Perisian hasad yang tidak kelihatan: apakah itu, rootkit dan cara melindungi diri anda

Malware Stealth menggunakan teknik stealth (rootkit, virtualisasi, klik sifar) untuk mengelakkan pengesanan.
Crocodilus dan Godfather pada Android mencuri bukti kelayakan perbankan dengan penipuan dan kebenaran lanjutan.
Kegigihan UEFI (CosmicStrand) bertahan dengan pemasangan semula sistem; menggabungkan pertahanan adalah kunci.

Keselamatan siber telah menjadi isu harian, namun, banyak ancaman terus tidak disedari terhadap pengguna dan alat pertahanan. Antara ancaman ini ialah apa yang dipanggil "malware halimunan", satu set teknik yang objektifnya mudah: bersembunyi di hadapan mata dan menyamarkan jejak mereka untuk kekal aktif selama mungkin.

Jauh daripada fiksyen sains, kita bercakap tentang kaedah yang sudah dalam edaran: dari rootkit yang menggabungkan ke dalam sistem sehingga Trojan mudah alih mampu menyamar sebagai skrin bank atau mengintip tanpa kita menyentuh apa-apa. Dan ya, ada juga serangan sifar klik dan kes ekstrem dalam perisian tegar yang bertahan dengan pemasangan semula OS.

Apakah yang kami maksudkan dengan "malware halimunan"?

Apabila kita bercakap tentang "halimunan," ia bukan bahawa kod itu benar-benar mustahil untuk dilihat, tetapi itu teknik penyembunyian digunakan bertujuan untuk menutup perubahan dan aktiviti perisian hasad pada sistem yang dijangkiti. Definisi ini termasuk, sebagai contoh, rootkit, yang memanipulasi sistem untuk menyembunyikan fail, proses, kunci pendaftaran atau sambungan.

Dalam amalan, strain ini boleh mengambil alih tugas sistem dan merendahkan prestasi tanpa menimbulkan syak wasangka. Walaupun antivirus mengesan tingkah laku anomali, mekanisme halimunan membenarkan mengelak atau menangguhkan pengesanan, sebagai contoh, dengan mengalihkan sementara daripada fail yang tercemar, mengklonkannya ke pemacu lain, atau menyembunyikan saiz fail diubah. Semua ini merumitkan tindakan pihak enjin pengesanan dan analisis forensik.

perisian hasad yang tidak kelihatan

Bagaimana ia menyusup dan bagaimana ia bersembunyi

"Virus halimunan," atau, secara lebih luas, perisian hasad yang menggunakan teknik senyap, boleh datang dalam beberapa bentuk: lampiran berniat jahat dalam e-mel, muat turun dari laman web yang meragukan, perisian tidak disahkan, aplikasi penipuan yang menyamar sebagai utiliti atau pemasangan popular melalui pautan pada rangkaian sosial dan pemesejan.

Kandungan eksklusif - Klik Di Sini Adakah selamat untuk menggunakan DiDi?

Sebaik sahaja di dalam, strateginya jelas: berterusan ghaibSesetengah varian "bergerak" keluar daripada fail yang dijangkiti apabila mereka mengesyaki imbasan, menyalin diri mereka ke lokasi lain dan meninggalkan pengganti bersih untuk mengelak daripada meningkatkan amaran. Yang lain menyembunyikan metadata, saiz fail dan entri sistem, menyukarkan kehidupan enjin pengesanan dan pemulihan fail selepas jangkitan.

Rootkit: definisi, risiko dan kegunaan yang mungkin sah

Dalam asal-usulnya dalam persekitaran UNIX, rootkit ialah satu set alat daripada sistem itu sendiri (seperti ps, netstat atau passwd) diubah oleh penceroboh kepada mengekalkan akses root tanpa dikesanNama "root," superuser, berasal. Hari ini, dalam Windows dan sistem lain, konsepnya tetap sama: program yang direka untuk menyembunyikan elemen (fail, proses, kunci pendaftaran, memori dan juga sambungan) kepada sistem pengendalian atau aplikasi keselamatan.

Penggunaan teknologi siluman, dengan sendirinya, tidak semestinya berniat jahat. Ia boleh digunakan untuk tujuan yang sah seperti pemantauan korporat, perlindungan harta intelek atau perlindungan terhadap kesilapan pengguna. Masalah timbul apabila keupayaan ini digunakan menutup perisian hasad, pintu belakang dan aktiviti jenayah, selaras dengan dinamik jenayah siber semasa, yang bertujuan untuk memaksimumkan masa beroperasi tanpa menarik perhatian.

Bagaimana untuk mengesan dan mengurangkan rootkit

Tiada satu pun teknik yang maksum, jadi strategi terbaik adalah menggabungkan pendekatan dan alatan. Kaedah klasik dan lanjutan termasuk:

Pengesanan tandatangan: Mengimbas dan membandingkan dengan katalog perisian hasad yang diketahui. Ia berkesan untuk varian sudah dikatalogkan, kecuali yang tidak diterbitkan.
Heuristik atau berasaskan tingkah laku: mengenal pasti penyelewengan dalam aktiviti biasa sistem, berguna untuk menemui keluarga baharu atau bermutasi.
Pengesanan secara perbandingan: membezakan apa yang dilaporkan sistem dengan bacaan daripada tahap rendah; jika terdapat percanggahan, penyembunyian disyaki.
Integriti: Menyemak fail dan memori terhadap a keadaan rujukan yang boleh dipercayai (garis dasar) untuk menunjukkan perubahan.

Kandungan eksklusif - Klik Di Sini Cómo Revisar el Celular de tu Pareja Desde Mi Celular

Pada peringkat pencegahan, adalah dinasihatkan untuk menggunakan a antiperisian hasad yang baik aktif dan dikemas kini, gunakan tembok api, simpan sistem dan aplikasi terkini dengan tampalan, dan mengehadkan keistimewaan. Kadang-kadang, untuk mengesan jangkitan tertentu, adalah disyorkan but daripada media luaran dan mengimbas "dari luar" sistem yang terjejas, walaupun pada masa itu beberapa keluarga berjaya melakukannya berintegrasi semula dalam fail sistem lain.

Dua kes perisian hasad yang tidak kelihatan: XWorm dan NotDoor

Ini mungkin ancaman malware halimunan yang paling berbahaya di luar sana sekarang. Untuk mengetahui cara melindungi diri anda daripada mereka, lebih baik memahaminya dengan baik:

XWorm

XWorm Ia adalah perisian hasad terkenal yang baru-baru ini berkembang dengan membimbangkan dengan menggunakan nama fail boleh laku yang kelihatan sah. Ini membolehkannya menyamarkan dirinya sebagai aplikasi yang tidak berbahaya, mendapat kepercayaan pengguna dan sistem.

Serangan bermula dengan a fail .lnk tersembunyi Lazimnya diedarkan melalui kempen pancingan data, ia melaksanakan perintah PowerShell yang berniat jahat, memuat turun fail teks ke direktori sementara sistem, dan kemudian melancarkan boleh laku palsu yang dipanggil discord.exe daripada pelayan jauh.

Setelah menyusup ke dalam PC kami, XWorm boleh laksanakan semua jenis arahan jauh, daripada muat turun fail dan ubah hala URL ke serangan DDoS.

BukanPintu

Satu lagi ancaman malware halimunan yang paling serius pada masa ini ialah BukanPintuSasaran virus canggih yang dibangunkan oleh penggodam Rusia ini ialah Pengguna Outlook, daripada siapa mereka mencuri data sulit. Ia juga boleh mengawal sepenuhnya sistem yang terjejas. Perkembangannya dikaitkan dengan APT28, kumpulan pengintipan siber Rusia yang terkenal.

NotDoor dikenali sebagai perisian hasad tersembunyi yang ditulis dalam Visual Basic for Applications (VBA), mampu memantau e-mel masuk untuk kata kunci tertentu. Ia sebenarnya memanfaatkan keupayaan program itu sendiri untuk mengaktifkan dirinya sendiri. Ia kemudian mencipta direktori tersembunyi untuk menyimpan fail sementara yang dikawal oleh penyerang.

Kandungan eksklusif - Klik Di Sini ¿Qué protección ofrece Avast Mobile Security App en cuanto a malware?

Amalan terbaik untuk melindungi diri anda (dan cara bertindak balas jika anda sudah dijangkiti)

Pertahanan yang berkesan menggabungkan tabiat dan teknologi. Di luar "akal sehat," anda perlukan prosedur dan alatan yang mengurangkan risiko sebenar pada PC dan mudah alih:

Pasang apl hanya daripada sumber rasmi dan semak pembangun, kebenaran dan ulasan. Berhati-hati dengan pautan dalam mesej, di media sosial atau di tapak web yang tidak diketahui.
Gunakan penyelesaian keselamatan yang boleh dipercayai pada mudah alih dan PC; mereka bukan sahaja mengesan aplikasi berniat jahat, mereka juga memberi amaran kepada anda tingkah laku yang mencurigakan.
Pastikan semuanya dikemas kini: sistem, penyemak imbas, dan aplikasi. Tompok dipotong laluan eksploitasi sangat popular di kalangan penyerang.
Aktifkan pengesahan dua langkah dalam perbankan, mel, dan perkhidmatan kritikal. Ia tidak maksum, tetapi ia menambah a penghalang tambahan.
Pantau kebenaran kebolehaksesan dan pemberitahuan; jika utiliti mudah meminta kawalan penuh, Ada sesuatu yang tidak kena.
Mulakan semula atau matikan telefon bimbit anda secara berkala; penutupan mingguan sepenuhnya boleh menghapuskan implan ingatan dan menyukarkan kegigihan.
Aktifkan dan konfigurasikan tembok api, dan mengehadkan penggunaan akaun dengan kebenaran pentadbir melainkan benar-benar perlu.

Jika anda mengesyaki kehadiran jangkitan perisian hasad yang tidak kelihatan (mudah alih perlahan, haba yang tidak wajar, but semula yang aneh, apl yang anda tidak ingat pasang atau tingkah laku abnormal): alih keluar apl yang mencurigakan, mulakan mudah alih dalam mod selamat dan lulus imbasan penuh, tukar kata laluan daripada peranti lain, maklumkan bank anda dan nilai a tetapan semula kilang Jika tanda-tanda berterusan, pertimbangkan untuk but daripada media luaran pada PC untuk mengimbas tanpa kawalan perisian hasad.

Ingat bahawa perisian hasad halimunan bermain dengan irama kami: gantikan bunyi bising yang minimum dengan serangan pembedahan. Ia bukan ancaman abstrak, tetapi katalog teknik penyembunyian yang membolehkan segala-galanya: Trojan perbankan, perisian pengintip, kecurian identiti atau kegigihan perisian tegar. Jika anda mengukuhkan tabiat anda dan memilih alat anda dengan baik, anda akan melakukannya satu langkah ke hadapan daripada apa yang tidak dilihat.

Artikel berkaitan:

Cara mencari virus tersembunyi pada PC anda

Daniel Terrasa

Editor khusus dalam isu teknologi dan internet dengan lebih daripada sepuluh tahun pengalaman dalam media digital yang berbeza. Saya telah bekerja sebagai editor dan pencipta kandungan untuk e-dagang, komunikasi, pemasaran dalam talian dan syarikat pengiklanan. Saya juga telah menulis di laman web ekonomi, kewangan dan sektor lain. Kerja saya juga minat saya. Sekarang, melalui artikel saya dalam Tecnobits, saya cuba meneroka semua berita dan peluang baharu yang dunia teknologi tawarkan kepada kita setiap hari untuk memperbaiki kehidupan kita.