Anonim
[SÄKERHETSERIE] De smygaste typerna av skadlig programvara

Vissa skadliga attacker är så uppenbara att du inte kan missa det faktum att du har blivit offer. Ransomware-program låser ut all åtkomst till din dator tills du betalar för att låsa upp den. Kapare för sociala medier publicerar bisarr statusuppdateringar på dina sociala mediesidor och smittar alla som klickar på deras förgiftade länkar. Adware-program kasta ditt skrivbord med popup-annonser även om ingen webbläsare är öppen. Ja, de är alla ganska irriterande, men eftersom du vet att det finns ett problem kan du arbeta med att hitta en antiviruslösning.

En helt osynlig infektion av skadlig programvara kan vara mycket farligare. Om ditt antivirus inte "ser" det och du inte märker något otillbörligt beteende är skadlig programvara fritt att spåra dina onlinebankaktiviteter eller använda din datorkraft för obehagliga syften. Hur förblir de osynliga? Här är fyra sätt malware kan dölja från dig, följt av några idéer för att se det osynliga.

  • Operativsystem Subversion
    Vi tar det för givet att Windows Utforskaren kan lista alla våra foton, dokument och andra filer, men mycket händer bakom kulisserna för att få det att hända. En programvarudrivrutin kommunicerar med den fysiska hårddisken för att få bitar och byte, och filsystemet tolkar dessa bitar och byte till filer och mappar för operativsystemet. När ett program behöver få en lista med filer eller mappar, frågar det operativsystemet. I själva verket skulle alla program vara fria att fråga filsystemet direkt, eller till och med kommunicera direkt med hårdvaran, men det är väldigt lättare att bara anropa operativsystemet.

    Rootkit-tekniken låter ett skadligt program effektivt radera sig från synen genom att fånga upp dessa samtal till operativsystemet. När ett program ber om en lista med filer på en viss plats, skickar rootkit denna begäran till Windows och raderar all referens till sina egna filer innan listan returneras. Ett antivirusprogram som helt och hållet förlitar sig på Windows för information om vilka filer som finns finns aldrig rootkit. Vissa rootkits använder liknande trick för att dölja sina registerinställningar.

  • Malware utan fil
    Ett typiskt antivirusprogram skannar alla filer på disken och kontrollerar att ingen är skadlig och skannar också varje fil innan den tillåts att köra. Men vad händer om det inte finns någon fil? För tio år sedan utbröt slammormen förödelse i nätverk över hela världen. Det förökades direkt i minnet, med en buffertöverskridningsattack för att köra godtycklig kod och skrev aldrig en fil till disken.

    På senare tid rapporterade Kaspersky-forskare om en Java-infektion utan fil som attackerar besökare på ryska nyhetssidor. Utökat genom bannerannonser injicerade exploaten kod direkt i en viktig Java-process. Om det lyckades stänga av användarkontokontroll kontaktar det kommandot och kontrollservern för instruktioner om vad man ska göra nästa. Tänk på det som kollegan i en bankhist som kryper in genom ventilationskanalerna och stänger av säkerhetssystemet för resten av besättningen. Enligt Kaspersky är en vanlig åtgärd vid denna tidpunkt att installera Lurk Trojan.

    Malware som strikt i minnet kan rensas helt enkelt genom att starta om datorn. Det delvis är hur de lyckades ta ner Slammer tillbaka på dagen. Men om du inte vet att det finns ett problem vet du inte att du behöver starta om.

  • Returorienterad programmering
    Alla tre finalisterna i Microsofts BlueHat-pris säkerhetsforskningstävling handlade om Return Oriented Programming, eller ROP. En attack som använder ROP är lurande eftersom den inte installerar körbar kod, inte som sådan. Snarare hittar den instruktionerna den vill ha i andra program, även delar av operativsystemet.

    Specifikt letar en ROP-attack efter blockkoder (kallade "prylar" av experterna) som båda utför någon användbar funktion och slutar med en RET (return) -instruktion. När CPU: n träffar den instruktionen returnerar den kontrollen till samtalsprocessen, i detta fall ROP-skadlig programvara, som startar nästa skrotade kodblock, kanske från ett annat program. Den stora listan med gadgetadresser är bara data, så det är svårt att upptäcka ROP-baserad skadlig kod.

  • Frankensteins skadliga program
    Vid förra årets Usenix WOOT-konferens (Workshop on Offensive Technologies) presenterade ett par forskare från University of Texas i Dallas en idé som liknar Return Oriented Programming. I ett papper med titeln "Frankenstein: Stitching Malware from Benign Binaries" beskrev de en teknik för att skapa svårt att upptäcka skadlig programvara genom att sätta ihop bitar med kod från kända och pålitliga program.

    "Genom att komponera den nya binären helt och hållet av bytesekvenser som är vanliga för godartade klassade binära binärer", förklarar tidningen, "är de resulterande mutanterna mindre troliga att matcha signaturer som inkluderar både vitlistning och svartlistning av binära funktioner." Den här tekniken är mycket mer flexibel än ROP, eftersom den kan innehålla vilken kod som helst, inte bara en bit som slutar med den helt viktiga RET-instruktionen.

Hur man ser det osynliga
Det bästa är att du kan få hjälp med att upptäcka dessa lurviga skadliga program. Antivirusprogram kan till exempel upptäcka rootkits på flera sätt. En långsam men enkel metod innebär att man granskar alla filer på disken som rapporterats av Windows, gör en ny granskning genom att fråga filsystemet direkt och leta efter avvikelser. Och eftersom rootkits specifikt subverterar Windows, luras inte ett antivirusprogram som startar upp i ett icke-Windows-operativsystem.

Ett enda minne, utan fil-hot kommer att ge efter för antivirusskydd som håller reda på aktiva processer eller blockerar dess attackvektor. Din säkerhetsprogramvara kan blockera åtkomsten till den infekterade webbplatsen som serverar detta hot eller blockera dess injektionsteknik.

Frankenstein-tekniken kan mycket väl lura ett strikt signaturbaserat antivirus, men moderna säkerhetsverktyg går utöver underskrifter. Om patchwork-skadlig programvara faktiskt gör något skadligt, kommer en beteendebaserad skanner förmodligen att hitta det. Och eftersom det aldrig har sett någonstans tidigare, kommer ett system som Symantecs Norton File Insight som tar hänsyn till utbredning att markera det som en farlig avvikelse.

När det gäller att mildra returorienterade programmeringsattacker, det är tufft, men mycket hjärnkraft har ägnats åt att lösa det. Också ekonomisk kraft - Microsoft tilldelade en fjärdedel av en miljon dollar till toppforskare som arbetar med detta problem. Eftersom de förlitar sig så starkt på förekomsten av särskilda giltiga program är det mer troligt att ROP-attacker används mot specifika mål, inte i en utbredd kampanj för skadlig programvara. Din hemdator är förmodligen säker; din kontor PC, inte så mycket.