Skadevare

av Ole Petter den 27. januar 2020

Sist oppdatert: 2 februar, 2020 kl 11:18

---

Hva er skadevare?

Dette innlegget omhandler skadevare, som er ondsinnet programvare som uten brukerens tillatelse installerer programmer eller stjeler informasjon og utfører handlinger med brukerens systemer.

Virus er ofte brukt synonymt med skadevare, men virus er kun en liten del av ulike typer skadevare. Andre typer skadevare er rootkits, ormer, trojanere, adware, spionvare og bakdører.

Skadevare er en viktig del av hackerens verktøyskasse, og mulighetene skadevare bringer begrenses kun av vedkommendes oppfinnsomhet.

https://snl.no/skadevare

I forrige innlegg kunne du lese om passord og brukerkontoer

https://progitek.no/2020/01/23/epost-passord-og-brukerkontoer/

Oppbygningen til skadevare

Stridshode
Et stridshode eller «warhead» er en mekanisme som infiserer et system. Den bruker en oppskrift for å klare å få infisere en brukers datamaskin. Dette gjøres for eksempel ved å utnytte feil i en programvare eller et operativsystem eller gjennom social engineering.

Spredning eller «propagation»
Spredning er en teknikk som sprer infeksjon i et system videre til andre systemer.

Kamuflasje eller «stealth»
Kamuflasje er en mekanisme som holder skadevaren skjult

Nyttelast eller «payload»
Nyttelasten er det som skadevaren utfører eller har som mål.

Spredning av skadevare og infeksjon

Virus

Virus kjennetegnes ved at det sprer seg hver gang en infisert fil blir åpnet, for eksempel gjennom et vedlegg til en epost. Viruset sprer seg til filer som ikke enda har blitt infisert, på datamaskinen og tilkoblede enheter som lagringsmedier.

Målet for et virus er å kjøre noen av de infiserte filene på en ekstern datamaskin, og dermed spre det videre. Selve infeksjonen av en ny fil gjennomføres oftest ved at ondsinnet programkode legges til den programkoden som filen allerede består av.

Orm

En orm er i motsetning til et virus stand til å finne nye potensielle ofre på egen hånd. Den finner eller kontakter nye ofre for eksempel via epost-kontaktlister, venner på sosiale medier og ren gjetting.

Deretter benytter en orm internett til å spre seg videre. Ormer krever ofte at en bruker trykker på en link som fører til skadevare, men den kan også selv finne sikkerhetshull i brukerens datasystemer, nettleser, epost-klienter og operativsystem.

Trojaner

En trojaner minner også om et virus, men er ofte knyttet til et program eller en applikasjon. Dette programmet kjører som det skal, men i bakgrunnen gjør trojaneren operasjoner som man ikke kan oppdage.

Trojanere blir installert på den enkelte maskin, og sprer seg ikke på samme måte som et virus eller en orm. Derfor kreves det menneskelig innsats for å spre trojaneren, ofte gjennom social engineering.

Et populært medium for å spre trojanere er p2p-nettverk eller fildelingsnettverk, hvor det uten særlig kontroll kan legges ut programvare som er infisert. Andre metoder er at hackere setter opp falske nettsider hvor intetanende kan laste ned kjente programvarer og verktøy som de tror er reelle.

Nettleserutvidelser

Nettleserutvidelser også kalt plug-ins er et effektivt sted å introdusere trojanere, og når disse utvidelsene blir installert, blir de en integrert del av nettleseren.

Drive by download

Drive by download er en metode å infisere datamaskiner på ved nedlasting av skadevare til en pc gjennom sikkerhetshull i nettleseren. Brukeren ser selv ingen tegn eller melding om nedlastingen. Ulike utvidelser som flash, ActiveX og Java kan bidra til å åpne maskinen for drive-by-download hvis de inneholder sikkerhetshull.

Den største trusselen er sikkerhetshull på store og populære nettsider hvor brukerne tror sikkerheten er god,mens de i realiteten er i fare for å bli utsatt for hackerangrep. Gjennom sikkerhetshull i en utvidelse i nettleseren trenger ikke brukerne en gang trykke på linker med skadevare, hackerne kan infisere maskinen gjennom utvidelser med sikkerhetshull.

Makrovirus

Makrovirus sendes gjennom dokumenter som inneholder programkode, slik som open office og microsoft office sine nettversjoner. Disse webapplikasjonene benytter scriptspråk for å lage funksjonaliteter som regneark og fakturamaler.

Siden programmeringsspråkene i slike dokumenter er tenkt til å lage makroer eller sekvenser, kalles denne typen skadevare for makrovirus. Når man åpner et dokument som er infisert, vil dette dokumentet ofte legge inn infisert programkode i applikasjonens dokumentmal slik at nye dokumenter også infiseres.

Inkubasjon

Inkubasjon betyr å sove, og det er nettopp det enkelte skadevarer gjør for å utføre spredning. Skadevarens nyttelast aktiveres først etter en inkubasjonstid, og dette gjelder spesielt for ormer og virus som er avhengig av en viss levetid i det skjulte før de bryter ut.

Dette gjør at disse skadevarene rekker å spre seg til andre maskiner før disse oppdages og brukeren får fjernet skadevaren. Hvis inkubasjonstiden er for lang, kan maskinens antivirusprogrammer oppdage trusselen og eliminere den før den får angrepet.

Noen skadevarer har en inkubasjonstid som er forhåndsbestemt, mens andre kan bli aktivert på et bestemt tidspunkt eller etter en spesifikk handling av brukeren på maskinen. Dette omtales ofte som logiske bomber.

Nyttelast

Hærverk

Mange virusangrep bærer preg av ønske om skade på maskinen som blir angrepet, og innholdet på maskinen blir fjernet eller programmer slutter å virke.

Økonomisk vinning

Andre virusangrep krever løsepenger for at brukeren skal få tilgang til innholdet på pcen sin igjen. Dette kalles for «ransomware».

Krypteringen av innholdet er ofte svært solid, og hvis man ikke betaler løsepengene kan man i praksis regne innholdet på maskinen som tapt.

Propagandaspredning og reklame

I noen tilfeller kan skadevare benyttes til å spre propaganda, og nyttelasten vil i disse tilfellene ofte omdirigere trafikk, hindre besøk på enkelte nettsider og lignende.

Skadevaren gjør at man selv også sender ut propaganda via epost eller sosiale medier. Det mest vanlige er at skadevaren sender ut reklame til offeret og bakmennene tjener penger på at brukeren kjøper produktene, eller tredjepartsannonsører betaler når offeret trykker på en reklamelenke. Dette kalles adware.

Spyware

Spionvare samler informasjon fra maskinen din og sender den til bakmennene. Denne informasjonen kan være dokumenter, tastetrykk og betalingsinformasjon med mer.

Spionvare spres ofte gjennom trojanere, som betyr at du som bruker har godtatt at programmet skal få sende informasjon ut på internett. Slik spionvare sendes typisk via bitTorrent-klienter.

Rootkits

Rootkits endrer sentrale funksjoner i programmer eller operativsystemer, for eksempel at filer som inneholder skadevare skjules for brukeren.

Det kan også opprettes en bakdør inn i systemet for videre hacking av maskinen, og falske brukere vil da ikke vises i oversikten over brukere, siden bakdøren er plassert i koden som styrer selve innloggingen.

Deteksjon

Antivirus brukes for å forhindre ulike datavirus og skadevare, og dette er avanserte verktøy som skal detektere unormal virksomhet på datamaskiner.

Dagens antivirusprogram bruker ulike metoder for å oppdage skadevare, men siden utviklere av disse skadevarene hele tiden lager nye teknikker for å komme gjennom brannmuren, er det et kappløp mellom antivirusprogramvaren og sikkerhetseksperter på den ene siden, og utviklere av skadevare på den andre siden. Utviklerene av skadevare ligger som regel et hakk foran i dette kappløpet.

Signaturbasert

Signaturbasert deteksjon er en av de enkleste teknikkene som benyttes, og baserer seg på at antivirusproduktene har en oppdatert liste over sekvenser av kode som kjennetegner de ulike skadevarene som alt er identifisert.

Ulempen med denne metoden er at den ikke oppdager nye skadevarer, såkalte «zero-day-threats». Dessuten endrer en del virus karakter på en tilfeldig måte, som gjør det umulig å forutsi den eksakte signaturen.

Virus som endrer programkoden slik kalles for polymorfe virus, mens virus som endrer måten programkoden arbeider på, kalles metamorfe virus.

Heurestikk

Med heurestikk menes en metode som brukes for å oppdage virus hvor man analyserer typiske kjennetegn for virus og hvordan de opererer, og basert på disse kjennetegnene kan antivirusprogram sperre programmer den klassifiserer som skadevare.

Det benyttes også en sandkasse til å teste ut ulike skadevarer og hva de gjør. En sandkasse er en isolert miniversjon av systemet, og det er en krevende prosess som ofte innebærer analyse av mange filer.

En annen funksjon er sanntidsskanning, som betyr at antivirusprogrammet overvåker programmer som kjører, og gir beskjed hvis den oppdager noe som minner om skadevare. Dette sparer antivirusprogrammet for mye arbeid, siden det slipper å analysere filer før de kjører.

Snubletråd

En snubletråd eller «tripwire» er en funksjon hvor antivirusprodukter forsøker å avdekke skadevare ved å lete etter endringer i systemet, og basert på et bilde av hvordan systemet så ut før den ble infisert av virus, kan det gjøres en vurdering av alle endringer som avviker fra bildet.

Dette er spesielt effektivt i letingen etter rootkits i systemfiler, og metoden for å finne disse kalles snubletråder.

Svakheter med antivirusprogram

Antivirusprogram kan gjøre at brukere blir mer avslappet til sikkerhet, men poenget med antivirusprogram er å advare brukeren mot trusler og fjerne så mange som mulig. Antivirusprogram kan aldri være helt skuddsikker, siden nye typer virus og skadevarer dukker opp hele tiden.

Antivirusprogram og innebygde antivirusprogram som windows defender hos windows må oppdateres så snart en oppdatering blir tilgjengelig, siden utdaterte virusprogram er utsatt for nye trusler.

Brukere har også en tendens til å ignorere advarsler, og ofte kreves det aktiv innsats hos brukeren for å eliminere trusler. I tillegg finnes det skadevare som kan infisere antivirusprogram, så i tillegg til antivirusprogram må også brukere av systemer selv aktivt jobbe for å unngå virus for å være mest mulig sikret mot angrep.

Fjerning

Antivirusprogrammer fjerner problemet i mange tilfeller, men i noen tilfeller kan skadevaren infiltrere systemet i så stor grad at fjerning av trusler medfører at systemet slutter å fungere.

Det er viktig å ha sikkerhetskopi av viktige filer slik at man kan reinstallere operativsystemet hvis man opplevere omfattende virusangrep. Men skadevare kan også angripe BIOS, og da er det enda vanskeligere å bli kvitt den. Viruset starter da opp igjen så snart maskinen starter på nytt.

Enkelte removal tools er i stand til å fjerne skadevare som vanlige antivirus ikke klarer å eliminere. Men removal tools kan selv være skadevare, og ukritisk bruk av disse kan føre til større problemer.

I verste fall kan skadevare være så omfattende at det ikke er mulig å fjerne den, og konsekvensene er da at maskinen er ubrukelig.

Skadevare i fremtiden

Tillitvekkende skadevare

Fremtidens skadevare blander personlig informasjon med social engineering i spredningsteknikker og nyttelast for skadevare.

Den vil da utnytte at brukere har langt større sannsynlighet for å åpne eposter og meldinger fra personer de kjenner enn totalt fremmede. Hvis hackere klarer å utgi seg for å være en kjent person, vil de lettere kunne trenge gjennom sikkerhetsprotokoller.

Intelligent skadevare

I fremtiden vil skadevare brukee kunstig intelligens, maskinlæring og automasjon til å hacke maskiner og systemer. I dag brukes en del kunstig intelligente programmer til å hacke systemer, men alt som utføres gjøres etter hackerens instruksjoner.

I fremtiden vil skadevare selv finne egne metoder for å infisere maskiner. De mest effektive metodene overlever, mens de mindre effektive metodene forsvinner, akkurat som ekte virus. Datavirus vil mutere og endre seg, og de mest motstandsdyktige virusene sprer seg.

Skreddersydd skadevare

Skreddersydd skadevare er målrettet, og angriper utpekte mål. Dersom skadevaren spesialiseres mot et spesifikt mål, er det enklere å utnytte svakheter i systemene til disse målene.

Selvoppdaterende skadevare

En selvoppdaterende skadevare henter nyttelast fra internett etter at en datamaskin har blitt infisert. Da kan utvikleren av skadevaren bruke denne nye nyttelasten, og det blir vanskeligere for antivirusprogram å oppdage, siden de typiske kjennetegnene i nyttelasten ikke er med under infiseringen.

Maler for skadevare

Maler for skadevare gjør det enklere for mindre kyndige personer å lage skadevare siden komponentene allerede er ferdig laget og klar til tilpasning.

Kostnadene og tidsbruken til å utvikle skadevare blir lavere når skadevaren nesten er ferdig utviklet og klar til bruk, og dette øker sannsynligheten for potensielle angrep.

Sosiale medier

Utbredelsen av sosiale medier har gjort det enklere å spre skadevare, siden skadevaren gjerne har blitt delt av en bekjent, som gjør mottakeren mindre skeptisk til den.

Botnett

Robotic network, eller «botnet», er maskiner som kommuniserer via internett, og ved hjelp av programvare samarbeider disse om å utføre oppgaver. Botnett kan omtales som en superdatamaskin, som sammen kan være kraftige verktøy som gjennomfører ulike former for angrep på systemer. Metoder inkluderer virus, trojanere, ormer og drive-by-download.

Datamaskinkraften kan brukes til masseutsending av søppelpost, større tjenesteangrep, og drift av fildeilingsnettverk. Botnettet kontrolleres av bakmenn gjennom kommunikasjon via åpne og lukkede nettverk og lite sporbare kanaler som nettsider, sosiale medier og forum.

Hoax

Hoax er engelsk og betyr bløff og lureri, og i sikkerhetssammenheng handler dette om å lure personer til å utføre en bestemt handling eller skremme disse personene.

Hoax spres i form av videresendte eposter, fra venner eller kollegaer, eller i form av advarseler på besøkte nettsider. I dag er spesielt sosiale medier et populært forum for å dele slikt lureri.