Všetok malvér je škodlivý, no zatiaľ čo niektoré škodlivé programy je ľahké odhaliť, iné sa dokážu vyhnúť aj pokročilým formám ochrany.
V našom hyper prepojenom svete je malvér často preferovanou zbraňou kyberzločincov.
Tento škodlivý softvér má viacero podôb, z ktorých každá nesie svoju vlastnú úroveň bezpečnostnej hrozby. Hackeri využívajú tieto deštruktívne nástroje na zachytenie zariadení, narušenie údajov, spôsobenie finančnej katastrofy a dokonca aj na úplné zabitie celých spoločností.
Malvér je nepríjemný softvér, ktorý musíte čo najskôr odstrániť, ale niektoré malvér sa skrýva lepšie ako iné. Prečo je to tak, má veľa spoločného s typom programu, ktorý sa snažíte nájsť.
1. Rootkity
Rootkity sú škodlivé programy vytvorené tak, aby prenikli do cieľového systému a tajne sa zmocnili neoprávnenej kontroly, a to všetko pri vyhýbaní sa detekcii.
Potajomky sa plazia do najvnútornejších vrstiev operačného systému, ako je jadro alebo zavádzací sektor. Môžu upravovať alebo zachytávať systémové volania, súbory, procesy, ovládače a ďalšie komponenty, aby sa vyhli detekcii a odstráneniu antivírusovým softvérom. Môžu sa tiež vkradnúť cez skryté dvere, ukradnúť vaše údaje alebo dať viac zo seba do vášho počítača.
Neslávne známy červ Stuxnet, jeden z najznámejšie malvérové útoky všetkých čias, je nápadným príkladom tajných schopností rootkitu. Iránsky jadrový program čelil koncom 21. storočia vážnemu narušeniu v dôsledku tohto zložitého malvéru, ktorý konkrétne napadol jeho zariadenia na obohacovanie uránu. Rootkitový komponent Stuxnet bol nápomocný pri jeho skrytých operáciách, čo umožnilo červovi preniknúť do priemyselných riadiacich systémov bez vyvolania akéhokoľvek poplachu.
Detekcia rootkitov predstavuje jedinečné výzvy kvôli ich nepolapiteľnej povahe. Ako už bolo spomenuté, niektoré rootkity môžu deaktivovať alebo manipulovať s vaším antivírusovým softvérom, čím sa stáva neúčinným alebo ho dokonca obracajú proti vám. Niektoré rootkity môžu prežiť reštart systému alebo formátovanie pevného disku infikovaním zavádzacieho sektora alebo systému BIOS.
Vždy si nainštalujte najnovšie aktualizácie zabezpečenia pre svoj systém a softvér, aby bol váš systém v bezpečí pred rootkitmi, ktoré využívajú známe zraniteľnosti. Okrem toho sa vyhnite otváraniu podozrivých príloh alebo odkazov z neznámych zdrojov a na zabezpečenie sieťového pripojenia použite bránu firewall a sieť VPN.
2. Polymorfizmus
Polymorfný malvér je typ škodlivého softvéru ktorá môže zmeniť štruktúru kódu tak, aby vyzerala s každou verziou inak, a to všetko pri zachovaní škodlivého účelu.
Úpravou svojho kódu alebo použitím šifrovania sa polymorfný malvér pokúša vyhnúť bezpečnostným opatreniam a zostať skrytý tak dlho, ako len môže.
Polymorfný malvér je pre bezpečnostných profesionálov náročný, pretože neustále mení svoj kód a vytvára nespočetné množstvo jedinečných verzií. Každá verzia má inú štruktúru, čo sťažuje tradičným metódam detekcie držať krok. To mätie antivírusový softvér, ktorý potrebuje pravidelné aktualizácie na presnú identifikáciu nových foriem malvéru.
Polymorfný malvér je tiež vytvorený pomocou zložitých algoritmov, ktoré generujú nové variácie kódu. Tieto algoritmy vyžadujú značné výpočtové zdroje a výpočtový výkon na analýzu a detekciu vzorov. Táto zložitosť pridáva ďalšiu vrstvu ťažkostí pri efektívnej identifikácii polymorfného malvéru.
Ako pri iných typoch malvéru, niektoré základné kroky na zabránenie infekcii zahŕňajú použitie renomovaný antivírusový softvér a udržiavať ho aktualizovaný, vyhýbať sa otváraniu podozrivých príloh alebo odkazov z neznámych zdrojov a pravidelne zálohovať svoje súbory, aby ste pomohli obnoviť váš systém a obnoviť údaje v prípade infekcie.
3. Bezsúborový malvér
Bezsúborový malvér funguje bez toho, aby zanechával tradičné súbory alebo spustiteľné súbory, čím je detekcia založená na podpisoch menej efektívna. Bez identifikovateľných vzorov alebo podpisov majú tradičné antivírusové riešenia problém odhaliť tento druh malvéru.
Bezsúborový malvér využíva na vykonávanie svojich činností existujúce systémové nástroje a procesy. Využíva legitímne komponenty ako PowerShell alebo WMI (Windows Management Instrumentation) na spustenie svojho užitočného zaťaženia a vyhýbanie sa podozreniam, keďže funguje v rámci povolených operácií.
A keďže sa nachádza a nezanecháva žiadne stopy v pamäti systému a na disku, identifikácia a forenzná analýza prítomnosti bezsúborového malvéru je po reštarte alebo vypnutí systému náročná.
Niektoré príklady bezsúborových malvérových útokov sú Code Red Worm, ktorý zneužil zraniteľnosť v IIS spoločnosti Microsoft. server v roku 2001 a USB Thief, ktorý sa nachádza na infikovaných USB zariadeniach a zhromažďuje informácie o cieľových systém.
Ak sa chcete chrániť pred škodlivým softvérom bez súborov, mali by ste byť opatrní pri používaní prenosného softvéru alebo zariadení USB z neznámych zdrojov a dodržiavať ďalšie bezpečnostné tipy, ktoré sme už naznačili.
4. Šifrovanie
Jedným zo spôsobov, ako zabezpečiť údaje pred nechceným vystavením alebo rušením, je použiť šifrovanie. Zločinci však môžu použiť aj šifrovanie, aby sa vyhli detekcii a analýze.
Škodlivý softvér sa môže vyhnúť detekcii pomocou šifrovania dvoma spôsobmi: šifrovaním obsahu škodlivého softvéru a prenosu škodlivého softvéru.
Šifrovanie užitočného obsahu škodlivého softvéru znamená, že kód malvéru je pred doručením do cieľového systému zašifrovaný. To môže zabrániť antivírusovému softvéru skenovať súbor a identifikovať ho ako škodlivý.
Na druhej strane, šifrovanie prenosu škodlivého softvéru znamená, že malvér používa šifrovanie na komunikáciu so svojím serverom velenia a riadenia (C&C) alebo inými infikovanými zariadeniami. To môže zabrániť nástrojom zabezpečenia siete v monitorovaní a blokovaní prevádzky a identifikácii jej zdroja a cieľa.
Našťastie môžu bezpečnostné nástroje stále používať rôzne metódy na nájdenie a zastavenie šifrovaného malvéru, ako je analýza správania, heuristická analýza, analýza podpisov, karanténa, detekcia sieťových anomálií, dešifrovacie nástroje alebo spätný chod strojárstvo.
5. Pokročilé trvalé hrozby
Pokročilé útoky s trvalou hrozbou často využívajú kombináciu sociálneho inžinierstva, prenikania do siete, zero-day exploitov a vlastného malvéru na infiltráciu a trvalé fungovanie v cieľovom prostredí.
Hoci malvér môže byť súčasťou útoku APT, nie je to jediná definujúca charakteristika. APT sú komplexné kampane zahŕňajúce viacero vektorov útokov a môžu zahŕňať rôzne typy malvéru a iné taktiky a techniky.
APT útočníci sú vysoko motivovaní a odhodlaní udržať si dlhodobú prítomnosť v cieľovej sieti alebo systéme. Nasadzujú sofistikované mechanizmy perzistencie, ako sú zadné vrátka, rootkity a skrytá infraštruktúra príkazov a riadenia, aby zabezpečili nepretržitý prístup a zabránili detekcii.
Títo útočníci sú tiež trpezliví a opatrní a starostlivo plánujú a vykonávajú svoje operácie počas dlhšieho obdobia. Vykonávajú akcie pomaly a nenápadne, čím minimalizujú dopad na cieľový systém a znižujú šance na odhalenie.
APT útoky môžu zahŕňať vnútorné hrozby, kde útočníci využívajú legitímne prístupové privilégiá alebo kompromitujú insiderov, aby získali neoprávnený prístup. Preto je náročné rozlišovať medzi normálnou aktivitou používateľa a škodlivými akciami.
Zostaňte chránení a používajte antimalvérový softvér
Udržujte tieto tajomstvá v tajnosti. Buďte o krok vpred pred počítačovými zločincami a predchádzajte malvéru skôr, ako sa stane problémom, ktorý musíte vyhľadať a odstrániť.
A nezabudnite na toto zlaté pravidlo: keď niečo vyzerá úžasne, je to pravdepodobne podvod! Je to len návnada, ktorá vás má prilákať do problémov.
