Mahdollisesti ei-toivottu sovellus (PUA) tai potentiaalisesti ei-toivottu ohjelma (PUP) onohjelmisto tai ohjelma, joka ei välttämättä ole haitallinen. Kuitenkin se voivaikuttaa negatiivisesti laitteeseenja käyttökokemus.
Näihin sovelluksiin sisältyy usein ilmaisia latauksia tai ärsyttäviä asennuksia. Kun ne on asennettu laitteellesi, ne voivat hidastaa suorituskykyä, täyttää sinut mainoksilla, muuttaa selaimen asetuksia tai kerätä tietoja ilman suostumustasi.
Vaikka nämä eivät ole haittaohjelmia, troijalaisia tai viruksia, PUA:t ja PUP:itaiheuttaa vakavia tietosuoja- ja turvallisuusongelmia (jos jätetään valitsematta). Siksi on erittäin tärkeää havaita ja poistaa se laitteestasi. Tämä artikkeli opastaa sinua läpi, mitä PUA on ja kuinka päästä eroon siitä.
Mikä on mahdollisesti ei-toivottu sovellus (PUA)?
Potentially Unwanted Application (PUA), joka tunnetaan myös nimellä Potentially Unwanted Program (PUP), on ohjelmistoluokka, joka sisältääsovelluksia, joita voidaan käyttää väärinpahantahtoisten ulkopuolisten toimijoiden toimesta. Ne on nimetty näin, koska ne tulevat usein käyttäjän järjestelmään ilman lupaa (eli ne latautuvat ei-toivottuina).
PUPit tai PUA:teivät ole haitallisiaitsessään eivätkä edusta käyttäjäriskejä. Kuitenkin,niissä on toimintoja, jotka voivat valtuuttaa uhkatoimijan tekemään pahaajärjestelmää tai sen omistajaa vastaan.
Miten PUA tai PUP toimii?
Monet ohjelmat voivat olla PUA-muotoisia, riippuen niiden toiminnasta. Järjestelmänhallintatyökalut ovat hyviä esimerkkejä, koska ne tarjoavat merkittäviä etuja järjestelmän omistajalle ja mahdollistavat erilaisten ongelmien ratkaisemisen. Mutta samaan aikaan,he tarvitsevat tietyn tason ollakseen tehokkaita, joihin usein kuuluu kyseisen sovelluksen, järjestelmän tai verkon hallinta.
Joten esimerkiksi jos kohtaat odottamattomia ongelmia, jotka vaativat nopeaa ratkaisua, jotkin järjestelmänhallintaohjelmistot tai salasanan palautusohjelmat ja muut vastaavat ohjelmat auttavat.
Ne suorittavat edistyneitä tehtäviä melko yksinkertaisesti suhteellisen kokemattomalle käyttäjälle. Ne antavat kuitenkin myös korkean tason valtaa ulkoiselle agentille, joka osaa aktivoida ne.
Useimmat käyttäjät eivät hyödynnä kaikkia näiden ohjelmien ominaisuuksia. Useimmiten he oppivat suorittamaan kourallisen tehtäviä ja jättävät loput käyttämättä. Mutta ohjelman täysi teho säilyy, ja pahantahtoiset toimijat voivat hyödyntää niitä haluamallaan tavalla.
Useimmat hyökkääjät eivät myöskään kirjoita käyttämänsä koodin. Sen sijaan he käyttävät yleensä Internetissä saatavilla olevia kolmannen osapuolen työkaluja, jotka he syöttävät järjestelmään haitallisena hyötykuormana.Jotkut vastustajat osaavat muokata pakkaajien, salauskoneiden ja obfuskaattorien alkuperäistä sisältöä niin, että alun perin vaaraton asennusohjelma sisällyttää haitallisen hyötykuorman ja asentaa sen lujasti.
Havaitsemisen välttäminen on PUA:n asialistalla ensisijainen tavoite. Sitten kun se on asennettu, se pysyy äänettömänä, kunnes se voi saavuttaa perustavoitteen hyökkäyksen tullessa.
Mikä on PUA-uhka?
Kun potentiaalisesti ei-toivottu sovellus saavuttaa järjestelmän, se voisuorittaa erilaisia ärsyttäviä toimintojailmoituksella tai ilman. Joitakin yleisiä PUA: n aiheuttamia uhkia ovat:
- Hidastaa tietokonettasi.
- Täyttää sinut ei-toivotuilla mainoksilla.
- Asennat muita ohjelmistoja, joita et halua, tai vielä pahempaa.
- Arkaluontoisimpien tietojesi varastaminen.
Miten PUA:t tai PUPit saavuttavat järjestelmän?
Uhkanäyttelijät ja rikollisethakkerit käyttävät usein väärin laillisia työkaluja tehokkailla toiminnoilla. Koska nämä työkalut kuuluvat muuten laillisille entiteeteille, ne voivat mahdollisesti välttää kohdejärjestelmän käyttäjien huomion, vaikka ne olisi merkitty. Samalla ne jatkavat hyökkääjien aikomusten palvelemista. Siksi, vaikka nämä työkalut voivat olla hyödyllisiä, useimmatvirustorjuntaohjelmistotpitää niitä PUA:na.
Klassinen esimerkki tällaisista PUP- tai PUA-toimituslähteistä onNirSoftin verkkosivusto. Setarjoaa laajan valikoiman järjestelmänhallintaohjelmistoja. Kokonainen ohjelmistoluokka keskittyy salasanojen palauttamiseen ympäristöissä, kuten reitittimissä, langattomissa verkoissa, sähköpostiohjelmissa, selaimissa jne.Turvallisuus Xplodedon toinen sivusto, joka tarjoaa samanlaisia ohjelmistoja.
NirSoftin "salasanan palautusapuohjelmat" -luettelo sisältää 28 työkalua. Nämä työkalut skannaavat laitteiston tai virtuaaliympäristön löytääkseen tallennetut kirjautumistiedot. Esimerkiksi Windowsin rekisteri oli aiemmin surullisen kuuluisa siitä, että se tallensi kaikki mahdolliset salasanat ilman salausta.
NirSoftin tarjoamat salasanan palautustyökalut ovat petollisen yksinkertaisia. Lisäksi ne toimivat tehokkaasti ja niitä voidaan ajaa komentoriviltä. Komentorivin saatavuus tarkoittaa, että voit kutsua ne komentosarjasta tai ohjelmasta, kerätä tulosteen ja käyttää sitä tai tallentaa sen myöhempää käsittelyä varten.
Joten, ovatko nämä työkalut haitallisia? Ei,ne ovat hyödyllisiä. Ne voivat kuitenkin myöshelpottaa ulkoista hyökkääjää, joka haluaa varastaa salasanasi. Tämän mahdollisesti haitallisen ominaisuuden vuoksi monetvirustorjuntaohjelmistotoimittajat luovat usein varoituksia havaitessaan nämä työkalut.
Nir on tietoinen tästä. AVuoden 2015 postaus NirBlogissatyökalun tekijä myönsi, että useat AV-työkalut olivat merkinneet hänen ohjelmistonsa haitalliseksi. Hän selitti myös, että näitä sovelluksia ei pitäisi käsitellä niin huonosti.
Joten, mitä voimme tehdä tästä näennäisestä konfliktista kehittäjän ja AV-alan välillä? Se on luonnollista. Kehittäjän näkemys on oikea, mutta ainutlaatuinen, koska kukaan muu ei voi aidosti jakaa hänen huolenaiheitaan ohjelmiston tekijänä.
AV-ala on pätevä myös sen sijainnin vuoksi. Ohjelmiston pelkkä hyödyllisyys ei ole ainoa huomioon otettava tekijä, koska se voi olla kehittäjälle.Ahyvä virustorjuntaon kerrottava käyttäjille kaikesta, mikä aiheuttaa riskejä jollekin järjestelmälle.Lisäksi NirSoftin viestissä tunnustetaan, että AV-ohjelmistot alkoivat varoittaa käyttäjiä salasanan palautustyökaluista potentiaalisesti ei-toivottuina sovelluksina vuonna 2004. Odottaa yksitoista vuotta valituksen tekemiseksi siitä tuntuu liian myöhäiseltä.
Ajatellaanpa ajatuskokeilua. Tietokone on vaarantunut ja hyökkääjä lataa "netcatSe on alaillinen työkalu. Se on tunnettu siitäkyky testata verkkojaja apua vianmääritysprosessissa. Kuitenkin sevoi myös esitellä takaoviajärjestelmässä, jolloin hyökkääjä pääsee käsiksi.
Joten vaikka netcatille on laillinen käyttötapa, AV:t pitävät sitä silti PUA:na, koska se sisältää joitain toimintoja, jotka voivat kääntyä sen kotijärjestelmää vastaan.
Huomaa kuitenkin, että nämä virustentorjuntaohjelmat merkitsevät nämä työkalut vain PUA:iksi, eivät haittaohjelmiksi. Useimmissa AV-laitteissa on myös turvaluettelo, jonka avulla käyttäjät voivat sulkea tiettyjä sovelluksia AV-tunnistuksen ulkopuolelle. Joten jos Netcat, salasanan palautustyökalu tai mikä tahansa muu ohjelmisto on olemassa, koska järjestelmän omistaja haluaa sen sinne, omistaja voi merkitä työkalun turvalliseksi. Tämä tekee NirSoftin huolista AV-merkinnöistä turhaa.
PUA:n aseistaminen
Vuonna 2018 Emotet Banking -troijalainen riehui ja käytti laillisia ilmaisohjelmatyökaluja joihinkin digitaalisiin rikoksiin. TheUS-CERT-varoitusyleisölle Emotetista, mukaan lukien NirSoftin salasanan palautustyökalut, ei-toivottujen rikollisten luettelossa.
Se on ollut haittaohjelmien vakiokäytäntö melkein sen alusta lähtien. Mutta ajan myötä yhä useammat käyttäjät tulevat verkkoon. Näiden työkalujen käyttö lisääntyy vastaavasti, koska myös hakkeriryhmät kasvavat. Esimerkiksi,Bitdefender löytyitieto siitä, että Netrepster (kybervakoiluryhmä) käynnistää kohdistetun hyökkäyksen käyttämällä joitain kolmannen osapuolen elementtejä, jotka muutoin voisivat vaikuttaa vaarattomilta.
Mahdollisesti ei-toivottuja sovelluksia ja ohjelmia käytetään yleisesti erilaisissa luonnossa aktiivisissa haittaohjelmakampanjoissa. Usein,ne tulevat osana toista vaihetta, ja ne ladataan päähaittaohjelmien käynnistysohjelman komponentista.Tässä vaiheessa useimmat AV-ohjelmistot voivat havaita ne ja varoittaa niistä.
Valitettavasti näille asioille ei ole standardia jargonia. Joten jokainen toimittaja kutsuu niitä jollakin eri tavalla, kuten Riskware, ChromePass, PstPassword, NetPass ja Dialupass, muutamia mainitakseni.
Suorittamalla perustavanlaatuisen kuvaavan tilastollisen analyysin näiden virheiden esiintyvyydestä havaitsimme, että NetPass-luokka on yleisin. Se sisältää kolme työkalua: verkon salasanan palautus, IE PassView ja Opera PassView.
Jatkoimme metsästystä ja eri skenaarioiden tarkkailua, kunnes löysimme sellaisen, joka kuvasi tilannetta erittäin hyvin. Tämä.net-ohjelmisto on laillinen, eikä sitä ole laatinut tai levitä mikään haitallinen ryhmä. Nimellä ei ole merkitystä, mutta voit tunnistaa sen MD5-hashista,0fd18e3cc8887dc821a9f8c4e481a416. Se on hyvä esimerkki, koskase käyttää NirSoftin työkaluja järjestelmän turvallisuutta vastaan.
Ja muista, että nämä asiat eivät aina ole niin selkeitä edes parhaalle AV:lle. Kyberrikolliset yrittävät salata ja peittää koodinsa pysyäkseen tutkan alla pisimmän aikaa. He pelaavat hämäräpeliä, jotta haittaohjelmaanalyysi ei kosketa heitä.
RDG-pakettidetektori kertoi meille, että tämä ohjelmisto on suojattu kaupallisella työkalulla, "Enigma-suojalla". Se on palvelu, joka suojaa suoritettavia binaaritiedostoja lisensointitarkoituksiin piratismin välttämiseksi. Asia on, että haittaohjelmien tekijät käyttävät sitä myös työnsä suojaamiseen.
Joten haittaohjelma löytää tiensä järjestelmään. Sitten se suorittaa toisen vaiheen hyökkäyksen ottamalla käyttöön tarvittavat työkalut. Sitten se suorittaa ne komentorivikutsujen kautta ja tallentaa kerätyt tiedot myöhempää käyttöä varten. Mukana olevat prosessit olivat "WebBrowserPassView.exe", "mspass.exe" ja "ProduKey.exe".
Kun haittaohjelmalla on haluamansa tiedot, se lähettää ne C&C-palvelimelle HTTP-pyynnöllä.
Joten kuinka suuri osa vahingoista johtuu NirSoft-työkaluista? Ja kuinka suuri osa siitä tulee haittaohjelmien kehittäjältä? Purimme näytteen pakkauksesta nähdäksemme sen koodin ja jakaaksemme vastuut. Hyökkäys käyttää kolmea NirSoft-työkalua. On kuitenkin muutakin. Hyökkäyksen tekijällä on lisäkoodi varastaakseen muita tunnistetietoja CoreFT:stä, FileZillasta, SmartFTP:stä ja muutamista muista.
TheNirSoft-työkalut palauttavat salasanat, mutta niissä on lisäkerros: ne antavat hyökkääjälle myös Windows-tuoteavaimen ja Office 2003/2007 -tuoteavaimen..
Joten kun hyökkääjä saavuttaa tiensä, se kerää tietoja, jotka sisältävät tuoteavaimen, nykyisen käyttäjän, Windows-version, Windowsin sarjanumeron sekä joitain salasanoja ja tunnistetietoja. Joten jos se onnistuu,se kerää tarpeeksi tietoa tunnistaakseen sinut tarkasti Internetissä ja varastaakseen digitaalisen henkilöllisyytesi useissa tapauksissa.
Kuinka välttää mahdollisesti ei-toivotut ohjelmat?
Erilliset järjestelmätyökalut ovat oikeutettu resurssi monille IT-alalla, erityisesti IT-tuki. Työkaluilla voidaan saada tarvitsemansa tulokset nopeasti, ne ovat automatisoituja ja helpottavat IT-miehen elämää yleisesti.
Todellakin, jos tarkastelet NirSoftin työkaluja ja vastaavia sovelluksia, ne eivät ole haitallisia sinänsä. Päinvastoin, ne ovat hyödyllisiä osia IT-apuprosessissa. Kuitenkin, jos ne on asennettu järjestelmääsi, sinun pitäisi tietää. Se pätee erityisesti digitaalisissa yritysympäristöissätietoturvahäiriöillä voi olla synkempiä ja vahingollisempia seurauksia.
Ja miksi haittaohjelmien tekijät käyttävät niin helposti väärin mahdollisesti ei-toivottuja ohjelmia? Se johtuu siitä, että ne ovat hyviä! He ovat avuliaita, tehokkaita, monipuolisia, hyvin tehtyjä ja loistavia saavuttamaan odotetun tuloksen. Joten kiertynyt mieli voi pitää niistä myös erittäin hyödyllisiä, koska ne ovat luonnostaan sellaisia.
Tunneja muut kehittyneet haittaohjelmauhat ovat yhä merkityksellisempiä, kun yhä useammat kyberrikollisryhmät käyttävät niitä toimintoihinsa.
Toisin kuin 90-luvun alun leikkisät virukset, jotka tekivät sinulle pilkun, nämä nykyiset PUA:t ovat täällä jäädäkseen, koska ne ovat hyödyllisiä, monipuolisia ja tehokkaita. Ne voivat vahingoittaa sinua, muttamyös tarvittaessa arvokasta palvelua. Ja pahikset käyttävät niitä edelleen hyväkseen.