Ilyen a jövő vírusa
2018. július 18.
Egyre gyakoribbak a fájlmentes, kizárólag a számítógép memóriájában működő kártevők. Az ilyen támadások azért veszélyesek, mert nincs olyan fájl, amelyet a víruslaboratóriumokban elemezni lehetne, és amelynek az ujjlenyomatát a hagyományos víruskereső technológiák felismernék.
A kiberbiztonsági szakemberek mostanában sokat beszélnek a fájlmentes támadásokról, mivel a 2000-es évek elején megjelent támadásforma a reneszánszát éli. Elég, ha csak az vírusstatisztikát nézzük: 2017-ben a legtöbb támadást (13 százalék) fájlmentes kártevő indította. A Barkly és a Ponemon Institute felmérése szerint a fájlmentes támadásoknak tízszer nagyobb az esélyük a sikerre, mint a fájl alapú támadásoknak – nagy valószínűséggel ezért növekszik ennek a támadásfajtának a népszerűsége.
A fájlmentes megnevezés elsőre akár félrevezető lehet, mert a számítógépeken esetenként mégis kimutatható a nem odaillő, kártékony fájlok jelenléte. Ennek oka, hogy a támadás során a kártevő sokszor egy e-mail csatolmányban érkezik. Ugyanakkor a fájlmentes elnevezés megállja a helyét, mert az aktiválódásuk után a kártevők ismert sérülékenységeket kihasználva, legitim eszközök segítségével a memóriából indulnak. A kártevő ezután kizárólag a memóriában található meg, a merevlemezen semmilyen nyoma nincsen.
Van védelem
Ma már természetesen a vezető vírusirtó szoftverek mindegyike tartalmaz olyan új generációs vírusfelismerési technológiákat, melyek nem a hagyományos módon (szignatúrák alapján) ismerik fel a kártevőket, hanem különböző heurisztikus és proaktív technológiák, vagy éppen a memória felügyeletének a segítségével. Érdekesség, hogy a legnagyobb gyártók ritkán reklámozzák önmagukat új generációs védelemként, mivel természetesnek veszik, hogy az új kártevők ellen új védelmi mechanizmusokat fejlesztenek ki. Így a „next generation” jelzőt jellemzően feltörekvő kisebb cégek szokták a zászlójukra tűzni.
A G DATA a fájlok nélkül működő kártevők elemzésén keresztül arra hívja fel a figyelmet, hogy a jövőben ezek a proaktív felismerési technológiák még nagyobb szerepet kapnak, és a kártevőkhöz hasonlóan a vírusvédelem működése is átalakul.
Rozena és Fodevepdf
A német vírusvédelmi cég szakértői két fáljmentes kártevőt elemeztek. A Rozena egy backdoor, amely a megcélzott számítógépen egy rejtett ajtón keresztül nyit kommunikációs csatornát a kártevő szerzője felé. Miután ez a csatorna kinyílt, a támadó kedve szerint garázdálkodhat a megtámadott számítógépen. Mindkét, a régebbi és az új Rozena kártevő is a Windows operációs rendszerű számítógépeket támadja. A különbség a két változat között, hogy a 2018-as verzió a fájlmentes technikát alkalmazza: PowerShell szkripteket használ.
A Rozenát egyébként vagy egy másik kártevő juttathatja számítógépünkre, vagy egyszerűen letöltődik a gépre, amikor fertőzött weboldalakat látogatunk. Emellett csatolmányként is érkezhet egy célzottan küldött e-mailben. Általában Word dokumentumnak álcázza magát, holott egy futtatható fájl.
Futtatás után a kártevő egy Hi6kI7hcxZwU nevű szövegfájlt hoz létre, melyet a %temp% mappába ment el. A futtatható fájl ezután kódolt PowerShell parancsokat indít el. Elsőként megalkot egy újabb PowerShell parancssort – ezt creator, azaz alkotó szkriptnek nevezték el. Ez kikódolja a Hi6kI7hcxZwU nevű szövegfájlt, majd egy újabb PowerShell parancssort hajt végre – ez a dekódoló (decoder) szkript. Ezt a parancssort beinjektálja a PowerShell.exe-be – ez az injector script. Itt kezdődik a fájlmentes támadási szakasz, amikor a PowerShellbe bejuttatott kód egy kétoldali TCP kapcsolatot nyit egy távoli szerver felé, mely a kártevő szerzőjének hozzáférést biztosít a kiszemelt számítógéphez.
A második elemzett kártevő egy letöltő, teljes neve Script.Trojan-Downloader.Fodevepdf.A. Ezeket a letöltőket is kedvelik a támadók, mert segítségükkel bármit az áldozat számítógépére lehet helyezni. A legtöbb esetben egy kis, a merevlemezen rejtve maradt programot használnak erre a célra. Ebben a mostani letöltőben az a különleges, ahogyan megkerüli a User Account Control (UAC) jogokat. A Windowsban a UAC biztosítja azt, hogy a magasabb jogosultságot igénylő műveleteket a felhasználó engedélyezze. Dióhéjban: ebben az esetben a letöltő a rendszerleíró adatbázisba több kulcsot ír; ezeket pedig arra használja, hogy egy olyan folyamatot indítson el, melynek rendszerjogosultságai vannak, miközben a támadó mindvégig ellenőrzi a viselkedését. A kártevő működésének bővebb technikai leírását a G DATA whitepaperében találhatjuk meg.
Kapcsolódó cikkek
- Május hónapban három nagyhatású rosszindulatú programcsalád támadott
- A Check Point szerint a Fireball és a WannaCry négyből egy szervezetre van hatással világszerte
- Már megjelentek a Fortnite hamisított változatai
- Fertőzött androidos Fortnite terjed
- Bekapcsolva hagyott fejlesztői beállítás miatt támadhat az androidos féreg
- Így terjed az első androidos féreg
- Elindultak a csalások a focivébén
- Megjelentek a 2018-as labdarúgó-világbajnoksághoz kapcsolódó csalások
- VPNFilter router feltörés: mit tegyünk, és hogyan végezzük el biztonságosan a javasolt lépéseket?
- BackSwap vírus – új, innovatív kártevő a bankszámlák kiürítéséhez