Kõik pahavara on pahatahtlikud, kuid kuigi mõnda pahavara on lihtne märgata, võivad teised vältida isegi täiustatud kaitsevorme.
Meie üliühendatud maailmas on pahavara sageli küberkurjategijate valitud relv.
Sellel pahatahtlikul tarkvaral on mitu vormi, millest igaühel on oma turvaohu tase. Häkkerid kasutavad neid hävitavaid tööriistu seadmete pealtkuulamiseks, andmete rikkumiseks, rahalise laastamise tekitamiseks ja isegi tervete ettevõtete kogumiseks.
Pahavara on vastik tarkvara, mille peate võimalikult kiiresti kõrvaldama, kuid mõni pahavara peidab end paremini kui teised. Miks see nii on, on palju pistmist selle programmi tüübiga, mida proovite leida.
1. Rootkitid
Juurkomplektid on pahatahtlikud programmid, mis on loodud selleks, et tungida sihitud süsteemi ja haarata salaja volitamata kontrolli, vältides samal ajal tuvastamist.
Nad roomavad salaja operatsioonisüsteemi kõige sisemistesse kihtidesse, näiteks kerneli või alglaadimissektorisse. Nad saavad muuta või pealt kuulata süsteemikõnesid, faile, protsesse, draivereid ja muid komponente, et vältida viirusetõrjetarkvara tuvastamist ja eemaldamist. Samuti võivad nad sisse hiilida peidetud uste kaudu, varastada teie andmeid või panna endast rohkem teavet teie arvutisse.
Kurikuulus Stuxneti uss, üks kõigi aegade kurikuulsamad pahavararünnakud, on ilmekas näide juurkomplekti varjamisvõimalustest. Iraani tuumaprogramm seisis 2000. aastate lõpus silmitsi tõsiste häiretega selle keerulise pahavara tõttu, mis ründas konkreetselt tema uraani rikastamisrajatisi. Stuxneti juurkomplekti komponent oli selle varjatud toimingutes oluline, võimaldades ussil tungida tööstuslikesse juhtimissüsteemidesse ilma häireid tekitamata.
Juurkomplektide tuvastamine esitab nende tabamatu olemuse tõttu ainulaadseid väljakutseid. Nagu varem öeldud, võivad mõned juurkomplektid teie viirusetõrjetarkvara keelata või rikkuda, muutes selle ebatõhusaks või isegi teie vastu. Mõned juurkomplektid võivad süsteemi taaskäivitamise või kõvaketta vormingu üle elada, nakatades alglaadimissektori või BIOS-i.
Installige alati oma süsteemi ja tarkvara uusimad turbevärskendused, et kaitsta oma süsteemi juurkomplektide eest, mis kasutavad teadaolevaid turvaauke. Lisaks vältige tundmatutest allikatest pärit kahtlaste manuste või linkide avamist ning kasutage võrguühenduse kaitsmiseks tulemüüri ja VPN-i.
2. Polümorfism
Polümorfne pahavara on teatud tüüpi ründetarkvara mis võib muuta oma koodistruktuuri iga versiooni puhul erinevaks, säilitades samal ajal selle kahjuliku eesmärgi.
Koodi muutes või krüptimist kasutades püüab polümorfne pahavara turvameetmetest kõrvale hiilida ja jääda varjatuks nii kaua kui võimalik.
Polümorfse pahavaraga on turbespetsialistidel raske võidelda, kuna see muudab pidevalt oma koodi, luues lugematuid unikaalseid versioone. Igal versioonil on erinev struktuur, mistõttu on traditsiooniliste tuvastamismeetodite jaoks raske sammu pidada. See ajab segadusse viirusetõrjetarkvara, mis vajab regulaarset värskendust, et pahavara uued vormid täpselt tuvastada.
Polümorfne pahavara on samuti ehitatud keerukate algoritmidega, mis genereerivad uusi koodivariatsioone. Need algoritmid nõuavad mustrite analüüsimiseks ja tuvastamiseks märkimisväärseid arvutusressursse ja töötlemisvõimsust. See keerukus muudab polümorfse pahavara tõhusa tuvastamise veelgi keerulisemaks.
Nagu ka muud tüüpi ründevara puhul, hõlmavad nakkuse vältimiseks mõned põhitoimingud selle kasutamist mainekas viirusetõrjetarkvara ja hoida seda ajakohasena, vältides kahtlaste manuste või tundmatutest allikatest pärinevate linkide avamist ning varundage regulaarselt oma faile, et aidata taastada süsteemi ja taastada andmeid nakatumise korral.
3. Failita pahavara
Failivaba pahavara töötab traditsioonilisi faile või käivitatavaid faile maha jätmata, muutes allkirjapõhise tuvastamise vähem tõhusaks. Ilma tuvastatavate mustrite või allkirjadeta on traditsioonilistel viirusetõrjelahendustel raske seda tüüpi pahavara tuvastada.
Failivaba pahavara kasutab oma tegevuste teostamiseks ära olemasolevaid süsteemitööriistu ja protsesse. See kasutab seaduslikke komponente, nagu PowerShell või WMI (Windows Management Instrumentation), et käivitada oma kasulik koormus ja vältida kahtlusi, kuna see töötab volitatud toimingute piires.
Ja kuna see asub ega jäta jälgi süsteemi mällu ega kettale, on failivaba pahavara olemasolu tuvastamine ja kohtuekspertiisi analüüs pärast süsteemi taaskäivitamist või seiskamist keeruline.
Mõned failita pahavara rünnakute näited on Code Red Worm, mis kasutas ära Microsofti IIS-i haavatavust. server aastal 2001 ja USB Thief, mis asub nakatunud USB-seadmetes ja kogub teavet sihitud süsteem.
Enda kaitsmiseks failivaba pahavara eest peaksite olema ettevaatlik, kui kasutate tundmatutest allikatest pärit kaasaskantavat tarkvara või USB-seadmeid, ning järgige teisi ohutusnõuandeid, millele oleme varem vihjanud.
4. Krüpteerimine
Üks viis andmete kaitsmiseks soovimatu kokkupuute või häirete eest on kasutada krüptimist. Pahatahtlikud osalejad võivad aga tuvastamisest ja analüüsist kõrvalehoidmiseks kasutada ka krüptimist.
Pahavara saab avastamisest kõrvale hoida, kasutades krüptimist kahel viisil: pahavara kasuliku koormuse ja pahavara liikluse krüpteerimine.
Pahavara kasuliku koormuse krüpteerimine tähendab, et pahavara kood krüpteeritakse enne sihtsüsteemi edastamist. See võib takistada viirusetõrjetarkvara faili skannimist ja selle pahatahtlikuna tuvastamist.
Teisest küljest tähendab pahavaraliikluse krüptimine seda, et pahavara kasutab oma käsu- ja juhtimisserveri (C&C) või muude nakatunud seadmetega suhtlemiseks krüptimist. See võib takistada võrguturbetööriistu liiklust jälgimast ja blokeerimast ning selle allika ja sihtkoha tuvastamisest.
Õnneks saavad turvatööriistad siiski kasutada erinevaid meetodeid krüptitud pahavara leidmiseks ja peatamiseks, näiteks käitumisanalüüsi, heuristiline analüüs, signatuurianalüüs, liivakast, võrguanomaalia tuvastamine, dekrüpteerimistööriistad või vastupidine inseneritöö.
5. Kaugelearenenud püsivad ohud
Täiustatud püsivad ohurünnakud kasutavad sageli kombinatsiooni sotsiaalsest manipuleerimisest, võrku sissetungimisest, nullpäevast ärakasutamistest ja kohandatud pahavarast, et tungida sihitud keskkonda ja seal püsivalt tegutseda.
Kuigi pahavara võib olla APT rünnaku osa, ei ole see ainus määrav tunnus. APT-d on kõikehõlmavad kampaaniad, mis hõlmavad mitut rünnakuvektorit ja võivad sisaldada erinevat tüüpi pahavara ning muid taktikaid ja tehnikaid.
APT-ründajad on väga motiveeritud ja otsustavad säilitada sihtvõrgus või -süsteemis pikaajalist kohalolekut. Nad kasutavad pideva juurdepääsu tagamiseks ja tuvastamise vältimiseks keerukaid püsivusmehhanisme, nagu tagauksed, juurkomplektid ja peidetud käsu- ja kontrolliinfrastruktuur.
Need ründajad on ka kannatlikud ja ettevaatlikud ning planeerivad ja viivad oma toiminguid hoolikalt läbi pikema aja jooksul. Nad teevad toiminguid aeglaselt ja vargsi, minimeerides mõju sihtsüsteemile ja vähendades avastamise tõenäosust.
APT-rünnakud võivad hõlmata siseringi, kus ründajad kasutavad volitamata juurdepääsu saamiseks ära legitiimseid juurdepääsuõigusi või kompromiteerivad siseringi. See muudab tavapärase kasutajategevuse eristamise pahatahtlikest tegevustest keeruliseks.
Olge kaitstud ja kasutage pahavaravastast tarkvara
Hoidke need saladused saladuses. Olge küberkurjategijatest sammu võrra ees ja vältige pahavara enne, kui see muutub probleemiks, mida peate otsima ja tühjendama.
Ja pidage meeles seda kuldreeglit: kui miski näeb välja hämmastav, on see tõenäoliselt pettus! See on lihtsalt sööt, et meelitada teid hätta.
