Како заштитити свој рачунар од невидљивог злонамерног софтвера попут XWorm-а и NotDoor-а

Сајбер безбедност је постала свакодневни проблем, а ипак, многе претње и даље остају непримећене против корисника и одбрамбених алата. Међу овим претњама је такозвани „невидљиви злонамерни софтвер“, скуп техника чији је циљ једноставан: сакрију се на видном месту и камуфлирају своје трагове да остане активан што је дуже могуће.

Далеко од тога да је реч о научној фантастици, говоримо о методама које су већ у оптицају: од руткитови који се уклапају у систем док мобилни тројанци способни да се лажно представљају као банковни екрани или шпијунирају, а да ми ништа не додирнемо. И да, постоје и напади са нултим кликом и екстремне случајеве у фирмверу који преживљавају поновне инсталације ОС-а.

Шта подразумевамо под „невидљивим злонамерним софтвером“?

Када говоримо о „невидљивости“, не значи да је код буквално немогуће видети, већ да примењују се технике скривања намењен да прикрије промене и активности злонамерног софтвера на зараженом систему. Ова дефиниција укључује, на пример, руткитови, који манипулишу системом како би сакрили датотеке, процесе, кључеве регистра или везе.

У пракси, ови сојеви могу преузмите системске задатке и смањују перформансе без изазивања сумње. Чак и када антивирус открије аномално понашање, механизми невидљивости омогућавају избегавање или одлагање откривања, на пример, привременим удаљавањем са контаминиране датотеке, њеним клонирањем на други диск или скривање величине датотека измењено. Све ово компликује деловање детекторски системи и форензичку анализу.

Како се инфилтрира и како се крије

„Невидљиви вирус“, или, шире гледано, злонамерни програм који користи технике прикривености, може се појавити у неколико облика: злонамерни прилози у имејловима, преузимањима са сумњивих веб локација, софтверу није верификовано, лажне апликације које се представљају као популарни услужни програми или инсталације путем линкови на друштвеним мрежама и порукама.

Када је унутра, његова стратегија је јасна: остати невидљивНеке варијанте се „селе“ из заражене датотеке када посумњају на скенирање, копирајући се на другу локацију и остављајући чиста замена да би се избегло подизање упозорења. Други крију метаподатке, величине датотека и системске уносе, што отежава живот мотори за детекцију и рестаурација датотека након инфекције.

Руткитови: дефиниција, ризици и употребе које могу бити легитимне

У свом пореклу у окружењима Јуникс, руткит је био скуп алата из самог система (као што су ps, netstat или passwd) измењено од стране уљеза у одржавање root приступа без откривањаНазив „root“, односно суперкорисник, потиче од. Данас, у Windows-у и другим системима, концепт остаје исти: програми дизајнирани да сакрију елементе (датотеке, процесе, кључеве регистра, меморију, па чак и везе) до оперативног система или безбедносних апликација.

Употреба стелт технологије, сама по себи, није инхерентно злонамерна. Може се користити у легитимне сврхе као што су корпоративни мониторинг, заштиту интелектуалне својине или заштиту од грешака корисника. Проблем настаје када се ове могућности примене на прикривање злонамерног софтвера, задњих врата и криминалних активности, усклађујући се са тренутном динамиком сајбер криминала, која тежи да максимизира време непрекидног рада без привлачења пажње.

Како открити и ублажити руткитове

Ниједна техника није непогрешива, па је најбоља стратегија комбиновати приступе и алате. Класичне и напредне методе укључују:

• Детекција потписаСкенирање и поређење са познатим каталозима злонамерног софтвера. Ефикасно је за варијанте већ каталогизоване, осим необјављених.
• Хеуристички или заснован на понашању: идентификује одступања у нормалној активности система, корисно за откривање нових или мутираних породица.
• Детекција поређењем: упоређује оно што систем извештава са очитавањима из низак ниво; ако постоје недоследности, сумња се на прикривање.
• ИнтегритетПроверава датотеке и меморију у односу на поуздано референтно стање (основна линија) да би се показале измене.

На нивоу превенције, препоручљиво је применити добар антималвер активан и ажуриран, користите заштитни зидови, задржи системи и апликације ажурирани са закрпама и ограничавањем привилегија. Понекад се, да би се откриле одређене инфекције, препоручује покретање са екстерног медија и скенирају „споља“ угрожени систем, иако чак и тада неке породице успевају реинтегрисати у другим системским датотекама.

Два случаја невидљивог злонамерног софтвера: XWorm и NotDoor

Ово су можда најопасније невидљиве претње злонамерног софтвера које постоје тренутно. Да бисте знали како да се заштитите од њих, најбоље је да их добро разумете:

XWorm

XWorm То је добро познати злонамерни софтвер који се недавно алармантно развио користећи имена извршних датотека која изгледају легитимно. То му омогућава да камуфлирати се као безопасна апликација, стичући поверење и корисника и система.

Напад почиње са скривена .lnk датотека Типично се дистрибуира путем фишинг кампања, извршава злонамерне PowerShell команде, преузима текстуалну датотеку у привремени директоријум система, а затим покреће лажну извршну датотеку под називом discord.exe са удаљеног сервера.

Једном када се инфилтрира у наш рачунар, XWorm може извршава све врсте даљинских команди, од преузимања датотека и преусмеравања URL-ова до DDoS напада.

NotDoor

Још једна од најозбиљнијих претњи невидљивог злонамерног софтвера тренутно је NotDoorМета овог софистицираног вируса који су развили руски хакери су Корисници програма Outlook, од којих краду поверљиве податке. Такође може да преузме потпуну контролу над угроженим системима. Његов развој се приписује APT28, познатој руској групи за сајбер шпијунажу.

NotDoor је познат по томе што је скривени злонамерни софтвер написан у Visual Basic for Applications (VBA), способан да прати долазне имејлове за одређене кључне речи. Заправо користи сопствене могућности програма да би се активирао. Затим креира скривени директоријум за чување привремених датотека које контролише нападач.

Најбоље праксе за заштиту (и како реаговати ако сте већ заражени)

Ефикасна одбрана комбинује навике и технологију. Поред „здравог разума“, потребан вам је процедуре и алате који смањују стварни ризик на рачунару и мобилним уређајима:

• Инсталирајте апликације само из званичних извора и проверите програмера, дозволе и коментаре. Будите опрезни са линковима у порукама, на друштвеним мрежама или на непознатим веб локацијама.
• Користите поуздана безбедносна решења на мобилним уређајима и рачунарима; не само да откривају злонамерне апликације, већ вас и упозоравају сумњиво понашање.
• Одржавајте све ажурним: систем, прегледач и апликације. Закрпе су исечене путеви експлоатације веома популаран међу нападачима.
• Активирајте двостепену верификацију у банкарству, пошти и критичним услугама. Није непогрешиво, али додаје додатна баријера.
• Праћење дозвола за приступачност и обавештења; ако једноставан услужни програм тражи потпуну контролу, Нешто није у реду.
• Повремено поново покрените или искључите мобилни телефонпотпуно недељно искључивање може елиминисати имплантати за памћење и отежава истрајност.
• Активирајте и конфигуришите заштитни зиди ограничава употребу налога са администраторским дозволама осим ако није апсолутно неопходно.

Ако сумњате на присуство невидљиве инфекције злонамерним софтвером (спор мобилни телефон, неоправдано загревање, чудна поновна покретања, апликације којих се не сећате да сте их инсталирали или абнормално понашање): уклоните сумњиве апликације, покрените мобилни телефон у безбедном режиму и извршите потпуно скенирање, промените лозинке из други уређај, обавестите своју банку и процените вредност фабричко ресетовање Ако се знаци и даље јављају, размислите о покретању система са екстерног медија на рачунару да бисте скенирали без преузимања контроле злонамерним софтвером.

Запамтите да се невидљиви злонамерни софтвер игра са нашим ритмом: мењајте минимална бука хируршким ударима. То није апстрактна претња, већ каталог технике прикривања који омогућавају све остало: банкарске тројанце, шпијунски софтвер, крађу идентитета или постојаност фирмвера. Ако учврстите своје навике и добро одаберете алате, бићете један корак испред од онога што се не види.