023.3 Lecke 1

023.3 Lecke 1

Tanúsítvány:

Security Essentials

Verzió:

1.0

Témakör:

023 Eszköz- és tárolóbiztonság

Fejezet:

023.3 Malware

Lecke:

1/1

Bevezetés

A malware kifejezés a mal-icious (rosszindulatú) és a soft-ware szavak szótagjaiból áll össze. Szoftvertípusok széles skáláját foglalja magában, amelyek végső soron a számítógépes rendszer vagy hálózat veszélyeztetésére irányulnak: vírusok, trójai programok, zsarolóprogramok, reklámprogramok stb. A legtöbb — ha nem is mindegyik — típusnak vannak altípusai is. A támadások gyakran akkor lesznek a legpusztítóbbak, ha e rosszindulatú szoftverek (malware) különböző kombinációit tartalmazzák.

A malware mögötti okok sokrétűek és változatosak — beleértve a csínytevéseket és az aktivizmust, de a kémkedést, az internetes lopást és más súlyos bűncselekményeket is. A malware programok túlnyomó többségét mindenesetre arra tervezték, hogy etikátlanul és illegálisan pénzt keressenek. A rosszindulatú programok többféle módon is bejuthatnak a számítógépbe vagy a hálózatba: fájlletöltések, gyanús mellékleteket vagy hivatkozásokat tartalmazó e-mailek, vagy fertőzött webhely meglátogatása — hogy csak néhányat említsünk.

Ez a lecke bemutatja a különböző típusú rosszindulatú programok alapelveit (a modus uperandi-t — munkamódszerüket), a lehetséges károk mértékét, és azt, hogy hogyan védhetjük meg a számítógépét ellenük.

A malwarek gyakori típusai

A következő alfejezetek a leggyakoribb malwarek néhány típusát mutatják be.

Vírusok

A biológiai és a számítógépes vírusoknak egyaránt szükségük van gazdatestre ahhoz, hogy kárt okozzanak. A számítógépes vírus tehát egy rosszindulatú futtatható kód, amely települ a számítógépre és képes önmagát terjeszteni. A terjedés gyakran úgy történik, hogy a vírust tartalmazó kezdeti rosszindulatú e-mailt elküldik az áldozat címjegyzékében szereplő összes kapcsolatnak. Ahhoz, hogy pusztítást végezzen, a vírusnak emberi beavatkozásra van szüksége. Tehát amikor a gyanútlan felhasználó lefuttatja a fertőzött gazdafájlt, a vírus programok módosításával szaporodik, vagy más számítógépekre is átterjed, és így akár egy egész hálózatot is megfertőzhet.

A vírusok által okozott károk mértéke igen pusztító lehet, mivel általában olyan kellemetlen gyakorlatokra tervezték őket, mint a hálózat forgalommal való elárasztása, a programok korruptálása vagy a fájlok (vagy akár a merevlemez) törlése.

Note

A vírusokkal ellentétben a férgeknek (worm) nincs szükségük sem fertőzött gazdafájlra, sem emberi beavatkozásra a terjedéshez. Önálló vírusfajtaként definiálhatók.

Ransomware (zsarolóvírus)

Amint a neve is mutatja, ez a fajta malware a felhasználói adatokat váltságdíjért (ransom) tartja fogva. Ezek a rosszindulatú szoftverek általában úgy működnek, hogy a váltságdíj kifizetéséig korlátozzák a felhasználók hozzáférését bizonyos fájlokhoz (vagy a számítógép egyes részeihez). A vírusokkal ellentétben a kiberbűnözők egy ransomware támadás során egyértelműek és világosak, elmagyarázzák az áldozatnak, hogy mi történt, valamint azt is, hogy milyen lépésekeet kell tennie az elveszett információk visszaszerzéséhez.

A zsarolóprogramok gyakran nyilvános kulcsú kriptográfiát és szimmetrikus kulcsot használnak a kompromitált fájlok titkosításához. Ezek a fájlok ezután elérhetetlenné válnak a jogos tulajdonosok számára; a fájlokat csak a támadó privát kulcsával lehet visszafejteni. Az áldozat üzenetet kap a váltságdíj kifizetésére vonatkozó utasításokkal. A támadók tehát állítólag csak akkor adják át a felhasználónak a privát kulcsot, ha az kifizeti a váltságdíjat. A vírusokhoz hasonlóan a zsarolóvírusok is gyorsan terjedhetnek, és egész szervezeteket tehetnek tönkre azáltal, hogy a hálózatokon keresztül terjednek, és fájl- és adatbázis-szervereket vesznek célba.

Note

A zsarolóvírus-bűnözők személyazonosságuk védelme érdekében általában virtuális valuta (pl. Bitcoin) formájában kérik a fizetséget.

Cryptominerek / Cryptojacking

A rosszindulatú cryptominereket (cryptobányász) úgy tervezték, hogy titokban kihasználják a CPU (vagy GPU) üresjáratát. Mivel a háttérben futnak, nehéz lehet őket felismerni. Így a rosszindulatú szoftver titokban települ a számítógépre (vagy webböngészőbe), és elkezd kriptovalutákat bányászni. Bár a bányászat az áldozatok számára észrevétlenül zajlik, általában fokozott ventilátor-tevékenységről vagy a processzor intenzív munkájának más jeleiről, például túlmelegedésről vagy teljesítménycsökkenésről számolnak be.

Rootkitek és távoli hozzáférés

A rootkitek olyan különféle rosszindulatú szoftvereket jelentik, amelyek célja, hogy a kiberbűnözők számára távoli hozzáférést (remote access) és irányítást biztosítsanak, miközben az áldozat számára észrevétlenek maradnak. A rootkitek általában jelszavak, valamint banki és személyes adatok ellopására szolgáló eszközökkel rendelkeznek. Innen ered a kifejezés: root (a támadók root hozzáférést kapnak) és kit (eszközkészletet) használnak.

A rootkitek különböző típusai a számítógép különböző részeit támadják meg: a kernelt, az alkalmazásokat, a firmwaret, a boot rendszert (bootkitek) vagy akár a RAM-ot.

Spyware

A spyware (kémprogram) egy általános kifejezés minden olyan rosszindulatú szoftverre, amelyet arra terveztek, hogy megfigyelje a számítógépes tevékenységünket, és — a legtöbbször — személyes vagy bizalmas információkat is ellopjon: hitelesítő vagy fizetési adatainkat, navigációs előzményeinket és így tovább. A kémprogramok tipikus változatai közé tartoznak a reklámprogramok (adware), a billentyűzetnaplózás (keylogging) valamint a kamera és a mikrofon eltérítése.

Adware

A adware (reklámprogram) általában a webböngészőn belül jelenik meg, és a malwarek egy olyan típusa, amely arra szolgál, hogy reklámokkal bombázza a képernyőt. A legtöbb fejlett adware az online viselkedésünket kémleli, hogy specifikus hirdetésekkel célozzon meg minket. A reklámprogramok törvényes szoftvernek álcázhatják magukat, hogy rávegyenek minket a telepítésükre, de a böngésző sebezhetőségén keresztül is telepíthetőek.

A rendszerre történő telepítés után az adware jellemzően az alábbi jelekről ismerhetők fel: Új eszköztárak jelennek meg a böngészőben, a weboldal linkjei rossz weboldalra vezetnek, a böngésző lassabbá válik, a böngésző kezdőlapja megváltozik stb.

Keylogging

A keylogging (billentyűzetnaplózás) kifejezés magától értetődő. A keylogger tehát egy olyan típusú malware, amely a billentyűleütéseket egy fájlba rögzíti; a fájlt ezután elküldi egy harmadik félnek az interneten keresztül. Nyilvánvaló, hogy a kiberbűnözők komoly károkat okozhatnak az áldozatnak azáltal, hogy lehallgatnak olyan sebezhető információkat, mint a jelszavak, PIN-kódok vagy bankszámlaszámok.

A keyloggerek lényege, hogy elkerüljék a felfedezést és észrevétlenek maradjanak az áldozat számára, mielőtt a kár bekövetkezne.

Note

A keyloggerek lehetnek hardveralapúak és szoftveralapúak is. Használhatók legitim felügyeleti eszközként is.

Kamera és mikrofon eltérítés

Ez a fajta hijacking (eltérítés) malware arra szolgál, hogy jogosulatlanul hozzáférjen mind a beépített, mind a külső mikrofonjainkhoz és kameráinkhoz. Így a kameraképünk és beszélgetéseink a beleegyezésünk nélkül rögzíthetők. Ez számos rosszindulatú cél miatt lehet és nagyon kellemetlen következményekkel járhat: Érzékeny adatok lehallgatása a hangfelvételeken keresztül, videók rögzítése és eladása gyanús weboldalaknak stb.

Trójai vírusok

Homérosz Odüsszeia vagy Vergilius Aeneis műve szerint a görögök a trójai háborút a ravaszságnak és a csalásnak köszönhetően nyerték meg: Ahelyett, hogy lerombolták volna Trója városfalait, kitalálták, hogy egy óriási fából készült lovat hagynak a város kapujában. A hiszékeny trójaiak behozták a lovat, és — legnagyobb meglepetésükre — felfedezték, hogy a görög katonák egész idő alatt benne rejtőztek. A görög mitológia analógiájára a trójai vírus (trojan horse vagy egyszerűen csak trójai) olyan malware, amely törvényes szoftver vagy tartalom, például video- vagy hangfájlok (vagy bármilyen más tartalom) álcája alatt észrevétlenül terjed. Valójában a trójaiakat inkább úgy lehet definiálni, mint a kiberbűnözők által használni kívánt bármilyen típusú rosszindulatú szoftver (vírusok, férgek, zsarolóprogramok stb.) többcélú terjedési stratégiáját.

A kiberbűnözők általi pusztításhoz használt gyakori módszerek

A következő alfejezetek bemutatnak néhány módszert, amelyet a kiberbűnözők az előző fejezetekben ismertetett malwarek némelyikének — ha nem mindegyikének — végrehajtására vagy telepítésére használnak.

Backdoor

A backdoor-t (hátsó ajtó) úgy definiálhatjuk, mint a számítógépes rendszerhez való hozzáférés olyan módját, amely megkerüli az erre a célra tervezett legális, előre meghatározott protokollt (hasonlóan ahhoz, ahogyan az emberek néha valódi hátsó ajtókat használnak, hogy elkerüljék, hogy a valós épületekbe való belépésüket észleljék). Más szóval: A rendszerhez olyan behatoló fér hozzá, aki minden biztonsági intézkedést megkerül. De vajon a hátsó ajtókat szándékosan vagy egyszerűen véletlenül hozzák létre? Nos, mindkettő; nézzük meg.

Először is, ne feledjük, hogy a szoftverek általában — különösen a távoli hozzáférést feltételező szoftverek — sebezhetőek, ezért a kiberbűnözők keményen dolgoznak az úgynevezett nulla napos sebezhetőségek (zero-day vulnerability) felfedezésén. Ahogy a nevük is mutatja, ezeket a sebezhetőségeket még a szoftver megjelenésének napján felfedezik, és azért igazán veszélyesek, mert még nincsenek aktuális javítások vagy megoldások a potenciális károk ellensúlyozására. Így például egy portot véletlenül védtelenül hagyhatnak, és — ha felfedezésre kerül --, ezzel hátsó ajtót biztosíthatnak a behatolóknak.

Másodszor, a kiberbűnözők megpróbálhatnak saját maguk létrehozni egy hátsó ajtót. Ehhez például a social engineering módszerét alkalmazhatják, és megpróbálhatják meggyőzni az áldozatot, hogy telepítsen egy látszólag hasznosnak tűnő szoftvert, amely tartalmazza a hátsó ajtót létrehozó malwaret (például alagutat (tunnel) hozva létre a saját és az áldozat számítógépe között).

Végül, de nem utolsósorban, a gyártók és a fejlesztők maguk is létrehozhatnak és elhelyezhetnek hátsó ajtókat a termékeiken különböző okokból (az egyik ilyen ok a rendszerhez való hozzáférés biztosítása bármikor!).

A leggyakoribb kellemetlen dolgok közül, amelyekre a hátsó ajtók felhasználhatók, a következőket említhetjük:

  • Rosszindulatú programok szállítása: trójaiak, keyloggerek stb.

  • Kémkedés, azaz érzékeny információk ellopása, ami személyazonosság-lopáshoz vagy csalárd tranzakciók végrehajtásához vezethet stb.

  • Szerverek eltérítése

  • Weboldalak eltorzítása (defacing)

Note

A Website defacement (vagy web defacement) egy weboldal elleni támadás, amelynek során a kiberbűnözők a weboldal tartalmának egy részét a saját tartalmukkal helyettesítik (pl. a honlapot egy olyan üzenettel helyettesítik, amely azt írja: “Ezt a weboldalt feltörték”).

Data Exfiltration

A data exfiltration (adatkinyerés) az adatoknak egy információs rendszerből történő jogosulatlan átvitelére utal. A data exfiltration egyik leggyakoribb formája a DNS-resolver feltörése. Egy ilyen forgatókönyv esetén a lépések a következők:

  1. Adathalász-támadást (phishing attack) hajtanak végre: Egy e-mailt küldenek, amely egy dokumentumba ágyazott malwaret tartalmaz.

  2. Az áldozat megnyitja az e-mailt. A rosszindulatú kód végrehajtásra kerül, és a DNS-resolveren keresztül parancs- és vezérlésicsatorna jön létre.

  3. A malware elkezd szaporodni, amíg nem talál bizalmas adatokat, amelyeket kinyerhet. Az adatokat ezután egy külső szerverre küldi.

Note

A DNS a Domain Name System rövidítése, és nagyon fontos szerepet tölt be az interneten, mivel ez a rendszer felelős a hostnevek IP-címekre történő lefordításáért.

Hogyan jutnak be a malwarek a számítógépbe, és mit tehetünk ellenük?

Mint már láttuk, a malwarek többféle módon is bejuthatnak a számítógépünkre: amikor a felhasználó megtévesztő e-mailekben vagy weboldalakon felugró ablakokban található linkekre kattint, mellékleteket nyit meg, USB-meghajtót helyez be stb. A cryptominereket például egyszerűen egy weboldal meglátogatásával is el lehet juttatni! Ebben az esetben a rosszindulatú JavaScript egy darabját már korábban beágyazták a weboldalba, így minden látogató hoston elindul a cryptomining (cryptobányászat). Hasonlóképpen, a vírusok — és más típusú rosszindulatú programok — másolatokat készíthetnek a rendszerben lévő kritikus fájlokról, hogy ezzel elkerüljék az azonosítást.

A trójaiakat általában valamilyen social engineering módszerrel juttatják célba. Általában az áldozat egy adathalász e-mail üzenetet kap, amelynek melléklete tartalmazza a rosszindulatú kódot. Amint rákattint, lefut a tartalma.

Note

A social engineering egy gyűjtőfogalom, amely a bizalmas információk megszerzésére irányuló törvénytelen társadalmi gyakorlatokra utal. A phishing (adathalászat) egyfajta social engineering technika, amikor a támadó hamisított e-mail üzenetet küld az áldozatnak, hogy rávegye őket bizalmas vagy érzékeny információk felfedésére. Az adathalászaton belül találunk specifikusabb támadásokat, mint például a spear phising (egy adott személyt céloz meg) vagy a whaling (egy vállalat magas rangú embereit célozza meg).

A malwarek elleni védelemnek több módja is van:

  • Használjunk vírusirtó és antimalware szoftvereket (szkennerek stb.)!

  • Tartsuk folyamatosan frissítve az összes szoftvert (antimalware és egyéb)!

  • Korlátozzuk az adathozzáférést!

  • Futtassunk programokat virtuális környezetben (sandboxing)!

  • Ellenőrizzük, hogy tartalmaznak-e az e-mailek és a csatolmányok rosszindulatú programokat!

  • Ne töltsünk le vagy telepítsünk futtatható fájlokat nem megbízható forrásból!

  • Figyeljünk az adathalász e-mailekre utaló jelekre (furcsa tartománynevek, nyelvtani és gépelési hibák stb.)!

  • Rendszeresen készítsünk biztonsági mentést az eszközökről és a fontos adatokról!

  • Erősítsük meg a hitelesítési rendszereinket!

Note

A Linux kernelhez egy nagy teljesítményű tűzfal, az iptables tartozik, és néhány disztribúció saját, felhasználóbarát front-endet is tartalmaz hozzá (az Ubuntu például a Gufw-t). Hasonlóképpen, az nmap (egy hálózati szkenner) minden nagyobb GNU/Linux disztribúció repositoryjában megtalálható, és a rosszindulatú programok bizonyos típusai ellen használható a hálózatok védelmére. Sok más malware elleni megoldás is elérhető Linuxhoz, de ez nem tartozik ennek a leckének a tárgykörébe.

Gyakorló feladatok

  1. Tekintsük át a következő tüneteket, és határozzuk meg, hogy legvalószínűbben melyik malware típushoz tartoznak:

    Tünet Malware típusa

    A számítógép túlmelegszik, amikor egyszerűen csak szörfözünk az interneten.

    Észreveszünk egy általunk nem telepített, új eszköztárat a böngészőjében.

    Egy nem általunk írt e-mailt elküldenek mindenkinek a címjegyzékből.

    Nem tudunk hozzáférni a fájljainkhoz, mert azok titkosítva vannak.

    Nem engedélyezett fényképeket találunk magunkról a világhálón.

  2. Jelöljük meg, hogy az alábbi tevékenységek kockázatos gyakorlatnak vagy védőintézkedésnek minősülnek-e:

    Intézkedés Kockázatos gyakorlat vagy védőintézkedés

    Az adathozzáférés korlátozása

    Futtatható fájl telepítése nem megbízható forrásból

    Felugró ablakra kattintás

    A legújabb rendszerfrissítések telepítése

    Gyanús USB-kulcs behelyezése a számítógépbe

    Rendszeres biztonsági mentés

    Hitelkártyaadatok elküldése e-mailben

  3. Milyen típusú támadás esetén kapunk csalárd e-mailt, amely látszólag megbízható forrásból (bank, közösségi média, rokonok vagy ismerősök, cégen belüli felettes) érkezik?

  4. Milyen kifejezés határozza meg azokat a malwareket, amelyek legitim szoftvernek (vagy tartalomnak) adják ki magukat?

  5. Milyen típusú rosszindulatú szoftver rögzíti titokban a billentyűzeten lenyomott billentyűket?

Gondolkodtató feladatok

  1. Tegyük fel, hogy a készülék mikrofonját eltérítették, és a kiberbűnözők elkapnak néhány személyes információt rólunk. Hogyan használhatnák fel ezeket az információkat arra, hogy hozzáférjenek az online szolgáltatásainkhoz?

  2. A szignatúra-alapú felismerést a vírusirtó szoftverek használják a rosszindulatú programok azonosítására. Mit értünk a vírus szignatúrája (virus signature) vagy vírusdefiníció (virus definition) kifejezések alatt?

  3. Keressünk rá az interneten a következő kifejezésekre, és magyarázzuk el jelentésüket:

    1. Kétfaktoros (vagy többfaktoros) autentikáció:

    2. Botnet:

Összefoglalás

Ebben a leckében megtudhattuk, hogy mi a malware, mik a malware különböző típusai és hogyan működnek. Azt is megtanultuk, hogy a rosszindulatú programok milyen különböző módon tudnak beszivárogni a számítógépre, és hogyan védhetjük meg hatékonyan a rendszert a malwarek támadásaitól.

Válaszok a gyakorló feladatokra

  1. Tekintsük át a következő tüneteket, és határozzuk meg, hogy legvalószínűbben melyik kártevőtípushoz tartoznak:

    Tünet Malware típusa

    A számítógép túlmelegszik, amikor egyszerűen csak szörfözünk az interneten.

    Cryptomining

    Észreveszünk egy általunk nem telepített, új eszköztárat a böngészőjében.

    Adware (reklámprogram)

    Egy nem általunk írt e-mailt elküldenek mindenkinek a címjegyzékből.

    Vírus

    Nem tudunk hozzáférni a fájljainkhoz, mert azok titkosítva vannak.

    Ransomware (zsarolóvírus)

    Nem engedélyezett fényképeket találunk magunkról a világhálón.

    Camera hijacking (a kamera eltérítése)

  2. Jelöljük meg, hogy az alábbi tevékenységek kockázatos gyakorlatnak vagy védőintézkedésnek minősülnek-e:

    Intézkedés Kockázatos gyakorlat vagy védőintézkedés

    Az adathozzáférés korlátozása

    Védőintézkedés

    Futtatható fájl telepítése nem megbízható forrásból

    Kockázatos gyakorlat

    Felugró ablakra kattintás

    Kockázatos gyakorlat

    A legújabb rendszerfrissítések telepítése

    Védőintézkedés

    Gyanús USB-kulcs behelyezése a számítógépbe

    Kockázatos gyakorlat

    Rendszeres biztonsági mentés

    Védőintézkedés

    Hitelkártyaadatok elküldése e-mailben

    Kockázatos gyakorlat

  3. Milyen típusú támadás esetén kapunk csalárd e-mailt, amely látszólag megbízható forrásból (bank, közösségi média, rokonok vagy ismerősök, cégen belüli felettes) érkezik?

    Phishing támadás

  4. Milyen kifejezés határozza meg azokat a malwareket, amelyek legitim szoftvernek (vagy tartalomnak) adják ki magukat?

    Trójai vírusok (trojan horse)

  5. Milyen típusú rosszindulatú szoftver rögzíti titokban a billentyűzeten lenyomott billentyűket?

    Keyloggerek

Válaszok a gondolkodtató feladatokra

  1. Tegyük fel, hogy a készülék mikrofonját eltérítették, és a kiberbűnözők elkapnak néhány személyes információt rólunk. Hogyan használhatnák fel ezeket az információkat arra, hogy hozzáférjenek az online szolgáltatásainkhoz?

    Ne feledjük, hogy egyes online szolgáltatások biztonsági kérdéseket használnak arra az esetre, ha elfelejtettük a jelszavunkat. Így a kiberbűnözők bejelentkezhetnek a szolgáltatásba, ha helyesen válaszolnak például az olyan kérdésekre, hogy mi a háziállatunk neve vagy milyen színű a szeme.

  2. A szignatúra-alapú felismerést a vírusirtó szoftverek használják a rosszindulatú programok azonosítására. Mit értünk a vírus szignatúrája (virus signature) vagy vírusdefiníció (virus definition) kifejezések alatt?

    A vírus szignatúrája vagy a vírusdefiníció a vírus ujjlenyomatára utal, vagyis azon egyedi adatok összességére, amelyek lehetővé teszik a vírusirtó szoftverek számára a vírus azonosítását.

  3. Keressünk rá az interneten a következő kifejezésekre, és magyarázzuk el jelentésüket:

    1. Kétfaktoros (vagy többfaktoros) autentikáció:

      A kétfaktoros hitelesítés (Two-Factor Authentication, 2FA) vagy a többfaktoros hitelesítés (Multifactor Authentication, MFA) a felhasználói fiókok védelme során további biztonsági rétegeket biztosít.

    2. Botnet:

      A botnetet fertőzött számítógépek (“botok”) hálózataként definiálhatjuk, amelyeket tömeges támadások, például elosztott szolgáltatásmegtagadás (DDOS) stb. végrehajtására használnak.

Linux Professional Insitute Inc. Minden jog fenntartva. Látogasson el a tananyagok weboldalára: https://learning.lpi.org
Ez a munka a Creative Commons Nevezd meg! - Ne add el! - Ne változtasd! 4.0 (CC BY-NC-ND 4.0) Nemzetközi lincence alapján van engedélyezve.