Video: I 5 virus informatici più dannosi e pericolosi della storia (Novembre 2024)
Alcuni attacchi di malware sono così palesi che non puoi perdere il fatto di essere stato vittima. I programmi ransomware bloccano ogni accesso al tuo computer fino a quando non paghi per sbloccarlo. I dirottatori dei social media pubblicano bizzarri aggiornamenti di stato sulle pagine dei social media, infettando chiunque faccia clic sui loro collegamenti avvelenati. I programmi adware riempiono il tuo desktop di annunci popup anche quando non è aperto alcun browser. Sì, sono tutti abbastanza fastidiosi, ma poiché sai che c'è un problema puoi lavorare per trovare una soluzione antivirus.
Un'infestazione da malware totalmente invisibile può essere molto più pericolosa. Se il tuo antivirus non lo "vede" e non noti comportamenti spiacevoli, il malware è libero di tracciare le tue attività bancarie online o utilizzare la tua potenza di elaborazione per scopi nefasti. Come rimangono invisibili? Ecco quattro modi in cui il malware può nasconderti, seguito da alcune idee per vedere l'invisibile.
Sovversione del sistema operativo
Diamo per scontato che Windows Explorer possa elencare tutte le nostre foto, documenti e altri file, ma molto succede dietro le quinte per farlo accadere. Un driver software comunica con il disco rigido fisico per ottenere bit e byte e il file system interpreta quei bit e byte in file e cartelle per il sistema operativo. Quando un programma deve ottenere un elenco di file o cartelle, interroga il sistema operativo. In verità, qualsiasi programma sarebbe libero di interrogare direttamente il file system, o persino di comunicare direttamente con l'hardware, ma è molto più semplice chiamare semplicemente il sistema operativo.
La tecnologia Rootkit consente a un programma dannoso di cancellarsi efficacemente dalla vista intercettando quelle chiamate al sistema operativo. Quando un programma richiede un elenco di file in una determinata posizione, il rootkit passa tale richiesta a Windows, quindi elimina tutti i riferimenti ai propri file prima di restituire l'elenco. Un antivirus che si basa strettamente su Windows per informazioni sui file presenti non vedrà mai il rootkit. Alcuni rootkit applicano trucchi simili per nascondere le impostazioni del registro.
Malware senza file
Un tipico antivirus esegue la scansione di tutti i file sul disco, controllando che nessuno sia dannoso e scansiona anche ogni file prima di consentirne l'esecuzione. E se non ci fossero file? Dieci anni fa il worm slammer ha causato il caos sulle reti di tutto il mondo. Si propagò direttamente in memoria, usando un attacco di sovraccarico del buffer per eseguire codice arbitrario, e non scrisse mai un file su disco.
Più recentemente, i ricercatori di Kaspersky hanno riportato un'infezione da Java senza file che ha attaccato i visitatori di siti di notizie russi. Propagato attraverso banner pubblicitari, l'exploit ha iniettato il codice direttamente in un processo Java essenziale. Se riuscisse a disattivare il controllo dell'account utente, contatterà il suo server di comando e controllo per istruzioni su cosa fare dopo. Pensalo come un membro di una rapina in banca che striscia attraverso i condotti di ventilazione e spegne il sistema di sicurezza per il resto dell'equipaggio. Secondo Kaspersky, un'azione comune a questo punto è installare il Lurk Trojan.
I malware strettamente presenti nella memoria possono essere eliminati semplicemente riavviando il computer. Questo, in parte, è il modo in cui sono riusciti a eliminare Slammer nel corso della giornata. Ma se non sai che c'è un problema, non saprai che è necessario riavviare.
Programmazione orientata al ritorno
Tutti e tre i finalisti del concorso di ricerca sulla sicurezza del Premio BlueHat di Microsoft hanno coinvolto la programmazione orientata al ritorno o ROP. Un attacco che utilizza ROP è insidioso, perché non installa codice eseguibile, non come tale. Piuttosto, trova le istruzioni che desidera all'interno di altri programmi, anche parti del sistema operativo.
In particolare, un attacco ROP cerca blocchi di codice (chiamati "gadget" dagli esperti) che entrambi svolgono una funzione utile e finiscono con un'istruzione RET (ritorno). Quando la CPU raggiunge tale istruzione, restituisce il controllo al processo di chiamata, in questo caso il malware ROP, che avvia il successivo blocco di codice scansionato, forse da un programma diverso. Quel grande elenco di indirizzi di gadget sono solo dati, quindi è difficile rilevare malware basati su ROP.
Frankenstein's Malware
Alla conferenza Usenix WOOT (Workshop on Offensive Technologies) dell'anno scorso, una coppia di ricercatori dell'Università del Texas a Dallas ha presentato un'idea simile alla Programmazione orientata al ritorno. In un documento intitolato "Frankenstein: Stitching Malware from Benign Binaries", descrivevano una tecnica per creare malware difficili da rilevare riunendo blocchi di codice da programmi noti e affidabili.
"Componendo il nuovo binario interamente da sequenze di byte comuni ai binari ben classificati", spiega il documento, "i mutanti risultanti hanno meno probabilità di abbinare firme che includono sia la whitelist che la blacklist delle funzionalità binarie". Questa tecnica è molto più flessibile di ROP, perché può incorporare qualsiasi blocco di codice, non solo un blocco che termina con l'importantissima istruzione RET.
Come vedere l'invisibile
La cosa buona è che puoi ottenere aiuto per rilevare questi subdoli programmi dannosi. Ad esempio, i programmi antivirus possono rilevare i rootkit in diversi modi. Un metodo lento ma semplice prevede l'esecuzione di un controllo di tutti i file su disco come riportato da Windows, un altro controllo eseguendo una query direttamente sul file system e cercando discrepanze. E poiché i rootkit sovvertono specificamente Windows, un antivirus che si avvia in un sistema operativo non Windows non verrà ingannato.
Una minaccia senza memoria e senza file soccomberà alla protezione antivirus che tiene traccia dei processi attivi o blocca il suo vettore di attacco. Il software di sicurezza potrebbe bloccare l'accesso al sito Web infetto che fornisce tale minaccia o bloccare la sua tecnica di iniezione.
La tecnica Frankenstein potrebbe ingannare un antivirus rigorosamente basato sulla firma, ma i moderni strumenti di sicurezza vanno oltre le firme. Se il malware patchwork fa effettivamente qualcosa di dannoso, probabilmente lo troverà uno scanner basato sul comportamento. E poiché non è mai stato visto da nessuna parte prima, un sistema come Norton File Insight di Symantec che tiene conto della prevalenza lo segnalerà come un'anomalia pericolosa.
Per quanto riguarda la mitigazione degli attacchi alla programmazione orientata al ritorno, beh, è difficile, ma molta potenza mentale è stata dedicata a risolverlo. Anche potere economico: Microsoft ha assegnato un quarto di milione di dollari ai migliori ricercatori che lavorano su questo problema. Inoltre, poiché fanno così tanto affidamento sulla presenza di particolari programmi validi, è più probabile che gli attacchi ROP vengano utilizzati contro obiettivi specifici, non in una diffusa campagna di malware. Il tuo computer di casa è probabilmente sicuro; il tuo PC da ufficio, non tanto.