Malware – a na co to komu potrzebne
Malware to złośliwe oprogramowanie, które umożliwia nieautoryzowany dostęp do sieci/urządzenia końcowego w celu kradzieży, sabotażu lub szpiegostwa. Istnieje wiele rodzajów złośliwego oprogramowania, a wiele ataków wykorzystuje kombinację kilku typów malware, aby osiągnąć swoje cele. Zwykle atakujący wprowadza je do sieci poprzez wyłudzone informacji dostępowe, złośliwe załączniki lub złośliwe pliki do pobrania, ale może również uzyskać dostęp za pośrednictwem inżynierii społecznej lub dysków flash. W tekście opisujemy najpopularniejsze typy malware, wraz z przykładami.
Fileless Malware
Złośliwe oprogramowanie bezplikowe nie instaluje początkowo niczego, zamiast tego wprowadza zmiany w plikach natywnych dla systemu operacyjnego, takich jak PowerShell lub WMI. Ponieważ system operacyjny rozpoznaje edytowane pliki jako legalne, oprogramowanie antywirusowe nie przechwytuje ataku bezplikowego a ponieważ ataki są ukryte, są do dziesięciu razy skuteczniejsze niż tradycyjne ataki złośliwego oprogramowania.
PRZYKŁAD: Astaroth to bezplikowa kampania złośliwego oprogramowania, która spamowała użytkowników linkami do pliku ze skrótem .LNK. Gdy użytkownicy pobierali plik, uruchamiane było narzędzie WMIC wraz z wieloma innymi legalnymi narzędziami systemu Windows. Te narzędzia pobierały dodatkowy kod, który był wykonywany tylko w pamięci, nie pozostawiając żadnych śladów, które mogłyby zostać wykryte przez skanery podatności. Następnie osoba atakująca pobierała i uruchamiała trojana, który kradł dane uwierzytelniające i przesłał je na zdalny serwer.
Ransomware
Oprogramowanie, które wykorzystuje szyfrowanie, aby uniemożliwić użytkownikowi dostęp do jego danych do czasu zapłacenia okupu. Organizacja ofiary jest częściowo lub całkowicie niezdolna do działania, dopóki nie zapłaci, ale nie ma gwarancji, że płatność spowoduje uzyskanie niezbędnego klucza deszyfrującego lub że dostarczony klucz deszyfrujący będzie działał prawidłowo.
PRZYKŁAD: WannaCry, szyfrujący robak komputerowy ransomware, został po raz pierwszy wydany 12 maja 2017 r. Żądanie okupu wahało się od 300 do 600 USD do zapłacenia w kryptowalutach Bitcoin. Ransomware WannaCry jest również znane jako WannaCrypt, WCry, Wana Decrypt0r 2.0, WannaCrypt0r 2.0 i Wanna Decryptor. Jego celem są komputery z przestarzałymi wersjami systemów operacyjnych Microsoft Windows, wykorzystując lukę EternalBlue w protokole Server Message Block (SMB). Pozwoliło to na rozprzestrzenianie się oprogramowania ransomware bez udziału ofiary. Grupa znana jako The Shadow Brokers ukradła exploit EternalBlue z Agencji Bezpieczeństwa Narodowego Stanów Zjednoczonych (NSA) na kilka miesięcy przed cyberatakiem.Exploit EternalBlue został odkryty, ale nie ujawniony, przez NSA przed atakiem. Od tego czasu NSA była krytykowana za to, że nie ujawniła tego exploita Microsoft ani opinii publicznej w CVE, co mogło pozwolić na jego załatanie przed WannaCry. Pomimo szybkiego łatania i odkrycia domeny przełącznika awaryjnego, WannaCry był w stanie rozprzestrzenić się na około 200 000 komputerów w 150 krajach, powodując szkody rzędu setek milionów do miliardów dolarów. Znaczna część sukcesu WannaCry wynikała ze słabego procesu łatania.
Spyware
Oprogramowanie szpiegujące zbiera informacje o działaniach użytkowników bez ich wiedzy i zgody. Może to obejmować hasła, szpilki, informacje o płatnościach i nieustrukturyzowane wiadomości. Wykorzystanie oprogramowania szpiegującego nie ogranicza się do przeglądarki na komputerze: może również działać w krytycznej aplikacji lub na telefonie komórkowym.
PRZYKŁAD: DarkHotel spyware był skierowany do liderów biznesu i rządów korzystających z hotelowej sieci WIFI, wykorzystywał kilka typów złośliwego oprogramowania w celu uzyskania dostępu do systemów należących do określonych potężnych osób. Po uzyskaniu dostępu osoby atakujące zainstalowały keyloggery, aby przechwycić hasła celów i inne poufne informacje.
Adware
Oprogramowanie reklamowe śledzi aktywność użytkownika w sieci, aby określić, które reklamy mają mu wyświetlać. Chociaż oprogramowanie reklamowe jest podobne do oprogramowania szpiegującego, nie instaluje żadnego oprogramowania na komputerze użytkownika ani nie przechwytuje naciśnięć klawiszy. Zagrożeniem związanym z oprogramowaniem reklamowym jest erozja prywatności użytkownika – dane przechwytywane przez oprogramowanie reklamowe są zestawiane z danymi przechwyconymi jawnie lub potajemnie na temat aktywności użytkownika w innym miejscu w Internecie i wykorzystywane do tworzenia profilu tej osoby, w tym informacji o jej znajomych, co kupili, dokąd podróżowali i nie tylko. Informacje te mogą być udostępniane lub sprzedawane reklamodawcom bez zgody użytkownika.
PRZYKŁAD: Oprogramowanie reklamowe o nazwie Fireball zainfekowało 250 milionów komputerów i urządzeń w 2017 r., porywając przeglądarki w celu zmiany domyślnych wyszukiwarek i śledzenia aktywności w sieci. Jednak złośliwe oprogramowanie mogło stać się czymś więcej niż zwykłą uciążliwością. Trzy czwarte z nich było w stanie zdalnie uruchamiać kod i pobierać szkodliwe pliki.
Trojan
Podszywa się pod pożądany kod lub oprogramowanie. Po pobraniu przez niczego niepodejrzewających użytkowników trojan może przejąć kontrolę nad systemami ofiar w złośliwych celach. Trojany mogą ukrywać się w grach, aplikacjach, a nawet poprawkach oprogramowania lub mogą być osadzane w załącznikach zawartych w wiadomościach phishingowych.
PRZYKŁAD: Emotet to wyrafinowany trojan bankowy, który istnieje od 2014 roku. Z Emotetem trudno jest walczyć, ponieważ unika on wykrywania opartego na sygnaturach, jest trwały i zawiera moduły rozprzestrzeniające, które pomagają mu się rozprzestrzeniać. Trojan jest tak rozpowszechniony, że jest przedmiotem alertu Departamentu Bezpieczeństwa Wewnętrznego USA.
Worms
Robaki atakują luki w systemach operacyjnych, aby instalować się w sieciach i rozprzestrzeniać. Mogą uzyskać dostęp na kilka sposobów: przez backdoory wbudowane w oprogramowanie, niezamierzone luki w oprogramowaniu lub dyski flash. Po wdrożeniu robaki mogą być wykorzystywane przez złośliwe podmioty do przeprowadzania ataków DDoS, kradzieży wrażliwych danych lub przeprowadzania ataków ransomware.
PRZYKŁAD: Stuxnet został prawdopodobnie opracowany przez amerykańskie i izraelskie siły wywiadowcze z zamiarem powstrzymania irańskiego programu nuklearnego. Został wprowadzony do środowiska Iranu przez pamięć flash. Ponieważ środowisko było puste, twórcy nigdy nie myśleli, że Stuxnet ucieknie z sieci celu, ale tak się stało. Będąc na wolności, Stuxnet rozprzestrzeniał się agresywnie, ale wyrządził niewielkie szkody, ponieważ jego jedyną funkcją była ingerencja w kontrolery przemysłowe, które zarządzał.
Computer Virus
Wirus to fragment kodu, który wstawia się do aplikacji i jest wykonywany podczas jej uruchamiania. Gdy wirus znajdzie się w sieci, może zostać wykorzystany do kradzieży poufnych danych, przeprowadzania ataków DDoS lub przeprowadzania ataków ransomware.
Warto wiedzieć: Wirusy a trojany
Wirus nie może się uruchamiać ani rozmnażać, jeśli nie działa aplikacja, którą zainfekował. Ta zależność od aplikacji hosta sprawia, że wirusy różnią się od trojanów, które wymagają od użytkowników ich pobrania, oraz robaków, które „wykonują się” samodzielnie. Wiele przypadków złośliwego oprogramowania należy do wielu kategorii: na przykład Stuxnet to robak, wirus i rootkit.
Rootkit
To oprogramowanie, które daje złośliwym aktorom zdalną kontrolę nad komputerem ofiary z pełnymi uprawnieniami administratora. Rootkity można umieszczać w aplikacjach, jądrach systemu, hipervisorach lub middleware. Rozprzestrzeniają się poprzez wyłudzanie danych dostępowych, złośliwe załączniki, złośliwe pliki do pobrania i zainfekowane dyski współdzielone. Rootkity mogą być również wykorzystywane do ukrywania innych złośliwych programów, takich jak keyloggery.
PRZYKŁAD: Zacinlo infekuje systemy, gdy użytkownicy pobierają fałszywą aplikację VPN. Po zainstalowaniu Zacinlo przeprowadza kontrolę bezpieczeństwa w poszukiwaniu konkurencyjnego złośliwego oprogramowania i próbuje je usunąć. Następnie otwiera niewidoczne przeglądarki i wchodzi w interakcję z treścią jak człowiek przewijając, podświetlając i klikając. Ta aktywność ma na celu oszukanie oprogramowania do analizy behawioralnej. Ładunek Zacinlo pojawia się, gdy złośliwe oprogramowanie klika reklamy w niewidocznych przeglądarkach. To oszustwo związane z kliknięciami reklam zapewnia złośliwym podmiotom obniżenie prowizji.
Keylogger
To rodzaj oprogramowania szpiegującego, które monitoruje aktywność użytkowników. Keyloggery mają legalne zastosowania; firmy mogą używać ich do monitorowania aktywności pracowników, a rodziny mogą ich używać do śledzenia zachowań dzieci w Internecie. Jednak po zainstalowaniu w złośliwych celach keyloggery mogą być wykorzystywane do kradzieży danych dotyczących haseł, informacji bankowych i innych poufnych informacji. Keyloggery mogą zostać wprowadzone do systemu poprzez phishing, socjotechnikę lub pobranie ze strony internetowej.
PRZYKŁAD: Olympic Vision został wykorzystany do namierzenia biznesmenów z USA, Bliskiego Wschodu i Azji w celu przeprowadzenia ataków na biznesową pocztę elektroniczną (BEC). Olympic Vision wykorzystuje techniki spear-phishing i socjotechnikę do infekowania systemów celów w celu kradzieży poufnych danych i szpiegowania transakcji biznesowych.
Boty/botnet
Bot to aplikacja lub urządzenie, która wykonuje zautomatyzowane zadania na polecenie sterującego. Są wykorzystywane do legalnych celów, takich jak indeksowanie wyszukiwarek, ale gdy są wykorzystywane do złośliwych celów, przybierają formę samoczynnie rozprzestrzeniającego się złośliwego oprogramowania, które może łączyć się z powrotem z centralnym serwerem. Zwykle boty są wykorzystywane w dużych ilościach do tworzenia botnetu, czyli sieci botów wykorzystywanych do przeprowadzania szerokich zdalnie sterowanych fal ataków, takich jak ataki DDoS. Botnety mogą stać się dość ekspansywne. Na przykład botnet Mirai IoT obejmował od 800 000 do 2,5 mln komputerów.
PRZYKŁAD: Echobot to odmiana dobrze znanego Mirai. Echobot atakuje szeroką gamę urządzeń IoT, wykorzystując ponad 50 różnych luk w zabezpieczeniach, ale zawiera również exploity dla Oracle WebLogic Server i oprogramowania sieciowego VMWare SD-Wan. Ponadto złośliwe oprogramowanie szuka niezałatanych starszych systemów. Echobot może być używany przez złośliwe podmioty do przeprowadzania ataków DDoS, przerywania łańcuchów dostaw, kradzieży wrażliwych informacji z łańcucha dostaw i przeprowadzania sabotażu korporacyjnego.
Mobile Malware
Zagrożenia mobilnym złośliwym oprogramowaniem są tak różne, jak te atakujące komputery stacjonarne i obejmują trojany, oprogramowanie ransomware, fałszywe kliknięcia reklam i nie tylko. Są one rozpowszechniane za pośrednictwem phishingu i złośliwego pobierania i stanowią szczególny problem w przypadku telefonów po jailbreaku, które zazwyczaj nie mają domyślnych zabezpieczeń, które były częścią oryginalnych systemów operacyjnych tych urządzeń. Warto dodać, że jest to najszybciej rosnąca grupa malware’u.
PRZYKŁAD: Triada to trojan rootujący, który został wstrzyknięty do łańcucha dostaw, gdy miliony urządzeń z Androidem zostały wysłane z preinstalowanym złośliwym oprogramowaniem. Triada uzyskuje dostęp do wrażliwych obszarów w systemie operacyjnym i instaluje aplikacje spamujące. Aplikacje spamujące wyświetlają reklamy, czasem zastępując legalne reklamy. Gdy użytkownik kliknie jedną z nieautoryzowanych reklam, przychody z tego kliknięcia trafiają do programistów Triada.
Najlepszym podejściem do ochrony przed złośliwym oprogramowaniem jest zastosowanie ujednoliconego zestawu metod. Uczenie maszynowe, blokowanie exploitów, białe i czarne listy oraz wskaźniki ataku (IOC – Indicators of Compromise) czy wprowadzone ostatnio Indicators of Behaviour – wskaźniki zachowań, powinny być częścią strategii każdej organizacji w zakresie ochrony przed złośliwym oprogramowaniem.
Każdy może zostać dotknięty złośliwym oprogramowaniem, więc upewnij się, że jesteś chroniony przed możliwą infekcją.