MALWARE – OPIS I PRZECIWDZIAŁANIE

Termin malware oznacza ogół programów o szkodliwym działaniu w stosunku do systemu komputerowego lub jego użytkownika.
Dokładniej mówiąc, jest to szeroko pojęte oprogramowanie, oprogramowanie sprzętowe (firmware) lub kod przeznaczone do wykonania złośliwego, nieautoryzowanego procesu, który będzie miał niekorzystny wpływ na centralne cele bezpieczeństwa teleinformatycznego – poufność, integralność lub dostępność systemu lub informacji.Użycie malware prowadzi do poniesienia strat przez ofiarę. Określenie malware (złośliwe oprogramowanie) powstało z połączenia słów języka angielskiego malicious (złośliwy) oraz software (oprogramowanie).
Celem złośliwego oprogramowania mogą być zarówno urządzenia komputerowe czy systemy teleinformatyczne, jak i w konsekwencji osoby fizyczne, przedsiębiorstwa, instytucje publiczne, szpitale, usługi cyfrowe itp. Codziennie używane są miliardy urządzeń na świecie. Każde z nich stanowi dla cyberprzestępców okazję, aby nielegalnie się wzbogacić, szpiegować użytkowników czy dezorganizować lub zniszczyć systemy.

Malware może przybierać różne formy i możliwości w zależności od celu, jaki chce osiągnąć jego twórca np. RAT (Remote Access Trojan, czyli trojan zdalnego dostępu) służy do zdalnego przejmowania kontroli nad systemem przez atakującego. W związku z różnym przeznaczeniem rodzina złośliwego oprogramowania została podzielona na typy.

Wybrane typy malware:

Opracowanie własne

Nawiązując do raportu ENISA Threat Landscape 2021 w 2020 roku najpopularniejszą kategorią malware, które zostało wykryte w przedsiębiorstwach, było oprogramowanie dołączające urządzenia do botnetu. Botnet jest to sieć zainfekowanych komputerów, w której cyberprzestępca posiada zdalną kontrolę nad maszynami bez wiedzy i zgody faktycznych właścicieli. Ta kategoria malware stanowiła 28% całego wykrytego oprogramowania złośliwego.

Więcej o botnetach w „Cyberzagrożenia w pigułce #3”

Na drugim miejscu znalazł się cryptojacking (21%), a potem kolejno oprogramowanie do wykradania informacji (16%), związane z urządzeniami mobilnymi (15%), bankowością (14%) i ransomware (4%). Natomiast zestawienie z czerwca 2021 roku najczęściej wykrywanych rodzin malware zawiera oprogramowanie Trickbot (botnet i bankowość), XMRig (cryptojacking), Formbook (wykradanie informacji), Glupteba (botnet) oraz Agent Tesla (wykradanie informacji). Co roku pojawiają się nowe rodziny i szczepy złośliwego oprogramowania, a cyberprzestępcy starają się zawsze być o krok przed organami ścigania i firmami zabezpieczającymi systemy – w związku z tym w organizacji wykorzystującej systemy komputerowe nie ma możliwości całkowicie wyeliminować zagrożenia.

Jednym z przykładów ciągłego rozwoju oprogramowania typy malware przez cyberprzestępców jest stosunkowo nowe rozwiązanie: fileless malware, czyli bezplikowe złośliwe oprogramowanie. Jest to wyrafinowane i ukierunkowane oprogramowanie skierowane na konkretną aplikację. Atak opiera się o zapisanie złośliwego kodu w pamięci operacyjnej (lub pamięci karty grafiki GPU), a nie na przestrzeni dyskowej, co zmniejsza szansę na wykrycie przez program antywirusowy. Innym również stosunkowo nowym sposobem na zmniejszenie wykrywalności malware jest tworzenie go w nietypowych lub nowych językach programowania (takich jak np. Rust, Nim, DLang i Go324). Oprogramowanie antywirusowe używa różnych mechanizmów detekcji malware w tym tzw. wskaźników kompromitacji (IoC). Jednym z takich wskaźników może być obliczona funkcja skrótu (hash) pliku malware’u i porównana z bazą danych. Jeśli złośliwy kod jest napisany i skompilowany w nowym języku programowania, to obliczony hash będzie się różnił od tych znanych, a program antywirusowy może nie rozpoznać pliku jako złośliwy. Mimo że odsetek złośliwego oprogramowania napisanego w rozwijających się językach wciąż jest niski, to może ono stanowić poważne zagrożenie w przyszłości.

Tym, co najczęściej przyciąga cyberprzestępców, są pieniądze. Jednak najpierw musi on zdobyć dane osobowe, informacje finansowe, czy dane uwierzytelniające do bankowości internetowej. Wiele z tych danych w dzisiejszych czasach znajduje się na smartfonach. W związku z tym ciągle rośnie liczba prób włamania się do ich systemów. Cyberprzestępcy wykorzystują wiele sposobów, żeby nieuczciwie się wzbogacić np. poprzez wykorzystanie adware, trojanów, spyware czy ransomware, które dostają się na smartfony ofiar. Użytkownicy nie zabezpieczają urządzeń mobilnych tak dokładnie, jak komputerów, więc często narażeni są nawet na proste złośliwe oprogramowanie. Zainfekowane smartfony mogą stanowić duże zagrożenie dla prywatności – cyberprzestępcy mogą przechwytywać obraz z kamery, dźwięk z mikrofonu czy lokalizację GPS. Co więcej, większość użytkowników korzystających z dwuskładnikowego uwierzytelniania przeprowadza autoryzację przy użyciu właśnie smartfona – posiadając dostęp do urządzenia, atakujący może dostać się do kont ofiary np. konta bankowego.

Sposobów na zainfekowanie komputerów i innych urządzeń jest wiele – większość z nich wykorzystuje sieć Internet. Zazwyczaj cyberprzestępcy potrzebują jakiegoś rodzaju interakcji użytkownika, aby doszło do pobrania złośliwego oprogramowania. Mogą to być np. przeglądanie przejętych/fałszywych stron, klikanie w wyświetlające się gry, reklamy, pobieranie plików z niezaufanego źródła lub pobieranie załączników w phishingowych wiadomościach e-mail. Może to być również dodawanie nowych niebezpiecznych wtyczek do przeglądarki czy pobieranie oprogramowania z nieznanego źródła. Interakcje te wiążą się z pobieraniem plików na urządzenie. Jednakże całkowite zrezygnowanie z pobierania czegokolwiek z Internetu nie daje pełnej gwarancji bezpieczeństwa, ponieważ istnieje możliwość samoczynnego pobrania malware bez udziału użytkownika, np. po wyświetleniu zainfekowanej reklamy. Urządzenia mobilne również mogą zostać zainfekowane na wiele sposobów – zarówno w wyniku działania użytkownika np. kliknięcie w niebezpieczne łącze, jak i bez jego udziału np. poprzez połączenie Bluetooth. W praktyce większość złośliwego oprogramowania na smartfonach jest oparta na złośliwych aplikacjach instalowanych przez same ofiary.

Trudno jest jednoznacznie ocenić, czy komputer został zainfekowany złośliwym oprogramowaniem. Mimo to istnieją pewne typowe objawy, które mogą wskazywać, że użytkownik jest ofiarą malware.

Przesłanki do detekcji malware:
Opracowanie własne 

Skuteczne przeciwdziałanie zainfekowaniu urządzenia wymaga podjęcia wysiłku na wielu poziomach i ciągłej uważności. Rozwaga jest pierwszym składnikiem bezpieczeństwa. Wiele rodzajów malware jest rozpowszechniana za pomocą metod phishingowych.

Więcej o phishingu w „Cyberzagrożenia w pigułce #1”

Należy umieć ocenić, czy dana wiadomość, załącznik, wyświetlająca się reklama są autentyczne, czy mogą zawierać złośliwe oprogramowanie. Ponadto nie powinno się pobierać oprogramowania z niepewnych źródeł. W przypadku urządzeń mobilnych należy korzystać tylko z oficjalnych sklepów z aplikacjami. Przed pobraniem programu warto zapoznać się z opiniami innych użytkowników. Jeśli te są negatywne lepiej zrezygnować z instalowania danej aplikacji, bo może być ona wykorzystywana do infekowania złośliwym oprogramowaniem. Ważne jest, aby podczas instalacji aplikacji zwracać uwagę na ostrzeżenia, zwłaszcza jeśli chce ona uzyskać zgodę na dostęp do poczty elektronicznej lub danych osobowych. Kolejnym elementem jest zadbanie, żeby system operacyjny, programy, przeglądarki i wtyczki do przeglądarek były zawsze aktualne. Firmy dostarczające oprogramowanie w przypadku wykrycia podatności związanej z ich produktem wydają uaktualnienie tzw. łatkę (ang. patch). W przypadku, gdy użytkownik nie zaktualizuje swojej wersji, cyberprzestępcy mogą wykorzystać podatność np. do przejęcia kontroli nad komputerem, czy kradzieży danych. Bezpośrednim sposobem walki ze złośliwym oprogramowaniem jest zainstalowanie programu antywirusowego. Obecnie takie programy nie chronią tylko przed wirusami, lecz również przed innymi typami cyberzagrożeń jak np. ransomware, czy spyware. Posiadają one również takie funkcjonalności jak firewall, IPS, IDS. Działanie antywirusa polega na aktywnej ochronie, która ma na celu reagowanie na zagrożenia w czasie rzeczywistym. Ponadto program okresowo skanuje urządzenie w poszukiwaniu malware i je usuwa. Zainstalowane wraz z systemem Windows 10 oprogramowanie Windows Defender jest powszechnie uważane za dobre i skuteczne. Zawiera ono antywirusa, zaporę sieciową, ustawienia kontroli aplikacji oraz kilka innych funkcji. Niektórzy użytkownicy chcą dodatkowo zabezpieczyć swoje zasoby, korzystając z płatnych rozwiązań innych producentów. W takim przypadku warto zapoznać się z rankingami i recenzjami danych antywirusów. Można również zwrócić uwagę na dodatkowe funkcje zwiększające bezpieczeństwo i prywatność, które dostawcy łączą w pakiety. W przypadku zainfekowania urządzenia złośliwym oprogramowaniem typu malware często ostatecznym i jedynym rozwiązaniem jest reinstalacja systemu. Warto więc zawczasu zadbać o wykonywanie kopii zapasowych najważniejszych danych, dokumentów, zdjęć itp.

Jednakże, jeśli powyższe sposoby prewencji zawiodą i urządzenie zostanie zainfekowane złośliwym oprogramowaniem (rozpoznamy typowe objawy) należy pozbyć się intruza. W pierwszej kolejności należy uruchomić komputer w trybie awaryjnym. Tryb awaryjny polega na uruchomieniu systemu, jednak nie z całym zainstalowanym oprogramowaniem. Malware często uruchamia się wraz ze startem systemu – próba ta może wówczas zostać zablokowana (w zależności od malware’u). Następnie należy wykonać pełne skanowanie urządzenia najlepiej z użyciem dwóch różnych programów. Jednym z nich może być np. wbudowany Windows Defender lub inne zainstalowane na komputerze oprogramowanie antywirusowe. Drugim mogą być bezpłatne skanery renomowanych firm jak np. Malwarebytes, czy ESET. Aby pobrać taki program, należy wcześniej uruchomić tryb awaryjny z dostępem do sieci lub skorzystać z drugiego komputera i dysku zewnętrznego (pendrive), aby przenieść program. Później użytkownik powinien zaktualizować system, przeglądarki, wtyczki i inne programy znajdujące się na komputerze. Po usunięciu zagrożenia należy zmienić wszystkie hasła, jakie były używane na danym komputerze (w tym do np. poczty, banku itp.) – złośliwe oprogramowanie mogło je wykraść i przekazać cyberprzestępcom. Jeśli po wykonaniu wszystkich kroków nie udało się zneutralizować zagrożenia, należy rozważyć ponowną instalację systemu operacyjnego. Przed wykonaniem takiego działania warto skorzystać z pomocy technicznej oferowanej przez Windows, czy Apple lub z pomocy informatyków, zajmujących się odpłatnie naprawianiem komputerów.

 
W celu sprawdzenia, czy na naszym komputerze nie znajduje się złośliwe oprogramowanie, warto urządzenie przeskanować za pomocą skanera od zaufanego dostawcy. Użycie skanera pozwoli zidentyfikować i usunąć zagrożenia z komputera. Jednym z wysoko ocenianych rozwiązań jest Skaner Online firmy ESET dostępny za darmo na stronie: https://www.eset.com/pl/home/online-scanner/ 

Złośliwe oprogramowanie jest w dzisiejszych czasach bardzo powszechnym zagrożeniem. Cyberprzestępcy starają się wykorzystać coraz to nowe techniki i sposoby, aby wzbogacić się kosztem użytkowników Internetu. W związku z tym należy cały czas zwiększać swoją wiedzę w zakresie cyberbezpieczeństwa oraz stosować się do już znanych zasad tak, aby nie stać się jedną z ofiar cyberzagrożeń.
 
Opracował: pchor. Bartosz Słupczewski, Akademia Marynarki Wojennej - Cyfrowy Ambasador NCBC 
 
 
Źródła: 
ENISA Threat Landscape 2021 
ENISA Threat Landscape 2020 - Malware 
https://www.malwarebytes.com/malware 
https://blog.malwarebytes.com/101/2015/06/10-easy-steps-to-clean-your-infected-computer/ 
https://www.gov.pl/web/baza-wiedzy/zlosliwe-oprogramowanie--co-to-takiego-jak-sie-chroni