Kaip apsaugoti kompiuterį nuo nematomų kenkėjiškų programų, tokių kaip „XWorm“ ir „NotDoor“

Kibernetinis saugumas tapo kasdiene problema, tačiau daugelis grėsmių lieka nepastebėtos prieš naudotojus ir gynybos įrankius. Tarp šių grėsmių yra vadinamoji „nematoma kenkėjiška programa“ – metodų rinkinys, kurio tikslas paprastas: slėptis akivaizdoje ir užmaskuoti savo pėdsakus kad kuo ilgiau išliktų aktyvūs.

Toli gražu ne mokslinė fantastika, o jau taikomi metodai: nuo rootkit'ai, kurie įsilieja į sistemą į viršų mobilieji Trojos arkliai galintys apsimesti banko ekranais arba šnipinėti mums nieko neliečiant. Taip, yra ir tokių nulinio paspaudimo atakos ir kraštutiniais atvejais programinėje įrangoje, kuri išgyvena OS diegimą iš naujo.

Ką turime omenyje sakydami „nematoma kenkėjiška programa“?

Kai kalbame apie „nematomą“, turime omenyje ne tai, kad kodo tiesiogine prasme neįmanoma pamatyti, bet tai, kad Taikomi slėpimo metodai skirtas užmaskuoti kenkėjiškų programų pakeitimus ir veiklą užkrėstoje sistemoje. Šis apibrėžimas apima, pavyzdžiui, rootkit, kurie manipuliuoja sistema, kad paslėptų failus, procesus, registro raktus ar ryšius.

Praktiškai šie kamienai gali perimti sistemos užduotis ir pabloginti našumą nesukeliant įtarimų. Net kai antivirusinė programa aptinka anomalų elgesį, nematomumo mechanizmai leidžia išvengti aptikimo arba atidėti jį, pavyzdžiui, laikinai atsitraukdami nuo užkrėsto failo, klonuodami jį į kitą diską arba slėpti failų dydį pakitęs. Visa tai apsunkina veiksmus aptikimo varikliai ir teismo ekspertizės analizė.

Kaip jis įsiskverbia ir kaip slepiasi

„Nematomas virusas“ arba, plačiau tariant, kenkėjiška programa, naudojanti slaptus metodus, gali pasireikšti keliomis formomis: kenkėjiški priedai el. laiškuose, atsisiuntimuose iš abejotinų svetainių, programinėje įrangoje nepatvirtinta, apgaulingos programos, kurios apsimeta populiariomis programėlėmis arba diegimo programėlėmis per nuorodos socialiniuose tinkluose ir žinutėse.

Patekus į vidų, jo strategija aiški: išlikti nematomamKai kurie variantai, įtarę nuskaitymą, „persikelia“ iš užkrėsto failo, nukopijuodami save į kitą vietą ir palikdami švarus pakaitalas kad išvengtų įspėjimų. Kiti slepia metaduomenis, failų dydžius ir sistemos įrašus, taip apsunkindami darbą aptikimo varikliai ir failų atkūrimas po infekcijos.

Šakniniai rinkiniai: apibrėžimas, rizika ir teisėti naudojimo būdai

Savo ištakose aplinkoje UNIX, rootkit buvo pačios sistemos įrankių rinkinys (pvz., ps, netstat arba passwd) įsibrovėlio pakeistas į išlaikyti root prieigą be aptikimoPavadinimas „root“, arba supervartotojas, kilęs iš šio žodžio. Šiandien „Windows“ ir kitose sistemose ši koncepcija išlieka ta pati: programos, skirtos elementams paslėpti (failus, procesus, registro raktus, atmintį ir net ryšius) su operacine sistema arba saugos programomis.

Pats slaptų technologijų naudojimas nėra savaime kenkėjiškas. Jis gali būti naudojamas teisėtiems tikslams, pavyzdžiui, įmonių stebėsena, intelektinės nuosavybės apsauga arba apsauga nuo naudotojo klaidų. Problema kyla, kai šios galimybės taikomos užmaskuoti kenkėjiškas programas, užpakalines duris ir nusikalstamą veiklą, atsižvelgiant į dabartinę kibernetinių nusikaltimų dinamiką, kuria siekiama maksimaliai padidinti veikimo laiką nepritraukiant dėmesio.

Kaip aptikti ir suvaldyti rootkitus

Nė viena technika nėra neklystanti, todėl geriausia strategija yra derinti metodus ir įrankiai. Klasikiniai ir pažangūs metodai apima:

• Parašo aptikimasNuskaitymas ir palyginimas su žinomų kenkėjiškų programų katalogais. Tai veiksminga jau kataloguoti variantai, išskyrus nepublikuotus.
• Euristinis arba elgesio pagrindu: identifikuoja nukrypimai nuo įprastos veiklos sistemos, naudinga norint atrasti naujas arba mutavusias šeimas.
• Aptikimas palyginant: palygina sistemos ataskaitas su rodmenimis iš žemas lygisJei yra neatitikimų, įtariamas slėpimas.
• Sąžiningumas: Tikrina failus ir atmintį pagal patikima etaloninė būsena (bazinė linija), kad būtų parodyti pakitimai.

Prevencijos lygmeniu patartina naudoti geras antimalware aktyvus ir atnaujintas, naudokite užkardą, išlaikyti sistemos ir programos yra atnaujintos su pataisomis ir apriboti privilegijas. Kartais, norint aptikti tam tikras infekcijas, rekomenduojama paleisti iš išorinės laikmenos ir nuskaityti pažeistą sistemą „iš išorės“, nors net ir tada kai kurioms šeimoms pavyksta reintegruotis kituose sistemos failuose.

Du nematomos kenkėjiškos programos atvejai: „XWorm“ ir „NotDoor“

Tai gali būti pavojingiausios nematomos kenkėjiškos programos grėsmės šiuo metu. Norint žinoti, kaip nuo jų apsisaugoti, geriausia jas gerai suprasti:

XWorm

XWorm Tai gerai žinoma kenkėjiška programa, kuri pastaruoju metu nerimą keliančiai vystėsi, naudodama teisėtai atrodančius vykdomųjų failų pavadinimus. Tai leidžia jai... užmaskuoja save kaip nekenksmingą taikymą, pelnant tiek vartotojų, tiek sistemų pasitikėjimą.

Ataka prasideda nuo paslėptas .lnk failas Paprastai platinamas per sukčiavimo apsimetant kitais virusais, jis vykdo kenkėjiškas „PowerShell“ komandas, atsisiunčia tekstinį failą į laikiną sistemos katalogą ir tada iš nuotolinio serverio paleidžia netikrą vykdomąjį failą pavadinimu „discord.exe“.

Patekęs į mūsų kompiuterį, XWorm gali vykdyti visų tipų nuotolines komandas, nuo failų atsisiuntimų ir URL peradresavimų iki DDoS atakų.

Ne Durys

Kita rimčiausia nematoma kenkėjiška grėsmė šiuo metu yra Ne DurysŠio sudėtingo viruso, kurį sukūrė Rusijos programišiai, taikinys yra „Outlook“ vartotojai, iš kurių jie vagia konfidencialius duomenis. Ji taip pat gali visiškai perimti pažeistų sistemų kontrolę. Jos sukūrimas priskiriamas APT28 – gerai žinomai Rusijos kibernetinio šnipinėjimo grupuotei.

Yra žinoma, kad „NotDoor“ yra paslėpta kenkėjiška programa, parašyta „Visual Basic for Applications“ (VBA) kalba, galinti stebėti gaunamus el. laiškus pagal konkrečius raktinius žodžius. Iš tikrųjų ji pasinaudoja pačios programos galimybėmis, kad pati save suaktyvintų. Tada ji sukuria paslėptą katalogą, kuriame saugomi užpuoliko kontroliuojami laikini failai.

Geriausios apsaugos praktikos (ir kaip reaguoti, jei jau esate užsikrėtę)

Efektyvi gynyba apjungia įpročius ir technologijas. Be „sveiko proto“, jums reikia procedūros ir įrankiai kurie sumažina realią riziką asmeniniuose ir mobiliuosiuose įrenginiuose:

• Įdiekite programas tik iš oficialių šaltinių ir patikrinkite kūrėją, leidimus ir komentarus. Būkite atsargūs dėl nuorodų žinutėse, socialiniuose tinkluose ar nežinomose svetainėse.
• Naudokite patikimus saugumo sprendimus mobiliuosiuose įrenginiuose ir asmeniniuose kompiuteriuose; jie ne tik aptinka kenkėjiškas programas, bet ir įspėja jus įtartinas elgesys.
• Viską atnaujinkite: sistema, naršyklė ir programos. Pataisymai iškirpti eksploatavimo maršrutai labai populiarus tarp užpuolikų.
• Suaktyvinkite patvirtinimą dviem veiksmais bankininkystės, pašto ir svarbių paslaugų srityse. Jis nėra neklystantis, bet prideda papildomas barjeras.
• Stebėkite prieinamumo leidimus ir pranešimus; jei paprasta programa prašo visiškos kontrolės, kažkas negerai.
• Periodiškai išjunkite arba iš naujo paleiskite mobilųjį telefonąvisiškas savaitinis išjungimas gali pašalinti atminties implantai ir apsunkina atkaklumą.
• Įjunkite ir konfigūruokite užkardąir riboja paskyrų su administratoriaus teisėmis naudojimą, nebent tai būtų absoliučiai būtina.

Jei įtariate nematomą kenkėjiškų programų infekciją (lėtas mobilusis telefonas, nepagrįstas perkaitimas, keisti perkrovimai, programėlės, kurių neprisimenate įdiegę arba nenormalus elgesys): pašalinti įtartinas programas, paleiskite mobilųjį telefoną saugiuoju režimu ir atlikite pilną nuskaitymą, pakeiskite slaptažodžius iš kitas prietaisas, praneškite savo bankui ir įvertinkite gamyklos nustatymas iš naujo Jei požymiai išlieka, apsvarstykite galimybę paleisti kompiuterį iš išorinės laikmenos, kad nuskaitytumėte sistemą be kenkėjiškos programos.

Atminkite, kad nematoma kenkėjiška programa žaidžia su mūsų ritmu: kaitaliokite minimalus triukšmas chirurginiais smūgiais. Tai ne abstraktus grasinimas, o katalogas slėpimo būdai kurie įgalina visa kita: bankininkystės Trojos arklius, šnipinėjimo programas, tapatybės vagystes ar programinės įrangos pataisymus. Jei sustiprinsite savo įpročius ir gerai pasirinksite įrankius, būsite vienu žingsniu priekyje iš to, kas nematoma.