Visa ļaunprātīga programmatūra ir ļaunprātīga, taču, lai gan dažas ļaunprātīgas programmas ir viegli pamanāmas, citas var izvairīties no pat uzlabotiem aizsardzības veidiem.
Mūsu hipersavienotajā pasaulē ļaunprātīga programmatūra bieži vien ir kibernoziedznieku izvēles ierocis.
Šai ļaunprātīgajai programmatūrai ir vairākas formas, un katrai no tām ir savs drošības apdraudējuma līmenis. Hakeri izmanto šos destruktīvos rīkus, lai pārtvertu ierīces, uzlauztu datus, nodarītu finansiālus postus un pat veselus uzņēmumus.
Ļaunprātīga programmatūra ir nepatīkama programmatūra, kas jums ir jānovērš pēc iespējas ātrāk, taču dažas ļaunprātīgas programmatūras slēpjas labāk nekā citas. Kāpēc tas tā ir, tas lielā mērā ir saistīts ar programmas veidu, kuru mēģināt atrast.
1. Sakņu komplekti
Sakņu komplekti ir ļaunprātīgas programmas, kas izstrādātas, lai iefiltrētos mērķa sistēmā un slepeni sagrābtu nesankcionētu kontroli, vienlaikus izvairoties no atklāšanas.
Tie slepus iekļūst operētājsistēmas visdziļākajos slāņos, piemēram, kodolā vai sāknēšanas sektorā. Tie var modificēt vai pārtvert sistēmas zvanus, failus, procesus, draiverus un citus komponentus, lai izvairītos no pretvīrusu programmatūras atklāšanas un noņemšanas. Viņi var arī iekļūt pa slēptām durvīm, nozagt jūsu datus vai ievietot vairāk informācijas jūsu datorā.
Bēdīgi slavenais Stuxnet tārps, viens no visu laiku bēdīgi slavenākie ļaunprātīgas programmatūras uzbrukumi, ir spilgts sakņu komplekta slepeno iespēju piemērs. Irānas kodolprogramma 2000. gadu beigās saskārās ar nopietniem traucējumiem šīs sarežģītās ļaunprogrammatūras dēļ, kas īpaši uzbruka tās urāna bagātināšanas iekārtām. Stuxnet rootkit komponents bija noderīgs tā slēptajās darbībās, ļaujot tārpam iekļūt rūpnieciskajās vadības sistēmās, neradot trauksmes.
Sakņu komplektu noteikšana rada unikālas problēmas to nenotveramā rakstura dēļ. Kā minēts iepriekš, daži sakņu komplekti var atspējot vai mainīt pretvīrusu programmatūru, padarot to neefektīvu vai pat vēršot to pret jums. Daži sakņu komplekti var izturēt sistēmas atsāknēšanu vai cietā diska formātu, inficējot sāknēšanas sektoru vai BIOS.
Vienmēr instalējiet jaunākos sistēmas un programmatūras drošības atjauninājumus, lai aizsargātu sistēmu no sakņu komplektiem, kas izmanto zināmās ievainojamības. Turklāt neatveriet aizdomīgus pielikumus vai saites no nezināmiem avotiem un izmantojiet ugunsmūri un VPN, lai nodrošinātu tīkla savienojumu.
2. Polimorfisms
Polimorfā ļaunprogrammatūra ir ļaunprātīgas programmatūras veids kas var mainīt tā koda struktūru, lai katrā versijā izskatītos savādāk, vienlaikus saglabājot kaitīgo mērķi.
Pārveidojot savu kodu vai izmantojot šifrēšanu, polimorfā ļaunprogrammatūra cenšas izvairīties no drošības pasākumiem un palikt paslēpta tik ilgi, cik vien iespējams.
Drošības speciālistiem ir grūti cīnīties ar polimorfu ļaunprogrammatūru, jo tā pastāvīgi maina savu kodu, radot neskaitāmas unikālas versijas. Katrai versijai ir atšķirīga struktūra, tāpēc tradicionālajām noteikšanas metodēm ir grūti sekot līdzi. Tas mulsina pretvīrusu programmatūru, kas regulāri jāatjaunina, lai precīzi identificētu jaunus ļaunprātīgas programmatūras veidus.
Polimorfā ļaunprogrammatūra tiek veidota arī ar sarežģītiem algoritmiem, kas ģenerē jaunas koda variācijas. Šiem algoritmiem ir nepieciešami ievērojami skaitļošanas resursi un apstrādes jauda, lai analizētu un noteiktu modeļus. Šī sarežģītība rada vēl vienu sarežģītību, lai efektīvi identificētu polimorfu ļaunprātīgu programmatūru.
Tāpat kā ar citiem ļaunprātīgas programmatūras veidiem, daži pamata soļi, lai novērstu inficēšanos, ietver izmantošanu cienījama pretvīrusu programmatūra un regulāri to atjauninot, izvairoties no aizdomīgu pielikumu vai saišu atvēršanas no nezināmiem avotiem, kā arī regulāri dublējiet failus, lai palīdzētu atjaunot sistēmu un atgūt datus infekcijas gadījumā.
3. Bezfailu ļaunprātīga programmatūra
Ļaunprātīga programmatūra bez failiem darbojas, neatstājot tradicionālos failus vai izpildāmos failus, padarot uz parakstu balstītu noteikšanu mazāk efektīvu. Bez identificējamiem modeļiem vai parakstiem tradicionālie pretvīrusu risinājumi nespēj atklāt šāda veida ļaunprātīgu programmatūru.
Bezfailu ļaunprātīga programmatūra savu darbību veikšanai izmanto esošo sistēmas rīku un procesu priekšrocības. Tas izmanto likumīgus komponentus, piemēram, PowerShell vai WMI (Windows Management Instrumentation), lai palaistu lietderīgo slodzi un izvairītos no aizdomām, jo tas darbojas atļauto darbību robežās.
Tā kā tā atrodas un neatstāj nekādas pēdas sistēmas atmiņā un diskā, bezfaila ļaunprātīgas programmatūras klātbūtnes identificēšana un kriminālistikas analīze ir sarežģīta pēc sistēmas atsāknēšanas vai izslēgšanas.
Daži bezfailu ļaunprātīgas programmatūras uzbrukumu piemēri ir Code Red Worm, kas izmantoja Microsoft IIS ievainojamību. serveris 2001. gadā, un USB Thief, kas atrodas inficētajās USB ierīcēs un apkopo informāciju par mērķa sistēma.
Lai pasargātu sevi no ļaunprātīgas programmatūras bez failiem, jums jābūt uzmanīgiem, izmantojot portatīvo programmatūru vai USB ierīces no nezināmiem avotiem, un ievērojiet citus drošības padomus, par kuriem esam minējuši iepriekš.
4. Šifrēšana
Viens veids, kā aizsargāt datus no nevēlamas iedarbības vai traucējumiem, ir izmantot šifrēšanu. Tomēr ļaunprātīgi dalībnieki var arī izmantot šifrēšanu, lai izvairītos no atklāšanas un analīzes.
Ļaunprātīga programmatūra var izvairīties no atklāšanas, izmantojot šifrēšanu divos veidos: šifrējot ļaunprātīgas programmatūras lietderīgo slodzi un ļaunprātīgas programmatūras trafiku.
Ļaunprātīgas programmatūras slodzes šifrēšana nozīmē, ka ļaunprogrammatūras kods tiek šifrēts, pirms tas tiek piegādāts mērķa sistēmai. Tas var neļaut pretvīrusu programmatūrai skenēt failu un identificēt to kā ļaunprātīgu.
No otras puses, ļaunprātīgas programmatūras trafika šifrēšana nozīmē, ka ļaunprātīga programmatūra izmanto šifrēšanu, lai sazinātos ar savu komandu un kontroles (C&C) serveri vai citām inficētām ierīcēm. Tas var neļaut tīkla drošības rīkiem uzraudzīt un bloķēt trafiku un identificēt tās avotu un galamērķi.
Par laimi, drošības rīki joprojām var izmantot dažādas metodes, lai atrastu un apturētu šifrētu ļaunprātīgu programmatūru, piemēram, uzvedības analīzi, heiristiskā analīze, parakstu analīze, smilškaste, tīkla anomāliju noteikšana, atšifrēšanas rīki vai reverss inženierzinātnes.
5. Uzlaboti pastāvīgi draudi
Uzlaboti pastāvīgi draudu uzbrukumi bieži izmanto sociālās inženierijas, tīkla ielaušanās, nulles dienas ļaunprātīgas izmantošanas un pielāgotas ļaunprogrammatūras kombināciju, lai iefiltrētos un pastāvīgi darbotos mērķa vidē.
Lai gan ļaunprātīga programmatūra var būt APT uzbrukuma sastāvdaļa, tā nav vienīgā raksturīgā iezīme. APT ir visaptverošas kampaņas, kas ietver vairākus uzbrukuma vektorus un var ietvert dažāda veida ļaunprātīgu programmatūru un citas taktikas un metodes.
APT uzbrucēji ir ļoti motivēti un apņēmušies uzturēt ilgtermiņa klātbūtni mērķa tīklā vai sistēmā. Tie izvieto sarežģītus noturības mehānismus, piemēram, aizmugures durvis, sakņu komplektus un slēpto komandu un kontroles infrastruktūru, lai nodrošinātu pastāvīgu piekļuvi un izvairītos no atklāšanas.
Šie uzbrucēji ir arī pacietīgi un piesardzīgi un rūpīgi plāno un veic savas darbības ilgākā laika periodā. Viņi veic darbības lēni un slepeni, līdz minimumam samazinot ietekmi uz mērķa sistēmu un samazinot izredzes tikt atklātiem.
APT uzbrukumos var būt ietverti iekšējās informācijas apdraudējumi, kad uzbrucēji izmanto likumīgas piekļuves privilēģijas vai apdraud iekšējās personas, lai iegūtu nesankcionētu piekļuvi. Tāpēc ir grūti atšķirt parasto lietotāja darbību no ļaunprātīgām darbībām.
Esiet aizsargāts un izmantojiet pretļaunatūras programmatūru
Turiet šos noslēpumus noslēpumā. Esiet soli priekšā kibernoziedzniekiem un novērsiet ļaunprātīgu programmatūru, pirms tā kļūst par problēmu, kas jums jāmeklē un jāiztīra.
Un atcerieties šo zelta likumu: ja kaut kas izskatās lieliski, iespējams, tā ir krāpniecība! Tā ir tikai ēsma, lai ievilinātu jūs nepatikšanās.
