[KB186] Definícia vírusov, škodlivého softvéru a vzdialených útokov

Riešenie

Väčšina hrozieb, ktoré bezpečnostné produkty ESET zachytávajú, môžu byť klasifikované ako sú vírusy, malware, alebo ako vzdialené útoky. Okrem programov, ktoré môžete nainštalovať na svojom počítači, počítač môže byť napadnutý škodlivými programami (malware). Váš počítač môže byť aj predmetom útoku cez sieť, iným počítačom zo vzdialeného umiestnenia. Škodlivý softvér a vzdialené útoky môžu spôsobiť straty, stojí vás to čas, alebo môžu viesť k finančnej strate. Najbežnejšie formy počítačových hrozieb sú popísané dole:

Vírus
Vírus je programom, ktorý sa aktivuje pripájaním svojich vlastných kópií na spustiteľné súbory. Vírusy sa na Váš počítač môžu dostať z iných infikovaných počítačov, dátových nosičov (CD, DVD, USB etc.) alebo cez počítačovú sieť (lokálna alebo Internet). Existuje viacero typov vírusov:

  1. Súborové: Tieto vírusy útočia na spustiteľné programové súbory, ako napríklad súbory s príponami ".exe" a ".com".
  2. Skriptové: Skriptové vírusy sú podmnožinou súborových vírusov a môžu byť napísané v množstve skriptovacích jazykov (VBS, JavaScript, BAT, PHP, atď.) Buď infiltrujú iné skripty (napr. príkazové súbory alebo služby Windows alebo Linux), alebo tvoria súčasť viaczložkových vírusov. Skriptové vírusy sú schopné infikovať iné formáty súborov, ako napr. HTML ak takýto formát umožňuje spúšťanie skriptov.
  3. Boot vírusy: Takéto vírusy útočia na zavádzacie (boot) sektory médií alebo hlavný zavádzací sektor pevného disku a nastavujú svoje vlastné spúšťacie rutiny pri štarte.
  4. Makro vírusy: Útočia na dokumenty, v ktorých možno ukladať iné príkazy (makrá). Tieto vírusy sa často vyskytujú v textových editoroch a tabuľkových procesoroch, pretože tu sa ľahko vkladajú makrá.

Vírusy tiež možno klasifikovať podľa spôsobu, akým vykonávajú svoju aktivitu. Kým priamo pôsobiace vírusy vykonajú aktivitu hneď, ako sa infikovaný objekt zaktivuje, rezidentné vírusy zostanú pracovať v pamäti počítača.

Červ (Worm)
Červ je nezávislý program šíriaci svoje kópie po sieti. Na rozdiel od vírusu (ktorý potrebuje infikovaný súbor na svoju replikáciu) sa červ dokáže šíriť aktívne rozosielaním svojich kópií cez LAN alebo Internet, e-mailovú komunikáciu, alebo cez bezpečnostné chyby operačného systému.

Červy dokážu tiež niesť so sebou ďalší škodlivý softvér (malware), ako napr. (programy typu backdoor - viď nižšie), i keď toto správanie nie je len výsadou červou. Červy dokážu spôsobiť škody značného rozsahu - často sa používajú na "zaseknutie" komunikačných kanálov pomocou DoS (odmietnutie služby) útokov. Červ je schopný sa v priebehu minút rozšíriť do celého sveta prostredníctvom Internetu.

Trojan
Trojan je škodlivý program, ktorý sa na rozdiel od vírusov a červov nedokáže kopírovať a infikovať súbory. Vyskytuje sa zvyčajne vo forme spustiteľného súboru (.exe, .com) a neobsahuje nič okrem svojho vlastného kódu. Preto je jediným riešením ho vymazať.

Trojany majú mnoho funkcií, od nahrávania stlačení kláves (keylogging) až po vymazávanie súborov alebo formátovanie pevného disku. Niektoré obsahujú špeciálnu vlastnosť backdoor (aplikácia klient - server), ktorá umožňuje vývojárovi vzdialený prístup na Váš počítač. Na rozdiel od bežných (legálnych) programov s podobnými funkciami sa aplikácia nainštaluje na počítač bez súhlasu užívateľa.

Adware
Adware je skratkový pojem pre (advertising-supported) softvér s jediným účelom - šírením reklamy. Adware zobrazuje vyskakovacie okna počas surfovania po Internete, nastavuje najrôznejšie internetové stránky ako Vašu domovskú stránku, alebo otvára špeciálne okno programového rozhrania.

Adware býva často nainštalovaný spolu s voľne stiahnuteľnými programami, a klient je o tomto zväčša informovaný v Licenčnej zmluve koncového používateľa. Vďaka reklamám typu adware môžu vývojári voľne šíriteľného softvéru (freeware) zarobiť na funkcionalitách programu dostupných len v platenej verzii programu. Vo väčšine prípadov sa jedná o legálne medze inštalácie softvéru - je mnoho legitímnych programov podporujúcich šírenie reklamy. Napriek tomu, prílišná priebojnosť reklám, ako aj ich samotný obsah môžu ich legálny aspekt značne spochybniť.

Spyware
Spyware je softvér, ktorý využíva Internet na zbieranie rôznych citlivých informácií bez vedomia užívateľa. Niektoré spyware programy vyhľadávajú informácie ako práve nainštalovaný softvér alebo história prezeraných internetových stránok. Iné programy typu spyware sú vytvárané za oveľa nebezpečnejším účelom: zbieraním osobných či finančných údajov za cieľom zneužitia identity (Identity Theft).

Riskware
Tento typ škodlivého softvéru zahŕňa všetky aplikácie, ktorých prevádzka zvyšuje bezpečnostné riziko pre užívateľa. Podobne ako pri inštalácii spyware, aj riskware môže pri inštalácii využiť potvrdenie Licenčnej zmluvy koncového používateľa. Dialer (program automatického vytáčania) je typickým príkladom riskware - aplikácia presmeruje spojenie na prednastavené spoplatňované číslo. Tieto programy nájdu legálne využitie pri platbách internetových služieb, ale bývajú tiež často zneužívané na presmerovanie bez vedomia užívateľa.

Nebezpečné aplikácie
Nebezpečná aplikácia je pojem, ktorý sa používa pre programy, ktoré napriek tomu, že ich nainštaloval sám používateľ, môžu vystaviť systém bezpečnostnému riziku. Sú to napríklad programy zaznamenávajúce stlačenia kláves či obsah obrazovky, nástroje vzdialeného prístupu, programy na zistenie hesiel a testovanie bezpečnosti.

Hoax
Hoax je zámerne dezinformujúca správa posielaná cez e-mail, ktorá sa šíri najmä vďaka slabej obozretnosti či informovanosti verejnosti. Snahou hoaxu je prinútiť používateľa urobiť niečo čo nechce. Hoax napríklad často informuje používateľa o nutnosti vymazať platné súbory operačného systému, s tvrdením, že sa jedná o nebezpečný vírus.

Vo veľa prípadoch hoaxy odkazujú na renomované spoločnosti, aby si získali pozornosť čitateľa. Napríklad, "Microsoft varuje pred..." alebo "CNN vyhlásila...". Tieto správy varujú pred pohromami s priam katastrofickými následkami. Varovania majú jednu spoločnú charakteristiku - urgujú používateľa aby čo najskôr preposlal správu každému koho pozná, čim vlastne zaisťujú životný cyklus hoaxu. 99,9% týchto správ sú hoaxy.

Hoax sa nešíri sám od seba, jediný spôsob ako sa chrániť je overiť si autenticitu správy, pred vyvodzovaním akýchkoľvek ďalších krokov.

Scam
V širšej definícii pod scamom rozumieme podvod páchaný na používateľoch za účelom finančného zisku, alebo zneužitia identity. Jedným z najčastejších scamov je nevyžiadaný fax, e-mail, alebo list z Nigérie alebo inej západoafrickej krajiny. List sa obsahom podobá na legitímny obchodný návrh, ale vyžaduje od cieľovej osoby poplatok vopred. Návrh je samozrejme podvod a uhradené poplatky sú okamžite odcudzené.

Iná bežná forma scamu je phishing e-mailových správ a internetových stránok. Zámerom takéhoto scamu je získanie prístupu k citlivým údajom ako číslam bankových učtov, PIN kódom, atď. Prístup a dôveru si získava posielaním e-mailov zdanlivo od hodnovernej osoby alebo inštitúcie (finančná inštitúcia, poisťovňa).

E-mail (alebo stránka na ktorú je používateľ presmerovaný) môže pôsobiť veľmi dôveryhodne a obsahovať grafiku a dizajn pochádzajúce priamo zo zdroja, ktorý napodobňuje. Od používateľa bude žiadať zadanie osobných údajov, ako sú čísla bankových účtov a používateľské mená a heslá. Všetky tieto údaje možno po ich pridaní ľahko ukradnúť a zneužiť.

Tu treba dodať, že banky, poisťovne, a iné legitímne spoločnosti nikdy nebudú požadovať používateľské mená a heslá cez e-mail.
Dalšie informácie o hoaxoch, scamoch a phishingu »»

Vzdialené útoky

Existujú rôzne techniky umožňujúce útočníkom napadnúť vzdialené počítačové systémy. Podľa svojej povahy sa útoky delia na niekoľko skupín:

DoS útoky

DoS, čiže Denial of Service, je pokus o zneprístupnenie služieb počítača alebo siete ich užívateľom. Komunikácia medzi používateľmi je natoľko preťažená, že nemôže adekvátne prebiehať. Napadnutý používateľ je nútený reštartovať PC aby mohol poskytovať plnohodnotné služby.
Cieľom sa stávajú najčastejšie web servery a účelom útoku je vyradiť ich z činnosti.

DNS Poisoning

DNS poisoning („otrávenie pomocou odpovede Domain Name Servera“) je metóda, ktorá dokáže oklamať DNS klienta na PC tým, že sú mu podsunuté klamné informácie, ktoré DNS klient považuje za autentické. Nepravdivé informácie si DNS klient na určité časové obdobie uchováva v pamäti cache, čím umožňuje útočníkovi manipulovať so záznamami DNS a IP adresami. Vytvorí tak u používateľa dojem, že navštevuje legitímnu internetovú stránku, no v skutočnosti mu môže byť podsunutý škodlivý obsah, napríklad počítačový vírus, alebo červ.

Skenovanie portov

Port scanning (skenovanie portov) je činnosť, ktorou sa systematicky overuje prístupnosť počítačových portov. Port scanner je špeciálny software, ktorý dokáže zistiť v sieti prípadné otvorené porty.
Počítačový port je miesto, ktorým prechádzajú informácie z / do počítača, takže ide z hľadiska bezpečnosti o kritickú záležitosť. Vo veľkých sieťach má táto činnosť svoje legitímne opodstatnenie, pretože je to rýchly spôsob odhalenia prípadných bezpečnostných dier.
Port scanning je najčastejšia technika používaná vzdialenými útočníkmi. Prvým krokom je zvyčajne zaslanie paketov na každý port. Na základe odpovede sa dá zistiť, či je port používaný. Samotná kontrola sama o sebe ešte nespôsobuje žiadne škody. Technika však umožňuje odhaliť slabo zabezpečený vstupný bod a získať tak nadvládu nad vzdialeným počítačom.
Administrátor siete by mal teda automaticky zabezpečiť, aby nevyužívané porty nezostali otvorené a aby využívané boli čo najlepšie chránené.

TCP desynchronizácia

Desynchronizácia TCP je technika využívaná pri tzv. TCP Hijacking útokoch. Desynchronizácia je vyvolaná procesom, keď sekvenčné číslo v prijatom pakete nie je zhodné s očakávaným sekvenčným číslom. V závislosti od sekvenčného čísla potom nastane odhodenie paketu (prípadne uloženie do vyrovnávacej pamäte, ak sa nachádza v aktuálnom okne komunikácie).
V stave desynchronizácie si obe strany v komunikácii navzájom zahadzujú pakety. Do toho môže vstúpiť útočník (sledujúci danú komunikáciu) a dodať pakety so správnym sekvenčným číslom. Útočník môže prípadne ďalej pridávať do komunikácie príkazy, alebo ju inak modifikovať.
Cieľom útoku je narušiť spojenia buď na úrovni klient‑server, alebo peer-to-peer spojenie. Brániť sa je možné používaním autentifikácie jednotlivých TCP segmentov, alebo Odporúča sa tiež dodržiavať odporúčané nastavenia pre správu a nastavenia sieťových zariadení.

SMB Relay

SMB Relay a SMB Relay2 sú špeciálne programy, ktoré dokážu vykonať útok na vzdialený počítač. Program využíva protokol pre zdieľanie súborov Server Message Block previazaný s NetBIOSom. Ak používateľ zdieľa adresár alebo disk v rámci lokálnej siete, využíva s najväčšou pravdepodobnosťou tento spôsob zdieľania.
V rámci komunikácie v sieti potom dochádza k odosielaniu kontrolných súčtov, "hashov" používateľských hesiel.
SMB Relay zachytí komunikáciu na UDP porte 139 a 445, presmeruje pakety medzi klientom a serverom danej stanice a modifikuje ich. Po pripojení sa a autentifikácii je klientská stanica odpojená a SMB Relay vytvorí novú virtuálnu IP adresu.
K tejto adrese sa potom dá pripojiť pomocou príkazu "net use \192.168.1.1" a adresa môže byť využívaná všetkými vstavanými sieťovými funkciami vo Windows. Program prenáša všetku SMB komunikáciu okrem negociácie a autentifikácie. Pokiaľ je vzdialený počítač pripojený, útočník sa na danú IP adresu môže kedykoľvek pripojiť.
Program SMB Relay 2 pracuje na rovnakom princípe, namiesto IP adries ale používa mená z NetBIOS. Oba programy umožňujú útoky typu "man-in-the-middle (človek medzi)" – teda útoky, kde útočník dokáže čítať, vkladať a meniť odkazy medzi dvomi stranami bez toho, aby ktorákoľvek zo strán o tom vedela. Najčastejším príznakom je "zamrznutie" systému alebo náhly reštart.
Odporúčanou ochranou proti týmto útokom je zvýšenie kvality autentifikácie pomocou hesiel alebo kľúčov.

Útoky cez protokol ICMP

Protokol ICMP (Internet Control Message Protocol) je jedným z hlavných Internetových protokolov. Slúži na odosielanie rôznych chybových hlásení a využívajú ho na tento účel hlavne počítače v sieti.
Útoky vedené cez protokol ICMP zneužívajú jeho slabé miesta. ICMP je využívaný na zasielanie jednosmerných odkazov, pričom nie je používaná žiadna autentifikácia. Tento fakt dovoľuje vzdialenému útočníkovi vyvolať napr. tzv. DoS (Denial of Service) útok alebo zachytávanie odchádzajúcich paketov.
Typickými príkladmi ICMP útokov sú ping flood, ICMP_ECHO flood alebo smurf attack. Medzi symptómy patrí značné spomalenie Internetových aplikácií, prípadne krátkodobé alebo aj dlhodobé odpojenie od Internetu.

 

Pre konkrétne informácie ohľadom jednotlivých hrozbieb, vzdialených útokoch a iných druhoch malware, prosím navštívte stránku Threat Encyclopedia (pozn. len v anglickom jazyku).