가장 멋진 종류의 맬웨어

일부 악성 코드 공격은 너무나 뻔뻔하여 자신이 희생되었다는 사실을 놓칠 수 없습니다. 랜섬웨어 프로그램은 잠금을 해제하기 위해 지불 할 때까지 컴퓨터에 대한 모든 액세스를 차단합니다. 소셜 미디어 하이재커는 소셜 미디어 페이지에 기괴한 상태 업데이트를 게시하여 중독 된 링크를 클릭하는 사람을 감염시킵니다. 애드웨어 프로그램은 브라우저가 열려 있지 않아도 팝업 광고로 데스크탑을 비 웁니다. 예, 모두 성가신 일이지만 문제가 있음을 알고 있으므로 바이러스 백신 솔루션을 찾는 데 도움이 될 수 있습니다.

완전히 보이지 않는 맬웨어 감염은 훨씬 더 위험 할 수 있습니다. 안티 바이러스가이를 "보지"않고 의도하지 않은 행동을 발견하지 못하면 악성 코드는 온라인 뱅킹 활동을 추적하거나 사소한 목적으로 컴퓨팅 능력을 자유롭게 사용할 수 있습니다. 그들은 어떻게 보이지 않습니까? 다음은 멀웨어가 숨길 수있는 네 가지 방법과 보이지 않는 것을 보는 몇 가지 아이디어입니다.

운영 체제 Subversion

우리는 Windows 탐색기가 모든 사진, 문서 및 기타 파일을 나열 할 수 있지만 당연히 많은 일이 일어나고 있습니다. 소프트웨어 드라이버는 실제 하드 드라이브와 통신하여 비트 및 바이트를 가져오고 파일 시스템은 해당 비트 및 바이트를 운영 체제의 파일 및 폴더로 해석합니다. 프로그램이 파일 또는 폴더 목록을 가져와야하는 경우 운영 체제를 쿼리합니다. 실제로 모든 프로그램은 파일 시스템을 직접 쿼리하거나 하드웨어와 직접 통신 할 수 있지만 OS를 호출하는 것이 훨씬 쉽습니다.

루트킷 기술을 사용하면 악성 프로그램이 운영 체제에 대한 호출을 가로 채서 효과적으로 보이지 않게 할 수 있습니다. 프로그램이 특정 위치에있는 파일 목록을 요청하면 루트킷은 해당 요청을 Windows로 전달한 다음 목록을 반환하기 전에 자체 파일에 대한 모든 참조를 삭제합니다. 어떤 파일이 있는지에 대한 정보를 Windows에 엄격하게 의존하는 바이러스 백신은 루트킷을 볼 수 없습니다. 일부 루트킷은 유사한 속임수를 적용하여 레지스트리 설정을 숨 깁니다.

파일없는 멀웨어

일반적인 바이러스 백신은 디스크의 모든 파일을 검사하여 악성 파일이 없는지 확인하고 각 파일을 검사 한 후 실행합니다. 그러나 파일이 없으면 어떻게됩니까? 10 년 전 슬래머 웜은 전 세계 네트워크에 혼란을 야기했습니다. 임의의 코드를 실행하기 위해 버퍼 오버런 공격을 사용하여 메모리에 직접 전파되었으며 파일을 디스크에 쓰지 않았습니다.

최근 카스퍼 스키 연구원은 러시아 뉴스 사이트 방문자를 공격하는 파일이없는 Java 감염을보고했습니다. 배너 광고를 통해 전파 된 익스플로잇은 코드를 필수 Java 프로세스에 직접 삽입했습니다. 사용자 계정 컨트롤을 끄는 데 성공하면 명령 및 제어 서버에 연락하여 다음에 수행 할 작업에 대한 지침을 찾으십시오. 그것을 통풍 덕트를 통해 기어 들어가고 나머지 승무원의 보안 시스템을 끄는 은행 강도의 동료라고 생각하십시오. 카스퍼 스키에 따르면이 시점에서 가장 일반적인 조치는 Lurk Trojan을 설치하는 것입니다.

컴퓨터를 다시 시작하면 메모리가 엄격하게 맬웨어를 제거 할 수 있습니다. 그것은 부분적으로 그들이 하루에 어떻게 Slammer를 되 찾을 수 있었는지에 대한 것입니다. 그러나 문제가 있다는 것을 모른다면 다시 부팅해야한다는 것을 알 수 없습니다.

리턴 지향 프로그래밍

Microsoft의 BlueHat Prize 보안 연구 경연 대회에서 최종 3 명 모두는 ROP (Return Oriented Programming)를 다루었습니다. ROP를 사용하는 공격은 실행 코드가 아닌 실행 코드를 설치하지 않기 때문에 교활합니다. 오히려 다른 프로그램, 심지어 운영 체제의 일부 내에서 원하는 지침을 찾습니다.

특히 ROP 공격은 유용한 기능을 수행하고 RET (반환) 명령으로 끝나는 코드 블록 (전문가에 의해 "가제트"라고 함)을 찾습니다. CPU가 해당 명령에 도달하면 호출 프로세스 (이 경우 ROP 악성 코드)에 제어권을 돌려줍니다.이 악성 코드는 아마도 다른 프로그램에서 다음으로 잘린 코드 블록을 시작합니다. 가제트 주소의 큰 목록은 데이터 일 뿐이므로 ROP 기반 맬웨어를 탐지하기가 어렵습니다.

프랑켄슈타인의 악성 코드

작년 유스 텍 WOOT (공격 기술 워크샵) 회의에서 달라스에있는 텍사스 대학교 (University of Texas)의 한 쌍의 연구원은 Return Oriented Programming과 비슷한 아이디어를 발표했습니다. "Frankenstein: Benign Binaries의 Stitching Malware"라는 제목의 논문에서 그들은 알려진 프로그램과 신뢰할 수있는 프로그램의 코드를 함께 분류하여 탐지하기 어려운 맬웨어를 만드는 기술을 설명했습니다.

이 논문은 "양성 분류 바이너리에 공통적 인 바이트 시퀀스로 완전히 새로운 바이너리를 구성함으로써 결과적인 돌연변이는 바이너리 기능의 화이트리스트와 블랙리스트를 모두 포함하는 서명과 일치 할 가능성이 적다"고 설명했다. 이 기술은 ROP보다 훨씬 융통성이 있습니다. 중요한 RET 명령어로 끝나는 청크뿐만 아니라 모든 코드 청크를 통합 할 수 있기 때문입니다.

보이지 않는 것을 보는 방법

좋은 점은이 부적절한 악성 프로그램을 탐지하는 데 도움을받을 수 있다는 것입니다. 예를 들어 바이러스 백신 프로그램은 여러 가지 방법으로 루트킷을 탐지 할 수 있습니다. 느리지 만 간단한 방법 중 하나는 Windows에서보고 한대로 디스크의 모든 파일을 감사하고 파일 시스템을 직접 쿼리하여 불일치를 찾아 다른 감사를 수행하는 것입니다. 루트킷은 특히 Windows를 파괴하기 때문에 Windows OS 이외의 시스템으로 부팅되는 바이러스 백신은 속지 않습니다.

메모리 만 있고 파일이없는 위협은 바이러스 백신 보호 기능을 통해 활성 프로세스를 추적하거나 공격 경로를 차단합니다. 보안 소프트웨어가 해당 위협을 처리하는 감염된 웹 사이트에 대한 액세스를 차단하거나 해당 주입 기술을 차단할 수 있습니다.

프랑켄슈타인 기술은 엄격하게 서명 기반 바이러스 백신을 속일 수 있지만 최신 보안 도구는 서명 이상의 기능을 수행합니다. 패치 워크 맬웨어가 실제로 악의적 인 작업을 수행하는 경우 동작 기반 스캐너가이를 찾습니다. 또한 이전에는 볼 수 없었던 시만텍의 Norton File Insight와 같은 시스템에서 유행을 고려하여 위험한 예외로 표시합니다.

Return Oriented Programming 공격을 완화하는 것은 어려운 일이지만 많은 문제를 해결하는 데 많은 노력을 기울였습니다. 경제력 - 마이크로 소프트는이 문제를 연구하는 최고 연구원들에게 50 만 달러를 수여했습니다. 또한 특정 유효한 프로그램의 존재에 크게 의존하기 때문에 광범위한 맬웨어 캠페인이 아닌 특정 대상에 대해 ROP 공격이 더 많이 사용됩니다. 가정용 컴퓨터는 아마 안전 할 것입니다. 사무실 PC 만큼은 아닙니다.