Šta je malver i kako se odbraniti?

Detaljan vodič koji sadrži (skoro) sve što ste želeli da znate o malveru!

Šta je malver i kako se odbraniti?

Šta je malver?

Malver (eng. malware) je reč izvedena od dve reči – “Malicious Software”, i predstavlja svaki softver koji je napisan u maliciozne svrhe, odnosno koji ima cilj da nanese štetu računarskim sistemima ili mrežama.

Istorija malvera

Prvi virus za PC je nazvan “Brain”, a napravili su ga dvojica pakistanskih softverskih inženjera 1986. U pitanju je Boot Sector Virus. Autori su ga napravili kao softver za zaštitu autorskih prava i nisu očekivali da može da se upotrebi u maliciozne svrhe, ali je to otvorilo oči velikim softverskim vendorima i stručnjacima za bezbednost.

Kako se malver širi?

Poput zarazne bolesti, malver može da se širi i inficira druge sisteme na mnogo načina. To zavisi od autora malvera i njegovih ciljeva. Neki žele da malver ostane sakriven što je duže moguće (npr. u ciljanim napadima), a neki žele da izazovu “buku”. Najčešći metodi širenja malvera su sledeći:

1. Prenosni uređaji (USB memorije i hard diskovi)

Neke vrste malvera pratr aktivnost USB portova i kopiraju se na svaki USB uređaj koji je povezan sa računarom. Kada se taj USB ubaci u drugi uređaj, malver se sam pokreće preko autorun funkcije ili ga, slučajno ili namerno, pokreće korisnik koji nije svestan da postoji malver.

2. Mreža

Bilo da je u pitanju mreža koja je povezana kablom (Ethernet) ili wireless mreža, neki malveri skeniraju lokalnu mrežu i pokušavaju da se kopiraju na uređaje koji dozvoljavaju neautorizovanim korisnicima da uploadujuju fajlove, npr. FTP i NFS.

3. Email

Phishing email poruke su jedna od najvećih sajber pretnji i osnova za izvođenje mnogih sajber napada. Korisnici konstantno “padaju” na ove napade, odnosno otvaraju maliciozne fajlove u atačmentu i/ili linkove koji dovode do kompromitovanja sistema.

4. Dokumenta

Neke vrste malvera, poput Macro virusa su ubačeni (sakriveni) u Word i Excel dokumenta. Jedan od prvih macro virusa je Melissa Virus iz 1999. Kada korisnik otvori zaraženi dokument, maliciozni macro inficira uređaj i šalje svoj kod na adrese prvih 50 kontakata žrtve.

5. Sajtovi

Veoma efikasan način da se zarazi ogroman broj korisnika je da se malver ubaci u legitimni veb sajt. Napadač ubacuje maliciozni kod i čeka da ga korisnici preuzmu i pokrenu. Ipak, ovakav napad nije lako izvesti jer napadač prvo mora da ima pristup sajtu.

Zašto postoji malver?

Autori malvera imaju različite motive i ciljeve, tako da se i sami malveri razlikuju i koriste u različite svrhe:

Slika 1.

1. Destrukcija

Svrha ovakvog malvera je da napravi nepopravljivu štetu na ciljanom uređaju.

2. Špijunaža

Spyware mogu da koriste i “dobri i loši momci”, a pretežno se koriste za monitoring sistema i krađu vrednih informacija iz sistema žrtve. Ovaj malver mogu da naprave i veće sajber kriminalne grupe radi eliminisanja konkurencije.

3. Monetizacija - kako kriminalci zarađuju od malvera?

A. Ucena

Savršen primer za ovo je ransomware koji zaključava fajlove žrtve i koji od žrtve traži određen iznos otkupnine kako bi ih otključao. Da bi otežali mogućnost praćenja, najčešće se zahteva otkupnina u nekoj kripto valuti (Bitcoin itd.).

B. Rudarenje kripto valuta

Mineri za rudarenje kripto valuta koriste resurse računara žrtve kako bi obavili kompleksne matematičke operacije, odnosno rudarili kripto valute u korist napadača, bez znanja žrtve.

C. Reklame

Adware je vrsta malvera koji šalje instrukcije računaru žrtve da pregleda i/ili klikne na reklame u korist napadača. U zavisnosti od oglasne agencije, svaki pregled ili klik donosi određenu količinu novca, u ovom slučaju za napadača.

D. Krađa

Bankarski trojanci poput Zeus, Ramnit i Neverquest su napravljeni da ukradu informacije o bankovnim računima sa ciljanih uređaja.

4. Državno sponzorisani malver

U pitanju je, po pravilu, vrlo sofisticiran malver koji se koristi u sajber ratovima između različitih država i sajber vojski. Neki od ovih malvera imaju isključivo zadatak da špijuniraju, neki da izazovu nered, a neki da preko tajnih kanala ukradu osetljive informacije. Dobar primer za državno sponzorisani malver je Stuxnet malver koji je 2010. pogodio Natanz nuklearno postrojenje u Iranu.

Drugi primer je TRITON malver koji je korišćen u napadima na industrijske kontrolne sisteme (ICS).

Kako detektovati malver?

Postoji nekoliko tehnika, a većina anti-malver softvera koristi jednu ili više tehnika istovremeno:

Slika 3. Malver

1. Potpis i šablon malvera

Svaki malver ima svoj potpis koji predstavlja jedinstveni niz bajtova (karaktera ili brojeva) kojim se identifikuje malver. Može se reći da je potpis nešto poput otiska prsta. Svaki vendor anti-malver proizvoda ima svoju bazu potpisa koja se redovno ažurira.

Postoje alati za prepoznavanje šablona koji se koriste u malver analizi. Jedan od njih je YARA koja ima skup pravila kao što su specifični nizovi, veličina fajla i hashovi povezani sa ciljanim fajlom. Zahvaljujući sajber bezbednosnoj zajednici, postoji na hiljade YARA pravila koja se mogu pogledati i implementirati.

2. Heuristika i bihejvioralna analiza

Anti-malver softver analizira ponašanje sumnjivog koda ili fajla, detektuje neuobičajene aktivnosti kao što je zapisivanje na određenom ključu u registru ili izmena određenih sistemskih fajlova. Cilj je da se detektuju nove varijanti poznatih malvera.

Vrste malvera

Pisali smo o 12 najčešćih vrsta malvera. U nastavku možete pročitati detaljniju klasifikaciju vrsta malvera.

1. Virus

Vrsta malvera napravljenog za destrukciju, sa mogućnošću razmnožavanja. Najčešće se ubacuje u legitimni kod ili program i radi paralelno sa legitimnim programom. Pored malicioznih efekata, teži da se raširi na druge programe u sistemu.

Kada anti-malver detektuje virus, pokušava da očisti fajl i ukloni maliciozne delove iz koda. Postoji puno vrsta virusa, kao što su:

A. Boot Sector Virus

To je vrsta vrusa koji prepravlja MBR sa malicioznim kodom, radi na BIOS nivou i pokušava da inficira diskove i skladišta povezana sa sistemom. Koristi DOS komande i ne danas se retko može naći, jer funkcioniše samo u starim (legacy) sistemima, do Windows 95.

B. Virus koji inficira fajlove

Ovaj virus inficira programske fajlove kao što su igrice, aplikacije itd. Fokus mu je na izvršnim (exe) fajlovima.

C. Stealth Virus

Stealth Virus je napravljen da bude nevidljiv za AV rešenja. Širi se na drugi fajl i zamenjuje staru kopiju virusa čistim fajlom, izbegavajući AV tehnike skeniranja. Problem sa ovim virusom je njegova rasprostranjenost, što znači da čak i kad je detektovano njegovo prisustvo u sistemu, velika je verovatnoća da se već kopirao na neko drugo mesto u sistemu tako da je potrebno uraditi detaljno, dubinsko skeniranje sistema.

D. Macro Virus

U pitanju je virus koji eksploatiše macro funkcionalnosti u dokumentima. Ubacuje se u macro kod Word ili Excel dokumenta i ima sposobnost da inficira i druge sisteme. Korisnicima se preporučuje da ne otvaraju nepoznate fajlove od nepoznatih pošiljaoca, čak i ako izgledaju kao legitimni dokumenti.

2. Trojanac

U pitanju je malver koji se ponaša kao trojanski konj. Deluje kao legitimni softver, ali je u stvari maliciozan. Kada ga anti-malver detektuje, ne može da uradi dezinfekciju, jer u priči ne postoji legitimni softver, odnosno ceo kod ili program je maliciozan.

3. RAT

U pitanju je alat Remote Access Tool/Trojan koji ima za cilj ubacivanje backdoor trojanca na ciljanom uređaju. Može da se koristi i za legitimne i maliciozne svrhe. Jedan od najčešćih RAT alata je Darkcomet, napravljen još 2011.

4. Web Shell

U pitanju je skripta koja se ubacuje u uređaj žrtve preko web servera koji postoji na istom uređaju. Koristi web server proces za izvršavanje komandi na serveru, dozvoljavajući napadaču backdoor pristup sistemu. Slično RAT-u, web shell mogu da koriste i administratori za admin akcije u sistemima preko web interfejsa.

Za uspešno pokretanje web shell skripte na serveru, napadači eksploatišu funkcionalnosti kao što su Unrestricted File Upload, Remote File Inclusion ili Local File Inclusion. Postoji bezbroj shell skripti za različite programske jezike dostupnih online. Većina je inicijalno napravljena za PHP. Posmatrano kroz istoriju, najčešće web shell skripte su R57, C99 i B374K.

5. Crv

Crv ima karakteristike virusa kada je u pitanju razmnožavanje i širenje, ali za razliku od njega, nije potrebna ljudska interakcija za širenje. Može da se razmnožava sam od sebe. Slični su virusima i po šteti koju proizrokuju. Sposobnost samorazmnožavanja postoji zbog različitih ranjivosti u aplikacijama i mreži različitih vendora. Na primer, crv Code Red je iskoristio ranjivost u Microsoft IIS serverima kako bi kompromitovao sajtove i pokrenuo DDoS napade na online mreže, uključujući i napad na mrežu Bele kuće.

6. Rootkit

U pitanju je maliciozni softver koji dozvoljava da se izvrše funkcionalnosti koje običnom korisniku ili programu nisu dozvoljene. Može i da zameni legitimne komande i funkcije malicioznim, a može i da koristi tehnike podizanja privilegija i exploite u sistemu koji će napadaču dati najviši mogući nivo pristupa.

Rootkit je ime dobio po najvišem nivou korisničkog pristupa na Unix sistemima, a to je Super User nalog “root”. Detekcija je otežana, jer kada imate pristup funkcijama na nivou sistema, možete da manipulišete programima za detekciju i da im dajete lažne informacije. Takođe, anti-rootkit zahteva isti nivo pristupa kao i rootkit, tako da maliciozni anti-rootkit program može da napravi istu štetu sistemu kao i rootkit.

7. Bootkit

Sličan je rootkitu, ali ima mogućnost zapisivanja na MBR (Master Boot Record), zbog čega ostaje na uređaju žrtve čak i nakon reboota. U pitanju je moderna verzija Boot Sector virusa. Bootkit se krije u MBR-u kako bi ostao neprimetan, dok Boot Sector Virus prepravlja prve bajtove MBR-a kodom virusa.

8. Exploit Kit

Ovaj malver skenira sistem žrtve tražeći neažurirane verzije softvera koje imaju poznate ranjivosti, a koje zatim pokušava da eksploatiše. Korisnik najčešće “pokupi” Exploit kit na sajtovima sa malicioznim oglasima koji ga preusmeravaju na stranice koje isporučuju EK. Kako biste se zaštitili od ove pretnje, vodite računa da OS i sav instaliran softver redovno ažurirate.

9. Ransomware

Ransomware je malver o kome redovno pišemo na IT klinici. Njegova svrha je da kriptuje fajlove na računaru žrtve i zahteva otkupninu kako bi poslao ključeve za dekripciju.

10. Keylogger

Keylogger prati, snima i šalje napadaču sve što otkucate na tastaturi. Keylogger može biti softverski ili hardverski. Hardverski keylogger je uređaj koji se preko USB-a ili kabla za tastaturu povezuje sa računarom. Jedan od načina da se zaštitite od keyloggera, s obzirom na to da ih AV rešenja često ne detektuju, je da koristite tastaturu koja ima opciju enkripcije.

11. Miner za rudarenje kripto valuta (Cryptominer)

Kripto valute predstavljaju virtuelni, decentralizovani novac do koga se dolazi kroz proces rudarenja. U pitanju je korišćenje resursa računara za rešavanje komplikovanih matematičkih problema. Popularizacijom kripto valuta kao što su Bitcoin i Monero, pojavio se i malver koji služi za njihovo rudarenje bez znanja korisnika, a u korist napadača.

Simptomi koji ukazuju na to da je vaš računar zaražen kripto minerom su: visok nivo korišćenja procesora (CPU) i/ili grafičkog procesora (GPU), pregrevanje računara, padanje sistema ili restartovanje, spor odziv i neuobičajena mrežna aktivnost.

12. Logička bomba

Logička bomba je maliciozni kod koji se ubacuje u legitimni softver. Njena svrha je da u unapred određenom momentu izvrši određenu malicioznu operaciju, bilo da je to brisanje velikog broja fajlova ili kreiranje beskonačne petlje novonastajućih procesa koji vode brisanju podataka ili obaranju sistema. Primeri za logičku bombu su Zip Bomb i The Fork Bomb.

13. Grayware

Ovo je malver koji izaziva određene probleme korisniku (dosađuje, ometa), ali je manje opasan od ostalih malver kategorija. Najčešće je bezopasan po sistem, ali može se koristiti i kao sredstvo za isporuku drugih malicioznih programa na ciljani sistem. U Grayware spadaju Adware i Spyware.

a. Adware

Nakon infekcije, adware ubacuje oglase u sistem, browser ili sajt s ciljem da napadaču donese zaradu od pregleda i klikova. U principu nije štetan, ali korisnik može da downloaduje trojanac ili virus preko nekog od linkova sa oglasima.

b. Spyware

Spyware daje napadaču pristup ciljanom sistemu, prati aktivnosti u njemu i krade podatke sa hard diska tajnim kanalom. Neki spyware programi su legalni, ali je najčešće potrebno da postoji zakonski osnov za njegovu upotrebu.

Slika 4.

Malver terminologija

1. Potpis

Potpis fajla je kao otisak prsta. U pitanju je niz karaktera ili brojeva koji služe da se napravi distinkcija između datog fajla i svih ostalih fajlova. Potpis može da se odnosi i na checksum fajla, gde je fajl hashovan pomoću određenih algoritama, a rezultat je jedinstveni heksadecimalni niz koji ne sme biti isti za različite fajlove.

2. Master Boot Record (MBR)

To je prvi boot sektor napisan na hard disku koji sadrži instrukcije za učitavanje operativnog sistema.

3. Ranjivost

Ranjivost je slabost ili mana u softveru ili sistemu zbog koje se sistem ponaša drugačije od nameravanog. Napadači eksploatišu ranjivosti što vodi delimičnom ili potpunom kompromitovanju sistema ili podataka u sistemu.

4. Zero-day ranjivost

Zero-day ranjivost je bezbednosni propust u softveru, na primer u browseru, aplikaciji ili operativnom sistemu, koji je još uvek nepoznat proizvođaču softvera ili proizvođačima antivirusa. Termin zero-day treba da ukaže na to da developeri imaju "nula dana" da isprave propust, odnosno da u datom trenutku developeri nisu svesni da postoji ranjivost ili pretnja.

5. n-day ranjivost

U pitanju je ranjivost o kojoj je vendor obavešten, ali za koju još uvek nije izbacio patch. “n” se odnosi na broj dana od kada je ranjivost prijavljena.

6. Botnet

U pitanju je grupa uređaja (IoT i sl.) koji su inficirani istim malverom i koji se nalaze pod kontrolom istog napadača. Pretežno se koriste za izvođenje DDoS napada.

7. Exploit

Ovo je softver koji koristi ranjivost u sistemu kako bi napadaču omogućio pristup.

8. Pretnja

Pretnja je akcija koja može da iskoristi ranjivost i napravi štetu u sistemu.

Izvor: BitofWP