Image Image Image Image Image Image Image Image Image Image
Ma hétfő van, 2018. december 17. Az év 351. napja, az időszámításunk kezdete óta eltelt 737442. nap.
Lapozzon a lap tetejére

Lap tetejére

Van védelem a jövő vírusa ellen is

Van védelem a jövő vírusa ellen is Van védelem a jövő vírusa ellen is
Infovilág

Egyre gyakoribbak a fájl nélküli, csakis a számítógép memóriájában működő kártevők. Az ilyen támadások azért veszélyesek, mert nincs olyan fájl, amelyet a víruslaboratóriumokban elemezni lehetne, és amelynek az ujjlenyomatát a hagyományos víruskereső technológiák felismernék.

A kiberbiztonsági szakemberek mostanában sokat beszélnek a fájlmentes támadásokról, mivel a reneszánszát éli a 2000-es évek elején megjelent támadásforma. Elég, ha csak a vírusstatisztikát nézzük: tavaly a legtöbb támadást (13 százalék) fájl nélküli kártevő indította. A Barkly és a Ponemon Institute felmérése szerint a fájlmentes támadásoknak tízszer nagyobb az esélyük a sikerre, mint a fájl alapú támadásoknak – nagy valószínűséggel ezért növekszik ennek a támadásfajtának a népszerűsége.

A fájlmentes megnevezés elsőre akár félrevezető lehet, mert a számítógépeken esetenként mégis kimutatható a nem odaillő, kártékony fájlok jelenléte. Ennek oka, hogy a támadáskor a kártevő sokszor egy e-mail csatolmányban érkezik. Ugyanakkor a fájlmentes elnevezés megállja a helyét, mert az aktiválódásuk után a kártevők ismert sérülékenységeket kihasználva, legitim eszközök segítségével a memóriából indulnak. A kártevő ezután kizárólag a memóriában található meg, a merevlemezen semmilyen nyoma nincsen.

Ma már természetesen a vezető vírusirtó szoftverek mindegyike tartalmaz olyan új generációs vírus-felismerési technológiákat, melyek nem a hagyományos módon (szignatúrák alapján) ismerik fel a kártevőket, hanem különböző heurisztikus és proaktív technológiák, vagy éppen a memória felügyeletének a segítségével. Érdekesség, hogy a legnagyobb gyártók ritkán reklámozzák önmagukat új generációs védelemként, mivel természetesnek veszik, hogy az új kártevők ellen új védelmi mechanizmusokat fejlesztenek ki. Így a „next generation” jelzőt jellemzően feltörekvő kisebb cégek szokták a zászlajukra tűzni.

A G Daíta a fájlok nélkül működő kártevők elemzésén keresztül arra hívja fel a figyelmet, hogy a jövőben ezek a megelőző felismerési technológiák még nagyobb szerepet kapnak, és a kártevőkhöz hasonlóan a vírusvédelem működése is átalakul.

Rozena és Fodevepdf – A német vírusvédelmi cég szakértői két fáljmentes kártevőt elemeztek. A Rozena egy backdoor (hátsó ajtó), amely a megcélzott számítógépen egy rejtett ajtón keresztül nyit kommunikációs csatornát a kártevő szerzőjének. Miután ez a csatorna kinyílt, a támadó kedve szerint garázdálkodhat a megtámadott számítógépen. Mindkét, a régebbi és az új Rozena kártevő is a Windows operációs rendszerű számítógépeket támadja. A különbség a két változat között, hogy a 2018-i verzió a fájlmentes technikát alkalmazza: PowerShell szkripteket használ.

A Rozenát egyébként vagy egy másik kártevő juttathatja számítógépünkre, vagy egyszerűen letöltődik a gépre, amikor fertőzött weboldalakat látogatunk. Emellett csatolmányként is érkezhet egy célzottan küldött e-mailben. Általában szöveges (word-) dokumentumnak álcázza magát, holott egy futtatható fájl.

Futtatás után a kártevő egy Hi6kI7hcxZwU nevű szövegfájlt hoz létre, melyet a %temp% mappába menti. A futtatható fájl ezután kódolt PowerShell parancsokat indít el. Elsőként megalkot egy újabb PowerShell parancssort – ezt creator, azaz alkotó szkriptnek nevezték el. Ez kikódolja a Hi6kI7hcxZwU nevű szövegfájlt, majd egy újabb PowerShell parancssort hajt végre – ez a dekódoló (decoder) szkript. Ezt a parancssort beinjektálja a PowerShell.exe-be – ez az injector script. Itt kezdődik a fájlmentes támadási szakasz, amikor a PowerShellbe bejuttatott kód egy kétoldali TCP-kapcsolatot nyit egy távoli szerver felé, mely a kártevő szerzőjének hozzáférést biztosít a kiszemelt számítógéphez.

A második elemzett kártevő egy letöltő, teljes neve Script.Trojan-Downloader.Fodevepdf.A. Ezeket a letöltőket is kedvelik a támadók, mert segítségükkel bármit az áldozat számítógépére lehet helyezni. A legtöbb esetben egy kis, a merevlemezen rejtve maradt programot használnak erre a célra. Ebben a mostani letöltőben az a különleges, ahogyan megkerüli az User Account Control (UAC) jogokat. A Windowsban az UAC biztosítja azt, hogy a magasabb jogosultságot igénylő műveleteket a felhasználó engedélyezze.

Dióhéjban: ebben az esetben a letöltő a rendszerleíró adatbázisba több kulcsot ír; ezeket pedig arra használja, hogy egy olyan folyamatot indítson el, melynek rendszerjogosultságai vannak, miközben a támadó mindvégig ellenőrzi a viselkedését. A kártevő működésének bővebb technikai leírását a G Data whitepaperében találhatjuk meg.