Невидимые вредоносные программы: что это такое, руткиты и как от них защититься

Скрытые вредоносные программы используют скрытые методы (руткиты, виртуализация, Zero-Click) для уклонения от обнаружения.
Crocodilus и Godfather на Android крадут банковские учетные данные с помощью продвинутого спуфинга и разрешений.
UEFI persistence (CosmicStrand) сохраняет работоспособность после переустановки системы; ключевую роль играет комбинирование мер защиты.

Кибербезопасность стала повседневной проблемой, и все же, многие угрозы продолжают оставаться незамеченными Против пользователей и средства защиты. Среди этих угроз — так называемое «невидимое вредоносное ПО» — набор техник, цель которых проста: прятаться на виду и маскировать свои следы оставаться активным как можно дольше.

Мы говорим не о научной фантастике, а о методах, которые уже используются: от руткиты, которые внедряются в систему к мобильные трояны способные имитировать банковские экраны или шпионить, не прикасаясь к нам. И да, есть ещё атаки с нулевым кликом и крайние случаи в прошивках, которые выдерживают переустановку ОС.

Что мы подразумеваем под «невидимым вредоносным ПО»?

Когда мы говорим о «невидимости», мы не имеем в виду, что код буквально невозможно увидеть, а то, что применяются методы сокрытия Предназначен для сокрытия изменений и действий вредоносного ПО в зараженной системе. Это определение включает, например, руткитов, которые манипулируют системой, чтобы скрыть файлы, процессы, ключи реестра или соединения.

На практике эти штаммы могут взять на себя системные задачи и снижать производительность, не вызывая подозрений. Даже когда антивирус обнаруживает аномальное поведение, механизмы невидимости позволяют уклониться или отсрочить обнаружение, например, временно отойдя от зараженного файла, клонировав его на другой диск или скрытие размера файлов изменено. Всё это усложняет действие системы обнаружения и судебно-медицинский анализ.

невидимое вредоносное ПО

Как он проникает и как скрывается

«Невидимый вирус» или, в более широком смысле, вредоносное ПО, использующее методы скрытности, может появляться в нескольких формах: вредоносные вложения в электронных письмах, загрузках с сомнительных веб-сайтов, программном обеспечении не проверено, мошеннические приложения, которые выдают себя за популярные утилиты или установки через ссылки в социальных сетях и сообщениях.

Эксклюзивный контент – нажмите здесь Как зашифровать файлы на Android?

Оказавшись внутри, он видит ясную стратегию: сохраняться невидимымНекоторые варианты «выходят» из зараженного файла, когда они подозревают сканирование, копируя себя в другое место и оставляя чистый заменитель Чтобы избежать оповещения. Другие скрывают метаданные, размеры файлов и системные записи, усложняя жизнь двигатели обнаружения и восстановление файлов после инфекции.

Руткиты: определение, риски и законное использование

В своих истоках в окружающей среде UNIX, руткит представлял собой набор инструментов из самой системы (например, ps, netstat или passwd) изменен злоумышленником на поддерживать root-доступ без обнаруженияНазвание «root» (суперпользователь) произошло от этого термина. Сегодня в Windows и других системах концепция остаётся прежней: программы, предназначенные для скрытия элементов (файлы, процессы, ключи реестра, память и даже соединения) с операционной системой или приложениями безопасности.

Использование технологии скрытности само по себе не является вредоносным. Оно может быть использовано в законных целях, например: корпоративный мониторинг, защита интеллектуальной собственности или защита от ошибок пользователей. Проблема возникает, когда эти возможности применяются к скрыть вредоносное ПО, бэкдоры и преступную деятельность, что соответствует современной динамике киберпреступности, которая стремится максимально увеличить время безотказной работы, не привлекая внимания.

Как обнаружить и нейтрализовать руткиты

Ни одна техника не является абсолютно безошибочной, поэтому лучшая стратегия — комбинировать подходы и инструменты. Классические и передовые методы включают:

Обнаружение сигнатуры: Сканирование и сравнение с известными каталогами вредоносных программ. Эффективно для варианты уже каталогизированы, за исключением неопубликованных.
Эвристический или основанный на поведении: идентифицирует отклонения в нормальной деятельности системы, полезной для обнаружения новых или мутировавших семей.
Обнаружение путем сравнения: сопоставляет то, что сообщает система, с показаниями низкий уровень; если имеются несоответствия, возникает подозрение о сокрытии.
Целостность: Проверяет файлы и память на соответствие надежное эталонное состояние (базовая линия) для отображения изменений.

Эксклюзивный контент – нажмите здесь Как вы можете защитить паролем документ Word?

На уровне профилактики целесообразно развернуть хорошая противо-вредоносная программа активный и обновленный, используйте брандмауэр, держать системы и приложения обновлены с патчами и ограничением привилегий. Иногда для обнаружения определённых инфекций рекомендуется загрузка с внешнего носителя и сканировать «извне» скомпрометированную систему, хотя даже в этом случае некоторым семьям удается реинтегрировать в других системных файлах.

Два случая невидимого вредоносного ПО: XWorm и NotDoor

Это, возможно, самые опасные невидимые вредоносные угрозы, существующие на данный момент. Чтобы знать, как защититься от них, лучше всего хорошо их понимать:

X-Worm-червь

X-Worm-червь Это хорошо известная вредоносная программа, которая в последнее время тревожно эволюционировала, используя имена исполняемых файлов, выглядящие как легитимные. Это позволяет ей замаскировать себя под безвредное приложение, завоевывая доверие как пользователей, так и систем.

Атака начинается с скрытый файл .lnk Обычно он распространяется через фишинговые кампании, выполняет вредоносные команды PowerShell, загружает текстовый файл во временный каталог системы, а затем запускает поддельный исполняемый файл discord.exe с удаленного сервера.

Попав в наш ПК, XWorm может выполнять все типы удаленных команд, от загрузок файлов и перенаправлений URL до DDoS-атак.

NotDoor

Еще одной из самых серьезных невидимых вредоносных угроз в настоящее время является NotDoorЦелью этого сложного вируса, разработанного российскими хакерами, являются Пользователи Outlook, у которых они крадут конфиденциальные данные. Он также может полностью контролировать взломанные системы. Его разработка приписывается APT28, известной российской кибершпионской группировке.

NotDoor известен как скрытая вредоносная программа, написанная на Visual Basic for Applications (VBA), способный отслеживать входящие письма по определённым ключевым словам. Фактически, он использует возможности самой программы для своей активации. Затем он создаёт скрытый каталог для хранения временных файлов, контролируемый злоумышленником.

Эксклюзивный контент – нажмите здесь Бесплатный антивирус для ПК: какой выбрать

Лучшие методы защиты (и как реагировать, если вы уже инфицированы)

Эффективная защита сочетает в себе привычки и технологии. Помимо «здравого смысла», вам нужно процедуры и инструменты которые снижают реальный риск на ПК и мобильных устройствах:

Устанавливайте приложения только из официальных источников Проверьте разработчика, разрешения и комментарии. Будьте осторожны со ссылками в сообщениях, социальных сетях или на неизвестных сайтах.
Используйте надежные решения безопасности на мобильных устройствах и ПК; они не только обнаруживают вредоносные приложения, но и предупреждают вас подозрительное поведение.
Держите все в курсе: система, браузер и приложения. Патчи вырезаны. маршруты эксплуатации очень популярен среди нападающих.
Активировать двухэтапную аутентификацию в банковском деле, почтовой службе и критически важных службах. Это не безошибочно, но добавляет дополнительный барьер.
Мониторинг разрешений и уведомлений о доступности; если простая утилита запрашивает полный контроль, что-то не так.
Периодически перезагружайте или выключайте свой мобильный телефон.; полное еженедельное отключение может устранить имплантаты памяти и затрудняет сохранение настойчивости.
Активируйте и настройте брандмауэри ограничивает использование учетных записей с правами администратора, если только это не является абсолютно необходимым.

Если вы подозреваете наличие невидимой вредоносной инфекции (медленная работа мобильного устройства, неоправданное нагревание, странные перезагрузки, приложения, которые вы не помните, устанавливали или ненормальное поведение): удалить подозрительные приложения, запустите мобильный в безопасном режиме и пройдите полное сканирование, смените пароли с другое устройство, сообщите своему банку и оцените сброс настроек Если признаки сохраняются, рассмотрите возможность загрузки с внешнего носителя на ПК, чтобы провести сканирование, не допуская, чтобы вредоносная программа взяла на себя управление.

Помните, что невидимое вредоносное ПО играет с нашим ритмом: чередуйте минимальный шум хирургическими ударами. Это не абстрактная угроза, а каталог методы сокрытия которые обеспечивают всё остальное: банковские трояны, шпионское ПО, кражу личных данных или сохранение прошивки. Если вы укрепите свои привычки и правильно выберете инструменты, вы будете на шаг впереди того, чего не видно.

Теме статьи:

Как найти скрытые вирусы на вашем компьютере

Даниэль Терраса

Редактор, специализирующийся на вопросах технологий и Интернета, с более чем десятилетним опытом работы в различных цифровых медиа. Я работал редактором и создателем контента в компаниях, занимающихся электронной коммерцией, коммуникациями, онлайн-маркетингом и рекламой. Я также писал на сайтах по экономике, финансам и другим секторам. Моя работа – это также моя страсть. Теперь, благодаря моим статьям в Tecnobits, я стараюсь каждый день изучать все новости и новые возможности, которые предлагает нам мир технологий, чтобы улучшить нашу жизнь.