Video: Mengenal Jenis jenis Malware (November 2024)
Sesetengah serangan malware adalah sangat jelas, anda tidak boleh terlepas hakikat bahawa anda telah menjadi mangsa. Program Ransomware mengunci semua akses ke komputer anda sehingga anda membayar untuk menguncinya. Perampas media sosial menyiarkan kemas kini status pelik pada halaman media sosial anda, menjangkiti sesiapa yang mengklik pautan beracun mereka. Program adware sampah desktop anda dengan iklan popup walaupun tiada pelayar dibuka. Ya, semuanya agak menjengkelkan, tetapi kerana anda tahu ada masalah yang dapat anda lakukan untuk mencari penyelesaian antivirus.
Satu serangan malware yang tidak dapat dilihat boleh menjadi lebih berbahaya. Sekiranya antivirus anda tidak "melihat" dan anda tidak melihat sebarang kelakuan yang tidak diingini, malware itu bebas untuk menjejaki aktiviti perbankan dalam talian anda atau menggunakan kuasa pengkomputeran anda untuk tujuan yang jahat. Bagaimana mereka tidak kelihatan? Berikut adalah empat cara malware yang boleh disembunyikan daripada anda, diikuti dengan beberapa idea untuk melihat un-dapat dilihat.
Subversion Sistem Operasi
Kami menganggap bahawa Windows Explorer dapat menyenaraikan semua foto, dokumen dan fail lain, tetapi banyak perkara yang berlaku di belakang tabir untuk membuatnya berlaku. Seorang pemandu perisian berkomunikasi dengan cakera keras fizikal untuk mendapatkan bit dan bait, dan sistem fail menafsirkan bit dan bait ke dalam fail dan folder untuk sistem operasi. Apabila suatu program perlu mendapatkan senarai fail atau folder, ia mengkaji sistem operasi. Sebenarnya, mana-mana program bebas untuk menanyakan sistem fail secara langsung, atau berkomunikasi secara langsung dengan perkakasan, tetapi sangat mudah untuk memanggil OS.
Teknologi Rootkit membolehkan program berniat jahat menghapuskan dirinya sendiri dari pandangan dengan memintas panggilan tersebut ke sistem pengendalian. Apabila suatu program meminta senarai fail di lokasi tertentu, rootkit melepasi permintaan itu ke Windows, kemudian memadam semua rujukan ke failnya sendiri sebelum kembali senarai. Antivirus yang bergantung sepenuhnya kepada Windows untuk mendapatkan maklumat tentang apa yang ada pada fail yang tidak akan melihat rootkit. Sesetengah rootkit memohon penipuan yang sama untuk menyembunyikan tetapan Registry mereka.
No-file Malware
Antivirus biasa mengimbas semua fail pada cakera, menyemak untuk memastikan tidak ada yang berniat jahat, dan juga mengimbas setiap fail sebelum membenarkannya dilaksanakan. Tetapi bagaimana jika tiada fail? Sepuluh tahun yang lalu, cacing yang kacak memburukkan rangkaian di seluruh dunia. Ia disebarkan secara langsung dalam ingatan, menggunakan serangan penampan yang melampaui batas untuk melaksanakan kod sewenang-wenang, dan tidak pernah menulis fail ke cakera.
Baru-baru ini, penyelidik Kaspersky melaporkan jebakan tidak ada fail Jawa menyerang pelawat ke laman berita Rusia. Disebarkan melalui iklan sepanduk, kod suntikan mengeksploitasi terus ke dalam proses Java penting. Jika ia berjaya mematikan Kawalan Akaun Pengguna, ia akan menghubungi pelayan arahan dan kawalannya untuk arahan mengenai perkara yang perlu dilakukan seterusnya. Fikirkannya sebagai rakan di sebuah bank yang menyelinap masuk melalui saluran pengudaraan dan mematikan sistem keselamatan untuk seluruh kru. Menurut Kaspersky, satu tindakan umum pada titik ini adalah memasang Trojan Lurk.
Alat perosak yang betul-betul di dalam memori boleh dibersihkan hanya dengan memulakan semula komputer. Itu, sebahagian, adalah bagaimana mereka berjaya menurunkan Slammer pada hari itu. Tetapi jika anda tidak tahu ada masalah, anda tidak akan tahu bahawa anda perlu reboot.
Pemrograman Berorientasikan Pulang
Ketiga-tiga finalis dalam pertandingan penyelidikan keselamatan BlueHat Microsoft terlibat terlibat dalam Pemrograman Berorientasi Kembali, atau ROP. Serangan yang menggunakan ROP adalah berbahaya, kerana ia tidak memasang kod executable, tidak demikian. Sebaliknya, ia mendapati arahan yang dikehendaki dalam program lain, walaupun sebahagian daripada sistem operasi.
Khususnya, serangan ROP mencari blok kod (dipanggil "alat" oleh pakar) yang kedua-duanya melaksanakan fungsi berguna dan berakhir dengan arahan RET (kembali). Apabila CPU mencecah arahan itu, ia mengembalikan kawalan ke proses panggilan, dalam hal ini ROP malware, yang melancarkan blok kod yang berikutnya, mungkin dari program yang berbeda. Senarai besar alamat alat hanya data, jadi mengesan malware berasaskan ROP adalah sukar.
Malware Frankenstein
Pada persidangan Usenix WOOT tahun lalu, sepasang penyelidik dari University of Texas di Dallas mempersembahkan idea serupa dengan Pemrograman Berorientasikan Kembali. Dalam sebuah kertas bertajuk, "Frankenstein: Jahitan Perosak dari Benign Binaries, " mereka menggambarkan teknik untuk mencipta malware yang sulit untuk mengesan dengan memecah sekumpulan kod dari program yang diketahui dan dipercayai.
"Dengan menyusun binari baru sepenuhnya daripada urutan byte yang biasa kepada binary-classi? Ed binaries, " makalah itu menerangkan, "mutan yang dihasilkan lebih cenderung untuk memadankan tandatangan yang merangkumi ciri-ciri biner dan hitam senarai putih." Teknik ini jauh lebih fleksibel daripada ROP, kerana ia boleh memasukkan sebahagian besar kod, bukan sekadar sebahagian yang berakhir dengan arahan RET yang penting.
Bagaimana untuk Melihat Ghaib
Perkara yang baik ialah, anda boleh mendapatkan bantuan untuk mengesan program jahat yang licik ini. Sebagai contoh, program antivirus boleh mengesan rootkit dalam beberapa cara. Kaedah yang perlahan tetapi mudah melibatkan audit semua fail pada cakera seperti yang dilaporkan oleh Windows, mengambil audit lain dengan menanyakan sistem fail secara langsung, dan mencari kekurangan. Dan sejak rootkit secara khusus menuntun Windows, antivirus yang buta ke OS bukan Windows tidak akan tertipu.
Satu-satunya ingatan memori, tidak ada fail akan menyerah kepada perlindungan antivirus yang menjejaki proses aktif, atau menghalang vektor serangannya. Perisian keselamatan anda mungkin menyekat akses ke laman web yang dijangkiti yang mengancam, atau menghalang teknik suntikannya.
Teknik Frankenstein mungkin menipu antivirus berasaskan tandatangan, tetapi alat keselamatan moden melampaui tandatangan. Sekiranya malware patchwork sebenarnya melakukan sesuatu yang berniat jahat, pengimbas berasaskan perilaku mungkin akan menemuinya. Dan kerana ia tidak pernah dilihat di mana-mana sebelum ini, satu sistem seperti Symantec's Norton File Insight yang mengambil prevalence into account akan menandakan ia sebagai anomali berbahaya.
Bagi mengurangkan serangan Pemrograman Berorientasikan Kembali, baiklah, itu yang sukar, tetapi banyak kuasa otak telah dikhaskan untuk menyelesaikannya. Kuasa ekonomi juga-Microsoft memberikan satu perempat daripada sejuta dolar kepada penyelidik terkemuka yang bekerja pada masalah ini. Juga, kerana mereka sangat bergantung pada kehadiran program sah yang tertentu, serangan ROP lebih cenderung digunakan terhadap sasaran tertentu, bukan dalam kempen malware yang meluas. Komputer rumah anda mungkin selamat; PC pejabat anda, tidak begitu banyak.
