Малвер

Из Википедије, слободне енциклопедије

Злонамерни софтвер, злоћудни софтвер, штетни софтвер или малвер (енгл. malware) је појам који означава софтвер који ради штету кориснику (појам је настао од речи malicious и software што у дословном преводу значи „злоћудни“ или „злонамерни“ софтвер). Дефиниција према организацији НИСТ (Национални институт за стандарде и технологију) гласи: ”појам малвер се односи на програм који је, најчешће тајно, убачен у систем са намером компромитовања поверљивости, интегритета или доступности жртвиних података, апликација или оперативног система, или на неки други начин покушава ометати жртву”. [1]

Сврха и подела[уреди]

Многи првобити злонамерни програми, укључујући и први интернет црв, били су писани као експерименти или да би се нашалили. Данас, малвер се користи од стране лоших хакера познатих под називом енгл. black hat hackers и од стране влада држава, да би крали личне, финасијске или пословне иформације. [2][3]

Малвер се некада користи против влада држава или сајтова корпорација како би прикупили поверљиве податке,[4] или да би пореметили њихов рад. Међутим, малвер се често користи против појединаца да би добили информације као што су ЈМБГ, или детаљи о њима, број рачуна у банци или бројеви кредитних картица и шифре. Велика вероватноћа да остављени незаштићени лични или мрежни рачунари бити нападнути.

Како се све више интернет приступачнији, злонамерни софтвер се свише дизајнира да би могли да профитирају. Од 2003., већина распострањених вируса и црва дизајнирани су да заузму контролу корисниковог рачунара ради илегалних циљева.[5] Заражени "зомби рачунари" користе се да би слали спам поруке, да би кријумчарили податке као што су дечија порнографија[6] или да их користе у ДДос нападу (енгл. distributed denial-of-service attacks) као облик уцењивања.[7]

Програми који су дизајнирани да прате шта корисник гледа на итернету, приказује непожељне рекламе или редиректрује на друге веб странице зове се рачунарски шпијун. Рачунарски шпијун се не шири као вирус, уместо тога они се генерално инсталирају преко рупа у безбедносном систему рачунара. Такође могу да се спакују са потпуно невезаним софтвером који корисник инсталира.[8]

Постоји софтвер који напада ваш рачунар и нанесе неку штету и за утврат тражи од вас да платите одређену суму новца да би вам повратили податке. На пример, такав програм је енгл. CryptoLocker, он енкриптује ваше фајлове и декриптује их само ако уплатите одређену суму новца.

Малвер се обично користи у криминалте сврхе, али може да се користи и за саботажу, често без директне користи за починиоце. Један пример саботаже је био Стукнет (енгл. Stuxnet), који је коришћен да уништи одређену индустријску опрему. Десили су се политички мотивисани напади који су се ширили и гасили велике рачунарске мреже, укључујући масивно брисање фајлова, описани су као "рачунарско убијање". Такви напади су се дешавали енгл. Sony Pictures Entertainment-у (25 Новембра 2014, користећи малвер познат као Шамон (енгл. Shamoon) или енгл. W32.Disktrack) и Сауди Армако (енгл. Saudi Armaco (Август 2012).[9][10]

У ову категорију спада било који софтвер који ремети нормалан рад рачунарског система или рачунарске мреже. Класична подела оваквог софтвера је извршена на следеће подкатегорије:

Прикривање: Вируси, тројанци, руткитови, бекдорови и избегавање[уреди]

Ове категорије се међусобно не искључују, тако да малвер може да користи више техника.[11] Овај одељак се односи само на малвер који је дизајниар да ради скривено, не да би саботирао.

Вируси[уреди]

Главни чланак: Рачунарски вирус

Компјутерски програм обично сакривен у неком другом наизглед безазленом програму који прави копије себе и убацује их у друге програме или фајлове и који обично ради малициозне ствари (нпр. брише податке).[12]

Тројанац[уреди]

Тројански коњ или тројанац је било који малициозни рачунарски програм који погрешно представља себе као користан, интересантан у циљу да убеди жртву да га инсталира. Термин потиче из Античке Грчке из приче о дрвеном коњу који су користили Грци да би се ушуњали у град Троју и напали га.[13][14][15][16][17]

Тројанци се углавном шире помоћу неког облика Друштвеног хаковања, на пример где корисник преварен да отвори прилог у немој електронској пошти који је дизајниран да буде несумљив. Иако њихови програми могу да буду било шта, много модерни раде као бекдор, контактирају контролер који онда може да има неовлашћен приступ зараженом рачунару.[18] Док тројанце и бакдорове није лако открити, рачунари могу деловати да раде спорије, због великог заузећа процесора и мреже.

За разлику од рачунарских вируса и рачунарских црва, Тројанци генерално не покушавају себе да убаце у друге фајлове или да се на друге начине размножавају.[19]

Руткит[уреди]

Главни чланак: Руткит

Када је малициозан програм инсталиран на систему, од кључног је значаја да остане прикривен, да избева откривање. Софтвер пакети познати као руткит дозвољавају ово прикривање, мењајући корисников оперативни систем тако да малвер остане скривен од корисника. Руткит може да спречи малициозни процес да буде видљив у системској листи процеса, или да спречи да се његови фајлови читају.[20]

Неки малициозни програми садрже рутине за одбрану од њиховог брисања, не само да се сакрију. Један од привих примера овог понашања је забележено у Жаргон фајлу (енгл. Jargon File) прича о пару програма који су напали Зерон ПЦ-В (енгл. Xerox CP-V]) временски дељени систем:

Сваки дух-посао би детектовао чињеницу да је други убијен, и направио би нову копију недавно угашеног програма у року од пар милисекунди. Једини начин да се убију оба духа је тај да се убију истовремено (што је веома тешко) или да намерно срушите систем.[21]

Бекдор[уреди]

Главни чланак: Бекдор

Бекдор је метод заобилажења нормалне аутентификацијске процедуре, обично преко рачунарске мреже као што је Интернет. Једном када је систем компромитован, може се више бекдорова инсталирати како би се омогућио приступ у будућности,[22] невидљиво за корисника.

Идеја су предложили компјутерским произвођачима да инсталирају бекдорове на њиховим система како би обезбедили техничку подршку за клијенте, али ово никада није било потврђено. Пријављено је у 2004. да Америчке владине агенције су преусмеравале куповину рачунара од стране потенцијалних "мета" у скривену радионицу где би уградили софтверски или хардверски даљински приступ, како би добили приступ мрежама широм света.[23] Бекдорови могу да се инсталирају преко Тројанаца, црва или неких других метода.[24][25]

Избегавање[уреди]

Почетком 2015. , велики део малвера користи комбинацију много техника дизајнираних за избегавање откривања и анализе.[26]

  • Најчешћа техника избегавања је када малвер избегне анализу и детекцију уз помоћ фингерпринтинга окружења када се изврши.[27]
  • Друга најчешћа техника избегавања је метода детекције зубивањем аутоматизованих алата. Ово дозвољава да се избегне откривање са технологијама као што су мењане потписа на бази антивируса, мењањем сервера који малвер користи.[28]
  • Трећа најчешћа техника извегавања је времнски засновано избегавање. Ово је када малвер ради у одређним периодима или пратећи одређене акције које корисник ради, тако да се изврши у одређеним периодима рањивости, нпр. приликом бут процеса, док је у преосталом времену успаван.
  • Четрта најчешћа техника избегавања је метода где се интерни подаци замуте, тако да аутоматизовани алати не открију малвер.[29]
  • Све чешча техника је адвер који користи украдене сертификате да искључи анти-малвер и вирусну протекцију; технички средства су на располагању за уништавање адвера.[30]

У данањше време, један он најсофистицираних и скривених начина за избегавање је коришћење технике прикривања информација, односно СтегоМалвер (енгл. Stegomalware)

Историја вируса и црва[уреди]

Пре него што је интернета постао широко распострањен, вируси су се ширили на личним рачунарима, преко флопу дискова. Ради рачунарски вируси су писани за Епл II (енгл. Apple II) и за Макинтош (енгл. Macintosh), али постали су широко распострањени са појавом IBM личног рачунара (енгл. IBM PC) и МС-ДОС (енгл. MS-DOS) система.

Први црви, нису се развили на личним рачунарима, већ на вишерограмском Јуникс (енгл. Unix) систему. Први познат црв био је Морис црв (енгл. Morris worm) из 1988., који заразио СунОС (енгл. SunOS) и ВАКС (енгл. VAX), BSD (енгл. BSD) системе. За разлику од вируса, овај црв се није уметао у програме. Уместо тога, он је користио рупе у заштитном систему у мрежним серверима и покренуо сам себе као засебан процес.[31] Ово исто понашање користе и данашњи црви.

Са развојем Мајкрософт виндоуса (енгл. Microsoft Windows) платформе 90-тих година, и флексибилних макроа својих апликација, постало је могуће да се малициозни кодови пишу у макро језику Мајкрософт ворда (енгл. Microsoft Word) и њему сличних програма. Ови макро вируси би заразили документа и шаблоне уместо апликација, али се ослањају на чињеницу да макрои у Ворд (енгл. Word) документу су врста извршног кода.

Данас се црви најчешће пишу за Мајкрософт виндоус оперативне системе, иако неколико црва како што су Маре-Д (енгл. Mare-D)[32] и Л10н (енгл. L10n)[33] су писани за Линукс (енгл. Linux) и Јуникс (енгл. Unix) системе. Данашњи црви раде на истом принципу као Интернет Црв из 1988.: скенирају рачунарску мрежу и користе рањиве рачунаре да се множе. Зато што им није потребна никаква људска интервенција, црви се могу ширити невероватном брзином. SQL Сламмер (енгл. SQL Slammer) заразио је хиљаде рачунара у року он неколико минута у 2003.[34]

Референце[уреди]

  1. Вируси, Малвер, Рачунарски шпијун, Тројанци
  2. „Malware”. FEDERAL TRADE COMMISSION- CONSUMER INFORMATION. Приступљено 29. 4. 2016. 
  3. Hernandez, Pedro. „Microsoft Vows to Combat Government Cyber-Spying”. eWeek. Приступљено 29. 4. 2016. 
  4. Kovacs, Eduard. „MiniDuke Malware Used Against European Government Organizations”. Softpedia. Приступљено 29. 4. 2016. 
  5. „Malware Revolution: A Change in Target”. 2007. 
  6. „Child Porn: Malware's Ultimate Evil”. 2009. 
  7. PC World – Zombie PCs: Silent, Growing Threat.
  8. „Peer To Peer Information”. NORTH CAROLINA STATE UNIVERSITY. Приступљено 29. 4. 2016. 
  9. „Shamoon is latest malware to target energy sector”. Приступљено 29. 4. 2016. 
  10. „Computer-killing malware used in Sony attack a wake-up call”. Приступљено 29. 4. 2016. 
  11. All about Malware and Information Privacy
  12. „What are viruses, worms, and Trojan horses?”. Indiana University. The Trustees of Indiana University. Приступљено 29. 4. 2016. 
  13. Landwehr, C. E; A. R Bull; J. P McDermott; W. S Choi (1993). A taxonomy of computer program security flaws, with examples. DTIC Document. Приступљено 29. 4. 2016. 
  14. „Trojan Horse Definition”. Приступљено 29. 4. 2016. 
  15. „Trojan horse”. Webopedia. Приступљено 29. 4. 2016. 
  16. „What is Trojan horse? – Definition from Whatis.com”. Приступљено 29. 4. 2016. 
  17. „Trojan Horse: [coined By MIT-hacker-turned-NSA-spook Dan Edwards] N.”. Приступљено 29. 4. 2016. 
  18. „What is the difference between viruses, worms, and Trojans?”. Symantec Corporation. Приступљено 29. 4. 2016. 
  19. „VIRUS-L/comp.virus Frequently Asked Questions (FAQ) v2.00 (Question B3: What is a Trojan Horse?)”. 9. 10. 1995. Приступљено 29. 4. 2016. 
  20. McDowell, Mindi. „Understanding Hidden Threats: Rootkits and Botnets”. US-CERT. Приступљено 29. 4. 2016. 
  21. „Catb.org”. Catb.org. Приступљено 29. 4. 2016. 
  22. Vincentas (11. 7. 2013). „Malware in SpyWareLoop.com”. Spyware Loop. Приступљено 29. 4. 2016. 
  23. Staff, SPIEGEL. „Inside TAO: Documents Reveal Top NSA Hacking Unit”. SPIEGEL. Приступљено 29. 4. 2016. 
  24. Edwards, John. „Top Zombie, Trojan Horse and Bot Threats”. IT Security. Приступљено 29. 4. 2016. 
  25. Appelbaum, Jacob. „Shopping for Spy Gear:Catalog Advertises NSA Toolbox”. SPIEGEL. Приступљено 29. 4. 2016. 
  26. Evasive malware
  27. Kirat, Dhilung; Vigna, Giovanni; Kruegel, Christopher (2014). Barecloud: bare-metal analysis-based evasive malware detection. ACM. стр. 287—301. ISBN 978-1-931971-15-7. 
  28. The Four Most Common Evasive Techniques Used by Malware. April 27, 2015.
  29. Young, Adam; Yung, Moti (1997). „Deniable Password Snatching: On the Possibility of Evasive Electronic Espionage”. Symp. on Security and Privacy. IEEE. стр. 224—235. ISBN 0-8186-7828-3. 
  30. Casey, Henry T. (25. 11. 2015). „Latest adware disables antivirus software”. Tom's Guide. Yahoo.com. Приступљено 29. 4. 2016. 
  31. William A Hendric (4. 9. 2014). „Computer Virus history”. The Register. Приступљено 29. 4. 2016. 
  32. Farrell, Nick (20. 2. 2006). „Linux worm targets PHP flaw”. The Register. Приступљено 29. 4. 2016. 
  33. Leyden, John (28. 3. 2001). „Highly destructive Linux worm mutating”. The Register. Приступљено 29. 4. 2016. 
  34. „Aggressive net bug makes history”. BBC News. 3. 2. 2003. Приступљено 29. 4. 2016. 

Спољашње везе[уреди]