1 / 17

Securitatea sistemelor de operare: Tipuri de malware

Securitatea sistemelor de operare: Tipuri de malware. Dumitru Ghenadie RCSD 32111. Introducere. Malware Aplicaţie care produce daune unui sistem fără avizul utilizatorului Payload – acţiunea malware-ului Motiv pentru care există:

aimon
Download Presentation

Securitatea sistemelor de operare: Tipuri de malware

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Securitatea sistemelor de operare:Tipuri de malware Dumitru Ghenadie RCSD 32111

  2. Introducere • Malware • Aplicaţie care produce daune unui sistem fără avizul utilizatorului • Payload – acţiunea malware-ului • Motiv pentru care există: • Bani, defăimare, furt de date, spionaj, distrugere, distracţie, vandalizare, control asupra resurselor/datelor • Ţinta: • Toate sistemele de operare, Windows mai cu seamă datorită răspândirii • Cele mai utilizate aplicaţii şi sisteme • Răspândire în prezent de ordinul milioanelor • Principalele categorii: • PuA, Viruşi, Viermi, Troieni, Backdoors, Exploits, Rootkits • Nu există separare clară majoritatea având funcţionalităţi complexe şi comune

  3. Defecte şi vulnerabilităţi • Răspândirea malware-ului • În principal, datorită vulnerabilităţilor şi neştiinţei utilizatorilor (inginerie socială, mesaje de spam) • Servicii de sistem vulnerabile • Servicii importante de reţea precum Web, DNS, DHCP, Netbios, Samba • Opţiunea autorun din Windows pentru dispozitive USB, CD, DVD • Fişierul autorun.inf: [autorun] • open=virus.exe • Actualizări (de securitate) pentru sistem şi aplicaţii neinstalate • Ex: sistemele piratate de Windows nu beneficiază de actualizări de securitate la zi • Erori de logică în componente • Permit escaladarea privilegiilor (privillege/root escalation) sau exploatarea bug-urilor de tip buffer overflow • Crash de aplicaţii, rezultate incorecte, execuţia de cod nepermis • Ex: exploits de sisteme şi aplicaţii pe www.milw0rm.com

  4. Defecte şi vulnerabilităţi (2) • Restricţii de acces setate incorect • Partajări de date • Ex: locaţii partajate de date infectate • Drepturi de autentificare pentru categorii de utilizatori • Porturi nefiltrate • Ex: port 25 (SMTP) pentru trimitere spam • Date sensibile salvate necorespunzător • Date confidenţiale necriptate (necifrate) • Parole inexistente sau parole slabe • Utilizatori cu drepturi de administrator fără parolă (Windows) • Atacuri de dicţionar • Ex: xzy, 123, admin, aaa • Inginerie socială: • arta de manipulare a indivizilor pentru a divulga informaţii confidenţiale pentru obţinerea de foloase

  5. Tipuri de malware • Potentially unwanted applications (aplicaţii posibil nedorite) • Aplicaţii de recuperare de parole, vizualizare chei de înregistrare, omorâre procese şi fire de execuţie • Ex: www.nirsoft.net • Adware – reclame deranjante • Incluse în versiuni de test sau gratuite ale altor aplicaţii • Unele prezintă risc ridicat de infecţii • Nu se pot răspândi singure • Problematici legale • Detecţie, prevenire şi blocare/dezinfectare: • Soluţii antivirus de securitate, aplicaţii specializate anti-adware

  6. Tipuri de malware (2) • Viruşi (file infectors) • Autocopiere prin infectare de fişiere • Răspândire prin dispozitive mobile de stocare a datelor (USB, CD, DVD) • Copierea propriului cod (funcţional) în fişierele executabile • Patchers – modifică funcţionalitatea fişierelor pe care le infectează • Scrişi în limbaje de asamblare (majoritatea) • Subcategorii: • Plain code (cod la entry point) • EPO (entry point obscuring) • Polimorfi (cod criptat, obfuscat, diferite chei şi algoritmi de criptate) • Metamorfi (îşi rescriu propriul cod, conţin dezasamblor, asamblor, generator de cod proprii)

  7. Tipuri de malware (3) • Viruşi (continuare) • Cei mai cunoscuţi: • OneHalf (DOS), Magister, Evol, Zmist (PoC) • Virtob, Sality, Denat • Prevenire prin DEP (Data Execution Prevention) • Hardware sau software • Detecţie: • Prin semnături (identifica unic un exemplar sau o familie) • Tehnologii proactive şi de virtualizare • Dezinfecţie: soluţii antivirus de securitate • Viermi • Nu infectează fişiere • Ex: pentru fişierul x.mp3 mai crează unul x-mp3.exe • Auto-răspândire în masă fără distrugere de fişiere • Trafic de reţea îngreunat • Posibilitate de actualizare de pe Internet/reţea

  8. Tipuri de malware (4) • Viermi (continuare) • Clasificare în funcţie de modul de propagare • E-mail • IM (Instant Messaging) • Exploits – backdoors • Partajări (share) • P2P (Peer-to-Peer) • Medii de stocare (USB, CD, DVD) • Cei mai cunoscuţi: • E-mail: Netsky, FunLove (ILOVEYOU), MyDoom (conţine şi backdoor, atacuri DDoS asupra Google, Microsoft, Altavista) • Exploit (servicii de reţea): Sasser, Downadup/Conficker • Site-uri de socializare (Facebook, Twitter, MySpace): Koobface • Prevenire, detecţie, dezinfecţie • Actualizări de securitate la zi, educarea utilizatorilor • Firewall, antispam, soluţii antivirus de securitate

  9. Tipuri de malware (5) • Troieni • Pătrund în sistem dând impresia că sunt clean • Permit accesul neautorizat de la distanţă la sistem • Răspândire prin e-mail, shares, exploits, dispozitive media • Subcategorii: • Donwloaders • Spyware (keyloggers, password stealers, cookie stealers) • Agent • DoS • Dialers • Fake antivirus • Aprox. 83% din malware-ul descoperit “in the wild” • Cei mai cunoscuţi: • Zlob (codecuri video), Vundo (are adware, greu de curăţat), FakeAV (dezvoltat de RBN), Peed/Storm (botnet, dificil de detectat/curăţat, inginerie socială)

  10. Tipuri de malware (6) • Troieni (continuare) • Nu interferează cu aplicaţiile existente • Se actualizează frecvent şi automat • Unii sunt polimorfi -> detecţie şi eliminare dificilă • Detecţie, prevenire, curăţare: • Firewall, soluţii antivirus de securitate bazate pe semnături, tehnologii proactive şi virtualizare • Backdoors • Pornesc un serviciu de tip server şi ascultă comenzi • “Uşă” de acces pentru control de la distanţă • Trece de autentificarea normală şi accesul autorizat • Răspândire prin viermi sau troieni (populare botnet), exploits şi vulnerabilităţi de aplicaţii, servicii, prin aplicaţii modificate • Pot realiza atacuri DDoS • Atacuri active: IRC bots (conectare la canal de IRC)

  11. Tipuri de malware (7) • Backdoors (continuare) • Cei mai cunoscuţi: Sdbot, Xbot, Rbot • Aplicaţii “legitime”: Back Orifice 2000, NetBus v2, SubSeven • Se instalează şi operează “în linişte” • Prevenirea • Setarea corectă a restricţiilor de acces şi configurarea porturilor deschise • Detecţia • Urmărirea traficului, a porturilor şi conexiunilor active • Dezinfecţia: soluţii antivirus de securitate • Exploits • Exploatarea vulnerabilităţilor din aplicaţii sau componente hardware • Erori de logică în implementare/proiectare • Netratarea corespunzătoare a tuturor cazurilor posibile

  12. Tipuri de malware (8) • Exploits (continuare) • Ţintă: • Escaladarea privilegiilor (root escalation), obţinerea controlului complet asupra sistemului, atacuri DDoS • “Stări ale aplicaţiilor” (exploits) • Modem-uri • Servere de DNS, aplicaţii de virtualizare (ex: VmWare) • Cele mai cunoscute: • exploits de fişiere de tip Office, PDF, JPG • Secvenţă de cod ce poate fi executată la deschiderea acestor tipuri de fişiere • Ex: www.milw0rm.com • Remediere • Patch-uri de securitate aplicate, actualizări la zi

  13. Tipuri de malware (9) • Rootkits • Cel mai dificil de detectat şi aproape imposibil de eliminat • Mascarea faptului că un sistem este compromis • Preluarea controlului complet asupra sistemului • Unix (acces root), Windows (acces admin) • Instalare ca şi drivere sau module de kernel (de obicei) • Acţiuni • Oprire sau ascundere de procese • Ascundere fişiere • Spionare sistem • Mai puţini decât restul categoriilor (complexitate de dezvoltare)

  14. Tipuri de malware (10) • Rootkits (continuare) • Modul de pătrundere şi acţionare • Incluşi în firmware • Nivel hipervizor (rol de maşină virtuală) • Nivel încărcare de boot • Nivel kernel (drivere sau module de kernel) • Nivel librării de aplicaţii (hook-uri/interceptare de apeluri sistem) • Cel mai cunoscut: Rustok (timp de 1 an nedetectat, dificil de eliminat) • Prevenire • Tehnologiile Hooksafe • TPM (Trusted Platform Module) • Semnături digitale de drivere (Vista+) • Detectare • Tehnologii proactive şi de virtualizare la nivel kernel • Dezinfecţie: boot live CD antivirus

  15. Concluzii • Pierderi cauzate de malware • Financiare • Timp • Informaţii confidenţiale (furt de date) • Compromiterea imaginii (defăimarea) • DoS sau scăderea QoS • Costuri ridicate de reparaţie • Problematici legale • 80-95 % mesaje de spam din totalul mesajelor • 30-70% din sisteme infectate • Nici o soluţie AV de securitate nu protejează 100% • Educarea utilizatorilor

  16. Industria Antivirus

  17. Vă mulţumesc!Întrebări?

More Related