…in the name of… Security

W przeciwieństwie do zewnętrznych ataków rozpoznawczych, rozpoznanie wewnętrzne odbywa się na miejscu. Oznacza to, że ataki są przeprowadzane w obrębie sieci, systemów i lokali organizacji. W większości proces ten jest wspomagany przez narzędzia programowe. Atakujący wchodzi w interakcję z rzeczywistymi systemami docelowymi w celu uzyskania informacji o jego lukach. Na tym polega główna różnica między technikami rozpoznania wewnętrznego i zewnętrznego. Rozpoznanie zewnętrzne odbywa się bez interakcji z systemem, ale poprzez znajdowanie punktów wejścia za pośrednictwem ludzi pracujących w organizacji. Dlatego większość zewnętrznych prób rozpoznania polega na tym, że hakerzy próbują dotrzeć do użytkowników za pośrednictwem mediów społecznościowych, e-maili i połączeń telefonicznych. Rozpoznanie wewnętrzne jest nadal atakiem pasywnym, ponieważ celem jest znalezienie informacji, które można wykorzystać w przyszłości do jeszcze poważniejszych ataków. Głównym celem wewnętrznego rozpoznania jest wewnętrzna sieć organizacji, w której hakerzy z pewnością znajdą serwery danych i adresy IP hostów, które mogą zainfekować. Wiadomo, że dane w sieci może odczytać każdy w tej samej sieci z odpowiednimi narzędziami i zestawem umiejętności. Atakujący wykorzystują sieci do wykrywania i analizowania potencjalnych celów ataku w przyszłości. Rozpoznanie wewnętrzne służy do określenia istniejących mechanizmów bezpieczeństwa, które zapobiegają próbom włamania. Istnieje wiele narzędzi bezpieczeństwa cybernetycznego, które zostały stworzone w celu ograniczenia oprogramowania wykorzystywanego do przeprowadzania ataków rozpoznawczych. Jednak większość organizacji nigdy nie instaluje wystarczającej liczby narzędzi zabezpieczających, a hakerzy wciąż znajdują sposoby na włamanie się do już zainstalowanych. Istnieje wiele narzędzi, które hakerzy przetestowali i które okazały się skuteczne w badaniu sieci ich celów. Większość z nich można zaliczyć do narzędzi do wąchania.

Ponieważ coraz bardziej złożone złośliwe oprogramowanie pojawia się w coraz bardziej zadziwiającym tempie, programy skanujące wyłącznie w poszukiwaniu sygnatur stają się mniej skuteczne w wykrywaniu wirusów. Autorzy wirusów stosują techniki szyfrowania lub zaciemniania lub udostępniają dużą liczbę pojedynczych wariantów w nadziei, że skaner antywirusowy nie znajdzie ich. Dzisiejsze systemy operacyjne i legalne programy rozrosły się do milionów linijek kodu, więc znalezienie sygnatury wirusa może być zasobem intensywnym. Ponieważ złośliwe oprogramowanie może kraść cenne dane lub uszkadzać systemy, nie jest dobrą strategią pozwalanie im na uruchomienie, a następnie podejmowanie prób posprzątania bałaganu. Lepszą strategią jest próba znalezienia złośliwego oprogramowania, zanim zdąży ono wpłynąć na system i zapobiec wyrządzeniu mu szkód. Stosowanie cyklicznej kontroli nadmiarowej (CRC) lub sum kontrolnych zostało pierwotnie dodane do niektórych produktów zabezpieczających, w tym pakietów AV, aby pomóc w wykrywaniu i zapobieganiu infekcjom wirusowym. Ta metoda śledzi nieautoryzowane zmiany w plikach i systemie, na przykład w przypadku wniknięcia złośliwego oprogramowania lub hakera do systemu i jego zmiany. Aby śledzić te zmiany, odcisk palca każdego programu wykonywalnego i pliku danych jest obliczany i przechowywany w bazie danych podczas pierwszej instalacji produktu AV. Te odciski palców są dość małe, zwykle składają się z mniej niż 100 bajtów informacji – jest to „suma” lub suma kontrolna. Ponieważ złośliwe oprogramowanie musi dodawać lub zmieniać pliki w systemie, aby na niego wpływać, sumy kontrolne odcisków palców są porównywane z każdą nowszą wersją. Jeśli sumy kontrolne są różne, skaner AV uruchamia inne procedury w celu dalszego zbadania. W przypadku systemów zapobiegania włamaniom skanowanie oparte na zachowaniu jest wykonywane na każdy nowy plik po uruchomieniu. W przypadku zaobserwowania pewnych podejrzanych zachowań, użytkownik może zostać zapytany, czy należy zezwolić na kontynuację tego zachowania. Jeśli zostanie zaobserwowana sekwencja zachowań, która jest wystarczająco złośliwa, program może zostać całkowicie zatrzymany. Stwierdzono, że technika ta jest niezwykle skuteczna w zapobieganiu uruchamianiu nowego, nieznanego złośliwego oprogramowania, chociaż ma te same trudności, co przy skanowaniu heurystycznym. Ponownie, jako część pełnego arsenału bezpieczeństwa, może być cennym narzędziem.

Jest to najmniej powszechny atak socjotechniczny i nie jest tak zaawansowany technicznie, jak te, które omawialiśmy wcześniej. Jednak ma znaczący wskaźnik sukcesu. Atakujący wykorzystują tę metodę, aby uzyskać dostęp do zastrzeżonych pomieszczeń lub części budynków. Większość pomieszczeń organizacyjnych ma elektroniczną kontrolę dostępu, a użytkownicy zwykle wymagają wpuszczenia kart biometrycznych lub RFID. Atakujący przejdzie za pracownikiem, który ma legalny dostęp, i wejdzie za nim. Czasami atakujący może poprosić pracownika o pożyczenie karty RFID lub może uzyskać dostęp, używając fałszywej karty pod pozorem problemów z dostępnością.

Dodając heurystykę do swoich skanerów AV, dostawcy starali się zwiększyć efektywność swoich produktów. Skanery mogą teraz wyszukiwać złośliwe oprogramowanie, które jest nowe i nieznane i nie znajduje się w bazie danych sygnatur. Słowo heurystyka pochodzi od greckiego słowa oznaczającego „odkrywać”. Termin ten jest obecnie używany w informatyce do opisywania algorytmów, które są skuteczne w szybkim rozwiązywaniu złożonych pytań. Algorytm heurystyczny przyjmuje pewne założenia dotyczące problemu, który próbuje rozwiązać. W przypadku skanera antywirusowego analizuje on strukturę programu, jego atrybuty i zachowanie, aby sprawdzić, czy spełniają one reguły ustanowione w celu identyfikacji złośliwego oprogramowania, nawet bez znanej jego sygnatury. Zasadniczo algorytm heurystyczny działa przy założeniu, że jeśli „wygląda jak kaczka, chodzi jak kaczka i brzmi jak kaczka, to musi to być kaczka”.

 Wadą skanowania heurystycznego jest to, że robi inteligentne założenia, ale mimo to popełnia błędy. Innym problemem związanym ze skanowaniem heurystycznym jest to, że w wolniejszych systemach jego uruchomienie może trwać dłużej i może wymagać interakcji użytkownika. Niektórzy użytkownicy uważają to za uciążliwe i mogą wyłączyć tę funkcję. Łącząc w swoich produktach zarówno skanowanie sygnatur, jak i skanowanie heurystyczne, dostawcy AV zwiększyli swoją skuteczność i szybkość. Skanery heurystyczne wykorzystują system oparty na regułach do weryfikacji istnienia złośliwego oprogramowania. Stosuje wszystkie zasady do danego programu i daje programowi ogólną ocenę. Jeśli wynik jest wysoki, istnieje duże prawdopodobieństwo, że jest złośliwy. Ogólnie rzecz biorąc, skaner najpierw wyszukuje cechy pliku, które są bardziej typowe dla złośliwych plików. Dobrze zaprojektowany skaner heurystyczny ograniczy badane regiony programu w celu przeskanowania jak największej liczby podejrzanych w możliwie najkrótszym czasie. Skaner następnie analizuje logikę podejrzanego programu, aby określić, czy może on próbować wykonać znane, prawdopodobnie złośliwe działania. Ten typ skanowania jest uważany za skanowanie statyczne. Metoda statyczna stosuje reguły i nadaje programowi ocenę zaliczoną/niezaliczoną – niezależnie od tego, czy program faktycznie wykonał się, czy nie. Drugi rodzaj skanowania heurystycznego to metoda dynamiczna. Ta metoda zasadniczo stosuje te same zasady, co metoda statyczna, a jeśli wynik jest wysoki, próbuje emulować program. Zamiast badać logikę podejrzanego kodu, dynamiczny skaner uruchamia symulację wirusa w środowisku wirtualnym. Ta technika jest znana jako emulacja piaskownicy i jest skuteczna w przypadku próby zidentyfikowania nowego złośliwego oprogramowania, które nie pojawia się w bazie danych sygnatur. Żadna z tych heurystycznych metod skanowania nie jest koniecznie lepsza od drugiej, ale razem dają całkiem dobre wyniki. Chociaż statyczne skanowanie heurystyczne może przeoczyć niektóre złośliwe oprogramowanie, ponieważ nie zostały one jeszcze uruchomione, dynamiczne skanowanie heurystyczne może wyłapać nieznane wcześniej złośliwe oprogramowanie, zanim zostanie ono uruchomione w systemie. Między wykrywaniem heurystycznym a generycznym coraz częściej co najmniej jeden dostawca AV identyfikuje każde nowe złośliwe oprogramowanie zaraz po jego wydaniu.

Jest to powszechny atak socjotechniczny, często przeprowadzany przez napastników niskiego poziomu. Ci napastnicy nie mają do dyspozycji żadnych zaawansowanych narzędzi i nie prowadzą badań dotyczących celów. Ci napastnicy będą nadal dzwonić pod losowe numery, twierdząc, że pochodzą z pomocy technicznej i zaoferują jakąś pomoc. Raz na jakiś czas znajdują ludzi z uzasadnionymi problemami technicznymi, a następnie „pomagają” im je rozwiązać. Prowadzą ich przez niezbędne kroki, które następnie dają atakującym dostęp do komputerów ofiar lub możliwość uruchomienia złośliwego oprogramowania. Jest to żmudna metoda, która ma bardzo niski wskaźnik sukcesu.

Jak wspomniano wcześniej, złośliwe oprogramowanie jest obecnie często tworzone w celach finansowych, a uzyskanie jak największej ilości szkodliwego oprogramowania ma dla jego autorów sens podatkowy wykorzystać w miarę możliwości z udanych kreacji. Często tworzą kod o otwartym kodzie źródłowym, który jest powszechnie udostępniany w społeczności twórców szkodliwego oprogramowania, dzięki czemu jest często aktualizowany o nowe funkcje, takie jak możliwość kradzieży kodów exploitów lub haseł, w celu ukierunkowania na nowe gry, aplikacje lub witryny bankowości internetowej. Podobnie, sensowne jest, aby skanery antywirusowe szukały wspólnych właściwości popularnych rodzin złośliwego oprogramowania lub znanych złośliwych zachowań w celu proaktywnego wykrywania wariantów na podstawie tych baz kodu. Te ogólne detekcje mogą mieć różny charakter, od bardziej heurystycznego charakteru do dość szczegółowego. Na przykład może obejmować ochronę tak szeroką, jak wykrywanie przepełnienia bufora, aby zapobiec niektórym typom exploitów, do określonych domowych programów pakujących używanych tylko przez jedną rodzinę złośliwego oprogramowania. Wykrywanie generyczne wywołało wiele kontrowersji we wczesnych dniach produktów AV. Kiedy większość wirusów rozprzestrzenia się poprzez pasożytnicze infekowanie czystych plików, pojawiła się obawa, że ​​ogólne wykrycie będzie wymagało ogólnego czyszczenia, co może spowodować, że pliki hosta będą zniekształcone i niemożliwe do naprawienia lub użyteczności. Ponieważ zdecydowana większość złośliwego oprogramowania infekuje teraz systemy, a nie pliki hostów, proste usuwanie złośliwych plików i czyszczenie wpisów w rejestrze może usunąć złośliwe oprogramowanie. Ale ponieważ złośliwe oprogramowanie jest również często oparte na komponentach, usunięcie jednym zagrożeniem może być tylko wierzchołek góry lodowej. Mogą istnieć inne komponenty, które nie zostały jeszcze wykryte, dlatego najlepiej jest dokładnie zbadać każdy system, w którym wykryto złośliwe oprogramowanie. W związku z tym coraz więcej administratorów systemów przyjęło zasadę po prostu ponownego tworzenia obrazów systemów, których dotyczy problem, zamiast polegać na procedurach usuwania produktów AV.

To poluje na chciwość lub ciekawość określonego celu. Jest to jedna z najprostszych technik socjotechnicznych, ponieważ obejmuje jedynie zewnętrzne urządzenie pamięci masowej (1). Atakujący pozostawi zainfekowane złośliwym oprogramowaniem zewnętrzne urządzenie pamięci masowej w miejscu, w którym inne osoby mogą je łatwo znaleźć. Może być w łazience organizacji, w windzie, w recepcji, na chodniku, a nawet na parkingu. Chciwi lub ciekawscy użytkownicy w organizacji odzyskają obiekt i pospiesznie podłączą go do swoich komputerów. Atakujący są zwykle przebiegli i pozostawiają na dysku flash pliki, które ofiara będzie kuszona do otwarcia. Na przykład plik z etykietą „podsumowanie wynagrodzeń i nadchodzących awansów” prawdopodobnie przyciągnie uwagę wielu osób. Jeśli to nie zadziała, atakujący może powielić projekt korporacyjnych pendrive’ów, a następnie rozrzucić kilka w organizacji, gdzie mogą zostać przechwycone przez niektórych pracowników. W końcu zostaną podłączone do komputera, a pliki zostaną otwarte. Atakujący umieścili złośliwe oprogramowanie, aby zainfekować komputery, do których podłączony jest dysk flash. Komputery skonfigurowane do automatycznego uruchamiania urządzeń po podłączeniu są bardziej zagrożone, ponieważ do zainicjowania procesu infekcji złośliwym oprogramowaniem nie są wymagane żadne działania użytkownika. W poważniejszych przypadkach atakujący mogą zainstalować w pamięci przenośnej wirusy typu rootkit, które infekują komputery podczas uruchamiania, a następnie podłączany jest do nich zainfekowany dodatkowy nośnik pamięci. Zapewni to atakującym wyższy poziom dostępu do komputera i możliwość poruszania się niepostrzeżenie. Przynęta ma wysoki wskaźnik sukcesu, ponieważ ludzką naturą jest chciwość lub ciekawość oraz otwieranie i czytanie plików, które przekraczają ich poziom dostępu. Właśnie dlatego osoby atakujące zdecydują się oznaczyć nośniki pamięci lub pliki kuszącymi tytułami, takimi jak „poufne” lub „wykonawcze”, ponieważ pracownicy wewnętrzni są zawsze zainteresowani takimi rzeczami.

Każde złośliwe oprogramowanie wykorzystuje inny kod do wykonywania swoich funkcji. Sekwencja kodu charakterystyczna dla każdego złośliwego oprogramowania jest określana jako odcisk palca lub sygnatura tego złośliwego oprogramowania. Aby wykryć obecność złośliwego oprogramowania, skaner szuka sygnatury, usuwa jego kod z pliku lub systemu hosta i próbuje przywrócić zainfekowany program lub system do stanu niezainfekowanego. We wczesnych wirusach odkryto, że sygnatury znajdowały się zwykle w określonych obszarach programu, specyficznych dla każdego wirusa. Skanery postanowiły sprawdzać tylko te obszary pliku, a nie skanować cały program od góry do dołu. Zaoszczędziło to ogromne ilości czasu i mocy obliczeniowej. Ponieważ złośliwe oprogramowanie jest często statyczne, a nie pasożytnicze, badacze AV muszą teraz być bardziej kreatywni, aby szybko identyfikować znane złe pliki. Ponieważ jednak autorzy złośliwego oprogramowania uzbroili swoje pliki, aby utrudnić badaczom ich analizę, może to również sprawić, że złośliwy plik będzie wyglądał zupełnie inaczej niż prawidłowy dokument lub aplikacja. W związku z tym badacze mogą określić te różnice i szybko wykluczyć łagodne pliki. Każdy produkt AV każdego dostawcy ma inną implementację skanera i bazy danych, chociaż najczęściej stosowana jest technika skanowania sygnatur. Skanowanie sygnatur może określić, czy program zawiera jedną z wielu sygnatur zawartych w bazie danych, ale nie może stwierdzić z całą pewnością, czy na system faktycznie wpłynęło złośliwe oprogramowanie (np. złośliwe oprogramowanie może być obecne, ale jeszcze niewykonane). Użytkownicy mogą ufać tylko domysłom skanera AV, ponieważ szanse są na korzyść skanera. Możliwe jest jednak, że program podejrzany o zainfekowanie faktycznie zawiera losowe dane, które tylko przypadkowo wyglądają jak wirus sygnaturowy. Prawidłowy program może zawierać instrukcje, które przez przypadek pasują do ciągu wyszukiwania w bazie danych wirusów. Jeśli jednak istnieje możliwość, że kod faktycznie pochodzi z wirusa, skaner zgłasza to jako pozytywne trafienie. Fałszywie pozytywne raporty są możliwym problemem skanerów podpisów. Jeśli użytkownicy zauważą, że ich skaner zbyt często fałszywie zgłasza obecność wirusów, postrzegają to jako irytację i prawdopodobnie będą próbować wyłączyć oprogramowanie lub znaleźć sposoby na obejście skanowania.

Jest to atak socjotechniczny, który wykorzystuje zaufanie, jakim użytkownicy obdarzają regularnie odwiedzane witryny, takie jak interaktywne fora dyskusyjne i giełdy. Użytkownicy tych witryn częściej zachowują się w wyjątkowo nieostrożny sposób. Nawet najbardziej uważne osoby, które unikają klikania linków w wiadomościach e-mail, nie zawahają się kliknąć w linki podane na tego typu stronach internetowych. Te strony internetowe są określane jako wodopoje, ponieważ hakerzy chwytają tam swoje ofiary, tak jak drapieżniki czekają, aby złapać swoją ofiarę w wodopoju. Tutaj hakerzy wykorzystują wszelkie luki w zabezpieczeniach witryny, atakują je, przejmują kontrolę, a następnie wstrzykują kod, który infekuje odwiedzających złośliwym oprogramowaniem lub prowadzi kliknięcia do złośliwych stron. Ze względu na charakter planowania wykonywanego przez atakujących, którzy wybierają tę metodę, ataki te są zwykle dostosowane do określonego celu i konkretnych urządzeń, systemów operacyjnych lub aplikacji, z których korzystają. Jest używany przeciwko niektórym z najbardziej zaznajomionych z IT ludzi, takich jak administratorzy systemu. Przykładem wodopoju jest wykorzystywanie luk w witrynie takiej jak StackOverflow.com, która jest często odwiedzana przez personel IT. Jeśli witryna jest podsłuchiwana, haker może wprowadzić złośliwe oprogramowanie na komputery odwiedzających ją pracowników IT.

Produkty AV mogą być konfigurowane przez użytkownika lub administratora systemu w celu skanowania przy starcie, w trybie ciągłym lub na żądanie. Aby być najbardziej efektywnym, skaner powinien być ustawiony na skanowanie ciągłe lub „podczas dostępu”, z okresowym, zaplanowanym skanowaniem, które ma być wykonywane, gdy system jest włączony, ale nie jest używany. Użytkownicy korzystający z mniej zoptymalizowanych programów antywirusowych mogą stwierdzić, że obniża to wydajność systemu. Niektóre skanery muszą wykorzystywać dużą część pamięci systemu podczas ciągłego skanowania, aby móc testować sekcje kodu, co może znacznie spowolnić działanie aplikacji przy pierwszym uruchomieniu. Dlatego trzeba znaleźć szczęśliwy środek – skaner AV musi być w stanie chronić system, a użytkownik musi mieć możliwość pełnego korzystania z systemu. Nie ma jednej metody skanowania, która jest lepsza od innych. Wszystkie metody skanowania mają swoje zalety i wady, ale żadna nie jest w stanie wykryć złośliwego oprogramowania z niezawodną dokładnością. Ascan szuka kodu i zachowań, które zostały zauważone w innym złośliwym oprogramowaniu, a jeśli nowe złośliwe oprogramowanie wykazuje nowe, nieznane wcześniej zachowania, może przejść niezauważony. Dlatego większość skanerów antywirusowych nie opiera się tylko na jednej metodzie skanowania w celu wykrycia złośliwego oprogramowania, ale ma kilka wbudowanych w swój projekt.