10 twarzy zagro偶e艅 malware

Michael Kassner

Z艂o偶ono艣膰 dzisiejszych 艣rodowisk IT u艂atwia rozkwit oprogramowania typu malware. Znajomo艣膰 zagro偶e艅 sieciowych to pierwszy krok do unikni臋cia problem贸w.

Z uwagi na r贸偶ne okre艣lenia, definicje i terminologi臋, pr贸ba okre艣lenia co jest co, je艣li chodzi o malware, mo偶e by膰 trudna. Na pocz膮tek spr贸bujmy zdefiniowa膰 kilka kluczowych termin贸w, kt贸rych b臋dziemy u偶ywa膰 w tym artykule:

  • Malware: to z艂o艣liwe oprogramowanie (malicious software), kt贸re jest stworzone specjalnie do infiltracji lub uszkadzania system贸w komputerowych bez wiedzy i zezwolenia ich w艂a艣cicieli.
  • Malcode: to z艂o艣liwy kod programistyczny (malicious programming code), kt贸ry jest wprowadzany podczas fazy tworzenia programu i jest najcz臋艣ciej umieszczany w 艂adunku malware.
  • Anty-malware: obejmuje programy, kt贸re walcz膮 z malware niezale偶nie od tego czy stanowi膮 ochron臋 w czasie rzeczywistym, wykrywaj膮 czy usuwaj膮 istniej膮ce programy malware. Programy antywirusowe, anty-spyware i skanery malware s膮 przyk艂adami program贸w anty-malware.

Jedn膮 z rzeczy, kt贸re trzeba zapami臋ta膰 na temat malware jest to, 偶e tak jak u jego biologicznego odpowiednika, celem numer jeden jest reprodukcja. Uszkadzanie system贸w komputerowych, niszczenie danych i kradzie偶 poufnych informacji to cele drugorz臋dne.

Maj膮c na uwadze powy偶sze definicje, rzu膰my okiem na 10 r贸偶nych rodzaj贸w malware.

1: Okryty z艂膮 s艂aw膮 wirus komputerowy

Wirus komputerowy to program typu malware, kt贸ry infekuje komputer i mo偶e si臋 rozprzestrzenia膰 jedynie z zainfekowanego komputera do niezainfekowanego komputera poprzez do艂膮czanie si臋 do pewnych form kodu wykonywalnego, kt贸ry jest przesy艂any pomi臋dzy nimi. Na przyk艂ad, wirus mo偶e by膰 ukryty w pliku PDF za艂膮czonym do wiadomo艣ci e-mail. Wi臋kszo艣膰 wirus贸w sk艂ada si臋 z trzech nast臋puj膮cych cz臋艣ci:

  • Replikator: Je艣li program go艣cia jest uruchomiony, uruchomiony jest tak偶e wirus i jego priorytetem jest rozmna偶anie si臋.
  • Modu艂 maskuj膮cy: Wirus komputerowy mo偶e stosowa膰 jedn膮 lub kilka metod ukrywania si臋 przed programami anty-malware
  • 艁adunek: 艁adunek malcode wirusa mo偶e mie膰 jakiekolwiek zadanie, od wy艂膮czania funkcji komputera, po niszczenie danych.

Przyk艂adowe wirusy komputerowe b臋d膮ce aktualnie na wolno艣ci to W32.Sens.A, W32.Sality.AM, and W32.Dizan.F. Wi臋kszo艣膰 program贸w antywirusowych usunie wirusy komputerowe je艣li posiadaj膮 w swojej bazie sygnatur臋 wirusa.

2: Ci膮gle popularny robak komputerowy

Robaki komputerowe s膮 bardziej wyrafinowane od wirus贸w. Potrafi膮 si臋 replikowa膰 bez ingerencji u偶ytkownika. Je艣li malware u偶ywa sieci (Internetu) do rozprzestrzeniania si臋, to jest to raczej robak a nie wirus. G艂贸wne elementy robaka komputerowego to:

  • Narz臋dzie penetracji: Malcode, kt贸ry wykorzystuje s艂ab膮 stron臋 komputera ofiary aby uzyska膰 do niego dost臋p.
  • Instalator: Narz臋dzie penetracji pozwala robakowi na przej艣cie przez mechanizm obronny komputera. W tym momencie instalator przejmuje kontrol臋 i przesy艂a do ofiary g艂贸wn膮 cz臋艣膰 malcode.
  • Narz臋dzie wykrywaj膮ce: Gdy robak si臋 ju偶 zasiedli, u偶ywa kilku r贸偶nych metod wykrywania innych komputer贸w w sieci, w艂膮czaj膮c w to adresy e-mail, listy host贸w i zapytania DNS.
  • Skaner: Robak wykorzystuje skaner do okre艣lenia czy kt贸rykolwiek z nowo odkrytych cel贸w jest podatny na metody stosowane przez narz臋dzie penetracji.
  • 艁adunek: Malcode, kt贸ry rezyduje na ka偶dym komputerze-ofierze. Mo偶e by膰 czymkolwiek, od aplikacji zdalnego dost臋pu po keylogger maj膮cy za zadanie przechwycenie nazw u偶ytkownik贸w i hase艂.

Ten typ malware jest niestety najbardziej efektywny, zaczynaj膮c od robaka Morris'a z 1988 i kontynuuj膮c po dzi艣 dzie艅 z robakiem Conficker. Wi臋kszo艣膰 robak贸w komputerowych mo偶e byc usuni臋ta przez skanery malware takie, jak np. MBAM lub GMER.

3: Nieznane backdoor'y

Backdoor'y s膮 podobne do program贸w dost臋pu zdalnego, kt贸rych cz臋sto u偶ywa wielu z nas. S膮 uznawane za malware gdy s膮 zainstalowane bez pozwolenia u偶ytkownika, czego w艂a艣nie chce napastnik u偶ywaj膮c nast臋puj膮cych metod instalacji:

  • Jedn膮 z metod instalacji jest wykorzystanie s艂abo艣ci komputera-celu.
  • Inne podej艣cie to podst臋pne zainstalowanie backdoor'a z wykorzystaniem technik in偶ynierii spo艂ecznej.

Gdy backdoor zostanie zainstalowany, daje on napastnikowi pe艂en dost臋p zdalny do atakowanego komputera. SubSeven, NetBus, Deep Throat, Back Orifice, i Bionet to backdoor'y kt贸re zyska艂y s艂aw臋. Skanery malware takie, jak MBAM i GMER, zwykle skutecznie usuwaj膮 backdoor'y.

4: Tajemnicze konie troja艅skie

Ci臋偶ko znale藕膰 lepsz膮 definicj臋 oprogramowania malware typu ko艅 troja艅ski ni偶 ta, kt贸r膮 Ed Skoudis i Lenny Zelter umie艣cili w swojej ksi膮偶ce Malware: Fighting Malicious Code:

"Ko艅 troja艅ski to program, kt贸ry wydaje si臋 mie膰 przydatne funkcje ale w rzeczywisto艣ci ukrywa jak膮艣 z艂o艣liw膮 funkcjonalno艣膰."

Ko艅 troja艅ski maskuje destrukcyjny 艂adunek podczas instalacji i uruchamiania programu tak, 偶e oprogramowanie anty-malware nie jest w stanie rozpozna膰 malcode. Niekt贸re z technik maskowania to:

  • Zmiana nazwy malware na nazw臋 pliku przypominaj膮c膮 nazw臋 zwykle obecn膮 w systemie.
  • Uszkodzenie zainstalowanego oprogramowania anty-malware, aby nie reagowa艂o na wykrycie malware.
  • Kod polimorficzny jest u偶ywany w celu modyfikacji sygnatury malware zanim system obronny pobierze nowe bazy sygnatur.

Vundo to doskona艂y przyk艂ad; tworzy on reklamy pop-up program贸w rogue anty-spyware, obni偶a wydajno艣膰 systemu i zak艂贸ca przegl膮danie internetu. Zwykle, aby wykry膰 i usun膮膰 Vundo, wymagany jest skaner malware zainstalowany na LiveCD.

5: Adware/Spyware, wi臋cej ni偶 irytacja

Adware to oprogramowanie, kt贸re tworzy reklamy pop-up bez zgody u偶ytkownika. Zwykle adware jest instalowane jako cz臋艣膰 darmowego oprogramowania. Poza tym, 偶e adware jest bardzo irytuj膮ce, mo偶e te偶 znacz膮co obni偶y膰 wydajno艣膰 systemu.

Spyware to oprogramowanie, kt贸re zbiera informacje z komputera bez wiedzy u偶ytkownika. Darmowe oprogramowanie notorycznie zawiera w sobie spyware tak wi臋c czytanie umowy licencyjnej podczas instalacji jest bardzo istotne. Znanym przyk艂adem spyware jest skandal zwi膮zany z zabezpieczeniem przed kopiowaniem CD Sony BMG.

Najlepsze programy anty-spyware bez problemu znajd膮 niechciane aplikacje adware/spyware i usun膮 je z komputera. Dobrym 艣rodkiem zapobiegawczym jest regularne usuwanie plik贸w tymczasowych, ciasteczek i historii przegl膮dania internetu.

Potrawka z malware

Do tej pory, wszystkie om贸wione rodzaje malware mia艂y wyra藕n膮 charakterystyk臋, przez co 艂atwo mo偶na by艂o okre艣li膰 ka偶dy typ. Niestety nie mo偶na tak powiedzie膰 o kolejnych odmianach. Tw贸rcy malware wpadli na pomys艂 jak po艂膮czy膰 najlepsze funkcje r贸偶nych rodzaj贸w malware w celu poprawy ich skuteczno艣ci.

Przyk艂adem tego s膮 rootkit'y, 艂膮cz膮ce w sobie konia troja艅skiego i backdoor'a. Dzi臋ki tej kombinacji, atakuj膮cy mo偶e zdalnie uzyska膰 dost臋p do komputera bez wzbudzania jakichkolwiek podejrze艅. Rootkit'y s膮 jednymi z wa偶niejszych zagro偶e艅 wi臋c przyjrzyjmy im si臋 z bliska:

Rootkit'y

Rootkit'y s膮 klas膮 sam膮 dla siebie. Wybra艂y modyfikacj臋 istniej膮cego systemu operacyjnego zamiast instalowania oprogramowania na poziomie aplikacji jak wi臋kszo艣膰 malware. Jest to istotne poniewa偶 sprawia, 偶e wykrycie ich przez oprogramowanie anty-malware jest znacznie trudniejsze.

Istnieje kilka r贸偶nych rodzaj贸w rootkit'贸w ale tylko trzy z nich stanowi膮 wi臋kszo艣膰 obecnych w sieci. S膮 to rootkit'y trybu u偶ytkownika (user-mode), trybu j膮dra systemu (kernel-mode) i firmware'owe. Rootkit'y trybu u偶ytkownika i trybu j膮dra systemu mog膮 wymaga膰 obja艣nienia:

  • Tryb u偶ytkownika: Kod ma ograniczony dost臋p zasob贸w oprogramowania i sprz臋tu komputera. Wi臋kszo艣膰 kodu dzia艂aj膮cego na komputerze b臋dzie wykonywana w trybie u偶ytkownika. W zwi膮zku z ograniczeniami dost臋pu, awarie w trybie u偶ytkownika s膮 do naprawienia.
  • Tryb j膮dra systemu: Kod ma nieograniczony dost臋p do wszystkich zasob贸w oprogramowania i sprz臋tu komputera. Tryb j膮dra jest zarezerwowany dla najbardziej zaufanych funkcji systemu operacyjnego. Awarie w trybie j膮dra systemu s膮 nie do naprawienia.

6: Rootkit'y trybu u偶ytkownika

Jest teraz jasne, 偶e rootkit'y trybu u偶ytkownika dzia艂aj膮ce na komputerze maj膮 te same przywileje, kt贸re s膮 zarezerwowane dla administrator贸w systemu. Oznacza to, 偶e:

  • Rootkit'y trybu u偶ytkownika mog膮 modyfikowa膰 procesy, pliki, sterowniki systemowe, porty sieciowe a nawet us艂ugi systemowe.
  • Rootkit'y trybu u偶ytkownika s膮 instalowane poprzez skopiowanie okre艣lonych plik贸w na dysk twardy komputera i s膮 uruchamiane automatycznie podczas ka偶dego startu systemu.

Przyk艂adem rootkit'a trybu u偶ytkownika jest Hacker Defender. Dobrze znany program Rootkit Revealer Marka Russinovich'a jest w stanie wykry膰 go, jak i wi臋kszo艣膰 innych rootkit'贸w trybu u偶ytkownika.

7: Rootkit'y trybu j膮dra systemu

Z uwagi na to, 偶e rootkit'y dzia艂aj膮ce w trybie u偶ytkownika mo偶na wykry膰 i usun膮膰, tw贸rcy rootkit'贸w zmienili my艣lenie i opracowali rootkit'y trybu j膮dra systemu:

  • Tryb j膮dra systemu oznacza, 偶e rootkit jest zainstalowany na tym samym poziomie co system operacyjny i oprogramowanie wykrywaj膮ce rootkit'y.
  • Pozwala to na manipulacj臋 systemem operacyjnym do tego stopnia, 偶e nie mo偶na ufa膰 systemowi operacyjnemu.

Niestabilno艣膰 to jedyna z wad rootkit'贸w j膮dra systemu, prowadz膮ca zwykle do niewyja艣nionych awarii i blue screen'贸w. Na tym etapie dobrym pomys艂em jest wypr贸bowanie GMER'a. To jeden w kilku zaufanych narz臋dzi do usuwania rootkit'贸w, kt贸ry ma szanse przeciw rootkit'om j膮dra systemu takim, jak np. Rustock

8: Rootkit'y firmware'owe

Rootkit'y firmware'owe s膮 bardziej wyrafinowane, poniewa偶 ich tw贸rcy wpadli na pomys艂 aby umie艣ci膰 malcode w firmware. Zmodyfikowany firmware mo偶e by膰 czymkolwiek, od kodu mikroprocesora po firmware karty PCI. Oznacza to, 偶e:

  • Kiedy komputer jest wy艂膮czany, rootkit zapisuje aktualny malcode w okre艣lonym firmware.
  • Po ponownym uruchomieniu komputera sam si臋 reinstaluje.

Nawet je艣li narz臋dzie usuwaj膮ce rootkit'y wykryje i usunie rootkit'a firmware'owego, przy nast臋pnym starcie komputera rootkit pojawia si臋 ponownie.

9: Z艂o艣liwy kod mobilny

W czasach wzgl臋dnej anonimowo艣ci, z艂o艣liwy kod mobilny szybko staje si臋 najskuteczniejszym sposobem na zainstalowanie malware na komputerze. Po pierwsze, zdefiniujmy kod mobilny jako oprogramowanie, kt贸re:

  • Mo偶e by膰 艣ci膮gni臋te ze zdalnych serwer贸w.
  • Mo偶e by膰 przes艂ane przez sie膰.
  • Mo偶e by膰 pobrane i uruchomione w lokalnym systemie.

Przyk艂ady kodu mobilnego obejmuj膮 JavaScript, VBScript, kontrolki ActiveX i animacje Flash. G艂贸wn膮 ide膮 kodu mobilnego jest aktywna zawarto艣膰 przez co jest 艂atwy do rozpoznania. To dynamiczna tre艣膰 strony internetowej, kt贸ra sprawia, 偶e surfowanie po internecie mo偶e by膰 interaktywnym prze偶yciem.

Co sprawia, 偶e kod mobilny jest z艂o艣liwy? Instalowanie go bez zgody u偶ytkownika lub wprowadzenie u偶ytkownika w b艂膮d w kwestii funkcji tego oprogramowania. Na domiar z艂ego, zazwyczaj jest to pierwsza faza z艂o偶onego ataku, podobna w dzia艂aniu do narz臋dzia penetracji u偶ywanego przez konie troja艅skie. Atakuj膮cy mo偶e nast臋pnie zainstalowa膰 dodatkowe oprogramowanie malware.

Najlepszym sposobem walki ze z艂o艣liwym kodem mobilnym jest uaktualnianie na bie偶膮co systemu operacyjnego i oprogramowania.

10: Mieszane zagro偶enia

Malware jest postrzegane jako mieszane zagro偶enie je艣li d膮偶y do maksymalizacji szk贸d i efektywnego rozmna偶ania poprzez 艂膮czenie funkcjonalno艣ci kilku typ贸w malware. O mieszanych zagro偶eniach nale偶y wspomnie膰 poniewa偶 eksperci od bezpiecze艅stwa niech臋tnie przyznaj膮, 偶e s膮 one najlepsze w tym co robi膮. Mieszane zagro偶enia posiadaj膮 zwykle nast臋puj膮ce mo偶liwo艣ci:

  • Wykorzystuj膮 znane s艂abe punkty a nawet potrafi膮 tworzy膰 s艂abe punkty.
  • Wykorzystuj膮 alternatywne metody replikacji.
  • Automatyzuj膮 wykonywanie kodu co eliminuje interakcj臋 u偶ytkownika.

Malware jako mieszane zagro偶enie mo偶e, na przyk艂ad, wys艂a膰 wiadomo艣膰 e-mail z osadzonym koniem troja艅skim wraz z za艂膮czonym plikiem PDF zawieraj膮cym r贸偶ne rodzaje koni troja艅skich. Niekt贸re z lepiej znanych mieszanych zagro偶e艅 to Nimda, CodeRed i Bugbear. Usuni臋cie z komputera mieszanego zagro偶enia mo偶e wymaga膰 kilku r贸偶nych rodzaj贸w anty-malware a tak偶e u偶ycia skaner贸w malware zamieszczonych na LiveCD.

Wnioski

Malware: czy jest mo偶liwe ograniczenie szk贸d jakie wyrz膮dza? Poni偶ej kilka wniosk贸w na ten temat:

  • Malware nie zaniknie w najbli偶szym czasie, zw艂aszcza je偶eli jest mo偶liwo艣膰 zarobienia na tym niema艂ych pieni臋dzy.
  • Poniewa偶 wszystkie aplikacje anty-malware dzia艂aj膮 w reakcji na zagro偶enie, s膮 skazane na pora偶k臋.
  • Tw贸rcy system贸w operacyjnych i aplikacji musz膮 okaza膰 zero tolerancji dla s艂abych punkt贸w ich oprogramowania.
  • Ka偶dy u偶ytkownik komputera musi nauczy膰 si臋 jak reagowa膰 na ci膮gle zmieniaj膮ce si臋 艣rodowisko malware.
  • Bardzo wa偶ne jest to, aby na bie偶膮co dba膰 o aktualizacje systemu operacyjnego i aplikacji.

殴r贸d艂o:
TechRepublic