Mi a malware?

0

malware kifejezés az angol malicious software (rosszindulatú szoftver) összevonásából kialakított mozaikszó. Mint ilyen, a rosszindulatú számítógépes programok összefoglaló neve.

Ide tartoznak

  • a vírusok, férgek (worm),
  • kémprogramok (spyware),
  • agresszív reklámprogramok (adware),
  • a rendszerben láthatatlanul megbúvó, egy támadónak emelt jogokat biztosító eszközök (rootkit).

A számítógépes kártevő programok mennyisége folyamatosan növekszik, és időről időre új típusok terjednek el. Az ellenük való védekezés a köznyelvben víruskereső programnak nevezett szoftverekkel történik.

 Malware részletes bemutatása

  • Vírus: Bár a „számítógépes vírus” kifejezést gyakran használják a rosszindulatú szoftverek számos típusának leírására, valójában olyan szoftverre utal, amely saját kódjának más programokba történő beillesztésével szaporodik. Ez sokféle formát ölthet, például spam tartalmak hozzáadása a weboldaladhoz. vagy a látogatók számítógépeinek megfertőzése.
  • Trójai faló: A trójai faló olyan szoftverre utal, amely úgy tesz, mintha egy adott funkciója lenne, de titokban más műveleteket hajt végre, például megrongálja a WordPress fájljait,  php-fájljait, vagy kihasználja a rendszer erőforrásait.
  • Kémszoftver: Olyan program, amely rejtve marad, hogy információkat gyűjtsön. Ez adatlopáshoz és személyes adatok elvesztéséhez vezethet.
  • Ransomware: Ahogy a neve is mutatja, ez egy olyan rosszindulatú szoftver, amely váltságdíjat követel Öntől. Ha egyszer megfertőződött, nem tudja használni a webhelyét, amíg nem fizet a készítőknek az eltávolításért. Ennek katasztrofális hatásai lehetnek, ahogyan azt a WannaCry-támadásnál láthattuk, amely több kórházat és rádióállomást is leállított.
  • Adware: Ez a rosszindulatú szoftver egyszerűen arra kényszeríti Önt, hogy interakcióba lépjen egy hirdetéssel, például rákattintson rá, mielőtt használhatná a webhelyét. Ez általában viszonylag ártalmatlan, bár irritáló és rendkívül nem kívánatos, mivel elég lehet egyetlen kattintás.
  • Kriptopénz bányászok: Ez a rosszindulatú programok egyik legújabb típusa, amely azért fertőzi meg az oldalt, hogy annak erőforrásait crypto pénzek bányászására használja. Ez súlyosan lelassíthatja az oldalát, és további biztonsági réseket okozhat a folyamat során.

Érdemes megjegyezni, hogy ez a lista korántsem teljes körű. Beszélhetnénk például a botnetekről, a nyers erővel végrehajtott támadásokról, mint  BruteForce, és a számítógépes férgekről is. A rosszindulatú programok sokféle formában és méretben léteznek, és napról napra bővülnek.

A Malware működése a gyakorlatban

A malware eszközökkel célzott támadásokat hajtanak végre. A célzott támadás a fenyegetések olyan típusára utal, amelyben a fenyegető szereplők aktívan üldözik és veszélyeztetik a célszervezet infrastruktúráját, miközben anonimitást tartanak fenn. Ezek a támadók bizonyos szintű szakértelemmel és elegendő erőforrással rendelkeznek ahhoz, hogy hosszú távon végrehajtsák a terveiket. Támadásaikat úgy tudják adaptálni, kiigazítani vagy javítani, hogy ellensúlyozzák az áldozat védelmét.

A célzott támadások gyakran alkalmaznak olyan módszereket, mint a már ismert online fenyegetések, például:

  • rosszindulatú e-mailek,
  • rosszindulatú webhelyek,
  • exploitok és rosszindulatú szoftverek.

A célzott támadások több szempontból is különböznek a hagyományos online fenyegetésektől:

  • A célzott támadásokat jellemzően kampányok formájában hajtják végre. Az APT-ket gyakran kampányok formájában hajtják végre – sikertelen és sikeres kísérletek ismételt sorozata, hogy egyre mélyebbre és mélyebbre hatoljanak a célpont hálózatában -, és így nem elszigetelt incidensek jönnek létre.
  • Általában konkrét iparágakat, például vállalatokat, kormányzati szerveket vagy politikai csoportokat vesznek célba. A támadók gyakran hosszú távú célokat tartanak szem előtt, és indítékaik között szerepel többek között a politikai haszonszerzés, a pénzbeli haszonszerzés vagy az üzleti adatok ellopása.

A támadók gyakran testre szabják, módosítják és javítják módszereiket a célszektor jellegétől függően, és a bevezetett biztonsági intézkedések kijátszása érdekében.

A célzott támadás fázisai

  1. Hírszerzés. A fenyegető szereplők azonosítják és összegyűjtik a célpontjukról nyilvánosan elérhető információkat, hogy támadásaikat testre szabhassák. Ennek a kezdeti fázisnak a célja, hogy stratégiai információkat szerezzenek nemcsak a célpont informatikai környezetéről, hanem annak szervezeti felépítéséről is. Az összegyűjtött információk a vállalat által használt üzleti alkalmazásoktól és szoftverektől kezdve a vállalaton belüli szerepekig és kapcsolatokig terjedhetnek. Ebben a fázisban olyan social engineering technikákat is alkalmaznak, amelyek a közelmúlt eseményeit, a munkával kapcsolatos kérdéseket vagy aggodalmakat, valamint a célpontot érdeklő egyéb területeket használják ki.
  2. A belépési pont. A fenyegető szereplők különböző módszereket alkalmazhatnak a célpont infrastruktúrájába való behatoláshoz. A leggyakoribb módszerek közé tartoznak a személyre szabott spearphishing e-mailek, a nulladik napi (0day) vagy szoftveres exploitok, valamint a watering hole technikák. A támadók azonnali üzenetküldő és közösségi hálózati platformokat is felhasználnak arra, hogy a célpontokat linkre kattintásra vagy rosszindulatú programok letöltésére csábítsák. Végül kapcsolatot létesítenek a célponttal.
  3. Command-and-control (C&C)(C&C) kommunikáció. A behatolást követően után a fenyegető szereplők folyamatosan kommunikálnak a rosszindulatú szoftverrel, hogy vagy rosszindulatú rutinokat hajtsanak végre, vagy információkat gyűjtsenek a vállalati hálózaton belül. A fenyegető szereplők olyan technikákat alkalmaznak, amelyekkel elrejthetik ezt a kommunikációt, és mozgásaikat a radar alatt tartják.
  4. Oldalirányú mozgás. A hálózaton belülre kerülve a fenyegető szereplők oldalirányban mozognak a hálózaton belül, hogy kulcsfontosságú információkat keressenek vagy más értékes rendszereket fertőzzenek meg.
  5. Eszközök/adatok feltárása. Az eszközök vagy adatok meghatározása és elkülönítése a jövőbeni adatszivárogtatáshoz. A fenyegető szereplők hozzáférnek az értékes információkat és célpont eszközöket tartalmazó „területekhez”. Ezeket az adatokat azonosítják és olyan eszközökkel továbbítják, mint a távoli hozzáférésű trójaiak (RAT-ok) és a testreszabott és törvényes eszközök. Ebben a szakaszban alkalmazott technika lehet a különböző könyvtárakban lévő fájllisták visszaküldése a támadók részére, így azonosítani tudják, hogy melyek a számukra értékes adatok.
  6. Adatszivárgás. A támadás fő célja, hogy kulcsfontosságú információkat gyűjtsön, és azokat a támadók által ellenőrzött helyre továbbítsa. Az ilyen adatok átadása történhet gyorsan vagy fokozatosan. A célzott támadások arra törekszenek, hogy észrevétlenek maradjanak a hálózatban, hogy hozzáférjenek a vállalat koronaékszereihez vagy értékes adataihoz. Ezek az értékes adatok közé tartoznak a szellemi tulajdon, az üzleti titkok és az ügyfélinformációk. Ezen túlmenően a fenyegető szereplők más érzékeny adatokat is kereshetnek, például szigorúan titkos dokumentumokat kormányzati vagy katonai intézményekből.