มัลแวร์ประเภทร้ายที่สุด

การโจมตีของมัลแวร์บางอย่างชัดเจนมากจนคุณไม่สามารถพลาดความจริงที่ว่าคุณตกเป็นเหยื่อ โปรแกรม Ransomware ล็อคการเข้าถึงคอมพิวเตอร์ของคุณทั้งหมดจนกว่าคุณจะชำระเพื่อปลดล็อค ไฮแจ็คเกอร์สื่อสังคมโพสต์การอัปเดตสถานะที่แปลกประหลาดบนหน้าโซเชียลมีเดียของคุณติดใครก็ตามที่คลิกลิงก์ที่เป็นพิษ โปรแกรมแอดแวร์ทำให้เดสก์ท็อปของคุณมีโฆษณาป๊อปอัปแม้ว่าจะไม่มีเบราว์เซอร์ก็ตาม ใช่สิ่งเหล่านี้ค่อนข้างน่ารำคาญ แต่เนื่องจากคุณรู้ว่ามีปัญหาคุณสามารถหาวิธีแก้ไขปัญหาแอนติไวรัสได้

การบุกรุกมัลแวร์ที่มองไม่เห็นโดยสิ้นเชิงอาจเป็นอันตรายได้มากกว่า หากโปรแกรมป้องกันไวรัสของคุณไม่ "เห็น" และคุณไม่สังเกตเห็นพฤติกรรมใด ๆ ที่ไม่ดีมัลแวร์นั้นมีอิสระในการติดตามกิจกรรมธนาคารออนไลน์ของคุณหรือใช้พลังการประมวลผลของคุณเพื่อจุดประสงค์สามานย์ พวกเขายังคงมองไม่เห็นได้อย่างไร ต่อไปนี้เป็นสี่วิธีที่มัลแวร์สามารถซ่อนตัวจากคุณตามด้วยแนวคิดบางประการในการมองเห็นสิ่งที่มองไม่เห็น

การโค่นล้มระบบปฏิบัติการ

เรายอมรับว่า Windows Explorer สามารถแสดงรายการรูปถ่ายเอกสารและไฟล์อื่น ๆ ของเราได้ทั้งหมด แต่มีหลายสิ่งที่เกิดขึ้นเบื้องหลังเพื่อให้มันเกิดขึ้น ซอฟต์แวร์ไดรเวอร์จะสื่อสารกับฮาร์ดไดรฟ์แบบฟิสิคัลเพื่อรับบิตและไบต์และระบบไฟล์จะตีความบิตและไบต์เหล่านั้นเป็นไฟล์และโฟลเดอร์สำหรับระบบปฏิบัติการ เมื่อโปรแกรมจำเป็นต้องได้รับรายชื่อไฟล์หรือโฟลเดอร์มันจะสอบถามระบบปฏิบัติการ อันที่จริงแล้วโปรแกรมใด ๆ สามารถสอบถามระบบไฟล์ได้โดยตรงหรือแม้กระทั่งสื่อสารโดยตรงกับฮาร์ดแวร์ แต่มันก็ง่ายกว่ามากที่จะโทรหาระบบปฏิบัติการ

เทคโนโลยี Rootkit ช่วยให้โปรแกรมที่เป็นอันตรายจะลบตัวเองออกจากมุมมองโดยการสกัดกั้นการเรียกไปยังระบบปฏิบัติการ เมื่อโปรแกรมขอรายการไฟล์ในบางตำแหน่งรูทคิทส่งคำขอนั้นไปยัง Windows จากนั้นลบการอ้างอิงทั้งหมดไปยังไฟล์ของตัวเองก่อนที่จะส่งคืนรายการ โปรแกรมป้องกันไวรัสที่ใช้ Windows อย่างเคร่งครัดสำหรับข้อมูลเกี่ยวกับไฟล์ที่มีอยู่จะไม่เห็นรูทคิต รูทคิทบางตัวใช้กลอุบายที่คล้ายกันเพื่อซ่อนการตั้งค่ารีจิสทรี

ไม่มีไฟล์มัลแวร์

โปรแกรมป้องกันไวรัสทั่วไปจะสแกนไฟล์ทั้งหมดบนดิสก์ตรวจสอบเพื่อให้แน่ใจว่าไม่มีสิ่งใดที่เป็นอันตรายและสแกนไฟล์แต่ละไฟล์ก่อนที่จะอนุญาตให้ดำเนินการได้ แต่ถ้าไม่มีไฟล์ล่ะ สิบปีที่ผ่านมาหนอนกรงขังคร่าชีวิตผู้คนในเครือข่ายทั่วโลก มันแพร่กระจายโดยตรงในหน่วยความจำโดยใช้การโจมตีเกินบัฟเฟอร์เพื่อรันโค้ดโดยพลการและไม่เคยเขียนไฟล์ลงดิสก์

เมื่อเร็ว ๆ นี้นักวิจัย Kaspersky รายงานว่ามีการติดเชื้อจาวาที่ไม่มีไฟล์โจมตีผู้เข้าชมเว็บไซต์ข่าวของรัสเซีย เผยแพร่ผ่านแบนเนอร์โฆษณาการใช้ประโยชน์จากการฉีดรหัสโดยตรงในกระบวนการ Java ที่จำเป็น หากมันประสบความสำเร็จในการปิดการควบคุมบัญชีผู้ใช้มันจะติดต่อคำสั่งและเซิร์ฟเวอร์การควบคุมของมันสำหรับคำแนะนำเกี่ยวกับสิ่งที่ต้องทำต่อไป คิดว่ามันเป็นเพื่อนในปล้นธนาคารที่คลานผ่านท่อระบายอากาศและปิดระบบรักษาความปลอดภัยสำหรับลูกเรือที่เหลือ ตาม Kaspersky หนึ่งในการกระทำร่วมกัน ณ จุดนี้คือการติดตั้ง Lurk Trojan

มัลแวร์ที่อยู่ในหน่วยความจำอย่างเคร่งครัดสามารถกำจัดได้โดยการรีสตาร์ทคอมพิวเตอร์ ในส่วนนั้นเป็นวิธีที่พวกเขาจัดการเพื่อเอา ​​Slammer กลับมาในวันที่ แต่ถ้าคุณไม่รู้ว่ามีปัญหาคุณจะไม่ทราบว่าคุณต้องรีบูต

การเขียนโปรแกรมเชิงกลับ

ผู้เข้ารอบสุดท้ายทั้งสามคนในการประกวดการวิจัยความปลอดภัย BlueHat Prize ของไมโครซอฟท์เกี่ยวข้องกับการจัดการกับ Return Oriented Programming หรือ ROP การโจมตีที่ใช้ ROP นั้นร้ายกาจเพราะมันไม่ได้ติดตั้งรหัสที่สามารถใช้งานได้ แต่พบคำแนะนำที่ต้องการภายในโปรแกรมอื่น ๆ แม้กระทั่งบางส่วนของระบบปฏิบัติการ

โดยเฉพาะการโจมตี ROP จะมองหากลุ่มของรหัส (เรียกว่า "gadgets" โดยผู้เชี่ยวชาญ) ซึ่งทั้งสองทำหน้าที่ที่มีประโยชน์และสิ้นสุดด้วยคำสั่ง RET (คืน) เมื่อซีพียูเข้าสู่คำสั่งนั้นระบบจะส่งคืนการควบคุมไปยังกระบวนการเรียกในกรณีนี้มัลแวร์ ROP ซึ่งจะเปิดตัวบล็อกรหัสที่ถูกขัดจังหวะครั้งต่อไปอาจมาจากโปรแกรมอื่น รายการที่อยู่แกดเจ็ตขนาดใหญ่นั้นเป็นเพียงข้อมูลดังนั้นการตรวจจับมัลแวร์ที่ใช้ ROP นั้นยาก

มัลแวร์ของ Frankenstein

ในการประชุม Usenix WOOT เมื่อปีที่แล้ว (การประชุมเชิงปฏิบัติการเกี่ยวกับ Offensive Technologies) นักวิจัยจากมหาวิทยาลัยเท็กซัสที่ดัลลัสได้เสนอแนวคิดคล้ายกับ Return Oriented Programming ในบทความที่ชื่อว่า "Frankenstein: Stitching Malware จาก Benign Binaries" พวกเขาอธิบายเทคนิคในการสร้างมัลแวร์ที่ตรวจจับได้ยากโดยการประกอบโค้ดจากโปรแกรมที่รู้จักและเชื่อถือได้

"โดยการเขียนไบนารีใหม่ทั้งหมดจากลำดับไบต์ที่พบโดยทั่วไปกับไบนารีที่ไม่เป็นอันตราย" กระดาษอธิบายว่า "การกลายพันธุ์ที่เกิดขึ้นนั้นมีโอกาสน้อยที่จะจับคู่ลายเซ็นที่มีทั้งรายการที่อนุญาตพิเศษและบัญชีดำของคุณลักษณะไบนารี" เทคนิคนี้มีความยืดหยุ่นมากกว่า ROP มากเพราะมันสามารถรวมส่วนของโค้ดได้ไม่ใช่แค่ส่วนที่ลงท้ายด้วยคำสั่ง RET ที่สำคัญทั้งหมด

วิธีการดูสิ่งที่มองไม่เห็น

สิ่งที่ดีคือคุณสามารถขอความช่วยเหลือในการตรวจสอบโปรแกรมที่เป็นอันตรายเหล่านี้ ตัวอย่างเช่นโปรแกรมป้องกันไวรัสสามารถตรวจจับรูทคิทได้หลายวิธี วิธีการที่ช้า แต่ง่ายวิธีหนึ่งเกี่ยวข้องกับการตรวจสอบไฟล์ทั้งหมดในดิสก์ตามที่รายงานโดย Windows ทำการตรวจสอบอีกครั้งโดยการสอบถามระบบไฟล์โดยตรงและมองหาความแตกต่าง และเนื่องจากรูทคิทล้มล้าง Windows โดยเฉพาะโปรแกรมป้องกันไวรัสที่บู๊ตเข้าสู่ระบบปฏิบัติการที่ไม่ใช่ Windows จะไม่ถูกหลอก

ภัยคุกคามที่ไม่มีไฟล์เท่านั้นหน่วยความจำจะยอมจำนนต่อการป้องกันไวรัสที่ติดตามกระบวนการที่ใช้งานอยู่หรือบล็อกการโจมตีของเวกเตอร์ ซอฟต์แวร์ความปลอดภัยของคุณอาจบล็อกการเข้าถึงเว็บไซต์ที่ติดไวรัสซึ่งแสดงถึงภัยคุกคามนั้นหรือบล็อกเทคนิคการฉีด

เทคนิคของแฟรงเกนสไตน์อาจหลอกลวงโปรแกรมป้องกันไวรัสที่ใช้ลายเซ็นอย่างเคร่งครัด แต่เครื่องมือรักษาความปลอดภัยที่ทันสมัยนั้นเหนือกว่าลายเซ็น หากมัลแวร์การเย็บปะติดปะต่อกันทำสิ่งที่เป็นอันตรายจริงสแกนเนอร์ตามพฤติกรรมอาจจะพบว่ามัน และเนื่องจากไม่เคยเห็นที่ไหนมาก่อนระบบเช่น Norton File Insight ของไซแมนเทคที่คำนึงถึงความชุกของการใช้งานจึงจะติดธงว่าเป็นความผิดปกติที่เป็นอันตราย

สำหรับการลดการโจมตีด้วยโปรแกรม Return Oriented นั้นเป็นเรื่องที่ยาก แต่มีพลังสมองจำนวนมากที่ทุ่มเทให้กับการแก้ปัญหา อำนาจทางเศรษฐกิจเช่นกัน - Microsoft ได้รับรางวัลหนึ่งในสี่ของล้านดอลลาร์ให้กับนักวิจัยชั้นนำที่ทำงานเกี่ยวกับปัญหานี้ นอกจากนี้เนื่องจากพวกเขาพึ่งพาอย่างมากต่อการปรากฏตัวของโปรแกรมที่ถูกต้องโดยเฉพาะการโจมตี ROP จึงมีแนวโน้มที่จะถูกนำไปใช้กับเป้าหมายที่เฉพาะเจาะจงไม่ใช่ในแคมเปญมัลแวร์ที่แพร่หลาย คอมพิวเตอร์ที่บ้านของคุณน่าจะปลอดภัย พีซีในสำนักงานของคุณไม่มาก