| Starije izmjene na obje strane
Starija izmjena
Novija izmjena
|
Starija izmjena
|
racfor_wiki:malware:malware [2020/01/06 22:43]
dcikovic [Socijalni inženjering] |
racfor_wiki:malware:malware [2024/12/05 12:24] (trenutno)
|
| ==== Implementacijske tehnike ==== | ==== Implementacijske tehnike ==== |
| |
| <font 12px/Verdana,Geneva,sans-serif;;inherit;;inherit>Hakeri mogu koristiti tehnike uvođenja zlonamjernih programa u sustav iskorištavanjem ranjivosti u sigurnosnim funkcijama operativnog sustava i softvera. Ranjivosti omogućuju malwareima prodor na računala žrtve i pokretanje na istom. Ranjivost se može gledati kao greška u koda ili logici rada različitih programa. Te greške je teško izbjeći zbog široke funkcionalnosti operativnih sustava i aplikacija. Implementacija malwarea putem web stranica postala je jedna od najpopularnijih tehnika zaraze. Tehnika se zasnuje činjenici o ranjivosti Internet preglednika. Zaražene datoteke i programske skripte pozicioniraju se na web stranice te kada korisnik uđe na zaraženu stranicu, program preuzima zaražene datoteke na korisničko računalo preko i pokreće ih. Da bi se zarazio što veći broj računala, potrebno je što veće iskušenje samih korisnika da posjete web stranicu. To se može postići, na primjer, slanjem neželjene poruke koja sadrži adresu zaražene stranice. Postoje i manji Trojanci koji su dizajnirani za preuzimanje i pokretanje većih. Oni ulaze u računalo preko ranjivosti sustava i nakon toga preuzimaju i instaliraju druge zlonamjerne komponente s Interneta. Takvi Trojanci često mijenjaju postavke preglednika u najmanje sigurne da bi otvorili put nekim većim Trojancima.</font> | <font 14px/Verdana,Geneva,sans-serif;;inherit;;inherit>Hakeri mogu koristiti tehnike uvođenja zlonamjernih programa u sustav iskorištavanjem ranjivosti u sigurnosnim funkcijama operativnog sustava i softvera. Ranjivosti omogućuju malwareima prodor na računala žrtve i pokretanje na istom. Ranjivost se može gledati kao greška u kodu ili logici rada različitih programa. Te greške je teško izbjeći zbog široke funkcionalnosti operativnih sustava i aplikacija. Implementacija malwarea putem web stranica postala je jedna od najpopularnijih tehnika zaraze. Tehnika se zasnuje činjenici o ranjivosti Internet preglednika. Zaražene datoteke i programske skripte pozicioniraju se na web stranice te kada korisnik uđe na zaraženu stranicu, program preuzima zaražene datoteke na korisničko računalo preko Interneta i pokreće ih. Da bi se zarazio što veći broj računala, potrebno je što veće iskušenje samih korisnika da posjete web stranicu. To se može postići, na primjer, slanjem neželjene poruke koja sadrži adresu zaražene stranice. Postoje i manji Trojanci koji su dizajnirani za preuzimanje i pokretanje većih. Oni ulaze u računalo preko ranjivosti sustava i nakon toga preuzimaju i instaliraju druge zlonamjerne komponente s Interneta. Takvi Trojanci često mijenjaju postavke preglednika u najmanje sigurne da bi otvorili put nekim većim Trojancima.</font> |
| |
| |
| ===== Klasifikacija malware programa ===== | ===== Klasifikacija malware programa ===== |
| |
| <font 12px/Verdana,Geneva,sans-serif;;inherit;;inherit>Pojavom prvog antivirusnog programa pojavila se potreba za klasifikacijom otkrivenih objekata. Unatoč činjenici da je virusa u to vrijeme bilo malo i daleko, još uvijek ih je trebalo razlikovati. Prve pokušaje reguliranja postupka klasifikacije poduzeo je početkom 1990-ih savez antivirusnih stručnjaka CARO (Computer AntiVirus Researcher’s Organization). Savez je stvorio shemu imenovanja zlonamjernog softvera CARO, koja se neko vrijeme koristila kao industrijski standard. Sustav klasifikacije koji koristi Kaspersky Lab jedan je od najrasprostranjenijih u industriji i koristi se kao osnova za klasifikacije od strane mnogih drugih proizvođača antivirusa. Klasifikacija tvrtke Kaspersky Lab trenutno uključuje niz zlonamjernih ili potencijalno neželjenih objekata koje je otkrio Kaspersky Anti-Virus i razlikuje objekte prema njihovoj aktivnosti na računalima korisnika. Otkriveni objekti podijeljeni su u sljedeće klase: Malware, AdWare, RiskWare i PornWare. Klasa malwarea uključuje i potklase: Virusi i Crvi, Trojanci, Suspicious Packers i zlonamjerni alati (Malicious Tools).</font> | <font 14px/Verdana,Geneva,sans-serif;;inherit;;inherit>Pojavom prvog antivirusnog programa pojavila se potreba za klasifikacijom otkrivenih objekata. Unatoč činjenici da je virusa u to vrijeme bilo malo i daleko, još uvijek ih je trebalo razlikovati. Prve pokušaje reguliranja postupka klasifikacije poduzeo je početkom 1990-ih savez antivirusnih stručnjaka CARO (Computer AntiVirus Researcher’s Organization). Savez je stvorio shemu imenovanja zlonamjernog softvera CARO, koja se neko vrijeme koristila kao industrijski standard. Sustav klasifikacije koji koristi Kaspersky Lab jedan je od najrasprostranjenijih u industriji i koristi se kao osnova za klasifikacije od strane mnogih drugih proizvođača antivirusa. Klasifikacija tvrtke Kaspersky Lab trenutno uključuje niz zlonamjernih ili potencijalno neželjenih objekata koje je otkrio Kaspersky Anti-Virus i razlikuje objekte prema njihovoj aktivnosti na računalima korisnika. Otkriveni objekti podijeljeni su u sljedeće klase: Malware, AdWare, RiskWare i PornWare. Klasa malwarea uključuje i potklase: Virusi i Crvi, Trojanci, Suspicious Packers i zlonamjerni alati (Malicious Tools).</font> |
| |
| |
| ==== Virusi i Crvi ==== | ==== Virusi i Crvi ==== |
| |
| <font 12px/Verdana,Geneva,sans-serif;;inherit;;inherit>Virusi i Crvi su zlonamjerni programi koji se samostalno kopiraju na računalima ili preko računalnih mreža bez korisnikovog znanja. Svaka replika takvih programa može se samostalno umnožavati. Glavna karakteristika, koja određuje radi li se o Virusima i Crvima, je način na koji zlonamjerni program širi svoje kopije putem lokalnih ili mrežnih resursa. Najpoznatiji crvi šire se kao datoteke poslane u privicima elektroničke pošte, putem veze na web ili FTP protokolom, P2P mreža za razmjenu datoteka i slično. Neki crvi se šire kao mrežni paketi koji direktno prodiru u memoriju računala i tamo aktiviraju programski kod. Crvi koriste tehnike socijalnog inženjeringa te tehnike koje iskorištavaju pogreške u konfiguraciji mreže i ranjivosti operacijskih sustava. \\ | <font 14px/Verdana,Geneva,sans-serif;;inherit;;inherit>Virusi i Crvi su zlonamjerni programi koji se samostalno kopiraju na računalima ili preko računalnih mreža bez korisnikovog znanja. Svaka replika takvih programa može se samostalno umnožavati. Glavna karakteristika, koja određuje radi li se o virusima i crvima, je način na koji zlonamjerni program širi svoje kopije putem lokalnih ili mrežnih resursa. Najpoznatiji crvi šire se kao datoteke poslane u privicima elektroničke pošte, putem veze na web ili FTP protokolom, P2P mreža za razmjenu datoteka i slično. Neki crvi se šire kao mrežni paketi koji direktno prodiru u memoriju računala i tamo aktiviraju programski kod. Crvi koriste tehnike socijalnog inženjeringa te tehnike koje iskorištavaju pogreške u konfiguraciji mreže i ranjivosti operacijskih sustava.\\ |
| Virusi se mogu podijeliti u skladu s metodom koja se koristi za zarazu računala ( file virusi, boot sector virusi, makro virusi, skriptni virusi).\\ | Virusi se mogu podijeliti u skladu s metodom koja se koristi za zarazu računala ( file virusi, boot sector virusi, makro virusi, skriptni virusi).\\ |
| Ova subklasa zlonamjernih programa uključuje sljedeća ponašanja: email-Worm, Im-Worm, IRC- Worm, Net- Worm, P2P- Worm, Virus, Worm.</font> | Ova subklasa zlonamjernih programa uključuje sljedeća ponašanja: email-Worm, Im-Worm, IRC- Worm, Net- Worm, P2P- Worm, Virus, Worm.</font> |
| ==== Trojanci ==== | ==== Trojanci ==== |
| |
| <font 12px/Verdana,Geneva,sans-serif;;inherit;;inherit>Ovi zlonamjerni programi izvršavaju radnje koje korisnik nije dopustio: brišu, blokiraju, mijenjaju ili kopiraju podatke i narušavaju rad računala ili računalne mreže. Za razliku od virusa i crva, Trojanci nisu u mogućnosti samostalno napraviti vlastitu kopiju. Trojanci se razvrstavaju prema vrsti radnje koje vrše na zaraženom računalu. Za primjer ćemo pokazati ponašanje Backdoora, Rootkita, Trojan-Ransoma. Uz ove primjere postoji još niz drugih Trojanaca koji se razlikuju prema njihovom ponašanju.\\ | <font 14px/Verdana,Geneva,sans-serif;;inherit;;inherit>Ovi zlonamjerni programi izvršavaju radnje koje korisnik nije dopustio: brišu, blokiraju, mijenjaju ili kopiraju podatke i narušavaju rad računala ili računalne mreže. Za razliku od virusa i crva, Trojanci nisu u mogućnosti samostalno napraviti vlastitu kopiju. Trojanci se razvrstavaju prema vrsti radnje koje vrše na zaraženom računalu. Za primjer ćemo pokazati ponašanje Backdoora, Rootkita, Trojan-Ransoma. Uz ove primjere postoji još niz drugih Trojanaca koji se razlikuju prema njihovom ponašanju.\\ |
| Jedna vrsta od najopasnijih Trojanaca je Backdoor koji omogućuju njegovom autoru daljinsko upravljanje računalom žrtve. Za razliku od legalnih alata za daljinsko upravljanje, Backdoor se instaliraju i pokreću nevidljivo, bez pristanka ili znanja korisnika. Kada je jednom instaliran, on može biti upućen u slanje, primanje, izvršavanje i brisanje datoteka, prikupljanje povjerljivih podataka s računala i još mnogo toga.\\ | Jedna vrsta od najopasnijih Trojanaca je Backdoor koji omogućuju njegovom autoru daljinsko upravljanje računalom žrtve. Za razliku od legalnih alata za daljinsko upravljanje, Backdoor se instaliraju i pokreću nevidljivo, bez pristanka ili znanja korisnika. Kada je jednom instaliran, on može biti upućen u slanje, primanje, izvršavanje i brisanje datoteka, prikupljanje povjerljivih podataka s računala i još mnogo toga.\\ |
| Rootkit je program ili kolekcija softverskih alata programiranih za skrivanje određenih objekata ili aktivnosti u sustavu ( u pravilu skrivanje registarskih ključeva za pokretanje zlonamjernih objekata, kao i datoteke, mape, procese u memoriji zaraženih računala). Sam Rootkit ne uzrokuje izravnu štetu računalu već se koristi zajedno s drugim zlonamjernim softverom kako bi se spriječilo otkrivanje.\\ | Rootkit je program ili kolekcija softverskih alata programiranih za skrivanje određenih objekata ili aktivnosti u sustavu ( u pravilu skrivanje registarskih ključeva za pokretanje zlonamjernih objekata, kao i datoteke, mape, procese u memoriji zaraženih računala). Sam Rootkit ne uzrokuje izravnu štetu računalu već se koristi zajedno s drugim zlonamjernim softverom kako bi se spriječilo otkrivanje.\\ |
| Trojan-Ransom mijenja podatke na žrtvinom računalu tako da ih žrtva više ne može upotrijebiti i sprečava ispravno pokretanje računala. Da bi se računalo oslobodilo takvih radnji, hakeri traže zahtjev za otkup, odnosno novac.</font> | Trojan-Ransom mijenja podatke na žrtvinom računalu tako da ih žrtva više ne može upotrijebiti i sprečava ispravno pokretanje računala. Da bi se računalo oslobodilo takvih radnji, hakeri traže zahtjev za otkup, odnosno novac.</font> |
| |
| {{ :racfor_wiki:malware:trojan-horse-virus-how-to_1.jpg?nolink&400x280 }} | {{ :racfor_wiki:malware:trojan-horse-virus-how-to_1.jpg?nolink&400x280 |trojan-horse-virus-how-to_1.jpg}} |
| |
| |
| ==== Suspicious packer ==== | ==== Suspicious packer ==== |
| |
| <font 12px/Verdana,Geneva,sans-serif;;inherit;;inherit>Zlonamjerni programi se često komprimiraju koristeći razne metode u kombinaciji s enkripcijom datoteka kako bi se spriječila njihova detekcija pomoću antivirusnih programa metodama reverznog inženjerstva i ometala analiza njihovog ponašanja. Postoje različiti načini sprečavanja raspakiranja spakiranih datoteka, na primjer, zlonamjerni program se može potpuno dešifrirati samo određenog dana u tjednu. Suspicious packeri se razlikuju prema vrsti i broju pakera koji se koriste u postupku kompresije datoteke. Razlikujemo MultiPacked, RarePacker, SuspiciousPacker ponašanja.</font> | <font 14px/Verdana,Geneva,sans-serif;;inherit;;inherit>Zlonamjerni programi se često komprimiraju koristeći razne metode u kombinaciji s enkripcijom datoteka kako bi se spriječila njihova detekcija pomoću antivirusnih programa metodama reverznog inženjerstva i ometala analiza njihovog ponašanja. Postoje različiti načini sprečavanja raspakiranja spakiranih datoteka, na primjer, zlonamjerni program se može potpuno dešifrirati samo određenog dana u tjednu. Suspicious packeri se razlikuju prema vrsti i broju pakera koji se koriste u postupku kompresije datoteke. Razlikujemo MultiPacked, RarePacker, SuspiciousPacker ponašanja.</font> |
| |
| |
| ==== Zlonamjerni alati ==== | ==== Zlonamjerni alati ==== |
| |
| <font 12px/Verdana,Geneva,sans-serif;;inherit;;inherit>Zlonamjerni alati su zlonamjerni programi osmišljeni za automatsko stvaranje virusa, crva ili Trojanaca, provođenje DoS napada na udaljenim poslužiteljima, hakiranje drugih računala itd. Za razliku od virusa, crva i Trojanaca, zlonamjerni softver u ovom podrazredu ne predstavlja izravnu prijetnju za računalo na kojem se pokreće , a zlonamjerni teret programa isporučuje se samo na izravni nalog korisnika. Razlikujemo tako Constructor, DoS, Email-Flooder, Flooder, HackTool, Hoax, VirTool, Spoofer i još drugih.</font> | <font 14px/Verdana,Geneva,sans-serif;;inherit;;inherit>Zlonamjerni alati su zlonamjerni programi osmišljeni za automatsko stvaranje virusa, crva ili Trojanaca, provođenje DoS napada na udaljenim poslužiteljima, hakiranje drugih računala itd. Za razliku od virusa, crva i Trojanaca, zlonamjerni softver u ovom podrazredu ne predstavlja izravnu prijetnju za računalo na kojem se pokreće , a zlonamjerni teret programa isporučuje se samo na izravni nalog korisnika. Razlikujemo tako Constructor, DoS, Email-Flooder, Flooder, HackTool, Hoax, VirTool, Spoofer i još drugih.</font> |
| |
| |
| ===== Anti-malware programi ===== | ===== Anti-malware programi ===== |
| |
| <font 12px/Verdana,Geneva,sans-serif;;inherit;;inherit>Anti-malware dio je softvera koji štiti sustav od infiltracije zlonamjernog softvera. Takvi programi rade na principu da detektiraju malware na računalu, sigurno ga uklone i očiste štetu koju je napravio na računalu. Neki programi za zaštitu blokiraju web stranice koje su kreirane s namjerom isporuke zlonamjernog programa na računalo. Anti-malware programi se neprekidno pokreću u pozadini i brzo i efikasno djeluje na sve pokušaje instaliranja malwarea na računalo. Za anti-malware možemo reći da je naprednija verzija antivirusnih programa. Postoje razne tehnike kojima se detektiraju zlonamjerni programi.\\ | <font 14px/Verdana,Geneva,sans-serif;;inherit;;inherit>Anti-malware dio je softvera koji štiti sustav od infiltracije zlonamjernog softvera. Takvi programi rade na principu da detektiraju malware na računalu, sigurno ga uklone i očiste štetu koju je napravio na računalu. Neki programi za zaštitu blokiraju web stranice koje su kreirane s namjerom isporuke zlonamjernog programa na računalo. Anti-malware programi se neprekidno pokreću u pozadini i brzo i efikasno djeluje na sve pokušaje instaliranja malwarea na računalo. Za anti-malware možemo reći da je naprednija verzija antivirusnih programa. Postoje razne tehnike kojima se detektiraju zlonamjerni programi.\\ |
| Programi koji koriste heurističku analizu provode ovaj algoritam izvršavajući programske naredbe sumnjivog programa unutar virtualnog okruženja, gdje se simulira i gleda što bi se dogodilo kada bi se zlonamjerni program pokrenuo na stvarnom računalu. Nakon toga analizira aktivnosti poput replikacije, upisivanja podataka u datoteke i pokušaje sakrivanja postojanja zlonamjernih datoteka. Kada se otkrije jedna ili više navedenih akcija, sumnjiva datoteka se označi kao potencijalni virus. Druga heuristička metoda, poznata kao statička heuristička analiza, uključuje dekompajliranje sumnjivog programa i ispitivanje njegova izvornog koda. Taj se kôd uspoređuje s virusima koji su već poznati i nalaze se u heurističkoj bazi podataka. Ako određeni postotak izvornog koda odgovara bilo čemu u heurističkoj bazi podataka, kod se označava kao moguća prijetnja.</font> | Programi koji koriste heurističku analizu provode ovaj algoritam izvršavajući programske naredbe sumnjivog programa unutar virtualnog okruženja, gdje se simulira i gleda što bi se dogodilo kada bi se zlonamjerni program pokrenuo na stvarnom računalu. Nakon toga analizira aktivnosti poput replikacije, upisivanja podataka u datoteke i pokušaje sakrivanja postojanja zlonamjernih datoteka. Kada se otkrije jedna ili više navedenih akcija, sumnjiva datoteka se označi kao potencijalni virus. Druga heuristička metoda, poznata kao statička heuristička analiza, uključuje dekompajliranje sumnjivog programa i ispitivanje njegova izvornog koda. Taj se kôd uspoređuje s virusima koji su već poznati i nalaze se u heurističkoj bazi podataka. Ako određeni postotak izvornog koda odgovara bilo čemu u heurističkoj bazi podataka, kod se označava kao moguća prijetnja.</font> |
| |
| <font 12px/Verdana,Geneva,sans-serif;;inherit;;inherit>Sandboxing testiranje otkriva zlonamjerni softver njegovim izvršavanjem u izoliranom okruženju na računalu. Malware „misli“ da ima potpuni pristup računalu, ali se on izvodi u izoliranom prostoru. U tom okruženju promatra se njegovo ponašanje i izlazne aktivnosti. Sigurnosne mjere temelje se na otkrivanju potpisa tako da se traže obrasci koji su slični poznatim primjerima malwarea. Ukoliko se ustanove neke sličnosti, anti-malware će ga ukinuti. Međutim, postoje neki malwarei koji su dovoljno pametni da prepoznaju da se izvode u sandboxu i nastoje se ponašati što bolje kako ih se ne bi prepoznalo.</font> | <font 14px/Verdana,Geneva,sans-serif;;inherit;;inherit>Sandboxing testiranje otkriva zlonamjerni softver njegovim izvršavanjem u izoliranom okruženju na računalu. Malware „misli“ da ima potpuni pristup računalu, ali se on izvodi u izoliranom prostoru. U tom okruženju promatra se njegovo ponašanje i izlazne aktivnosti. Sigurnosne mjere temelje se na otkrivanju potpisa tako da se traže obrasci koji su slični poznatim primjerima malwarea. Ukoliko se ustanove neke sličnosti, anti-malware će ga ukinuti. Međutim, postoje neki malwarei koji su dovoljno pametni da prepoznaju da se izvode u sandboxu i nastoje se ponašati što bolje kako ih se ne bi prepoznalo.</font> |
| |
| <font 12px/Verdana,Geneva,sans-serif;;inherit;;inherit>Anti-malware programi imaju i mogućnost da nakon što prepoznaju štetan softver da ga i uklone. Međutim, neki malwarei su napravljeni tako da naprave štetu računalu ako ih se ukloni. Tada anti-malware programi stavljaju štetan program u karantenu čime se sprečava nanošenje štete i omogućava da se zlonamjerni softver ručno ukloni.</font> | <font 14px/Verdana,Geneva,sans-serif;;inherit;;inherit>Anti-malware programi imaju i mogućnost da nakon što prepoznaju štetan softver da ga i uklone. Međutim, neki malwarei su napravljeni tako da naprave štetu računalu ako ih se ukloni. Tada anti-malware programi stavljaju štetan program u karantenu čime se sprečava nanošenje štete i omogućava da se zlonamjerni softver ručno ukloni.</font> |
| |
| {{ :racfor_wiki:malware:497309-636058282941992656-16x9.jpg?nolink&600x404 }} | {{ :racfor_wiki:malware:497309-636058282941992656-16x9.jpg?nolink&600x404 |497309-636058282941992656-16x9.jpg}} |
| |
| |
