by: edis.aganovicPosted on:

10. Virusi i malware

Definicije

Malware – Malicious software

Virus – Kod koji se replicira u sistemima sa korisničkom intervencijom

Worm – Kod koji se sam širi/replicira kroz sisteme bez korisničke intervencije

Bot – Automatizovani proces koji komunicira sa drugim mrežnim servisima/aplikacijama

Trojan – Malware koji se predstavlja kao legitimni softver

Ransomware – Malware koji enkriptuje podatke korisnika i traži otkupninu

Rootkit – Sakriva svoje prisustvo ili prisustvo drugih malwarea

Backdoor – Omogućava udaljenom napadaču da upravlja sa zaraženim kompjuterom

RAT – Remote Access Trojan, slično backdooru (kamera, mikrofon, hard disk…)

Info Stealer – Krade informacije od žrtve, šifre i druge privatne stvari

Keylogger – Bilježi sve što otkucate na tastaturi

Metode inficiranja

USB

Mnogi od vas su se susreli sa nekom vrstom USB virusa. Većinom su vam sakrivali fajlove ili inficirali neki od fajlova (Word, Excel) ali to nije njihov pravi cilj.

Sam USB interfejs omogućava mnogo toga i određeni malware-i znaju biti mnogo opasni. Ispod imate jedan chart koji vam pokazuje sve mogućnosti zloupotrebe USB interfejsa.

PDF

PDF fajlovi nisu posebno opasni, ali mogu predstavljati rizik zbog nekoliko potencijalnih sigurnosnih problema:

  1. Malware i virusi: PDF fajlovi mogu sadržati zlonamjerni softver (malware) ili viruse koji mogu oštetiti ili zaraziti uređaj na koji se otvaraju.

  2. Exploit-i sigurnosnih propusta: PDF fajlovi mogu sadržavati exploit-e koji iskorištavaju sigurnosne propuste u softveru za pregledanje PDF-a. Ovo može dovesti do neovlaštenog pristupa vašem računaru ili mreži.

  3. Phishing napadi: PDF fajlovi mogu biti deo phishing napada. Na primjer, možda ćete dobiti PDF koji izgleda kao legitimni dokument (npr. bankovni izvod), ali može vas preusmjeriti na lažne web stranice gde će se pokušati prikupiti vaše lične informacije ili ostvariti neovlaštene transakcije.

  4. Embedded scripts: PDF fajlovi mogu sadržavati skripte koje se automatski izvršavaju kada se fajl otvori. Ove skripte mogu biti zlonamjerne i izvršiti neželjene akcije, kao što su prikupljanje informacija ili pokretanje zlonamjernih aktivnosti.

  5. Pharming: PDF fajlovi mogu biti korišćeni u kombinaciji sa pharming tehnikama, gdje se pokušava preusmeriti korisnike na lažne web stranice kako bi se prikupili podaci o vašim šiframa.

Da biste se zaštitili od potencijalnih opasnosti, preporučuje se slijedeće:

  • Update softvera: Redovno ažurirajte softver za pregledanje PDF-a kako biste ispravili poznate sigurnosne propuste.

  • Budite oprezni sa nepoznatim izvorima: Ne otvarajte PDF fajlove koji dolaze od nepoznatih izvora ili koji vam stižu putem sumnjivih e-mailova.

  • Koristite antivirusni softver: Instalirajte i redovno ažurirajte antivirusni softver kako biste detektovali i blokirali zlonamjerni softver.

  • Isključite automatsko izvršavanje skripti: Konfigurišite svoj softver za pregledanje PDF-a tako da automatski ne izvršava skripte.

  • Provjerite URL adrese: Ako dobijete PDF koji sadrži linkove, pažljivo provjerite URL adrese pre nego što ih kliknete kako biste bili sigurni da nisu sumnjive ili lažne.

Pravilno upravljanje PDF fajlovima i oprez pri otvaranju može značajno smanjiti rizike i obezbijediti sigurnost vašeg računara i podataka.

MITM (Main In The Middle)

Dok se obavlja prenos podataka između uređaja (računar, telefon) i servera, napadač se pomoću vještina i alata postavlja između 2 endpointa (računar 1, računar 2) i presreće podatke. Dok 2 strane vjeruju da komuniciraju međusobno, one u stvari komuniciraju sa napadačem (i preko njega). MiTM napadi se ne događaju samo kod komunikacije uređaj-server, već se mogu dogoditi kad god 2 sistema virtuelno razmjenjuju podatke.

Torrent

Mnogo je torrenta zaraženo raznoraznim malware-ima. Morate biti vrlo vrlo pažljivi jer pokušavaju da vas namame na raznorazne načine.

Phishing

Phishing (varijanta engleske riječi za pecanje, fishing) je vrsta socijalnog inženjeringa koja se odnosi na prijevare, kojima se služe zlonamjerni korisnici šaljući lažne poruke koristeći pritom postojeće internet servise. Riječ je o kriminalnoj aktivnosti. Koristeći razne načine manipulacije, kriminalci od korisnika pokušavaju prikupiti povjerljive podatke (korisnička imena, šifre, podaci s kreditnih kartica i sl.) kako bi ostvarili financijsku korist. U pravilu, phishing poruke prenose se putem elektroničke pošte koja navodi korisnika da klikne na određeni link koji ga dalje vodi na stranice zloćudnog web poslužitelja. Takve zloćudne Web stranice obično se lažno predstavljaju kao Web stranice banaka, servisa za elektroničko plaćanje (PayPal i dr.) i sl. krivotvoreći, odnosno imitirajući njihov izgled.

Punny code

Od prije 3 godine, postale su dozvoljene domene koje imaju u sebi druge karaktere osim engleske abecede. To znači da sada možete registrovati domene sa slovima “ČĐŽĆ” i npr. arapskim, kineskim, ćirilićnim karakterima.

Hakeri ovo nažalost zloupotrebljavaju kako bi registrovali domene slične poznati stranicama koje svakodnevno koristimo.

Lažna web stranica koja liči na www.apple.com
Prava web stranica www.apple.com

https://twitter.com/LukasStefanko/status/1072770484633255936

Exploiti

Pojam ‘exploit’ označava program, dio koda ili neke podatke koje pišu hakeri ili developeri virusa sa namjerom da iskoriste ‘bug’ ili ranjivost u aplikaciji ili operativnom sistemu. Korištenjem ‘exploit’-a, napadač može neovlašteno pristupiti ili koristiti aplikaciju ili operativni sistem.

CVECommon Vulnerabilities and Exposures

0-dayExploit koji je poznat proizvođaču ili hakerima a za koji trenutno nema patch.

Exploit kitsTo je program koji sadrži raznorazne vrste exploita u sebi. Lagan je za korištenje za osobe koji nisu upućene u detalje exploita.

Da bi ste bili u toku šta se to dešava na sceni exploita, možete saznati putem ove web stranice www.exploit-db.com.

Ransomware

Šta trebate znati

1. Napadač ne bira metu, nebitno je da li ste siromah, advokatska kancelarija ili bolnica …
2. Vaši fajlovi su kriptovani velikom brzinom
3. Plaćanje se vrši putem kripto valuta
4. Što više čekate, cijena otkupa je sve veća
5. Plaćanjem otkupa, nemate garanciju da ćete dobiti fajlove nazad
6. Napadi su vrlo sofisticirani, tako da je teško pronaći odgovornu osobu

Identifikacija i dekripcija fajlova

Svaki ransomware će vam ostaviti neku vrstu poruke gdje se nalaze informacije kako ih možete kontaktirati i na koji bitcoin račun da uplate. Pored toga obično svaki kriptovani fajl ima dodatnu ekstenziju.

Shodno ovim informacijama putem stranice No More Ransom možemo identifikovati koji nas je ransomware zarazio i saznati da li postoji Decryptor za njega.

Rješenje za ransomware jeste izolirani backup podataka. Nakon napada ransomware-om mora se izvršiti detaljna analiza svih uređaja kako bi se pokušalo otkriti na koji način je upad izvršen.

WannaCry

WannaCry, također poznat po imenu WanaCrypt0r 2.0, jest ransomware (ucjenjivački softver, vrsta zlonamjernog softvera). Koristio se u masivnom cyber-napadu u maju 2017. kojim je zaraženo 75.000 računara u 99 zemalja.

Napad je pogodio Telefóniku i nekoliko drugih većih kompanija u Španiji, dijelove britanske Nacionalne zdravstvene službe (NHS), FedEx i Deutsche Bahn. Druge mete napada u najmanje 99 zemalja prijavile su da su napadnute otprilike u isto vrijeme. Rusko Ministarstvo unutrašnjih poslova, Ministarstvo vanrednih situacija i telekomunikacijska kompanija MegaFon prijavili su da je zaraženo preko 1000 računara.

Smatra se da softver koristi exploit pod nazivom EternalBlue koji je navodno razvila američka Agencija za nacionalnu bezbjednost (NSA) da bi napala računare koji koriste operativni sistem Microsoft Windows. Iako je 14. marta 2017. objavljena sigurnosna zakrpa kojom je uklonjen propust koji omogućava rad ovog softvera, spor proces i/ili odgađanje instaliranja sigurnosnih ažuriranja ostavilo je neke korisnike i organizacije ranjivim.

Virus Total

Kada na VirusTotal uploadujemo neki fajl, on će u isto vrijeme datoteku skenirati i ”pročešljati” je sa barem desetak drugačijih antivirusnih programa. Nadalje, ako je ta ista datoteka nedavno bila skenirana od strane drugih korisnika i u slučaju da su ono nešto pronašli što nisu trebali pronaći, rezultati će se odmah vidjeti.

Ako vidite poruku u kojoj piše nešto tipa ”0/65” to je dobar znak. Ta poruka znači da unutar datoteke nije pronađeno ništa štetno i da je to potvrđeno od strane 65 antivirusnih programa koji su datoteku skenirali. To opet ne znači da je VirusTotal savršen u svome skeniranju i u svojim pretragama. Ali opet, niti jedan softver, kao niti hardver nije savršen.

Antivirus i antimalware alati

Kaspersky, Avast, NOD32 …

Besplatna verzija svakog antivirusa će pružiti osnovne funkcije potrebne svakom običnom korisniku. Za one naprednije u plaćenoj verziji dobijate mnogo bolju zaštitu shodno verziji koju odaberete.

LiveCD Antivirus

Kaspersky RescueCD (https://www.kaspersky.com/downloads/free-rescue-disk) je alat koji se koristi u svrhu spašavanja sistema od ozbiljnih sigurnosnih problema, posebno kada je računar zaražen ozbiljnim malware-om, virusima, rootkit-ovima.

  1. Spašavanje zaraženih sistema: Kaspersky RescueCD omogućava pokretanje računara sa nezavisnog medija (poput CD-a, DVD-a ili USB uređaja) i pristupanje računaru koji je zaražen ozbiljnim malverom. Time se omogućava analiza i čišćenje sistema kada sistem a ni virus nisu aktivni.

  2. Offline skeniranje i uklanjanje malvera: Kada se računar pokrene sa Kaspersky RescueCD-a, alat omogućava offline skeniranje sistema, identifikaciju i uklanjanje zlonamjernog softvera bez potrebe za pokretanjem operativnog sistema koji može biti kompromitovan.

  3. Pronalaženje rootkit-ova: Kaspersky RescueCD je posebno efikasan u detekciji i uklanjanju rootkit-ova, koji su sofisticirani oblici malvera koji se mogu sakriti u sistemu i teško ih je otkriti dok je operativni sistem pokrenut.

U suštini, Kaspersky RescueCD je koristan alat za spašavanje i popravku sistema koji su pogođeni ozbiljnim sigurnosnim pretnjama, pružajući efikasne načine za čišćenje, oporavak i zaštitu računara.

Vježba

Vježba 1

  1. Učitati Kaspersky LiveCD i dr. Web u virtuelnoj mašini i pokrenuti skeniranje.