Co znajdziesz w tym artykule?
Malware – czające się “wszędzie” zagrożenie
Pobierając cokolwiek z nieznanego źródła jesteśmy narażeni na to, że pod płaszczykiem pożądanego pliku kryje się złośliwe oprogramowanie. Przybiera ono różne formy – niektóre programy starają się ukryć swoje działanie na różne sposoby, zaś inne są bardzo dobrze widoczne podczas korzystania z komputera.
Znajomość jego rodzajów, tego jak może wpływać na pracę naszych systemów oraz jak możemy się nim “zarazić”, pomoże nam w prewencji. W tym wpisie chciałbym, abyśmy omówili sobie podstawy, które jak zauważyłem wciąż potrafią być mylnie rozumiane.
Czym jest malware? – opis, historia
Malware to zbitka angielskich słów malicious software, oznaczających złośliwe oprogramowanie. Obejmuje ona wszelkie niepożądane programy, które znajdują się na komputerze. Instalowane są często bez wiedzy użytkownika. Ich zadania są różne, lecz łączy je szkodliwy wpływ na urządzenie. Podatni są na nie wszyscy użytkownicy Internetu, ponieważ pobranie nieodpowiedniego pliku i uruchomienie go może być przeoczone przez najbardziej obyte w IT osoby. Niejednokrotnie malware zostaje niezauważony, stale działając na szkodę użytkownika.
Skąd właściwie wziął się malware? Jak wyglądały pierwsze „ataki”? I po co stworzono pierwszego wirusa komputerowego? Okazuje się, że podczas poszukiwań tego pierwszego, warto wziąć pod uwagę aż trzy: Brain, Creeper i Elk Cloner. Dlaczego?
„I’m the Creeper: catch me if you can”
Pierwszym, oficjalnie uznanym, malware’m (a dokładniej robakiem) był Creeper, rozpowszechniający się poprzez ARPANET, protoplastę Internetu. Stworzył go w 1971 roku Bob Thomas. Creeper nie do końca spełnia wszystkie założenia, jakie stoją za definicją wirusa. Jego jedynym działaniem była zdolność do samoreplikacji. Co robił Creeper? Na szczęście niewiele. Właściwie nic poza wyświetlaniem komunikatu – the Creeper: “catch me if you can”. Thomas stworzył go głównie dla zabawy.
Elk Cloner – pierwszy zarejestrowany przykład szkodliwego oprogramowania
Elk Cloner powstał w 1982 roku. Chociaż z założenia także miał być żartem, to przy stworzeniu odpowiednich warunków potrafił uszkadzać kolejne dyskietki i zapisywać się w pamięci RAM. Był to pierwszy przykład prowadzący do takich uszkodzeń w domowych komputerach, który rozprzestrzeniał się samoistnie. Został napisany dla systemu Apple DOS 3.3 instalowanych w komputerach Apple II. Rozpowszechniał się poprzez użycie dyskietek. Jego pierwotna wersja została stworzona przez nastoletniego twórcę Rick’a Skrent’a. Rick nagrał ją na dyskietce ze zwykła grą. Elk Cloner uruchamiał się po każdym pięćdziesiątym włączeniu gry, co owocowało ukazaniem się graczowi wierszyka:
“Elk Cloner: The program with a personality It will get on all your disks It will infiltrate your chips Yes, it’s Cloner! It will stick to you like glue It will modify RAM too Send in the Cloner!”
Wirus rozprzestrzeniał się niepostrzeżenie. Jeśli komputer został uruchomiony przy użyciu zainfekowanej dyskietki, to Elk Cloner zapisywał się w pamięci RAM. Gdy do takiego komputera włożono kolejną, wolną od złośliwego oprogramowania dyskietkę, wirus zapisywał się na niej automatycznie.
Brain – pierwszy wirus komputerowy dla MS-DOS/IBM PC
Wirus Brain stworzony został przez dwóch Pakistańczyków – Basita i Amjada Farooq Alvi. Bracia za jego pomocą chcieli zbadać poziom zabezpieczeń DOS’a w porównaniu do innych, alternatywnych systemów. Zauważono go pierwszy raz w styczniu 1986 roku. Brain infekował sektor rozruchowy dyskietek sformatowanych w systemie plików DOS File Allocacation Table (FAT). Atakował systemy IBM-PC, PC-DOS i IBM-DOS. W wyświetlającym się po zainfekowaniu wirusem kodzie, na ekranie zainfekowanego komputera, można było znaleźć nazwiska braci, adres oraz numery telefonów z prośbą o kontakt. Pakistańczycy nie mieli na celu rozprzestrzeniania złośliwego oprogramowania, w rozumieniu wirusów z jakimi mamy do czynienia w dzisiejszych czasach. Chcieli jedynie sprawdzić, czy Brain rozprzestrzeni się jedynie wśród określonej grupy, czy jednak uda mu się przenieść na cały świat.
Jak rozprzestrzenia się malware?
Złośliwe oprogramowanie rozprzestrzenia się na wiele sposobów. Obecnie najczęściej wykorzystuje różne sztuczki psychologiczne, czyli poprzez phishing. Dobrym przykładem jest robak znany jako ILOVEYOU z 2000 roku, zawierający domniemany „list miłosny”. Po kliknięciu w załącznik, wirus zostawał rozsyłany do wszystkich adresów w naszej skrzynce mailowej, nadpisując przy tym ważne pliki na naszym komputerze. Ten niepozorny atak był jednym z większych w historii Internetu – zainfekował 10% komputerów na świecie podłączonych do sieci i doprowadził do wyłączenia wielu serwerów e-mail z powodu przeciążenia.
Najczęstsze sposoby infekcji komputera za pomocą malware’a:
- Pobieranie oprogramowania udającego pożądany program (trojan), np. poprzez korzystanie z sieci peer-to-peer np. torrentów
- Kliknięcia w linki, np. z portali społecznościowych. Prowadzi to również często do przejęcia profilu i rozsyłania linków dalej
- Kliknięcia w reklamy, np. na portalach pornograficznych
- Podpięcie do komputera zainfekowanego dysku, bądź innego nośnika danych
- Kliknięcia w załączniki w mailach
- Pobieranie wersji demonstracyjnych programów, które zawierają np. oprogramowanie szpiegujące (spyware)
Rodzaje złośliwego oprogramowania
W tym miejscu omawiam podstawowe rodzaje malware. Nie będę zbyt głęboko wchodził w szczegóły, ponieważ na temat każdego rodzaju moglibyśmy napisać osobny artykuł. Ważne abyś znał różnicę między rodzajami złośliwego oprogramowania. Pomoże Ci to ocenić przyczynę i wpływ na systemy w Twojej organizacji.
Malware’y dzielą się na kilka rodzajów. Są nimi:
Wirusy
Wirusy – najpopularniejszy rodzaj malware’ów. Z klasyczną definicją wirusa łączy go to, że ma zdolność do nieorganicznego powielania się w sprzyjających warunkach. Również potrafi bardzo łatwo przenieść się na inne urządzenie, ponieważ modyfikuje określone części pamięci. Zajmują bardzo mało miejsca na dysku, ponieważ są kodem dołączającym się do innego programu. Potrafią wnikać w działanie wielu programów, np. w naszą przeglądarkę. Jedynie od autora danego wirusa zależy jego działanie, ponieważ najambitniejsze potrafią kraść lub usuwać pliki, całkowicie przejmować kontrolę nad urządzeniami w sieci lub żądać okupu za dostęp do wrażliwych danych. Wirusy dzielą się na:
- Plikowe, uniemożliwiając odczytanie danej zawartości
- Dyskowe, które poprzez infekcje początkowych sektorów dysków infekują każde urządzenie, z którym współpracują
- Skryptowe, potrafiące atakować powłokę linuksową (bash)
- Atakujące urządzenia mobilne
- Podobnie jak wirusy w przyrodzie, niektóre atakują swoją ofiarę jak najszybciej, zaś inne ukrywają swoje działanie, ujawniając się po pewnym czasie – przykładowo podszywają się pod procesy systemowe. Często jednak powolne infekcje są zauważane przez użytkowników lub programy antywirusowe.
Robak (worm)
Robak – w przeciwieństwie do wirusa nie potrzebuje „żywiciela” – rozprzestrzenia się poprzez sieć, starając się dotrzeć do jak największej puli urządzeń. Zazwyczaj do infekcji dochodzi poprzez nierozwagę użytkownika lub wykorzystanie luk, np. zero-dayów. Działa podobnie do wirusa komputerowego, lecz jest prostszy. Często powoduje rozsyłanie spamu.
Trojan
Trojan – swoją nazwę wziął od konia trojańskiego, ponieważ zasada działania jest podobna do tego mitologicznego, drewnianego konia z Odysei Homera. Malware ten umiejętnie podszywa się pod program pobierany z Internetu, dzięki czemu jest w stanie zainfekować wiele komputerów. Jego głównym zadaniem jest implementacja innego malware’a, który spowoduje szkody w systemie. Często ukrywa się pod nazwą procesu systemowego.
Ransomware
Ransomware – oprogramowanie najczęściej wymuszające okup. Uprzednio szyfruje pliki, zmuszając ofiarę ataku do zapłacenia wspomnianego haraczu. Zazwyczaj atakowane są firmy, ponieważ w wielu przypadkach zapłacenie okupu jest „mniejszym złem” – przestój w świadczeniu usług może w znacznym stopniu odbić się na finansach i reputacji marki. Zazwyczaj do zapłaty dochodzi w kryptowalutach, pozwalając atakującym pozostać względnie anonimowym.
Rootkit
Rootkit – malware pozwalający na dostęp do konta administratora. Jest to bardzo groźna forma ataku, ponieważ poprzez ingerencje w system może np. ukryć działanie swoje lub innego złośliwego oprogramowania. Często jest bardzo trudny w wykryciu i usunięciu.
Spyware
Spyware – szeroko pojęte oprogramowanie szpiegujące. Najpopularniejszym jest keylogger, który zapisuje wszystkie wpisane znaki na klawiaturze i przesyła je atakującym. Jest to groźne ze względu na możliwość przejęcia konta bankowego lub profilu w mediach społecznościowych.
Cryptominig
Oprogramowanie kopiące kryptowaluty (cryptominig) – znacząco negatywnie wpływa na osiągi komputera, przy okazji zasilając wirtualny portfel atakującego. Bardzo często tego typu oprogramowanie ukrywa się pod niewinnymi aplikacjami. Użytkownik często szuka powodu problemu w sprzęcie, zamiast w ostatnio zainstalowanych aplikacjach.
Wykrywanie malware
Gdy nasze urządzenie działa inaczej niż zwykle, jest to sygnał, że może być zainfekowane. Niechciane reklamy, niepożądane pliki, nieustawiona przez nas strona startowa przeglądarki lub inna aktywność niezależna od nas, to jasne sygnały, że nasz komputer został zaatakowany przez złośliwe oprogramowanie. Zwolnienie działania systemu, częste bluescreeny lub nieznane pakiety w sieci mogą wskazywać na infekcję malware’em.
Często wykrycie malware’u jest możliwe poprzez skanowanie naszego komputera programem antywirusowym bądź przy użyciu Zabezpieczeń Windows. Wielu użytkowników pozostaje nieświadomych tego, że na ich urządzeniu znajduje się np. trojan bądź spyware, dlatego warto co jakiś czas skanować nasze urządzenia i robić kopie zapasowe.
Zapewnienie bezpieczeństwa użytkownikowi przez typowe antywirusy polega na porównaniu skanowanych obiektów z dostępną bazą – sygnaturami wirusów. W czasie pobierania plików antywirusy często automatycznie sprawdzają poziom bezpieczeństwa pliku (tuż przed jego uruchomieniem). Jeśli wykryje złośliwe oprogramowanie, które chce uzyskać dostęp, program automatycznie reaguje i proponuje stosowne działanie – usunięcie, dezynfekcję, zablokowanie lub przeniesienie pliku do kwarantanny.
Powyższy opis to oczywiście skrócony opis działania oprogramowania antywirusowego. Więcej o antywirusach i sposobach ich działania znajdziesz wkrótce na naszym blogu SecurityBezTabu.pl.
Każda, nawet najmniejsza podejrzana aktywność powinna zostać sprawdzona lub zgłoszona do odpowiedniego działu w organizacji. Jeśli masz jakiekolwiek podejrzenia, to NATYCHMIASTOWO odłącz komputer od sieci. aby zminimalizować szanse na propagacje malware’u w sieci lokalnej.
Prewencja
Każdy lekarz powie, że „lepiej zapobiegać, niż leczyć”. Identycznie jest w przypadku usuwania złośliwego oprogramowania w naszym komputerze. Do najlepszych i często najprostszych metod zabezpieczenia się przed różnorakimi atakami są:
- Niewyłączanie Zapory Windows
- Instalacja “dobrego” antywirusa
- Cykliczne skanowanie pod kątem niechcianego oprogramowania
- Nieklikanie w podejrzane linki i reklamy, niewchodzenie na strony jakkolwiek budzące w nas podejrzenia
- Rozważne pobieranie i otwieranie wszelkich załączników
- Pobieranie oprogramowania z oficjalnych stron, niekorzystanie z tzw. „torrentów”
- Aktualizowanie systemu operacyjnego i programu antywirusowego
Podsumowanie
Malware to ciężki przeciwnik do wyeliminowania, lecz nie oznacza to, że jesteśmy skazani na porażkę. Wiele zależy od samego użytkownika i stosując odpowiednie zabezpieczenia jesteśmy w stanie uniknąć ataków. Należy również zadbać o ciągłe edukowanie pracowników wszystkich szczebli w organizacji. Ważne też jest to, aby kontrolować procesy podczas działania systemu. Z racji na zróżnicowane działanie malware’ów, zabezpieczenie swojego urządzenia nie jest proste, lecz powinniśmy robić wszystko, aby nasz komputer był wolny od niechcianego i złośliwego oprogramowania.