Vírusírtó Blog
G Data weboldal Vírusirtó Blog Próbaváltozat

Ilyen a jövő vírusa

2018.07.17. 15:50 G Data

fajlmentes-kartevo-kiemelt.jpgEgyre gyakoribbak a fájlmentes, kizárólag a számítógép memóriájában működő kártevők. Az ilyen támadások azért veszélyesek, mert nincs olyan fájl, amelyet a víruslaboratóriumokban elemezni lehetne, és amelynek az ujjlenyomatát a hagyományos víruskereső technológiák felismernék.


A kiberbiztonsági szakemberek mostanában sokat beszélnek a fájlmentes támadásokról, mivel a 2000-es évek elején megjelent támadásforma a reneszánszát éli. Elég, ha csak az vírusstatisztikát nézzük: 2017-ben a legtöbb támadást (13 százalék) fájlmentes kártevő indította. A Barkly és a Ponemon Institute felmérése szerint a fájlmentes támadásoknak tízszer nagyobb az esélyük a sikerre, mint a fájl alapú támadásoknak – nagy valószínűséggel ezért növekszik ennek a támadásfajtának a népszerűsége.


A fájlmentes megnevezés elsőre akár félrevezető lehet, mert a számítógépeken esetenként mégis kimutatható a nem odaillő, kártékony fájlok jelenléte. Ennek oka, hogy a támadás során a kártevő sokszor egy e-mail csatolmányban érkezik. Ugyanakkor a fájlmentes elnevezés megállja a helyét, mert az aktiválódásuk után a kártevők ismert sérülékenységeket kihasználva, legitim eszközök segítségével a memóriából indulnak. A kártevő ezután kizárólag a memóriában található meg, a merevlemezen semmilyen nyoma nincsen.


Van védelem


Ma már természetesen a vezető vírusirtó szoftverek mindegyike tartalmaz olyan új generációs vírusfelismerési technológiákat, melyek nem a hagyományos módon (szignatúrák alapján) ismerik fel a kártevőket, hanem különböző heurisztikus és proaktív technológiák, vagy éppen a memória felügyeletének a segítségével. Érdekesség, hogy a legnagyobb gyártók ritkán reklámozzák önmagukat új generációs védelemként, mivel természetesnek veszik, hogy az új kártevők ellen új védelmi mechanizmusokat fejlesztenek ki. Így a „next generation” jelzőt jellemzően feltörekvő kisebb cégek szokták a zászlójukra tűzni.


A G DATA a fájlok nélkül működő kártevők elemzésén keresztül arra hívja fel a figyelmet, hogy a jövőben ezek a proaktív felismerési technológiák még nagyobb szerepet kapnak, és a kártevőkhöz hasonlóan a vírusvédelem működése is átalakul.


Rozena és Fodevepdf


A német vírusvédelmi cég szakértői két fáljmentes kártevőt elemeztek. A Rozena egy backdoor, amely a megcélzott számítógépen egy rejtett ajtón keresztül nyit kommunikációs csatornát a kártevő szerzője felé. Miután ez a csatorna kinyílt, a támadó kedve szerint garázdálkodhat a megtámadott számítógépen. Mindkét, a régebbi és az új Rozena kártevő is a Windows operációs rendszerű számítógépeket támadja. A különbség a két változat között, hogy a 2018-as verzió a fájlmentes technikát alkalmazza: PowerShell szkripteket használ.


A Rozenát egyébként vagy egy másik kártevő juttathatja számítógépünkre, vagy egyszerűen letöltődik a gépre, amikor fertőzött weboldalakat látogatunk. Emellett csatolmányként is érkezhet egy célzottan küldött e-mailben. Általában Word dokumentumnak álcázza magát, holott egy futtatható fájl.


Futtatás után a kártevő egy Hi6kI7hcxZwU nevű szövegfájlt hoz létre, melyet a %temp% mappába ment el. A futtatható fájl ezután kódolt PowerShell parancsokat indít el. Elsőként megalkot egy újabb PowerShell parancssort – ezt creator, azaz alkotó szkriptnek nevezték el. Ez kikódolja a Hi6kI7hcxZwU nevű szövegfájlt, majd egy újabb PowerShell parancssort hajt végre – ez a dekódoló (decoder) szkript. Ezt a parancssort beinjektálja a PowerShell.exe-be – ez az injector script. Itt kezdődik a fájlmentes támadási szakasz, amikor a PowerShellbe bejuttatott kód egy kétoldali TCP kapcsolatot nyit egy távoli szerver felé, mely a kártevő szerzőjének hozzáférést biztosít a kiszemelt számítógéphez.


A második elemzett kártevő egy letöltő, teljes neve Script.Trojan-Downloader.Fodevepdf.A. Ezeket a letöltőket is kedvelik a támadók, mert segítségükkel bármit az áldozat számítógépére lehet helyezni. A legtöbb esetben egy kis, a merevlemezen rejtve maradt programot használnak erre a célra. Ebben a mostani letöltőben az a különleges, ahogyan megkerüli a User Account Control (UAC) jogokat. A Windowsban a UAC biztosítja azt, hogy a magasabb jogosultságot igénylő műveleteket a felhasználó engedélyezze. Dióhéjban: ebben az esetben a letöltő a rendszerleíró adatbázisba több kulcsot ír; ezeket pedig arra használja, hogy egy olyan folyamatot indítson el, melynek rendszerjogosultságai vannak, miközben a támadó mindvégig ellenőrzi a viselkedését. A kártevő működésének bővebb technikai leírását a G DATA whitepaperében találhatjuk meg.

Tetszett a bejegyzés? Lájkolj minket a Facebookon!
Facebook Tumblr Tweet Pinterest Tetszik
0

Írj kommentet

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://virusirto.blog.hu/api/trackback/id/tr614118695

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.

Értesülj az új átverésekről a Facebookon!

Címkék

adatbiztonság (1) adathalászat (10) adatvédelem (36) Adobe (1) alkalmazás (13) amazon (1) android (36) android market (1) anonymus (1) apple (8) arcfelismerés (2) arcfelismerési technológia (1) átverés (41) Audi (1) bank (1) BankGuard (1) bankkártya (4) biometrikus azonosító (1) bitcoin (1) biztonság (21) blizzard (1) botnet (1) bouncer (1) celeb (1) cenzúra (1) chat (1) Chrome (1) cnn (1) csalás (8) csoport (1) cyberbullying (1) ddos (1) dnt (1) domén (1) e-book (1) e-mail (1) email (4) emoji (1) engedély (1) esemény (1) EU (1) europol (3) Facebook (10) facebook (129) Facebook hangulatjelek (1) fbi (3) felhő (1) felmérés (17) féreg (2) fiók (1) Flame (1) foci (1) frissítés (1) gdata (1) geotagging (2) Gmail (1) google (9) gps (1) gyermek (2) g data (6) G Data (35) G data (3) G Data BankGuard (1) G Data jelszómenedzser (1) G Data TotalProtection (1) hack (2) hacker (36) híresség (1) hoax (1) Hotmail (1) hozzáférés (2) hummer (1) idővonal (2) információbiztonság (2) instagram (4) intel (1) internet (4) internetbiz (1) internetbiztonság (62) ios (1) iOS (2) ipari kémkedés (1) jelszó (2) Jelszókezelő (1) jogok (3) kártevő (47) katasztrófa (1) kémkedés (1) kémprogram (1) keresés (1) kéretlen program (1) kiberbűnözés (2) kiberháború (3) kínai közösségi média (1) komment (1) közösségi média (1) közösségi portál (1) kriptobányászat (1) lájk (1) like (4) Linux (1) linux (1) mac (1) macintosh (1) maya (1) média (1) megosztás (6) metaadat (1) Microsoft (2) mobiltelefon (5) napló (1) Nigéria (3) okosóra (1) okostelefon (2) olimpia (1) online (3) Online bankolás (1) online bankolás (1) Ötven Cent Csoport (1) password (1) phising (1) Pokémon Go (1) Popcorn TIme (1) poszt (1) ransomware (13) rendőrség (2) rootkit (1) sérülékenység (9) skype (2) Skype (1) smart tv (5) spam (10) személyi (3) születésnap (1) szülői felügyelet (1) tartalomszűrés (1) tartózkodási hely (1) ThyssenKrupp (1) törlés (1) torrent (3) trójai (19) twitter (1) update (1) usb (5) vásárlás (1) védelem (2) végítélet (1) videó (1) vírus (2) virusirtó (1) vírusirtó (12) VirusTotal (1) visszaélés (1) Vista (1) vízjel (1) vodafone (1) warcraft (1) Weibo (1) whatsapp (1) wifi (3) windows (1) Windows (2) wordpress (1) World of Warcraft (1) WoW (1) Yahoo (1) Yahoo! (1) zaklatás (1) Zeus (1) zsaroló kártevő (5) Címkefelhő

Archívum

Feedek

XML
süti beállítások módosítása