Что такое бестелесные вирусы

Обновлено: 28.03.2024

Дикая охота на кибернебосклоне

Одной из наиболее высокотехнологичных уловок, позволяющих вредоносной программе ускользать от внимания систем безопасности, является отсутствие самого вредоносного файла как такового. Для этого используются разные методы. Вероятно, одним из самых коварных можно считать запуск вредоносного кода исключительно в энергозависимой памяти устройства, так что в файловой системе не остается вообще никакого следа. Такой подход существенно затрудняет обнаружение зловреда — а после перезагрузки системы отследить атаку оказывается очень сложно.

Однако шумиха вокруг AVT несла в себе и крупицу здравого смысла: она пророчила дальнейшее распространение вредоносных программ, использующих только память и тем самым избегающих обнаружения. И эти пророчества сбылись, причем в некоторых аспектах реальность оказалась даже хуже предсказанного.

Вопросы терминологии

В число известных укромных мест входят системный реестр, сервисные области жесткого диска и даже флеш-чипы с прошивкой жесткого диска. Последний вариант встречается крайне редко и практически ничем не обнаруживается — тут может помочь только тщательнейшее изучение экспертами. Но и первых двух способов хватает, чтобы осознать: вариантов много, а следовательно, стоит быть готовым и к появлению новых методов сокрытия зловредов.

Сценарии и контрмеры

Наиболее распространенные сценарии кибератак могут включать использование бестелесных вредоносных программ. Например:

  • классический адресный фишинг с вредоносным вложением: после открытия которого (к примеру, специально созданного файла .docx) происходит внедрение зловреда в действующий процесс Microsoft Word в памяти компьютера через какую-либо уязвимость. После этого скомпрометированный процесс начинает выполнять не свойственные ему действия — например, загружать и запускать дополнительные фрагменты вредоносного кода прямо в памяти машины.
  • сценарий drive-by-атаки через ранее скомпрометированные популярные интернет-ресурсы: с помощью эксплойта либо осуществляется внедрение кода непосредственно в процесс браузера, либо в оперативной памяти запускается новый дочерний процесс.

Обратите внимание: злоумышленники также могут использовать совершенно легитимные программы, для того чтобы выполнять самый широкий спектр задач без необходимости взаимодействия с файловой системой. Чаще всего для этого используют интерпретатор PowerShell, который присутствует практически в любой современной ОС Windows, начиная с Windows 7.

Вне зависимости от сценария атаки все слои безопасности на уровне файловой системы оказываются в основном бесполезными. В случае drive-by-атаки в файловую систему не загружаются вообще никакие посторонние файлы, даже временные. Вредоносное вложение с хорошо продуманной обфускацией (а подобное весьма вероятно, раз уж злоумышленники достаточно квалифицированны, чтобы проводить атаки при помощи бестелесных зловредов) может обойти статические слои детектирования. А использование легального ПО для проведения атак осложняет обнаружение на порядок.

Тем не менее можно противодействовать и такой атаке. Адекватная защитная система, построенная на принципе многоуровневости, должна предусматривать следующие средства:

Типичные защиты от вредоносного программного обеспечения сканируют жесткие диски в поисках вредоносных файлов, а затем принимают меры их для удаления.

Эта стратегия дает сбой, когда нет ни одного вредоносного файла, присутствующего в системе. И именно этот способ становится все более и более популярным типом атак ставящим в тупик оборону десятков банков всего мира.

Что такое бестелесный вирус? Антивирус, Вредоносное по, Информационная безопасность, Длиннопост

Так называемые бестелесные вредоносные программы (Fileless infections) позволяют избежать обнаружения, потому что они не зависят от файлов жесткого диска, им не нужны исполняемые файлы для запуска.

Такой способ кибер преступлений впервые появился несколько лет назад, как часть сложного национального, государственного разведывательного нападения, и переживает сейчас всплеск популярности.

Атака заключалась в получении учетных данных системного администратора, для того что бы хакеры могли беспрепятственно собрать секретные учетные данные клиентов банков, и в конечном итоге снимать от их имени деньги в банкоматах.

Хакеры так же могут использовать средства администрирования операционной системы Windows PowerShell, чтобы скрытно внести вредоносный код в оперативную память компьютера.

Что такое бестелесный вирус? Антивирус, Вредоносное по, Информационная безопасность, Длиннопост

В качестве борьбы с таким видом заражения компьютера, специалисты по кибер безопасности банков могли бы следить за неожиданным созданием услуг в их системе, наблюдать за неожиданным увеличением трафика в своей сети, попытаться обнаружить посторонний исходящий трафик, а также запретить использование PowerShell в их сетях

Это помогает следить за работой сети, а не просто проверять файлы, хранящиеся в ней. Он подчеркивает, что даже совершенствующиеся угрозы не отменяют применение основополагающих мер безопасности, таких как разделение различных частей сети на подсети, что является более эффективным для обеспечения защиты.

Чего добиваются кибер преступники используя бестелесный вирус?

• Скрыть свое присутствие от антивирусов как можно дольше

• Повышения привилегий - способность использовать уязвимость, которая даст им доступ администратора к системе и они могут делать все, что хотят.

• Сбор информации - собрать как можно больше данных о жертве и с компьютера жертвы, насколько это возможно (для дальнейшего использования в других атаках)

• Устойчивость - способность сохранять вредоносный код в системе, не выявленным, максимально долгое время. Он может скрыться в местах, которые трудно сканировать или обнаружить с помощью традиционных антивирусных продуктов.

Непосредственно в оперативной памяти могут скрываться стойкие и замаскированные инфекции:

1. Резидентная вредоносная программа (Memory-resident malware) - этот тип квази бестелесной вредоносной программы использует пространство памяти процесса или подлинный файл Windows. Он загружает свой вредоносный код в этом пространстве памяти и остается там, пока код не срабатывает.

2. Руткит - это вид программных средств выполняющий маскировку вредоносных объектов (процессов, файлов, директорий, драйверов) на компьютере пользователя.

Rootkit дает возможность получить доступ администратора для злоумышленников. Руткиты часто находятся в ядре и поэтому, их невозможно обнаружить и уничтожить не смотря на перезагрузки и и обычные проверки антивирусом.

Что такое бестелесный вирус? Антивирус, Вредоносное по, Информационная безопасность, Длиннопост

3. Вредоносная программа реестра Windows - новые типы вредоносных программ. Бестелесный способен находится в реестре Windows. Ведь Реестр Windows представляет собой базу данных, которая хранит настройки низкого уровня для операционной системы и некоторых приложений.

Обычному пользователю сложно просто ориентироваться в реестре, но авторы вредоносных программ эксплуатируют даже кэш миниатюр операционной системы, чтобы получить возможность устойчиво сохранить вредоносный код.

Этот тип бестелесного вредоносного ПО выполняет код в файле в реестра, файл самоуничтожается, после выполнения своих злых намерений.

Как бестелесный вирус работает:

Вот реальный, простой сценарий как этот вирус может поставить под угрозу ваш компьютер .

>> Вы используете Chrome, который имеет установленный флэш - плагин. Или это может быть любой другой браузер, который поддерживает этот плагин или Javascript .

>> Ваш флэш-плагин устарел, потому что у вас не было времени установить обновления.

>> В конечном итоге вы попадаете на веб - сайт, где размещен Angler exploit kit.

>> exploit комплект начинает сканирование на наличие уязвимостей в вашем компьютере, и находит устаревший Flash-плагин. Сразу же начинает работать полезная нагрузка в памяти процесса вашего Chrome.

>> Если, например, полезная нагрузка представляет собой штамм вымогателей, то он будет подключаться к серверам Command & Control, контролируемых злоумышленниками для получения ключа шифрования.

>> Последним шагом после шифрования данных на вашем компьютере, это блокировка оборудования и требование выкупа, для предоставления последующего доступа к файлам вашего компьютера.

Вы видите, полезная нагрузка (часть вредоносной программы, которая выполняет вредоносные действия) вводится непосредственно в процессе, используемом для эксплуатации и запуска в оперативной памяти компьютера.

Что такое бестелесный вирус? Антивирус, Вредоносное по, Информационная безопасность, Длиннопост

EXPLOIT KITS - обязательное условие функционирования бестелесного вируса.

Exploits Kit является всего лишь системой сетевого тестирования компьютера для поиска недостатков или ошибок приложений дающих возможность несанкционированного проникновения, к вашему компьютеру или любой другой системе.

Преступный Exploits инструмент это, в основном, кусок кода разработанный для вредоносных целей. Он открывает канал, который злоумышленники могут использовать для общения с вашей системой и загрузки в неё коды включающие в себя различные типы нужных им команд.

Лучший способ защитить себя от бестелесного вируса.

1. Применять обновления безопасности для приложений и операционной системы.

Большинство пользователей не любят обновлений программного обеспечения, пренебрегая из-за предвзятых понятий, таких как:

В современном мире обновления программного обеспечения, имеют решающее значение для вашей безопасности!

2. Блокирование страниц имеющих вредоносные ресурсы.

Заражение начинается в тот момент когда вы открываете страницу на зараженном сайте, где размещен преступный эксплойт комплект.

Но если вы используете обновляемый продукт безопасности, он будет блокировать такую страницу, как только вы попытаетесь открыть ее. В итоге нелегальный эксплойт комплект никогда не сможет достичь приложений на вашем компьютере (в данном случае, браузер).

Как антивирус блокирует сайты?

Что такое бестелесный вирус? Антивирус, Вредоносное по, Информационная безопасность, Длиннопост

Таким образом, этот метод обнаружения может быть очень полезным для вашей интернет-безопасности.

3. Блокирование доставки полезной нагрузки.

После того, как используемый набор определил уязвимость в вашей системе, он будет подключаться к серверам Command & Control для загрузки полезной нагрузки и займет место в оперативной памяти. Но если вы должным образом защищены то ваш пакет безопасности знает, что происходит попытка подключиться к вредоносным серверам, и он остановит загрузку.

Опять же, видите, бестелесный вирус блокируется прежде чем это попадет к Вам.

4. Блокируется обмен данными между компьютером и серверами нападавших.

Скажем, полезная нагрузка проникла в конечном итоге на вашу систему через уязвимость Zero Day (Уязвимость нулевого дня - недостаток в программном обеспечении, для которых не существует никакого обновления, потому что производитель программного обеспечения ещё не знает об этом).

Следующим слоем упреждающей защиты продукта безопасности, является блокирование связи между вашим компьютером и сервером контролируемым злоумышленниками.

Преступники не смогут получить данные, собранные с вашего компьютера, они так же не смогут заразить вашу систему дополнительным вредоносными программами .

Появление бестелесных вредоносных программ не повод для отчаяния, это просто еще одна причина идти в ногу с изменениями, а не полагаться на устаревшие инструменты.

А теперь просто ищите злоумышленников там где где вы меньше всего их ожидаете.


Сообщество SMM и SEO

204 поста 1.7K подписчик

Правила сообщества

Делимся опытом и полезными статьями. Разрешено все, кроме рекламы. За спам и рекламу будет блокировка.

@moderator, ссылки в тексте - типичная раскрутка сайта. Да и сообществом ошибся парень. Ссылки совпадают с ником.

Сообщество SMM и SEO, ты в этом нифига не разбираешься, не пиши, пожалуйста, на эти темы.


Бывший разработчик Firefox призвал отказаться от антивирусов

(В связи с разгоревшейся дискуссией. Статья не новая, но на Pikabu не нашел.)

Разработчик Firefox и хакер Роберт О'Каллахан временно покинул Mozilla, стал свободен от корпоративных обязательств и теперь волен говорить правду без оговорок. Он призвал пользователей к немедленному удалению сторонних антивирусов со своих компьютеров (Windows Defender лучше оставить).

Основные правила безопасности: следить за обновлениями операционной системы, устанавливать последние патчи безопасности. Специалист добавил, что если человеку приходится использовать устаревшие системы Windows 7 или, не дай бог, Windows XP, то сторонние антивирусы всё-таки помогут ему быть не в полной дыре — чувствовать, что есть хоть какая-то защита.

Пример исправления 0-day уязвимостей в популярном антивирусном продукте, 2015-2016 гг.

В самых известных коммерческих антивирусах — десятки уязвимостей. Речь идёт о тех багах, которые обычно обнаружены сторонними исследователями или уже активно эксплуатируются вредоносным ПО. Разработчики антивирусов стараются закрывать эти баги, но многие пользователи не обновляют антивирус и не устанавливают патчи. К тому же, обновление не поможет, если злоумышленникам известны другие уязвимости, о которых информация пока не просочилась в открытый доступ. А таких багов много, ведь антивирус — очень соблазнительная мишень для хакеров. Антивирус сидит в ОС на нижнем уровне, и взломав его можно получить полный доступ к файловой системе, вплоть до загрузчика ОС.

Наличие серьёзных багов в антивирусах даёт понять две вещи:

Антивирусы открывают злоумышленникам разнообразные векторы для атаки.

Антивирусы пишут не соблюдая стандартные правила безопасности.

Несколько раз антивирусы блокировали обновления Firefox, не давая установить последние важные обновления безопасности. Разработчикам приходится тратить много времени на обход антивирусов. А ведь это время можно было уделить другим вопросам безопасности.

Хотя сам О'Каллахан предпочитает воздержаться от негативной оценки антивируса Microsoft, но нужно заметить, что именно этот антивирус хуже всех влияет на производительность компьютера (сильнее Windows Defender тормозит систему только антивирус от Trend Micro).



Теория самовоспроизводящихся автоматов

Программа Creeper

Вирус Rabbit

Первый троянец

Согласно сайту Fourmilab, первый троянец по названием ANIMAL (хотя есть споры относительно того, были ли это действительно троянец или просто вирус) был разработан компьютерным программистом Джоном Уолкером в 1975 г. В то время были очень популярны компьютерные игры, в которых пользователь загадывал какое-нибудь животное, а программа должна была его угадать за 20 вопросов. Уолкер написал одну из таких игр, и она стала популярной. Чтобы поделиться ее со своими друзьями, Уолкер записывал и передавал ее на магнитной ленте. Чтобы упростить эту процедуру, Уолкер создал программу PERVADE, которая устанавливалась на компьютер вместе с игрой ANIMAL. Пока пользователь играл в игру, PREVADE проверял все доступные пользователю директории на компьютере, а затем копировал ANIMAL во все директории, где этой программы не было. Вредоносной цели здесь не было, но ANIMAL и PREVADE подпадают под определение троянца: по сути, внутри программы ANIMAL была запрятана другая программа, которая выполняла действия без согласия пользователя.

Вирус загрузочного сектора Brain

Вирус ILoveYou

Червь Code

Червь Code Red был так называемым бестелесным червем – он существовал только в памяти и не предпринимал попыток заразить файлы в системе. Используя брешь в системе безопасности Microsoft Internet Information Server, червь всего за несколько часов распространился по всему миру и вызвал хаос, внедряясь в протоколы обмена информацией между компьютерами.

Как пишет сайт Scientific American, зараженные компьютеры в итоге были использованы для проведения DDoS-атаки на веб-сайт Белого дома – Whitehouse.gov.

Heartbleed

Будущее компьютерных вирусов

На протяжении уже более 60 лет компьютерные вирусы находятся в сфере коллективного человеческого сознания. То, что однажды было лишь кибер-вандализмом, быстро превратилось в киберпреступление. Быстро развиваются черви, троянцы и вирусы. Хакеры мотивированы и умны, они всегда стремятся тестировать на прочность системы и код, расширять границы доступных им методов и изобретать новые способы заражения. В будущем киберпреступники, вероятно, будут чаще взламывать PoS-терминалы – в качестве хорошего примера можно привести недавний троянец удаленного доступа Moker. Этот новый троянец сложно обнаружить, тяжело удалить – он обходит все известные механизмы защиты. Ничего не известно наверняка; постоянные перемены – в самой природе постоянной борьбы между киберпреступниками и системами защиты.


Компьютеры Windows и Mac, ноутбуки, смартфоны и планшеты находятся под постоянной угрозой заражения растущим количеством вредоносных программ и других угроз безопасности.

В качестве первого шага для защиты своих устройств и своих действий в Интернете стоит убедиться, что вы хорошо осведомлены об основных категориях вредоносного ПО и других угроз.


Что такое вредоносное ПО?

Под вредоносной программой подразумевается любая программа, созданная для выполнения любого несанкционированного — и, как правило, вредоносного — действия на устройстве пользователя. Примеры вредоносных программ: Компьютерные вирусы

  • вирусы;
  • макровирусы для Word и Excel;
  • загрузочные вирусы;
  • скрипт-вирусы, включая batch-вирусы, заражающие оболочку ОС Windows, Java-приложения и т.д.;
  • клавиатурные шпионы;
  • программы для кражи паролей;
  • троянцы-бэкдоры;
  • crimeware — вредоносные программы, созданные для автоматизации совершения финансовых преступлений;
  • шпионские программы;
  • рекламные программы и другие типы вредоносных программ

Чем вирус отличается от червя?

Компьютерные вирусы это вредоносные программы, которые могут воспроизводить сами себя и заражать файл за файлом на компьютере, а также может распространяться с одного компьютера на другой.

Обычно компьютерные вирусы запрограммированы на выполнение разрушающих действий, таких как повреждение или удаление данных.

Чем дольше вирус остается необнаруженным на компьютере, тем больше файлов он заразит.

Черви, как правило, считаются разновидностью компьютерных вирусов, но с некоторыми отличиями:

Червь – это вредоносная программа, которая многократно копирует сама себя, но не наносит прямого вреда безопасности.

Червь, однажды попавший на компьютер, будет искать способы распространения на другие компьютеры и носители.

Если вирус является фрагментом программного кода, добавляющимся к обычным файлам, червь – это самостоятельная программа.

Что такое троянская программа?

Троянская программа— разновидность вредоносного ПО, проникающая в компьютер под видом легального программного обеспечения и после своего запуска выполняющая вредоносные действия.

В отличие от вирусов и червей троянские программы не умеют распространяться самостоятельно.

Как правило, троянцы тайно загружаются в компьютер пользователя и начинают осуществлять несанкционированные им вредоносные действия.

Киберпреступники используют множество троянских программ разных типов, каждый из которых предназначен для выполнения особой вредоносной функции. Наиболее распространены:

  • Бэкдоры (в их состав часто входят программы-кейлоггеры);
  • троянские шпионские программы;
  • троянские программы для кражи паролей;
  • троянские прокси-серверы, которые преобразуют ваш компьютер в средство распространение спама.

В греческой мифологии во время Троянской войны греки пошли на хитрость, чтобы проникнуть в город Трою. Они построили огромного деревянного коня и преподнесли его в подарок жителям Трои, а те, не зная, что внутри коня находились греческие воины, внесли коня в город.

Ночью греки покинули коня и открыли городские ворота, чтобы греческое войско смогло войти в Трою.

Сегодня в троянских программах применяются различные трюки для того, чтобы они могли проникнуть на устройства ничего не подозревающих пользователей.

Что такое клавиатурный шпион?

Клавиатурный шпион, или кейлоггер, — это программа, которая записывает все нажатия клавиш на клавиатуре зараженного компьютера.

Киберпреступники используют клавиатурные шпионы для кражи конфиденциальных данных, наприме, имен пользователей, паролей, номеров и PIN-кодов кредитных карт, а также прочих сведений. Как правило, кейлоггеры входят в состав бэкдоров.

Что такое фишинг?

Фишинг — это особый вид компьютерных преступлений, который заключается в том, чтобы обманом заставить пользователя раскрыть ценную информацию, например сведения о банковском счете или кредитных картах.

Как правило, киберпреступники создают фальшивый сайт, который выглядит так же, как легальный, например официальный сайт банка.

При посещении фальшивого сайта, как правило, предлагается ввести конфиденциальные данные, например имя пользователя, пароль или PIN-код.

Что такое шпионская программа?

Шпионские программы предназначены для сбора данных и их отправки стороннему лицу без уведомления или согласия пользователя. Как правило, шпионские программы:

  • отслеживают, какие клавиши пользователь нажимает на клавиатуре;
  • собирают конфиденциальную информацию, такую как пароли, номера кредитных карт, номера PIN и т.д.;
  • собирают адреса электронной почты с компьютера пользователя;
  • запоминают наиболее посещаемые вами веб-страницы.

Кроме возможного ущерба при доступе киберпреступников к этому типу информации, шпионская программа также отрицательно влияет на производительность компьютера.

Что такое drive-by загрузка?

При drive-by загрузке заражение компьютера происходит при посещении веб-сайта, содержащего вредоносный код.

Киберпреступники ведут в интернете поиск уязвимых серверов, которые можно взломать. Когда уязвимый сервер найден, киберпреступники могут разместить свой вредоносный код на веб-страницах сервера.

Если операционная система компьютера или одно из приложений, работающих на компьютере, имеет незакрытую уязвимость, вредоносная программа автоматически загрузится на компьютер при посещении зараженной веб-страницы.

Что такое руткит?

Руткиты — это программы, используемые хакерами для предотвращения обнаружения при попытке получить несанкционированный доступ к компьютеру.

Очень часто руткиты используются в качестве прикрытия действий троянской программы.

При установке на компьютер руткиты остаются невидимыми для пользователя и предпринимают действия, чтобы вредоносные программы не были обнаружены антивирусным программным обеспечением.

Благодаря тому, что многие пользователи входят в систему компьютера с правами администратора, а не создают отдельную учетную запись с ограниченными правами, киберпреступнику проще установить руткит.

Что такое Adware?

Рекламные программы используются либо для запуска рекламных материалов (например, всплывающих баннеров) на компьютере, либо для перенаправления результатов поиска на рекламные веб-сайты.

Рекламные программы часто встраиваются в бесплатные или в условно-бесплатные программы.

При загрузке бесплатной или условно-бесплатной программы в систему без уведомления или согласия пользователя может быть установлена рекламная программа.

В некоторых случаях рекламная программа скрытым образом загружается с веб-сайта и устанавливается на компьютере пользователя троянцем.

Если у вас установлена не последняя версия веб-браузера, хакеры могут воспользоваться его уязвимостями, используя специальные инструменты (Browser Hijackers), которые могут загрузить рекламную программу на компьютер.

Browser Hijackers могут изменять настройки браузера, перенаправлять неправильно или не полностью набранные URL-адреса на специальный сайт или поменять домашнюю страницу, загружающуюся по умолчанию.

Они также могут перенаправлять результаты поиска в интернете на платные и порнографические веб-сайты.

Что такое ботнет?

Ботнет — это сеть компьютеров, контролируемых киберпреступниками с помощью троянской или другой вредоносной программы.

Хакеры добиваются этого несколькими способами, например, отправляют серверу такое количество запросов, которые он не в состоянии обработать.

Работа сервера будет замедлена, веб-страницы будут открываться намного дольше, и сервер может совсем выйти из строя, в результате чего все веб-сайты на сервере будут недоступны.

Как правило, киберпреступник взламывает главный компьютер и все зомби-компьютеры, используя уязвимость в приложениях для установки троянской программы или другого компонента вредоносного кода.

Статьи и ссылки по теме:

Продукты:

Вредоносное ПО вирусы и другие угрозы в Интернете -- Часто задаваемые вопросы

Для защиты своих устройств и обеспечения безопасной работы в интернете прежде всего необходимо хорошо знать основные категории вредоносных программ.

Избранные статьи

Как очистить кеш и удалить файлы cookie в различных браузерах

content/ru-ru/images/repository/isc/2021/incognito_mode_image1_1130460088_670x377px_300dpi.jpg

Режим инкогнито и режим конфиденциального просмотра: что это такое и как ими пользоваться?

content/ru-ru/images/repository/isc/2021/lower_ping_image1_1081095182_670x377px_300dpi.jpg

Как снизить пинг и оптимизировать скорость онлайн-игр

content/ru-ru/images/repository/isc/2021/internet-laws-1.jpg

Что представляют собой отдельные законы об интернете и безопасности данных?

content/ru-ru/images/repository/isc/2021/cyber-hygiene-habits-1.jpg

Соблюдение кибергигиены поможет обеспечить безопасность в сети

Продукты для дома

Наши передовые решения помогают защитить то, что для вас ценно. Узнайте больше о нашей удостоенной наград защите.

Бесплатные утилиты

Наши бесплатные утилиты помогают обеспечить защиту ваших устройств на базе Windows, Mac и Android.

Связаться с нами

Наша главная цель - обеспечить вашу безопасность. Мы всегда готовы ответить на ваши вопросы и оказать техническую поддержку.

О компании

Узнайте больше о том, кто мы, как мы работаем и почему наша главная цель - сделать цифровой мир безопасным для всех.

Пробные версии

Попробуйте наши решения. Всего за несколько кликов вы можете скачать бесплатные пробные версии нашего продукта и проверить их в действии.

Сувенирный портал Lab Shop

Читайте также: