Các loại phần mềm độc hại lén lút nhất

Một số cuộc tấn công phần mềm độc hại rõ ràng đến mức bạn không thể bỏ lỡ sự thật rằng bạn đã là nạn nhân. Các chương trình ransomware khóa tất cả quyền truy cập vào máy tính của bạn cho đến khi bạn trả tiền để mở khóa. Những kẻ tấn công phương tiện truyền thông xã hội đăng cập nhật trạng thái kỳ lạ trên các trang truyền thông xã hội của bạn, lây nhiễm bất cứ ai nhấp vào liên kết độc hại của họ. Các chương trình phần mềm quảng cáo xả rác máy tính để bàn của bạn với quảng cáo bật lên ngay cả khi không có trình duyệt nào được mở. Vâng, tất cả đều khá phiền phức, nhưng vì bạn biết có vấn đề nên bạn có thể tìm giải pháp chống vi-rút.

Một sự phá hoại phần mềm độc hại hoàn toàn vô hình có thể nguy hiểm hơn nhiều. Nếu phần mềm chống vi-rút của bạn không "nhìn thấy" nó và bạn không nhận thấy bất kỳ hành vi không mong muốn nào, phần mềm độc hại có thể tự do theo dõi các hoạt động ngân hàng trực tuyến của bạn hoặc sử dụng sức mạnh tính toán của bạn cho các mục đích bất chính. Làm thế nào để họ ở lại vô hình? Dưới đây là bốn cách phần mềm độc hại có thể ẩn khỏi bạn, tiếp theo là một số ý tưởng để xem phần mềm không thể nắm bắt được.

Lật đổ hệ điều hành

Chúng tôi chấp nhận rằng Windows Explorer có thể liệt kê tất cả các ảnh, tài liệu và các tệp khác của chúng tôi, nhưng có rất nhiều điều xảy ra đằng sau hậu trường để thực hiện điều đó. Trình điều khiển phần mềm giao tiếp với ổ cứng vật lý để lấy bit và byte, và hệ thống tệp diễn giải các bit và byte đó thành các tệp và thư mục cho hệ điều hành. Khi một chương trình cần lấy danh sách các tệp hoặc thư mục, nó sẽ truy vấn hệ điều hành. Trong thực tế, bất kỳ chương trình nào cũng có thể tự do truy vấn hệ thống tệp hoặc thậm chí giao tiếp trực tiếp với phần cứng, nhưng việc gọi trên HĐH sẽ dễ dàng hơn rất nhiều.

Công nghệ Rootkit cho phép một chương trình độc hại xóa chính nó khỏi tầm nhìn bằng cách chặn các cuộc gọi đó đến hệ điều hành. Khi một chương trình yêu cầu danh sách các tệp ở một vị trí nhất định, rootkit sẽ chuyển yêu cầu đó đến Windows, sau đó xóa tất cả các tham chiếu đến các tệp của chính nó trước khi trả về danh sách. Một chương trình chống vi-rút dựa trên Windows để biết thông tin về những tập tin hiện diện sẽ không bao giờ nhìn thấy rootkit. Một số rootkit áp dụng thủ thuật tương tự để ẩn cài đặt Registry của họ.

Phần mềm độc hại không có tệp

Một chương trình chống vi-rút thông thường sẽ quét tất cả các tệp trên đĩa, kiểm tra để đảm bảo không có tệp nào độc hại và cũng quét từng tệp trước khi cho phép tệp thực thi. Nhưng nếu không có tập tin thì sao? Mười năm trước, loài giun sán đã tàn phá các mạng lưới trên toàn thế giới. Nó truyền trực tiếp vào bộ nhớ, sử dụng một cuộc tấn công tràn bộ đệm để thực thi mã tùy ý và không bao giờ ghi tệp vào đĩa.

Gần đây, các nhà nghiên cứu của Kaspersky đã báo cáo về việc nhiễm Java không có tệp tấn công khách truy cập vào các trang tin tức của Nga. Được truyền bá thông qua các quảng cáo biểu ngữ, việc khai thác đã tiêm mã trực tiếp vào một quy trình Java thiết yếu. Nếu nó thành công trong việc tắt Kiểm soát tài khoản người dùng, nó sẽ liên hệ với máy chủ chỉ huy và kiểm soát của mình để được hướng dẫn những việc cần làm tiếp theo. Hãy nghĩ về nó như một người bạn trong một vụ cướp ngân hàng bò qua các ống thông gió và tắt hệ thống an ninh cho phần còn lại của phi hành đoàn. Theo Kaspersky, một hành động phổ biến tại thời điểm này là cài đặt Lurk Trojan.

Phần mềm độc hại nghiêm ngặt trong bộ nhớ có thể bị xóa chỉ bằng cách khởi động lại máy tính. Điều đó, một phần, là cách họ quản lý để hạ gục Slammer trở lại trong ngày. Nhưng nếu bạn không biết có vấn đề, bạn sẽ không biết rằng mình cần khởi động lại.

Lập trình hướng về

Tất cả ba người vào chung kết trong cuộc thi nghiên cứu bảo mật Giải thưởng BlueHat của Microsoft đều liên quan đến việc đối phó với Lập trình hướng trở lại, hoặc ROP. Một cuộc tấn công sử dụng ROP là xảo quyệt, bởi vì nó không cài đặt mã thực thi, không phải như vậy. Thay vào đó, nó tìm thấy các hướng dẫn mà nó muốn trong các chương trình khác, thậm chí là một phần của hệ điều hành.

Cụ thể, một cuộc tấn công ROP tìm kiếm các khối mã (được gọi là "tiện ích" của các chuyên gia) vừa thực hiện một số chức năng hữu ích và kết thúc bằng một lệnh RET (trả lại). Khi CPU đạt được hướng dẫn đó, nó sẽ trả lại quyền điều khiển cho quá trình gọi, trong trường hợp này là phần mềm độc hại ROP, khởi chạy khối mã được phân tách tiếp theo, có lẽ từ một chương trình khác. Danh sách lớn các địa chỉ tiện ích đó chỉ là dữ liệu, vì vậy việc phát hiện phần mềm độc hại dựa trên ROP là khó khăn.

Phần mềm độc hại của Frankenstein

Tại hội nghị Usenix WOOT (Hội thảo về công nghệ tấn công) năm ngoái, một cặp nhà nghiên cứu từ Đại học Texas tại Dallas đã trình bày một ý tưởng tương tự như Lập trình định hướng trở lại. Trong một bài báo có tiêu đề "Frankenstein: Khâu phần mềm độc hại từ Benign Binaries", họ đã mô tả một kỹ thuật tạo phần mềm độc hại khó phát hiện bằng cách ghép các đoạn mã từ các chương trình đã biết và đáng tin cậy.

"Bằng cách kết hợp nhị phân mới hoàn toàn ngoài chuỗi byte chung cho các nhị phân lành tính, " bài báo giải thích, "các đột biến kết quả ít có khả năng khớp với các chữ ký bao gồm cả danh sách trắng và danh sách đen các tính năng nhị phân." Kỹ thuật này linh hoạt hơn nhiều so với ROP, bởi vì nó có thể kết hợp bất kỳ đoạn mã nào, không chỉ là một đoạn kết thúc bằng lệnh RET hoàn toàn quan trọng.

Làm thế nào để nhìn thấy vô hình

Điều tốt là, bạn có thể nhận trợ giúp để phát hiện các chương trình độc hại lén lút này. Ví dụ, các chương trình chống vi-rút có thể phát hiện rootkit theo nhiều cách. Một phương pháp chậm nhưng đơn giản bao gồm thực hiện kiểm toán tất cả các tệp trên đĩa như được báo cáo bởi Windows, thực hiện một kiểm toán khác bằng cách truy vấn trực tiếp hệ thống tệp và tìm kiếm sự khác biệt. Và vì rootkit đặc biệt lật đổ Windows, một phần mềm chống vi-rút khởi động vào hệ điều hành không phải Windows sẽ không bị lừa.

Một mối đe dọa không có tệp, chỉ có bộ nhớ sẽ không chịu được bảo vệ chống vi-rút theo dõi các quy trình đang hoạt động hoặc chặn vectơ tấn công của nó. Phần mềm bảo mật của bạn có thể chặn quyền truy cập vào trang web bị nhiễm phục vụ mối đe dọa đó hoặc chặn kỹ thuật tiêm của nó.

Kỹ thuật Frankenstein có thể đánh lừa một phần mềm chống virus dựa trên chữ ký nghiêm ngặt, nhưng các công cụ bảo mật hiện đại vượt xa chữ ký. Nếu phần mềm độc hại chắp vá thực sự làm điều gì đó độc hại, một máy quét dựa trên hành vi có thể sẽ tìm thấy nó. Và vì nó chưa từng thấy ở bất cứ đâu trước đây, một hệ thống như Norton File Insight của Symantec có tính phổ biến sẽ đánh dấu nó là một sự bất thường nguy hiểm.

Đối với việc giảm thiểu các cuộc tấn công Lập trình hướng trở lại, tốt, đó là một khó khăn, nhưng rất nhiều trí tuệ đã được dành cho việc giải quyết nó. Sức mạnh kinh tế cũng vậy, Microsoft Microsoft đã trao một phần tư triệu đô la cho các nhà nghiên cứu hàng đầu làm việc về vấn đề này. Ngoài ra, vì họ phụ thuộc quá nhiều vào sự hiện diện của các chương trình hợp lệ cụ thể, các cuộc tấn công ROP có nhiều khả năng được sử dụng để chống lại các mục tiêu cụ thể, không phải trong một chiến dịch phần mềm độc hại phổ biến. Máy tính ở nhà của bạn có thể an toàn; PC văn phòng của bạn, không quá nhiều.