Malware a škodlivý kód

Za malware (složenina anglických slov malicious software – škodlivý software), je možné označit jakýkoli software využitý k narušení standardní činnosti počítačového systému, zisku informací (dat), či využitý k získání přístupu k počítačovému systému. Malware může mít celou řadu podob, přičemž mnohé druhy malware jsou pojmenovány podle toho, jakou činnost provádějí. Malware je možné nainstalovat téměř do jakéhokoli počítačového systému.

Útočníci využívají k šíření malware především:

  • Neaktuální verze operačního systému mobilního zařízení

  • Minimální zabezpečení zařízení

  • Neznalosti uživatelů

  • Sociální inženýrství a „vlny zájmu“ o aplikace určitého typu.

Distribuce malware

  • Přenosná paměťová média - Například pomocí CD, DVD, USB, externí disk aj. Jedná se o nejstarší, avšak stále účinný způsob distribuce malware.

  • Drive-by-download - Jedním z nejčastějších způsobů infekce malware je jeho stažení z Internetu a následné spuštění souboru, typicky s příponou .exe (executable file – spustitelný program) z neznámého zdroje.

  • „Kancelářské dokumenty“ - Velmi často dochází k šíření malware v těle souborů například typu: .doc/.docx, .xls/.xlsx, .avi aj. Tímto způsobem je možné distribuovat pouze makroviry.

  • E-mail - Malware může být uložen v příloze zprávy, nebo se může jednat o skripty uvnitř HTML těla e-mailů. V současnosti se jedná o jeden z nejběžnějších způsobů distribuce malware.

  • HTML - Malware může být umístěn přímo na webových stránkách, nebo v jednotlivých skriptech.

  • Falešný antivirus

Nástroje pro ověření přítomnosti malware

Jednou z osvědčených služeb je služba https://www.virustotal.com. Na této stránce může uživatel zadat oskenování souboru až do velikosti 128 MB či si může nechat prověřit webovou stánku, na kterou hodlá vstoupit (Vhodné je tento sken provádět např. při návštěvě stránek s internetovým bankovnictvím či stránek, na nichž je prováděna platba. Pro ověření je třeba překopírovat celé URL navštívené stránky.).

Druhy malware

Viry

Jedná se o program či závadný kód, který sám sebe připojí k jinému existujícímu spustitelnému souboru (např. software aj.) či dokumentu. Vir se reprodukuje v momentě, kdy dojde ke spuštění tohoto software či otevření infikovaného dokumentu. Je tedy nutné prvotní spuštění uživatelem. Nejčastěji se viry šíří díky sdílení software mezi jednotlivými počítačovými systémy; ke svému šíření nepotřebují součinnost uživatele. Viry byly dominantní formou malware zejména v 80. a 90. letech 20. století.

Podle toho, jaké soubory viry napadají, je možné je rozdělit na:

  • boot viry (napadají pouze systémové oblasti),

  • souborové viry (napadají pouze soubory),

  • multiparitní viry (napadají soubory i systémové oblasti),

  • makroviry (napadají aplikace pomocí maker).

Worms

Tyto programy se na rozdíl od virů, které bývají připojeny jako součást jiného programu, šíří zpravidla samostatně. Napadený systém je následně červem využit k dalšímu odeslání kopií sebe sama dalším uživatelům pomocí síťové komunikace. Tímto způsobem se velmi rychle rozšiřuje, což může vést až k zahlcení počítačové sítě, a tím i celé infrastruktury. Na rozdíl od virů jsou tyto programy schopny analyzovat bezpečnostní slabiny v zabezpečení napadené ho informačního systému.

Například v roce 2001 červ Code-Red dokázal během 19 hodin infikovat více než 300.000 serverů.

Trojský kůň

Počítačové programy, které obsahují skryté funkce, s jejichž užitím uživatel nesouhlasí nebo o nich neví, a které jsou potenciálně nebezpečné pro další fungování systému. Stejně jako v případě virů mohou být tyto programy připojeny k jinému, bezpečnému programu či aplikaci nebo mohou samy vypadat jako neškodný počítačový program. Trojské koně, na rozdíl od klasických virů, nejsou schopny se replikovat a ani se šířit bez „pomoci“ uživatele. V případě, že je trojský kůň aktivován, může být využit například k mazání, blokování, modifikaci, kopírování dat či například narušování běhu počítačového systému, či počítačových sítí.

Backdoors

Některé trojské koně po své aktivaci bez vědomí uživatele otevírají komunikační porty počítače, čímž výrazným způsobem zjednodušují další napadání takto zasaženého systému. Takové trojské koně jsou označovány jako backdoor (z anglického „backdoor“ - zadní vrátka). Modení backdoor programy mají zdokonalenou komunikaci a využívají většinou protokolů některých nástrojů komunikace, jako je např. program ICQ.

Rootkits

Tímto pojmem jsou označovány nejen počítačové programy, ale i celá technologie sloužící k za maskování přítomnosti malware (např. počítačových virů či trojských koní, červů aj.) v napadeném systému. Nejčastěji mají formu nepříliš objemných počítačových programů. Rootkity nejsou škodlivé samy o osobě, ale jsou využívány právě tvůrci škodlivých programů, jako jsou např. viry, spyware atd. Program typu rootkit mění chování celého operačního systému, jeho částí nebo nadstavbových aplikací tak, aby se uživatel o existenci nebezpečných programů ve svém počítačovém systému nedozvěděl. Obecně lze programy typu rootkit rozdělovat na

  • systémové (modifikující jádro systému)

  • aplikační (modifikují konfiguraci aplikací).

Keylogger

Keylogger je software zaznamenávající konkrétní stisky kláves na napadeném počítačovém systému. Nejčastěji je keylogger využíván k zaznamenání přihlašovacích údajů (uživatelského jména a hesla) k účtům, k nimž je z počítačového systému přistupováno. Získané informace pak jsou typicky zaslány útočníkovi.

Spyware

Pojem spyware je složeninou anglických slov „spy“ (špion) a „software“. Pomocí spyware jsou získávána statistická data o provozu počítačového systému a bez vědomí a souhlasu uživatele odesílána do datové schránky útočníka. Součástí těchto dat mohou být i informace osobního charakteru či informace o osobě uživatele, dále informace o navštívených webových stránkách, o spuštěných aplikacích apod. Spyware představuje hrozbu jednak proto, že odesílá různé informace z počítačového systému uživatele k „útočníkovi“ a jednak pak proto, že spyware může obsahovat další nástroje, které ovlivňují vlastní činnost uživatele.

V užším slova smyslu se jedná o hromadné šíření nevyžádaného sdělení nejčastěji reklamního charakteru pomocí Internetu, nejčastěji prostřednictvím elektronické komunikace. V širším slova smyslu se jedná o všechny doručené nevyžádané zprávy, tedy i např. o zprávy obsahující viry, trojské koně apod. Pro spam je příznačné, že se jedná o sdělení, které je zaslané elektronicky, hromadně a zejména bez vyžádání. Dle statistik tvoří spam až 85% veškeré elektronické pošty.

Phishing

Pojmem phishing se nejčastěji označuje podvodné či klamavé jednání, jehož cílem je získat informace o uživateli, jako jsou např. uživatelské jméno, heslo, číslo kreditní karty, PIN aj. V užším slova smyslu phishing představuje jednání, které po uživateli vyžaduje navštívení podvodné stránky (zobrazující např. webovou stránku internetového bankovnictví, online obchodu aj.) a následné vyplnění „přihlašovacích informací“, případně jsou tyto informace vyžadovány přímo (např. při vyplnění formuláře aj.). V širším slova smyslu se za phishing dá označit jakékoli podvodné jednání, které má v uživateli vzbudit důvěru, snížit jeho ostražitost či jej jinak donutit akceptovat scénář předem připravený útočníkem. V tomto širším slova smyslu již není po uživateli požadováno vyplňování údajů, avšak je mu doručena zpráva (či je uživatel přesměrován na stránku) typicky obsahující malware, který si uvedené údaje posbírá sám. Dále do tohoto širšího pojetí mohou být zařazeny i dárcovské scamy atp.

Podstatou phishingu je využívání sociálního inženýrství. Vlastní phishingový útok probíhá v několika krocích:

  1. Plánování phishingového útoku

  2. Vytváření podmínek pro phishingový útok

  3. Vlastní phishingový útok

  4. Sběr dat

  5. Odčerpání peněžních prostředků či jiný profit z phishingového útoku

Pharming

Pharming představuje sofistikovanější a nebezpečnější formu phishingu. Jedná se o útok na DNS (Domain Name System) server, na kterém dochází k překladu doménového jména na IP adresu. K útoku dochází v momentě, kdy uživatel zadá na internetovém prohlížeči adresu webového serveru, na kterou chce přistoupit. Nedojde však k propojení na příslušnou IP adresu originálního webového serveru, ale na IP adresu jinou, podvrženou. Webové stránky na falešné adrese zpravidla velmi věrně imitují originální stránky, de facto jsou od nich k nerozeznání. Uživatel následně zadá přihlašovací údaje, které získá útočník. Tento útok je zpravidla realizován při přístupu uživatele na stránky internetového bankovnictví. Druhým typickým způsobem pharmingu je napadení počítače koncového uživatele pomocí malware, kde se dá předpokládat menší míra zabezpečení. Tento malware změní soubor hostitelů s cílem odklonit přenos od zamýšleného cíle a přesměrovat uživatele na falešnou webovou stránku.

Spear Phishing

Spear phishing je jednou z forem phishingového útoku, avšak s tím rozdílem, že spear phishing je přesně cílený útok, na rozdíl od phishingu, který je útokem spíše plošným (nahodilým). Cílem útoku bývá konkrétní skupina, organizace nebo jednotlivec, konkrétně informace a data, která se v této organizaci nacházejí (např. duševního vlastnictví, osobní a finanční údaje, obchodní strategie, utajované informace aj.). U spear phishingu oproti klasickému phishingu je rozdíl v tom, kdo je odesílatelem předmětných zpráv. Útočník začne komunikovat s osobou zevnitř organizace a tuto osobu pak útočník využije jako prostředníka pro šíření dalších zpráv. Jelikož se jedná o osobu obětem „známou“, nemají problém s ní komunikovat a méně, pokud vůbec, prověřují její zprávy.

Whaling

Whaling je útok, který se zaměřuje na vysoce postavené cíle v rámci organizace, jako jsou vedoucí pracovníci.

Vishing

Pojem vishing označuje telefonický phishing, při kterém útočník využívá technik sociálního inženýrství a snaží se od uživatele vylákat citlivé informace (např. čísla účtů, přihlašovací údaje – jméno a heslo, čísla platebních karet, aj).

Smishing

Smishing funguje na podobném principu jako vishing či phishing, ale k distribuci zpráv využívá SMS zprávy. V rámci smishingu jde primárně o snahu donutit uživatele zaplatit částku (například zavolat na placenou linku, poslat dárcovskou SMS aj.) nebo kliknout na podezřelé URL odkazy.

Podvodné webové stránky

V prvním případě se útočník snaží vylákat citlivé údaje (např. jméno, příjmení, doručovací adresa, e-mail, telefonní číslo a heslo) typicky za účelem registrace, doručení zboží, výhry aj. Všechny tyto údaje zadává uživatel sám a dobrovolně. Útočník se tak dostává k údajům, které může, stejně jako v případě phishingu, využít k celé řadě aktivit.

V druhém, mnohem častějším případě se pak jedná o aktivity, které spočívají v podvodném vylákání finančních prostředků z uživatele. Běžně jsou na Internetu nabízeny za velmi výhodnou cenu automobily, motocykly, traktory, další zemědělská technika a především elektronika jakéhokoliv druhu.

SEO Poisoning

SEO, zkratka pro optimalizaci pro vyhledávače, je sada technik používaných k vylepšení hodnocení webových stránek vyhledávačem. Využívají se k tomu, aby se ve výsledcích vyhledávání objevila špatná webová stránka.

Použité zdroje

  • KOLOUCH, Jan a Pavel BAŠTA. CyberSecurity. Praha: CZ.NIC, z.s.p.o., 2019. CZ.NIC. ISBN 978-80-88168-31-7.

  • DOUCEK, Petr, Martin KONEČNÝ a Luděk NOVÁK. Řízení kybernetické bezpečnosti a bezpečnosti informací. Praha: Professional Publishing, 2019. ISBN 978-80-88260-39-4.

  • Sbírka zákonů č. 82 / 2018 Vyhláška o kybernetické bezpečnosti