Malware - żarty się skończyły
-
- Józef Muszyński,
- 10.12.2010, godz. 10:41
Masa krytyczna kodów złośliwych
Obecnie malware stawiają olbrzymie wyzwania przed dostawcami narzędzi ochronnych. Prosto zaszyfrowane programy malware rozwinęły się w kody polimorficzne, wykorzystujące miliony losowo wygenerowanych kluczy szyfrujących. Z kolei kod polimorficzny rozwinął się w malware metamorficzne, które reorganizują własny kod w biegu, rekompilując ten kod dla każdej nowej ofiary.
Wiele botnetów generuje nowy wygląd malware dla każdej nowej ofiary, a spam lub phishing docierający do użytkownika zawierają odnośniki webowe, które są unikatowe. Malware wysyłane do konkretnej ofiary nigdy wcześniej nie występowało w takiej postaci i prawdopodobnie nie zaistnieje już ponownie - każdy wynikowy program złośliwy jest "jednorazowego użytku". Botnety mogą być wykorzystywane przez ich dysponentów do kradzieży pieniędzy, prowadzenia ataków DDoS (Distributed Denial of Service) lub włamywania się do innych komputerów. Dysponenci botnetu często oferują swoje usługi do wynajęcia innym przestępcom, którzy używają ich do cyberprzestępstw.
Zobacz również:
- Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
- Cyberobrona? Mamy w planach
- Wyjaśniamy czym jest SD-WAN i jakie są zalety tego rozwiązania
Pliki malware są często spakowane w pliki chronione hasłem, aby oszukać skanery sieciowe, i używają tuneli SSL/TLS na porcie 443 TCP jako sposobu ominięcia inspekcji sieciowej.
Dziesiątki milionów nowych kodów złośliwych tworzonych każdego roku stwarzają problem skuteczności wykrywania dostawcom środków antymalware. Statystyki VirusTotal pokazują, że tylko bardzo mały odsetek próbek programów malware dostarczonych w ciągu ostatniej doby jest wykrywany przez silniki antymalware.
Robak Stuxnet, który pojawił się w sieci w połowie czerwca br., jest uważany za jeden z najlepiej napisanych złośliwych programów, jakie kiedykolwiek pojawiły się w internecie.
Atakuje Windows przez cztery różne błędy w zabezpieczeniach. Nigdy wcześniej nie było złośliwego programu, który korzystałby z aż tylu nieznanych wcześniej luk w zabezpieczeniach. Malware napisany w kilku różnych językach to niespełna 0,5 MB.
Stuxnet jest w stanie skutecznie atakować komputery PC wykorzystywane jako stacje kontrolne dla systemów SCADA (nadzór procesów technologicznych bądź produkcyjnych). Celem takiego ataku stał się m.in. Siemens. Stuxnet potrafi być niezwykle skuteczny - z analiz przeprowadzonych przez Symantec wynikało, że w pewnym momencie robak zainfekował ponad 60% wszystkich komputerów w Iranie.
(idg.pl)
W tej sytuacji nasuwa się pytanie: po co tworzyć sygnatury dla programów antywirusowych, jeżeli zidentyfikowany kod nie pojawi się już ponownie? Na przykład Symantec w 2009 r. opracował 2 895 802 nowych sygnatur destrukcyjnego kodu - 71% więcej niż w 2008 r. Dostawcy systemów ochronnych muszą raczej udoskonalać metody wykrywania wariantów w ramach rodzin malware, na podstawie ich wspólnych cech, a istotną rolę powinny odgrywać m.in. zabezpieczenia oparte na analizie reputacji i uwzględniające wszystkie rodzaje plików.
Najsłabsze ogniwo - człowiek
W przeszłości większość profesjonalnych napastników próbowała włamywać się do sieci firmowej przez witryny webowe lub serwery baz danych. Zasoby te są obecnie umiejscawiane zazwyczaj w mocno strzeżonych komputerach. Są one chronione przez zapory ogniowe, systemy wykrywania włamań, programy są poddawane procesom rewizji kodów, a także są regularnie audytowane pod kątem podejrzanej aktywności.
Obecnie napastnik "poluje" na użytkownika, któremu będzie mógł zainstalować konia trojańskiego. Wtedy nie będzie musiał zajmować się zamkniętymi drzwiami, hasłami czy zaporami ogniowymi. Wykrycie podejrzanych działań napastnika usiłującego przejąć właściwości uwierzytelniania upoważnionego użytkownika jest dla zespołu odpowiedzialnego za bezpieczeństwo szczególnie trudne.
