Видео: Ангел Бэби Новые серии - Игра окончена (29 серия) Поучительные мультики для детей (Ноябрь 2024)
Некоторые вредоносные атаки настолько явны, что вы не можете пропустить тот факт, что вы стали жертвой. Программы-вымогатели блокируют весь доступ к вашему компьютеру, пока вы не заплатите, чтобы разблокировать его. Угонщики социальных сетей публикуют странные обновления статуса на ваших страницах в социальных сетях, заражая любого, кто нажимает на их отравленные ссылки. Рекламные программы засоряют ваш рабочий стол всплывающей рекламой, даже когда браузер не открыт. Да, все это довольно раздражает, но поскольку вы знаете, что есть проблема, вы можете найти антивирусное решение.
Полностью невидимое заражение вредоносным ПО может быть намного более опасным. Если ваш антивирус не «видит» его, и вы не замечаете каких-либо нежелательных действий, вредоносное ПО может бесплатно отслеживать ваши действия в онлайн-банке или использовать ваши вычислительные мощности в отвратительных целях. Как они остаются невидимыми? Вот четыре способа, которыми вредоносная программа может скрыться от вас, а также несколько идей для того, чтобы увидеть невидимое.
Операционная система Subversion
Мы считаем само собой разумеющимся, что Windows Explorer может перечислять все наши фотографии, документы и другие файлы, но многое происходит за кулисами, чтобы это произошло. Драйвер программного обеспечения связывается с физическим жестким диском для получения битов и байтов, а файловая система интерпретирует эти биты и байты в файлы и папки для операционной системы. Когда программе необходимо получить список файлов или папок, она запрашивает операционную систему. По правде говоря, любая программа может свободно запрашивать файловую систему напрямую или даже напрямую связываться с оборудованием, но гораздо проще просто вызвать операционную систему.
Технология Rootkit позволяет вредоносной программе эффективно удалять себя из поля зрения, перехватывая эти вызовы операционной системы. Когда программа запрашивает список файлов в определенном месте, руткит передает этот запрос в Windows, а затем удаляет все ссылки на свои собственные файлы перед возвратом списка. Антивирус, который строго использует Windows для получения информации о том, какие файлы присутствуют, никогда не увидит руткит. Некоторые руткиты применяют подобные хитрости, чтобы скрыть свои настройки реестра.
Вредоносное ПО без файлов
Типичный антивирус сканирует все файлы на диске, проверяя, чтобы убедиться, что ни один из них не является вредоносным, а также сканирует каждый файл, прежде чем разрешить его выполнение. Но что, если нет файла? Десять лет назад червь-червь нанес огромный ущерб сетям по всему миру. Он распространялся непосредственно в памяти, используя атаку переполнения буфера для выполнения произвольного кода, и никогда не записывал файл на диск.
Совсем недавно исследователи «Касперского» сообщили о том, что Java-инфекция без файлов была атакована посетителями российских новостных сайтов. Распространяясь через рекламные баннеры, эксплойт внедрял код непосредственно в важный Java-процесс. Если ему удастся отключить контроль учетных записей, он свяжется со своим командным и управляющим сервером для получения инструкций о том, что делать дальше. Думайте об этом как о парне из ограбления банка, который залезает через вентиляционные каналы и выключает систему безопасности для остальной части экипажа. По словам Касперского, одним из распространенных действий на этом этапе является установка трояна Lurk.
Вредоносные программы, находящиеся строго в памяти, можно очистить, просто перезагрузив компьютер. Отчасти это то, как им удалось убить Slammer назад в тот же день. Но если вы не знаете, что есть проблема, вы не будете знать, что вам нужно перезагрузить компьютер.
Возвратно-ориентированное программирование
Все три финалиста в конкурсе исследований безопасности BlueHat Prize от Microsoft участвовали в программах Return Oriented Programming или ROP. Атака, которая использует ROP, коварна, потому что она не устанавливает исполняемый код, не как таковой. Скорее, он находит нужные инструкции в других программах, даже частях операционной системы.
В частности, ROP-атака ищет блоки кода (называемые экспертами «гаджетами»), которые выполняют некоторую полезную функцию и заканчиваются инструкцией RET (возврат). Когда процессор выполняет эту инструкцию, он возвращает управление вызывающему процессу, в данном случае вредоносному ПО ROP, которое запускает следующий извлеченный блок кода, возможно, из другой программы. Этот большой список адресов гаджетов - это просто данные, поэтому обнаружить вредоносное ПО на основе ROP довольно сложно.
Вредоносная программа Франкенштейна
На прошлогодней конференции Usenix WOOT (Workshop on Offensive Technologies) пара исследователей из Техасского университета в Далласе представила идею, похожую на программирование, ориентированное на возврат. В статье под названием «Франкенштейн: сшивание вредоносных программ из доброкачественных двоичных файлов» они описали методику создания трудно обнаруживаемых вредоносных программ путем объединения кусков кода из известных и доверенных программ.
«Путем составления нового двоичного файла полностью из байтовых последовательностей, общих для двоичных файлов с доброкачественной классификацией, - поясняется в статье, - результирующие мутанты с меньшей вероятностью будут совпадать с сигнатурами, которые включают как белые, так и черные списки двоичных объектов». Этот метод гораздо более гибкий, чем ROP, поскольку он может включать в себя любой фрагмент кода, а не только фрагмент, заканчивающийся важнейшей инструкцией RET.
Как увидеть невидимку
Хорошо, что вы можете получить помощь в обнаружении этих вредоносных программ. Например, антивирусные программы могут обнаруживать руткиты несколькими способами. Один медленный, но простой метод заключается в проведении аудита всех файлов на диске в соответствии с отчетами Windows, проведении другого аудита путем непосредственного опроса файловой системы и поиска расхождений. А поскольку руткиты специально подрывают Windows, антивирус, который загружается в ОС, отличную от Windows, не будет обманут.
Угроза, связанная с отсутствием файлов и памяти, уступит антивирусной защите, которая отслеживает активные процессы или блокирует вектор атаки. Ваше защитное программное обеспечение может блокировать доступ к зараженному веб-сайту, обслуживающему эту угрозу, или блокировать способ его внедрения.
Техника Франкенштейна вполне может обмануть антивирус на основе сигнатур, но современные средства безопасности выходят за рамки сигнатур. Если лоскутное вредоносное ПО действительно совершает что-то вредоносное, сканер, основанный на поведении, вероятно, найдет его. А поскольку его никогда раньше не видели, система, подобная Norton File Insight от Symantec, которая учитывает распространенность, помечает ее как опасную аномалию.
Что касается смягчения атак, ориентированных на возвратное программирование, то это довольно сложная задача, но для ее решения было уделено много сил. Экономическая мощь - Microsoft выделила четверть миллиона долларов ведущим исследователям, работающим над этой проблемой. Кроме того, поскольку они в значительной степени зависят от наличия определенных допустимых программ, ROP-атаки с большей вероятностью будут применяться против конкретных целей, а не в рамках широко распространенной кампании по распространению вредоносного ПО. Ваш домашний компьютер, вероятно, в безопасности; ваш офисный компьютер, не так много.