Upoznajte 12 najčešćih vrsta malvera
Malver je širok pojam koji obuhvata različite vrste malicioznih programa. Delimo ih u nekoliko kategorija u zavisnosti od štete koju prouzrokuju.
Malver je maliciozni softver koji pravi promene u sistemu bez znanja korisnika. Koristi istu tehnologiju kao i regularan softver, ali se upotrebljava u maliciozne svrhe. Recimo, softver TrueCrypt koristi tehnike i algoritme za enkripciju fajlova kako bi zaštitio privatnost podataka, a ransomware koristi istu tehnologiju kako bi zaključao fajlove i ucenjivao korisnike. Ili HTTP protokol koji browseri koriste za surfovanje internetom, dok ga malver koristi za slanje ukradenih podataka C&C serveru.
Malveri se mogu podeliti u različite kategorije u zavisnosti od štete koju prouzrokuju. Neki malveri mogu izazvati štetu ne samo na jedan, nego na više načina.
U ovom tekstu govorićemo o 12 vrsta malvera. Neke je lako definisati i objasniti, neki zahtevaju detaljniju analizu, a neki mogu da izgledaju kao kombinacija 2 ili više malvera sa liste.
1. Backdoor
Backdoor otvara port (prolaz) na uređaju žrtve kako bi haker kasnije mogao da se uloguje i da bez znanja korisnika obavi željene operacije. Backdoor malver može da kreira sopstveni proces ili da ubaci maliciozni kod koji otvara prolaz u legitimnom izvršavanju koda u sistemu. Backdoor aktivnost je obično deo drugog malvera. Većina RAT alata ima backdoor modul koji otvara prolaz za hakere na uređaju žrtve.
2. Downloader
Downloader je deo malicioznog softvera koji downloaduje neki drugi malver. Sadrži URL sa kojeg se preuzima drugi malver. Neki od popularnih downloader malvera su Bedep (koji downloaduje CryptoLocker) i Upatre.
3. Virus ili malver koji inficira fajlove
Malver koji inficira fajlove svoj kod skladišti na regularnom softveru. On menja exe fajl na disku tako da se kod malvera izvršava pre ili posle izvršenja regularnog koda. U IT bezbednosnoj industriji malver koji inficira fajlove najčešće nazivamo virusom.
Kada je u pitanju Windows OS, virus može da uradi sledeće:
- Da doda maliciozni kod na kraj regularnog exe fajla.
- Da promeni entry point (mesto gde kontrola prelazi sa OS-a na računarski program) fajla kako bi se izvršio maliciozni kod koji se nalazi na kraju. Kada se dva puta klikne na exe fajl, prvo se izvršava maliciozni kod.
- Maliciozni kod može da zadrži adresu regularnog koda koji je ranije bio entry point. Nakon završetka maliciozne aktivnosti, kontrola se sa malicioznog koda prebacuje na regularni kod.
Virus može da zarazi fajl na više načina. Može da ubaci svoj kod na različitim mestima u malicioznom kodu. Neki od poznatih virusa su Virut, Sality, XPAJ i Xpiro.
4. Crv
Crv se širi u sistemu preko različitih mehanizama, odnosno na nekoliko načina:
- Na druge računare u mreži, crv se širi tako što koristi brute force napad da dođe do default korisničkih imena i lozinki koji se koriste za foldere koje korisnici dele u mreži ili preko brute force napada dolazi do kredencijala na drugim uređajima.
- Eksploatisanjem ranjivosti u mrežnim protokolima.
- Preko USB-a. Kada se pokrene autorun crv, on traži povezani USB (eksternu memoriju). Zatim se crv kopira na USB i dodaje autorun.inf fajl. Kada se zaraženi USB poveže sa drugim uređajem, pokreće se autorun.inf koji zatim pokreće kopiranog crva. Kopirani exe fajl crva se dalje može kopirati na različitim lokacijama na novom uređaju.
5. Botnet
Botnet je malver koji se bazira na klijent-server modelu. Uređaj žrtve koji je zaražen malverom se naziva bot. Haker kontroliše bot preko C&C servera. C&C server daje komande botovima. Ukoliko je zaražen veliki broj uređaja, to se može iskoristiti za DDoS napad, odnosno za preusmeravanje velike količine saobraćaja na određeni server. Ukoliko server nije dovoljno zaštićen i ukoliko ne može da obradi veliku količinu saobraćaja, dolazi do njegovog pada. Bot može da koristi internet protokole ili kastomizovane protokole za komunikaciju sa C&C serverom.
U najpoznatije DDoS napade spadaju Mirai botnet napad, a jedan od najvećih botneta je IoT_reaper botnet, kao i ZeroAccess i GameOver.
6. Keylogger i kradljivac lozinki
Keylogger ima sposobnost da beleži sve što otkucate na tastaturi, a taj sadržaj čuva u log fajlu koji je najčešće kriptovan i koji se kasnije šalje hakeru.
Kradljivac lozinki je slična pojava. On može da ukrade korisnička imena i lozinke sa sledećih lokacija:
- Iz browsera koji čuva lozinke za društvene mreže, sajtove sa filmovima, muzikom, imejl klijente i gejming sajtove.
- Iz FTP klijenata poput FileZille ili SmartFTP-a koje pojedinci i kompanije koriste za čuvanje podataka u FTP serverima.
- Iz imejl klijenata kao što su Thunderbird i Outlook.
- Iz database klijenata koje koriste inženjeri i učenici.
- Iz aplikacija za e-banking.
- Iz password menadžera koje ljudi koriste kako ne bi morali da pamte veliki broj kredencijala.
Hakeri mogu ove ukradene kredencijale da iskoriste za krađu drugih podataka ili za pristup ličnim informacijama korisnika ili za hakovanje vojnih i drugih postrojenja. Takođe, mogu da ciljaju rukovodioce kompanija kako bi došli do vrednih informacija. Poznati kradljivci lozinki su Zeus i Citadel.
7. Bankarski malver
Bankarski malver je finansijski malver. Često sadrži i keylogger opciju, kao i mogućnost krađe lozinki iz browsera. Većina ovih malvera koristi Man-in-the-middle napad pomoću kog presreću komunikaciju između žrtve i sajta banke. Bankarski malver koristi dva MiTM mehanizma: hvatanje paketa i ubacivanje paketa.
Kod hvatanja paketa, malver u browseru presreće podatke i šalje ih na C&C server, a istovremeno može da ih pošalje i na sajt banke.
Ubacivanje paketa funkcioniše na sledeći način:
- Malver može da izmeni API u browseru kako bi presreo web stranice koje posećuje žrtva.
- Originalna web stranica je forma u kojoj žrtva treba da ubaci različite informacije, kao što je iznos novca koji se prebacuje, kredencijali itd. Malver modifikuje dodatna polja u presretnutoj web stranici i dodaje još polja, kao što su CVV broj, PIN i OTP koji se koriste za dodatnu autentifikaciju. Dodatna polja se ubacuju pomoću HTML forme. Ova forma se razlikuje u zavisnosti od banke. Malver sadrži konfiguracioni fajl koji mu daje instrukcije koju formu ubaciti na web stranicu koje banke.
- Posle modifikovanja web stranice, malver šalje podatke u browser žrtve tako da žrtva sada vidi stranicu sa dodatnim poljima koje je modifikovao malver.
- Sada je malver u stanju da ukrade dodatne informacije koje su mu potrebne za autentifikaciju.
Poznati bankarski malveri su Tibna, Shifu, Carberp, Zeus, IcedID, Dridex, Terdot, Silence, Emotet, Trickbot itd.
8. POS malver
U pitanju su malveri koji napadaju POS terminale. POS terminali sadrže softver koji čita i obrađuje informacije sa platnih kartica. Kada se u POS terminal ubaci malver, može da ukrade informacije sa platnih kartica. Neki od poznatih POS malvera su BlackPOS, Dexter, JackPOS i BackOff.
9. Hacktool
Alati za hakovanje se često koriste za povraćaj lozinki iz browsera, OS-a ili drugih aplikacija. Funkcionišu tako što koriste brute force napad ili tako što identifikuju šablone. Stari alati za hakovanje su Cain and Abel, John the Ripper i Rainbow Crack. Jedan od najnovijih alata je Mimikatz koji je korišćen za dekodiranje i krađu kredencijala žrtava u ransomware napadima kao što su Wannacry i NotPetya.
10. RAT
RAT (Remote Access Tool) se koristi za daljinski pristup računaru. Može da se koristi za legitimne i maliciozne svrhe. Sistem administratori ih koriste da reše probleme korisnicima tako što daljinski pristupaju njihovim računarima. Napadači ih koriste u različite (maliciozne) svrhe:
- Da preko keyloggera beleže sadržaj otkucan na tastaturi.
- Za krađu kredencijala i lozinki sa uređaja žrtve.
- Za brisanje svih podataka sa računara žrtve.
- Za pravljenje backdoora kako bi kasnije pristupili računaru žrtve.
Poznati RAT alati su Gh0st Rat, Poison Ivy, Back Orifice, Prorat i NjRat.
11. Ransomware
O ransomwareu smo mnogo puta pisali. U pitanju je vrsta malvera koja preuzima kontrolu nad uređajem ili fajlovima žrtve, a zatim traži otkupninu za njih.
Za jedan od najvećih ransomware napada „zaslužan“ je WannaCry ransomware gde je došlo do više od 45.000 napada širom sveta u kratkom vremenskom periodu.
U 2017. godini najjaktivnije ransomware pretnje su bile WannaCry i Petya.
Na sledećem linku možete pogledati uputstvo za prevenciju ransomware napada.
12. Exploit i Exploit kits
Softvere pišu ljudi i zbog toga se javljaju propusti. Hakeri koriste te propuste da kompromituju sistem. Propusti koje hakeri eksploatišu nazivamo ranjivostima. Ranjivosti se pojavljuju iz različitih razloga, ali najčešće zbog nesavršenosti u programiranju. Ukoliko programer tokom programiranja nije uzeo u obzir određeni scenario, može da se pojavi ranjivost. Program koji eksploatriše ranjivosti se naziva exploit.
Exploit Kit (EK) je automatizovana pretnja koja preko kompromitovanih sajtova preusmerava saobraćaj, skenira ranjive aplikacije u browseru i ubacuje malver u sistem žrtve. Exploit Kit predstavlja sredstvo za automatsko i tajno eksploatisanje ranjivosti na računaru žrtve dok žrtva surfuje internetom. Zbog visokog stepena automatizacije, EK su postali omiljeno sredstvo sajber kriminalaca za masovno širenje malvera i za distribuciju softvera za pristup i/ili kontrolu računara sa udaljene lokacije (RAT - remote access tool). Krajnji cilj napadača je da uspostave kontrolu nad uređajem (računarom) na jednostavan i automatizovan način.
Izvor: Packt Hub