Video: Desperados 3 Test - Pregled - izjemna prikrita strategija na divjem zahodu (nemščina, podnapisi) (Oktober 2024)
Nekateri napadi zlonamerne programske opreme so tako očitni, da ne morete zgrešiti dejstva, da ste bili žrtve. Programi Ransomware zaklenejo ves dostop do vašega računalnika, dokler ga ne plačate za odklenjen. Ugrabitelji družbenih medijev objavljajo nenavadne posodobitve statusa na svojih straneh družbenih medijev in tako okužijo vsakogar, ki klikne njihove zastrupljene povezave. Oglašeni programi namestijo namizje s pojavnimi oglasi, tudi ko ni odprt noben brskalnik. Da, vse to je zelo nadležno, toda ker veste, da obstaja težava, si lahko prizadevate najti protivirusno rešitev.
Popolnoma nevidna okužba z zlonamerno programsko opremo je lahko veliko nevarnejša. Če vaš protivirusni program tega ne "vidi" in ne opazite nezanimljivega vedenja, lahko zlonamerna programska oprema prosto spremlja vaše spletne bančne dejavnosti ali uporablja vaše računalniške moči v zmerne namene. Kako ostanejo nevidni? Tukaj je štiri načine, kako se zlonamerna programska oprema lahko skrije pred vami, nato pa sledi nekaj idej za prikaz nevidnega.
Subverzija operacijskega sistema
Za samoumevno je, da lahko Windows Explorer našteje vse naše fotografije, dokumente in druge datoteke, vendar se za kulisami veliko dogaja. Gonilnik programske opreme komunicira s fizičnim trdim diskom, da pridobi bite in bajte, datotečni sistem pa te bite in bajte interpretira v datoteke in mape operacijskega sistema. Ko mora program pridobiti seznam datotek ali map, poizveduje operacijski sistem. Po pravici povedano bi vsak program lahko poizvedoval po datotečnem sistemu ali celo komuniciral neposredno s strojno opremo, vendar je preprosto lažje poklicati operacijski sistem.
Rootkit tehnologija omogoča, da se zlonamerni program učinkovito izbriše iz pogleda s prestrezanjem teh klicev v operacijski sistem. Ko program zahteva seznam datotek na določenem mestu, rootkit to zahtevo prenese v sistem Windows, nato pa pred vrnitvijo seznama izbriše vse sklice na lastne datoteke. Protivirusni sistem, ki se za podatke o prisotnosti datotek strogo zanaša na Windows, nikoli ne bo videl rootkita. Nekateri rootkiti uporabljajo podobne trike, da skrijejo svoje nastavitve registra.
Zlonamerna programska oprema brez datotek
Običajni protivirusni program pregleda vse datoteke na disku in se prepriča, da nobena ni zlonamerna, in pregleda vsako datoteko, preden ji omogoči izvajanje. Kaj pa, če ni datoteke? Pred desetimi leti je škrlatni črv povzročil pustoš po svetovnih omrežjih. Razmnoževalo se je neposredno v pomnilniku, pri čemer je napad prekoračenja pufra izvedel poljubno kodo in nikoli ni pisal datoteke na disk.
Pred kratkim so raziskovalci Kasperskega poročali o no-datoteki Java okužba, ki napada obiskovalce ruskih novic. Razširjena s pomočjo oglasnih pasic je izkoriščena koda vbrizgala neposredno v bistven postopek Java. Če bi uspel izklopiti Nadzor uporabniških računov, se bo obrnil na svoj ukazni in nadzorni strežnik za navodila, kako naprej. Zamislite si to kot kolega v bančni peščici, ki se plazi skozi prezračevalne kanale in izklopi varnostni sistem za ostalo posadko. Po besedah Kasperskega je na tej točki eno skupno dejanje namestitev trojanskega Lurka.
Zlonamerno programsko opremo, ki je strogo v spominu, je mogoče očistiti s ponovnim zagonom računalnika. Deloma je tako uspelo spustiti Slammerja nazaj. Če pa ne veste, da obstaja težava, ne boste vedeli, da morate znova zagnati sistem.
Vrnitveno usmerjeno programiranje
Vsi trije finalisti Microsoftovega natečaja za varnostno raziskovanje BlueHat Prize, ki so se ukvarjali s programiranjem, usmerjenim v vrnitev, ali ROP. Napad, ki uporablja ROP, je zahrbten, ker ne namesti izvršljive kode, ne kot take. Namesto tega najde navodila, ki jih želi v drugih programih, celo v delih operacijskega sistema.
Konkretno, napad ROP išče bloke kode (strokovnjaki jih imenujejo "pripomočki"), ki opravljajo neko uporabno funkcijo in se končajo z ukazom RET (return). Ko CPU zadene to navodilo, vrne nadzor klicnemu postopku, v tem primeru zlonamerno programsko opremo ROP, ki zažene naslednji prečrtani blok kode, morda iz drugega programa. Velik seznam naslovov pripomočkov so samo podatki, zato je odkrivanje zlonamerne programske opreme, ki temelji na ROP, težko.
Frankensteinova zlonamerna programska oprema
Na lanski konferenci Usenix WOOT (delavnica o ofenzivnih tehnologijah) je par raziskovalcev z teksaške univerze v Dallasu predstavil zamisel, podobno vrnjenemu usmerjenemu programiranju. V prispevku z naslovom "Frankenstein: Šivanje zlonamerne programske opreme iz Benign Binaries" so opisali tehniko za ustvarjanje težko odkriti zlonamerne programske opreme z združevanjem kosov kode iz znanih in zaupanja vrednih programov.
"S sestavljanjem novega binarnega zapisa v celoti iz bajtnih zaporedij, ki so skupne benignim klasificiranim dvojiščnicam, " razlaga dokument, "so manjši verjetnosti, da bodo dobljeni mutanti ustrezali podpisom, ki vključujejo beli seznam in črni seznam binarnih funkcij." Ta tehnika je veliko bolj prilagodljiva kot ROP, saj lahko vključuje katerikoli kos kode, ne le kos, ki se konča z vse pomembnimi navodili RET.
Kako videti nevidno
Dobra stvar je, da lahko poiščete pomoč pri odkrivanju teh zahrbtnih zlonamernih programov. Na primer, protivirusni programi lahko odkrijejo rootkite na več načinov. Ena počasna, a enostavna metoda vključuje revizijo vseh datotek na disku, kot jo je poročal Windows, izvedbo druge revizije z neposrednim poizvedovanjem po datotečnem sistemu in iskanjem odstopanj. In ker rootkiti izrecno uničujejo Windows, protivirus, ki se zažene v sistem, ki ni Windows, ne bo zaveden.
Grožnja brez datoteke, ki bo namenjena samo pomnjenju, bo podlegla protivirusni zaščiti, ki spremlja aktivne procese, ali blokira njen vektor napada. Vaša varnostna programska oprema lahko blokira dostop do okuženega spletnega mesta, ki služi tej grožnji, ali blokira njeno tehniko vbrizgavanja.
Frankensteinova tehnika bi morda zavedla strogo zasnovan protivirusni antivirus, vendar sodobna varnostna orodja presegajo podpise. Če zlonamerna programska oprema za patchwork dejansko naredi nekaj zlonamernega, jo bo verjetno našel optični bralnik. In ker ga še nikoli nikjer niso videli, bo sistem, kot je Symantec Norton File Insight, ki upošteva razširjenost, to označil za nevarno anomalijo.
Kar se tiče ublažitve napadov, usmerjenih v vrnitev, je to težko, a za reševanje je bilo namenjenega veliko možganskih moči. Tudi ekonomska moč - Microsoft je podelil četrt milijona dolarjev vrhunskim raziskovalcem, ki delajo na tej težavi. Ker se tako močno zanašajo na prisotnost določenih veljavnih programov, se napadi ROP pogosteje uporabljajo proti določenim ciljem, ne pa v razširjeni kampanji zlonamerne programske opreme. Vaš domači računalnik je verjetno varen; vaš pisarniški računalnik, ne toliko.
