Skip to content

Ezért töröld ki az aláírásodból a vírusirtód megjelölését

     

    Te is megjelölöd az aláírásod alatt, hogy melyik vírusirtó csekkolja az üzeneteidet? Igen? Bár sokan tesznek így, de ez akár végzetes hiba is lehet. Remélem, a cikk elolvasása után már nem teszel ilyet…

     

    Hogyan kerülnek bele az email aláírásokba a vírusirtók logói?

     

    A vírusírtók alapbeállítása, hogy az aláírásokba egyfajta promócióként, reklámként odateszi magát. Ez a beállítás egyébként kikapcsolható.

     

    Miért NE írd bele a szignódba a vírusirtód nevét?

     

    Röviden és tömören azért, mert remek támadási felületet kínálsz másoknak.
    Az egy dolog, hogy te tájékoztatod a partnereidet arról, hogy gondoskodtál a megfelelő védelemről, de sajnos ezeket az információkat a támadók is remekül ki tudják használni. Egy egyszerű példa szemléltetésével meg is mutatom, hogyan.

     

    Hogyan lehet visszaélni azzal az információval, ha valaki tudja a vírusírtód típusát?

     

    Először tisztázzunk néhány alapfogalmat!

     

    Mi az az EICAR?

     

    Az EICAR egy olyan tesztelésre szolgáló fájl csomag, ami nem tartalmaz valódi kártevőt. Így az EICAR vírus segítségével különböző vírusirtókat tudunk tesztelni.

     

    Mire való a virustotal.com?

     

    Ha idáig még nem hallottál róla, a virustotal.com egy olyan ingyenes szolgáltatás, amelynek segítségével gyanús fájlokat vehetünk górcső alá. Még mielőtt használnád a fájlt, feltöltöd erre a felületre, és megnézheted, hogy vírusos-e.

    Vegyünk egy ilyen EICAR vírust és töltsük fel a virustotal.com-ra. Ez a program világosan megmutatja, hogy a vírus valóban vírusos fájlokat tartalmaz. Az is jól látható, hogy a víruskeresők 98%-a tökéletesen kiszűrte az ártalmas fájlokat. Ez egyelőre nagyon jól hangzik, de most megmutatom, hogy mi történik, ha ezt a felületet kevésbé jó szándékkal alkalmazza valaki.

     

    Mire használhatóak még ezek a felületek?

     

    Először is állítsunk elő egy saját vírust!

    Ehhez szükség lesz egy MSFvenom nevű eszközre, amelynek megadjuk, hogy mit tegyen az általunk létrehozott vírus, mely IP-címmel vegye fel a kapcsolatot stb. Ezután adjunk neki egy nevet (itt most a videóban, pillanatok alatt egy olyan kódot hoztunk létre, ami ha lefut az áldozat számítógépén, a támadó számítógépe máris hozzáférést kap az áldozat gépéhez).
    Most ezt a fájlt töltsük fel a virustotal.com honlapra! A vírusirtó programok 32%-a jelzi, hogy baj van. Ez már messze nem 98%, de még egy kicsit lehet rajta javítani. Ráadásul azt is pontosan tudjuk a virustotal.com segítségével, hogy melyik vírusírtók szűrték ki az adott vírust, és melyek engedték át.

     

    Hogyan lehet tovább javítani ezen az arányon?

     

    Tovább kell okosítani a vírust! Erre több módszert is alkalmazhatunk. Vagy egy másik porthoz csatlakozunk, vagy enkódolhatjuk is a vírust (az enkódolás azt jelenti, hogy felcseréljük a műveleteket, így látszatra más kódot látsz, de a végkifejlet ugyanaz). Tehát jelen esetben azt tesszük, hogy a korábban említett MSFvenom eszközben átírjuk egy másik portra a visszacsatlakozást, majd enkódoljuk(ebben az esetben 13-szor egymás után). El is készült az új fájl. Ezután ellenőrizzük le, mit szól ehhez a virustotal.com!

    Az eredmény: 1 vírusirtó ismerte fel a vírusunkat, az összes többitől zöld utat kapott az általunk generált vírus.

     

    Mi a tanulság?

     

    Tudunk generálni olyan kártevőt, amivel meg tudunk fertőzni egy másik számítógépet, az át fog menni annak vírusirtóján (hiszen ezt az információt pontosan elárulja nekünk a virustotal.com). Sőt, ha az email alján a verziószám is szerepel, akkor bármelyik hacker telepítheti is magának az adott vírusírtót, és addig módosíthat a vírusos fájlon, amíg végül azt át nem fogja engedni a védelmi rendszer.

    Tehát NE engedd a vírusírtónak, hogy a reklámját kitegye az aláírásodba, ezzel már egy nagy lépést tettél a számítógéped védelmében!

     

    Vélemény, hozzászólás?

    Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük