Wat is Fork Bomb-malware en hoe werkt het?

Cybercriminelen organiseren aanvallen met behulp van codefragmenten. Ze kunnen proberen persoonlijke informatie van een computer te stelen of een heel systeem beschadigen. Ze hebben niet eens zeer geavanceerde software en codeerkennis nodig om dat allemaal te doen. Wist u dat een aanvaller een computer volledig kan laten crashen met slechts één regel code? De naam van de methode die door bedreigingsactoren voor dergelijke aanvallen wordt gebruikt, is de vorkbom, ook wel een konijnenvirus genoemd.

Dus wat is een vorkbom? Hoe werken ze? En hoe kun je jezelf beschermen?

Wat is een Fork Bomb-virus?

Programmeertalen produceren over het algemeen specifieke uitvoer. U schrijft code en wanneer u die code uitvoert, krijgt u bepaalde resultaten. Maar wat als deze resultaten uw programma-opdrachten geven die keer op keer kunnen worden uitgevoerd? In dat geval loopt het programma voor onbepaalde tijd door. Als gevolg hiervan zal uw hardware, d.w.z. uw eigenlijke machine, niet steeds hetzelfde kunnen uitvoeren; het zal onbruikbaar worden. U kunt uw machine niet eens gebruiken. In het beste geval moet u het opnieuw opstarten.

En zelfs dat zal een vorkbom niet stoppen...

Een vorkbom is een Denial of Service-aanval (DOS)., wat betekent dat het uw RAM zal gebruiken, zodat er geen echte processen kunnen plaatsvinden. Het is precies wat er op het blik staat: het ontzegt u service door bronnen ergens anders heen te leiden.

Deze aanval kan op alle besturingssystemen worden uitgevoerd. Als u code in een eenvoudig tekstbestand kunt schrijven en dat tekstbestand een naam kunt geven met een door de computer uitvoerbare extensie, is uw vorkbom klaar. Probeer dit niet. Als je de effecten zelf wilt zien, probeer dan een omgeving die je kunt isoleren en uitschakelen; u kunt virtuele machines gebruiken. Desalniettemin adviseren we u om het niet eens te proberen.

Hoe werken Fork Bomb-scripts?

Fork bombs bestaan ​​in principe uit functies die elkaar triggeren. Zie het als bacteriën die zich beginnen te vermenigvuldigen in een container. Bacteriën worden constant verdeeld en gedupliceerd als de noodzakelijke omstandigheden en omgeving worden geboden. Hoewel er maar één bacterie in de container zat, kunnen er zich na een paar uur tienduizenden bacteriën hebben gevormd. Zo creëert de vorkbom veel nieuwe vorkbommen in zichzelf en na een tijdje begint hij de CPU van de computer te verbruiken. Wanneer de CPU het niet meer aankan, crasht de computer.

Om de vorkbom te laten werken, moet de beoogde gebruiker deze bestanden op de een of andere manier uitvoeren: BAT voor Windows, SH-bestanden voor Linux, die beide kunnen worden uitgevoerd met een simpele dubbelklik. Daarom bereiden aanvallers hun vorkbommen voor in deze bestandsextensies.

Als de aanvaller zich op Windows richt, slaat hij de fork bomb-code op in een tekstbestand als een BAT-bestand. Wanneer de doelgebruiker dubbelklikt op dit BAT-bestand, begint de vorkbom te werken. Het lopende programma retourneert voortdurend nieuwe uitvoer en hergebruikt deze. Aangezien dit proces voor altijd zal doorgaan, zullen de systeemvereisten van de computer het na een tijdje niet meer aankunnen. In feite is de computer zo druk bezig met de vorkbom dat de gebruiker niet eens een nieuw commando kan geven om hem af te sluiten. De enige oplossing hiervoor is om herstart de computer.

Als de aanvaller Linux als doelapparaat heeft gekozen, gebruiken ze het SH-bestand in plaats van het BAT-bestand, omdat Linux geen BAT-bestanden kan openen. De forkbom-code die de aanvaller zal voorbereiden, zal verschillend zijn voor Windows en Linux; de logica van de codes is echter precies hetzelfde. Wanneer de doelgebruiker dubbelklikt op het SH-bestand, gebeurt hetzelfde als op Windows: de systeemvereisten zullen niet langer voldoende zijn, dus de aanval zal succesvol zijn.

Dus als alles weer wordt zoals het was toen je de computer opnieuw opstartte, wat is dan het doel van deze aanval? De hackers die vorkbommen hebben ontworpen, weten dat u uw machine opnieuw zult opstarten. Daarom zal de vorkbom ook opnieuw opstarten, d.w.z. zichzelf dupliceren, elke keer dat u uw pc opnieuw opstart.

Als u op deze bestanden klikt, wordt uw computer onbruikbaar en opent u een achterdeur voor kwaadwillende aanvallers. Terwijl u probeert uw machine te repareren, kan een aanvaller al uw persoonlijke gegevens stelen.

Hoe Fork Bomb Attacks te vermijden

Als u vertrouwt op antivirussoftware om uw netwerk te beschermen, kunt u nog steeds vallen voor een fork-bomaanval. Deze codefragmenten kunnen kleine scripts van één regel zijn en gebruiken geen formaten die antivirussuites routinematig vermoeden, zoals .exe-bestanden. Antivirussoftware merkt deze vorkbommen misschien niet eens op.

De grootste stap die u hier moet nemen, is voorkomen dat deze schadelijke software uw computer bereikt. Download geen enkel bestand waarvan u niet zeker bent, zeker niets dat zogenaamd gratis is. Niemand stuurt u SH- of BAT-bestanden uit het niets. Als u dergelijke bestanden ontvangt, hetzij via uw e-mail, via een downloadbare link op een site of op sociale media, klik er dan niet op.

Antivirussen zijn niet de oplossing voor Fork Bomb

Antivirussen zijn op veel manieren nuttig; dat kan niemand ontkennen. Maar vorkbommen kunnen een andere zaak zijn.

De algemene werklogica van antivirussoftware is dat cyberbeveiligingsexperts en beveiligingsonderzoekers een nieuw virus of malware ontdekken. Antivirusbedrijven voegen deze malware toe aan hun systemen. Als u nu wordt aangevallen, kan uw antivirussoftware u waarschuwen omdat deze deze vector zal herkennen. Maar u loopt nog steeds het risico van onbekende malware.

Antivirusprogramma's kijken ook naar programma-extensies zoals EXE, VBS, CMD en MSI, niet noodzakelijkerwijs BAT- of SH-bestanden.

Als een bestand dat u downloadt bijvoorbeeld een MSI-extensie heeft, kan de antivirus die u gebruikt dit bestand vermoeden en u er een waarschuwing over geven. Maar vorkbommen komen als shell- en tekstbestanden. Aangezien vorkbommen vrij licht zijn en eruitzien als een tekstbestand, accepteren sommige antivirusprogramma's dergelijke bestanden. Hoewel tegenwoordig de meeste antivirusprogramma's dergelijke bestanden kunnen onderscheppen, zijn er nog steeds enkele die geen lichte, maar schadelijke bestanden kunnen detecteren. In dergelijke gevallen moet u, voordat u een bestand opent, zeker zijn van de inhoud en, indien mogelijk, het bestand controleren met een teksteditor.

Heb ik malware op mijn computer?

Je bent bijna constant verbonden met internet en moet regelmatig dingen downloaden. U verwijdert deze bestanden na verloop van tijd en deze cyclus gaat door. Hun effecten kunnen echter nog steeds worden gevoeld. De afname van de prestaties van uw computer kan te wijten zijn aan deze malware. Hackers kunnen uw computer gebruiken om activiteiten uit te voeren, zoals cryptocurrencies minen of andere netwerken aanvallen.

Gelukkig kun je de symptomen van malware en virussen herkennen, net als een menselijke aandoening. Door deze te herkennen en te behandelen, creëer je een veiligere omgeving.