2015. augusztus 27., csütörtök

A Vaulton kívül okosan II.


Ott kint a Wasteland-ban (pusztaságban) minden más. Aki oda kimerészkedik, nem is tudja, mekkora árat fizethet egy rossz lépéssel (ami nálunk kattintásnak minősül).  A sors iróniája, hogy mindenki kimerészkedik, mindennapossá vált, hogy felmegyünk megnézni a leveleinket (hacsak nem tölti le kliens programunk magától), megnézzük a híreket, beszélgetünk barátainkkal, szeretteinkkel.  De mi is várhat ránk?
A fertőzött oldalakról már írtam kis ízelítőt, magáról a kártékony kódokról, amik bejuthatnak gépeinkbe még nem.  Ezeknek nagyos sokféle fajtája van. Van, ami veszélyes van, ami még annál jobban is. A vírusirtónk akkor jó, ha már felismeri a kártékony kódot, ha nem, akkor a gépünk szabad préda lesz. Hogyan is ismeri fel? Egy modernebb vírusirtó nem csak úgynevezett Pattern vagy DAT fájlokban levő sorok ráillesztésével ismeri fel a kórokozót, hanem viselkedést is néz. A Pattern adatbázis (vagy más néven szignatúra adatbázis) napi többször is felkerülhet a gépre, újabb és újabb szignatúrákkal. Ez a fő vonal ahol minden kezdődik. Ha a legfrissebbet nem kapja meg gépünk és emiatt térdel le a gép egy kártékony kód lefutása után, az csakis a mi hibánk volt (hisz mi vagyunk az Adminisztrátorok). Ha megkapja és nincs a szignatúrák között a kód az azt jelenti, hogy nagyon új a kód. Ilyenkor jön a másodlagos védelem, a viselkedés vizsgálat. Ha itt elbukik a kódhalmaz, akkor a vírusirtó blokkol és visszajelez a gyártónak, hogy valami újat talált. Ha itt is átvergődi magát a kód, akkor nincs mit tenni, megfertőződünk. Ezért ildomos naprakészen tartani a vírusirtót (mint program, mint szignatúra adatbázis szinten).
Van itt még egy másik elterjedőben levő vizsgálati irány is, ami a cloud-ban (felhőben) vizsgálódik. Az adott fájlt felküldi a vírusirtó a felhőbe majd megvizsgálja. Készít róla egy egyedi azonosítót (MD5) és ha gyanúsnak találja, megjelöli ezt. A gépen, ami felküldte vizsgálatra blokkolja, de minden olyan gép is blokkolni fogja a kódot, ami innentől kezdve a cloudba felküldené. Ennek az az értelme, hogy sokkal gyorsabban lehet reagálni a fertőzésekre mint a szignatúra adatbázis letöltögetős variációnál.
Pár példa:

Ransomware  - ez a legrosszabb ami történhet, ebben az esetben egy titkosítási folyamat indul el a sikeres fertőzés után az adott gépen, ahol saját fájlok (pdf, doc, jpg, avi stb.) kerül titkosításra. A kulcs azonnal legenerálódik és feltöltésre kerül egy CnC szerverre (Parancsnoki gép). Mi csak azt látjuk, hogy jön egy üzenet amiben xy bitcoint kell egy megadott címre utalni, utána a kulcsot visszakapjuk. Erre van Z időnk különben törlődik a kulcs.

Trójai – mint a faló, bejuttat a gépbe egy proggit ami kaput nyit (portot) és felveszi a kapcsolatot egy CnC szerverrel ahol a nyitott porton bekukucskál a rosszakaró. Így lesz gépünk Bot hálózat (Botnet) tagja. Fel-le másolhatnak a gépünkről fájlokat, megnézhetik a képernyőnket, bekapcsolhatják a kamerát, a mikrofont. 

Dropper – olyan programok amelyek ha sikeresen elindulnak egy vagy több helyről leszedik a kártékony programokat és futtatják őket, ilyenkor fog ténylegesen fertőzött lenni gépünk.
Miner – a sikeres fertőzés után egy program fogja terhelni a gépet ami egy ú.n. bitcoin bányász program, ennek segítségével a kódíró több gépet tud befogni a bitcoin bányászásba és több bitcoint keres.


Nincsenek megjegyzések:

Megjegyzés küldése