Casa Ressenyes El tipus de programari maliciós més estrany

El tipus de programari maliciós més estrany

Vídeo: Why Do Games Cost So Much To Make? - AAA Game Budgets - Extra Credits (De novembre 2024)

Vídeo: Why Do Games Cost So Much To Make? - AAA Game Budgets - Extra Credits (De novembre 2024)
Anonim

Alguns atacs de programari maliciós són tan descaradors que no us podeu perdre el fet que heu estat victimitzats. Els programes de Ransomware bloquegen tot l’accés al vostre ordinador fins que no pagueu per tenir-lo desbloquejat. Els segrestadors de mitjans socials publiquen actualitzacions d'estat estranyes a les vostres pàgines de xarxes socials, infectant a qualsevol persona que faci clic als seus enllaços enverinats. Els programes d’Adware llencen l’escriptori amb anuncis emergents fins i tot quan no hi ha cap navegador obert. Sí, tots són molestos, però com que sabeu que hi ha un problema, podeu trobar una solució antivirus.

Una infestació de malware totalment invisible pot ser molt més perillosa. Si el vostre antivirus no "ho veu" i no observeu cap comportament poc efectiu, el programari maliciós és gratuït per rastrejar les vostres activitats bancàries en línia o utilitzar el vostre poder informàtic amb propòsits nefastos. Com es queden invisibles? A continuació, es mostren quatre maneres que el programari maliciós us pot ocultar, seguit d’algunes idees per veure el que no es pot veure.

    Subversió del sistema operatiu

    Tenim per descomptat que l'Explorador de Windows pot llistar totes les nostres fotos, documents i altres fitxers, però hi ha moltes coses entre bastidors perquè això passi. Un controlador de programari es comunica amb el disc dur físic per obtenir bits i bytes i el sistema d'arxius interpreta aquests bits i bytes en fitxers i carpetes del sistema operatiu. Quan un programa necessita obtenir una llista de fitxers o carpetes, consulta el sistema operatiu. En veritat, qualsevol programa seria lliure de consultar el sistema de fitxers directament, o fins i tot comunicar-se directament amb el maquinari, però és molt més senzill fer servir el sistema operatiu.

    La tecnologia Rootkit permet que un programa maliciós esborri efectivament de la seva vista en interceptar aquestes trucades al sistema operatiu. Quan un programa demana una llista de fitxers en una determinada ubicació, el rootkit passa aquesta sol·licitud a Windows, i després esborra tota la referència als seus propis fitxers abans de tornar la llista. Un antivirus que es basa estrictament en Windows per obtenir informació sobre els fitxers presents mai no veurà el rootkit. Alguns rootkits apliquen trucs similars per ocultar la configuració del registre.

    Malware sense fitxer

    Un antivirus típic escaneja tots els fitxers del disc, comprovant per assegurar-se que cap és maliciós i també escaneja cada fitxer abans de permetre que s'executi. Però, i si no hi ha cap fitxer? Fa deu anys, el cuc més minvat va causar estralls a les xarxes de tot el món. Es va propagar directament a la memòria, utilitzant un atac de desbordament de memòria intermèdia per executar codi arbitrari i mai no va escriure cap fitxer al disc.

    Més recentment, els investigadors de Kaspersky van informar d'una infecció Java sense fitxers que atacava els visitants de llocs de notícies russos. Propagat mitjançant anuncis de bàner, l'explotar codi injectat directament a un procés essencial de Java. Si ha aconseguit desactivar el control del compte d’usuari, es posaria en contacte amb el seu servidor de comandaments i control per obtenir instruccions sobre què cal fer després. Penseu-hi com el company d’un banc que s’arrossega pels conductes de ventilació i apaga el sistema de seguretat de la resta de la tripulació. Segons Kaspersky, una acció habitual en aquest moment és instal·lar el troià de Lurk.

    El programari maliciós que es troba estrictament a la memòria es pot eliminar quan reinicieu l’ordinador. Això és, en part, com van aconseguir enderrocar a Slammer en el seu dia. Però si no sabeu que hi ha cap problema, no sabreu que heu de reiniciar.

    Programació orientada al retorn

    Els tres finalistes al concurs de recerca en seguretat sobre premi BlueHat de Microsoft van participar en la programació orientada al retorn o ROP. Un atac que utilitza ROP és insidiós, perquè no instal·la codi executable, no com a tal. Més aviat, troba les instruccions que vol dins d’altres programes, fins i tot en parts del sistema operatiu.

    Concretament, un atac ROP busca blocs de codi (anomenats "gadgets" pels experts) que tant realitzen alguna funció útil i acaben amb una instrucció RET (devolució). Quan la CPU arriba a aquesta instrucció, torna el control al procés de trucades, en aquest cas el programari maliciós ROP, que llança el següent bloc de codi recobert, potser des d’un programa diferent. Aquesta gran llista d’adreces del gadget només són dades, de manera que és difícil detectar programari maliciós basat en el programa ROP.

    Malware de Frankenstein

    A la conferència Usenix WOOT (Workshop on Offensive Technologies) de l'any passat, un parell d'investigadors de la Universitat de Texas de Dallas van presentar una idea similar a la programació orientada al retorn. En un article titulat "Frankenstein: Stitching Malware de Benign Binaries", van descriure una tècnica per crear programari maliciós difícil de detectar, combinant fragments de codi de programes coneguts i de confiança.

    "Component el nou binari completament fora de seqüències de bytes comunes als binaris de classe benigna", explica el document, "els mutants resultants són menys propensos a coincidir amb signatures que inclouen llista blanca i llista negra de funcions binàries." Aquesta tècnica és molt més flexible que la ROP, perquè pot incorporar qualsevol part de codi, no només un tros que acabi amb la important instrucció RET.

Com veure l’invisible

El bo és que podeu obtenir ajuda per detectar aquests maliciosos programes maliciosos. Per exemple, els programes antivirus poden detectar arrels de diverses maneres. Un mètode lent però senzill consisteix a realitzar una auditoria de tots els fitxers del disc segons informa Windows, realitzar una altra auditoria consultant el sistema de fitxers directament i cercant discrepàncies. I ja que els rootkits subverteixen específicament Windows, no s’enganyarà un antivirus que s’inicia en un sistema operatiu que no sigui de Windows.

Una amenaça només sense memòria, sense fitxers, succeirà a la protecció antivirus que fa el seguiment dels processos actius o bloqueja el seu vector d’atac. El vostre programari de seguretat podria bloquejar l’accés al lloc web infectat per evitar aquesta amenaça o bloquejar-ne la tècnica d’injecció.

La tècnica de Frankenstein podria enganyar un antivirus estrictament basat en signatures, però les eines de seguretat modernes van més enllà de les signatures. Si el malware de patchwork realment fa alguna cosa maliciosa, probablement un escàner basat en un comportament el trobarà. I ja que mai no s’havia vist enlloc, un sistema com el de Norton File Insight de Symantec que tingui en compte la prevalença el marcarà com una anomalia perillosa.

Pel que fa a mitigar els atacs de programació orientada al retorn, bé, és difícil, però molta capacitat de treball s'ha dedicat a la resolució. El poder econòmic també: Microsoft va concedir un quart de milió de dòlars als principals investigadors que treballaven en aquest problema. A més, com que es basen tan en la presència de programes vàlids determinats, els atacs ROP són més propensos a utilitzar-se contra objectius específics, no en una campanya de programari maliciós generalitzada. Probablement el vostre ordinador de casa sigui segur; el vostre PC d’oficina, no tant.

El tipus de programari maliciós més estrany