วิธีปกป้องพีซีของคุณจากมัลแวร์ที่มองไม่เห็นเช่น XWorm และ NotDoor

ความปลอดภัยทางไซเบอร์กลายเป็นปัญหาในชีวิตประจำวัน แต่ถึงกระนั้น ภัยคุกคามมากมายยังคงไม่ถูกสังเกต ต่อผู้ใช้และเครื่องมือป้องกัน ภัยคุกคามเหล่านี้มีสิ่งที่เรียกว่า "มัลแวร์ที่มองไม่เห็น" ซึ่งเป็นชุดเทคนิคที่มีวัตถุประสงค์เรียบง่าย: ซ่อนตัวอยู่ในที่ที่มองเห็นชัดเจนและปกปิดร่องรอยของพวกเขา เพื่อให้ยังคงเคลื่อนไหวได้นานที่สุด

ไกลจากการเป็นนิยายวิทยาศาสตร์ เรากำลังพูดถึงวิธีการที่แพร่หลายอยู่แล้ว: จาก รูทคิทที่ผสานเข้ากับระบบ จนกระทั่ง โทรจันมือถือ สามารถปลอมตัวเป็นหน้าจอธนาคารหรือสอดแนมโดยที่เราไม่ต้องแตะต้องอะไรเลย และใช่ ยังมี การโจมตีแบบไม่ต้องคลิก และกรณีร้ายแรงในเฟิร์มแวร์ที่รอดจากการติดตั้งระบบปฏิบัติการใหม่

“มัลแวร์ที่มองไม่เห็น” หมายถึงอะไร?

เมื่อเราพูดถึง "สิ่งที่มองไม่เห็น" ไม่ได้หมายความว่ารหัสนั้นไม่สามารถมองเห็นได้จริง แต่เป็นเพราะว่า เทคนิคการปกปิดถูกนำมาใช้ มีจุดประสงค์เพื่อปกปิดการเปลี่ยนแปลงและกิจกรรมของมัลแวร์บนระบบที่ติดไวรัส คำจำกัดความนี้รวมถึง ตัวอย่างเช่น รูทคิตซึ่งจัดการระบบเพื่อซ่อนไฟล์ กระบวนการ คีย์รีจิสทรี หรือการเชื่อมต่อ

ในทางปฏิบัติสายพันธุ์เหล่านี้สามารถ รับช่วงงานระบบ และลดประสิทธิภาพการทำงานโดยไม่ทำให้เกิดความสงสัย แม้ว่าโปรแกรมป้องกันไวรัสจะตรวจพบพฤติกรรมที่ผิดปกติ กลไกการมองไม่เห็นก็ช่วยให้ หลบเลี่ยงหรือเลื่อนการตรวจจับเช่น โดยการย้ายออกจากไฟล์ที่ปนเปื้อนชั่วคราว โคลนไปยังไดรฟ์อื่น หรือ การซ่อนขนาดของไฟล์ เปลี่ยนแปลงไป ทั้งหมดนี้ทำให้การดำเนินการของ เครื่องมือตรวจจับ และการวิเคราะห์ทางนิติเวช

มันแทรกซึมและซ่อนตัวอย่างไร

“ไวรัสที่มองไม่เห็น” หรือเรียกกว้างๆ ว่ามัลแวร์ที่ใช้เทคนิคการซ่อนตัว สามารถมาได้ในหลายรูปแบบ: ไฟล์แนบที่เป็นอันตราย ในอีเมล ดาวน์โหลดจากเว็บไซต์ที่น่าสงสัย ซอฟต์แวร์ no verificadoแอปหลอกลวงที่แอบอ้างว่าเป็นยูทิลิตี้หรือการติดตั้งยอดนิยมผ่าน ลิงค์บนโซเชียลเน็ตเวิร์กและการส่งข้อความ.

เมื่อเข้าไปข้างในแล้ว กลยุทธ์ของเขาก็ชัดเจน: ยืนกรานโดยไม่มีใครเห็นไวรัสบางตัวจะ “ย้าย” ออกจากไฟล์ที่ติดไวรัสเมื่อสงสัยว่ามีการสแกน โดยคัดลอกตัวเองไปยังตำแหน่งอื่นและทิ้ง สารทดแทนที่สะอาด เพื่อหลีกเลี่ยงการแจ้งเตือน คนอื่น ๆ ซ่อนข้อมูลเมตา ขนาดไฟล์ และรายการระบบ ทำให้ชีวิตยากลำบาก เครื่องมือตรวจจับ และ การคืนค่าไฟล์ หลังจากการติดเชื้อ

รูทคิท: คำจำกัดความ ความเสี่ยง และการใช้งานที่อาจถูกต้องตามกฎหมาย

มีต้นกำเนิดมาจากสภาพแวดล้อม UNIXรูทคิทเป็นชุดเครื่องมือจากระบบนั้นเอง (เช่น ps, netstat หรือ passwd) ถูกเปลี่ยนแปลงโดยผู้บุกรุก รักษาการเข้าถึงรูทโดยไม่ถูกตรวจพบชื่อ "root" หรือ superuser มาจากคำว่า "root" ปัจจุบัน แนวคิดนี้ยังคงเหมือนเดิมใน Windows และระบบอื่นๆ: โปรแกรมที่ออกแบบมาเพื่อซ่อนองค์ประกอบ (ไฟล์ กระบวนการ คีย์รีจิสทรี หน่วยความจำ และแม้กระทั่งการเชื่อมต่อ) ไปยังระบบปฏิบัติการหรือแอปพลิเคชันด้านความปลอดภัย

การใช้เทคโนโลยีล่องหนนั้นไม่ได้มีเจตนาร้ายโดยตรง แต่สามารถนำไปใช้เพื่อวัตถุประสงค์ที่ถูกต้องตามกฎหมาย เช่น การติดตามองค์กรการคุ้มครองทรัพย์สินทางปัญญา หรือการป้องกันข้อผิดพลาดของผู้ใช้ ปัญหาเกิดขึ้นเมื่อนำความสามารถเหล่านี้ไปใช้กับ ปกปิดมัลแวร์ แบ็กดอร์ และกิจกรรมทางอาชญากรรมสอดคล้องกับพลวัตปัจจุบันของอาชญากรรมทางไซเบอร์ซึ่งมุ่งหวังที่จะเพิ่มเวลาการทำงานสูงสุดโดยไม่ดึงดูดความสนใจ

วิธีการตรวจจับและลดความรุนแรงของรูทคิท

ไม่มีเทคนิคใดที่สมบูรณ์แบบ ดังนั้นกลยุทธ์ที่ดีที่สุดคือ ผสมผสานแนวทาง และเครื่องมือ วิธีการแบบคลาสสิกและขั้นสูงประกอบด้วย:

• การตรวจจับลายเซ็น:การสแกนและเปรียบเทียบกับแคตตาล็อกมัลแวร์ที่รู้จัก มีประสิทธิภาพสำหรับ ตัวแปรที่ถูกจัดหมวดหมู่ไว้แล้วยกเว้นส่วนที่ไม่ได้เผยแพร่
• ฮิวริสติกหรือตามพฤติกรรม: identifica ความเบี่ยงเบนในกิจกรรมปกติ ของระบบซึ่งมีประโยชน์สำหรับการค้นพบครอบครัวใหม่หรือกลายพันธุ์
• การตรวจจับโดยการเปรียบเทียบ: เปรียบเทียบสิ่งที่ระบบรายงานกับการอ่านจาก bajo nivel; หากมีความไม่สอดคล้องกัน สงสัยว่ามีการปกปิด
• Integridad: ตรวจสอบไฟล์และหน่วยความจำเทียบกับ สถานะอ้างอิงที่เชื่อถือได้ (เส้นฐาน) เพื่อแสดงการเปลี่ยนแปลง

ในระดับการป้องกัน แนะนำให้ใช้ buen antimalware ใช้งานและอัปเดต ไฟร์วอลล์, mantener ระบบและแอปพลิเคชันที่ทันสมัย ด้วยแพตช์และจำกัดสิทธิ์ บางครั้ง เพื่อตรวจหาการติดเชื้อบางชนิด ขอแนะนำให้ บูตจากสื่อภายนอก และสแกน "จากภายนอก" ระบบที่ถูกบุกรุก แม้ว่าบางครอบครัวจะจัดการได้ reinsertarse ในไฟล์ระบบอื่น ๆ

สองกรณีของมัลแวร์ที่มองไม่เห็น: XWorm และ NotDoor

สิ่งเหล่านี้อาจเป็นภัยคุกคามมัลแวร์ที่มองไม่เห็นที่อันตรายที่สุดในขณะนี้ หากต้องการทราบวิธีป้องกันตัวเองจากมัลแวร์เหล่านี้ ควรทำความเข้าใจให้ดีเสียก่อน:

XWorm

XWorm มันเป็นมัลแวร์ที่รู้จักกันดีซึ่งเพิ่งพัฒนาอย่างน่าตกใจด้วยการใช้ชื่อไฟล์ปฏิบัติการที่ดูน่าเชื่อถือ ซึ่งทำให้มันสามารถ พรางตัวเป็นแอปพลิเคชั่นที่ไม่เป็นอันตรายได้รับความไว้วางใจทั้งจากผู้ใช้งานและระบบ

การโจมตีเริ่มต้นด้วย ไฟล์ .lnk ที่ซ่อนอยู่ โดยทั่วไปจะแพร่กระจายผ่านแคมเปญฟิชชิ่ง โดยจะดำเนินการคำสั่ง PowerShell ที่เป็นอันตราย ดาวน์โหลดไฟล์ข้อความไปยังไดเร็กทอรีชั่วคราวของระบบ จากนั้นจึงเปิดไฟล์ปฏิบัติการปลอมที่เรียกว่า discord.exe จากเซิร์ฟเวอร์ระยะไกล

เมื่อแทรกซึมเข้าไปในพีซีของเราแล้ว XWorm ก็สามารถ ดำเนินการคำสั่งระยะไกลทุกประเภท จากการดาวน์โหลดไฟล์และการเปลี่ยนเส้นทาง URL ไปจนถึงการโจมตี DDoS

น็อตดอร์

ภัยคุกคามจากมัลแวร์ที่มองไม่เห็นที่ร้ายแรงที่สุดอีกประการหนึ่งในปัจจุบันคือ น็อตดอร์เป้าหมายของไวรัสที่ซับซ้อนนี้ที่พัฒนาโดยแฮกเกอร์ชาวรัสเซียคือ ผู้ใช้ Outlookซึ่งพวกเขาขโมยข้อมูลลับจากพวกเขา นอกจากนี้ยังสามารถควบคุมระบบที่ถูกบุกรุกได้อย่างสมบูรณ์ การพัฒนานี้มาจาก APT28 ซึ่งเป็นกลุ่มจารกรรมไซเบอร์ชื่อดังของรัสเซีย

NotDoor เป็นที่รู้จักกันว่าเป็น มัลแวร์ที่ซ่อนอยู่ซึ่งเขียนด้วย Visual Basic for Applications (VBA)สามารถตรวจสอบอีเมลขาเข้าสำหรับคีย์เวิร์ดเฉพาะเจาะจงได้ โดยใช้ประโยชน์จากความสามารถของโปรแกรมเพื่อเปิดใช้งานตัวเอง จากนั้นจึงสร้างไดเรกทอรีที่ซ่อนอยู่เพื่อเก็บไฟล์ชั่วคราวที่ผู้โจมตีควบคุม

แนวทางปฏิบัติที่ดีที่สุดในการป้องกันตัวเอง (และวิธีรับมือหากคุณติดเชื้อแล้ว)

การป้องกันที่มีประสิทธิภาพต้องผสมผสานนิสัยและเทคโนโลยีเข้าด้วยกัน นอกเหนือจาก "สามัญสำนึก" แล้ว คุณต้องการ ขั้นตอนและเครื่องมือ ที่ลดความเสี่ยงจริงบนพีซีและมือถือ:

• ติดตั้งแอปจากแหล่งที่เป็นทางการเท่านั้น และตรวจสอบผู้พัฒนา สิทธิ์อนุญาต และความคิดเห็น ระวังลิงก์ในข้อความ บนโซเชียลมีเดีย หรือเว็บไซต์ที่ไม่รู้จัก
• ใช้โซลูชันความปลอดภัยที่เชื่อถือได้ บนมือถือและพีซี ไม่เพียงแต่ตรวจจับแอปที่เป็นอันตราย แต่ยังแจ้งเตือนคุณด้วย พฤติกรรมที่น่าสงสัย.
• Mantén todo actualizado: ระบบ เบราว์เซอร์ และแอปพลิเคชัน แพทช์ถูกตัดออก เส้นทางการใช้ประโยชน์ ได้รับความนิยมอย่างมากในหมู่ผู้โจมตี
• เปิดใช้งานการยืนยันตัวตนสองขั้นตอน ในด้านธนาคาร ไปรษณีย์ และบริการที่สำคัญ แม้จะไม่ได้สมบูรณ์แบบ แต่ก็เพิ่ม barrera adicional.
• ตรวจสอบสิทธิ์การเข้าถึงและการแจ้งเตือน; หากยูทิลิตี้ที่เรียบง่ายขอการควบคุมเต็มรูปแบบ algo falla.
• รีสตาร์ทหรือปิดโทรศัพท์มือถือของคุณเป็นระยะการปิดระบบรายสัปดาห์อย่างสมบูรณ์สามารถขจัด การปลูกถ่ายความทรงจำ และทำให้การคงอยู่เป็นเรื่องยาก
• เปิดใช้งานและกำหนดค่าไฟร์วอลล์และจำกัดการใช้บัญชีที่มีสิทธิ์ผู้ดูแลระบบ เว้นแต่จำเป็นจริงๆ

หากคุณสงสัยว่ามีมัลแวร์ที่มองไม่เห็น (มือถือช้า ความร้อนที่ไม่สมเหตุสมผล การรีบูตที่แปลกประหลาด แอปที่คุณจำไม่ได้ว่าติดตั้ง หรือพฤติกรรมผิดปกติ): ลบแอปที่น่าสงสัยเริ่มมือถือในโหมดปลอดภัยและผ่านการสแกนเต็มรูปแบบ เปลี่ยนรหัสผ่านจาก อุปกรณ์อื่นแจ้งธนาคารของคุณและให้มูลค่า รีเซ็ตเป็นค่าจากโรงงาน หากอาการยังคงอยู่ โปรดพิจารณาการบูทจากสื่อภายนอกบนพีซีเพื่อสแกนโดยไม่ให้มัลแวร์เข้ามาควบคุม

จำไว้ว่ามัลแวร์ที่มองไม่เห็นเล่นกับจังหวะของเรา: สลับกัน ruido mínimo ด้วยการโจมตีแบบผ่าตัด มันไม่ใช่ภัยคุกคามที่เป็นนามธรรม แต่เป็นรายการของ เทคนิคการปกปิด ที่เปิดใช้งานทุกอย่างได้ ไม่ว่าจะเป็นโทรจันธนาคาร สปายแวร์ การขโมยข้อมูลประจำตัว หรือการคงอยู่ของเฟิร์มแวร์ หากคุณเสริมสร้างนิสัยและเลือกเครื่องมือที่ดี คุณจะ un paso por delante ของสิ่งที่ไม่ได้มองเห็น