Malware Basics: সাইবার স্পেসে বিভিন্ন ধরণের ম্যালওয়্যার এবং তাদের কাজ করার ধরন!

ম্যালওয়্যার হলো এমন যেকোনো Software যা একটি Computer System-এর Confidentiality, Integrity, বা Availability ব্যাহত করার অভিপ্রায়ে তৈরি। শ্রেণিবিন্যাস সাধারণত দুটি প্রধান Dimension-এ করা হয় - Propagation Mechanism (কীভাবে ছড়ায়) এবং Goal (কী করতে চায়)। আধুনিক ম্যালওয়্যার প্রায়ই Hybrid - একাধিক বৈশিষ্ট্য একসাথে থাকে।

প্রথাগত শ্রেণিবিন্যাসে Virus, Worm, Trojan, Logic Bomb, Backdoor - এই Propagation-Based ক্যাটাগরি ছিল। আধুনিক যুগে Goal-Based ক্যাটাগরি যেমন Ransomware, Stealer, Banker, Wiper, Cryptominer, RAT (Remote Access Trojan) আরও বেশি প্রাসঙ্গিক। MITRE ATT&CK Framework Behavior-Based একটি আরও Granular Classification সরবরাহ করে।

প্রতিটি ম্যালওয়্যার শ্রেণি একটি নির্দিষ্ট Threat Model প্রতিনিধিত্ব করে, যা Defense Strategy-কে Shape করে। উদাহরণস্বরূপ, Worm-এর বিরুদ্ধে Network Segmentation কার্যকর, কিন্তু Trojan-এর বিরুদ্ধে User Education গুরুত্বপূর্ণ। তাই Classification শুধু Theoretical নয়, এটি Practical Defense-এর ভিত্তি।

Computer Virus হলো এমন কোড যা একটি Host File-এর সাথে যুক্ত হয় এবং সেই File Execute হলে নিজেকে অন্য File-এ প্রতিলিপি করে। Biological Virus-এর সাথে এর সাদৃশ্য থেকে এই নাম। 1986 সালের Brain Virus প্রথম PC Virus হিসেবে বিবেচিত। 1990-এর দশকে Macro Virus যেমন Melissa এবং ILOVEYOU Office Document-এর মাধ্যমে ছড়িয়েছিল।

Virus কয়েক প্রকারের হতে পারে - File Infector (Executable-এ নিজেকে যুক্ত করে), Boot Sector Virus (Disk-এর MBR বা VBR Infect করে), Macro Virus (Office Document-এ Embedded), এবং Polymorphic Virus (প্রতিটি Infection-এ Code Mutate করে)। Polymorphic Engine ব্যবহার করে Signature-Based Detection এড়ানোর চেষ্টা হয়।

আধুনিক যুগে Pure Virus তুলনামূলকভাবে দুর্লভ। Windows-এর Application Sandboxing, Mark-of-the-Web, এবং Office Macro Disabling-এর কারণে Classic Virus-এর Propagation কঠিন হয়েছে। তবে Macro-Based Document এখনও একটি গুরুত্বপূর্ণ Initial Access Vector, বিশেষত Spear Phishing Campaign-এ।

Virus Detection-এ Signature-Based Antivirus ঐতিহ্যগতভাবে কার্যকর, কারণ Virus File-এ একটি Identifiable Pattern রেখে যায়। তবে Heuristic এবং Behavioral Detection আধুনিক AV-এ যুক্ত হয়েছে, যা Novel Variant-ও শনাক্ত করতে পারে।

Worm Virus-এর থেকে আলাদা কারণ এটি Host File ছাড়াই নিজে থেকে Propagate করতে পারে। Network Service-এর Vulnerability Exploit করে এক System থেকে অন্য System-এ ছড়ায়। 1988 সালের Morris Worm প্রথম বড় Worm হিসেবে ইতিহাসে চিহ্নিত, যা ARPANET-এর প্রায় 10% Compromise করেছিল।

ইতিহাসে কয়েকটি Worm অত্যন্ত ধ্বংসাত্মক ছিল। 2003 সালের Blaster Worm Windows RPC Vulnerability Exploit করে লক্ষ লক্ষ মেশিন Infect করে। 2008 সালের Conficker SMB Vulnerability ব্যবহার করে 15 মিলিয়নের বেশি কম্পিউটার Infect করে এবং আজও কিছু Legacy System-এ সক্রিয়।

2017 সালের WannaCry এবং NotPetya ম্যালওয়্যার-এর জগতে যুগান্তকারী। EternalBlue Exploit (NSA থেকে ফাঁস) ব্যবহার করে এই Worm SMB Protocol-এর মাধ্যমে দ্রুত ছড়িয়েছিল। WannaCry মাত্র কয়েক ঘণ্টায় 150-এর বেশি দেশে লক্ষাধিক সিস্টেম-এ পৌঁছেছিল। NotPetya Ukraine-এ একটি Targeted Wiper Attack ছিল যা পরে বিশ্বজুড়ে Collateral Damage তৈরি করেছিল।

Modern Worm-এর বিরুদ্ধে Network Segmentation, Patch Management, এবং SMB Hardening অপরিহার্য। SMBv1 Disable করা, Firewall দিয়ে SMB Port (445) Restrict করা, এবং Internal Network-এ East-West Traffic Inspect করা গুরুত্বপূর্ণ।

Trojan নাম এসেছে Greek Mythology-এর Trojan Horse থেকে - বাইরে থেকে দেখতে নিরীহ, কিন্তু ভেতরে বিপদ। Trojan নিজেকে একটি Legitimate Software হিসেবে উপস্থাপন করে, কিন্তু Execute হলে Malicious Action সম্পাদন করে। ব্যবহারকারীর সহযোগিতা প্রয়োজন - যেমন File Download এবং Run করা।

Trojan-এর কয়েকটি Subcategory রয়েছে। Banking Trojan (Zeus, Emotet, TrickBot, Dridex) Online Banking Credential চুরি করে। Remote Access Trojan বা RAT (njRAT, DarkComet, AsyncRAT, QuasarRAT) আক্রমণকারীকে দূরবর্তী নিয়ন্ত্রণ দেয়। Downloader/Dropper Trojan (Smokeloader, GuLoader) অন্যান্য ম্যালওয়্যার Download করে।

Banking Trojan Web Inject এবং Form Grabbing কৌশল ব্যবহার করে। Web Inject-এ Trojan Browser-এ Embedded HTML/JavaScript Inject করে Bank Website-এ অতিরিক্ত Field যোগ করে, যেখানে ব্যবহারকারী তার Credential, OTP, এবং Personal Information Submit করে। Zeus Trojan এই কৌশলের প্রবর্তক এবং তার Source Code Leak হওয়ার পর অসংখ্য Variant তৈরি হয়েছে।

RAT-গুলো Live Operator Control সরবরাহ করে। Cobalt Strike, Sliver, Mythic, এবং Brute Ratel Commercial-Grade C2 Framework, যা প্রকৃত Penetration Test-এর জন্য তৈরি হলেও অপব্যবহৃত হচ্ছে। এদের Beacon, Shell, Process Injection, Lateral Movement, এবং Token Manipulation Feature-গুলো Threat Actor-দের পূর্ণ Toolkit সরবরাহ করে।

Ransomware হলো এমন ম্যালওয়্যার যা ভিকটিমের ডেটা Encrypt করে এবং Decryption-এর জন্য মুক্তিপণ দাবি করে। 1989 সালের AIDS Trojan প্রথম Ransomware হিসেবে বিবেচিত হলেও, 2013 সালের CryptoLocker আধুনিক Ransomware যুগের সূচনা করেছিল। Bitcoin-এর জনপ্রিয়তা Ransom Payment সহজ করেছিল।

Ransomware Encryption সাধারণত Hybrid - প্রতিটি File-এর জন্য একটি AES Symmetric Key Generate হয়, এবং সেই Key একটি Embedded RSA Public Key দিয়ে Encrypt হয়। RSA Private Key শুধু আক্রমণকারীর কাছে থাকে। এই Implementation Cryptographically Secure - সঠিকভাবে Implemented হলে Brute Force Decryption অসম্ভব।

Ransomware Industry-এর বিবর্তন উল্লেখযোগ্য। Single Extortion (শুধু Encryption) থেকে Double Extortion (Encryption + Data Leak Threat), Triple Extortion (Encryption + Leak + DDoS), এবং Quadruple Extortion (এর সাথে Customer-কে Direct Contact) পর্যন্ত পৌঁছেছে। Ransomware-as-a-Service বা RaaS Model-এ Developer এবং Affiliate আলাদা, যা Specialization এনেছে।

প্রধান Ransomware Family-এর মধ্যে রয়েছে LockBit (সর্বাধিক সক্রিয়), BlackCat/ALPHV (Rust-এ লেখা), Cl0p (Zero-Day Exploit-এ পারদর্শী), Conti (এখন Defunct), Royal, Black Basta, এবং RansomHub। 2024 সালে LockBit-এর বিরুদ্ধে Operation Cronos নামে একটি International Operation পরিচালিত হয় এবং তাদের Infrastructure Seize করা হয়।

Spyware ব্যবহারকারীর কার্যকলাপ গোপনে নিরীক্ষণ করে এবং তথ্য আক্রমণকারীর কাছে পাঠায়। Keylogger, Screen Recorder, এবং Information Stealer এই বিভাগে পড়ে। আধুনিক Stealer একটি বিশাল Ecosystem তৈরি করেছে।

জনপ্রিয় Stealer Family-এর মধ্যে রয়েছে RedLine (২০২4-এ আংশিক Takedown হয়েছিল), Lumma Stealer, Vidar, Raccoon, Stealc, এবং Atomic Stealer (macOS)। এই Stealer Browser-এ সংরক্ষিত Credential, Crypto Wallet (MetaMask, Trust Wallet, Exodus), Session Cookie, FTP Credential, এবং Discord/Telegram Token চুরি করে।

Stealer-এর Distribution প্রধানত Malvertising, Cracked Software, এবং Social Engineering-এর মাধ্যমে হয়। YouTube Tutorial-এর Description-এ থাকা "Crack" Link, Google Search-এর Sponsored Result-এ থাকা Fake Software Page, এবং Discord-এর Direct Message ভুয়া Crypto/Gaming Promo - এই সব Stealer Distribution-এর সাধারণ Channel।

Stealer Log একটি Underground Economy তৈরি করেছে। Russian Market, Genesis Market (Takedown), এবং Telegram Channel-এ Compromised Account Stealer Log আকারে বিক্রি হয়। প্রতিটি Log-এ একটি Victim-এর সব Stolen Data থাকে, যা পরবর্তীতে Initial Access Broker-রা Ransomware Group-কে বিক্রি করে।

Rootkit সবচেয়ে Stealth Malware Category। এটি Operating System-এর Core Component Modify করে নিজেকে এবং অন্যান্য ম্যালওয়্যার লুকায়। User-Mode Rootkit, Kernel-Mode Rootkit, এবং Bootkit (Bootloader Level)-এ এদের বিভক্ত করা যায়।

Kernel-Mode Rootkit সবচেয়ে শক্তিশালী, কারণ এরা OS-এর সর্বোচ্চ Privilege Level-এ কাজ করে। Process List, File System, Network Connection - সব Manipulate করতে পারে। Stuxnet এবং Equation Group-এর GrayFish এই ধরনের Sophisticated Rootkit-এর উদাহরণ।

Bootkit Boot Process-এর প্রথম দিকে নিজেকে Load করে - কখনও কখনও OS-ও Boot হওয়ার আগে। Bootkit Operating System Reinstall-ও বেঁচে যেতে পারে যদি Disk Wipe না করা হয়। 2022 সালে Discover হওয়া BlackLotus UEFI Bootkit Windows Secure Boot Bypass করতে সক্ষম, যা একটি Milestone।

Modern Hardware Security Feature যেমন Secure Boot, Measured Boot, TPM, এবং Intel BootGuard Rootkit Detection এবং Prevention-এ সাহায্য করে। Windows Defender System Guard এবং Hypervisor-Enforced Code Integrity আধুনিক Windows-এর Rootkit Defense।

Fileless Malware Traditional On-Disk File ছাড়াই কাজ করে। PowerShell, WMI, .NET Reflection, এবং Memory-তে Direct Execution ব্যবহার করে। এই কারণে Signature-Based Antivirus প্রায়ই ব্যর্থ হয়। PowerShell Empire, Cobalt Strike-এর Beacon, এবং বহু Banking Trojan এই Approach ব্যবহার করে।

Living-off-the-Land Binaries বা LOLBins হলো Windows-এর বৈধ Built-in Tool যা ম্যালওয়্যার Activity-তে ব্যবহার করা হয়। certutil.exe File Download করতে পারে, mshta.exe HTA File Execute করে, regsvr32.exe DLL Load করে, এবং rundll32.exe Arbitrary DLL Function Invoke করে। LOLBAS Project এই Binary-গুলোর Comprehensive List রক্ষণাবেক্ষণ করে।

Fileless Attack Defend করতে Behavioral Detection এবং Process Lineage Analysis অপরিহার্য। Microsoft Defender for Endpoint, CrowdStrike Falcon, এবং SentinelOne এই কাজে পারদর্শী। PowerShell ScriptBlock Logging, AMSI (Antimalware Scan Interface), এবং Constrained Language Mode গুরুত্বপূর্ণ Defense Layer।

Cryptominer ম্যালওয়্যার Victim-এর Computing Resource ব্যবহার করে Cryptocurrency Mine করে - বিশেষত Monero, যার CPU Mining সম্ভব। 2017-2018-এর Cryptocurrency Boom-এ এই ম্যালওয়্যার বিস্ফোরিতভাবে বেড়েছিল। CoinHive-এর JavaScript Miner প্রায় প্রতিটি Compromised Website-এ ছিল।

Modern Cryptominer প্রায়ই Worm Capability-এর সাথে আসে। LemonDuck, WatchDog, এবং Skidmap Linux Server, Docker Container, এবং Kubernetes Cluster-কে Target করে। Exposed Docker API, Default Kubernetes Credential, এবং Vulnerable Web Application এদের Initial Access Vector।

Cryptojacking Detection সাধারণত সহজ - CPU Usage অস্বাভাবিকভাবে বেশি হয় এবং Specific Mining Pool-এর সাথে Network Connection দেখা যায়। তবে Modern Variant Throttling ব্যবহার করে Stealth বাড়িয়েছে - User Idle থাকলে শুধু Mining হয়, Active হলে CPU Usage কমে।

Comprehensive Malware Defense একটি Layered Strategy দাবি করে। প্রথম Layer হলো User Education - Phishing Awareness, Social Engineering Recognition, এবং Software Source-এর Verification। দ্বিতীয় Layer হলো Email এবং Web Filtering - Sandboxing, URL Reputation, এবং Attachment Detonation।

তৃতীয় Layer হলো Endpoint Protection - Next-Generation Antivirus (Behavioral, Machine Learning), Application Allowlisting, এবং EDR। চতুর্থ Layer হলো Network Security - Segmentation, Egress Filtering, এবং DNS Filtering। পঞ্চম Layer হলো Identity Security - MFA, Least Privilege, এবং Conditional Access।

ষষ্ঠ Layer হলো Backup এবং Recovery - 3-2-1 Rule (3 Copy, 2 Different Media, 1 Offsite), Immutable Backup, এবং Regular Restore Testing। সপ্তম Layer হলো Incident Response Plan এবং Tabletop Exercise। অষ্টম Layer হলো Threat Intelligence Subscription এবং IoC Sharing।

Zero Trust Architecture, Continuous Monitoring, এবং XDR সমাধান এই সব Layer-কে Integrate করে। MITRE ATT&CK Framework Mapping করে Detection Gap শনাক্ত করা এবং Atomic Red Team-এর মতো Tool দিয়ে Detection যাচাই করা একটি Mature Security Program-এর বৈশিষ্ট্য।