Какие вредоносные программы заражают объекты файловой системы, внедряя в них свой машинный код
Обновлено: 20.11.2024
Вредоносный код — это термин, используемый для описания любого кода в любой части программной системы или скрипта, предназначенного для создания нежелательных эффектов, нарушений безопасности или повреждения системы. Вредоносный код представляет собой угрозу безопасности приложений, которую невозможно эффективно контролировать с помощью обычного антивирусного программного обеспечения. Вредоносный код описывает широкую категорию терминов, связанных с безопасностью системы, включая сценарии атак, вирусы, черви, троянские кони, бэкдоры и вредоносное активное содержимое.
Вредоносный код может также включать бомбы замедленного действия, жестко запрограммированные криптографические константы и учетные данные, преднамеренную утечку информации и данных, руткиты и методы защиты от отладки. Эти целевые угрозы вредоносного кода скрыты в программном обеспечении и маскируют свое присутствие, чтобы избежать обнаружения традиционными технологиями безопасности.
Оказавшись внутри вашей среды, вредоносный код может попасть на сетевые диски и распространиться. Вредоносный код также может вызвать перегрузку сети и почтового сервера из-за отправки сообщений электронной почты; кража данных и паролей; удаление файлов документов, файлов электронной почты или паролей; и даже переформатирование жестких дисков.
Руководство по безопасному программированию
Вредоносный код угрожает безопасности предприятия
Вредоносный код может дать пользователю удаленный доступ к компьютеру. Это известно как бэкдор приложения. Бэкдоры могут быть созданы со злым умыслом, чтобы получить доступ к конфиденциальной информации о компании или клиенте. Но они также могут быть созданы программистом, которому нужен быстрый доступ к приложению для устранения неполадок. Они даже могут быть созданы непреднамеренно из-за ошибок программирования. Независимо от их происхождения, все бэкдоры и вредоносный код могут стать угрозой безопасности, если они будут обнаружены и использованы хакерами или неавторизованными пользователями. Поскольку современные приложения все чаще создаются с использованием повторно используемых компонентов из различных источников с разным уровнем безопасности, вредоносный код может представлять значительный операционный риск для предприятия.
Как избежать вредоносного кода
Один из способов избежать вредоносного кода в ваших приложениях — добавить статический анализ (также называемый тестированием "белого ящика") в жизненный цикл разработки программного обеспечения, чтобы проверять ваш код на наличие вредоносного кода. Статический анализ кода Veracode рассматривает приложения в нерабочей среде. Этот метод тестирования безопасности имеет явные преимущества, поскольку он может оценивать как веб-приложения, так и не-веб-приложения, а с помощью расширенного моделирования может обнаруживать вредоносный код во входных и выходных данных программного обеспечения, который нельзя увидеть с помощью других методологий тестирования.
Бесфайловое вредоносное ПО – это тип вредоносного программного обеспечения, использующего законные программы для заражения компьютера. Он не зависит от файлов и не оставляет следов, что затрудняет его обнаружение и удаление. Современные злоумышленники знают стратегии, которые организации используют для блокирования своих атак, и создают все более изощренные целенаправленные вредоносные программы, чтобы обойти защиту. Это гонка со временем, так как самые эффективные методы взлома, как правило, самые новые. Бесфайловые вредоносные программы успешно обходят все решения безопасности, кроме самых сложных.
Бесфайловое вредоносное ПО появилось в 2017 году как распространенный тип атаки, но многие из этих методов атаки существуют уже некоторое время. Frodo, Number of the Beast и The Dark Avenger были ранними примерами этого типа вредоносных программ. Недавние громкие бесфайловые атаки включают взлом Национального комитета Демократической партии и взлом Equifax.
Что делает бесфайловые заражения столь коварными, так это то, что делает их такими эффективными. Есть утверждения, что бесфайловое вредоносное ПО «необнаружимо». Это не совсем так, это просто означает, что бесфайловые атаки часто не обнаруживаются антивирусами, белыми списками и другими традиционными решениями для защиты конечных точек. Фактически, Ponemon Institute утверждает, что атаки без файлов имеют в 10 раз больше шансов на успех, чем атаки на основе файлов.
Как происходит бесфайловая атака?
Бесфайловые атаки относятся к более широкой категории атак с малозаметными характеристиками (LOC) — типа скрытой атаки, которая не обнаруживается большинством решений по обеспечению безопасности и препятствует усилиям по криминалистическому анализу. Хотя это и не считается традиционным вирусом, бесфайловое вредоносное ПО работает аналогичным образом — оно работает в памяти. Не сохраняясь в файле и не устанавливаясь непосредственно на компьютер, бесфайловые инфекции попадают прямо в память, а вредоносное содержимое никогда не затрагивает жесткий диск. Во многих атаках LOC используется Microsoft Windows PowerShell, законный и полезный инструмент, используемый администраторами для автоматизации задач и управления конфигурацией. PowerShell состоит из оболочки командной строки и связанного с ней языка сценариев, предоставляя злоумышленникам доступ практически ко всему и ко всему в Windows.
Рисунок 1. Пример цепочки уничтожения безфайловой атаки.
На рисунке выше показано, как может происходить бесфайловая атака. Как и большинство продвинутых современных атак, атаки без файлов часто используют социальную инженерию, чтобы заставить пользователей щелкнуть ссылку или вложение в фишинговом электронном письме. Бесфайловые атаки обычно используются для бокового перемещения, то есть они переходят от одного устройства к другому с целью получения прав доступа к ценным данным в корпоративной сети. Чтобы избежать подозрений, бесфайловое вредоносное ПО проникает во внутренние тайники доверенных приложений из белого списка (таких как исполняемые файлы PowerShell и хоста сценариев Windows, такие как wscript.exe и cscript.exe) или операционной системы, чтобы инициировать вредоносные процессы. Эти атаки злоупотребляют моделью доверия, используемой приложениями безопасности, чтобы не отслеживать программы из белого списка.
В приведенном выше сценарии важно отметить, что хакеру не нужно было придумывать, как обойти антивирусную программу и защиту от вредоносного ПО. Большинство автоматизированных датчиков не могут обнаружить изменения в командной строке. Обученный аналитик может идентифицировать эти скрипты, но часто не знает, где искать.
Отчет McAfee Enterprise Advanced Threat Research: октябрь 2021 г.
Угрозы программ-вымогателей стали умнее и быстрее меняют тактику и цели. В этом выпуске рассказывается о самых распространенных семействах и методах программ-вымогателей, а также об их любимых секторах.
Как вы можете защититься от бесфайловых атак?
По мере того, как индустрия кибербезопасности становится все более изощренной в защите от эксплойтов, срок действия бесфайловых атак становится все короче и короче. Один из способов защититься от бесфайловых заражений — просто поддерживать программное обеспечение в актуальном состоянии. Это особенно относится к приложениям Microsoft, а запуск пакета Microsoft 365 включает усиленные меры безопасности. Microsoft также обновила свой пакет Защитника Windows для обнаружения нестандартной активности PowerShell.
Настоящим ключом к успешному противодействию бесфайловым атакам является комплексный подход, охватывающий весь жизненный цикл угрозы. Имея многоуровневую защиту, вы получаете преимущество перед злоумышленниками, поскольку можете исследовать каждую фазу кампании до, во время и после атаки.
Особенно важны две вещи:
- Возможность видеть и оценивать происходящее: обнаружение методов, использованных при атаке, отслеживание действий в PowerShell или других механизмах сценариев, доступ к сводным данным об угрозах и получение информации о действиях пользователей.
- Возможность контролировать состояние целевой системы: останавливать произвольные процессы, устранять процессы, являющиеся частью атаки, и изолировать зараженные устройства.
Успешное прерывание бесфайловых атак требует целостного подхода, который может масштабироваться и быстро каскадировать соответствующие действия, где и когда они требуются.
McAfee предлагает расширенную защиту от самых изощренных атак
McAfee предлагает решения для обеспечения безопасности, которые защищают данные и предотвращают угрозы от устройства до облака, используя открытый, упреждающий и основанный на аналитике подход. Наша последняя версия McAfee Endpoint Security объединяет функции предотвращения угроз, веб-контроля и брандмауэра, а также машинное обучение и расширенные возможности сдерживания и исправления угроз, чтобы остановить распространение как файловых, так и бесфайловых вредоносных программ.
Дальновидные поставщики средств обеспечения безопасности, такие как McAfee, находятся в лучшем положении, чем большинство поставщиков операционных систем, предлагая надежные системы сдержек и противовесов, которые могут улучшить общее состояние безопасности. Мы помогаем нашим клиентам создавать устойчивую архитектуру безопасности, способную противостоять бесфайловым атакам. Сюда входят:
- Защита конечных точек. Поскольку атаки без файлов происходят в конечной точке, важно иметь передовое решение для защиты конечных точек, такое как McAfee Endpoint Security, которое обеспечивает необходимые средства защиты, такие как оценка уязвимостей, защита от эксплойтов/памяти, брандмауэр для настольных компьютеров и фильтрация URL-адресов.
- Машинное обучение. McAfee полностью внедрила аналитические решения в области безопасности, используя передовые, адаптивные и современные методы машинного обучения, глубокого обучения и искусственного интеллекта.
- Сдерживание приложений. McAfee Application Control — это решение для составления белого списка, которое блокирует запуск неавторизованных приложений и кода на серверах, настольных компьютерах и устройствах с фиксированными функциями.
- Мониторинг поведения. Понимание аналитики поведения пользователей (UBA) помогает выявлять угрозы, скрытые в ваших данных, что позволяет повысить точность операций по обеспечению безопасности и сократить сроки расследования.Вместо того чтобы сосредотачиваться исключительно на пользователях или объектах, McAfee Enterprise Security Manager использует комбинацию обнаружения аномалий и настраиваемых правил, а также другие интеллектуальные и расширенные модели корреляции.
- Интерактивный поиск угроз: McAfee Active Response предлагает инструмент обнаружения и реагирования на конечные точки (EDR), который автоматически и упреждающе исследует и реагирует на аномальное поведение на конечных точках, а также ищет плацдармы бесфайловых атак.
- Централизованное управление с одной консоли: McAfee ePolicy Orchestrator оптимизирует управление безопасностью с помощью единой платформы, которая обеспечивает контроль, прозрачность, отчетность и интерактивные информационные панели на сотнях и даже тысячах узлов в масштабе предприятия.
- Интеграция с партнерскими технологиями. Альянс McAfee Security Innovation Alliance (SIA) обеспечивает тесную интеграцию со сторонними партнерами, которые предлагают дополнительные передовые технологии, помогая вам получить преимущество перед злоумышленниками. Чем обширнее и скоординированнее ваша экосистема безопасности в целом, тем выше ваши возможности по противодействию бесфайловым атакам.
Поскольку мы твердо верим, что безопасность — это командный вид спорта, McAfee предлагает своим клиентам открытую интеграционную структуру, которая помогает организациям обнаруживать, защищать и корректировать во всем континууме — от устройства до облака — даже самые сложные атаки, будь то они файловые или безфайловые.
Нужна защита от определенных типов бесфайловых угроз?
Наши группы McAfee по исследованию угроз включают более 250 исследователей по всему миру, которые анализируют подозрительные объекты и поведение на наличие вредоносных угроз и разрабатывают инструменты, которые напрямую блокируют различные варианты бесфайловых угроз. Мы выпустили несколько сигнатур, которые блокируют различные варианты бесфайловых угроз. К ним относятся:
Бесфайловая угроза: рефлективная самоинъекция
рефлексивная загрузка — это загрузка переносимого исполняемого файла (PE) из памяти, а не с диска. Созданная функция/скрипт может рефлексивно загружать переносимый исполняемый файл без регистрации в качестве загруженного модуля в процессе и, следовательно, может выполнять действия, не оставляя следов. PowerShell — одно из наиболее широко используемых приложений для выполнения таких созданных сценариев. Это событие указывает на бесфайловую атаку, когда сценарий PowerShell пытается внедрить PE в сам процесс PowerShell.
Бесфайловая угроза: автоинъекция Reflective EXE
Reflective load означает загрузку PE из памяти, а не с диска. Созданная функция/скрипт может рефлективно загружать исполняемый файл (EXE) без регистрации в качестве загруженного модуля в процессе и, следовательно, может выполнять действия, не оставляя следов. PowerShell — одно из наиболее широко используемых приложений для выполнения таких созданных сценариев. Это событие указывает на бесфайловую атаку, когда сценарий PowerShell пытается внедрить EXE-файл в сам процесс PowerShell.
Бесфайловая угроза: удаленная инъекция рефлексивной DLL
рефлективная загрузка означает загрузку PE из памяти, а не с диска. Созданная функция/скрипт может рефлективно загружать DLL без регистрации в качестве загруженного модуля в процессе и, следовательно, может выполнять действия, не оставляя следов. PowerShell — одно из наиболее широко используемых приложений для выполнения таких созданных сценариев. Это событие указывает на бесфайловую атаку, когда сценарий PowerShell пытался внедрить библиотеку DLL в удаленный процесс.
Вредоносный код — это вредоносные сценарии компьютерного программирования, предназначенные для создания или использования уязвимостей системы. Этот код разработан злоумышленником для нежелательных изменений, повреждения или постоянного доступа к компьютерным системам. Вредоносный код может привести к лазейкам, нарушениям безопасности, краже информации и данных и другим потенциальным повреждениям файлов и вычислительных систем.
Что такое вредоносный код?
Вредоносный код — это язык, на котором враждебные стороны «говорят», чтобы манипулировать компьютерными системами, вызывая опасные действия. Он создается путем внесения изменений или дополнений в существующее программирование компьютерных программ, файлов и инфраструктуры.
Эта угроза является основным инструментом, используемым для проведения подавляющего большинства кибератак. Хакеры исследуют и находят слабые места, основанные на языках, используемых для программирования компьютеров. Затем они создают «фразы», известные как сценарии или списки команд, чтобы использовать эти уязвимости в этих языках. Эти скрипты можно повторно использовать и автоматизировать с помощью макроинструкций или макросов для краткости.
Хакеры и другие злоумышленники будут действовать очень медленно, если они будут ограничены ручными методами взлома компьютерных систем. К сожалению, вредоносный код позволяет им автоматизировать свои атаки.Некоторые коды могут даже воспроизводиться, распространяться и наносить ущерб сами по себе. Для других типов кода могут потребоваться пользователи для загрузки или взаимодействия с ним.
Последствия вредоносного кода часто могут привести к одному из следующих действий:
- Повреждение данных
- Кража учетных данных и кража личной информации
- Выкуп и вымогательство
- Неприятности и неудобства
Чтобы помочь вам защитить себя, давайте рассмотрим, как работают эти угрозы.
Как работает вредоносный код?
Вредоносный код может управлять любым запрограммированным компонентом компьютерной системы. Крупномасштабные компоненты, такие как инфраструктура компьютерных сетей, и более мелкие компоненты, такие как мобильные или настольные приложения, являются общими целями. Веб-службы, такие как веб-сайты и онлайн-серверы, также могут быть целями. Вредоносный код может заразить любое устройство, использующее для работы компьютер, например:
- Традиционные компьютерные устройства — настольные компьютеры, ноутбуки, мобильные телефоны, планшеты. — устройства умного дома, автомобильные информационно-развлекательные системы (IVI).
- Компьютерные сетевые устройства — модемы, маршрутизаторы, серверы.
Злоумышленники используют вредоносные скрипты и программы для взлома доверенных частей компьютерных систем. С этого момента они стремятся выполнить одно или несколько из следующих действий:
- Подвергнуть пользователей вредоносному коду, чтобы заразить их и распространить дальше.
- Доступ к частной информации о взломанных системах.
- Контролировать использование взломанной системы.
- Углубленное проникновение в систему.
- Исследовать и исследовать уязвимости.
- Программируйте, написав код для использования уязвимостей.
- Подвергать компьютерные системы вредоносному коду.
- Выполнить код с помощью связанной программы или самостоятельно.
Проверка и программирование — это этап подготовки атаки. Прежде чем злоумышленник сможет взломать систему, он должен сначала иметь инструменты для взлома. Ему потребуется создать код, если он еще не существует, но он также может использовать или изменить существующий вредоносный код для подготовки своей атаки.
Результатом вредоносного сценария является либо автоматически исполняемое приложение, которое может активировать себя и принимать различные формы. Некоторые из них могут включать макросы и сценарии в JavaScript, элементы управления ActiveX, неправильное использование Powershell, принудительное содержимое, подключаемые модули, языки сценариев или другие языки программирования, предназначенные для улучшения веб-страниц и электронной почты.
Раскрытие компьютерных систем может происходить через порты прямого интерфейса, такие как USB, или сетевые подключения через Интернет, такие как мобильные устройства и Wi-Fi. Для успешного разоблачения требуется только способ проникновения вредоносного кода на ваш компьютер.
Подверженность широко распространенным атакам зависит от каналов с высоким уровнем контакта, таких как популярные веб-сайты и спам в электронной почте, в то время как в более целенаправленных усилиях используются методы социальной инженерии, такие как целевой фишинг. Некоторые инсайдеры могут даже внедрить вредоносный код в частную сеть, например корпоративную интрасеть, путем прямого подключения USB-накопителя к локальному компьютеру конечного пользователя.
Выполнение происходит, когда открытая система совместима с вредоносным кодом. Как только целевое устройство или система подвергается воздействию вредоносного кода, в результате атаки могут быть предприняты несанкционированные попытки любого из следующих действий:
- Изменение данных — несанкционированное шифрование, ослабление безопасности и т. д.
- Удалить или повредить данные — серверы веб-сайтов и т. д.
- Получить данные — учетные данные учетной записи, личную информацию и т. д.
- Доступ к системам с ограниченным доступом — частным сетям, учетным записям электронной почты и т. д.
- Выполнение действий — самовоспроизведение, распространение вредоносного кода, удаленное управление устройством и т. д.
Как распространяется вредоносный код?
Вредоносный код может использоваться для самостоятельного взлома систем, запуска вторичной вредоносной активности или для самовоспроизведения и распространения. В любом случае исходный код должен быть перемещен с одного устройства на другое.
Эти угрозы могут распространяться практически по любому каналу связи, по которому передаются данные. Часто к векторам распространения относятся:
- Онлайн-сети – интрасети, обмен файлами P2P, общедоступные интернет-сайты и т. д.
- Социальные коммуникации — электронная почта, SMS, push-контент, мобильные приложения для обмена сообщениями и т. д.
- Беспроводное подключение — Bluetooth и т. д.
- Прямые интерфейсы устройств — USB и т. д.
Посещение зараженных веб-сайтов или нажатие на неверную ссылку электронной почты или вложение являются стандартными воротами для проникновения вредоносного кода в вашу систему. Однако эта угроза может проникать как из законных источников, так и из явно вредоносных. Для этих целей использовалось все, что угодно, от общедоступных USB-зарядных станций до взломанных инструментов обновления программного обеспечения.
«Упаковка» вредоносного кода не всегда очевидна, но общедоступные подключения к данным и любые службы обмена сообщениями — это наиболее важные пути для наблюдения. Загрузки и URL-ссылки часто используются злоумышленниками для встраивания опасного кода.
Типы вредоносного кода
Многие типы вредоносного кода могут нанести вред вашему компьютеру, найдя точки входа, ведущие к вашим ценным данным. Среди постоянно растущего списка вот некоторые распространенные виновники.
Вирусы
Вирусы – это самовоспроизводящийся вредоносный код, который для выполнения прикрепляется к программам с поддержкой макросов. Эти файлы перемещаются через документы и другие загружаемые файлы, что позволяет вирусу проникнуть на ваше устройство. После запуска вирус может саморазмножаться и распространяться по системе и подключенным сетям.
Черви
Черви также являются самовоспроизводящимся и самораспространяющимся кодом, как и вирусы, но для этого не требуется никаких дополнительных действий. Как только компьютерный червь попадает на ваше устройство, эти вредоносные угрозы могут выполняться полностью самостоятельно — без какой-либо помощи со стороны запускаемой пользователем программы.
Трояны
Трояны – это файлы-приманки, которые содержат вредоносный код, требующий от пользователя использования файла или программы для выполнения. Эти угрозы не могут самовоспроизводиться или распространяться автономно. Однако их вредоносная полезная нагрузка может содержать вирусы, черви или любой другой код.
Межсайтовый скриптинг (XSS)
Межсайтовые сценарии мешают пользователю просматривать веб-страницы, внедряя вредоносные команды в веб-приложения, которые они могут использовать. Это часто изменяет веб-контент, перехватывает конфиденциальную информацию или заражает само устройство пользователя.
Бэкдор-атаки
Доступ к бэкдору приложения можно закодировать, чтобы предоставить киберпреступнику удаленный доступ к скомпрометированной системе. Помимо раскрытия конфиденциальных данных, таких как информация о частной компании, бэкдор может позволить злоумышленнику стать продвинутой постоянной угрозой (APT).
Затем киберпреступники могут перемещаться в горизонтальном направлении через вновь полученный уровень доступа, стирать данные с компьютера или даже устанавливать шпионское ПО. Эти угрозы могут достигать высокого уровня: Счетная палата правительства США даже предупредила об угрозе вредоносного кода для национальной безопасности.
Примеры атак вредоносного кода
Вредоносный код может проявляться во многих формах и в прошлом был очень активен. Вот несколько наиболее известных примеров таких атак:
Троян Emotet
Впервые появившись в 2014 году, троян Emotet превратился из вредоносных программ в спам, содержащий вредоносный код. Злоумышленники используют приемы фишинга, такие как срочные темы электронных писем (например, «Требуется платеж»), чтобы обмануть пользователей и заставить их скачивать файлы.
Оказавшись на устройстве, Emotet, как известно, запускает сценарии, которые доставляют вирусы, устанавливают вредоносные программы управления и контроля (C&C) для вербовки ботнетов и т. д. Эта угроза сделала небольшой перерыв в 2018 году, а затем снова превратилась в угрозу SMS-вредоносного ПО.
Червь Stuxnet
С 2010 года компьютерный червь Stuxnet и его преемники атаковали национальную инфраструктуру. Его первая задокументированная атака была связана с иранскими ядерными объектами с помощью USB-накопителя, в результате чего было уничтожено критически важное оборудование. С тех пор Stuxnet прекратил свое существование, но его исходный код использовался для создания подобных узконаправленных атак вплоть до 2018 года.
Как защититься от атак вредоносного кода
От большинства вредоносных угроз лучшим средством защиты является антивирусное программное обеспечение с автоматическими обновлениями, возможностями удаления вредоносных программ и безопасностью просмотра веб-страниц. Однако антивирусное программное обеспечение само по себе может не предотвратить вредоносный код.
Антивирус обычно предотвращает и удаляет вирусы и другие формы вредоносного ПО, или вредоносное ПО, — это подкатегория вредоносного кода. Более широкая категория вредоносного кода включает сценарии веб-сайтов, которые могут использовать уязвимости для загрузки вредоносных программ. По определению, не все антивирусные средства могут лечить определенные инфекции или действия, вызванные вредоносным кодом.
Несмотря на то, что антивирус по-прежнему необходим для упреждающего удаления и защиты от инфекций, вот несколько полезных способов защитить себя:
- Установите программное обеспечение для защиты от сценариев, чтобы предотвратить несанкционированный запуск JavaScript и связанного с ним кода.
- Остерегайтесь ссылок и вложений. Любое сообщение, содержащее URL-ссылки или вложения, будь то по электронной почте или в текстовом сообщении, может быть вектором для вредоносного кода.
- Активируйте блокировщик всплывающих окон в браузере, чтобы скрипты не отображали вредоносный контент в нежелательных окнах браузера.
- Избегайте ежедневного использования учетных записей уровня администратора. Обычно для автоматического запуска скриптов и программ требуются разрешения высокого уровня.
- Использование резервных копий данных для защиты незаменимых файлов и документов.
- Остерегайтесь использования общедоступных подключений для передачи данных. USB-подключения обычно игнорируются, но могут легко содержать вредоносный код. Общедоступная сеть Wi-Fi также является распространенной угрозой, которую злоумышленники могут использовать для доставки вредоносного кода.
- Используйте правильно настроенный брандмауэр для блокировки несанкционированных подключений. Если вредоносный код проникает на ваш компьютер и подключается к внешним серверам для запроса полезной нагрузки вредоносных программ, брандмауэр может помочь остановить это.Убедитесь, что ваш брандмауэр настроен на блокировку по умолчанию и добавление в белый список любых ожидаемых и доверенных подключений.
Ссылки по теме:
Что такое вредоносный код?
Вредоносный код – это компьютерный код, который приводит к нарушению безопасности и повреждению вычислительной системы. Узнайте, как защитить себя от вредоносного кода сегодня.
Поскольку вредоносное ПО предназначено для вмешательства в нормальное функционирование компьютера, это общий термин для вирусов, троянов и других разрушительных компьютерных программ, которые злоумышленники используют для заражения систем и сетей с целью получения доступа к конфиденциальной информации.
Определение вредоносного ПО
Вредоносное ПО (сокращение от «вредоносное программное обеспечение») – это файл или код, обычно доставляемый по сети, который заражает, исследует, крадет или выполняет практически любые действия, которые хочет злоумышленник. А поскольку вредоносное ПО существует во многих вариантах, существует множество способов заражения компьютерных систем. Несмотря на разнообразие типов и возможностей, вредоносные программы обычно преследуют одну из следующих целей:
- Предоставить злоумышленнику удаленный доступ к зараженной машине.
- Отправлять спам с зараженного компьютера ничего не подозревающим адресатам.
- Исследуйте локальную сеть зараженного пользователя.
- Похищение конфиденциальных данных.
Вредоносное ПО — это общий термин для всех типов вредоносных программ. Примеры вредоносных программ, определения атак вредоносных программ и методы распространения вредоносных программ включают:
Рекламное ПО. Хотя некоторые виды рекламного ПО могут считаться законными, другие обеспечивают несанкционированный доступ к компьютерным системам и серьезно мешают работе пользователей.
Ботнеты. Сокращение от «сеть роботов». Это сети зараженных компьютеров, находящихся под контролем отдельных атакующих сторон, использующих серверы управления и контроля. Ботнеты очень универсальны и легко адаптируются, способны поддерживать устойчивость за счет резервных серверов и использования зараженных компьютеров для ретрансляции трафика. Ботнеты часто стоят за современными распределенными атаками типа «отказ в обслуживании» (DDoS).
Криптоджекинг — злонамеренный криптомайнинг (процесс использования вычислительной мощности для проверки транзакций в сети блокчейн и получения криптовалюты за предоставление этой услуги), который происходит, когда киберпреступники взламывают рабочие и персональные компьютеры, ноутбуки и мобильные устройства для установки программного обеспечения. .
Вредоносная реклама. Вредоносная реклама – это комбинация "вредоносное ПО + реклама", описывающая практику онлайн-рекламы для распространения вредоносного ПО. Как правило, это внедрение вредоносного кода или рекламных объявлений, содержащих вредоносное ПО, в законные рекламные сети и веб-страницы в Интернете.
Полиморфное вредоносное ПО. Любой из вышеперечисленных типов вредоносного ПО, способный регулярно «преобразовываться», изменяя внешний вид кода при сохранении алгоритма внутри него. Изменение внешнего вида программного обеспечения подрывает обнаружение с помощью традиционных сигнатур вирусов.
Программы-вымогатели – преступная бизнес-модель, в которой вредоносное ПО используется для хранения ценных файлов, данных или информации с целью получения выкупа. Жертвы атаки программы-вымогателя могут серьезно ухудшить свою работу или полностью отключиться.
Инструменты удаленного администрирования (RAT) — программное обеспечение, позволяющее удаленному оператору управлять системой. Эти инструменты изначально были созданы для законного использования, но теперь используются злоумышленниками. RAT обеспечивают административный контроль, позволяя злоумышленнику делать практически все на зараженном компьютере. Их трудно обнаружить, так как они обычно не отображаются в списках запущенных программ или задач, а их действия часто ошибочно принимают за действия законных программ.
Руткиты — программы, обеспечивающие привилегированный (уровень root) доступ к компьютеру. Руткиты различаются и прячутся в операционной системе.
Шпионское ПО — вредоносное ПО, которое собирает информацию об использовании зараженного компьютера и передает ее злоумышленнику. Этот термин включает ботнеты, рекламное ПО, поведение бэкдора, кейлоггеры, кражу данных и сетевых червей.
Вредоносные программы-трояны. Вредоносные программы, замаскированные под то, что кажется законным программным обеспечением. После активации вредоносные трояны будут выполнять любые действия, на выполнение которых они были запрограммированы. В отличие от вирусов и червей, трояны не размножаются и не размножаются путем заражения. «Троян» отсылает к мифологической истории о греческих солдатах, спрятанных внутри деревянного коня, который был отдан вражескому городу Трое.
Вирусное вредоносное ПО — программы, которые копируют себя на компьютере или в сети. Вредоносные вирусы используются в существующих программах и могут быть активированы только тогда, когда пользователь открывает программу.В худшем случае вирусы могут повредить или удалить данные, использовать электронную почту пользователя для распространения или стереть все данные на жестком диске.
Вредоносные черви — самореплицирующиеся вирусы, которые используют уязвимости системы безопасности для автоматического распространения по компьютерам и сетям. В отличие от многих вирусов, вредоносные черви не прикрепляются к существующим программам и не изменяют файлы. Обычно они остаются незамеченными до тех пор, пока репликация не достигнет масштаба, требующего значительных системных ресурсов или пропускной способности сети.
Типы вредоносных программ
Вредоносное ПО также использует различные методы для распространения на другие компьютерные системы за пределами первоначального вектора атаки. Определения атак вредоносного ПО могут включать:
- Вложения электронной почты, содержащие вредоносный код, могут быть открыты и поэтому запущены ничего не подозревающими пользователями. Если эти электронные письма будут переадресованы, вредоносное ПО может еще глубже проникнуть в организацию, что приведет к еще большему риску для сети.
- Файловые серверы, например, основанные на общей файловой системе Интернета (SMB/CIFS) и сетевой файловой системе (NFS), могут способствовать быстрому распространению вредоносных программ по мере того, как пользователи получают доступ к зараженным файлам и загружают их.
- Программное обеспечение для обмена файлами может позволить вредоносным программам воспроизводить себя на съемных носителях, а затем в компьютерных системах и сетях.
- Обмен файлами в одноранговой сети (P2P) может привести к заражению вредоносными программами путем обмена такими, казалось бы, безобидными файлами, как музыка или изображения.
- Уязвимости, которые можно использовать удаленно, могут позволить хакеру получить доступ к системам независимо от географического положения практически без участия пользователя компьютера.
Узнайте, как использовать функции предотвращения угроз нового поколения Palo Alto Networks и облачную службу анализа угроз WildFire®, чтобы защитить свою сеть от всех типов вредоносных программ, как известных, так и неизвестных.
Для обнаружения и предотвращения вредоносных программ используются различные решения безопасности. К ним относятся брандмауэры, брандмауэры следующего поколения, системы предотвращения вторжений в сеть (IPS), возможности глубокой проверки пакетов (DPI), унифицированные системы управления угрозами, шлюзы для защиты от вирусов и спама, виртуальные частные сети, системы фильтрации контента и предотвращения утечек данных. Чтобы предотвратить вредоносное ПО, все решения по обеспечению безопасности должны быть протестированы с использованием широкого спектра атак, основанных на вредоносных программах, чтобы убедиться, что они работают должным образом. Необходимо использовать надежную и актуальную библиотеку сигнатур вредоносного ПО, чтобы гарантировать завершение тестирования на предмет новейших атак
Агент Cortex XDR сочетает в себе несколько методов предотвращения на критических этапах жизненного цикла атаки, чтобы остановить выполнение вредоносных программ и остановить использование законных приложений, независимо от операционной системы, онлайнового или автономного статуса конечной точки, а также от того, подключен к сети организации или в роуминге. Поскольку агент Cortex XDR не зависит от сигнатур, он может предотвращать вредоносные программы нулевого дня и неизвестные эксплойты с помощью комбинации методов предотвращения.
Обнаружение вредоносных программ:
Существуют расширенные средства анализа и обнаружения вредоносных программ, такие как брандмауэры, системы предотвращения вторжений (IPS) и решения для песочницы. Некоторые типы вредоносных программ легче обнаружить, например программы-вымогатели, которые дают о себе знать сразу после шифрования ваших файлов. Другие вредоносные программы, такие как программы-шпионы, могут незаметно оставаться в целевой системе, чтобы злоумышленник мог сохранить доступ к системе. Независимо от типа или значения вредоносного ПО, возможности его обнаружения или лица, его применяющего, цель использования вредоносного ПО всегда злонамеренна.
Когда вы включаете защиту от поведенческих угроз в политике безопасности конечных точек, агент Cortex XDR также может постоянно отслеживать активность конечных точек на наличие цепочек вредоносных событий, выявленных Palo Alto Networks.
Удаление вредоносных программ:
Антивирусное программное обеспечение может удалить большинство стандартных типов заражения, и существует множество вариантов готовых решений. Cortex XDR обеспечивает исправление на конечной точке после предупреждения или расследования, предоставляя администраторам возможность начать различные шаги по смягчению последствий, начиная с изоляции конечных точек, отключая весь доступ к сети на скомпрометированных конечных точках, за исключением трафика на консоль Cortex XDR, завершая процессы для остановки любых запущенных вредоносное ПО не может продолжать выполнять вредоносные действия на конечной точке и блокировать дополнительные выполнения, прежде чем помещать вредоносные файлы в карантин и удалять их из своих рабочих каталогов, если агент Cortex XDR еще не сделал этого.
Защита от вредоносных программ:
Чтобы защитить свою организацию от вредоносных программ, вам нужна целостная стратегия защиты от вредоносных программ в масштабах всего предприятия. Товарные угрозы – это менее сложные эксплойты, которые легче обнаружить и предотвратить с помощью сочетания функций защиты от вирусов, шпионских программ и уязвимостей, а также функций фильтрации URL-адресов и идентификации приложений в брандмауэре.
Чтобы узнать больше о вредоносных программах, их вариантах и о том, как защитить от них свою организацию, загрузите один из наших ресурсов:
Читайте также: