Rogue säkerhetsprogramvara

Del av en serie om
informationssäkerhet
Relaterade säkerhetskategorier
Datorsäkerhet Bilsäkerhet Cyber ​​brott Cybersexhandel Datorbedrägeri Cybergeddon Cyber ​​terrorism Cyberkrigföring Elektronisk krigföring Informationskrigföring Internet säkerhet Mobil säkerhet Nätverkssäkerhet Kopieringsskydd Digital rättighetshantering
Hot
Reklamprogram Avancerat ihållande hot Exekvering av godtycklig kod Bakdörrar Hårdvara bakdörrar Kodinjektion Crimeware Skripting på flera webbplatser Cryptojacking skadlig kod Botnät Dataintrång Drive-by nedladdning Hjälpobjekt för webbläsare Virus Dataskrapning Förnekande av tjänsten Tjuvlyssning E-postbedrägeri E-postförfalskning Utnyttjar Keyloggers Logiska bomber Tidsbomber Gaffelbomber Zip bomber Bedrägliga uppringare Skadlig programvara Nyttolast Nätfiske Polymorf motor Upptrappning av privilegier Ransomware Rootkits Bootkits Skrämselföremål Skalkod Spamning Social ingenjörskonst Skärmskrapning Spionprogram Programvarubuggar trojan hästar Hårdvarutrojaner Fjärråtkomst trojaner Sårbarhet Webbskal Torkare Maskar SQL-injektion Rogue säkerhetsprogramvara Zombie
Försvar
Applikationssäkerhet Säker kodning Säkert som standard Säkert genom design Missbruksfodral Datorns åtkomstkontroll Autentisering Flerfaktorsautentisering Tillstånd Programvara för datorsäkerhet Antivirus mjukvara Säkerhetsfokuserat operativsystem Datacentrerad säkerhet Kodförvirring Datamaskering Kryptering Brandvägg Intrångsdetekteringssystem Värdbaserat intrångsdetekteringssystem (HIDS) Anomali upptäckt Säkerhetsinformation och händelsehantering (SIEM) Mobil säker gateway Självskydd för runtime-applikationer

Rogue säkerhetsprogramvara är en form av skadlig programvara och internetbedrägeri som vilseleder användare att tro att det finns ett virus på deras dator och syftar till att övertyga dem att betala för ett falskt borttagningsverktyg för skadlig programvara som faktiskt installerar skadlig programvara på deras dator. Det är en form av skrämselprogram som manipulerar användare genom rädsla, och en form av ransomware . Rogue säkerhetsprogramvara har varit ett allvarligt säkerhetshot inom stationära datorer sedan 2008. Ett tidigt exempel som blev känd var SpySheriff och dess kloner, som Nava Shield.

Fortplantning

Rogue säkerhetsprogramvara förlitar sig huvudsakligen på social ingenjörskonst ( bedrägeri ) för att besegra säkerheten som är inbyggd i moderna operativsystem och webbläsarprogramvara och installera sig själv på offrens datorer. En webbplats kan till exempel visa en fiktiv varningsdialogruta som anger att någons maskin är infekterad med ett datavirus och uppmuntra dem genom manipulation att installera eller köpa skrämselprogram i tron ​​att de köper äkta antivirusprogramvara .

De flesta har en trojansk hästkomponent , som användare vilseleds till att installera. Trojanen kan vara förklädd till:

• Ett plugin-program eller tillägg för webbläsare (vanligtvis verktygsfält)
• En bild, skärmsläckare eller arkivfil bifogas ett e- postmeddelande
• Multimedia- codec krävs för att spela upp ett visst videoklipp
• Programvara som delas på peer-to-peer- nätverk
• En gratis onlinetjänst för skanning av skadlig programvara

En del oseriösa säkerhetsprogram sprids dock till användarnas datorer som drive-by-nedladdningar som utnyttjar säkerhetsbrister i webbläsare, PDF-läsare eller e-postklienter för att installera sig själva utan någon manuell interaktion.

På senare tid har distributörer av skadlig programvara använt SEO-förgiftningstekniker genom att skjuta infekterade webbadresser till toppen av sökmotorresultat om senaste nyhetshändelser. Människor som letar efter artiklar om sådana händelser på en sökmotor kan stöta på resultat som, när de klickar på dem, istället omdirigeras genom en rad webbplatser innan de kommer till en målsida som säger att deras maskin är infekterad och driver en nedladdning till en "provversion" av det oseriösa programmet. En studie från 2010 av Google fann 11 000 domäner som är värd för falska antivirusprogram, vilket står för 50 % av all skadlig programvara som levereras via internetreklam.

Cold-call har också blivit en vektor för distribution av den här typen av skadlig programvara, med uppringare som ofta hävdar att de kommer från "Microsoft Support" eller en annan legitim organisation.

Vanliga infektionsvektorer

Svart hatt SEO

Black Hat sökmotoroptimering (SEO) är en teknik som används för att lura sökmotorer att visa skadliga webbadresser i sökresultat. De skadliga webbsidorna är fyllda med populära sökord för att uppnå en högre ranking i sökresultaten. När slutanvändaren söker på webben returneras en av dessa infekterade webbsidor. används de mest populära sökorden från tjänster som Google Trends för att generera webbsidor via PHP-skript placerade på den utsatta webbplatsen. Dessa PHP- skript kommer sedan att övervaka sökmotorernas sökrobotar och mata dem med specialgjorda webbsidor som sedan listas i sökresultaten. Sedan, när användaren söker efter sina sökord eller bilder och klickar på den skadliga länken, omdirigeras de till Rogue-säkerhetsprogramvaran.

Malvertising

De flesta webbplatser använder vanligtvis tjänster från tredje part för att annonsera på sina webbsidor. Om någon av dessa reklamtjänster äventyras kan de oavsiktligt infektera alla webbplatser som använder deras tjänst genom att marknadsföra oseriös säkerhetsprogramvara.

Spamkampanjer

Skräppostmeddelanden som innehåller skadliga bilagor, länkar till binärer och drive-by-nedladdningsplatser är en annan vanlig mekanism för att distribuera oseriös säkerhetsprogramvara. Spam-e-postmeddelanden skickas ofta med innehåll som är kopplat till vanliga dagliga aktiviteter som paketleveranser eller skattedokument, utformade för att locka användare att klicka på länkar eller köra bilagor. När användare ger efter för dessa typer av sociala ingenjörsknep infekteras de snabbt antingen direkt via bilagan eller indirekt via en skadlig webbplats. Detta är känt som en drive-by-nedladdning. Vanligtvis i drive-by-nedladdningsattacker installeras skadlig programvara på offrets dator utan interaktion eller medvetenhet och uppstår helt enkelt genom att besöka webbplatsen.

Drift

När den väl har installerats kan den falska säkerhetsprogramvaran försöka locka användaren att köpa en tjänst eller ytterligare programvara genom att:

• Varning för användaren med falsk eller simulerad upptäckt av skadlig programvara eller pornografi .
• Visar en animation som simulerar en systemkrasch och omstart.
• Selektivt inaktivera delar av systemet för att förhindra att användaren avinstallerar skadlig programvara. Vissa kan också förhindra att anti-malware-program körs, inaktivera automatiska systemprogramvaruuppdateringar och blockera åtkomst till webbplatser för leverantörer av anti-malware.
• Installera faktisk skadlig programvara på datorn och varna sedan användaren efter att ha "upptäckt" dem. Den här metoden är mindre vanlig eftersom skadlig programvara sannolikt kommer att upptäckas av legitima anti-malware-program .
• Ändra systemregister och säkerhetsinställningar, sedan "varna" användaren.

Utvecklare av oseriös säkerhetsprogramvara kan också locka människor att köpa deras produkt genom att hävda att de ger en del av sin försäljning till ett välgörande ändamål. Det oseriösa Green-antiviruset, till exempel, hävdar att de donerar 2 $ till ett miljövårdsprogram för varje försäljning som görs.

Vissa oseriösa säkerhetsprogram överlappar i funktion med skrämselprogram genom att också:

• Presentera erbjudanden för att åtgärda akuta prestandaproblem eller utföra nödvändig städning på datorn.
• Skrämma användaren genom att visa autentiska popup-varningar och säkerhetsvarningar, som kan efterlikna faktiska systemmeddelanden. Dessa är avsedda att använda det förtroende som användaren har för leverantörer av legitim säkerhetsprogramvara.

Sanktioner från FTC och den ökande effektiviteten av verktyg mot skadlig programvara sedan 2006 har gjort det svårt för distributionsnätverk för spionprogram och annonsprogram – redan komplexa till att börja med – att fungera lönsamt. Leverantörer av skadlig programvara har istället vänt sig till den enklare och mer lönsamma affärsmodellen med oseriös säkerhetsprogramvara, som riktar sig direkt till användare av stationära datorer .

Rogue säkerhetsprogramvara distribueras ofta via mycket lukrativa affiliate-nätverk , där affiliates som levereras med trojaner för programvaran får en avgift för varje lyckad installation och en provision från eventuella köp. Affiliates blir sedan ansvariga för att sätta upp infektionsvektorer och distributionsinfrastruktur för programvaran. En undersökning av säkerhetsforskare av den oseriösa säkerhetsmjukvaran Antivirus XP 2008 fann just ett sådant affiliate-nätverk, där medlemmarna tjänade in provisioner på uppemot 150 000 USD under 10 dagar, från tiotusentals framgångsrika installationer.

Motåtgärder

Privata insatser

Brottsbekämpning och lagstiftning i alla länder är långsamma med att reagera på uppkomsten av oseriös säkerhetsprogramvara. Däremot grundades flera privata initiativ som tillhandahåller diskussionsforum och listor över farliga produkter strax efter uppkomsten av den första oseriösa säkerhetsmjukvaran. Vissa välrenommerade leverantörer, som Kaspersky, började också tillhandahålla listor över oseriös säkerhetsprogramvara. 2005 Anti-Spyware Coalition , en koalition av anti-spyware programvaruföretag, akademiker och konsumentgrupper.

Många av de privata initiativen var från början informella diskussioner på allmänna internetforum , men en del startade eller till och med helt genomfördes av enskilda personer. Den kanske mest kända och omfattande är Spyware Warrior-listan över skurkaktiga/misstänkta antispionprogramprodukter och webbplatser av Eric Howes, som dock inte har uppdaterats sedan maj 2007. Webbplatsen rekommenderar att du kontrollerar följande webbplatser för nya oseriösa antispionprogram, de flesta av vilka är inte riktigt nya och är "helt enkelt ommärkta kloner och knockoffs av samma oseriösa applikationer som har funnits i flera år."

Regeringens insatser

I december 2008 utfärdade den amerikanska distriktsdomstolen för Maryland – på begäran av FTC – ett besöksförbud mot Innovative Marketing Inc, ett Kiev -baserat företag som producerar och marknadsför de oseriösa säkerhetsprodukterna WinFixer , WinAntivirus , DriveCleaner , ErrorSafe och XP Antivirus . Företaget och dess USA-baserade webbhotell, ByteHosting Internet Hosting Services LLC, fick sina tillgångar frysta, hindrades från att använda domännamn associerade med dessa produkter och all ytterligare reklam eller falsk representation.

Brottsbekämpande myndigheter har också utövat påtryckningar på banker för att stänga ner gateways för handlare som är involverade i bearbetning av falska köp av säkerhetsprogramvara. I vissa fall har den stora mängden kreditkortsåterbetalningar som genereras av sådana köp också fått processorer att vidta åtgärder mot oseriösa leverantörer av säkerhetsprogramvara .

Se även

• Antivirus
• Lista över oseriösa säkerhetsprogram
• Skrämselföremål
• Teknisk support bluff
• Winwebsec

Anteckningar

externa länkar

• Media relaterade till Rogue-programvara på Wikimedia Commons