Görünmez kötü amaçlı yazılımlar: Nedir, kök araç takımları nelerdir ve kendinizi nasıl korursunuz?

Gizli kötü amaçlı yazılımlar, tespit edilmekten kaçınmak için gizli teknikler (kök araç takımları, sanallaştırma, sıfır tıklama) kullanır.
Android'deki Crocodilus ve Godfather, gelişmiş sahtecilik ve izinlerle bankacılık kimlik bilgilerini çalıyor.
UEFI kalıcılığı (CosmicStrand) sistem yeniden yüklemelerinden sağ çıkar; savunmaları birleştirmek önemlidir.

Siber güvenlik günlük bir sorun haline geldi ve buna rağmen, birçok tehdit hala fark edilmeden kalıyor Kullanıcılara ve savunma araçlarına karşı. Bu tehditler arasında, amacı basit olan bir dizi teknik olan "görünmez kötü amaçlı yazılım" da yer alıyor: görünürde saklanıp izlerini kamufle ederler mümkün olduğunca uzun süre aktif kalmak.

Bilim kurgu olmaktan uzak, halihazırda dolaşımda olan yöntemlerden bahsediyoruz: sisteme karışan rootkit'ler değin mobil Truva atları banka ekranlarını taklit edebilen veya hiçbir şeye dokunmadan casusluk yapabilen. Ve evet, ayrıca sıfır tıklama saldırıları ve işletim sistemi yeniden kurulumlarından sağ çıkan yazılımlardaki aşırı durumlar.

"Görünmez kötü amaçlı yazılım" derken neyi kastediyoruz?

"Görünmez"den bahsettiğimizde, kodun kelimenin tam anlamıyla görülmesinin imkansız olduğu anlamına gelmez, ancak gizleme teknikleri uygulanır Kötü amaçlı yazılımın enfekte sistemdeki değişikliklerini ve etkinliklerini maskelemek için tasarlanmıştır. Bu tanım, örneğin şunları içerir: rootkits, dosyaları, işlemleri, kayıt defteri anahtarlarını veya bağlantıları gizlemek için sistemi manipüle eden.

Uygulamada, bu suşlar sistem görevlerini devralmak ve şüphe uyandırmadan performansı düşürebilir. Bir antivirüs anormal bir davranış tespit ettiğinde bile, görünmezlik mekanizmaları tespit edilmekten kaçınmak veya ertelemekörneğin, kirlenmiş dosyadan geçici olarak uzaklaşarak, dosyayı başka bir sürücüye klonlayarak veya dosyaların boyutunu gizleme değiştirildi. Tüm bunlar, eylemin karmaşıklaşmasına neden oluyor. tespit motorları ve adli analiz.

görünmez kötü amaçlı yazılım

Nasıl sızıyor ve nasıl saklanıyor

"Görünmez virüs" veya daha geniş anlamda gizli teknikler kullanan kötü amaçlı yazılımlar çeşitli biçimlerde ortaya çıkabilir: kötü amaçlı ekler e-postalarda, şüpheli web sitelerinden yapılan indirmelerde, yazılımlarda no verificado, popüler yardımcı programlar veya kurulumlar gibi görünen sahte uygulamalar sosyal ağlar ve mesajlaşmadaki bağlantılar.

Özel içerik - Buraya Tıklayın 1Password'da kayıp şifreyi nasıl bulabilirim?

İçeri girdiğinde stratejisi açıktır: görünmeden devam etmekBazı varyantlar, bir taramadan şüphelendikleri zaman enfekte dosyadan "çıkarak" kendilerini başka bir yere kopyalar ve bir temiz bir ikame uyarıları önlemek için. Diğerleri meta verileri, dosya boyutlarını ve sistem girişlerini gizleyerek hayatı zorlaştırır algılama motorları ve dosya geri yükleme Bir enfeksiyondan sonra.

Rootkit'ler: Tanım, riskler ve meşru olabilecek kullanımlar

Kökenleri çevrelerde UNIX, bir rootkit, sistemin kendisinden gelen bir dizi araçtı (örneğin ps, netstat veya passwd) bir davetsiz misafir tarafından değiştirilmiş tespit edilmeden kök erişimini koruyun"Root" yani süper kullanıcı adı nereden geliyor? Günümüzde Windows ve diğer sistemlerde bu kavram aynı kalıyor: öğeleri gizlemek için tasarlanmış programlar (dosyalar, işlemler, kayıt defteri anahtarları, bellek ve hatta bağlantılar) işletim sistemine veya güvenlik uygulamalarına.

Gizlilik teknolojisinin kullanımı başlı başına kötü niyetli değildir. Meşru amaçlar için kullanılabilir, örneğin: kurumsal izleme, fikri mülkiyet koruması veya kullanıcı hatalarına karşı koruma. Sorun, bu yeteneklerin şu amaçlara uygulandığında ortaya çıkar: kötü amaçlı yazılımları, arka kapıları ve suç faaliyetlerini örtbas etmekGünümüz siber suç dinamikleriyle uyumlu olarak, dikkat çekmeden çalışma süresini en üst düzeye çıkarmayı hedefliyor.

Rootkit'ler nasıl tespit edilir ve azaltılır?

Hiçbir teknik hatasız değildir, bu nedenle en iyi strateji şudur: yaklaşımları birleştirmek ve araçlar. Klasik ve gelişmiş yöntemler şunları içerir:

İmza tespiti: Bilinen kötü amaçlı yazılım kataloglarını tarayıp karşılaştırır. Şunlar için etkilidir: halihazırda kataloglanmış varyantlarYayımlanmamış olanlar hariç.
Sezgisel veya davranışa dayalı: identifica normal aktivitede sapmalar Sistemin, yeni veya mutasyona uğramış aileleri keşfetmeye yarayan bir özelliği.
Karşılaştırma yoluyla tespit: Sistemin bildirdiği değerleri, aşağıdaki okumalarla karşılaştırır: bajo nivel; eğer tutarsızlıklar varsa, gizlemeden şüphelenilir.
Bütünlük: Dosyaları ve belleği bir güvenilir referans durumu (temel) değişiklikleri göstermek için.

Özel içerik - Buraya Tıklayın Poste Italiane kimlik avı saldırılarına karşı kendinizi nasıl koruyabilirsiniz?

Önleme düzeyinde, bir buen antimalware aktif ve güncel, kullanım güvenlik duvarları, mantener güncel sistemler ve uygulamalar yamalarla ve ayrıcalıkları sınırlayarak. Bazen, belirli enfeksiyonları tespit etmek için, harici ortamdan önyükleme ve tehlikeye atılan sistemin "dışarıdan" taranması, yine de bazı aileler bunu başarıyor reinsertarse diğer sistem dosyalarında.

Görünmez kötü amaçlı yazılımların iki örneği: XWorm ve NotDoor

Bunlar şu anda piyasadaki en tehlikeli görünmez kötü amaçlı yazılım tehditleri olabilir. Kendinizi bunlardan nasıl koruyacağınızı bilmek için, onları iyi anlamanız en iyisidir:

XWorm

XWorm Son zamanlarda meşru görünen yürütülebilir dosya adlarını kullanarak endişe verici bir şekilde gelişen, iyi bilinen bir kötü amaçlı yazılımdır. Bu, kamuflaj kendini zararsız bir uygulama olarak gösteriyorHem kullanıcıların hem de sistemlerin güvenini kazanarak.

Saldırı bir gizli .lnk dosyası Genellikle kimlik avı kampanyaları aracılığıyla dağıtılan bu yazılım, kötü amaçlı PowerShell komutlarını çalıştırır, sistemin geçici dizinine bir metin dosyası indirir ve ardından uzak bir sunucudan discord.exe adlı sahte bir yürütülebilir dosyayı başlatır.

XWorm bir kez PC'mize sızdığında, her türlü uzaktan komutu yürütebilir, dosya indirmelerinden ve URL yönlendirmelerinden DDoS saldırılarına kadar.

Kapı Değil

Şu anda en ciddi görünmez kötü amaçlı yazılım tehditlerinden biri de Kapı DeğilRus bilgisayar korsanları tarafından geliştirilen bu karmaşık virüsün hedefi; Outlook kullanıcılarıGizli verileri çaldıkları . Ayrıca, ele geçirilmiş sistemlerin tam kontrolünü de ele geçirebilir. Geliştirilmesinin, tanınmış bir Rus siber casusluk grubu olan APT28'e atfedildiği düşünülmektedir.

NotDoor'un bilindiği gibi Visual Basic for Applications (VBA) ile yazılmış gizli bir kötü amaçlı yazılım, gelen e-postaları belirli anahtar kelimelere göre izleyebilme yeteneğine sahiptir. Aslında programın kendi yeteneklerinden yararlanarak kendini etkinleştirir. Ardından, saldırgan tarafından kontrol edilen geçici dosyaları depolamak için gizli bir dizin oluşturur.

Özel içerik - Buraya Tıklayın Bir Facebook profilinin arkasındaki kişinin kim olduğunu nasıl öğrenebilirsiniz?

Kendinizi korumak için en iyi uygulamalar (ve zaten enfekte olduysanız nasıl tepki vereceğiniz)

Etkili savunma, alışkanlıkları ve teknolojiyi birleştirir. "Sağduyu"nun ötesinde, prosedürler ve araçlar PC ve mobil cihazlarda gerçek riski azaltan:

Uygulamaları yalnızca resmi kaynaklardan yükleyin Geliştiriciyi, izinleri ve yorumları kontrol edin. Mesajlardaki, sosyal medyadaki veya bilinmeyen web sitelerindeki bağlantılara dikkat edin.
Güvenilir güvenlik çözümleri kullanın mobil ve PC'de; yalnızca kötü amaçlı uygulamaları tespit etmekle kalmaz, aynı zamanda sizi uyarır şüpheli davranış.
Mantén todo actualizado: sistem, tarayıcı ve uygulamalar. Yamalar kesildi sömürü yolları saldırganlar arasında oldukça popüler.
İki adımlı doğrulamayı etkinleştirin bankacılık, posta ve kritik hizmetlerde. Yanılmaz değil, ancak barrera adicional.
Erişilebilirlik izinlerini ve bildirimlerini izleyin; basit bir yardımcı program tam kontrol isterse, algo falla.
Cep telefonunuzu periyodik olarak yeniden başlatın veya kapatın; haftalık tam bir kapanış, hafıza implantları ve ısrarcılığı zorlaştırır.
Güvenlik duvarını etkinleştirin ve yapılandırınve kesinlikle gerekli olmadığı sürece yönetici izinlerine sahip hesapların kullanımını sınırlar.

Görünmez bir kötü amaçlı yazılım enfeksiyonunun varlığından şüpheleniyorsanız (yavaş mobil, haksız ısınma, garip yeniden başlatmalar, yüklediğinizi hatırlamadığınız uygulamalar veya anormal davranış): şüpheli uygulamaları kaldırın, mobil cihazı güvenli modda başlatın ve tam bir tarama yapın, şifreleri değiştirin başka bir cihaz, bankanıza bildirin ve değerini belirtin fabrika ayarlarına sıfırlama Eğer belirtiler devam ederse, kötü amaçlı yazılımın kontrolü ele geçirmesini önlemek için harici bir ortamdan bilgisayarınızı başlatmayı düşünün.

Görünmez kötü amaçlı yazılımların ritmimizle oynadığını unutmayın: ruido mínimo cerrahi darbelerle. Bu soyut bir tehdit değil, bir dizi gizleme teknikleri bankacılık Truva atları, casus yazılımlar, kimlik hırsızlığı veya donanım yazılımı kalıcılığı gibi her şeyi mümkün kılan. Alışkanlıklarınızı pekiştirir ve araçlarınızı iyi seçerseniz, un paso por delante Görünmeyen şeyin.

İlgili makale:

Bilgisayarınızdaki gizli virüsleri nasıl bulabilirsiniz?

Daniel Terrasa

Farklı dijital mecralarda on yıldan fazla deneyime sahip, teknoloji ve internet konularında uzmanlaşmış editör. E-ticaret, iletişim, online pazarlama ve reklam şirketlerinde editör ve içerik yaratıcısı olarak çalıştım. Ekonomi, finans ve diğer sektörlerin internet sitelerinde de yazılar yazdım. İşim aynı zamanda tutkumdur. Artık makalelerim aracılığıyla Tecnobits, Hayatlarımızı iyileştirmek için teknoloji dünyasının bize her gün sunduğu tüm haberleri ve yeni fırsatları keşfetmeye çalışıyorum.