Malware i padukshëm: çfarë është, rootkit-et dhe si të mbroheni

Malware-i i fshehtë përdor teknika të fshehta (rootkit-e, virtualizim, zero-click) për të shmangur zbulimin.
Crocodilus dhe Godfather në Android vjedhin kredencialet bankare me mashtrim dhe leje të përparuara.
Persistenca e UEFI-t (CosmicStrand) i mbijeton riinstalimeve të sistemit; kombinimi i mbrojtjeve është thelbësor.

Siguria kibernetike është bërë një çështje e përditshme, megjithatë, shumë kërcënime vazhdojnë të kalojnë pa u vënë re kundër përdoruesve dhe mjeteve mbrojtëse. Midis këtyre kërcënimeve është i ashtuquajturi "malware i padukshëm", një sërë teknikash objektivi i të cilave është i thjeshtë: fshihen në sy të lirë dhe kamuflojnë gjurmët e tyre për të qëndruar aktiv sa më gjatë të jetë e mundur.

Larg nga të qenit fantastiko-shkencor, po flasim për metoda që janë tashmë në qarkullim: nga rootkit-et që përzihen në sistem deri Trojanët celularë të aftë të imitojnë ekranet e bankave ose të spiunojnë pa prekur asgjë. Dhe po, ka edhe sulme me zero klikim dhe raste ekstreme në firmware që i mbijetojnë riinstalimeve të sistemit operativ.

Çfarë nënkuptojmë me "malware të padukshëm"?

Kur flasim për "të padukshmen", nuk është se kodi është fjalë për fjalë i pamundur për t'u parë, por se zbatohen teknikat e fshehjes që synon të maskojë ndryshimet dhe aktivitetet e programeve keqdashëse në sistemin e infektuar. Ky përkufizim përfshin, për shembull, rootkits, të cilat manipulojnë sistemin për të fshehur skedarët, proceset, çelësat e regjistrit ose lidhjet.

Në praktikë, këto lloje mund të merr përsipër detyrat e sistemit dhe degradojnë performancën pa ngritur dyshime. Edhe kur një antivirus zbulon sjellje anormale, mekanizmat e padukshmërisë lejojnë shmangni ose shtyni zbulimin, për shembull, duke u larguar përkohësisht nga skedari i kontaminuar, duke e klonuar atë në një disk tjetër, ose fshehja e madhësisë së skedarëve ndryshuar. E gjithë kjo e ndërlikon veprimin e motorët e zbulimit dhe analiza mjeko-ligjore.

programe keqdashëse të padukshme

Si depërton dhe si fshihet

Një “virus i padukshëm” ose, më gjerësisht, një program keqdashës që përdor teknika të fshehta, mund të vijë në disa forma: bashkëngjitje keqdashëse në email-e, shkarkime nga faqe interneti të dyshimta, softuerë no verificado, aplikacione mashtruese që paraqiten si shërbime ose instalime të njohura përmes lidhje në rrjetet sociale dhe mesazhe.

Përmbajtje ekskluzive - Kliko këtu El mejor antivirus gratuito para Windows 10

Pasi hyn brenda, strategjia e tij është e qartë: vazhdojnë pa u parëDisa variante “lëvizin” nga skedari i infektuar kur dyshojnë për një skanim, duke kopjuar veten në një vendndodhje tjetër dhe duke lënë një zëvendësues i pastër për të shmangur ngritjen e alarmeve. Të tjerë fshehin metadatat, madhësitë e skedarëve dhe hyrjet e sistemit, duke e bërë jetën të vështirë për motorët e zbulimit dhe restaurimi i skedarëve pas një infeksioni.

Rootkit-et: përkufizimi, rreziqet dhe përdorimet që mund të jenë legjitime

Në origjinën e saj në mjedise UNIX, një rootkit ishte një grup mjetesh nga vetë sistemi (si p.sh. ps, netstat ose passwd) i ndryshuar nga një ndërhyrës në ruaj qasjen në rrënjë pa u zbuluarEmri "root", superuser, vjen nga. Sot, në Windows dhe sisteme të tjera, koncepti mbetet i njëjtë: programe të dizajnuara për të fshehur elementët (skedarë, procese, çelësa regjistri, memorie dhe madje edhe lidhje) me sistemin operativ ose aplikacionet e sigurisë.

Përdorimi i teknologjisë së fshehtë, në vetvete, nuk është në thelb keqdashës. Mund të përdoret për qëllime legjitime, siç janë monitorimi i korporatave, mbrojtja e pronësisë intelektuale ose mbrojtja nga gabimet e përdoruesit. Problemi lind kur këto aftësi zbatohen në mbulojnë programet keqdashëse, programet e fshehta dhe aktivitetet kriminale, në përputhje me dinamikën aktuale të krimit kibernetik, i cili kërkon të maksimizojë kohën e funksionimit pa tërhequr vëmendjen.

Si të zbulohen dhe zbuten rootkit-et

Asnjë teknikë e vetme nuk është e pagabueshme, kështu që strategjia më e mirë është kombinoni qasjet dhe mjete. Metodat klasike dhe të avancuara përfshijnë:

Zbulimi i nënshkrimitSkanimi dhe krahasimi me katalogët e njohur të programeve keqdashëse. Është efektiv për variante të kataloguara tashmë, përveç atyre të pabotuara.
Heuristik ose i bazuar në sjellje: identifica devijime në aktivitetin normal të sistemit, i dobishëm për zbulimin e familjeve të reja ose të mutuara.
Zbulimi me anë të krahasimit: krahason atë që raporton sistemi me leximet nga bajo nivel; nëse ka mospërputhje, dyshohet për fshehje.
IntegridadKontrollon skedarët dhe memorien kundrejt një gjendje referimi e besueshme (bazë) për të treguar ndryshimet.

Përmbajtje ekskluzive - Kliko këtu ¿Cómo se realiza un análisis completo con Avast Mobile Security App?

Në nivelin e parandalimit, këshillohet të vendosni një buen antimalware aktiv dhe i përditësuar, përdorni cortafuegos, mantener sisteme dhe aplikacione të përditësuara me patch-e dhe kufizojnë privilegjet. Ndonjëherë, për të zbuluar infeksione të caktuara, rekomandohet nis nga media e jashtme dhe skanojnë "nga jashtë" sistemin e kompromentuar, megjithëse edhe atëherë disa familje arrijnë ta bëjnë këtë reinsertarse në skedarë të tjerë të sistemit.

Dy raste të malware-it të padukshëm: XWorm dhe NotDoor

Këto mund të jenë kërcënimet më të rrezikshme të padukshme të programeve keqdashëse që ekzistojnë aktualisht. Për të ditur se si të mbroheni prej tyre, është mirë t'i kuptoni mirë:

XWorm

XWorm Është një program keqdashës i njohur që kohët e fundit ka evoluar në mënyrë alarmuese duke përdorur emra skedarësh ekzekutues që duken legjitimë. Kjo i lejon atij të kamuflazh veten si një aplikim i padëmshëm, duke fituar besimin si të përdoruesve ashtu edhe të sistemeve.

Sulmi fillon me një skedar i fshehur .lnk Zakonisht shpërndahet përmes fushatave të phishing-ut, ai ekzekuton komanda keqdashëse PowerShell, shkarkon një skedar teksti në direktorinë e përkohshme të sistemit dhe më pas nis një skedar të rremë ekzekutues të quajtur discord.exe nga një server i largët.

Pasi të infiltrohet në PC-në tonë, XWorm mund të ekzekutoni të gjitha llojet e komandave në distancë, nga shkarkimet e skedarëve dhe ridrejtimet e URL-ve deri te sulmet DDoS.

Jo-Derë

Një tjetër nga kërcënimet më serioze të padukshme të malware aktualisht është Jo-DerëShënjestra e këtij virusi të sofistikuar të zhvilluar nga hakerat rusë janë Përdoruesit e Outlook-ut, nga të cilët ata vjedhin të dhëna konfidenciale. Gjithashtu mund të marrë kontrollin e plotë të sistemeve të kompromentuara. Zhvillimi i tij i atribuohet APT28, një grupi të njohur rus të spiunazhit kibernetik.

NotDoor njihet si një program keqdashës i fshehur i shkruar në Visual Basic for Applications (VBA), i aftë të monitorojë email-et hyrëse për fjalë kyçe specifike. Në fakt, ai shfrytëzon aftësitë e vetë programit për t'u aktivizuar. Pastaj krijon një drejtori të fshehur për të ruajtur skedarë të përkohshëm të kontrolluar nga sulmuesi.

Përmbajtje ekskluzive - Kliko këtu Windows bllokon aplikacionet për arsye sigurie pa paralajmërim: shkaqet e vërteta dhe si t'i menaxhoni ato

Praktikat më të mira për të mbrojtur veten (dhe si të reagoni nëse jeni tashmë të infektuar)

Mbrojtja efektive kombinon zakonet dhe teknologjinë. Përtej "logjikës së shëndoshë", ju nevojitet procedurat dhe mjetet që zvogëlojnë rrezikun real në PC dhe celular:

Instaloni aplikacione vetëm nga burime zyrtare dhe kontrolloni zhvilluesin, lejet dhe komentet. Kini kujdes me lidhjet në mesazhe, në mediat sociale ose në faqet e internetit të panjohura.
Përdorni zgjidhje të besueshme sigurie në celular dhe PC; ato jo vetëm që zbulojnë aplikacione keqdashëse, por edhe ju njoftojnë sjellje e dyshimtë.
Mantén todo actualizado: sistemi, shfletuesi dhe aplikacionet. Patch-et janë prerë rrugët e shfrytëzimit Shumë popullor në mesin e sulmuesve.
Activa la verificación en dos pasos në sektorin bankar, postë dhe shërbime kritike. Nuk është i pagabueshëm, por shton një barrera adicional.
Monitoroni lejet dhe njoftimet e aksesueshmërisë; nëse një shërbim i thjeshtë kërkon kontroll të plotë, algo falla.
Rinisni ose fikni celularin tuaj periodikishtnjë mbyllje e plotë javore mund të eliminojë implantet e kujtesës dhe e bën të vështirë qëndrueshmërinë.
Aktivizoni dhe konfiguroni firewall-in, dhe kufizon përdorimin e llogarive me leje administratori përveç nëse është absolutisht e nevojshme.

Nëse dyshoni për praninë e një infeksioni të padukshëm me programe keqdashëse (celular i ngadaltë, nxehtësi e pajustifikuar, rinisje të çuditshme, aplikacione që nuk i mbani mend t’i keni instaluar ose sjellje jonormale): hiqni aplikacionet e dyshimta, nisni celularin në modalitetin e sigurt dhe kaloni një skanim të plotë, ndryshoni fjalëkalimet nga një pajisje tjetër, njoftoni bankën tuaj dhe vlerësoni një rivendosja e fabrikës Nëse shenjat vazhdojnë, merrni në konsideratë nisjen nga media e jashtme në një PC për të skanuar pa marrë kontrollin nga programi keqdashës.

Mos harroni se programi keqdashës i padukshëm luan me ritmin tonë: alternoni ruido mínimo me goditje kirurgjikale. Nuk është një kërcënim abstrakt, por një katalog i teknikat e fshehjes që mundësojnë gjithçka tjetër: Trojanët bankarë, spyware-in, vjedhjen e identitetit ose vazhdimësinë e firmware-it. Nëse i përforconi zakonet tuaja dhe i zgjidhni mjetet tuaja mirë, do të jeni un paso por delante e asaj që nuk shihet.

Artikull i lidhur:

Si të gjeni viruse të fshehura në kompjuterin tuaj

Daniel Terrasa

Redaktor i specializuar në çështjet e teknologjisë dhe internetit me më shumë se dhjetë vjet përvojë në media të ndryshme dixhitale. Unë kam punuar si redaktor dhe krijues i përmbajtjes për kompanitë e tregtisë elektronike, komunikimit, marketingut online dhe reklamave. Kam shkruar gjithashtu në faqet e internetit të ekonomisë, financave dhe sektorëve të tjerë. Puna ime është edhe pasioni im. Tani, përmes artikujve të mi në Tecnobits, Përpiqem të eksploroj të gjitha të rejat dhe mundësitë e reja që bota e teknologjisë na ofron çdo ditë për të përmirësuar jetën tonë.