Bosh sahifa Wiki Malware

Malware

Malwarekompyuter, telefon, server, tarmoq yoki foydalanuvchi ma’lumotiga zarar yetkazish, yashirin nazorat o‘rnatish, ma’lumot o‘g‘irlash yoki ruxsatsiz amal bajarish uchun yaratilgan zararli dasturiy ta’minotning umumiy nomi.

Malware bitta aniq tur emas. Virus, worm, ransomware, spyware, trojan, rootkit, keylogger va bot kabi ko‘plab shakllarni qamrab oladi.

Asosiy maqsadlar

Malware quyidagi maqsadlarda ishlatilishi mumkin:

  • ma’lumot o‘g‘irlash;
  • fayllarni shifrlash;
  • tizimni buzish;
  • foydalanuvchini kuzatish;
  • reklama ko‘rsatish;
  • botnetga qo‘shish;
  • credential olish;
  • boshqa hujumga yo‘l ochish.

Bir malware bir nechta maqsadni birga bajarishi mumkin.

Yetkazib berish yo‘llari

Malware tizimga turli yo‘l bilan kiradi:

  • phishing email;
  • zararli attachment;
  • soxta dastur;
  • crack va pirat software;
  • browser exploit;
  • supply-chain update;
  • USB qurilma;
  • ochiq remote service;
  • noto‘g‘ri konfiguratsiya;
  • compromised website.

Foydalanuvchi faylni o‘zi ishga tushirishi yoki exploit orqali avtomatik execution yuz berishi mumkin.

Trojan

Trojan foydali yoki qonuniy dasturga o‘xshab ko‘rinadi.

Foydalanuvchi uni o‘zi o‘rnatadi yoki ishga tushiradi.

Keyin u:

  • backdoor;
  • credential theft;
  • downloader;
  • remote control

vazifasini bajarishi mumkin.

Trojan o‘zini virus kabi boshqa fayllarga ko‘chirishga majbur emas.

Virus

Virus boshqa fayl yoki dasturga birikib, u ishga tushganda tarqaladi.

U executable, document macro yoki boot qismiga bog‘lanishi mumkin.

Virus tarqalish uchun host file va ko‘pincha foydalanuvchi amaliga tayanadi.

Worm

Worm tarmoq orqali o‘zini mustaqil tarqata oladi.

U zaif service, default credential yoki protocol xatosidan foydalanishi mumkin.

Tez tarqaluvchi worm:

ga katta zarar yetkazadi.

Ransomware

Ransomware fayl yoki tizimni shifrlab, tiklash uchun pul talab qiladi.

Zamonaviy hujumlarda ma’lumot avval o‘g‘irlanib, keyin shifrlanishi mumkin.

Backup mavjudligi muhim, ammo attacker backup tizimiga ham kirishga urinadi.

Spyware

Spyware foydalanuvchi faoliyati va ma’lumotlarini yashirin kuzatadi.

U:

  • browser history;
  • login;
  • message;
  • screenshot;
  • location;
  • microphone;
  • file

ma’lumotlarini to‘plashi mumkin.

Rootkit

Rootkit attacker mavjudligini yashirish va yuqori privilege’ni saqlash uchun ishlatiladi.

U user space, kernel, boot yoki firmware qatlamiga joylashishi mumkin.

Rootkit aniqlash va tozalash qiyin.

Payload

Payload malware’ning asosiy zararli vazifasi.

Masalan:

  • fayl shifrlash;
  • parol o‘g‘irlash;
  • command bajarish;
  • data yuborish;
  • process o‘chirish.

Delivery komponenti payloadni tizimga olib kiradi.

Persistence

Malware restartdan keyin ham ishlash uchun persistence yaratadi.

Usullar:

Persistence operatsion tizimga qarab farq qiladi.

Privilege escalation

Dastlab oddiy user huquqi bilan kirgan malware yuqori privilege olishga urinadi.

U:

dan foydalanishi mumkin.

Administrator huquqi attackerga kengroq nazorat beradi.

Command and control

Malware tashqi serverdan buyruq olishi mumkin.

Bu command and control kanali.

Transport:

orqali bo‘lishi mumkin.

Network monitoring g‘ayrioddiy outbound aloqani aniqlaydi.

Evasion

Malware aniqlanishdan qochishga urinadi.

Usullar:

  • obfuscation;
  • packing;
  • encryption;
  • process injection;
  • signed binarydan foydalanish;
  • logni o‘chirish;
  • sandboxni aniqlash;
  • nomni qonuniy processga o‘xshatish.

Faqat fayl hashiga asoslangan aniqlash yangi variantlarni o‘tkazib yuborishi mumkin.

Indicator

Hujum indikatorlari:

Indicator vaqt o‘tishi bilan eskirishi mumkin.

Behavioral detection xatti-harakatga qaraydi.

Aniqlash

Malware aniqlash vositalari:

Bitta vosita barcha malware’ni aniqlamaydi.

Containment

Zararlangan qurilma tarmoqdan ajratiladi.

Credentiallar boshqa xavfsiz qurilmadan almashtiriladi.

Forensic ma’lumot yo‘qolmasligi uchun qurilmani darhol formatlashdan oldin incident jarayoni bajarilishi mumkin.

Tiklash

Tiklash:

  • ishonchli image’dan qayta o‘rnatish;
  • patch;
  • credential rotation;
  • backup restore;
  • persistence tekshiruvi;
  • boshqa hostlarni qidirish;
  • log tahlili

ni o‘z ichiga oladi.

Faqat zararli faylni o‘chirish attacker accessini to‘liq yo‘qotmasligi mumkin.

Malware analysis

Shubhali fayl static va dynamic usulda tahlil qilinadi.

Static tahlil:

Dynamic tahlil izolyatsiyalangan muhitda process, file, registry va network xatti-harakatini kuzatadi.

Real malware production yoki shaxsiy qurilmada tajriba sifatida ishga tushirilmaydi.

Supply chain

Malware qonuniy software update, package yoki build pipeline’ga kiritilishi mumkin.

Bunday hujumda foydalanuvchi ishonchli publisherdan signed update olayotgandek ko‘rinadi.

Build isolation, dependency verification va artifact provenance himoyani kuchaytiradi.

Prevention

Himoya qatlamlari:

Bitta antivirus barcha kirish yo‘llarini yopmaydi.

Sandbox

Shubhali attachment yoki URL izolyatsiyalangan muhitda ochilib, process va network behaviori kuzatilishi mumkin.

Malware virtual muhitni aniqlab zararli faoliyatni yashirishi ehtimoli bor.

Initial access va payload

Phishing document faqat dastlabki downloader bo‘lishi mumkin.

Keyingi bosqichda boshqa payloadlar yuklanadi.

Incident tekshiruvi birinchi aniqlangan fayl bilan cheklanmay, host va accountdagi barcha persistence hamda lateral movementni qidiradi.

Threat hunting

Security jamoasi ma’lum alertni kutmasdan process tree, DNS, authentication va endpoint telemetry ichidan shubhali patternlarni qidiradi.

Hunt hypothesis va vaqt oralig‘i bilan bajariladi, natijalar yangi detection qoidalariga aylantiriladi.

Bog‘liq tushunchalar

Virus, Worm, Trojan, Ransomware, Spyware, Rootkit, Payload, Persistence, Command and control, Antivirus, Incident response