Jenis malware paling licik

Beberapa serangan malware sangat mencolok sehingga Anda tidak dapat melewatkan fakta bahwa Anda telah menjadi korban. Program Ransomware mengunci semua akses ke komputer Anda sampai Anda membayar untuk membuka kuncinya. Pembajak media sosial memposting pembaruan status aneh di halaman media sosial Anda, menginfeksi siapa saja yang mengklik tautan beracun mereka. Program-program adware mengotori desktop Anda dengan iklan popup bahkan ketika tidak ada browser yang terbuka. Ya, itu semua sangat menjengkelkan, tetapi karena Anda tahu ada masalah, Anda dapat berusaha mencari solusi antivirus.

Infestasi malware yang sama sekali tidak terlihat bisa jauh lebih berbahaya. Jika antivirus Anda tidak "melihatnya" dan Anda tidak melihat adanya perilaku yang tidak diinginkan, malware bebas untuk melacak aktivitas perbankan online Anda atau menggunakan kekuatan komputasi Anda untuk tujuan jahat. Bagaimana mereka tetap tidak terlihat? Berikut adalah empat cara malware dapat bersembunyi dari Anda, diikuti oleh beberapa ide untuk melihat yang tidak bisa dilihat.

Subversi Sistem Operasi

Kami menerima begitu saja bahwa Windows Explorer dapat membuat daftar semua foto, dokumen, dan file lainnya, tetapi banyak yang terjadi di belakang layar untuk mewujudkannya. Driver perangkat lunak berkomunikasi dengan hard drive fisik untuk mendapatkan bit dan byte, dan sistem file menafsirkan bit dan byte tersebut ke dalam file dan folder untuk sistem operasi. Ketika suatu program perlu mendapatkan daftar file atau folder, ia menanyakan sistem operasi. Sebenarnya, program apa pun akan bebas untuk menanyakan sistem file secara langsung, atau bahkan berkomunikasi langsung dengan perangkat keras, tetapi jauh lebih mudah untuk hanya memanggil OS.

Teknologi Rootkit memungkinkan program jahat menghapus dirinya secara efektif dari pandangan dengan menyadap panggilan-panggilan itu ke sistem operasi. Ketika sebuah program meminta daftar file di lokasi tertentu, rootkit meneruskan permintaan itu ke Windows, lalu menghapus semua referensi ke file sendiri sebelum mengembalikan daftar. Antivirus yang hanya mengandalkan Windows untuk informasi tentang file apa yang ada tidak akan pernah melihat rootkit. Beberapa rootkit menerapkan tipuan serupa untuk menyembunyikan pengaturan Registry mereka.

Malware tanpa file

Antivirus khas memindai semua file pada disk, memeriksa untuk memastikan tidak ada yang berbahaya, dan juga memindai setiap file sebelum mengizinkannya untuk dijalankan. Tetapi bagaimana jika tidak ada file? Sepuluh tahun yang lalu worm slammer mendatangkan malapetaka pada jaringan di seluruh dunia. Ini disebarkan langsung di memori, menggunakan serangan buffer overrun untuk mengeksekusi kode arbitrer, dan tidak pernah menulis file ke disk.

Baru-baru ini, peneliti Kaspersky melaporkan infeksi Java yang tidak ada file menyerang pengunjung ke situs berita Rusia. Diperbanyak melalui iklan spanduk, exploit menyuntikkan kode langsung ke proses Java yang penting. Jika berhasil mematikan Kontrol Akun Pengguna, itu akan menghubungi perintah dan server kontrol untuk instruksi tentang apa yang harus dilakukan selanjutnya. Anggap saja sebagai orang dalam perampokan bank yang merangkak masuk melalui saluran ventilasi dan mematikan sistem keamanan untuk kru lainnya. Menurut Kaspersky, satu tindakan umum pada saat ini adalah menginstal Trojan Lurk.

Malware yang benar-benar ada di memori dapat dibersihkan hanya dengan menyalakan kembali komputer. Itu, sebagian, adalah bagaimana mereka berhasil mengalahkan Slammer pada hari itu. Tetapi jika Anda tidak tahu ada masalah, Anda tidak akan tahu bahwa Anda perlu reboot.

Pemrograman Berorientasi Kembali

Ketiga finalis dalam kontes riset keamanan BlueHat Prize Microsoft terlibat dalam berurusan dengan Return Oriented Programming, atau ROP. Serangan yang menggunakan ROP berbahaya, karena tidak menginstal kode yang dapat dieksekusi, tidak seperti itu. Sebaliknya, ia menemukan instruksi yang diinginkan dalam program lain, bahkan bagian dari sistem operasi.

Secara khusus, serangan ROP mencari blok kode (disebut "gadget" oleh para ahli) yang keduanya melakukan beberapa fungsi yang berguna dan diakhiri dengan instruksi RET (kembali). Ketika CPU mencapai instruksi itu, ia mengembalikan kontrol ke proses panggilan, dalam hal ini malware ROP, yang meluncurkan blok kode scrounged berikutnya, mungkin dari program yang berbeda. Daftar besar alamat gadget itu hanya data, jadi mendeteksi malware berbasis ROP itu sulit.

Malware Frankenstein

Pada konferensi Usenix WOOT (Workshop on Offensive Technologies) tahun lalu, sepasang peneliti dari University of Texas di Dallas mempresentasikan ide yang mirip dengan Return Oriented Programming. Dalam sebuah makalah yang berjudul, "Frankenstein: Stitching Malware dari Benign Binaries, " mereka menggambarkan sebuah teknik untuk menciptakan malware yang sulit dideteksi dengan menyatukan potongan kode dari program yang dikenal dan tepercaya.

"Dengan menyusun biner baru sepenuhnya dari urutan byte yang umum untuk biner yang diklasifikasikan secara jinak, " makalah tersebut menjelaskan, "mutan yang dihasilkan cenderung tidak cocok dengan tanda tangan yang mencakup daftar putih dan daftar hitam fitur biner." Teknik ini jauh lebih fleksibel daripada ROP, karena dapat menggabungkan potongan kode apa pun, bukan hanya potongan yang diakhiri dengan instruksi RET yang sangat penting.

Cara Melihat yang Tak Terlihat

Hal baiknya adalah, Anda bisa mendapatkan bantuan untuk mendeteksi program jahat yang licik ini. Sebagai contoh, program antivirus dapat mendeteksi rootkit dengan beberapa cara. Satu metode lambat tapi sederhana melibatkan mengambil audit semua file pada disk seperti yang dilaporkan oleh Windows, mengambil audit lain dengan menanyakan sistem file secara langsung, dan mencari perbedaan. Dan karena rootkit secara khusus menumbangkan Windows, antivirus yang melakukan booting ke OS non-Windows tidak akan tertipu.

Ancaman hanya-memori, tanpa-file akan menyerah pada perlindungan antivirus yang melacak proses aktif, atau memblokir vektor serangannya. Perangkat lunak keamanan Anda mungkin memblokir akses ke situs web yang terinfeksi yang melayani ancaman itu, atau memblokir teknik injeksi.

Teknik Frankenstein mungkin menipu antivirus berbasis tanda tangan, tetapi alat keamanan modern melampaui tanda tangan. Jika malware patchwork benar-benar melakukan sesuatu yang berbahaya, pemindai berbasis perilaku mungkin akan menemukannya. Dan karena belum pernah terlihat di mana pun sebelumnya, sistem seperti Norton File Insight dari Symantec yang memperhitungkan prevalensi akan menandainya sebagai anomali berbahaya.

Adapun untuk mengurangi serangan Pemrograman Berorientasi Kembali, well, itu yang sulit, tetapi banyak kekuatan otak telah dikhususkan untuk menyelesaikannya. Kekuatan ekonomi juga - Microsoft memberikan seperempat juta dolar kepada para peneliti top yang menangani masalah ini. Juga, karena mereka sangat bergantung pada keberadaan program yang valid tertentu, serangan ROP lebih cenderung digunakan terhadap target tertentu, bukan dalam kampanye malware yang tersebar luas. Komputer di rumah Anda mungkin aman; PC kantor Anda, tidak banyak.