Kā aizsargāt datoru no neredzamas ļaunprogrammatūras, piemēram, XWorm un NotDoor

Pēdējais atjauninājums: 2025. gada 06. oktobrī
Autors: Daniels Terasa

  • Slepenā ļaunprogrammatūra izmanto slepenas metodes (rootkit, virtualizāciju, nulles klikšķa metodi), lai izvairītos no atklāšanas.
  • Crocodilus un Godfather operētājsistēmā Android zog bankas akreditācijas datus, izmantojot uzlabotu viltošanu un atļaujas.
  • UEFI noturība (CosmicStrand) saglabājas pēc sistēmas atkārtotas instalēšanas; aizsardzības apvienošana ir galvenais.
neredzama ļaunprogrammatūra

Kiberdrošība ir kļuvusi par ikdienas problēmu, un tomēr daudzi draudi joprojām paliek nepamanīti pret lietotājiem un aizsardzības rīkiem. Starp šiem draudiem ir tā sauktā "neredzamā ļaunprogrammatūra" — metožu kopums, kura mērķis ir vienkāršs: paslēpties redzamā vietā un nomaskēt savas pēdas lai pēc iespējas ilgāk paliktu aktīvi.

Tālu no zinātniskās fantastikas, mēs runājam par metodēm, kas jau ir apritē: no rootkit, kas saplūst ar sistēmu līdz mobilie Trojas zirgi spējīgi atdarināt bankas ekrānus vai izspiegot, mums neko nepieskaroties. Un jā, ir arī tādi nulles klikšķa uzbrukumi un ekstremāli gadījumi programmaparatūrā, kas izdzīvo OS atkārtotu instalēšanu.

Ko mēs domājam ar “neredzamu ļaunprogrammatūru”?

Kad mēs runājam par “neredzamību”, tas nenozīmē, ka kodu burtiski nav iespējams redzēt, bet gan to, ka tiek pielietotas slēpšanas metodes paredzēts, lai maskētu ļaunprogrammatūras izmaiņas un darbības inficētajā sistēmā. Šī definīcija ietver, piemēram, rootkits, kas manipulē ar sistēmu, lai paslēptu failus, procesus, reģistra atslēgas vai savienojumus.

Praksē šie celmi var pārņemt sistēmas uzdevumus un pasliktināt veiktspēju, neradot aizdomas. Pat ja antivīruss atklāj anomālu uzvedību, neredzamības mehānismi to ļauj izvairīties no atklāšanas vai atlikt to, piemēram, īslaicīgi attālinoties no piesārņotā faila, klonējot to citā diskā vai failu lieluma slēpšana mainīts. Tas viss sarežģī darbību noteikšanas dzinēji un kriminālistikas analīze.

neredzama ļaunprogrammatūra

Kā tas iefiltrējas un kā tas slēpjas

“Neredzams vīruss” jeb, plašākā nozīmē, ļaunprogrammatūra, kas izmanto slepenas metodes, var parādīties vairākos veidos: ļaunprātīgi pielikumi e-pastos, lejupielādēs no apšaubāmām vietnēm, programmatūrā no verificadokrāpnieciskas lietotnes, kas izliekas par populārām utilītprogrammām vai instalācijām, izmantojot saites sociālajos tīklos un ziņojumapmaiņā.

Ekskluzīvs saturs — noklikšķiniet šeit  Sturnus Trojan: jauna banku ļaunprogrammatūra operētājsistēmai Android, kas izspiego WhatsApp un kontrolē jūsu tālruni

Kad tas ir iekšā, viņa stratēģija ir skaidra: paliek neredzētiDaži varianti, ja tiem rodas aizdomas par skenēšanu, “pārvietojas” ārpus inficētā faila, kopējot sevi uz citu atrašanās vietu un atstājot tīrs aizstājējs lai izvairītos no brīdinājumu ģenerēšanas. Citi slēpj metadatus, failu izmērus un sistēmas ierakstus, apgrūtinot dzīvi lietotājiem noteikšanas dzinēji un failu atjaunošana pēc infekcijas.

Sakņkopas: definīcija, riski un likumīgi lietojumi

Tās izcelsme ir vidē UNIX, sakņu komplekts bija rīku kopums no pašas sistēmas (piemēram, ps, netstat vai passwd) iebrucēja mainīts uz saglabāt root piekļuvi bez atklāšanasNo kurienes cēlies nosaukums "root" jeb superlietotājs. Mūsdienās operētājsistēmās Windows un citās sistēmās šī koncepcija paliek nemainīga: programmas, kas paredzētas elementu slēpšanai (failus, procesus, reģistra atslēgas, atmiņu un pat savienojumus) ar operētājsistēmu vai drošības lietojumprogrammām.

Slepenās tehnoloģijas izmantošana pati par sevi nav ļaunprātīga. To var izmantot likumīgiem mērķiem, piemēram, korporatīvā uzraudzība, intelektuālā īpašuma aizsardzība vai aizsardzība pret lietotāja kļūdām. Problēma rodas, ja šīs iespējas tiek izmantotas slēpt ļaunprogrammatūru, aizmugures durvis un noziedzīgas darbības, saskaņojoties ar pašreizējo kibernoziedzības dinamiku, kas cenšas maksimāli palielināt darbības laiku, nepiesaistot uzmanību.

Kā atklāt un mazināt rootkit uzbrukumus

Neviena tehnika nav nekļūdīga, tāpēc labākā stratēģija ir apvienot pieejas un rīki. Klasiskās un progresīvās metodes ietver:

  • Paraksta noteikšanaSkenēšana un salīdzināšana ar zināmu ļaunprogrammatūru katalogiem. Tas ir efektīvs, lai jau katalogizēti varianti, izņemot nepublicētos.
  • Heiristisks vai uz uzvedību balstīts: identifica novirzes normālā darbībā sistēmas daļa, kas noderīga jaunu vai mutētu ģimeņu atklāšanai.
  • Noteikšana, izmantojot salīdzinājumu: salīdzina sistēmas ziņoto ar rādījumiem no bajo nivel; ja ir neatbilstības, pastāv aizdomas par slēpšanu.
  • Integridad: Pārbauda failus un atmiņu, salīdzinot tos ar uzticams atsauces stāvoklis (sākotnējais līmenis), lai parādītu izmaiņas.
Ekskluzīvs saturs — noklikšķiniet šeit  Kādus rīkus var izmantot drošībai Mac datorā?

Preventīvajā līmenī ieteicams izmantot buen antimalware aktīvs un atjaunināts, izmantojiet cortafuegos, mantener atjauninātas sistēmas un lietojumprogrammas ar ielāpiem un ierobežot privilēģijas. Dažreiz, lai atklātu noteiktas infekcijas, ieteicams startēšana no ārējiem datu nesējiem un skenēt apdraudēto sistēmu “no ārpuses”, lai gan pat tad dažām ģimenēm izdodas reinsertarse citos sistēmas failos.

ne durvis

Divi neredzamas ļaunprogrammatūras gadījumi: XWorm un NotDoor

Šie varētu būt visbīstamākie neredzamie ļaunprogrammatūras draudi, kas šobrīd pastāv. Lai zinātu, kā no tiem pasargāties, vislabāk ir tos labi izprast:

XWorm

XWorm Tā ir labi pazīstama ļaunprogrammatūra, kas pēdējā laikā ir satraucoši attīstījusies, izmantojot likumīgi izskatīgus izpildāmo failu nosaukumus. Tas ļauj tai maskē sevi kā nekaitīgu lietojumu, iegūstot gan lietotāju, gan sistēmu uzticību.

Uzbrukums sākas ar slēpts .lnk fails Parasti izplatīts pikšķerēšanas kampaņu ietvaros, tas izpilda ļaunprātīgas PowerShell komandas, lejupielādē teksta failu sistēmas pagaidu direktorijā un pēc tam no attālināta servera palaiž viltotu izpildāmo failu ar nosaukumu discord.exe.

Kad XWorm ir iekļuvis mūsu datorā, tas var izpildīt visu veidu attālās komandas, sākot ar failu lejupielādēm un URL pāradresācijām līdz DDoS uzbrukumiem.

NotDoor

Vēl viens no pašreiz nopietnākajiem neredzamajiem ļaunprogrammatūras draudiem ir NotDoorŠī sarežģītā vīrusa, ko izstrādājuši krievu hakeri, mērķi ir Outlook lietotāji, no kuriem viņi zog viņu konfidenciālos datus. Tā var arī pilnībā kontrolēt kompromitētās sistēmas. Tās izstrāde tiek attiecināta uz APT28, labi pazīstamu Krievijas kiberizlūkošanas grupu.

Ir zināms, ka NotDoor ir slēpta ļaunprogrammatūra, kas rakstīta Visual Basic for Applications (VBA) valodā, kas spēj uzraudzīt ienākošos e-pastus, meklējot konkrētus atslēgvārdus. Faktiski tā izmanto pašas programmas iespējas, lai aktivizētu sevi. Pēc tam tā izveido slēptu direktoriju, kurā glabāt uzbrucēja kontrolētos pagaidu failus.

Ekskluzīvs saturs — noklikšķiniet šeit  Kā noņemt Reimage remontu

Labākā prakse, lai pasargātu sevi (un kā reaģēt, ja jau esat inficēts)

Efektīva aizsardzība apvieno ieradumus un tehnoloģijas. Papildus "veselajam saprātam" ir nepieciešams procedūras un rīki kas samazina reālo risku datorā un mobilajās ierīcēs:

  • Instalējiet lietotnes tikai no oficiāliem avotiem un pārbaudiet izstrādātāju, atļaujas un komentārus. Esiet piesardzīgs attiecībā uz saitēm ziņojumos, sociālajos tīklos vai nezināmās tīmekļa vietnēs.
  • Izmantojiet uzticamus drošības risinājumus mobilajās ierīcēs un datorā; tie ne tikai atklāj ļaunprātīgas lietotnes, bet arī brīdina jūs aizdomīga uzvedība.
  • Mantén todo actualizadoSistēma, pārlūkprogramma un lietojumprogrammas. Ielāpi ir izgriezti. ekspluatācijas ceļi ļoti populārs uzbrucēju vidū.
  • Aktivizēt divpakāpju verifikāciju banku, pasta un kritiski svarīgo pakalpojumu jomā. Tas nav nekļūdīgs, taču tas pievieno barrera adicional.
  • Piekļuves atļauju un paziņojumu uzraudzība; ja vienkārša utilīta pieprasa pilnīgu kontroli, algo falla.
  • Periodiski restartējiet vai izslēdziet mobilo tālrunipilnīga iknedēļas izslēgšana var novērst atmiņas implanti un apgrūtina noturību.
  • Aktivizējiet un konfigurējiet ugunsmūriun ierobežo kontu ar administratora atļaujām izmantošanu, ja vien tas nav absolūti nepieciešams.

Ja jums ir aizdomas par neredzamas ļaunprogrammatūras infekcijas klātbūtni (lēns mobilais tālrunis, nepamatota pārkaršana, dīvaina pārstartēšana, lietotnes, kuras neatceraties instalētas vai neparasta uzvedība): noņemt aizdomīgas lietotnes, palaidiet mobilo tālruni drošajā režīmā un veiciet pilnu skenēšanu, nomainiet paroles no cita ierīce, paziņojiet savai bankai un novērtējiet rūpnīcas atiestatīšana Ja pazīmes joprojām pastāv, apsveriet iespēju palaist datoru no ārējā datu nesēja, lai skenētu, neļaujot ļaunprogrammatūrai pārņemt kontroli.

Atcerieties, ka neredzamā ļaunprogrammatūra spēlējas ar mūsu ritmu: mainiet ruido mínimo ar ķirurģiskiem triecieniem. Tas nav abstrakts drauds, bet gan katalogs ar slēpšanas metodes kas nodrošina visu pārējo: banku Trojas zirgus, spiegprogrammatūru, identitātes zādzības vai programmaparatūras noturību. Ja jūs nostiprināsiet savus ieradumus un labi izvēlēsieties rīkus, jūs būsiet un paso por delante no tā, kas nav redzams.

Saistīts raksts:
Kā datorā atrast slēptus vīrusus