Faylsiz zararli dastur - Fileless malware - Wikipedia

Faylsiz zararli dastur kompyuter bilan bog'liq variantidir zararli dasturiy ta'minot faqat a sifatida mavjud kompyuter xotirasi - asoslangan artefakt, ya'ni Ram.

U o'z faoliyatining biron bir qismini kompyuternikiga yozmaydi qattiq disk bu mavjudlikka juda chidamli ekanligini anglatadi Kompyuterga qarshi sud-tibbiyot strategiyalari fayllarga asoslangan oq ro'yxat, imzolarni aniqlash, texnik vositalarni tekshirish, naqshlarni tahlil qilish, vaqtni belgilash va boshqalarni o'z ichiga olgan va noqonuniy faoliyatni aniqlash uchun raqamli sud-tergovchilar tomonidan ishlatilishi mumkin bo'lgan dalillarga ega bo'lgan juda oz narsa.

Ushbu turdagi zararli dasturlar xotirada ishlashga mo'ljallanganligi sababli, uning tizimdagi uzoq umr ko'rish faqat tizim mavjud bo'lgunga qadar mavjud bo'ladi qayta yuklandi.

Ta'rif

Filtrsiz zararli dastur ba'zida sinonim sifatida qabul qilinadi xotirada zararli dastur, chunki ikkalasi ham o'zlarining asosiy funktsiyalarini ishlash davomida diskka ma'lumotlarni yozmasdan bajaradilar. Bu ba'zi sharhlovchilarning ushbu variant shtammlari yangi narsa emasligini va shunchaki "taniqli terminni, xotira rezidentini qayta aniqlash" deb da'vo qilishlariga olib keldi.[1] uning nasl-nasabini 1980-yillarda tug'ilganligi bilan izlash mumkin Lehigh virusi atamani yaratuvchisi tomonidan ishlab chiqilgan, Fred Koen, va mavzudagi maqolasi bilan ta'sirchan bo'ldi.[2]

Ammo bu sinonimiya noto'g'ri. Yuqorida aytib o'tilgan xulq-atvorni ijro etish muhiti bir xil bo'lsa-da, ikkala holatda ham, ya'ni har ikkala zararli dastur variantlari tizim xotirasida bajariladi, ammo hal qiluvchi farqlash boshlash va uzaytirish usuli hisoblanadi. Aksariyat zararli dasturlarning yuqtirish vektori qattiq diskka yozishni o'z ichiga oladi,[3] uni amalga oshirish uchun, uning kelib chiqishi virusli fayl qo'shimchasi shaklida bo'lishi mumkin, tashqi muhit vositasi, masalan. USB, atrof-muhit, uyali telefon va boshqalar, brauzerning haydovchisi, yon kanal va boshqalar.

Yuqorida aytib o'tilgan usullarning har biri ma'lum bir shaklda yoki boshqa usulda xost tizimining qattiq disklari bilan aloqada bo'lishi kerak, ya'ni eng yashirin sudga qarshi usullardan foydalanganda ham, yuqtirilgan qoldiqning ba'zi bir shakllari xost axborot vositalarida qoldiriladi.

Boshqa tomondan, faylsiz zararli dastur, yaratilgan paytdan boshlab jarayon tugaguniga qadar (odatda tizimni qayta ishga tushirish yo'li bilan) hech qachon uning tarkibini diskka yozmaslikka intiladi. Uning maqsadi - kabi o'zgaruvchan tizim sohalarida yashash tizim registri, xotiradagi jarayonlar va xizmat ko'rsatish joylari.[4]

Tarix

Faylsiz zararli dastur bu zararli dasturiy ta'minotning evolyutsion zo'riqishi bo'lib, u aniq takomillashtirilgan hujum stsenariylariga yo'naltirilgan haydovchi bilan o'zini takomillashtirish / takomillashtirishning barqaror modelini oldi, uning ildizlari quyidagicha. rezidentni tugatish va qolish / xotirada doimiy joylashgan virusli dasturlar[5] ular ishga tushirilgandan so'ng, ularning boshqaruv oqimiga kirishdan oldin tizim to'xtatilishini kutayotgan xotirada yashaydilar; misollari Frodo kabi viruslarda kuzatilgan, Qorong'u qasoskor, Hayvonning soni.[6]

Ushbu usullar vaqtincha xotirada saqlanadigan viruslar yordamida rivojlandi[7] va kuydirgi, Monxla kabi mashhur misollarda ko'rilgan[8] va shunga o'xshash "virussiz" tabiatni qabul qildi, masalan, tizimga kiritilgan virus viruslari / qurtlari CodeRed va Slammer.

Kabi viruslarda zamonaviy evolyutsion mujassamlashuvlar kuzatilgan Stuxnet, Duqu, Poweliks,[9] Fasebot[10] va boshqalar.

So'nggi o'zgarishlar

2017 yil 8 fevralda Kasperskiy laboratoriyasining Global tadqiqot va tahlil guruhi "Korxona tarmoqlariga qarshi hujumsiz hujumlar" deb nomlangan hisobotni e'lon qildi.[11] Bu zararli dasturlarning variantlarini va uning so'nggi mujassamlanishlarini o'z ichiga oladi, bu dunyodagi 140 ta korxona tarmog'iga ta'sir qiladi, banklar, telekommunikatsiya kompaniyalari va davlat tashkilotlari eng asosiy maqsad hisoblanadi.

Hisobotda faylsiz zararli dasturlarning bir variantidan qanday foydalanilayotganligi batafsil bayon etilgan PowerShell ssenariylari (Microsoft Windows Ro'yxatdan o'tish tizimida joylashgan) maqsadli mashinaga qarshi hujumni boshlash uchun mo'ljallangan, umumiy hujum doirasidan foydalangan holda Metasploit Mimikatz kabi qo'llab-quvvatlovchi hujum vositalari bilan,[12] va "SC" va "NETSH" kabi Windows standart dasturlaridan foydalanib, lateral harakatlanishda yordam beradi.

Zararli dastur faqat bank tomonidan markaziy domen tekshirgichida (DC) jismoniy xotirada ishlaydigan Metasploit Meterpreter kodini aniqlagandan so'ng aniqlandi.[13]

Kasperskiy laboratoriyalari bu kabi yangi tendentsiyalarni aniqlagan yagona kompaniya emas, chunki zararli dasturlarga qarshi IT xavfsizligi bo'yicha asosiy kompaniyalar shunga o'xshash topilmalar bilan chiqmoqdalar: Symantec,[14] Trend Micro,[15] McAfee Labs, Cybereason,[16] va boshqalar.

Raqamli sud ekspertizasi

Faylsiz usulda ishlaydigan zararli dasturlarning paydo bo'lishi raqamli sud-tergovchilariga katta muammo tug'diradi, ularning jinoyat joyidan raqamli eksponatlarni olish imkoniyatiga ega bo'lishiga ishonish juda muhimdir saqlash zanjiri va sudda qabul qilinishi mumkin bo'lgan dalillarni ishlab chiqarish.

Kabi ko'plab taniqli raqamli sud-tibbiy protsess modellari: Casey 2004, DFRWS 2001, NIJ 2004, Cohen 2009,[17] barchasi tekshiruv va / yoki tahlil bosqichlarini o'zlarining tegishli modellariga kiritadilar, bu esa qandaydir mexanizm yordamida dalillarni olish / to'plash / saqlashni nazarda tutadi.

Raqamli tergovchilarning standart ishlash tartibi va jinoyat sodir bo'lgan joyda ular kompyuter bilan qanday muomala qilish kerakligini ko'rib chiqishda qiyinchilik paydo bo'ladi. An'anaviy usullar tergovchini quyidagilarga yo'naltiradi:[18]

  • Hech qanday holatda, kompyuterni yoqmang
  • Kompyuter o'chirilganligiga ishonch hosil qiling - ba'zi ekran himoyachilari kompyuter o'chirilgan ko'rinishga ega bo'lishi mumkin, ammo qattiq disk va monitor faolligi chiroqlari mashina yoqilganligini ko'rsatishi mumkin.
  • Asosiy quvvat manbai batareyasini noutbuk kompyuterlaridan chiqarib oling.
  • Quvvatni va boshqa qurilmalarni kompyuterning o'zida rozetkadan uzing

Filtrsiz zararli dastur sud ekspertizasi modellarini buzadi, chunki dalillarni olish faqat tekshirilishi kerak bo'lgan jonli ishlaydigan tizimdan olingan xotira tasviriga qarshi sodir bo'lishi mumkin. Biroq, bu usul o'zi sotib olingan uy egasining xotirasidagi tasvirni buzishi va qonuniy qabul qilinishini shubhali qilishi mumkin yoki hech bo'lmaganda taqdim etilgan dalillarning og'irligi keskin kamayishi mumkinligi to'g'risida etarlicha asosli shubha tug'dirishi mumkin. Troyan oti yoki "ba'zi boshqa do'stlar buni qildilar" himoya vositalaridan yanada samarali foydalanish mumkin.

Bu zararli dasturlarning ushbu turini tarmoqdagi mustahkam o'rnini egallashni istagan, lateral harakatni kuzatishni qiyinlashtiradigan va tezkor va jim tarzda amalga oshirishni istagan dushmanlar uchun juda jozibador qiladi.[19][20][21]

Tashqi havolalar

Adabiyotlar

  1. ^ "Kengaytirilgan o'zgaruvchan tahdid: eski zararli dastur texnikasining yangi nomi?". Fuqarolik jamiyati. Fuqarolik jamiyati. Olingan 20 fevral 2017.
  2. ^ "Kompyuter viruslari - nazariya va tajribalar". Michigan universiteti. Olingan 20 fevral 2017.
  3. ^ Sharma, S (2013). "Doimiy viruslarni to'xtatish va qolish" (PDF). Axborot texnologiyalari bo'yicha xalqaro jurnal. 1 (11): 201–210.
  4. ^ "Tanasiz tahdid". Kasperskiy laboratoriyasi biznesi. Kasperskiy laboratoriyasi. Olingan 20 fevral 2017.
  5. ^ "Kompyuter viruslarini o'rganish va himoya qilish san'ati: xotirada saqlanadigan viruslar". Olingan 20 fevral 2017.
  6. ^ "Hayvonning soni". FireEye.
  7. ^ "Kompyuter viruslarini o'rganish va himoya qilish san'ati: vaqtinchalik xotirada saqlanadigan viruslar". Olingan 20 fevral 2017.
  8. ^ "Monxla nima - Monxla haqida ma'lumot va olib tashlash". antivirus.downloadatoz.com.
  9. ^ "Trojan.Poweliks". www.symantec.com.
  10. ^ "Phasebot, yer ostida sotiladigan faylsiz zararli dastur". Xavfsizlik ishlari. 2015 yil 23 aprel.
  11. ^ "Korxona tarmoqlariga qarshi hujumsiz hujumlar". Xavfsiz ro'yxat. Xavfsiz ro'yxat. Olingan 20 fevral 2017.
  12. ^ "mimikatz". GitHub wiki.
  13. ^ "Korxona tarmoqlariga qarshi hujumsiz hujumlar". Xavfsiz ro'yxat. Xavfsiz ro'yxat. Olingan 20 fevral 2017.
  14. ^ "Trojan.Poweliks". www.symantec.com. Symantec.
  15. ^ "TROJ_PHASE.A - Tahdid Entsiklopediyasi". www.trendmicro.com.
  16. ^ www.cibereason.com/ ufqda rivojlanayotgan tahdid[o'lik havola ]
  17. ^ Keysi, Eoghan (2010). Raqamli dalillar va kompyuter jinoyati: sud ekspertizasi, kompyuterlar va Internet (3-nashr). London: akademik. p. 189. ISBN  0123742684.
  18. ^ "ACPO: kompyuterga asoslangan elektron dalillar uchun yaxshi qo'llanma" (PDF). Kronlar prokuraturasi xizmati. Politsiya bosh ofitserlari assotsiatsiyasi. Olingan 20 fevral 2017.
  19. ^ "POWELIKS yangi avtostart mexanizmi bilan yuqorilaydi". Trend Micro. Trend Micro. Olingan 20 fevral 2017.
  20. ^ "Sudga qarshi zararli dastur kiber-mahoratdagi bo'shliqni kengaytirmoqda". InfoSecurity jurnali. InfoSecurity jurnali. Olingan 20 fevral 2017.
  21. ^ "Iz qoldirmasdan: yovvoyi tabiatda aniqlangan zararsiz dastur". Trend Micro. Trend Micro. Olingan 20 fevral 2017.