Μια ανάλυση 100.000+ δειγμάτων malware για Windows, αποκαλύπτει τις πιο διαδεδομένες τεχνικές που χρησιμοποιούν οι δημιουργοί κακόβουλου λογισμικού, για να αποφύγουν με επιτυχία τα μέτρα προστασίας, να αναβαθμίσουν δικαιώματα, να εκτελέσουν το κακόβουλο λογισμικό και να διασφαλίσουν την επιμονή του.

Δείτε επίσης: Το malware AZORult εξαπλώνεται μέσω ψεύτικων ιστότοπων Google

Τεχνικές και τακτικές malware

Τα δείγματα malware που αναλύθηκαν, διαδόθηκαν συχνότερα μέσω κακόβουλων συνημμένων αρχείων ηλεκτρονικού ταχυδρομείου, που περιλάμβαναν κακόβουλα έγγραφα, αρχεία συντόμευσης Windows (LNK), δοχεία ISO/VHD και εγκαταστάτες MSI.

Δε θα πρέπει πλέον να μας εκπλήσσει το γεγονός ότι η αποφυγή της άμυνας είναι μακράν η πιο κοινή τακτική που χρησιμοποιείται από το malware, καθώς η αποτελεσματικότητά της εξαρτάται από το να μην εμποδίζεται και/ή να μην ανιχνεύεται από λύσεις και ομάδες ασφαλείας.

Ο Samir Bousseaden, ένας ειδικός ασφαλείας στην Elastic Security Labs, έχει σημειώσει ότι οι κύριες τεχνικές αποφυγής άμυνας που χρησιμοποιούν τα malware, σχετίζονται με την εισαγωγή κώδικα, την παραποίηση άμυνας, το masquerading, και τη χρήση system binary proxy.

Αυτή τη στιγμή, δημοφιλείς υπο-τεχνικές περιλαμβάνουν:

  • DLL side-loading
  • Parent PID Spoofing
  • Κατάχρηση system binary proxies
  • Masquerading
  • Χρήση κακόβουλων MSI installers
  • Tampering with Windows Defender
  • Process injection και self-injection
  • NTDLL unhooking

Δείτε ακόμα: Τα “TicTacToe Dropper” χρησιμοποιούνται για τη διανομή malware

Συνήθως, η ανύψωση προνομίων επιτυγχάνεται μέσω της διαχείρισης διακριτικού πρόσβασης, όπως ανέφερε ο Bousseaden.

Η εκτέλεση μέσω προνομιούχων υπηρεσιών συστήματος, παρακάμπτοντας τον Έλεγχο Λογαριασμού Χρήστη, μιμούμενοι αξιόπιστους καταλόγους και η χρήση ευάλωτων οδηγών, είναι επίσης δημοφιλείς τεχνικές malware.

Συχνά το malware εκτελείται εκμεταλλευόμενο τις προεπιλεγμένες γλώσσες εντολών και σεναρίων των Windows (PowerShell, Javascript, VBscript), αν και “υπήρξε μια ελαφρά αύξηση στη μετάβαση προς τη χρήση άλλων διερμηνευτών σεναρίων τρίτων, όπως Python

, AutoIt, Java και Lua.

Οι χάκερς συχνά εκμεταλλεύονται επίσης το Windows Management Instrumentation (WMI), ένα νόμιμο εργαλείο διαχείρισης τεχνολογίας πληροφοριών, για την εκτέλεση κακόβουλων φορτίων.

Δείτε επίσης: Κακόβουλα Google ads εξαπατούν τους χρήστες Mac να εγκαταστήσουν το Atomic Stealer malware

Πώς μπορείτε να προστατευθείτε από malware;

Η προστασία από malware απαιτεί πολλαπλές τεχνικές. Καταρχάς, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και τα προγράμματα του υπολογιστή σας ενημερωμένα. Επίσης, η χρήση αξιόπιστου λογισμικού antivirus είναι ζωτικής σημασίας. Αυτά τα προγράμματα σαρώνουν τον υπολογιστή σας για να εντοπίσουν και να αφαιρέσουν πιθανά κακόβουλα λογισμικά και μπορούν να παρέχουν προστασία σε πραγματικό χρόνο. Η εκπαίδευση στην ασφάλεια του διαδικτύου είναι επίσης σημαντική. Είναι σημαντικό να αναγνωρίζετε και να αποφεύγετε τις κοινές απάτες και τα κακόβουλα διαδικτυακά μηνύματα που μπορεί να προσπαθήσουν να εγκαταστήσουν κακόβουλο λογισμικό στον υπολογιστή σας. Τέλος, είναι σημαντικό να διατηρείτε τακτικά αντίγραφα ασφαλείας των σημαντικών δεδομένων σας.

Πηγή: helpnetsecurity