Így másznak át a kerítésen a számítógépes vírusok

A számítógépes vírusok több esetben képesek áthatolni a víruskeresők által jelentett védelmi vonalakon. Ezért a fenyegetettségek teljes életciklusát lefedő védelemre van szükség.
 

A fejlett fenyegetettségek egyik legkockázatosabb jellemzője, hogy roppant nehéz azokat időben felismerni. A detektálás hiányosságaira legjobban azok az incidensek világítanak rá, amelyek során kiderül, hogy a támadók akár hónapokon keresztül észrevétlenül garázdálkodtak egy-egy informatikai hálózatban. A biztonsági cégek már régóta hangsúlyozzák, hogy a hagyományos, szignatúraalapú védelmi technológiák önmagukban már nem hatékonyak, azoknál jóval többre van szükség a kockázatok csökkentéséhez. A FireEye szakemberei mindezt néhány olyan kártékony programmal érzékeltették, amelyek hosszú időn keresztül tudták kijátszani a biztonsági megoldásokat, és ezáltal fejlett, perzisztens (APT) alapú támadásokhoz járultak hozzá.
 
Néhány láthatatlan szerzemény
 
Az egyik ilyen károkozó a GoodTimes nevet kapta. Elsősorban tajvani cégek ellen került bevetésre, és legalább hat hónapon keresztül a VirusTotal alapjául szolgáló 53 víruskereső motor egyike sem volt képes felismerni azt. A kártevő Excel fájlok segítségével terjedt, és egy Flash Player sérülékenységet kihasználó exploit révén került fel a rendszerekre. A biztonsági kutatók szerint a GoodTimes a Hacking Team féle adatszivárgási botrány után kezdett aktivizálódni. Annak ellenére, hogy az interneten is megjelent Flash exploitról a védelmi szoftverek tudtak, a károkozót mégsem sikerült detektálni. A vizsgálatok azt mutatták, hogy azért nem, mert a GoodTimes készítői az exploitot egy olyan ActiveX vezérlőbe rejtették, amelyet aztán közvetlenül ágyaztak az említett Excel állományokba.
 
Egy másik nagyon alattomosan fertőző kártékony program a kínai APT3 hackercsoporthoz köthető. A terjedésének első hat hónapjában szintén láthatatlan volt a biztonsági alkalmazások előtt. Amikor a FireEye januárban elemezte, még akkor is csak egyetlen víruskereső jelezte a fertőzött fájlját problémásnak. Ennek a kártevőnek az volt a legfontosabb trükkje, hogy a kódjába rengeteg "szemetet" helyeztek el a vírusírók, amely közé okosan rejtették el a valódi károkozásra alkalmas programsorokat. Ez pedig jelentősen megnehezítette a szerzeményük detektálását.
 
A fentiek mellet a FireEye további, hasonlóan problémás vírusokról is beszámolt. Ezek között volt olyan, amely Hangul dokumentumokba rejtőzött, de volt olyan is, ami Braziliában majd egy éven keresztül zavartalanul szedte áldozatait, és épített ki a rendszereken hátsó kapukat.
 
Mit lehet tenni?
 
Az látható, hogy a vírusvédelem megkerülésére alkalmas technikák folyamatosan fejlődnek, és gyakorta viszonylag egyszerű módszerekkel ejtik át a biztonsági alkalmazásokat. A különböző nyelveken írt, különféle scripteket, csomagolásokat, kódolásokat alkalmazó, megannyi variáns formájában megjelenő kártékony programoknak bizony van esélyük arra, hogy átjussanak egy-egy védelmi vonalon. Ezért a FireEye kutatói azt tanácsolták, hogy olyan védelmet kell kiépíteni, amely a fenyegetettségek, illetve a támadások teljes életciklusát lefedi. Nem elég csak arra koncentrálni, hogy egy-egy fájl vállalati hálózatba való bekerülésekor megtörténjen az ellenőrzés, hanem több szinten, több fázisban kell a detektálási feladatokat elvégezni. Ezzel elérhető, hogy ha át is csúszik egy káros állomány az első vizsgálaton, még a későbbi fertőzési fázisokban is kiszűrhetővé válhat.