Co zrobić, kiedy złapiesz malware?

Przeczytaj także: Cyberprzestępcy to już nie są "zwykli" hakerzy

W jaki sposób złośliwe oprogramowanie znajduje drogę do Twoich urządzeń?

Złośliwe oprogramowanie, aby wedrzeć się na stacje robocze i systemy komputerowe może wykorzystywać różne punkty wejścia. Wśród głównych wektorów potencjalnej infekcji wskazuje się phishing. Jego techniki mogą być mniej lub bardziej skomplikowane, jednak ich modus operandi opiera się na przekonaniu użytkownika do zainstalowania malware. Jako wektory infekcji wykorzystywane są także nośniki fizyczne. Najbardziej oczywistym tego przykładem jest zewnętrzna pamięć USB. Istnieją jednak mniej konwencjonalne nośniki, takie jak faksy, drukarki, myszy komputerowe, a nawet kable USB, które są regularnie identyfikowane jako potencjalne punkty wejścia do stacji roboczych – a tym samym sieci komputerowych.

Rzeczywistość w 2022 roku jest taka, że nawet fizyczne zablokowanie portów USB nie gwarantuje odporności na zagrożenia. Na początku 2022 r. wykryto rootkita ukrytego w oprogramowaniu układowym UEFI w pamięci SPI Flash płyty głównej komputera, a nie na dysku twardym. Współczesne komputery korzystają z oprogramowania układowego UEFI podczas procesu uruchamiania. Staje się ono coraz bardziej popularnym celem atakujących, którzy korzystając z niego chcą ukryć złośliwe oprogramowanie – mówi Aleksander Kostuch, inżynier Stormshield, specjalista ds. bezpieczeństwa IT.

W UEFI zawarte są informacje i ustawienia używane do ładowania systemu operacyjnego. W opisywanym przypadku złośliwy kod miał być wykonany przed uruchomieniem systemu operacyjnego.

Złośliwy implant, nazwany „MoonBounce” miał umożliwić instalację dodatkowego złośliwego oprogramowania w zaatakowanym systemie. Źródło jego pochodzenia przypisano chińskojęzycznej grupie zaawansowanych trwałych zagrożeń (APT41) jednak pierwsze z tego typu zagrożeń, z w 2018, przypisano działającej w Rosji grupie Sednit. Do zapisu w oprogramowaniu układowym wykorzystano luki i dogłębną wiedzę na temat sprzętu – uzupełnia Aleksander Kostuch.

Jak podkreślają analitycy ds. cyberbezpieczeństwa do osiągnięcia swoich celów przestępcy wykorzystują rzeczywiste luki w zabezpieczeniach, takie jak brak szyfrowania przesyłanych danych. Wskazują również, że nasilającym się zjawiskiem są również tzw. cyberataki na łańcuch dostaw.

Cyberprzestępcy bezpośrednio infekują aplikacje dedykowane na urządzenia mobilne, aby w ten sposób wstrzyknąć je użytkownikom podczas aktualizacji. W taki sposób pod koniec 2020 r. złośliwym oprogramowaniem Sunburst zainfekowanych zostało prawie 18 tys. klientów firmy SolarWinds. Popularne sklepy - Play Store, App Store czy Google Play Store zawierają zainfekowane aplikacje, z których wiele, zanim zostaną usunięte z platform, pobieranych jest przez miliony użytkowników – mówi Aleksander Kostuch.

A jaki jest cel działania przestępców? Dzięki malwarom zyskują na przykład możliwość kradzieży danych uwierzytelniających, aby za ich pomocą uzyskać zdalny dostęp do stacji roboczej. Skutkiem ataku może być także przechwycenie bazy danych kontaktów czy przejęcie kontroli nad przeglądarką internetową. Złośliwe oprogramowanie może być również wykorzystywane do kradzieży haseł tymczasowych; na przykład tych wysłanych SMS-em. Efekt w każdym przypadku wiąże się z ryzykiem wymiernych strat, potencjalnie także finansowych.

Kiedy wiadomo, że złośliwe oprogramowanie zainfekowało nasze urządzenie?

Celem szkodliwego oprogramowania jest uruchomienie złośliwego kodu – czy to w formie skryptu czy pliku wykonywalnego. Z reguły w pierwszej kolejności instaluje się ono w katalogach tymczasowych. Systemy operacyjne zawierają wiele folderów tymczasowych, od danych aplikacji po pamięci podręcznej przeglądarki internetowej.

Te pliki mają z natury niski poziom bezpieczeństwa, co umożliwia wykorzystanie ich jako startera. Odnalezienie śladów instalacji złośliwego oprogramowania możliwe jest również w rejestrze systemu Windows – mówi Aleksander Kostuch, ze Stormshield.

Zidentyfikowanie, że urządzenie zostało zainfekowane złośliwym oprogramowaniem, nie zawsze jest proste. Niekiedy sygnały o pojawiającym się problemie są bardzo jednoznaczne. Spowolnienie pracy systemu operacyjnego, liczne wyskakujące okienka lub coraz częstsze występowanie błędu systemu operacyjnego w postaci tzw. blue screen, to wyraźne sygnały potwierdzające, że nasz komputer został zainfekowany. Niestety nie w każdym przypadku jest to tak oczywiste. Cyberprzestępcy starają się uniknąć wykrycia przez programy dedykowane do zapewniania bezpieczeństwa.

Podejrzanym zachowaniem wskazującym na możliwość infekcji byłaby, gdyby odnosić to do aktywności ludzi, na przykład nietypowa godzina logowania lub fakt, że użytkownik niespodziewanie łączy się ze podejrzaną stacją roboczą w Internecie. Z kolei podejrzane zachowanie techniczne można zdefiniować jako anomalię w obrębie funkcjonowania stacji roboczej. Można wymienić kilka głównych kategorii. Przede wszystkim pojawienie się oprogramowania instalowanego bez wiedzy użytkownika. Innym rodzajem jest przejęcie normalnego działania programu lub aplikacji w celu oszukania użytkownika. Takie działania są bardziej subtelne, co powoduje, że trudniej je wykryć – wyjaśnia Aleksander Kostuch.

Jak pozbyć się złośliwego oprogramowania?

Nawet jeśli złośliwemu oprogramowaniu uda się zainfekować komputer, nie wszystko jest jeszcze stracone. Pierwszą rzeczą, którą należy wykonać po wykryciu malware jest odłączenie urządzenia od Internetu i sprawdzenie komputera programem antywirusowym. Następnym krokiem jest usunięcie nie tylko samego złośliwego pliku, ale także plików tymczasowych Warto również sprawdzić nowe i podejrzane klucze rejestru, w tym przypadku konsultując to z kimś doświadczonym lub używając zweryfikowanego, dedykowanego do tego celu programu.

Podstawowe oprogramowanie antywirusowe obecne w większości stacji roboczych z systemem Windows może poddawać kwarantannie lub usuwać określone złośliwe programy, pod warunkiem, że jest w stanie je rozpoznać. W bardziej złożonych przypadkach konieczne będzie podjęcie środków, takich jak ponowna instalacja całego systemu – mówi Aleksander Kostuch ze Stormshield, europejskiego lidera branży bezpieczeństwa IT.

Niezwykle ważna jest również zmiana haseł oraz aktualizacja oprogramowania i systemów operacyjnych, aby uniknąć natychmiastowej ponownej infekcji. W działaniach naprawczych przydatne będzie wsparcie z zewnątrz. Pomocą służą nam CSIRT (Computer Security Incident Response Team) w NASK (Naukowa i Akademicka Sieć Komputerowa) lub inne systemy udostępnione przez dostawców Internetu, z których usług korzystamy. Oferują one diagnostykę i pomoc w takiej kryzysowej sytuacji.

„Lepiej zapobiegać niż leczyć”

Niezmiennie najlepszą rzeczą jaką możemy zrobić jest próba uchronienia się przed infekcją. Warto pamiętać, że pierwszą szansą cyberprzestępcy jest łatwowierność użytkownika oraz brak wiedzy w tym zakresie. Należy zatem zachowywać ostrożność i przestrzegać zasad higieny cyfrowej.

Istnieją również rozwiązania techniczne zapewniające ochronę przed złośliwym oprogramowaniem. Jak wskazują eksperci ds. bezpieczeństwa IT w odniesieniu do przepływów danych w sieci dobrymi praktykami są wykrywanie włamań i filtrowanie poczty e-mail. Zapewniają one pewną możliwość „czyszczenia” linków i załączników.

Przeciętny użytkownik powinien pamiętać o zachowaniu podstawowych standardów higieny cyfrowej tj. unikania podejrzanych wiadomości, w tym linków i załączników. Poza zwykłą ostrożnością ważne są regularne aktualizacje systemu operacyjnego i przeglądarek, zapewniające podstawowy poziom ochrony przed złośliwym oprogramowaniem. Bardziej zaawansowane działania to oczywiście domena specjalistów w dziedzinie bezpieczeństwa IT, którzy instalują na brzegu sieci firewalle mające na celu zablokowanie dostępu do skompromitowanych stron lub dedykowanych złośliwych serwerów i rozpoznawanie ataków. Instalują też na końcówkach sygnaturowe systemy antywirusowe i dbają o zabezpieczenia przed atakiem typu dnia zerowego. Oprogramowanie typu EPP (Endpoint Protection Platform) oraz EPP (Endpoint Detection and Response) jest w stanie rozpoznać nietypowe zachowanie stacji i powstrzymać złośliwy program, który został użyty w danym lub dedykowanym ataku po raz pierwszy – podsumowuje Aleksander Kostuch.