16/06/2014

Zapytaj eksperta: Roel Schouwenberg wyjaśnia zagrożenia, jakie stwarza szkodliwe oprogramowanie

Informacje

Krajobraz cyberzagrożeń nieustannie ewoluuje i trzymanie ręki na pulsie w tej materii jest sporym wyzwaniem. Kaspersky Lab posiada zespół ekspertów, który stara się bezwzględnie wywęszyć zagrożenia, zanim dotrą do Ciebie. Roel Schouwenberg, starszy badacz zagrożeń w amerykańskim oddziale Kaspersky Lab, jest członkiem naszego Globalnego Zespołu ds. Badań i Analiz (GReAT), w którym na co dzień monitoruje szkodliwe oprogramowanie i istniejące zagrożenia. Wysłaliśmy mu pytania użytkowników związane ze szkodliwym oprogramowaniem i cyberzagrożeniami a poniżej publikujemy jego odpowiedzi.

roel_featured

Jeśli jakaś część szkodliwego oprogramowania może zostać rozpoznana przez antywirusa lub na podstawie sygnatury, to dlaczego atakujący używają tych sygnatur? Właściwie w jaki sposób antywirus klasyfikuje sygnaturę jako niebezpieczną? Co jest teraz fałszowane przez złośliwe programy?

Sygnatura to coś, co jednoznacznie opisuje część szkodliwego oprogramowania, jego rodzinę lub rodzaj szkodliwego działania. Sygnatury mają wiele postaci. Identyfikacja opiera się na analizie danego kodu przy pomocy określonego algorytmu. Sygnatury mogą także być tworzone w celu wykrycia określonego zachowania w systemie. Większość obecnie używanych sygnatur jest inteligentna. Dzięki jednej sprytnej sygnaturze możemy wykryć dziesiątki tysięcy różnych szkodliwych plików.

Korzystając zarówno ze zautomatyzowanego systemu, jak i naszej analizy, jesteśmy w stanie zdecydować, w jaki sposób można wykryć dany plik. Jeśli jakiś rodzaj szkodliwego oprogramowania zachowuje się w sposób komplikujący przeprowadzenie analizy, można utworzyć sygnaturę na podstawie jego kodu lub zachowania, co w przyszłości ułatwi wykrywanie takich szkodliwych plików. Wówczas autor szkodliwego programu musi zastosować nowe triki, jeśli chce uniknąć wykrycia jego programu. To jest jak niekończąca się gra w kotka i myszkę.

Używamy także inteligentnej białej i czarnej listy. Dzięki ogromnej i wciąż rozrastającej się białej liście możemy przyspieszyć skanowanie, uniknąć fałszywych trafień i mieć oko na pliki, których nie znamy.

Jak znajdujecie szkodliwe oprogramowanie?

Ponieważ codziennie pojawia się około 315 000 próbek nowego szkodliwego oprogramowania, proces wykrywania szkodliwych programów musi być zautomatyzowany, dlatego korzystamy z różnego rodzaju „robotów” przeglądających internet w poszukiwaniu nowych zagrożeń. Systemy te odwiedzają strony i sprawdzają, czy są one zainfekowane, a także identyfikują exploity i złośliwe programy. Mamy także różne rodzaje tzw. „honeypotów”, które sprawdzają się w przypadku poczty e-mail i ruchu sieciowego. Podczas analizowania wykrytego szkodliwego programu często znajdujemy adresy URL prowadzące do innych złośliwych programów, które też są wtedy automatycznie przez nas przetwarzane. Ponadto firmy działające w branży zajmującej się zwalczaniem szkodliwych programów wzajemnie dzielą się wykrytymi złośliwymi programami, więc dostajemy także próbki od innych dostawców. Równie ważne są ręczne zgłoszenia od „entuzjastów zwalczania złośliwych programów”, zawodowców i klientów.

Jak najlepiej ochronić się przed atakiem DDoS?

Kwestia ataków DDoS jest trudnym zagadnieniem, nie ma tu łatwego rozwiązania. Ataki te bardzo różnią się rodzajami i wielkością. Jeśli ktoś próbuje zablokować Twoje usługi sieciowe, zmień dostawcę internetowego na takiego, który ma doświadczenie w walce z DDoS. Systemy IDS/IPS powinny być w stanie udźwignąć sprawy większego kalibru.

Czy otwarte porty to luka?

Porty są otwierane przez programy. Oznacza to, że należy zadać sobie podstawowe pytanie: czy ufasz programowi, który otworzył port. Jeśli port został otwarty przez szkodliwe oprogramowanie – jest luką i może zostać użyty jako tylne drzwi do systemu. Gdy port otwiera oryginalny program, powstaje pytanie, jaki co to jest za program oraz czy potrzebuje on portu, który jest otwarty w internecie. Najczęściej odpowiedź na to pytanie brzmi: nie, nie potrzebuje, i dlatego należy używać zapory sieciowej, najlepiej wraz z routerem, który obsługuje NAT.

Co mogą zrobić użytkownicy w celu zwiększenia ochrony przez końmi trojańskimi ukrytymi w plikach PDF i innych załącznikach?

Najbardziej skutecznym sposobem jest odinstalowanie czytnika plików PDF. Kluczowe jest korzystanie z najnowszych wersji programu Adobe Reader i Microsoft Office, ponieważ posiadają one sandboxy, które bardzo ciężko zhakować. Ponadto najnowsza wersja Windowsa posiada ulepszoną ochronę przez exploitami. Dodatkowo niektórzy zalecają korzystanie z mniej popularnych czytników. Takie podejście może działać dla ataków wykorzystujących masowe złośliwe programy. Jednak sposób ten nie będzie skuteczny, jeśli chodzi o ataki ukierunkowane.