Ondsindet kode – hvad er det, og hvordan forhindres det?
Hvad er en ondsindet kode?
Dagens cybertrussellandskab er blevet mere sofistikeret og udfordrende. Antallet af cyberangreb og databrud er steget i vejret de seneste par år, både i størrelse og omfang. De seneste malware-statistikker viser, at malware stadig er et betydeligt problem på verdensplan. I centrum af disse sikkerhedsudfordringer er en uhyggelig applikation kaldet ondsindet kode. En ondsindet kode eller malware er enhver software, der med vilje er skabt til at handle imod computerbrugerens interesser ved at forårsage skade på computersystemet eller kompromittere data, der er lagret på computeren.
Siden bredbåndsinternetadgang blev allestedsnærværende, er ondsindet software oftere blevet designet til at tage kontrol over brugernes computere til profit-formål og andre ulovlige formål såsom dataændring, tyveri, ødelæggelse, sabotage eller gidseltagning. Det meste malware kan installere sig selv på ofrets system, lave kopier af sig selv og sprede sig til andre ofre, bruge en hændelse til at starte dens udførelse af nyttelast (stjæle eller slette filer, installere bagdøre osv.), fjerne sig selv efter at nyttelasten er blevet eksekveret, og bruger alle former for unddragelsesteknikker for at undgå at blive opdaget. Nogle af de metoder, der bruges til at undgå påvisning omfatter:
- Undgå påvisning ved at tage fingeraftryk af miljøet, når det udføres.
- Forvirrende automatiserede detektionsværktøjer såsom signaturbaseret antivirussoftware ved at ændre den server, der bruges af malwaren.
- Udfør ved at følge specifikke handlinger foretaget af brugeren eller i specifikke sårbare perioder, såsom under opstartsprocessen, mens du forbliver i dvale resten af tiden
- De slører interne data, så automatiserede værktøjer ikke opdager malware.
- Brug informationsskjulningsteknikker såsom steganografi for at undgå detektion (stegomalware)
Hvordan opstår malware-infektioner?
Malwareinfektioner kan påvirke din computer, applikation eller et helt netværk. Infektionerne finder sted på en række forskellige måder, inklusive fysiske og virtuelle. Malwareforfattere bruger ofte tricks til at forsøge at overbevise brugere om at downloade og åbne ondsindede filer. For eksempel, phishing-angreb er en almindelig malware-leveringsmetode, hvor e-mails forklædt som legitime beskeder indeholder ondsindede links eller vedhæftede filer, der kan levere den eksekverbare malware-fil til intetanende brugere.
Malware kan også spredes gennem inficerede flytbare drev såsom USB-flashdrev eller eksterne harddiske. Malwaren kan installeres automatisk, når du tilslutter det inficerede drev til din pc. Derudover kommer noget malware sammen med anden software, som du downloader. Dette omfatter blandt andet software fra tredjepartswebsteder, filer, der deles gennem peer-to-peer-netværk, programmer, der bruges til at generere softwarenøgler (keygens), browserværktøjslinjer og plugins.
Angribere kan udnytte defekter (sårbarheder) i eksisterende software pga usikker kodningspraksis at inficere din applikation med ondsindede koder. Den ondsindede kode kan komme i form af injektionsangreb ( SQL-injektion , JSON-injektion, cross-site scripting osv. ), directory traversal angreb , cross-site request forgery (CSRF) blandt andet angreb. Et typisk eksempel på defekter i software er bufferoverløbssårbarhed . Mange malware udnytter bufferoverløbssårbarheder til at kompromittere målapplikationer eller -systemer.
Sofistikerede malware-angreb omfatter ofte brugen af en kommando-og-kontrol-server, der gør det muligt for ondsindede aktører at kommunikere og kontrollere inficerede systemer i en botnet at stjæle følsomme data eller få dem til at gøre deres bud.
Hvordan kan du se, at din computer er blevet inficeret med ondsindet kode? En bruger kan muligvis opdage malware-infektion, hvis de observerer usædvanlig aktivitet, såsom et pludseligt tab af diskplads, langvarige hastigheder, mærkelige markørbevægelser og museklik, nægtelse af adgang til din enhed eller data, udseendet af ukendte applikationer, du ikke installerede, unormal netværkstrafik, blandt andre.
Påvirker malware Mac, Linux og mobile enheder?
De fleste brugere tror, at kun Windows-maskiner er sårbare over for malware. De antager, at brugere af Linux- og Mac-enheder er immune og ikke behøver at tage forholdsregler. Sandheden er, at malware kan påvirke Windows, Linux og endda Mac-enheder.
Windows-enheder betragtes som et større mål for malware end de andre platforme, fordi de dominerer markedsandelen, hvilket har gjort dem til det mere betydningsfulde og mere tilgængelige mål for ondsindede aktører. I dag er Mac'er ikke så sikre, som de plejede at være. Efterhånden som Mac-enheder vokser i popularitet, ser det ud til, at malware-forfattere fokuserer mere på dem. Ifølge Malwarebytes' 2020-status for malware-rapport , overgår mængden af malware på Mac'er pc'er for første gang.
Der er også ondsindede koder, der specifikt retter sig mod operativsystemerne på mobile enheder, såsom tablets, smartphones og smartwatches. Disse typer malware er afhængige af udnyttelsen af bestemte mobile operativsystemer. Selvom mobil malware ikke er så udbredt som malware, der er rettet mod arbejdsstationer, bliver de en voksende bekymring for forbrugerenheder.
Apple iOS-enheder såsom iPhones er mindre tilbøjelige til at blive inficeret med malware end Android-enheder. Dette skyldes, at iOS-enheder er meget låst, og apps gennemgår omfattende kontroller, før de kommer i App Store. Vi ved dog, at nogle regeringer og sofistikerede kriminelle er bevæbnet med hackingværktøjer til millioner dollars, der kan trænge ind på iPhones. Ikke desto mindre er iOS-enheder generelt mere sikre og vil kun blive mere sårbare, hvis de bliver jailbroken.
Hvad er de almindelige typer af malware?
Ondsindet kode er et bredt begreb, der refererer til en række forskellige malware-programmer. Eksempler omfatter computervirus, orme, spyware, adware, rootkits, logiske bomber, filløs malware, trojansk hest og løsepenge.
Computervirus er små applikationer eller strenge af ondsindede koder, der inficerer computersystemer og værtsapplikationer. Computervirus spredes ikke automatisk; de kræver en transportør eller et medium såsom USB eller internettet for at udbrede sig og næsten altid korrupte eller ændre filer på en målrettet computer. Computervirus kommer i forskellige former, hvoraf nogle omfatter:
- Polymorf virus – den polymorfe virus forsøger at undgå signaturbaserede antivirusapplikationer ved at ændre sin signatur ved infektion af et nyt system.
- Kompressionsvirus - en virus, der tilføjer sig selv til eksekverbare filer på systemet og komprimerer dem ved at bruge brugerens tilladelser.
- Makrovirus - en virus skrevet på makrosprog såsom Microsoft Office- eller Excel-makroer.
- Bootsektorvirus - en virus, der inficerer opstartssektoren på en pc og indlæses ved systemstart.
- Multipart virus - en virus, der spredes via flere vektorer. Kaldes også en flerdelt virus.
- Stealth-virus - en virus, der skjuler sig fra operativsystemerne som antivirusprogrammer.
Orme : Orme er malware, der replikerer sig selv for at sprede sig til andre computere. De er mere smitsomme end vira og bruger ofte et computernetværk til at udbrede sig selv, idet de er afhængige af sikkerhedsfejl på målcomputeren for at få adgang til den. Orme er farlige på grund af den ondsindede kode, de bærer (nyttelast) og deres potentiale til at forårsage båndbreddeforringelse eller endda lammelsesangreb på grund af aggressiv selvudbredelse. En af de mest berømte computerorme er Stuxnet , som var rettet mod Siemens SCADA-systemer. Det mentes at være ansvarligt for at forårsage væsentlig skade på Irans atomprogram.
Spyware og adware: Spyware er en type ondsindet software, der hemmeligt er installeret for at indsamle information (inklusive browservaner) om en bestemt bruger eller enhed, som den derefter sender til en anden enhed i ondsindet hensigt såsom identitetstyveri, spamming, målrettet annonce osv.
Adware er software, der genererer indtægter til sine udviklere ved automatisk at generere online annoncer. Annoncerne kan leveres via pop-ups, brugergrænsefladekomponenter eller skærmbilleder, der præsenteres under installationsprocessen. Målet med adware er at generere salgsindtægter, ikke udføre ondsindede aktiviteter, men nogle adware bruger invasive foranstaltninger, som kan forårsage sikkerheds- og privatlivsproblemer.
Rootkits: Et rootkit er en samling af ondsindet softwareværktøjer designet til at muliggøre root-adgang til en computer eller et område af dens software, som ellers ikke er tilladt. Rootkits indlæses på det kompromitterede system for at give angriberen mulighed for at udføre ondsindede aktiviteter, mens de skjuler deres spor. Angriberen erstatter normalt standard systemværktøjer med nye kompromitterede værktøjer, som deler lignende navne.
Rootkits kan ligge på bruger- eller kerneniveau af OS. Det kan også leve ved firmwaren eller i en hypervisor i et virtualiseret system. Et rootkit på brugerniveau har minimale privilegier og kan derfor ikke udføre så meget skade. Hvis et rootkit ligger i hypervisoren på et system, kan det udnytte hardwarevirtualiseringsfunktioner og målrette mod værtsoperativsystemer. Rootkits i firmware er udfordrende at opdage, fordi kontrol af softwareintegritet normalt ikke strækker sig til firmwareniveauet. Rootkit-detektering og fjernelse kan være kompliceret, fordi rootkittet kan være i stand til at undergrave den software, der er beregnet til at finde den. Detektionsmetoder omfatter adfærdsbaserede metoder, signaturbaseret scanning og hukommelsesdumpanalyse.
Logiske bomber: En logisk bombe er en ondsindet kode, der med vilje indsættes i et softwaresystem for at udløse en negativ funktion, når specificerede betingelser er opfyldt. Den logiske bombesoftware kan have mange triggere, der aktiverer dens udførelse af nyttelast på et bestemt tidspunkt eller efter en bruger udfører en bestemt handling. For eksempel kan en ondsindet aktør installere og konfigurere en logisk bombe til at slette alle de digitale beviser, hvis der udføres retsmedicinske aktiviteter.
Filløs malware: Filløs malware , ligesom navnet antyder, skriver ikke nogen del af sin aktivitet til filer på computerens harddisk; i stedet opererer det udelukkende fra et offers computers hukommelse. Fordi der ikke er nogen filer at scanne, er det sværere at opdage end traditionel malware. Det gør også retsmedicin vanskeligere, fordi malwaren forsvinder, når ofrets computer genstartes.
Da der ikke er nogen filer til antivirus og retsmedicinske værktøjer at analysere, kan det være svært at opdage sådan malware. I 2017 Kaspersky Lab udgav en rapport om filløse malware-angreb, der påvirker 140 virksomhedsnetværk globalt, med banker, telekommunikationsselskaber og statslige organisationer som de øverste mål.
Trojansk hest: EN trojansk hest er enhver malware, der forklæder sig selv som et legitimt program for at vildlede brugere om dens sande hensigt. Trojanske heste udfører deres forventede normale funktioner ud over de ondsindede funktioner i baggrunden. Brugere bliver typisk narret af en form for social engineering til at indlæse og udføre trojanske heste på deres systemer. Når først de er installeret, kan trojanske heste også bruge lokkefugle til at bevare illusionen om, at de er legitime.
For eksempel, når den udføres, vil en trojaner forklædt som tapet eller spilapplikation typisk køre som tapet eller spilapplikation. Mens brugeren bliver distraheret af disse lokkefugle, kan trojaneren stille og roligt udføre ondsindede handlinger i baggrunden. Trojanske heste klassificeres efter typen af ondsindede handlinger, de udfører. Eksempler omfatter banktrojan, fjernadgang trojaner (RAT) , bagdørstrojaner, FakeAV-trojaner osv. Bemærkelsesværdige eksempler på trojanske heste omfatter Zeus, MEMZ og FinFisher.
Ransomware: Ransomware er en type malware, der truer med at offentliggøre ofrets data eller permanent blokere adgangen til dem ved at kryptere ofrets filer, medmindre der betales løsesum. Ransomware-angreb udføres typisk som en del af et phishing-svindel eller ved at bruge en trojan forklædt som en legitim fil, som brugeren bliver narret til at downloade eller åbne, når den ankommer som en vedhæftet fil i e-mail. Angriberen fortsætter med at kryptere specifik information, som kun kan åbnes af en matematisk nøgle, de kender. Når angriberen modtager betaling, låses dataene op.
Bemærkelsesværdige ransomware-angreb inkluderer WannaCry (2017) og REvil (2020). WannaCry-ransomwaren spredte sig gennem internettet i 2017 og inficerede mere end 230.000 computere i over 150 lande og krævede 300 USD pr. computer. REvil er en privat ransomware-as-a-service (RaaS) operation, der truer med at offentliggøre ofres data på deres blog ( doxxing ) medmindre der betales løsesum. I april 2021, REvil stjal Apples kommende produktplaner og truede med at offentliggøre dem, medmindre der blev betalt en løsesum på 50 millioner dollars. Både WannaCry og REvil er blevet taget ned.
Hvordan kan du forhindre og beskytte dine it-aktiver mod malware-infektion?
Beskyttelse af din enhed, kritiske applikationer og faktisk hele dit netværk mod de lange lister af malware kræver mere end blot at udrulle antivirussoftware. I dag anses antivirus og en anden signaturbaseret tilgang til sikkerhed ikke længere for at være nok til at beskytte systemer mod moderne cybertrusler. Med over 350.000 nye malware opdaget hver dag , er det praktisk talt umuligt for antivirusprogrammer at holde styr på disse nye og nye trusler.
Det er grunden til, at organisationer skal udvikle et risikobaseret informationssikkerhedsprogram, der omfavner principperne i nul-tillid sikkerhedsmodel i deres sikkerhedsstrategi for at øge cyberresiliens. Et sikkerhedsprogram bør behandle risikospørgsmål fra et strategisk, taktisk og operationelt synspunkt. Dette omfatter design og implementering af administrative, fysiske og tekniske kontroller for at beskytte kritiske digitale aktiver, som beskrevet i tabel 1.0 nedenfor. Administrative kontroller fokuserer på sikkerhedspolitikker, procedurer og retningslinjer, træning i sikkerhedsbevidsthed og andre menneskelige sikkerhedsfaktorer, der definerer personale eller forretningspraksis i overensstemmelse med organisationens sikkerhedsmål. Fysiske kontroller er foranstaltninger, der er sat i værk for at forhindre uautoriseret fysisk adgang til kritiske it-aktiver. Tekniske kontroller fokuserer på hardware- eller softwarekomponenter såsom antivirus, firewalls, IPS/IDS'er, adgangskontrollister (ACL'er) , hvidlistning af applikationer , etc.
Fysisk | Fysisk adgangskontrol | CCTV og overvågningskamera logs | Reparation og retablering af fysisk beskadigede aktiver |
Administrativ | Risikostyring, sikkerhedspolitikker og procedurer, backupplan mv. | Revision, sikkerhedshændelsesstyring, ændringsstyring osv. | Hændelsesberedskabsplan, DR/BCP. |
Teknisk | Antivirus, IPS, MFA-løsning, opdateringer, whitelisting, ACL mv | IDS, honeypots, sårbarhedsscannere, statisk test mv. | Patching, blacklisting, karantæneteknikker mv |
Tabel 1.0 | Sammenligning af administrative, fysiske og tekniske sikkerhedskontroller
For organisationer, der udvikler forretningskritiske applikationer, er en måde at forhindre ondsindet kode i at ødelægge dine applikationer ved at omfavne sikker kodningspraksis , herunder statisk kodeanalyse i din softwareudviklings livscyklus. Statisk analyse bruges til at sikre applikationer ved at gennemgå kildekoden, når den ikke kører, for at identificere ondsindede koder eller beviser på kendt usikker praksis. Det er en af de mest effektive måder at forhindre ondsindet kode i at forårsage skade på din virksomheds kritiske applikationer. Automatiserede værktøjer som f.eks Uovervindelig , Acunetix , Veracode , Checkmarx , og andre implementerer statisk kodeanalyse for at opdage og forhindre ondsindede koder såsom bagdøre, logiske bomber, rootkits osv.
Brugere, der ønsker at beskytte og forhindre ondsindede koder i at inficere deres pc'er, kan installere antimalware-software som et ekstra sikkerhedslag. Ud over det kan brugere undgå malware ved at praktisere sikker adfærd på deres computere eller andre personlige enheder. Dette inkluderer at holde software opdateret, bruge ikke-administrative konti så meget som muligt, være forsigtig med at downloade ukendte programmer og vedhæftede filer, der kan indeholde malware i skjult form, blandt andre.