Vídeo: Segurança - Malwares (Códigos Maliciosos) - Pragas Virtuais - Parte 1 de 5 (Novembro 2024)
Alguns ataques de malware são tão flagrantes que você não pode perder o fato de ter sido vítima. Os programas de ransomware bloqueiam todo o acesso ao seu computador até você pagar para desbloqueá-lo. Seqüestradores de mídia social postam atualizações de status bizarras em suas páginas de mídia social, infectando qualquer um que clicar nos links envenenados. Os programas de adware estão espalhados pela área de trabalho com anúncios pop-up, mesmo quando nenhum navegador está aberto. Sim, tudo isso é bastante irritante, mas como você sabe que há um problema, pode trabalhar para encontrar uma solução antivírus.
Uma infestação de malware totalmente invisível pode ser muito mais perigosa. Se o seu antivírus não o "vê" e você não percebe comportamentos desagradáveis, o malware é livre para rastrear suas atividades bancárias on-line ou usar seu poder de computação para fins nefastos. Como eles permanecem invisíveis? Aqui estão quatro maneiras pelas quais o malware pode ocultar você, seguidas de algumas idéias para ver o que não é visível.
Subversão do sistema operacional
Nós assumimos que o Windows Explorer pode listar todas as nossas fotos, documentos e outros arquivos, mas muita coisa acontece nos bastidores para que isso aconteça. Um driver de software se comunica com o disco rígido físico para obter os bits e bytes, e o sistema de arquivos interpreta esses bits e bytes em arquivos e pastas do sistema operacional. Quando um programa precisa obter uma lista de arquivos ou pastas, ele consulta o sistema operacional. Na verdade, qualquer programa estaria livre para consultar diretamente o sistema de arquivos ou mesmo se comunicar diretamente com o hardware, mas é muito mais fácil simplesmente ligar o sistema operacional.
A tecnologia Rootkit permite que um programa mal-intencionado efetivamente se apague da vista interceptando essas chamadas para o sistema operacional. Quando um programa solicita uma lista de arquivos em um determinado local, o rootkit passa essa solicitação para o Windows e exclui toda referência a seus próprios arquivos antes de retornar a lista. Um antivírus que depende estritamente do Windows para obter informações sobre quais arquivos estão presentes nunca verá o rootkit. Alguns rootkits aplicam truques semelhantes para ocultar suas configurações do Registro.
Malware sem arquivo
Um antivírus típico verifica todos os arquivos no disco, verificando se nenhum deles é malicioso e também verifica cada arquivo antes de permitir sua execução. Mas e se não houver arquivo? Há dez anos, o worm slammer causou estragos nas redes em todo o mundo. Ele se propagou diretamente na memória, usando um ataque de saturação de buffer para executar código arbitrário e nunca gravou um arquivo no disco.
Mais recentemente, os pesquisadores da Kaspersky relataram uma infecção por Java sem arquivo, atacando visitantes de sites de notícias russos. Propagada por meio de banners, a exploração injetou código diretamente em um processo Java essencial. Se conseguisse desativar o Controle de Conta de Usuário, entraria em contato com o servidor de comando e controle para obter instruções sobre o que fazer em seguida. Pense nisso como o sujeito de um assalto a banco que rasteja pelos dutos de ventilação e desliga o sistema de segurança para o resto da tripulação. De acordo com a Kaspersky, uma ação comum neste momento é instalar o Lurk Trojan.
O malware que está estritamente na memória pode ser eliminado simplesmente reiniciando o computador. Foi assim que eles conseguiram derrotar o Slammer naquele dia. Mas se você não souber que há um problema, não saberá que precisa reiniciar.
Programação Orientada a Retorno
Os três finalistas do concurso de pesquisa de segurança BlueHat Prize da Microsoft envolviam lidar com a Programação Orientada a Retorno, ou ROP. Um ataque que usa ROP é insidioso, porque não instala código executável, não como tal. Em vez disso, ele encontra as instruções desejadas em outros programas, mesmo em partes do sistema operacional.
Especificamente, um ataque ROP procura blocos de código (chamados de "gadgets" pelos especialistas) que desempenham alguma função útil e terminam com uma instrução RET (retorno). Quando a CPU atinge essa instrução, ela retorna o controle ao processo de chamada, nesse caso o malware ROP, que inicia o próximo bloco de código, talvez de um programa diferente. Essa grande lista de endereços de gadgets são apenas dados, portanto, a detecção de malware baseado em ROP é difícil.
Malware de Frankenstein
Na conferência Usenix WOOT (Workshop sobre tecnologias ofensivas) do ano passado, um par de pesquisadores da Universidade do Texas em Dallas apresentou uma idéia semelhante à Programação Orientada a Retorno. Em um artigo intitulado "Frankenstein: Stitching Malware from Benign Binaries", eles descreveram uma técnica para criar malware difícil de detectar, reunindo pedaços de código de programas conhecidos e confiáveis.
"Ao compor o novo binário inteiramente fora das seqüências de bytes comuns aos binários com classificação benigna", explica o artigo, "os mutantes resultantes têm menos probabilidade de corresponder assinaturas que incluem tanto a lista branca quanto a lista negra de recursos binários". Essa técnica é muito mais flexível que o ROP, porque pode incorporar qualquer parte do código, não apenas uma parte que termina com a instrução RET, que é muito importante.
Como ver o invisível
O bom é que você pode obter ajuda para detectar esses programas maliciosos sorrateiros. Por exemplo, programas antivírus podem detectar rootkits de várias maneiras. Um método lento mas simples envolve realizar uma auditoria de todos os arquivos no disco, conforme relatado pelo Windows, realizar outra auditoria consultando diretamente o sistema de arquivos e procurando discrepâncias. E como os rootkits subvertem especificamente o Windows, um antivírus inicializado em um sistema operacional não Windows não será enganado.
Uma ameaça somente de memória e sem arquivo sucumbirá à proteção antivírus que controla os processos ativos ou bloqueia seu vetor de ataque. Seu software de segurança pode bloquear o acesso ao site infectado que atende a essa ameaça ou bloquear sua técnica de injeção.
A técnica de Frankenstein pode enganar um antivírus estritamente baseado em assinatura, mas as ferramentas de segurança modernas vão além das assinaturas. Se o malware de retalhos realmente fizer algo malicioso, provavelmente um scanner baseado em comportamento o encontrará. E como nunca foi visto em nenhum lugar antes, um sistema como o Norton File Insight da Symantec, que leva em consideração a prevalência, sinalizará isso como uma anomalia perigosa.
Quanto a atenuar os ataques da Programação Orientada a Retorno, bem, isso é difícil, mas muita inteligência foi dedicada a resolvê-lo. Poder econômico também - a Microsoft concedeu um quarto de milhão de dólares aos principais pesquisadores que trabalham nesse problema. Além disso, como eles dependem muito da presença de determinados programas válidos, é mais provável que os ataques ROP sejam usados contra alvos específicos, não em uma campanha de malware generalizada. Seu computador doméstico provavelmente está seguro; o PC do escritório, nem tanto.