Der kræves menneskelig og teknisk opfindsomhed for at besejre formskiftende malware

Anonim

FBI og Europol har for nylig nedlagt et kriminelt botnet - et netværk af fjernstyrede pc'er - drevet af Beebone, en avanceret polymorf malware, der kan skifte op til 19 gange om dagen for at forhindre detektion af antivirusscannere.

Ved at afskære kommandoer og kontrol (C & C) servere, der bruges til at udstede kommandoer til Beebone, kunne malware lettere lokaliseres og fjernes. Denne særlige botnet indgår omkring 12.000 inficerede pc'er, men forskere vurderer, at Beebone har inficeret yderligere 5m computere verden over.

Udbredt anvendelse af polymorf software er en vigtig ændring i computersikkerhedsarmacen. Faktisk er det Beebones polymorfisme, der har gjort det muligt at forblive en vedvarende trussel, da den kom tilbage i 2009.

Den første virus

Historien om computervirus eller hvad vi nu kalder malware begyndte i 1983, da Fred Cohen skrev et parasitært program, der greb kontrol af computere. Dette var den første computervirus og den første brug af udtrykket. Cohens test blev snart fulgt af arbejdet hos en 15-årig teenager, der skrev Elk Cloner, den første udbredte virus, der målrettede Apple II-computeren via disketten.

Det har været en lang vej siden da, med ondsindet software, der eskalerer i kapacitet og kompleksitet, hvilket resulterer i alle former for skade og pinlige hændelser. Den berygtede Robert Morris Jr.-orm i 1988 så sin skaber ved et uhell at forkæle det tidlige akademiske internet, hvor han fik en bøde på US $ 10.000. Femten år senere i 2003 slammede ormen med Slammer det moderne internet, der næsten slog Sydkorea ud af nettet. Regeringer har også fået ind på handling med Stuxnet og alle former for software, der bruges af NSA og GCHQ som afsløret af Edward Snowden's lækkede filer.

En våbenløb eskalering

En af de væsentligste ændringer i malware-landskabet var imidlertid ankomsten af ​​en af ​​de første polymorfe vira - 1260-viruset - omkring 1990. 1260-viruset kunne ændre sin signatur, hvilket skjuler udseendet af filen på scannere som f.eks. Antivirusprogram . Det gjorde dette ved at kryptere og dekryptere dele af sig selv, mens du indsætter tilfældigt genereret affaldskode, hvilket medførte, at filstørrelsen blev polstret og ændret sin underskrift for at undgå detektion.

Den form-skiftende AAEH eller Beebone malware kommer som et obfuscated (skjult) stykke Visual Basic-kode. Ved at fakse sin identitet som en ubehagelig filtype, frister det brugeren til at køre den ved at bruge Windows-sikkerhedsfejl for at få privilegeret adgang (administratorrettigheder) over maskinen.

For at gøre detektion vanskeligere kan de to interne komponenter hente varianter af den anden fra C & C-servere. Dette gør det sværere at opdage, da hver komponent skal være en kendt version for antivirusscannere til at registrere malware korrekt. Når Beebone-agenten har taget kontrol, kan de, der opererer den via internettet, sende yderligere instruktioner til Beebone-agenten, for eksempel om at downloade anden malware, såsom hackingsværktøjer, trojanske heste, keyloggers eller endda ransomware som Cryptolocker.

Computerudnyttelser såsom hacking i systemer eller skrivning af virusser var i de tidlige dage hovedsagelig for at opnå ry i mere end noget andet. Men i det sidste årti har nettets vækst og dens rækkevidde i de fleste dele af samfundet medført, at kriminelle søger at tjene penge. Cybercriminal angreb er nu anslået til netto 445 milliarder dollars hvert år i ulovlige indtægter. Det er klart, hvor der er penge, der skal laves, der vil være folk, der vil investere - i dette tilfælde organiseret kriminalitet er villig til at betale for de bedste værktøjer til jobbet.

Politiet og efterforskerne har haft en vis succes i at imødegå truslen og lukker flere botnets i løbet af de sidste par år. Men i sidste ende med hvert botnet lukker en anden fjedre op for at tage plads - bygget op af software og andre menneskers kompromitterede computere, er en botnet, der anvendes til kriminelle midler, i sig selv forbrugsstoffer.

Forsvar skal også udvikle sig

Løsningen med at installere antivirusscannere til at opdage og fjerne malware ser mere og mere forældet ud, da malware vokser mere i stand til at forsvare sig selv. Beebone kan for eksempel forhindre indsatsen for at fjerne det ved at blokere internetadresserne for kendte sikkerheds- og antivirussoftwarefirmaer og forhindre antivirussoftware i at køre.

Den hastighed, hvormed de såkaldte nul-dag-udnyttelser - sikkerhedshuller, der kun er kendt for dem, der opdagede dem, og ikke skaberen af ​​softwaren - kan spredes før patches for at give tilstrækkelig beskyttelse, kan skrives, er steget med internettet. Det betyder, at det er muligt at kompromittere mange, mange maskiner, før viden om udnyttelsen er endog offentlig.

Der er mere til forsvar nu end antivirus-scannere alene, og omkredsforsvar og andre former for indbrudsdetekteringssystemer kan registrere mistænkelig netværkstrafik frem for bare mistænkelige filer. Alligevel med fantasifulde og geniale kriminelle og programmerende sind på arbejdspladsen er det virkelig kun dygtige og erfarne menneskelige talent, der giver den nødvendige opmærksomhed - teknologi alene kan ikke tilbyde en samlet løsning.

Vi er kommet langt siden floppy diskviruserne blev skabt til sjov ikke fortjeneste, men angrebsvinklerne er ændret, og vores forsvar skal ændres med dem.

Forrige Artikel
Næste Artikel