Γιατί οι διαδικτυακές μολύνσεις χωρίς αρχείο είναι οι ιοί του μέλλοντος

Οι ειδικοί σε θέματα διαδικτυακής ασφάλειας και συστημάτων άρχισαν να σπαζοκεφαλιάζουν και να συζητούν σχετικά με ένα νέο είδος κυβερνο-απειλής. Πρόκειται για νέου τύπου malware τα οποία δεν έχουν κάποιο αρχείο (βλ. “Fileless infections”). Το κύριο χαρακτηριστικό αυτής της κατηγορίας ιών είναι ότι δρουν χωρίς να αφήνουν κανένα απολύτως ίχνος. Με αυτό το τρόπο, καταφέρνουν να υπερπηδούν τους εντοπισμούς από λογισμικά ασφάλειας (anti-virus, anti-spyware) που βασίζονται σε αρχειακή βάση δεδομένων. Πρόκειται για ομάδα ιών με πολύ ιδιαίτερα χαρακτηριστικά και ακόμα η γνώση σχετικά με τους τρόπους λειτουργίας και τις στρατηγικές τους βρίσκεται σε πολύ πρώιμο στάδιο. Από τα μέχρι τώρα δεδομένα που έχουν συλλεχθεί, αυτού του είδους οι ιοί χωρίζονται σε δυο μεγάλες ομάδες.

Η πρώτη ομάδα ιών ονομάζεται “Escapers.” Οι ιοί που ανήκουν σε αυτή τη malware ομάδα, έχουν τη τάση να φεύγουν από το σύστημα μόλις ολοκληρώσουν τους κακόβουλες λειτουργίες που έχουν σχεδιαστεί να κάνουν. Οι ιοί Escapers έχουν τη δυνατότητα συλλογής των τεχνικών δεδομένων ενός συστήματος και με το τρόπο αυτό να το μολύνουν με το βέλτιστο δυνατό αποτέλεσμα. Μόλις η μόλυνση του συστήματος-στόχου με άλλα κακόβουλα προγράμματα κι αρχεία ολοκληρωθεί, οι escapers φεύγουν από το σύστημα.

Οι πιο γνωστοί ιοί escapers είναι οι PowerSniff και USB Thief. Όσον αφορά τον ιό PowerSniff, αυτός έχει τη τάση να ‘μεταμφιέζεται’ ως αρχείο macro. Συνήθως, εμπεριέχει κωδικό κάποιου ιδιαιτέρως επικίνδυνου ιού. Όσον αφορά τον ιό USB Thief, αυτός έχει τη τάση να κρύβεται σε δεδομένα που είναι αποθηκευμένα σε φορητές μονάδες αποθήκευσης. Μόλις μια τέτοια μολυσμένη αποθηκευτική μονάδα συνδεθεί στον υπολογιστή-στόχο, ο ιός αρχίζει να συλλέγει δεδομένα του συστήματος, χωρίς να αφήσει κανένα ίχνος.

Η δεύτερη ομάδα ιών χωρίς αρχείο, ονομάζεται “Residents”. Πρόκειται για ιδιαιτέρως επιθετικά kits που μπορούν να τρέχουν στο παρασκήνιο του συστήματος του υπολογιστή σας χωρίς να τα αντιληφθείτε. Συνήθως, τρέχουν κωδικοποιημένες δέσμες εντολών στο registry του υπολογιστή. Είναι πολύ δύσκολο να εντοπιστούν. Χαρακτηριστικός ιός της ομάδας “Residents”, είναι ο ιός Kovter . Δημιουργεί registry keys που δε μπορούν να διαβαστούν και τα οποία μεταφέρουν κακόβουλες δέσμες εντολών. Ο ιός Kovter έχει τη δυνατότητα μπλοκαρίσματος της οθόνης και των δεδομένων του μολυσμένου υπολογιστή. Πολλοί ειδικοί σε θέματα διαδικτυακής ασφάλειας και συστημάτων πιστεύουν ότι ο ιός σχετίζεται με τον πολύ επικίνδυνο ιό FBI ransomware.

Δυστυχώς, όπως αναφέρθηκε και πιο πάνω, δε γνωρίζουμε πολλά για τους ιούς χωρίς αρχεία (βλ. fileless viruses). Είναι σαφές ότι έχουν τη δυνατότητα, αλλά και τη τάση, να προκαλέσουν σοβαρές ζημιές στο σύστημα-στόχο, λόγω της ιδιόμορφης φύσης τους και του μεγάλου εύρους των δυνατοτήτων τους. Το χειρότερο είναι ότι μόλις ολοκληρώσουν τους κακόβουλους σκοπούς τους εξαφανίζονται, οπότε είναι ιδιαιτέρως δύσκολο για τους ερευνητές να συλλέξουν δεδομένα για το τρόπο λειτουργίας και τις στρατηγικές τους.

Ο πλέον αξιόπιστος τρόπος να προφυλάξετε το σύστημα του υπολογιστή σας, από αυτές, αλλά και οποιασδήποτε άλλης μορφής κυβερνο-απειλή, είναι να έχετε εγκαταστημένο στον υπολογιστή σας ένα πλήρως ενημερωμένο κι αξιόπιστο λογισμικό ασφάλειας. Είναι μείζονος σημασίας να το ενημερώνετε τακτικά, για να μπορεί να εντοπίζει και να αφαιρεί ολοκληρωτικά τις πλέον πρόσφατες κυβερνο-απειλές!