260 likes | 562 Views
Securitatea sistemelor de operare: Tipuri de malware. Dumitru Ghenadie RCSD 32111. Introducere. Malware Aplicaţie care produce daune unui sistem fără avizul utilizatorului Payload – acţiunea malware-ului Motiv pentru care există:
E N D
Securitatea sistemelor de operare:Tipuri de malware Dumitru Ghenadie RCSD 32111
Introducere • Malware • Aplicaţie care produce daune unui sistem fără avizul utilizatorului • Payload – acţiunea malware-ului • Motiv pentru care există: • Bani, defăimare, furt de date, spionaj, distrugere, distracţie, vandalizare, control asupra resurselor/datelor • Ţinta: • Toate sistemele de operare, Windows mai cu seamă datorită răspândirii • Cele mai utilizate aplicaţii şi sisteme • Răspândire în prezent de ordinul milioanelor • Principalele categorii: • PuA, Viruşi, Viermi, Troieni, Backdoors, Exploits, Rootkits • Nu există separare clară majoritatea având funcţionalităţi complexe şi comune
Defecte şi vulnerabilităţi • Răspândirea malware-ului • În principal, datorită vulnerabilităţilor şi neştiinţei utilizatorilor (inginerie socială, mesaje de spam) • Servicii de sistem vulnerabile • Servicii importante de reţea precum Web, DNS, DHCP, Netbios, Samba • Opţiunea autorun din Windows pentru dispozitive USB, CD, DVD • Fişierul autorun.inf: [autorun] • open=virus.exe • Actualizări (de securitate) pentru sistem şi aplicaţii neinstalate • Ex: sistemele piratate de Windows nu beneficiază de actualizări de securitate la zi • Erori de logică în componente • Permit escaladarea privilegiilor (privillege/root escalation) sau exploatarea bug-urilor de tip buffer overflow • Crash de aplicaţii, rezultate incorecte, execuţia de cod nepermis • Ex: exploits de sisteme şi aplicaţii pe www.milw0rm.com
Defecte şi vulnerabilităţi (2) • Restricţii de acces setate incorect • Partajări de date • Ex: locaţii partajate de date infectate • Drepturi de autentificare pentru categorii de utilizatori • Porturi nefiltrate • Ex: port 25 (SMTP) pentru trimitere spam • Date sensibile salvate necorespunzător • Date confidenţiale necriptate (necifrate) • Parole inexistente sau parole slabe • Utilizatori cu drepturi de administrator fără parolă (Windows) • Atacuri de dicţionar • Ex: xzy, 123, admin, aaa • Inginerie socială: • arta de manipulare a indivizilor pentru a divulga informaţii confidenţiale pentru obţinerea de foloase
Tipuri de malware • Potentially unwanted applications (aplicaţii posibil nedorite) • Aplicaţii de recuperare de parole, vizualizare chei de înregistrare, omorâre procese şi fire de execuţie • Ex: www.nirsoft.net • Adware – reclame deranjante • Incluse în versiuni de test sau gratuite ale altor aplicaţii • Unele prezintă risc ridicat de infecţii • Nu se pot răspândi singure • Problematici legale • Detecţie, prevenire şi blocare/dezinfectare: • Soluţii antivirus de securitate, aplicaţii specializate anti-adware
Tipuri de malware (2) • Viruşi (file infectors) • Autocopiere prin infectare de fişiere • Răspândire prin dispozitive mobile de stocare a datelor (USB, CD, DVD) • Copierea propriului cod (funcţional) în fişierele executabile • Patchers – modifică funcţionalitatea fişierelor pe care le infectează • Scrişi în limbaje de asamblare (majoritatea) • Subcategorii: • Plain code (cod la entry point) • EPO (entry point obscuring) • Polimorfi (cod criptat, obfuscat, diferite chei şi algoritmi de criptate) • Metamorfi (îşi rescriu propriul cod, conţin dezasamblor, asamblor, generator de cod proprii)
Tipuri de malware (3) • Viruşi (continuare) • Cei mai cunoscuţi: • OneHalf (DOS), Magister, Evol, Zmist (PoC) • Virtob, Sality, Denat • Prevenire prin DEP (Data Execution Prevention) • Hardware sau software • Detecţie: • Prin semnături (identifica unic un exemplar sau o familie) • Tehnologii proactive şi de virtualizare • Dezinfecţie: soluţii antivirus de securitate • Viermi • Nu infectează fişiere • Ex: pentru fişierul x.mp3 mai crează unul x-mp3.exe • Auto-răspândire în masă fără distrugere de fişiere • Trafic de reţea îngreunat • Posibilitate de actualizare de pe Internet/reţea
Tipuri de malware (4) • Viermi (continuare) • Clasificare în funcţie de modul de propagare • E-mail • IM (Instant Messaging) • Exploits – backdoors • Partajări (share) • P2P (Peer-to-Peer) • Medii de stocare (USB, CD, DVD) • Cei mai cunoscuţi: • E-mail: Netsky, FunLove (ILOVEYOU), MyDoom (conţine şi backdoor, atacuri DDoS asupra Google, Microsoft, Altavista) • Exploit (servicii de reţea): Sasser, Downadup/Conficker • Site-uri de socializare (Facebook, Twitter, MySpace): Koobface • Prevenire, detecţie, dezinfecţie • Actualizări de securitate la zi, educarea utilizatorilor • Firewall, antispam, soluţii antivirus de securitate
Tipuri de malware (5) • Troieni • Pătrund în sistem dând impresia că sunt clean • Permit accesul neautorizat de la distanţă la sistem • Răspândire prin e-mail, shares, exploits, dispozitive media • Subcategorii: • Donwloaders • Spyware (keyloggers, password stealers, cookie stealers) • Agent • DoS • Dialers • Fake antivirus • Aprox. 83% din malware-ul descoperit “in the wild” • Cei mai cunoscuţi: • Zlob (codecuri video), Vundo (are adware, greu de curăţat), FakeAV (dezvoltat de RBN), Peed/Storm (botnet, dificil de detectat/curăţat, inginerie socială)
Tipuri de malware (6) • Troieni (continuare) • Nu interferează cu aplicaţiile existente • Se actualizează frecvent şi automat • Unii sunt polimorfi -> detecţie şi eliminare dificilă • Detecţie, prevenire, curăţare: • Firewall, soluţii antivirus de securitate bazate pe semnături, tehnologii proactive şi virtualizare • Backdoors • Pornesc un serviciu de tip server şi ascultă comenzi • “Uşă” de acces pentru control de la distanţă • Trece de autentificarea normală şi accesul autorizat • Răspândire prin viermi sau troieni (populare botnet), exploits şi vulnerabilităţi de aplicaţii, servicii, prin aplicaţii modificate • Pot realiza atacuri DDoS • Atacuri active: IRC bots (conectare la canal de IRC)
Tipuri de malware (7) • Backdoors (continuare) • Cei mai cunoscuţi: Sdbot, Xbot, Rbot • Aplicaţii “legitime”: Back Orifice 2000, NetBus v2, SubSeven • Se instalează şi operează “în linişte” • Prevenirea • Setarea corectă a restricţiilor de acces şi configurarea porturilor deschise • Detecţia • Urmărirea traficului, a porturilor şi conexiunilor active • Dezinfecţia: soluţii antivirus de securitate • Exploits • Exploatarea vulnerabilităţilor din aplicaţii sau componente hardware • Erori de logică în implementare/proiectare • Netratarea corespunzătoare a tuturor cazurilor posibile
Tipuri de malware (8) • Exploits (continuare) • Ţintă: • Escaladarea privilegiilor (root escalation), obţinerea controlului complet asupra sistemului, atacuri DDoS • “Stări ale aplicaţiilor” (exploits) • Modem-uri • Servere de DNS, aplicaţii de virtualizare (ex: VmWare) • Cele mai cunoscute: • exploits de fişiere de tip Office, PDF, JPG • Secvenţă de cod ce poate fi executată la deschiderea acestor tipuri de fişiere • Ex: www.milw0rm.com • Remediere • Patch-uri de securitate aplicate, actualizări la zi
Tipuri de malware (9) • Rootkits • Cel mai dificil de detectat şi aproape imposibil de eliminat • Mascarea faptului că un sistem este compromis • Preluarea controlului complet asupra sistemului • Unix (acces root), Windows (acces admin) • Instalare ca şi drivere sau module de kernel (de obicei) • Acţiuni • Oprire sau ascundere de procese • Ascundere fişiere • Spionare sistem • Mai puţini decât restul categoriilor (complexitate de dezvoltare)
Tipuri de malware (10) • Rootkits (continuare) • Modul de pătrundere şi acţionare • Incluşi în firmware • Nivel hipervizor (rol de maşină virtuală) • Nivel încărcare de boot • Nivel kernel (drivere sau module de kernel) • Nivel librării de aplicaţii (hook-uri/interceptare de apeluri sistem) • Cel mai cunoscut: Rustok (timp de 1 an nedetectat, dificil de eliminat) • Prevenire • Tehnologiile Hooksafe • TPM (Trusted Platform Module) • Semnături digitale de drivere (Vista+) • Detectare • Tehnologii proactive şi de virtualizare la nivel kernel • Dezinfecţie: boot live CD antivirus
Concluzii • Pierderi cauzate de malware • Financiare • Timp • Informaţii confidenţiale (furt de date) • Compromiterea imaginii (defăimarea) • DoS sau scăderea QoS • Costuri ridicate de reparaţie • Problematici legale • 80-95 % mesaje de spam din totalul mesajelor • 30-70% din sisteme infectate • Nici o soluţie AV de securitate nu protejează 100% • Educarea utilizatorilor