Škodlivý kód – co to je a jak se mu bránit?
Co je škodlivý kód?
Dnešní prostředí kybernetických hrozeb se stalo sofistikovanějším a náročnějším. Počet kybernetických útoků a úniků dat v posledních letech raketově vzrostl, a to jak ve velikosti, tak v rozsahu. Nedávné statistiky malwaru ukazují, že malware je stále významným celosvětovým problémem. V centru těchto bezpečnostních výzev je zlověstná aplikace zvaná škodlivý kód. Škodlivý kód nebo malware je jakýkoli software záměrně vytvořený za účelem jednání proti zájmům uživatele počítače tím, že způsobí poškození počítačového systému nebo kompromituje data uložená v počítači.
Od té doby, co se širokopásmový přístup k internetu stal všudypřítomným, byl škodlivý software častěji navržen tak, aby převzal kontrolu nad počítači uživatelů pro ziskové a jiné nezákonné účely, jako je úprava dat, krádež, ničení, sabotáž nebo braní rukojmích. Většina malwaru se může instalovat do systému oběti, vytvářet své kopie a šířit se mezi další oběti, pomocí události iniciovat spuštění svého užitečného zatížení (ukrást nebo smazat soubory, nainstalovat zadní vrátka atd.), odstranit se po provedení užitečného zatížení, a používá všechny druhy únikových technik, aby se zabránilo odhalení. Některé z metod používaných k vyhnutí se detekci zahrnují:
- Vyhýbání se detekci pomocí otisků prstů prostředí při spuštění.
- Matoucí nástroje pro automatickou detekci, jako je antivirový software založený na signaturách, změnou serveru používaného malwarem.
- Proveďte podle konkrétních akcí provedených uživatelem nebo během specifických zranitelných období, například během procesu spouštění, přičemž po zbytek času zůstaňte nečinní
- Zatemňují interní data, aby automatizované nástroje neodhalily malware.
- Použijte techniky skrývání informací, jako je steganografie, abyste se vyhnuli detekci (stegomalware)
Jak dochází k infekci malwarem?
Infekce malwarem mohou ovlivnit váš počítač, aplikaci nebo celou síť. Infekce probíhají různými způsoby, včetně fyzických a virtuálních. Autoři malwaru se často pomocí triků snaží přesvědčit uživatele, aby si stáhli a otevřeli škodlivé soubory. Například, phishingové útoky jsou běžnou metodou doručování malwaru, kdy e-maily maskované jako legitimní zprávy obsahují škodlivé odkazy nebo přílohy, které mohou doručit spustitelný soubor malwaru nic netušícím uživatelům.
Malware se také může šířit prostřednictvím infikovaných vyměnitelných jednotek, jako jsou USB flash disky nebo externí pevné disky. Malware se může automaticky nainstalovat, když připojíte infikovaný disk k počítači. Některý malware je navíc dodáván s dalším softwarem, který si stáhnete. To zahrnuje mimo jiné software z webových stránek třetích stran, soubory sdílené prostřednictvím sítí peer-to-peer, programy používané ke generování softwarových klíčů (keygenů), panely nástrojů prohlížeče a pluginy.
Útočníci mohou využít defektů (zranitelností) ve stávajícím softwaru v důsledku nejisté praktiky kódování infikovat vaši aplikaci škodlivými kódy. Škodlivý kód může přijít ve formě injekčních útoků ( SQL injekce , injekce JSON, skriptování mezi stránkami atd. ), útoky na procházení adresářů , padělání požadavků mezi stránkami (CSRF) mj. útoky. Typickým příkladem závad v softwaru je zranitelnost přetečení vyrovnávací paměti . Mnoho malwaru využívá zranitelnosti přetečení vyrovnávací paměti ke kompromitaci cílových aplikací nebo systémů.
Sofistikované malwarové útoky často zahrnují použití příkazového a řídicího serveru, který umožňuje zlomyslným aktérům komunikovat a ovládat infikované systémy v botnet ukrást citlivá data nebo je přimět, aby splnili své nabídky.
Jak poznáte, že je váš počítač napaden škodlivým kódem? Uživatel může být schopen detekovat malwarovou infekci, pokud zpozoruje jakoukoli neobvyklou aktivitu, jako je náhlá ztráta místa na disku, prodloužená rychlost, podivné pohyby kurzoru a kliknutí myší, odmítnutí přístupu k vašemu zařízení nebo datům, výskyt neznámých aplikací, které nenainstaloval, mimo jiné anomální síťový provoz.
Ovlivňuje malware Mac, Linux a mobilní zařízení?
Většina uživatelů si myslí, že vůči malwaru jsou zranitelné pouze počítače se systémem Windows. Předpokládají, že uživatelé zařízení Linux a Mac jsou imunní a nemusí přijímat žádná opatření. Pravdou je, že malware může ovlivnit zařízení Windows, Linux a dokonce i Mac.
Zařízení se systémem Windows jsou považována za větší cíl pro malware než jiné platformy, protože dominují podílu na trhu, což z nich činí významnější a dostupnější cíl pro škodlivé subjekty. Dnes nejsou počítače Mac tak bezpečné jako dříve. S rostoucí popularitou zařízení Mac se zdá, že se na ně autoři malwaru více zaměřují. Podle Zpráva Malwarebytes o stavu malwaru za rok 2020 , množství malwaru na počítačích Mac poprvé překonává PC.
Existují také škodlivé kódy, které se konkrétně zaměřují na operační systémy mobilních zařízení, jako jsou tablety, chytré telefony a chytré hodinky. Tyto typy malwaru se spoléhají na zneužití konkrétních mobilních operačních systémů. Přestože mobilní malware není tak všudypřítomný jako malware, který cílí na pracovní stanice, stávají se stále větším problémem pro spotřebitelská zařízení.
Zařízení Apple iOS, jako jsou iPhone, jsou méně pravděpodobné, že budou infikovány malwarem než zařízení Android. Je to proto, že zařízení iOS jsou silně uzamčena a aplikace procházejí rozsáhlými kontrolami, než se dostanou do App Store. Víme však, že některé vlády a sofistikovaní zločinci jsou vyzbrojeni hackerskými nástroji za miliony, které mohou proniknout do iPhonů. Bez ohledu na to jsou zařízení iOS obecně bezpečnější a stanou se zranitelnějšími pouze v případě, že dojde k útěku.
Jaké jsou běžné typy malwaru?
Škodlivý kód je široký pojem, který označuje různé malwarové programy. Příklady zahrnují počítačové viry, červy, spyware, adware, rootkity, logické bomby, malware bez souborů, trojské koně a ransomware.
Počítačové viry jsou malé aplikace nebo řetězce škodlivých kódů, které infikují počítačové systémy a hostitelské aplikace. Počítačové viry se nešíří automaticky; k šíření a téměř vždy k poškození nebo úpravě souborů v cílovém počítači vyžadují nosič nebo médium, jako je USB nebo internet. Počítačové viry se vyskytují v různých formách, z nichž některé zahrnují:
- Polymorfní virus – polymorfní virus se pokouší vyhnout antivirovým aplikacím založeným na signaturách změnou signatury při infekci nového systému.
- Virus komprese – virus, který se připojuje ke spustitelným souborům v systému a komprimuje je pomocí oprávnění uživatele.
- Makrovirus – virus napsaný v jazycích maker, jako jsou makra Microsoft Office nebo Excel.
- Virus spouštěcího sektoru – virus, který infikuje spouštěcí sektor počítače a načte se při spuštění systému.
- Vícedílný virus – virus, který se šíří prostřednictvím více vektorů. Také se nazývá multipart virus.
- Stealth virus — virus, který se před operačními systémy skrývá jako antivirové aplikace.
Červi : Červi jsou malware, který se replikuje, aby se rozšířil do dalších počítačů. Jsou nakažlivější než viry a ke svému šíření často využívají počítačovou síť a při přístupu k nim se spoléhají na bezpečnostní chyby na cílovém počítači. Červi jsou nebezpeční kvůli škodlivému kódu, který nesou (užitečné zatížení) a jejich potenciálu způsobit zhoršení šířky pásma nebo dokonce odmítnutí služby kvůli agresivnímu samopropagaci. Jedním z nejznámějších počítačových červů je Stuxnet , který cílil na SCADA systémy Siemens. To bylo věřil být zodpovědný za způsobení značné škody na jaderném programu Íránu.
Spyware a adware: Spyware je typ škodlivého softwaru tajně instalovaného za účelem shromažďování informací (včetně návyků při prohlížení) o konkrétním uživateli nebo subjektu, které pak odesílá jinému subjektu se zlými úmysly, jako je krádež identity, spamování, cílená reklama atd.
Adware je software, který svým vývojářům generuje příjmy automatickým generováním online reklam. Reklamy mohou být poskytovány prostřednictvím vyskakovacích oken, součástí uživatelského rozhraní nebo obrazovek zobrazených během procesu instalace. Cílem adwaru je generovat příjmy z prodeje, neprovádět škodlivé aktivity, ale některý adware používá invazivní opatření, která mohou způsobit problémy se zabezpečením a soukromím.
Rootkity: Rootkit je sbírka škodlivých softwarových nástrojů navržených tak, aby umožnily root přístup k počítači nebo oblasti jeho softwaru, která není jinak povolena. Rootkity jsou načteny do kompromitovaného systému, aby umožnily útočníkovi provádět škodlivé aktivity a zároveň skrýt své stopy. Útočník obvykle nahradí výchozí systémové nástroje novými kompromitovanými nástroji, které mají podobná jména.
Rootkity mohou být umístěny na úrovni uživatele nebo jádra operačního systému. Může také žít ve firmwaru nebo v hypervizoru virtualizovaného systému. Rootkit na uživatelské úrovni má minimální oprávnění, a proto nemůže způsobit tolik škody. Pokud je rootkit umístěn v hypervizoru systému, může využívat funkce virtualizace hardwaru a cílové hostitelské operační systémy. Rootkity ve firmwaru je obtížné detekovat, protože kontrola integrity softwaru obvykle nezasahuje až na úroveň firmwaru. Detekce a odstranění rootkitů může být komplikované, protože rootkit může být schopen rozvrátit software, který je určen k jeho nalezení. Mezi metody detekce patří metody založené na chování, skenování založené na signaturách a analýza výpisu paměti.
Logické bomby: Logická bomba je škodlivý kód záměrně vložený do softwarového systému, aby spustil negativní funkci, když jsou splněny stanovené podmínky. Software logické bomby může mít mnoho spouštěčů, které aktivují provádění jeho užitečného zatížení v určitý čas nebo poté, co uživatel provede určitou akci. Zákeřný hráč může například nainstalovat a nakonfigurovat logickou bombu tak, aby smazala všechny digitální důkazy, pokud jsou prováděny forenzní činnosti.
Bezsouborový malware: Bezsouborový malware , jak název napovídá, nezapisuje žádnou část své činnosti do souborů na pevném disku počítače; místo toho funguje výhradně z paměti počítače oběti. Protože neexistují žádné soubory ke skenování, je obtížnější jej odhalit než tradiční malware. To také ztěžuje forenzní vyšetřování, protože malware zmizí, když je počítač oběti restartován.
Protože neexistují žádné soubory pro antivirové a forenzní nástroje k analýze, může být odhalení takového malwaru obtížné. v roce 2017 Společnost Kaspersky Lab zveřejnila zprávu o malwarových útocích bez souborů, které postihují 140 podnikových sítí po celém světě, přičemž hlavními cíli jsou banky, telekomunikační společnosti a vládní organizace.
Trojský kůň: A trojský kůň je jakýkoli malware, který se vydává za legitimní program s cílem uvést uživatele v omyl o svém skutečném záměru. Trojské koně kromě škodlivých funkcí na pozadí vykonávají své očekávané normální funkce. Uživatelé jsou obvykle oklamáni nějakou formou sociálního inženýrství, aby nahráli a spustili trojské koně na jejich systémech. Po instalaci mohou trojské koně také používat návnady k udržení iluze, že jsou legitimní.
Například při spuštění se trojský kůň maskovaný jako tapeta nebo herní aplikace obvykle spustí jako tapeta nebo herní aplikace. Zatímco je uživatel těmito návnadami rozptylován, trojský kůň může na pozadí tiše provádět škodlivé akce. Trojské koně jsou klasifikovány podle typu škodlivých akcí, které provádějí. Příklady zahrnují bankovní trojan, vzdálený přístup trojan (RAT) , backdoor trojan, FakeAV trojan atd. Pozoruhodné příklady trojanů zahrnují Zeus, MEMZ a FinFisher.
Ransomware: Ransomware je typ malwaru, který hrozí, že zveřejní data oběti nebo k nim trvale zablokuje přístup šifrováním souborů oběti, pokud není zaplaceno výkupné. Útoky ransomwaru jsou obvykle prováděny jako součást phishingového podvodu nebo pomocí trojského koně maskovaného jako legitimní soubor, který je uživatel oklamán ke stažení nebo otevření, když mu přijde jako příloha e-mailu. Útočník pokračuje v šifrování konkrétních informací, které lze otevřít pouze matematickým klíčem, který zná. Když útočník obdrží platbu, data se odemknou.
Mezi významné ransomwarové útoky patří WannaCry (2017) a REvil (2020). Ransomware WannaCry se v roce 2017 rozšířil internetem a infikoval více než 230 000 počítačů ve více než 150 zemích a požadoval 300 USD za počítač. REvil je soukromý ransomware-as-a-service (RaaS) operace, která vyhrožuje zveřejněním dat obětí na jejich blogu ( doxxing ), pokud nebude zaplaceno výkupné. V dubnu 2021 REvil ukradl chystané produktové plány Applu a pohrozil, že je zveřejní, pokud nebude zaplaceno výkupné 50 milionů dolarů. WannaCry i REvil byly odstraněny.
Jak můžete zabránit a chránit svůj IT majetek před malwarem?
Ochrana vašeho zařízení, kritických aplikací a vlastně celé vaší sítě před těmito dlouhými seznamy malwaru vyžaduje více než jen zavedení antivirového softwaru. V dnešní době již nejsou antiviry a další přístup k zabezpečení založený na signaturách považovány za dostatečné k ochraně systémů před moderními kybernetickými hrozbami. S více než Každý den je objeveno 350 000 nových malwarů , je pro antivirové aplikace prakticky nemožné mít přehled o těchto nových a vznikajících hrozbách.
To je důvod, proč organizace potřebují vyvinout program zabezpečení informací založený na rizicích, který bude zahrnovat principy bezpečnostní model s nulovou důvěrou v jejich bezpečnostní strategii na posílení kybernetické odolnosti. Bezpečnostní program by se měl zabývat riziky ze strategického, taktického a provozního hlediska. To zahrnuje návrh a implementaci administrativních, fyzických a technických kontrol pro ochranu kritických digitálních aktiv, jak je podrobně uvedeno v tabulce 1.0 níže. Administrativní kontroly se zaměřují na bezpečnostní zásady, postupy a směrnice, školení o povědomí o bezpečnosti a další lidské faktory bezpečnosti, které definují personální nebo obchodní praktiky v souladu s bezpečnostními cíli organizace. Fyzické kontroly jsou opatření, která mají zabránit neoprávněnému fyzickému přístupu ke kritickým IT prostředkům. Technické kontroly se zaměřují na hardwarové nebo softwarové komponenty, jako je antivirus, firewally, IPS/IDS, seznamy řízení přístupu (ACL) , whitelisting aplikací , atd.
Fyzický | Fyzická kontrola přístupu | Záznamy CCTV a sledovacích kamer | Opravte a obnovte fyzicky poškozený majetek |
Správní | Řízení rizik, bezpečnostní zásady a postupy, plán zálohování atd. | Auditování, správa bezpečnostních událostí, správa změn atd. | Plán reakce na incidenty, DR/BCP. |
Technický | Antivirus, IPS, řešení MFA, aktualizace, whitelisting, ACL atd | IDS, honeypoty, skenery zranitelnosti, statické testování atd. | Patching, blacklisting, karanténní techniky atd |
Tabulka 1.0 | Porovnání administrativních, fyzických a technických bezpečnostních kontrol
Pro organizace, které vyvíjejí kritické obchodní aplikace, je jedním ze způsobů, jak zabránit škodlivému kódu, aby zničil vaše aplikace, přijmout postupy bezpečného kódování , včetně analýzy statického kódu v životním cyklu vývoje softwaru. Statická analýza se používá k zabezpečení aplikací tím, že kontroluje zdrojový kód, když není spuštěn, aby identifikoval škodlivé kódy nebo důkazy o známých nezabezpečených praktikách. Je to jeden z nejúčinnějších způsobů, jak zabránit škodlivému kódu, aby úspěšně způsobil poškození kritických aplikací vaší firmy. Automatizované nástroje jako např Neporazitelný , Acunetix , Veracode , Checkmarx a další implementují statickou analýzu kódu k detekci a prevenci škodlivých kódů, jako jsou zadní vrátka, logické bomby, rootkity atd.
Uživatelé, kteří chtějí chránit a zabránit škodlivým kódům v infikování svých počítačů, si mohou nainstalovat antimalwarový software jako další vrstvu zabezpečení. Kromě toho se uživatelé mohou malwaru vyhnout tím, že budou na svých počítačích nebo jiných osobních zařízeních chovat bezpečně. To zahrnuje udržování softwaru v aktuálním stavu, používání účtů, které nejsou pro správce, v maximální možné míře, opatrnost při stahování neznámých programů a příloh, které mohou mimo jiné obsahovat malware v skryté podobě.