Mitä tavallinen haittaohjelma kertoo?

Monesti pelätään ovelia hyökkääjiä jotka käyttävät hyväkseen nollapäivähaavoittuvuuksia ja aivan uusia, hyvin naamioituja haittaohjelmia. Hyökkääjiä joiden havaitsemiseen kuluu kuukausia, ja joiden poistaminen verkosta vaatii paljon osaamista ja aikaa. Välillä käy kuitenkin niin onnekkaasti että hyökkääjän käyttämä haittaohjelma on helppo havaita ja torjua.

Kuvitellaanpa seuraava tilanne: verkossasi on juuri havaittu haittaohjelma jonka antiviruksesi kaikkien muiden antivirusten mukana tunnistaa tietyntyyppiseksi haittaohjelmaksi ja torjuu asiaankuuluvasti. Virustotalin mukaan selvä tapaus. Huokaiset helpotuksesta, sillä antivirus toimii kuten pitääkin ja uhka on torjuttu. Voidaan palata siis normaaliin päiväjärjestykseen ja jatkaa toimintaa tavalliseen tapaan.

Nohevimmat lukijat varmasti huomasivat että tällä tavalla toimiessa jää kuitenkin puuttumaan varsinkin yksi tärkeä asia: juurisyyanalyysi ja tapahtuman tarkempi tutkinta. Miten haittaohjelma pääsi verkkoon? Mikä on hyökkääjän motiivi? Onko tämä hyökkääjä tehnyt verkossa myös jotain muuta? Pelkkä tehtyjen torjuntojen havaitseminen ei ole vielä kovin arvokasta tietoa, ja antaa pahimmillaan vain valheellisen turvallisuuden tunteen.

Välillä tunnettu, helposti torjuttava haittaohjelma on juuri sitä miltä se vaikuttaa: kömpelö hyökkäys joka on kerralla torjuttu. Mutta jotta voit olla varma siitä, tulee sinun olla varma siitä, miten haittaohjelma on päätynyt verkkoon. Jos haittaohjelman alkuperä on epäselvä, herättää se uusia kysymyksiä. Miksi emme tiedä miten haittaohjelma on päätynyt verkkoon? Onko havainnointikyvyssämme puutteita? Onko haittaohjelma saanut alkunsa verkon ulkopuolelta esim. sähköpostin kautta vai verkon sisältä? Voidaanko olettaa, että kyseessä on todella vain alkeellinen hyökkäys joka on torjuttu?

Nostankin esille kaksi muuta asiaa joista ns. “äänekäs” antiviruksen huomion herättävä haittaohjelma saattaa monesti kertoa.

  1. Hiljattain on huomattu että monet hyökkääjät saattavat pääsyn saatuaan pudottaa verkkoon haittaohjelman haittaohjelman perään mitatakseen verkon suojauskykyä. Tunnetun haittaohjelman ajamisella voidaan esimerkiksi selvittää onko kohteella käytössä päivitetty antivirus. Tämä tieto vaikuttaa hyökkäyksen jatkamiseen tavalla tai toisella. Tunnettu haittaohjelma saattaa siis olla merkki siitä, että verkkoasi tiedustellaan aktiivisesti, ja hyökkääjällä saattaa olla jo pääsy verkkoon. Kiinnitä huomiota etenkin samalla koneella tai samassa verkkosegmentissä tapahtuviin toistuviin, yksittäisiltä vaikuttaviin tapahtumiin.
  2. Edistyneiden toimijoiden on huomattu käyttävän kiristyshaittaohjelmia todellisen hyökkäyksen jälkien peittämisessä. Esimerkiksi teollisuusvakoilussa onnistuneen operaation jälkeen levitetty kiristyshaittaohjelma peittää tehokkaasti hyökkääjän todelliset tavoitteet ja kyvykkyydet, poistaa monesti hyökkäyksen jäljet esimerkiksi lokeista ja bonuksena aiheuttaa haittaa kyseiselle yritykselle eli tuottaa kilpailuetua teollisuusvakoilijalle. Toisaalta valtiolliset toimijat ovat välillä pyrkineet naamioimaan suoran tuhoamiseen tarkoitetun hyökkäyksen normaaliksi kyberrikollisuudeksi käyttämällä kiristyshaittaohjelmaa. Kiristyshaittaohjelma torjuttunakin on siis mahdollisesti merkki jostain aivan muusta kuin tavoitteesta kerätä lunnaita.

Yhteenveto:

  1. Pelkkä antiviruksen tekemä havainto ja torjunta ei ole kovin arvokasta tietoa, mikäli et pysty selvittämään hyökkäysvektoria ja muuta hyökkäyksen kulkua. Älä tuudittaudu torjuntojen tuomaan valheelliseen turvallisuuden tunteeseen.
  2. Äänekkäät haittaohjelmat eivät välttämättä ole pelkkiä kömpelöjä hyökkäyksiä, vaan saattavat olla myös esimerkiksi verkkoosi kohdistuvaa tiedustelutoimintaa.
  3. Esimerkiksi kiristyshaittaohjelman levittäjän tavoitteena eivät välttämättä ole lunnaat, vaan toisen hyökkäyksen jälkien peittäminen tai suora tuhovaikutus ja motiivin pimittäminen.

Muut blogikirjoitukset

Etusivulle

Heräsikö kysymyksiä? Ota yhteyttä!

Työpuhelin


Kategoria Blogi