@adrian1877
Blog (5)
Komentarze (59)
Recenzje (0)

FUD czy malware zero day? Co to jest i jak brzmi poprawne nazewnictwo?

@adrian1877FUD czy malware zero day? Co to jest i jak brzmi poprawne nazewnictwo?13.06.2013 10:48

Artykuł ten ma na celu zbadanie poprawności nazewnictwa wirusów FUD - całkowicie niewykrywalny / nieusuwalny, z jęz. ang. Fully Undetecdable lub Fully Unremovable; UD - wykrywalny; oraz tak powszechnie stosowana nomenklatura malware zero day.

Do napisania tego artykułu zainspirowała mnie informacja, jakoby Zero Day odnosił się tylko do exploitów, a w przypadku nowego malware - FUD. Tak więc, czy "malware 0-day" jest poprawną nomenklaturą niewykrywalnych wirusów?

Czym jest FUD?

Całkowicie niewykrywalny nie odnosi się tylko do nowych i nienznaych wirusów. Przykład: jeśli złośliwy kod napisany w PHP zostanie wykryty przez program antywirusowy będzie on wykrywalny, ale jeśli ten sam kod zaszyfrujemy w Base64, który najpierw powinien odszyfrować się z Base64, a później wykonać zawarty tam kod, w ten sposób plik będzie znowu niewykrywalny. Jednak czasami pozyskanie kodu źródłowego malware staje się niemożliwe dla ponownej kompilacji w FUD. W takim wypadku stosuje się cryptory lub cryptery. Crypter posiada dwa pliki: builder oraz stub. Stub jest "mini" programem, który w zależności od autora będzie przechowywał drugi plik. Builder szyfruje wybrany plik zazwyczaj algorytmami XOR, RC4, TEA, 3DES. Np. builder szyfruje wykrywalny plik przy pomocy algorytmu z kluczem i zapisuje go w postaci RESOURCES w stub'ie. Stub jest niewykrywalny, zbudowany z dekodera oraz loadera. Stub pobiera z sekcji RESOURCES zaszyfrowany malware, by następnie przy pomocy klucza odszyfrować malware w pamięci. W następnym kroku, loader uruchamia malware z dropem lub bez drop'u. Z drop'em - oznacza to, że dekoder odkodowuje plik, zapisuje go na dysku i dopiero teraz loader uruchamia malware. Jeśli malware uruchamiane jest bez drop'u - oznacza to, że uruchamiany jest bezpośrednio w pamięci.

Tak więc, czym różni się FUD od UD?

UD jest wykrywalny przez co najmniej jeden program antywirusowy. UD - undectable odnosi się do znanych malware (know malware), ale tylko o ograniczonym zakresie zdolnych do wykrycia / usunięcia go skanerów antywirusowych. UD odnosi się także do unremovable (nie do usunięcia) - nieznany w sygnaturach, ale malware UD może być wykryte przez analizę heurystyczną.

Jeśli znany jest przynajmniej jeden sposób usunięcia - skanerem antywirusowym lub ręcznie np. po analizie logów z aplikacji firm trzecich takich jak OTL czy GMER (w przypadku rootkitów) to malware nie jest już FUD - mówi Arkadiusz Zakrzewski - Specjalista pomocy technicznej AVG.
Z chwilą pierwszego ataku, który powoduje ujawnienie się malware`u, następuje wykorzystanie 0-day`a i rusza proces zdobycia sampla, analiza i zniesienie statusu FUD, dystrybucja aktualizacji, która obejmuje nowy malware.

Czym jest Zero Day?

- Wypowiedź nie jest oficjalnym stanowiskiem AVG, lecz opinią Arkadiusza Zakrzewskiego, specjalisty pomocy technicznej.

Moim zdaniem 0day jest określeniem powagi zagrożenia, a nie jego typu. Zero day to zawsze priority very high/critical czyli incydent o bardzo dużym zagrożeniu, bo albo jest możliwy atak na bardzo dużej liczbie użytkowników np. luka w bardzo popularnym oprogramowaniu - przykład idealny to od zatrzęsienia 0day na IE czy Flasha albo atak 0-day jest bardzo dużym zagrożeniem np. kompletne rozkładanie na łopatki Windowsów przez exploit..
0-day to też atak z wykorzystaniem luki, która nie jest nikomu znana, szczególnie developerom danej aplikacji. Nowy exploit na starą dziurę w Windows już nie będzie 0-day`em bo do ataku wykorzystuje już znaną lukę, dla której albo istnieje już patch/workaround i infekcja ma szanse powodzenia tylko na nieaktualnym oprogramowaniu albo taki patch jest w trakcie opracowywania, a więc żywot infekcji na taką lukę będzie bardzo krótki.
  • wykrycie dziury
  • stworzenie exploita
  • dystrybucja wild

Pierwsze informacje o luce pochodzą z dystrybucji "wild" czyli od userów, którzy padli ofiarą exploita. Specjaliści analizują exploita i dowiadują się o lokalizacji dziury w programie. Sumarycznie, producent miał 0 dni na załatanie dziury, bo nawet o niej nie wiedział (lub wiedział ale nic nie zrobił).

Malware zaś to ogólne określenie złośliwego oprogramowania. Zarówno exploit jak i backdoor czy trojan mieszczą się w definicji malware`u i każdy z nich może być poziomu 0day threat, czyli po pierwsze wykorzystywać nieznaną i niezabezpieczoną wcześniej lukę, a po drugie atakować popularne oprogramowanie (to najczęściej spotykane 0-day`e) - mówi Arkadiusz Zakrzewski.

Nomenklatura wg F-Secure

_Jakaś_Nazwa_.0Day.Malware jest to nazwa dla nowego, niezdefiniowanego malware wykrytego przez sygnatury generyczne. Jeśli o takiej nazwie zostanie zablokowane zagrożenie oznacza to, że malware jest niezdefiniowane i nie posiada podpisu w postaci definicji. Jednakże zagrożenie może zostać wykryte za pomocą analizy heurystycznej, czyli w przypadku F-Secure - za pomocą technologii zwanej Zero-Hour Protection zaimplementowanej w niektóre produkty F-Secure z rodziny Antivirus. W przypadku przeanalizowania wirusa, nomenklatura np. Email.0Day.Malware zostaje zastąpiona generyczną, rodzajową nazwą malware.

Podsumowując

- nomenklatura zero day to nie tylko luka w oprogramowaniu, ale także powaga zagrożenia

- malware 0 day to poprawne nazewnictwo nowych wirusów, które wykorzystują nowe, nieznane luki lub atakują oprogramowanie (backdoor, exploit, trojan)

- malware FUD to nazewnictwo niewykrywalnych wirusów przez skanery antywirusowe (z definicji oraz poprzez heurystykę)

- FUD dotyczy wyłącznie procesu wykrywania

Malware 0 day = malware FUD

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.