Відео: Мультики про машинки новые серии 2017 - Кто сильнее! Лучшие мультфильмы для детей /#мультик игра (Листопад 2024)
Деякі напади зловмисних програм настільки кричущі, що ви не можете пропустити той факт, що ви стали жертвою. Програми Ransomware блокують весь доступ до комп'ютера, поки ви не заплатите за його розблокування. Викрадачі соціальних медіа публікують химерні оновлення статусу на ваших сторінках соціальних медіа, заражаючи всіх, хто натискає на отруєні посилання. Рекламні програми засмічують ваш робочий стіл спливаючими оголошеннями навіть тоді, коли браузер не відкритий. Так, все це дуже дратує, але оскільки ви знаєте, що існує проблема, ви можете працювати над пошуком антивірусного рішення.
Зовсім невидима зараза шкідливим програмним забезпеченням може бути набагато небезпечнішою. Якщо ваш антивірус не "бачить" це, і ви не помічаєте жодних недоброзичливих дій, зловмисне програмне забезпечення може безкоштовно відстежувати вашу діяльність в Інтернеті або використовувати свої обчислювальні можливості для недобрих цілей. Як вони залишаються невидимими? Ось чотири способи, як зловмисне програмне забезпечення може сховатися від вас, а також кілька ідей щодо бачення невидимого.
Підрив операційної системи
Ми сприймаємо як належне, що Провідник Windows може перелічити всі наші фотографії, документи та інші файли, але багато чого відбувається за кадром, щоб це відбулося. Драйвер програмного забезпечення спілкується з фізичним жорстким диском, щоб отримати біти та байти, а файлова система інтерпретує ці біти та байти у файли та папки для операційної системи. Коли програмі необхідно отримати список файлів або папок, вона запитує операційну систему. По правді кажучи, будь-яка програма може вільно запитувати файлову систему або навіть спілкуватися безпосередньо з обладнанням, але набагато простіше просто зателефонувати в ОС.
Технологія Rootkit дозволяє шкідливій програмі ефективно стерти себе з виду, перехопивши ці виклики в операційну систему. Коли програма запитує список файлів у певному місці, rootkit передає цей запит у Windows, а потім видаляє всі посилання на власні файли перед поверненням списку. Антивірус, який строго покладається на Windows для отримання інформації про наявні файли, ніколи не побачить руткіт. Деякі руткіти застосовують подібну хитрість, щоб приховати свої налаштування реєстру.
Немає файлів зловмисного програмного забезпечення
Типовий антивірус сканує всі файли на диску, перевіряючи, чи не є шкідливим, а також сканує кожен файл перед тим, як дозволити його виконувати. Але що робити, якщо файлу немає? Десять років тому занепокоєний черв'як завдав хаосу в мережах по всьому світу. Він розповсюджувався безпосередньо в пам'яті, використовуючи атаку перевиконання буфера для виконання довільного коду, і ніколи не записував файл на диск.
Зовсім недавно дослідники Касперського повідомили про відсутність файлу Java-інфекції, що атакує відвідувачів російських новинних сайтів. Поширений через рекламні банери, експлуатований код вводив код безпосередньо у важливий процес Java. Якщо йому вдалося вимкнути контроль облікових записів користувачів, він звернеться до свого сервера команд та управління, щоб отримати інструкції, що робити далі. Подумайте про це як про співробітника в банківській крадіжці, який повзає через вентиляційні канали та вимикає систему безпеки для решти екіпажу. За словами Касперського, однією загальною дією на даний момент є встановлення трояна Lurk.
Зловмисне програмне забезпечення, яке суто в пам'яті, можна очистити, просто перезавантаживши комп'ютер. Частково, саме так їм вдалося зняти Слэммера назад. Але якщо ви не знаєте, що є проблема, ви не будете знати, що вам потрібно перезавантажити.
Повернення орієнтоване програмування
Усі троє фіналістів конкурсу досліджень безпеки BlueHat Prize від Microsoft брали участь у програмах, орієнтованих на повернення, або ROP. Атака, яка використовує ROP, підступна, оскільки не встановлює виконуваний код, не як такий. Швидше за все, він знаходить інструкції, які хоче в інших програмах, навіть частинах операційної системи.
Зокрема, атака ROP шукає блоки коду (які називаються експертами "гаджети"), які виконують якусь корисну функцію і закінчуються інструкцією RET (return). Коли ЦП потрапляє на цю інструкцію, він повертає контроль процесу виклику, в цьому випадку шкідливе програмне забезпечення ROP, яке запускає наступний прокручений блок коду, можливо, з іншої програми. Цей великий список адрес гаджетів - це лише дані, тому виявлення шкідливих програм на основі ROP важко.
Зловмисне програмне забезпечення Франкенштейна
На минулорічній конференції Usenix WOOT (семінар з наступальних технологій) пара дослідників з Техаського університету в Далласі представила ідею, схожу на програмування, орієнтоване на повернення. У статті під назвою "Frankenstein: Stitching malware from Benign Binaries" вони описали методику створення важко виявленого зловмисного програмного забезпечення, зібравши разом шматки коду з відомих та надійних програм.
"Складаючи нову бінарну повністю з байтових послідовностей, загальних для доброякісних класифікованих бінарних файлів", пояснює документ, "результуючі мутанти мають меншу ймовірність відповідності підписів, що включають як білий список, так і чорний список бінарних ознак". Цей прийом набагато гнучкіший, ніж ROP, оскільки він може включати будь-який фрагмент коду, а не лише фрагмент, який закінчується важливою інструкцією RET.
Як бачити невидиме
Хороша річ, що ви можете отримати допомогу щодо виявлення цих підступних шкідливих програм. Наприклад, антивірусні програми можуть виявляти руткіти кількома способами. Один повільний, але простий метод передбачає проведення аудиту всіх файлів на диску, як повідомляється Windows, проведення іншого аудиту шляхом безпосереднього запиту у файловій системі та пошуку розбіжностей. А оскільки руткіти спеціально підривають Windows, антивірус, який завантажується в ОС, що не є ОС Windows, не обдурить.
Загроза без файлів, що зберігається лише в пам'яті, піддасться антивірусному захисту, який відслідковує активні процеси, або блокує його вектор атаки. Ваше програмне забезпечення може заблокувати доступ до зараженого веб-сайту, що подає цю загрозу, або заблокувати техніку ін'єкцій.
Метод Франкенштейна цілком може обдурити жорсткий антивірус на основі підписів, але сучасні засоби безпеки виходять за рамки підписів. Якщо печворк зловмисне програмне забезпечення насправді робить щось шкідливе, сканер на основі поведінки знайде це. А оскільки його ніколи раніше не бачили, така система, як Norton File Insight Symantec, яка враховує розповсюдженість, позначатиме це як небезпечну аномалію.
Що стосується пом’якшення атак на програмування, орієнтованих на повернення, то це дуже важко, але для вирішення цього питання було приділено багато мозкових сил. Також економічна потужність - Microsoft присудила чверть мільйона доларів провідним дослідникам, які працюють над цією проблемою. Крім того, оскільки вони настільки сильно покладаються на наявність конкретних дійсних програм, ROP-атаки, швидше за все, будуть застосовуватися проти конкретних цілей, а не у широкомасштабній кампанії зловмисного програмного забезпечення. Ваш домашній комп'ютер, ймовірно, безпечний; ваш офісний ПК, не так вже й багато.