Cyberbezpieczeństwo : Przynęta

To poluje na chciwość lub ciekawość określonego celu. Jest to jedna z najprostszych technik socjotechnicznych, ponieważ obejmuje jedynie zewnętrzne urządzenie pamięci masowej (1). Atakujący pozostawi zainfekowane złośliwym oprogramowaniem zewnętrzne urządzenie pamięci masowej w miejscu, w którym inne osoby mogą je łatwo znaleźć. Może być w łazience organizacji, w windzie, w recepcji, na chodniku, a nawet na parkingu. Chciwi lub ciekawscy użytkownicy w organizacji odzyskają obiekt i pospiesznie podłączą go do swoich komputerów. Atakujący są zwykle przebiegli i pozostawiają na dysku flash pliki, które ofiara będzie kuszona do otwarcia. Na przykład plik z etykietą „podsumowanie wynagrodzeń i nadchodzących awansów” prawdopodobnie przyciągnie uwagę wielu osób. Jeśli to nie zadziała, atakujący może powielić projekt korporacyjnych pendrive’ów, a następnie rozrzucić kilka w organizacji, gdzie mogą zostać przechwycone przez niektórych pracowników. W końcu zostaną podłączone do komputera, a pliki zostaną otwarte. Atakujący umieścili złośliwe oprogramowanie, aby zainfekować komputery, do których podłączony jest dysk flash. Komputery skonfigurowane do automatycznego uruchamiania urządzeń po podłączeniu są bardziej zagrożone, ponieważ do zainicjowania procesu infekcji złośliwym oprogramowaniem nie są wymagane żadne działania użytkownika. W poważniejszych przypadkach atakujący mogą zainstalować w pamięci przenośnej wirusy typu rootkit, które infekują komputery podczas uruchamiania, a następnie podłączany jest do nich zainfekowany dodatkowy nośnik pamięci. Zapewni to atakującym wyższy poziom dostępu do komputera i możliwość poruszania się niepostrzeżenie. Przynęta ma wysoki wskaźnik sukcesu, ponieważ ludzką naturą jest chciwość lub ciekawość oraz otwieranie i czytanie plików, które przekraczają ich poziom dostępu. Właśnie dlatego osoby atakujące zdecydują się oznaczyć nośniki pamięci lub pliki kuszącymi tytułami, takimi jak „poufne” lub „wykonawcze”, ponieważ pracownicy wewnętrzni są zawsze zainteresowani takimi rzeczami.

Specyficzne wykrywanie

Każde złośliwe oprogramowanie wykorzystuje inny kod do wykonywania swoich funkcji. Sekwencja kodu charakterystyczna dla każdego złośliwego oprogramowania jest określana jako odcisk palca lub sygnatura tego złośliwego oprogramowania. Aby wykryć obecność złośliwego oprogramowania, skaner szuka sygnatury, usuwa jego kod z pliku lub systemu hosta i próbuje przywrócić zainfekowany program lub system do stanu niezainfekowanego. We wczesnych wirusach odkryto, że sygnatury znajdowały się zwykle w określonych obszarach programu, specyficznych dla każdego wirusa. Skanery postanowiły sprawdzać tylko te obszary pliku, a nie skanować cały program od góry do dołu. Zaoszczędziło to ogromne ilości czasu i mocy obliczeniowej. Ponieważ złośliwe oprogramowanie jest często statyczne, a nie pasożytnicze, badacze AV muszą teraz być bardziej kreatywni, aby szybko identyfikować znane złe pliki. Ponieważ jednak autorzy złośliwego oprogramowania uzbroili swoje pliki, aby utrudnić badaczom ich analizę, może to również sprawić, że złośliwy plik będzie wyglądał zupełnie inaczej niż prawidłowy dokument lub aplikacja. W związku z tym badacze mogą określić te różnice i szybko wykluczyć łagodne pliki. Każdy produkt AV każdego dostawcy ma inną implementację skanera i bazy danych, chociaż najczęściej stosowana jest technika skanowania sygnatur. Skanowanie sygnatur może określić, czy program zawiera jedną z wielu sygnatur zawartych w bazie danych, ale nie może stwierdzić z całą pewnością, czy na system faktycznie wpłynęło złośliwe oprogramowanie (np. złośliwe oprogramowanie może być obecne, ale jeszcze niewykonane). Użytkownicy mogą ufać tylko domysłom skanera AV, ponieważ szanse są na korzyść skanera. Możliwe jest jednak, że program podejrzany o zainfekowanie faktycznie zawiera losowe dane, które tylko przypadkowo wyglądają jak wirus sygnaturowy. Prawidłowy program może zawierać instrukcje, które przez przypadek pasują do ciągu wyszukiwania w bazie danych wirusów. Jeśli jednak istnieje możliwość, że kod faktycznie pochodzi z wirusa, skaner zgłasza to jako pozytywne trafienie. Fałszywie pozytywne raporty są możliwym problemem skanerów podpisów. Jeśli użytkownicy zauważą, że ich skaner zbyt często fałszywie zgłasza obecność wirusów, postrzegają to jako irytację i prawdopodobnie będą próbować wyłączyć oprogramowanie lub znaleźć sposoby na obejście skanowania.

Cyberbezpieczeństwo : Otwór na wodę

Jest to atak socjotechniczny, który wykorzystuje zaufanie, jakim użytkownicy obdarzają regularnie odwiedzane witryny, takie jak interaktywne fora dyskusyjne i giełdy. Użytkownicy tych witryn częściej zachowują się w wyjątkowo nieostrożny sposób. Nawet najbardziej uważne osoby, które unikają klikania linków w wiadomościach e-mail, nie zawahają się kliknąć w linki podane na tego typu stronach internetowych. Te strony internetowe są określane jako wodopoje, ponieważ hakerzy chwytają tam swoje ofiary, tak jak drapieżniki czekają, aby złapać swoją ofiarę w wodopoju. Tutaj hakerzy wykorzystują wszelkie luki w zabezpieczeniach witryny, atakują je, przejmują kontrolę, a następnie wstrzykują kod, który infekuje odwiedzających złośliwym oprogramowaniem lub prowadzi kliknięcia do złośliwych stron. Ze względu na charakter planowania wykonywanego przez atakujących, którzy wybierają tę metodę, ataki te są zwykle dostosowane do określonego celu i konkretnych urządzeń, systemów operacyjnych lub aplikacji, z których korzystają. Jest używany przeciwko niektórym z najbardziej zaznajomionych z IT ludzi, takich jak administratorzy systemu. Przykładem wodopoju jest wykorzystywanie luk w witrynie takiej jak StackOverflow.com, która jest często odwiedzana przez personel IT. Jeśli witryna jest podsłuchiwana, haker może wprowadzić złośliwe oprogramowanie na komputery odwiedzających ją pracowników IT.

METODOLOGIE SKANOWANIA

Produkty AV mogą być konfigurowane przez użytkownika lub administratora systemu w celu skanowania przy starcie, w trybie ciągłym lub na żądanie. Aby być najbardziej efektywnym, skaner powinien być ustawiony na skanowanie ciągłe lub „podczas dostępu”, z okresowym, zaplanowanym skanowaniem, które ma być wykonywane, gdy system jest włączony, ale nie jest używany. Użytkownicy korzystający z mniej zoptymalizowanych programów antywirusowych mogą stwierdzić, że obniża to wydajność systemu. Niektóre skanery muszą wykorzystywać dużą część pamięci systemu podczas ciągłego skanowania, aby móc testować sekcje kodu, co może znacznie spowolnić działanie aplikacji przy pierwszym uruchomieniu. Dlatego trzeba znaleźć szczęśliwy środek – skaner AV musi być w stanie chronić system, a użytkownik musi mieć możliwość pełnego korzystania z systemu. Nie ma jednej metody skanowania, która jest lepsza od innych. Wszystkie metody skanowania mają swoje zalety i wady, ale żadna nie jest w stanie wykryć złośliwego oprogramowania z niezawodną dokładnością. Ascan szuka kodu i zachowań, które zostały zauważone w innym złośliwym oprogramowaniu, a jeśli nowe złośliwe oprogramowanie wykazuje nowe, nieznane wcześniej zachowania, może przejść niezauważony. Dlatego większość skanerów antywirusowych nie opiera się tylko na jednej metodzie skanowania w celu wykrycia złośliwego oprogramowania, ale ma kilka wbudowanych w swój projekt.

Cyberbezpieczeństwo : Spear phishing

Jest to również związane z normalnym atakiem phishingowym, ale nie powoduje on losowego wysyłania dużej liczby wiadomości e-mail. Spear phishing jest specjalnie ukierunkowany na uzyskanie informacji od określonych użytkowników końcowych w organizacji. Spear phishing jest bardziej wyczerpujący, ponieważ wymaga od atakujących sprawdzenia celów w tle w celu zidentyfikowania ofiary, którą mogą ścigać. Atakujący następnie starannie stworzą wiadomość e-mail, która zaadresuje coś interesującego do celu, zmuszając go do otwarcia. Statystycznie normalny phishing ma 3% wskaźnik sukcesu, podczas gdy spear phishing ma 70% wskaźnik sukcesu. Mówi się również, że tylko 5% osób, które otwierają wiadomości phishingowe, klikają łącza lub pobierają załączniki, podczas gdy prawie połowa wszystkich osób, które otwierają wiadomości phishingowe, klika ich łącza i pobiera załączniki.

Dobrym przykładem ataku typu spear phishing może być taki, w którym atakujący biorą na cel członka personelu działu HR. To pracownicy, którzy poszukując nowych talentów muszą być w stałym kontakcie ze światem. Spear phisher może stworzyć wiadomość e-mail oskarżającą wydział o korupcję lub nepotyzm, zawierającą łącze do strony internetowej, na której narzekają niezadowoleni i fikcyjni pracownicy. Pracownicy HR niekoniecznie mają dużą wiedzę na temat zagadnień związanych z IT, dlatego mogą łatwo kliknąć takie linki i w rezultacie zostać zainfekowani. Z jednej infekcji złośliwe oprogramowanie może łatwo rozprzestrzeniać się wewnątrz organizacji, przedostając się na serwer HR, który posiada prawie każda organizacja.

Silniki antywirusowe i antywirusowe bazy danych

Silnik AV i jego baza danych sygnatur współpracują ze sobą, aby zapobiegać i wykrywać złośliwe oprogramowanie próbujące dostać się do systemu. Silnik ogólnie zapewnia bibliotekę powszechnie używanych funkcji. Składa się z kilkudziesięciu skomplikowanych algorytmów wyszukiwania, emulatorów procesora oraz różnych form logiki programistycznej. Silnik określa, które pliki należy przeskanować, jakie funkcje uruchomić i jak zareagować w przypadku wykrycia podejrzanego złośliwego oprogramowania. Jednak silnik nie wie absolutnie nic o samym złośliwym oprogramowaniu i jest prawie bezużyteczny bez bazy sygnatur. Baza sygnatur zawiera odciski palców (fragmenty charakterystycznego kodu) setek milionów wariantów złośliwego oprogramowania. Ponieważ nowe złośliwe oprogramowanie i jego warianty pojawiają się w coraz szybszym tempie, konieczne jest częste aktualizowanie bazy sygnatur. W 1995 roku eksperci zalecili aktualizowanie plików bazy danych przynajmniej raz w miesiącu, ale przy tak dużej liczbie wirusów pojawiających się każdego dnia, użytkownikom zaleca się aktualizowanie co najmniej raz dziennie, a najlepiej, aby umożliwić ciągłe aktualizacje kontrolowane przez ich produkt AV. Producenci AV oferują teraz produkty, które automatycznie sprawdzają dostępność aktualizacji i pobierają zmiany za każdym razem, gdy użytkownik jest podłączony do Internetu. Niektórzy dostawcy udostępniają również bazy danych sygnatur oparte na chmurze, dzięki czemu komputery połączone z Internetem mogą sprawdzać, czy są one częściej aktualizowane w zestawie sygnatur, które są hostowane na własnych zdalnych systemach dostawców. Baza sygnatur zawiera również zestawy reguł używane w skanowaniu heurystycznym. Tego typu skanowanie może być wolniejsze i bardziej inwazyjne niż proste skanowanie podpisów, a ich konstrukcja i implementacja różnią się znacznie w zależności od produktu. Większość produktów daje teraz użytkownikom konfigurowalne opcje zmniejszania lub zwiększania heurystyki zgodnie z potrzebami. Chociaż skanowanie sygnatur można uznać za samo w sobie heurystyczne, termin ten jest częściej używany do identyfikowania bardziej złożonych funkcji antywirusowych, które próbują zlokalizować wirusy poprzez identyfikację podejrzanego zachowania i/lub struktury plików. Ponieważ dla wielu administratorów systemu rozróżnienie między aparatem skanowania a bazą danych sygnatur nie jest oczywiste, wielu z nabożeństwem aktualizuje bazę danych, ale nie zdaje sobie sprawy, że silnik również może wymagać aktualizacji. Jest to kiepska strategia, która może spowodować niewykrycie wielu wirusów przez skaner.

Cyberbezpieczeństwo : Wyłudzanie informacji przez telefon (vishing)

Jest to wyjątkowy rodzaj phishingu, w którym osoba atakująca wykorzystuje połączenia telefoniczne zamiast e-maili. Jest to zaawansowany poziom ataku phishingowego, w którym atakujący używa nielegalnego interaktywnego systemu odpowiedzi głosowych, który brzmi dokładnie tak, jak te używane przez banki, usługodawców i tak dalej. Atak ten jest najczęściej używany jako rozszerzenie phishingu e-mailowego, aby cel ujawnił tajne informacje. Zwykle dostępny jest bezpłatny numer, który po wywołaniu prowadzi cel do nieuczciwego interaktywnego systemu odpowiedzi głosowych. Cel zostanie poproszony przez system o podanie pewnych informacji weryfikacyjnych. To normalne, że system odrzuca dane wprowadzone przez cel, aby zapewnić ujawnienie kilku kodów PIN. To wystarczy, aby atakujący kontynuował i kradł pieniądze od celu, czy to osoby, czy organizacji. W skrajnych przypadkach cel zostanie przekazany do fałszywego agenta obsługi klienta, który pomoże w przypadku nieudanych prób logowania. Fałszywy agent będzie nadal kwestionował cel, zdobywając jeszcze bardziej wrażliwe informacje.

Wnętrze skanera

Jak wspomniano wcześniej, skaner AV nie może po prostu umieścić każdego programu w pamięci RAM komputera i przetestować go pod kątem złośliwego oprogramowania, zanim program zostanie uruchomiony. Aby to zrobić, wymagałoby to prawie wszystkich zasobów procesora, a użytkownicy mieliby system, który działałby w ślimaczym tempie. Aby skanery AV działały wydajnie, musiały dołożyć wszelkich starań, aby poprawić swoją szybkość w celu wykrycia ogromnej liczby istniejącego złośliwego oprogramowania bez zatrzymywania całego systemu. Stosowanie wyrafinowanych metod eliminacji w celu wykluczenia podpisów, których cechy nie odpowiadają cechom skanowanego pliku, pomaga utrzymać rozsądne prędkości. W nowoczesnym produkcie AV istnieje pięć podstawowych typów wykrywania. Większość ludzi zna wykrywanie oparte na sygnaturach, które jest również znane jako wykrywanie specyficzne, ale nie jest to już jedyna stosowana technika. Produkty AV mogą wykorzystywać niektóre lub wszystkie z tych pięciu podstawowych metod działania:

  1. Specyficzne wykrywanie. Szukasz znanego złośliwego oprogramowania
  2. Wykrywanie ogólne. Wyszukiwanie infekcji przez warianty znanego złośliwego oprogramowania
  3. Heurystyki. Skanowanie w poszukiwaniu nieznanych wcześniej wirusów poprzez wykrywanie podejrzanych zachowań lub struktur plików, jak opisano bardziej szczegółowo w sekcji 41.3.3
  4. Zapobieganie włamaniom. Monitorowanie znanych podejrzanych zmian i zachowań systemu w celu zapobiegania podejrzeniu złośliwego oprogramowania
  5. Reputacja. Wykrywanie złośliwego oprogramowania na podstawie reputacji pliku lub witryny na podstawie wielu czynników, w tym liczby pobrań pliku lub witryny, raportów klientów lub wieku witryny

Cyberbezpieczeństwo : Wyłudzanie informacji

Jest to jedna z najstarszych sztuczek stosowanych przez hakerów na przestrzeni lat, ale jej wskaźnik sukcesu jest wciąż zaskakująco wysoki. Phishing to głównie technika wykorzystywana do uzyskania poufnych informacji o firmie lub konkretnej osobie w nieuczciwy sposób. Normalne wykonanie tego ataku polega na wysyłaniu przez hakera wiadomości e-mail do celu, podszywając się pod legalną organizację zewnętrzną, żądającą informacji w celu weryfikacji. Atakujący zwykle pociąga za sobą straszne konsekwencje braku dostarczenia żądanych informacji. Załączony jest również link prowadzący do złośliwej lub fałszywej witryny internetowej, a użytkownikom zaleca się korzystanie z niego w celu uzyskania dostępu do określonej legalnej witryny. Osoby atakujące stworzą replikę witryny internetowej wraz z logo i zwykłą zawartością, a także formularz do wypełnienia poufnymi informacjami. Chodzi o to, aby uchwycić szczegóły celu, które umożliwią napastnikowi popełnienie większego przestępstwa. Ukierunkowane informacje obejmują dane logowania, numery ubezpieczenia społecznego i dane bankowe. Atakujący nadal wykorzystują tę technikę do przechwytywania poufnych informacji od użytkowników określonej firmy, aby mogli wykorzystać je do uzyskania dostępu do jej sieci i systemów w przyszłych atakach. Niektóre straszne ataki zostały przeprowadzone poprzez phishing. Jakiś czas temu hakerzy wysyłali e-maile phishingowe, twierdząc, że pochodzą z określonego sądu i nakazując odbiorcom stawienie się przed sądem w określonym terminie. Wiadomość e-mail zawierała łącze, które umożliwiało odbiorcom wyświetlenie dodatkowych informacji na temat zawiadomienia sądowego. Jednak po kliknięciu odsyłacza odbiorcy instalowali na swoich komputerach złośliwe oprogramowanie, które było wykorzystywane do innych złośliwych celów, takich jak rejestrowanie kluczy i zbieranie przechowywanych danych logowania w przeglądarkach. Innym znanym atakiem phishingowym był zwrot pieniędzy przez IRS. Cyberprzestępcy wykorzystali kwiecień, kiedy wiele osób z niepokojem czekało na możliwe zwroty pieniędzy z IRS i wysyłało e-maile, które twierdziły, że pochodzą z IRS, dołączając oprogramowanie ransomware za pośrednictwem pliku Word. Gdy odbiorcy otworzyli dokument Word, ransomware zaszyfrowało pliki użytkownika na dysku twardym i dowolnym podłączonym zewnętrznym urządzeniu pamięci masowej. Bardziej wyrafinowany atak phishingowy został użyty przeciwko wielu celom za pośrednictwem słynnej firmy zajmującej się pośrednictwem pracy o nazwie CareerBuilder. Tutaj hakerzy udawali normalnych kandydatów do pracy, ale zamiast załączać CV, przesyłali złośliwe pliki. Firma CareerBuilder przesłała następnie te CV do wielu firm, które zatrudniały. Był to ostateczny hack, w wyniku którego złośliwe oprogramowanie zostało przeniesione do wielu organizacji. Istnieje również wiele wydziałów policji, które padły ofiarą oprogramowania ransomware. W New Hampshire policjant kliknął na e-mail, który wydawał się prawdziwy, a komputer, którego używał, został zainfekowany oprogramowaniem ransomware. Zdarzyło się to wielu innym departamentom policji na całym świecie, co pokazuje, jaką siłę ma nadal phishing.

Ważność skanerów

Producenci skanerów programowych pod koniec lat 80. i na początku lat 90. napotkali szereg przeszkód. Wyglądało na to, że co miesiąc pojawia się nowy dostawca AV, a rynek stał się bardzo konkurencyjny w miarę wzrostu świadomości użytkowników na temat problemu z wirusami. Biorąc pod uwagę ten konkurencyjny stan, wśród społeczności AV pojawiła się ogromna różnica zdań co do tego, jak należy przechowywać i testować wirusy do badań. Wielu producentów AV utrzymywało bibliotekę wirusów na własny użytek i fakt ten został wykorzystany w ich marketingu. Twierdzenia, że ​​jeden program działał lepiej niż inny, ponieważ sprawdzał więcej wirusów, były mylące, ponieważ nikt nie wiedział, ile istnieje wirusów. Po prostu nie było metody komercyjnych lub niezależnych testów sprawdzających słuszność twierdzeń producentów produktów AV. Dodatkowo wystąpił problem z nazwaniem wirusów. Każdy sprzedawca tworzył własne nazwy wirusów i często zdarzało się, że jeden wirus był znany pod kilkoma nazwami. Sprzedawcy AV nie byli również zgodni co do zasady działania skanerów AV. Niektórzy dostawcy uważali, że skanery antywirusowe powinny szukać tylko nowych wirusów, a inni uważali, że dobry produkt powinien wyszukiwać zarówno stare, jak i nowe wirusy. Podczas gdy ten argument szalał, wyglądało na to, że wirusy w końcu zyskają przewagę, zwłaszcza, że ​​twórcy wirusów zaczęli używać podziemnych tablic ogłoszeniowych, a później Internetu, do udostępniania i rozpowszechniania kodu wirusa. Bez żadnych standardów dla produktów AV, opinia publiczna miała niewiele do wyboru poza tekstem marketingowym dostawców i poradami innych użytkowników. Jeśli jednak znajomy zarekomendował program antywirusowy marki X, ponieważ w systemie znajomego nie znaleziono żadnych wirusów, możliwe było, że w systemie znajomego nie zostały wprowadzone żadne wirusy, a marka X nie mogła znaleźć starych wirusów, nowe wirusy lub w ogóle jakiekolwiek wirusy. Wydarzyły się dwie rzeczy, które zrewolucjonizowały rynek skanerów AV. W 1993 roku JoeWells, redaktor naukowy magazynu biznesowego, zaczął zbierać wirusy i raporty o wirusach od ekspertów z całego świata oraz tworzyć bibliotekę tych wirusów. Nazwał tę bibliotekę wirusów WildList i udostępnił ją legalnym badaczom AV. Jego lista podzieliła wirusy na te, o których wiadomo, że zainfekowały systemy (na wolności) i te, które zostały napisane, ale nie infekowały aktywnie (w zoo). Zaczęła również pojawiać się konwencja nazewnictwa wirusów w celu utrzymania wydajnej i przeszukiwalnej bazy danych. Innym ważnym wydarzeniem było opracowanie komercyjnych testów i certyfikacji AV przez firmę znaną jako National Computer Security Association (NCSA), która obecnie znana jest jako ICSA Labs. NCSA powołało konsorcjum producentów AV, którzy za opłatą przedstawili swoje produkty do testów. NCSA i Joe Wells rozpoczęli współpracę w celu wykorzystania jego WildList, a dr Richard Ford, znany ekspert ds. wirusów, stworzył laboratorium testowania wirusów dla NCSA. Dr Ford stworzył środowisko, w którym skanery antywirusowe zostały poddane próbie, aby sprawdzić, czy mogą wykryć wszystkie wirusy z WildList. Sprzedawcy AV zgłaszali swoje produkty za każdym razem, gdy miała zostać wydana nowa wersja ich produktu. Chociaż oryginalne wyniki testów były ponure (wiele skanerów nie potrafiło wykryć więcej niż 80 procent wirusów z listy), stworzono środowisko, w którym można było osiągnąć wymierną poprawę skuteczności technologii AV. Oczywiście opinia publiczna i prasa zaczęły szukać produktów AV, które zostały certyfikowane przez NCSA. Ostatecznie inne komercyjne i niezależne laboratoria badawcze niezależnie opracowały własne programy certyfikacji i testowania, aby pomóc użytkownikom znaleźć niezawodne produkty AV. Wkrótce inne organizacje testujące dołączyły do ​​walki, a produkty AV stały się bardziej złożone. Było jasne, że istnieje potrzeba opracowania standardów testowania, aby pomóc użytkownikom odróżnić skuteczne, bezstronne testy od tych, które nie demonstrowały wyraźnie możliwości produktów AV. Grupa badaczy AV, naukowców, testerów i innych zainteresowanych stron utworzyła organizację, która ma opracować takie standardy, zwaną Anti-Malware Testing Standards Organization (AMTSO). Grupa ta opublikowała szereg artykułów, w których przedstawiono rozważania na temat tego, jak stworzyć lub odróżnić dobry test od nieadekwatnego. Artykuły te mają pomóc zarówno testerom, jak i osobom czytającym testy.