Malware

Zbiorcza nazwa wszelkiego złośliwego oprogramowania tworzonego, by szkodzić systemom, kraść dane lub przejmować kontrolę nad urządzeniem. Obejmuje m.in. wirusy, trojany, ransomware i spyware.

Malware (od malicious software) to parasolowe określenie na każdy program lub fragment kodu napisany po to, żeby zaszkodzić: ukraść dane, zaszyfrować dysk dla okupu, przejąć kontrolę nad maszyną albo cicho dołączyć ją do botnetu. Nie jest to jeden konkretny typ zagrożenia, tylko cała rodzina: wirusy, robaki (worms), trojany, ransomware, spyware, keyloggery, rootkity, adware i kryptokoparki (cryptominers). Łączy je jedno — intencja. Jeśli kod robi coś bez Twojej wiedzy i na Twoją niekorzyść, to malware, niezależnie czy przyszedł jako załącznik .exe, makro w pliku Worda, czy zatruta paczka z npm.

Jak to działa

Malware potrzebuje dwóch rzeczy: sposobu dostania się do systemu (wektor infekcji) i sposobu na przetrwanie (persistence). Wektorem bywa phishing, podatność w niezałatanym oprogramowaniu, zainfekowany pendrive albo supply chain — czyli biblioteka, której używasz w projekcie. Po wejściu do systemu typowy malware zakopuje się tak, żeby przeżyć restart: dorzuca wpis do rejestru, tworzy usługę, cron joba albo modyfikuje pliki autostartu.

Dalej zależy od celu. Ransomware szyfruje pliki i wyświetla żądanie okupu. Trojan otwiera backdoora i czeka na komendy z serwera C2 (command and control). Spyware po cichu wysyła Twoje hasła i historię. Robak dodatkowo sam się powiela po sieci — i to właśnie odróżnia go od klasycznego wirusa, który potrzebuje nosiciela.

Przykład z praktyki

Dostajesz na Linuksie podejrzany plik i nie chcesz go odpalać na żywo. Zamiast tego sprawdzasz go statycznie. Najprościej policzyć skrót i wrzucić go do bazy znanych próbek:

sha256sum podejrzany.bin

Hash wklejasz do VirusTotal albo lokalnego skanera (clamscan podejrzany.bin). Jeśli chcesz zobaczyć, co plik faktycznie robi, uruchamiasz go w izolowanym sandboxie (np. maszyna wirtualna bez dostępu do sieci albo Cuckoo Sandbox) i obserwujesz, jakie połączenia próbuje nawiązać. Zasada numer jeden: nigdy nie analizuj malware na maszynie, na której Ci zależy.

Częste mity

  • „Mam antywirusa, jestem bezpieczny” — AV łapie znane sygnatury, ale fresh malware i ataki bezplikowe (fileless, działające w pamięci) potrafią mu umknąć.
  • „Linux/Mac nie ma wirusów” — ma. Mniej, ale ransomware i kryptokoparki na serwery Linux to codzienność.
  • „Wirus i malware to to samo” — wirus to tylko jedna z kategorii malware, nie synonim.

Pojęcia powiązane: ransomware, trojan, phishing, botnet, rootkit, sandbox, antywirus (EDR), CVE, supply chain attack.