשתלט על משימות המערכת ולפגוע בביצועים מבלי לעורר חשד. אפילו כאשר אנטי-וירוס מזהה התנהגות חריגה, מנגנוני היעלמות מאפשרים להתחמק או לדחות את הגילוי, לדוגמה, על ידי התרחקות זמנית מהקובץ המזוהם, שכפולו לכונן אחר, או הסתרת גודל הקבצים השתנה. כל זה מסבך את פעולתו של ה- מנועי גילוי וניתוח פורנזי.
איך זה חודר ואיך זה מסתתר
"וירוס בלתי נראה", או, באופן רחב יותר, תוכנה זדונית המשתמשת בטכניקות התגנבות, יכולה להגיע בכמה צורות: קבצים מצורפים זדוניים במיילים, הורדות מאתרים מפוקפקים, תוכנות לא אומת, אפליקציות הונאה המתחזות לשירותים או להתקנות פופולריות באמצעות קישורים ברשתות חברתיות ובהודעות.
ברגע שהוא בפנים, האסטרטגיה שלו ברורה: להתמיד בלתי נראהחלק מהגרסאות "זזות" החוצה מהקובץ הנגוע כשהן חושדות בסריקה, מעתיקות את עצמן למיקום אחר ומשאירות תחליף נקי כדי להימנע מהפעלת התראות. אחרים מסתירים מטא-נתונים, גדלי קבצים ורשומות מערכת, מה שמקשה על החיים עבור מנועי הגילוי וה- שחזור קבצים לאחר זיהום.
Rootkits: הגדרה, סיכונים ושימושים שעשויים להיות לגיטימיים
במקורותיו בסביבות יוניקס, ערכת רוט (rootkit) הייתה אוסף של כלים מהמערכת עצמה (כגון ps, netstat או passwd) שונה על ידי פולש ל לשמור על גישת רוט מבלי להתגלותמקור השם "root", משתמש-על, הוא... כיום, ב-Windows ובמערכות אחרות, הקונספט נשאר זהה: תוכנות שנועדו להסתיר אלמנטים (קבצים, תהליכים, מפתחות רישום, זיכרון ואפילו חיבורים) למערכת ההפעלה או ליישומי אבטחה.
השימוש בטכנולוגיית חמקנות, כשלעצמו, אינו זדוני מטבעו. ניתן להשתמש בו למטרות לגיטימיות כגון ניטור תאגידי, הגנה על קניין רוחני, או הגנה מפני טעויות משתמש. הבעיה מתעוררת כאשר יכולות אלה מיושמות על לטייח תוכנות זדוניות, דלתות אחוריות ופעילות פלילית, בהתאם לדינמיקה הנוכחית של פשעי סייבר, השואפת למקסם את זמן הפעולה מבלי למשוך תשומת לב.
כיצד לזהות ולמתן בעיות של רוטקיטים
אף טכניקה אינה חסינה מטעויות, ולכן האסטרטגיה הטובה ביותר היא שילוב גישות וכלים. שיטות קלאסיות ומתקדמות כוללות:
- זיהוי חתימותסריקה והשוואה מול קטלוגים של תוכנות זדוניות ידועות. יעיל עבור גרסאות שכבר מקוטלגות, למעט אלה שלא פורסמו.
- היוריסטי או מבוסס התנהגותמזהה סטיות בפעילות רגילה של המערכת, שימושי לגילוי משפחות חדשות או מוטציות.
- גילוי באמצעות השוואה: משווה את מה שהמערכת מדווחת עם קריאות מ רמה נמוכהאם יש סתירות, קיים חשד להסתרה.
- שְׁלֵמוּת: בודק קבצים וזיכרון מול מצב ייחוס אמין (קו בסיס) כדי להראות שינויים.
ברמת המניעה, מומלץ לפרוס תוכנות אנטי-וירוס טובות פעיל ומעודכן, השתמש חומות אש, לשמור מערכות ויישומים מעודכנים עם תיקונים, ולהגביל הרשאות. לפעמים, כדי לזהות זיהומים מסוימים, מומלץ אתחול ממדיה חיצונית ולסרוק "מבחוץ" את המערכת הפגועה, למרות שגם אז יש משפחות שמצליחות להשתלב מחדש בקבצי מערכת אחרים.
שני מקרים של תוכנות זדוניות בלתי נראות: XWorm ו-NotDoor
אלו עשויים להיות איומי התוכנות הזדוניות המסוכנים והבלתי נראים ביותר שקיימים כרגע. כדי לדעת כיצד להגן על עצמכם מפניהם, עדיף להבין אותם היטב:
תולעת אקס
תולעת אקס זוהי תוכנה זדונית ידועה שהתפתחה לאחרונה באופן מדאיג על ידי שימוש בשמות קבצי הפעלה שנראים לגיטימיים. זה מאפשר לה להסוות את עצמו כיישום לא מזיק, וזוכה באמון המשתמשים והמערכות כאחד.
ההתקפה מתחילה עם א קובץ .lnk מוסתר בדרך כלל מופץ באמצעות קמפיינים של פישינג, הוא מבצע פקודות PowerShell זדוניות, מוריד קובץ טקסט לספרייה הזמנית של המערכת, ולאחר מכן מפעיל קובץ הפעלה מזויף בשם discord.exe משרת מרוחק.
ברגע ש-XWorm חדר למחשב שלנו, הוא יכול... לבצע את כל סוגי הפקודות מרחוק, מהורדות קבצים והפניות כתובות URL ועד להתקפות DDoS.
לא דלת
עוד אחד מאיומי התוכנה הזדונית הבלתי נראים החמורים ביותר כיום הוא לא דלתהמטרה של הווירוס המתוחכם הזה שפותח על ידי האקרים רוסים היא משתמשי אאוטלוק, שממנו הם גונבים נתונים חסויים. היא יכולה גם להשתלט באופן מלא על מערכות פרוצות. פיתוחה מיוחס ל-APT28, קבוצת ריגול סייבר רוסית ידועה.
נוטדור ידוע כ תוכנה זדונית נסתרת שנכתבה ב-Visual Basic for Applications (VBA), המסוגל לנטר מיילים נכנסים לפי מילות מפתח ספציפיות. למעשה, הוא ממנף את היכולות של התוכנה עצמה כדי להפעיל את עצמו. לאחר מכן הוא יוצר ספרייה נסתרת לאחסון קבצים זמניים הנשלטים על ידי התוקף.
שיטות עבודה מומלצות להגנה על עצמך (וכיצד להגיב אם כבר נדבקת)
הגנה יעילה משלבת הרגלים וטכנולוגיה. מעבר ל"שכל ישר", אתה צריך נהלים וכלים שמפחיתים את הסיכון האמיתי במחשב ובנייד:
- התקינו אפליקציות רק ממקורות רשמיים ולבדוק את המפתח, את ההרשאות ואת התגובות. היזהרו מקישורים בהודעות, ברשתות חברתיות או באתרים לא מוכרים.
- השתמשו בפתרונות אבטחה אמינים בנייד ובמחשב; הם לא רק מזהים אפליקציות זדוניות, הם גם מתריעים בפניכם התנהגות חשודה.
- שמור על הכל מעודכןמערכת, דפדפן ויישומים. טלאים חתוכים נתיבי ניצול פופולרי מאוד בקרב תוקפים.
- הפעל אימות דו-שלבי בבנקאות, בדואר ובשירותים קריטיים. זה לא חסין מטעויות, אבל זה מוסיף מחסום נוסף.
- ניטור הרשאות נגישות והתראותאם כלי עזר פשוט מבקש שליטה מלאה, משהו לא בסדר.
- הפעל מחדש או כבה את הטלפון הנייד שלך מעת לעתסגירה שבועית מוחלטת יכולה לבטל שתלי זיכרון ומקשה על ההתמדה.
- הפעלה והגדרה של חומת האשומגביל את השימוש בחשבונות עם הרשאות מנהל אלא אם כן הדבר הכרחי לחלוטין.
אם אתם חושדים בנוכחות של זיהום זדוני בלתי נראה (מכשיר נייד איטי, חום לא מוצדק, אתחול מוזר, אפליקציות שאתם לא זוכרים שהתקנתם או התנהגות חריגה): הסר אפליקציות חשודות, הפעל את הנייד במצב בטוח ובצע סריקה מלאה, שנה סיסמאות מ מכשיר אחר, הודע לבנק שלך וערך איפוס להגדרות היצרן אם הסימנים נמשכים, שקול לאתחל ממדיה חיצונית במחשב כדי לסרוק מבלי שהתוכנה הזדונית תשתלט על המערכת.
זכרו שתוכנות זדוניות בלתי נראות משחקות עם הקצב שלנו: החליפו את רעש מינימלי עם התקפות כירורגיות. זה לא איום מופשט, אלא קטלוג של טכניקות הסתרה שמאפשרים את כל השאר: טרויאנים בנקאיים, תוכנות ריגול, גניבת זהות או התמדה של קושחה. אם תחזקו את ההרגלים שלכם ותבחרו את הכלים שלכם בקפידה, תהיו צעד אחד קדימה של מה שלא נראה.
עורך מתמחה בנושאי טכנולוגיה ואינטרנט עם יותר מעשר שנות ניסיון במדיה דיגיטלית שונים. עבדתי כעורכת ויוצרת תוכן בחברות מסחר אלקטרוני, תקשורת, שיווק מקוון ופרסום. כתבתי גם באתרי כלכלה, פיננסים ומגזרים אחרים. העבודה שלי היא גם התשוקה שלי. עכשיו, דרך המאמרים שלי ב Tecnobits, אני מנסה לחקור את כל החדשות וההזדמנויות החדשות שעולם הטכנולוגיה מציע לנו מדי יום כדי לשפר את חיינו.