- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 344 zobrazení
Autoři malwaru často využívají zranitelnosti populárního softwaru. Malware je však také náchylný k chybám a chybám v kódování, což způsobuje jeho zhroucení a slouží jako zadní vrátka – jakákoli metoda, kterou mohou autorizovaní a neoprávnění uživatelé obejít běžná bezpečnostní opatření a získat přístup uživatelů na vysoké úrovni – pro white hat hackery.
Zscaler provedl výzkum, aby zjistil, jaké typy zranitelností existují v některých převládajících rodinách malwaru, diskutoval o použití těchto chyb nebo zranitelností při prevenci malwarové infekce a zjistil, zda se jedná o skutečné zranitelnosti a chyby v kódování nebo únikové mechanismy.
Výzkumníci provedli rozsáhlou analýzu datového souboru škodlivých vzorků shromážděných od roku 2019 do března 2021, seskupili vzorky pomocí behaviorálních podobností a použili systém MITRE Common Weakness Enumeration (CWE) ke kategorizaci malwaru.
Výzkumníci se podívali na několik příkladů malwaru s různými typy zranitelností. Zjistili, že někdy malware neověřuje výstup dotazovaného API nebo nedokáže zpracovat různé typy odpovědí C&C. Autoři často vyvíjejí malware podle svého místního prostředí a neuvažují o jiných technikách, například ASLR, DEP, které jsou nutné k načtení modulů do malwaru, který způsobí jejich selhání.
Sean Nikkel, senior analytik Intel Cyber Threat společnosti Digital Shadows, poskytovatel řešení pro ochranu digitálních rizik se sídlem v San Francisku, poznamenává: „Tyto chyby se mohou objevit v důsledku toho, že protivníci spěchají „dostat se na trh “, dříve než konkurenční exploity získají široké využití. Nezkušenost s používáním osvědčených postupů vývoje nebo jiná omezení zdrojů.“
To znamená, že dodavatelé zabezpečení mohou tyto chyby využít k zápisu různých typů podpisů k identifikaci a blokování takových útoků malwaru.
„Malware často vykazuje běžné chyby aplikací, jako je selhání ověření vstupu nebo výstupu, nesprávné zacházení s vyrovnávací pamětí nebo selhání zpracování výjimek,“ říká Michael Isbitski, technický evangelista ze společnosti Salt Security, poskytovatel rozhraní API se sídlem v Palo Alto v Kalifornii. „Tyto typy běžných programovacích chyb často vedou k selháním nebo chybám aplikací a mohou také vést k zneužitelným podmínkám, pokud by někdo chtěl na aplikaci zaútočit. Teoreticky je možné, že by útočník mohl zneužít část malwaru přítomného v systému, stejně jako by se zaměřil na legitimní aplikaci nebo API, aby narušil organizaci. V tomto případě programátorské chyby autorů malwaru pomohly výzkumníkům bezpečnosti Zscaler lépe porozumět chování malwaru a identifikovat rodiny malwaru. V bizarním obratu událostí dokonce ani něco tak základního, jako je volání API pro načítání dat, není správně zpracováno ukázkami malwaru zmíněnými ve výzkumu. Stejně jako legitimní aplikace vyžadují připojení k poskytování funkcí nebo dat, většina malwaru spoléhá na připojení, aby poskytla nástroj útočníkovi nebo podvodníkovi. Některá běžná chování malwaru zahrnují volání API nebo systémová volání za účelem připojení k externí službě příkazů a řízení, dotazování jiných aplikací nebo zdrojů nebo umístění jiného kódu aplikace do systému.“
Jake Williams, spoluzakladatel a technický ředitel společnosti BreachQuest, lídr v oblasti reakce na incidenty se sídlem v Augustě v Ga., poznamenává, že výsledky výzkumu dobře odpovídají tomu, co v průběhu let pozorovali respondenti zabývající se ransomwarem. „Zatímco většina chyb zdůrazněných ve výzkumu Zcaler bude mít v reálném světě zanedbatelný dopad, chyby v šifrovacích a dešifrovacích nástrojích ransomwaru ano. V minulosti jsme zaznamenali chyby v šifrováních, které způsobily, že šifrovaný obsah byl zcela neobnovitelný, i když bylo výkupné zaplaceno. Dnes je běžnější vidět chyby v dešifrovačích. To je jeden z mnoha důvodů, proč respondenti incidentů doporučují spouštět dešifrovače pouze na kopiích zašifrovaných dat. Některé chyby, které jsme pozorovali, jsou přechodné, což znamená, že stejný dešifrovací nástroj nemusí dešifrovat data při prvním spuštění, ale uspěje při dalších spuštěních."
Autor původního článku: Maria Henriquez
Překlad: Ondřej Strachota