Video: Our Planet | Forests | FULL EPISODE | Netflix (Mayıs 2024)
Bazı kötü amaçlı yazılım saldırıları o kadar barizdir ki, mağdur olduğunuz gerçeğini kaçıramazsınız. Ransomware programları, kilidini açmak için ödeme yapana kadar bilgisayarınıza tüm erişimi engeller. Sosyal medya korsanları, sosyal medya sayfalarınızda garip durum güncellemeleri yayınlayarak zehirli bağlantılarını tıklayan herkesi enfekte eder. Adware programları, hiçbir tarayıcı açık olmasa bile masaüstünüzü pop-up reklamlarla doldurur. Evet, bunların hepsi oldukça can sıkıcıdır, ancak bildiğinizden beri bir virüsten koruma çözümü bulmak için çalışabileceğiniz bir sorun vardır.
Tamamen görünmez bir kötü amaçlı yazılım istilası çok daha tehlikeli olabilir. Virüsten koruma yazılımınız bunu "göremez" ve istenmeyen davranışları fark etmezseniz, kötü amaçlı yazılım çevrimiçi bankacılık işlemlerinizi izlemekte veya bilgi işlem gücünü gereksiz amaçlar için kullanmakta özgürdür. Nasıl görünmezler? İşte kötü amaçlı yazılımın sizden saklanabileceği dört yol, ardından görünmeyenleri görmek için bazı fikirler.
İşletim Sistemi Yıkımı
Windows Gezgini'nin tüm fotoğraflarımızı, belgelerimizi ve diğer dosyalarımızı listeleyebildiğini kabul ediyoruz, ancak bunun gerçekleşmesi için sahne arkasında çok şey oluyor. Bir yazılım sürücüsü bit ve baytları almak için fiziksel sabit diskle iletişim kurar ve dosya sistemi bu bit ve baytları işletim sistemi için dosya ve klasörlere dönüştürür. Bir programın dosya veya klasör listesi alması gerektiğinde, işletim sistemini sorgular. Gerçekte, herhangi bir program dosya sistemini doğrudan sorgulamakta ya da doğrudan donanım ile iletişim kurmakta özgür olabilir, ancak sadece işletim sistemini aramak çok daha kolaydır.
Rootkit teknolojisi, kötü niyetli bir programın, işletim sistemine bu çağrıları arayarak kendisini görünümden etkin bir şekilde silmesini sağlar. Bir program belirli bir konumdaki dosyaların listesini sorduğunda, rootkit bu isteği Windows'a iletir, ardından listeye geri dönmeden önce kendi dosyalarına yapılan tüm referansları siler. Hangi dosyaların bulunduğu hakkında bilgi için kesinlikle Windows'a dayanan bir virüsten koruma yazılımı kök dizisini asla görmez. Bazı rootkit'ler Kayıt defteri ayarlarını gizlemek için benzer numaralar uygularlar.
Dosya Yok Kötü Amaçlı Yazılım
Tipik bir antivirüs diskteki tüm dosyaları tarar, hiçbirinin kötü niyetli olmadığından emin olup olmadığını kontrol eder ve çalıştırmasına izin vermeden önce her dosyayı tarar. Peki ya dosya yoksa? On yıl önce slammer solucan dünya çapında ağlara zarar verdi. Rasgele kod yürütmek için bir arabellek taşması saldırısı kullanarak doğrudan belleğe yayıldı ve diske hiçbir zaman dosya yazmadı.
Daha yakın bir zamanda, Kaspersky araştırmacıları Rus haber sitelerine gelen ziyaretçilere saldıran no-file Java enfeksiyonu bildirdi Afiş reklamları aracılığıyla yayılan istismar, doğrudan gerekli bir Java işlemine enjekte edilen koddur. Kullanıcı Hesabı Denetimi'ni kapatmayı başarırsa, daha sonra yapılacaklar hakkında talimatlar için komut ve kontrol sunucusuyla irtibata geçecektir. Havalandırma kanallarından içeri giren ve mürettebatın geri kalanı için güvenlik sistemini kapatan bir banka soyguncusu olarak düşünün. Kaspersky'ye göre, bu noktada ortak bir eylem, Lurk Trojan'ı kurmak.
Kesinlikle bellekte olan kötü amaçlı yazılımlar, bilgisayarı yeniden başlatarak temizlenebilir. Bu, kısmen, Slammer'ı gün içinde nasıl geri almayı başardıklarıdır. Ancak bir sorun olduğunu bilmiyorsanız, yeniden başlatmanız gerekeceğini bilemezsiniz.
Dönüş Odaklı Programlama
Microsoft'un BlueHat Ödülü güvenlik araştırması yarışmasındaki üç finalist de Dönüş Odaklı Programlama veya ROP ile uğraşma ile ilgilendi. ROP kullanan bir saldırı sinsidir, çünkü çalıştırılabilir kod yüklemez, öyle değil. Aksine, işletim sisteminin parçaları dahil olmak üzere diğer programlarda istediği talimatları bulur.
Özellikle, bir ROP saldırısı, hem yararlı bir işlev gerçekleştiren hem de bir RET (return) talimatıyla sonlanan kod bloklarını (uzmanlar tarafından "gadget" denir) arar. CPU bu talimata ulaştığında, çağrıyı kontrol etme işlevine geri döner, bu durumda bir sonraki kodlanmış kod bloğunu başlatan ROP kötü amaçlı yazılımını, belki de farklı bir programdan. Gadget adreslerinin bu büyük listesi yalnızca veridir, bu nedenle ROP tabanlı kötü amaçlı yazılımları tespit etmek zordur.
Frankenstein Kötü Amaçlı Yazılım
Geçen yılki Usenix WOOT (Hücum Teknolojileri Çalıştayı) konferansında, Dallas'taki Texas Üniversitesi'nden bir çift araştırmacı, Return Oriented Programming'a benzer bir fikir sundu. "Frankenstein: Benign Binaries’dan Kötü Amaçlı Yazılımları Dikmek" başlıklı bir makalede, bilinen ve güvenilir programlardan kod parçalarını bir araya getirerek tespit edilmesi zor bir malware oluşturmak için bir teknik açıkladılar.
“Yeni ikiliyi tamamen iyi sınıflandırılmış ikili dosyalar için ortak olan bayt dizilerinin dışında bir araya getirerek, ” açıklıyor, “sonuçta ortaya çıkan mutantların hem beyaz liste hem de ikili özelliklerin kara listeye alınmasını içeren imzalarla eşleşme olasılığı daha düşük”. Bu teknik, ROP'dan çok daha esnektir, çünkü yalnızca çok önemli RET komutuyla biten bir yığın yerine herhangi bir kod parçasını içerebilir.
Görünmez nasıl görülebilir
İşin iyi yanı, bu gizli kötü niyetli programları tespit etmek için yardım alabilirsiniz. Örneğin, virüsten koruma programları, kök kitlerini çeşitli şekillerde algılayabilir. Yavaş ama basit bir yöntem, Windows tarafından bildirildiği şekilde diskteki tüm dosyaların denetlenmesini, dosya sistemini doğrudan sorgulayarak başka bir denetlemenin yapılmasını ve tutarsızlıklar aramayı içerir. Kök setleri özellikle Windows'u altüst ettiklerinden, Windows olmayan bir işletim sistemine önyükleyen bir virüsten koruma kanmayın.
Yalnızca bellek içeren, dosya içermeyen bir tehdit, etkin işlemleri izleyen veya saldırı vektörünü engelleyen virüsten koruma korumasına neden olur. Güvenlik yazılımınız, bu tehdidi ortaya çıkaran virüslü web sitesine erişimi engelleyebilir veya enjeksiyon tekniğini engelleyebilir.
Frankenstein tekniği, kesinlikle imza tabanlı bir virüsten koruma yazılımını kandırabilir, ancak modern güvenlik araçları imzaların ötesine geçer. Eğer patchwork malware aslında kötü niyetli bir şey yaparsa, davranış tabanlı bir tarayıcı muhtemelen onu bulur. Ve daha önce hiçbir yerde görülmediğinden, Symantec'in Norton File Insight gibi yaygınlığını dikkate alan bir sistem onu tehlikeli bir anomali olarak işaretler.
Dönüş Odaklı Programlama saldırılarını hafifletmek gelince, bu zor bir şey ama bu sorunu çözmek için çok fazla beyin gücü harcandı. Ekonomik güç de - Microsoft bu konuda çalışan üst düzey araştırmacılara çeyrek milyon dolar verdi. Ayrıca, belirli geçerli programların varlığına çok fazla güvendikleri için, ROP saldırılarının yaygın bir kötü amaçlı yazılım kampanyasında değil, belirli hedeflere karşı kullanılması daha olasıdır. Ev bilgisayarınız muhtemelen güvenlidir; ofis PC'niz, çok değil.
