Заплахите в Интернет не престават да тормозят, както средностатистическия уеб пътешественик, така и корпоративния играч, офис служителя и въобще всеки, който реши да влезе във виртуалната вселена на WWW. Самите заплахи се променят и еволюират постоянно, понякога с умопомрачителни темпове – пример за това е вариант на популярна рансъмуер заплаха, способна да променя кода си на всеки 15 секунди, а с това и ловко да избягва засичане от антивирусните програми. Но това, което не се променя толкова са типа на заплахите. Познавате ли ги достатъчно? Убедени ли сте в това? Нека сверим знанията си заедно с Роджър Граймс от страниците на CSO Online.

ВИРУСИ

„Вирус“ е вероятно най-погрешно използвания термин в днешния технологичен свят. Много хора наричат „вирус“ всяка една зловредна програма. В интерес на истината, вирусите днес представляват по-малко от 10% от разпространяваните днес зловредни програми, посочва Граймс.

„Компютърният вирус модифицира други легитимни файлове (или пътища към тях) в системата, по такъв начин, че когато файлът бива стартиран, вирусът също се стартира“, обяснява Граймс.

Те са, допълва той, единствените типове зловредни програми, които „инфектират“ други файлове. Но именно поради тази тяхна специфика, „лекуването“ на файловете е почти невъзможно. Това, което правят антивирусните програми най-често е да се опитат да поставят файла в карантина или да го изтрият.

ЧЕРВЕИ

Червеите са по-стар тип заплаха от вирусите – още от времето на мейнфрейм компютрите. Техният златен период обаче са 90-те години на миналия век, когато пристигат най-често като приложени файлове в имейл съобщения. Достатъчно е един служител да отвори такъв файл и всички системи наоколо пострадват. Най-известната заплаха от този тип в миналото е Iloveyou червеят.

„Когато се разпространи, той засегна почти всеки имейл потребител по света, претовари телефонните системи, изведе от строй телевизионни мрежи и дори забави следобедния ми вестник с половин ден“, пише Граймс. Най-известният червей в днешно време е WannaCry. През 2017, неизвестна страна даде началото на мащабна операция по разпространението на рансъмуер. Благодарение на помощта на два експлойта за уязвимост в мрежов протокол в Windows, заплахата беше определена като крипточервей. Първият от тях (ETERNALBLUE) е отговорен за експлоатирането на проблем в SMB (v1), а вторият (ETERNALROMANCE) помагаше за разпространението му. След установяването си в системата, WannaCry започва да търси други уязвими машини в периметъра и да се изпълнява на тях.

Това, което прави толкова разрушителен червея е способността му да се разпространява без изискване за действие от страна на потребителя. За сравнение, вирусите изискват от крайния потребител поне да кликне на него преди той да инфектира други невинни файлове и потребители“, споделя Граймс.

ТРОЯНСКИ КОНЕ

Най-важното, което може да се отбележи за троянските програми е, че те идват към крайния потребител под формата на легитимни програми, но в тях се съдържат зловредни инструкции. Подобно на вирусите, те изискват действие от страна на потребителя и могат, както да дойдат по имейл, така и да се предлагат на специално изготвени сайтове. Ако мислите, че ще преметнете някой, инсталирайки си безплатно програма, която е платена, е много вероятно да се натъкнете на „изненада“ в нея. За това, най-добре ползвайте безплатна нейна алтернатива или си я платете. „Сиренцето никога не идва безплатно“.

Защитата срещу тях, пише Граймс, е трудна главно поради две причини. Първо, създаването им е лесно (престъпниците използват готови софтуерни пакети за създаването на троянизирани програми) и се разпространяват като мамят потребителя – нещо, което не може да спре традиционно решение за сигурност.

ХИБРИДИ И ЕКЗОТИЧНИ ФОРМИ

„Днес, повечето зловредни програми са комбинация от традиционни зловреди, често включват част от троянци и червеи, и понякога вирус. Обикновено, зловредната програма пристига при крайния потребител като троянец, но веднъж стартирана, тя атакува други жертви през мрежата подобно на червей“, описва ситуацията Граймс.

Той допълва, че по същество, тези програми се опитват да модифицират операционната система, за да поемат пълен контрол и да се скрият от антивирусната програма. За да се освободите от този тип програми, трябва да се премахне контролният компонент от паметта, като за начало в случая е добре да се извърши сканиране за наличието на зловредна дейност.

Ботовете са по същество комбинация между троянски кон и червей, които се опитват да направят клиентите част от по-голяма зловредна мрежа – така наречените ботнети или ботнет мрежи. Те често биват наемани от престъпници за извършването на криминални дейности – DDoS атаки с цел саботаж, масово разпращане на спам и допълнителен зловреден код. Един от най-ярките примери за това, което може да направи един огромен ботнет е от края на 2016, когато хакери успяха да изведат от строя системи на един от най-големите доставчици на DNS услуги в света чрез организирането на десетки хиляди свързани към мрежата устройства – DVR-и, рутери, други смарт устройства и даже… хладилници.

РАНСЪМУЕР

Криптовирусите, които при изпълнението си заключват вашите ценни документи, снимки от детството и тези на любими за вас хора, а след това създателите им искат откуп, за да ви върнат достъпа до тях са познати от края на миналия век, но в последните години те преживяват своя ренесанс. Cerber, WannaCry, NotPetya, CTB-Locker, Locky – стотици познати ни заплахи от този род продължават да будят посред нощ експертите по информационна сигурност. Граймс уточнява, че те често действат като троянските коне – пристига например прикачен файл в писмо от неизвестна страна, която ви подлъгва да стартирате файла. Криптирането на данните става за броени минути, но понякога, атакуващата страна предприема изчаквателен подход, който позволява да опознае по-добре жертвата – информацията на системата, колко ценна би била тя за притежателя ѝ и колко би платил да си я върне обратно.

„Според някои проучвания, около една четвърт от жертвите заплащат откупа и от тях, около 30% така и не си получават данните обратно. Отключването на криптираните файлове, ако въобще е възможно, изисква работа с определени инструменти, декриптиращи ключове и повече от късмет. Най-добрият съвет е да имат добър офлайн архив на най-важните ви файлове“, пише Граймс.

БЕЗФАЙЛОВИ ЗАПЛАХИ

Безфайловите заплахи не са различна категория в тесния смисъл на думата, а по-скоро описание на това как те експлоатират системата и остават скрити. Това, което прави традиционната зловредна програма е да използва файловата система, за да инфектира. Безфайловите заплахи, които по думите на Граймс, съставляват над 50% от всичките зловредни програми днес, представляват заплаха, която не използва директно файлове или файловата система. Вместо това, те се разпространяват единствено в паметта или използвайки други не-файлови обекти, като ключове от регистъра, апликационно-програмни интерфейси или зададени задачи за изпълнение. Често те използват легитимни инструменти, които идват с операционната система – като например PowerShell.

АДУЕР

Рекламен софтуер (комбинация от advertising – „реклама“ и software) – най-безобидните от посочените тук заплахи. „Ако сте късметлии, единствената зловредна програма, на която ще попаднете е адуерът, който се опитва да представи пред крайния потребител нежелана, потенциално зловредна реклама, пише Граймс. „Обичайната адуер програма може да пренасочи търсенията в браузъра към подобни на търсените от него страници, които съдържат промоции на продукти“, допълва той.

МАЛВЪРТАЙЗИНГ

За малвъртайзинг инциденти сме ви разказвали достатъчно тук в Kaldata. Добре е да не се бърка с адуера. При рансъмуер атаките бива компрометирана мрежа на доставчика на реклама или уеб ресурса, който посещавате. За съжаление с разрастването и разпространението на онлайн реклама, с усложняването на пазара на реклама и развитието на уеб технологиите, които позволяват не само вашия браузър да си контактува с уеб ресурсите, но и те с него и системата, малвъртайзингът се превръща в епидемия, засягаща милиони, а зловредна реклама може да срещнете не само на сенчести и слабо защитени сайтове, но и на големи ресурси, като в миналото жертва на този тип заплаха са ставали посетителите на Nike.com, Java.com, сайта на Forbes, сайта на лондонската стокова борса, на New York Times и ужасно много други. А освен да заразяват посетителите и да уронват престижа на въпросните ресурси, престъпниците използват различни други схеми за кражба на кликове и импресии. За съжаление, в последните години се наблюдават малвъртайзинг атаки, при които не е задължително жертвата да клика върху рекламния банер, а просто да зареди страницата в браузъра си в т.нар. drive-by download атаки, при които в системата се настанява код, който може да позволи незабележимото сваляне и инсталиране на всякакъв род зловредни програми.

СПАЙУЕР

Шпионските програми са софтуер, който се използва, както се подразбира от името им, за следене на активността – като например т.нар. кийлогъри, които записват натисканите клавиши на клавиатурата.

„Адуер и спайуер програмите обикновено са най-лесни за премахване, често защото те не нанасят такава вреда на системата, както другите типове зловредни програми. Намерете изпълнимият им файл и предотвратете изпълнението им – готово“, пише Граймс. Макар и да не са толкова сложни и проблематични, както другите зловреди, адуер и спайуер програмите често са симптом за присъствието на далеч по-голям проблем – че устройството или потребителят има далеч по-голям проблем, който е нужно да бъде коригиран, преди наистина зловредната програма да се появи.

Днес много зловредни програми и атаки са комбинация от някой от изброените типове – те могат да започнат с подлъгване на потребителя да си инсталира невинно изглеждаща програма (троянец), а след това да се свърже с управляващият я, който да направи системата част от зомби мрежа, която да му служи за някаква друга цел (ботнет).

Едно нещо за лечението на инфектирана система е нужно да се знае обаче, което е посочвано и от Граймс. Много специалисти по информационна защита ще ви кажат, че веднъж проникнал зловреден код в системата, тя би трябвало да се счита за несигурна и да се изгради от нулата. Дали ще е открит порт, ключ в регистъра, скрита папка или нещо друго – атакуващата страна често си оставя вратичка, през която да влезе отново в системата. Именно поради това, задължителното действие от страна на жертвата е да снеме доверието си от нея и да изгради наново.

„Освен, ако не сте добре обучен в премахването на зловреден код и разследване на компютърни инциденти, архивирайте данните, форматирайте устройството и инсталирайте наново програмите и данните, когато намерите зловредна програма на компютъра си. Наложете обновления и се уверете, че крайният потребител знае къде е сбъркал. По този начин, вие получавате надеждна компютърна платформа и продължавате напред в битката с всеки останал неотговорен въпрос или заплаха.

Абонирай се
Извести ме за
guest
7 Коментара
стари
нови
Отзиви
Всички коментари