הסוגים העיקריים של תוכנות זדוניות

התקפות תוכנות זדוניות מסוימות כל כך בוטות שאתה לא יכול לפספס את העובדה שקורבן אותך. תוכנות Ransomware נועלות את כל הגישה למחשב עד שתשלם כדי שתהיה נעולה. חוטפי מדיה חברתית מפרסמים עדכוני סטטוס ביזאריים בדפי המדיה החברתית שלך, והדביקו כל מי שלוחץ על הקישורים המורעלים שלהם. תוכנות פרסום מלטפות את שולחן העבודה שלך עם מודעות קופצות גם כאשר אף דפדפן אינו פתוח. כן, כולם די מעצבנים, אך מכיוון שאתה יודע שיש בעיה אתה יכול לעבוד על מציאת פיתרון אנטי-וירוס.

התפשטות זדוניות בלתי נראית לחלוטין יכולה להיות מסוכנת בהרבה. אם האנטי-וירוס שלך לא "רואה" את זה ואינך מבחין בהתנהגויות בלתי-סוערות, התוכנה הזדונית חופשית לעקוב אחר פעילויות הבנקאות המקוונות שלך או להשתמש בכוח המחשוב שלך למטרות מצמצמות. איך הם נשארים בלתי נראים? להלן ארבע דרכים בהן תוכנות זדוניות יכולות להסתיר ממך, ואחריהן כמה רעיונות לראות את הבלתי נראה.

חתרנות של מערכת ההפעלה

אנו לוקחים את זה כמובן מאליו כי סייר Windows יכול לרשום את כל התמונות, המסמכים והקבצים האחרים שלנו, אך הרבה מתרחש מאחורי הקלעים בכדי לגרום לזה לקרות. מנהל התקן מתקשר עם הכונן הקשיח הפיזי כדי להשיג את הסיביות והבתים, ומערכת הקבצים מפרשת את אותם ביטים לקבצים ותיקיות עבור מערכת ההפעלה. כאשר תוכנית צריכה להשיג רשימת קבצים או תיקיות, היא שואלת את מערכת ההפעלה. למען האמת, כל תוכנית תהיה חופשית לשאול ישירות את מערכת הקבצים, או אפילו לתקשר ישירות עם החומרה, אך קל מאוד לקרוא למערכת ההפעלה.

טכנולוגיית Rootkit מאפשרת לתוכנית זדונית למחוק את עצמה ביעילות מהעין על ידי יירט שיחות אלה למערכת ההפעלה. כאשר תוכנית מבקשת רשימת קבצים במיקום מסוים, ערכת השורש מעבירה את הבקשה הזו ל- Windows ואז מוחקת את כל ההתייחסות לקבצים שלה לפני שהיא מחזירה את הרשימה. אנטי-וירוס שמסתמך אך ורק על Windows למידע על קבצים קיימים לעולם לא יראה את ערכת השורש. ערכות שורש מסוימות מיישמות תחבולות דומות כדי להסתיר את הגדרות הרישום שלהן.

תוכנה זדונית ללא קבצים

אנטי-וירוס טיפוסי סורק את כל הקבצים בדיסק, בודק אם אף אחד מהם אינו זדוני, וגם סורק כל קובץ לפני שהוא מאפשר לבצע אותו. אבל מה אם אין תיק? לפני עשר שנים תולעת השריקה עוררה הרס ברשתות ברחבי העולם. זה התפשט ישירות בזיכרון, באמצעות מתקפת הצפת מאגר לביצוע קוד שרירותי, ומעולם לא כתב קובץ לדיסק.

לאחרונה, דיווחו חוקרי קספרסקי על זיהום ג'אווה ללא קובץ שתקף את המבקרים באתרי החדשות הרוסיים. המופץ באמצעות מודעות באנר, הנצל שהוחדר קוד ישירות לתהליך ג'אווה חיוני. אם זה היה מצליח לכבות את בקרת חשבון המשתמש, הוא היה פנה לשרת הפקודה והבקרה שלה לקבלת הוראות מה לעשות הלאה. חשבו על זה כבחור במוצב בנקאי שזוחל דרך תעלות האוורור ומכבה את מערכת האבטחה עבור שאר אנשי הצוות. לטענת קספרסקי, פעולה אחת נפוצה בשלב זה היא להתקין את הטרוק הסורק.

תוכנה זדונית הקפדנית לזיכרון ניתנת לטיהור פשוט על ידי הפעלה מחדש של המחשב. זה, בחלקו, איך הם הצליחו להוריד את סלאמר בחזרה ביום. אבל אם אינך יודע שיש בעיה, לא תדע שאתה צריך לאתחל מחדש.

תכנות מוכוונות חזרה

כל שלושת המועמדים הסופיים בתחרות מחקרי האבטחה של BlueHat בפרס מיקרוסופט כללו התמודדות עם תכנות מונחה חזרה, או ROP. התקפה המשתמשת ב- ROP היא מגוחכת, מכיוון שהיא אינה מתקינה קוד הפעלה, לא ככזה. במקום זאת, היא מוצאת את ההוראות שהיא רוצה בתוכניות אחרות, אפילו בחלקים ממערכת ההפעלה.

באופן ספציפי, מתקפת ROP מחפשת בלוקים של קוד (הנקראים "גאדג'טים" על ידי המומחים) ששניהם מבצעים פונקציה שימושית כלשהי ומסתיימים בהוראות RET (החזרה). כאשר המעבד פוגע בהוראות זה, הוא מחזיר את השליטה לתהליך ההתקשרות, במקרה זה התוכנה הזדונית של ROP, שמשיקה את גוש הקוד הבא, אולי מהתוכנית אחרת. הרשימה הגדולה של כתובות הגאדג'ט היא רק נתונים, ולכן איתור תוכנות זדוניות מבוססות ROP הוא קשה.

תוכנות זדוניות של פרנקנשטיין

בכנס Usenix WOOT (סדנה לטכנולוגיות פוגעניות) בשנה שעברה הציגו זוג חוקרים מאוניברסיטת טקסס בדאלאס רעיון הדומה לתכנות מוכווני תשובה. במאמר שכותרתו "פרנקנשטיין: תפירת תוכנות זדוניות מבינאריות בינאריות", הם תיארו טכניקה ליצירת תוכנות זדוניות הקשות לגילוי על ידי ריכוז נתחי קוד מתוכניות ידועות ואמינות.

"על ידי הלחנת הבינארית החדשה לחלוטין מתוך רצפי בתים המשותפים לבינאריים בינוניים-קלאסיים", מסביר העיתון, "סביר להניח שהמוטנטים שהתקבלו יתאימו לחתימות הכוללות גם רשימת רשימה וגם רשימה שחורה של תכונות בינאריות." טכניקה זו היא הרבה יותר גמישה מ- ROP, מכיוון שהיא יכולה לשלב כל נתח קוד ולא רק נתח שמסתיים בהוראות RET החשובות ביותר.

כיצד לראות את הבלתי נראה

הדבר הטוב הוא שתוכלו לקבל עזרה באיתור התוכניות הזדוניות המגניבות הללו. לדוגמה, תוכנות אנטי-וירוס יכולות לאתר ערכות שורש בכמה דרכים. שיטה איטית אך פשוטה כוללת בדיקת ביקורת של כל הקבצים בדיסק כפי שדווחה על ידי Windows, ביצוע ביקורת נוספת על ידי שאילתת מערכת הקבצים ישירות וחיפוש אחר אי התאמות. ומכיוון שערכות השורש מערערות את חלונות באופן ספציפי, אנטי-וירוס המתחיל למערכת הפעלה שאינה חלונות לא יטעה.

איום ללא זיכרון בלבד, שאינו קבץ, ייכנע להגנת אנטי-וירוס העוקבת אחר תהליכים פעילים או חוסמת את וקטור ההתקפה שלו. תוכנת האבטחה שלך עשויה לחסום את הגישה לאתר הנגוע המציג את האיום הזה, או לחסום את טכניקת ההזרקה שלה.

טכניקת פרנקנשטיין עשויה בהחלט להטעות אנטי-וירוס מבוסס חתימה בהחלט, אך כלי אבטחה מודרניים חורגים מחתימות. אם התוכנה הזדונית לטלאים אכן עושה משהו זדוני, כנראה שסורק מבוסס התנהגות ימצא אותו. ומכיוון שמעולם לא נראתה בשום מקום לפני כן, מערכת כמו תובנת הקבצים של נורטון של סימנטק שלוקחת בחשבון את השכיחות תסמן אותה כחריגה מסוכנת.

באשר להפחתת מתקפות תכנות מונחות חזרה, ובכן, זה קשה, אבל הרבה כוח מוח הוקדש לפיתרון. גם כוח כלכלי - מיקרוסופט העניקה רבע מיליון דולר לחוקרים מובילים שעובדים על בעיה זו. כמו כן, מכיוון שהם מסתמכים כל כך על נוכחותן של תוכניות תקפות מסוימות, יש סיכוי גבוה יותר שתקיפות ROP ישמשו כנגד יעדים ספציפיים, ולא במסע פרסום נפוץ נרחב. ככל הנראה המחשב הביתי שלך בטוח; המחשב המשרדי שלך, לא כל כך הרבה.