Video: Malware: Difference Between Computer Viruses, Worms and Trojans (November 2024)
Sommige malware-aanvallen zijn zo overduidelijk dat je niet mag missen dat je het slachtoffer bent geworden. Ransomware-programma's blokkeren alle toegang tot uw computer totdat u betaalt om deze te ontgrendelen. Social media-kapers plaatsen bizarre statusupdates op uw sociale media-pagina's en infecteren iedereen die op zijn vergiftigde links klikt. Adware-programma's bezaaien je bureaublad met pop-upadvertenties, zelfs als er geen browser is geopend. Ja, dat is allemaal heel vervelend, maar omdat je weet dat er een probleem is, kun je werken aan het vinden van een antivirusoplossing.
Een volledig onzichtbare malware-besmetting kan veel gevaarlijker zijn. Als uw antivirus het niet "ziet" en u geen ongewenst gedrag opmerkt, is de malware gratis om uw online bankactiviteiten te volgen of uw rekenkracht te gebruiken voor snode doeleinden. Hoe blijven ze onzichtbaar? Hier zijn vier manieren waarop malware zich voor u kan verbergen, gevolgd door enkele ideeën om het onzichtbare te zien.
Besturingssysteem Subversion
We nemen aan dat Windows Explorer al onze foto's, documenten en andere bestanden kan weergeven, maar er gebeurt veel achter de schermen om dat mogelijk te maken. Een softwarestuurprogramma communiceert met de fysieke harde schijf om de bits en bytes te krijgen en het bestandssysteem interpreteert die bits en bytes in bestanden en mappen voor het besturingssysteem. Wanneer een programma een lijst met bestanden of mappen nodig heeft, vraagt het het besturingssysteem. Eigenlijk zou elk programma vrij zijn om rechtstreeks naar het bestandssysteem te vragen, of zelfs rechtstreeks met de hardware te communiceren, maar het is veel eenvoudiger om gewoon een beroep te doen op het besturingssysteem.
Met Rootkit-technologie kan een kwaadaardig programma zichzelf effectief uit het zicht wissen door die oproepen naar het besturingssysteem te onderscheppen. Wanneer een programma om een lijst met bestanden op een bepaalde locatie vraagt, geeft de rootkit dat verzoek door aan Windows en verwijdert vervolgens alle verwijzingen naar zijn eigen bestanden voordat de lijst wordt geretourneerd. Een antivirusprogramma dat strikt afhankelijk is van Windows voor informatie over welke bestanden aanwezig zijn, zal de rootkit nooit zien. Sommige rootkits passen soortgelijke trucs toe om hun registerinstellingen te verbergen.
Malware zonder bestand
Een typische antivirus scant alle bestanden op schijf, controleert of er geen kwaadaardig zijn en scant ook elk bestand voordat het wordt uitgevoerd. Maar wat als er geen bestand is? Tien jaar geleden heeft de slamworm wereldwijd schade aangericht aan netwerken. Het verspreidde zich rechtstreeks in het geheugen, met behulp van een bufferoverschrijding om willekeurige code uit te voeren en schreef nooit een bestand naar schijf.
Meer recent meldden onderzoekers van Kaspersky een Java-infectie zonder file die bezoekers van Russische nieuwssites aanviel. Doorgegeven via banneradvertenties injecteerde de exploit code rechtstreeks in een essentieel Java-proces. Als het lukt om Gebruikersaccountbeheer uit te schakelen, neemt het contact op met de opdracht- en controleserver voor instructies over wat het volgende moet doen. Zie het als de kerel in een bankoverval die door de ventilatiekanalen naar binnen kruipt en het beveiligingssysteem voor de rest van de bemanning uitschakelt. Volgens Kaspersky is een veel voorkomende actie op dit moment het installeren van de Lurk Trojan.
Malware die strikt in het geheugen is opgeslagen, kan eenvoudig worden verwijderd door de computer opnieuw op te starten. Dat is gedeeltelijk hoe ze het voor elkaar kregen om Slammer terug te halen in de dag. Maar als u niet weet dat er een probleem is, weet u niet dat u opnieuw moet opstarten.
Op terugkeer gerichte programmering
Alle drie finalisten in de BlueHat Prize-beveiligingsonderzoekswedstrijd van Microsoft hadden te maken met Return Oriented Programming of ROP. Een aanval die ROP gebruikt is verraderlijk, omdat het geen uitvoerbare code installeert, niet als zodanig. In plaats daarvan vindt het de instructies die het wil in andere programma's, zelfs delen van het besturingssysteem.
In het bijzonder zoekt een ROP-aanval naar codeblokken (door de experts "gadgets" genoemd) die beide een nuttige functie vervullen en eindigen met een RET-instructie (retour). Wanneer de CPU die instructie raakt, keert hij terug naar het aanroepproces, in dit geval de ROP-malware, die het volgende gecodeerde codeblok lanceert, misschien vanuit een ander programma. Die grote lijst met gadgetadressen is alleen gegevens, dus het is lastig om ROP-gebaseerde malware te detecteren.
Frankenstein's malware
Tijdens de Usenix WOOT-conferentie (Workshop on Offensive Technologies) van vorig jaar presenteerden een paar onderzoekers van de Universiteit van Texas in Dallas een idee vergelijkbaar met Return Oriented Programming. In een artikel getiteld "Frankenstein: Stitching Malware from Benign Binaries" beschreven ze een techniek voor het maken van moeilijk te detecteren malware door stukjes code van bekende en vertrouwde programma's samen te voegen.
"Door het nieuwe binaire bestand volledig samen te stellen uit byte-reeksen die gebruikelijk zijn voor goedaardige binaire bestanden, " legt het artikel uit, "zullen de resulterende mutanten minder vaak overeenkomen met handtekeningen die zowel witte als zwarte lijst van binaire functies bevatten." Deze techniek is veel flexibeler dan ROP, omdat het elk stuk code kan bevatten, niet alleen een stuk dat eindigt met de allerbelangrijkste RET-instructie.
Hoe het onzichtbare te zien
Het goede is dat je hulp kunt krijgen om deze stiekeme kwaadaardige programma's te detecteren. Antivirusprogramma's kunnen bijvoorbeeld rootkits op verschillende manieren detecteren. Een langzame maar eenvoudige methode omvat het uitvoeren van een audit van alle bestanden op schijf, zoals gemeld door Windows, het uitvoeren van een andere audit door direct naar het bestandssysteem te zoeken en naar verschillen te zoeken. En omdat rootkits Windows specifiek ondermijnen, wordt een antivirusprogramma dat opstart in een niet-Windows-besturingssysteem niet voor de gek gehouden.
Een alleen-geheugen bedreiging zonder bestand zal bezwijken voor antivirusbescherming die actieve processen bijhoudt, of zijn aanvalsvector blokkeert. Uw beveiligingssoftware blokkeert mogelijk de toegang tot de geïnfecteerde website die die bedreiging vormt, of blokkeert de injectietechniek.
De Frankenstein-techniek kan een strikt op handtekeningen gebaseerde antivirus misschien voor de gek houden, maar moderne beveiligingshulpmiddelen gaan verder dan handtekeningen. Als de patchwork-malware daadwerkelijk iets kwaadaardig doet, zal een op gedrag gebaseerde scanner dit waarschijnlijk vinden. En omdat het nog nooit eerder is gezien, zal een systeem als Norton File Insight van Symantec dat rekening houdt met prevalentie, het markeren als een gevaarlijke anomalie.
Wat betreft het verminderen van Return Oriented Programming-aanvallen, nou, dat is een zware dobber, maar er is veel denkvermogen aan besteed om het op te lossen. Economische kracht ook - Microsoft heeft een kwart miljoen dollar toegekend aan toponderzoekers die aan dit probleem werken. Omdat ze zo sterk afhankelijk zijn van de aanwezigheid van bepaalde geldige programma's, is het waarschijnlijker dat ROP-aanvallen worden gebruikt tegen specifieke doelen, niet in een wijdverbreide malwarecampagne. Uw thuiscomputer is waarschijnlijk veilig; uw pc op kantoor, niet zo veel.
