Group IB

9 типов компьютерных вирусов и то, как они делают свою грязную работу

9 типов компьютерных вирусов и то, как они делают свою грязную работу
9 типов компьютерных вирусов и то, как они делают свою грязную работу
13.06.2022

Человеческий разум любит классифицировать вещи, и вредоносное ПО не является исключением. В CSO выполнили свою часть работы: специалист издания по объяснению вредоносного ПО проанализировал вредоносные программы на основе того, как они распространяются (самораспространяющиеся черви, вирусы, использующие другой код, или скрытно замаскированные трояны), а также по тому, что они делают с зараженными машинами (руткиты, рекламное ПО, программы-вымогатели, криптоджекинг и вредоносная реклама).

Вы можете найти много такой технической таксономии (классификация и систематизация сложноорганизованных иерархически соотносящихся сущностей), и она, безусловно, полезна. В частности, может быть полезно различать различные типы векторов заражения вредоносным ПО, а не смешивать все вместе как «вирус», несмотря на популярное использование этого термина. Но мы также можем придавать слишком большое значение такого рода разделениям.

«Многие термины, использовавшиеся для описания вредоносного ПО в 90-х и начале 2000-х годов, по-прежнему технически точны, но, возможно, менее актуальны, чем когда-то, - говорит Джейкоб Ансари, защитник безопасности и аналитик новых кибертрендов в Шеллмане, глобальном независимом агентстве по безопасности и безопасности. оценщик соблюдения конфиденциальности. - В то время как вредоносное ПО предыдущих десятилетий устанавливалось на целевую систему, а затем запускалось само по себе без вмешательства человека, большинство современных кампаний атак осуществляется группами людей, которых мы обычно называем субъектами угроз. Злоумышленники по-прежнему пытаются избежать обнаружения и упорствуют, несмотря на средства защиты, используя различные языки программирования или скрипты для создания своего враждебного кода».

Поэтому один из авторов издания CSO спросил Ансари и других специалистов в области безопасности о том, как они разбивают категории вредоносных программ, с которыми имеют дело. В целом стало понятно, что существует два разных взгляда на таксономию вредоносных программ: вы можете думать о том, как вирусы выполняют свою грязную работу (т. е. что они делают с вами), или о том, какое место они занимают в экосистеме.

9 распространенных типов компьютерных вирусов:

  1. Макровирусы

  2. Полиморфные вирусы

  3. Резидентные вирусы

  4. Вирусы загрузочного сектора

  5. Многокомпонентные вирусы

  6. Дропперы (файлы - носители и установщики вируса)

  7. Маяк/полезная нагрузка

  8. Упаковщики

  9. Командование и контроль

Типы вирусов, определяемые тем, что они делают с вами

Если вы хотите иметь полное представление о различных типах вредоносных программ, вы можете поступить хуже, чем поговорить с кем-то, кто пишет их для жизни. Это работа Дахвида Шлосса: он является руководителем отдела наступательной безопасности в фирме, предоставляющей профессиональные услуги в области кибербезопасности, Echelon Risk + Cyber, где он работает над вредоносными программами, предназначенными для имитации реальных угроз для выполнения командно-контрольных платформ в эмуляции состязаний его компании и в операциях с красными хакерами. Он разбил различные типы вирусов, с которыми он работает, по их функциям.

Макровирусы. «Эта категория, вероятно, является наиболее распространенной техникой вредоносных программ в мире, - говорит Шлосс. - Примерно 92 % внешних атак начинаются с фишинга, а макросы являются ядром проблемы. Макрос - это автоматическое выполнение нажатий клавиш или действий мыши, которые программа может выполнять без участия пользователя - обычно мы говорим о Microsoft Word/ Макросы Excel, которые могут автоматизировать повторяющиеся задачи на листе или в документе».

Макросы являются чрезвычайно распространенным типом вредоносных программ. «Метод доставки правдоподобен, особенно когда он выглядит связанным с работой, - говорит Шлосс. - Кроме того, язык программирования (Visual Basic, в случае Microsoft) довольно прост. Таким образом, макровирусы снижают количество технических навыков, необходимых для их написания».

Лорен Пирс, руководитель отдела реагирования на инциденты компании Redacted, занимающейся облачной безопасностью, согласна с этим. «Мы по-прежнему наблюдаем значительный ущерб от несложных вредоносных программ, - говорит она. - Простой макрос документа Office доминирует в качестве начального вектора заражения».

Полиморфные вирусы. «В то время как макровирус проще всего закодировать, этот тип [полиморфный вирус] будет самым сложным, потому что вирус является именно тем, что говорит его название: полиморфным, - говорит Шлосс. - Каждый раз, когда код запускается, он выполняется немного по-разному, и обычно каждый раз, когда он перемещается на новую машину, его код будет немного отличаться».

Вы должны относиться ко всем своим детищам (или врагам) одинаково, но Шлосс признает, что «эта категория вирусов - любимая, поскольку она сложна и ее чрезвычайно трудно исследовать и обнаружить».

Резидентные вирусы. Это особенно опасная категория: бестелесный вирус, который не существует как часть файла. «Сам вирус фактически выполняется в оперативной памяти хоста, - говорит Шлосс. - Код вируса не хранится в вызвавшем его исполняемом файле; вместо этого он обычно хранится на веб-сайте или в контейнере хранилища. заявление."

Термин резидентный вирус подразумевает, конечно, существование нерезидентного вируса. Шлосс определяет это как «вирус, который содержится в исполняемом файле, который его вызывает. Эти вирусы чаще всего распространяются путем злоупотребления корпоративными службами.».

Вирусы загрузочного сектора. «Я люблю называть эту категорию «коктейлем национального государства, - объясняет Шлосс. - Эти типы вирусов предназначены для того, чтобы предоставить субъекту угрозы неограниченную и глубокую стойкость. Они будут заражать весь путь до главной загрузочной записи компьютера (MBR), а это означает, что даже если вы переустановите образ своей машины, вирус сохранится и будет быть в состоянии выполняться в памяти хоста при загрузке.Эти типы вирусов редко можно увидеть за пределами субъектов национальной угрозы, и почти всегда полагаются на эксплойт нулевого дня, чтобы достичь уровня MBR или распространяются через физические носители, такие как зараженные USB или жесткие диски».

Многокомпонентные вирусы. В то время как некоторые разработчики вредоносных программ могут специализироваться, другие используют подход «все вышеперечисленное», атакуя сразу везде. «Эти типы вирусов обычно труднее всего сдерживать и с ними бороться», — говорит Шлосс. «Они заражают несколько частей системы, включая память, файлы, исполняемые файлы и даже загрузочный сектор. Мы видим все больше и больше вирусов этого типа, и эти типы вирусов распространяются любым возможным способом, обычно применяя несколько методов. для максимального распространения».

Типы вредоносных программ, определяемые тем, что они делают для злоумышленника

Еще один взгляд на различные вредоносные программы, с которыми вы столкнетесь, - это то, как они вписываются в общую картину общей атаки. Помните, что Ансари Шеллмана сказал выше: современное вредоносное ПО развертывается командами, и сами вирусы тоже можно рассматривать как команду. «Многие вредоносные кампании состоят из множества компонентов, иногда каждый из которых разработан отдельно или даже получен от других участников угроз», - говорит Ансари. Он разбивает некоторых из разных игроков:

Дропперы. «Эта вредоносная программа предназначена для установки других вредоносных программ в зараженную систему-, - сказал Ансари. - Жертвы могут заразиться дроппером по враждебной ссылке, вложению, загрузке или тому подобному, и обычно это не сохраняется после сброса вредоносного ПО следующего этапа».

«Вредоносное ПО с макросами относится к категории дропперов, - добавляет Пирс из Redacted. - Это вредоносное ПО, созданное с единственной целью загрузки и запуска дополнительных вредоносных программ».

Beacon (уведомитель)/payload (полезная нагрузка). Эти типы вредоносных программ являются следующим этапом атаки. «Часто устанавливаемое с помощью дроппера, маяка или полезной нагрузки - это вредоносное ПО, которое сообщает злоумышленнику о своих недавно установленных средствах доступа, - говорит Ансари. - Отсюда злоумышленник может получить доступ к системам-жертвам через средства, установленные маяком, и получить доступ к системе, содержащимся в ней данным или другим системам в сети».

Упаковщики. Эти компоненты упаковывают другие компоненты, используя криптографические методы как средство уклонения от обнаружения. «В некоторых сложных кампаниях по вредоносному ПО используется ряд упаковщиков, вложенных друг в друга, как кукла, - говорит Ансари. - Каждый содержит еще один упакованный элемент до тех пор, пока не сможет выполниться последняя полезная нагрузка».

Командование и контроль. Каждой команде нужен лидер, и именно эту роль играет командование и контроль над этими совместными вредоносными компонентами. «Эти системы, иногда называемые C&C, CNC или C2, работают за пределами среды жертвы и позволяют злоумышленнику взаимодействовать с другими компонентами вредоносной кампании, установленными в целевой системе, - говорит Ансари. - Когда правоохранительные органы нацеливаются на злоумышленника, они часто захватывают системы управления и контроля в рамках своих усилий по предотвращению угрозы».

Классификация компьютерных вирусов

В конце концов, какую бы таксономию вы ни использовали, она не должна быть слишком жесткой, а наоборот, должна облегчать передачу важной информации о киберугрозах. А это означает, что ваш язык должен быть адаптирован к вашей аудитории, говорит Ори Арбель, технический директор CYREBRO, поставщика услуг по обеспечению безопасности.

«Если я пишу для директоров по информационной безопасности, они будут думать об этом с точки зрения риска, - говорит он, - в то время как широкая публика лучше поймет часто используемые имена в новостях. Эти классификации вирусов представлены с точки зрения того, что будет наиболее легко понять, но это не обязательно сообщит о лучших действиях, которые должны предпринять специалисты по безопасности.Если я пишу для группы специалистов по анализу угроз, я бы скорее использовал термины, связанные с геолокацией и мотивацией злоумышленника. чем то, что на самом деле делает вирус».

На этом моменте стоит закончить последним способом категоризации вирусов, что действительно имеет смысл только с точки зрения самих охотников за вирусами: вирусы, которые являются достойными противниками, и те, которые таковыми не являются. «Как реверс-инженер, я получаю удовольствие от головоломки реверсирования, - говорит Пирс из Redacted. - Макросы представляют серьезную угрозу для сети, но их не особенно интересно реверсировать. Мне нравится реверсировать образцы, в которых используются методы антианализа для активной борьбы с реверсированием. Вредоносное ПО может использовать методы антиотладки, которые обнаруживают отладчик и реагируют на него. с помощью таких методов, как контрольное суммирование или атаки по времени. Использование методов антианализа указывает на опытного автора вредоносного ПО и служит для увеличения времени между обнаружением образца и извлечением полезных индикаторов для противодействия ему».

Тот факт, что ваши противники являются преступниками, не означает, что вы не можете уважать их за то, что они гордятся своей работой.

Автор: Josh Fruhlinger

Комментарии 0