1 / 57

Sigurnost računarskih mreža (SRM)

Sigurnost računarskih mreža (SRM). Tema: Zlonamerni programi. URLs:. Zvanična Web strana: http://www.vets.edu.yu/smerovi/predmeti/SigurnostMreze.htm Dodatni resursi: http://www.conwex.info/draganp/teaching.html Knjige: http://www.conwex.info/draganp/books.html Teme za seminarske radove:

gizi
Download Presentation

Sigurnost računarskih mreža (SRM)

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Sigurnost računarskihmreža (SRM) • Tema: • Zlonamerni programi Zlonamerni programi

  2. URLs: • Zvanična Web strana: • http://www.vets.edu.yu/smerovi/predmeti/SigurnostMreze.htm • Dodatni resursi: • http://www.conwex.info/draganp/teaching.html • Knjige: • http://www.conwex.info/draganp/books.html • Teme za seminarske radove: • http://www.conwex.info/draganp/SRM_seminarski_radovi.html Zlonamerni programi

  3. Zlonamerni programi • Sadržaj poglavlja i predavanja: • 7.1. Vrste zlonamernih programa • 7.2. Zaštita od zlonamernih programa • 7.3. Rootkit Zlonamerni programi

  4. Potrebna predznanja • Programiranje • Za primenu: • Računarske mreže i protokoli • Operativni sistemi • Sistemsko programiranje • Internet Zlonamerni programi

  5. Šta su zlonamerni programi • Stroga i precizna definicija • zlonamernog programa • nepostoji • U zlonameran softver(engl.malware, malicious software) • ubraja se svaki program • napravljen u nameri • da na bilo kojinačin • ošteti umrežen ili neumrežen računar • i/ili otežailionemogući njegovo korišćenje • Ponekad se programi • koji inače služe u korisne(dobronamerne) svrhe • mogu upotrebiti u zlonamernesvrhe • što otežava raspoznavanje i zaštitu Zlonamerni programi

  6. Manifestacija i zaraza • Zavisno od vrste i namene, zlonamerni program može obavljati jednu ili više aktivnosti: • narušavanje performansi sistema • dovođenje sistema u nestabilno stanje • generisanje „neobičnog“ ponašanja sistema • preusmeravanje zahteva za otvaranjem Web stranica • opsluživanje iskačućih (engl. pop-up) prozora ili banera reklamnim sadržajem • praćenje aktivnosti i uznemiravanje korisnika • krađa ili uništavanje poverljivih informacija • izvršavanje DoS napada na određeni server • preuzimanje dodatnog izvršnog koda sa Interneta • i instalacija drugih zlonamernih programa • smanjivanje sigurnosti sistema • isključivanje sigurnosnih aplikacija • modifikacija lozinki na sistemu • i dodela prava daljinskog pristupa računaru • menjanje podataka i baze registry i oštećenje hardvera • Iako je najveći broj zlonamernih programa namenjen Microsoft Windows platformama (Windows XP je omiljena meta pisaca zlonamernih programa), ugrožene su i UNIX, Linux, Mac OS i Novell Netware platforme. Zlonamerni programi

  7. Manifestacija i zaraza • Zlonamerni programi se distribuiraju na najrazličitije načine: • pomoću deljenih direktorijuma na mreži • priloga elektronske pošte • otvorenih TCP i/ili UDP portova koji omogućavaju izvršenje udaljenog koda na žrtvi (Sasser crv) • peer-to-peer (P2P) mreža • Internet Messaging (IM) servisa • drugih zlonamernih programa koji će preuzeti maliciozni kôd sa neke lokacije na Internetu i instalirati ga na žrtvi • Može se reći da su mogućnosti distribuiranja ovih programa neiscrpne i stalno se pronalaze nove Zlonamerni programi

  8. Vrste zlonamernihprograma • Da li zahtevaju nosioca: • Zahtevaju nosioca, tj. program u kome će biti sakriveni • (trojanski konji, virusi) • Samostalni, tj. one koji ne zahtevaju nosioca • (crvi,špijunski programi) • Da li se repliciraju: • Koji se repliciraju • (virusi, crvi) • Koji se ne repliciraju • (trojanski konji, logičke bombe) Zlonamerni programi

  9. Podela zlonamernih programa Zlonamerni programi

  10. Podela zlonamernih programa… Zlonamerni programi

  11. Trojanski konji • Trojanski konji (engl. Trojan horses) ili kraće,trojanci • zlonamerni su programi • koji se maskirajui reklamiraju kao korisni programi • kako bi sekorisnici prevarili • tj. naterali da te programepokrenu • (društveni inženjering na delu) • Na primer, trojanac može da bude zlonamerni crv • upakovan u formu programa • za instalaciju nekemanje aplikacije • (na primer, setup.exe) Zlonamerni programi

  12. Trojanski konji… • Trojanac koji otvara zadnja vrata • je program kojiomogućava udaljenom korisniku • da pristupiinficiranom računaru • i to najčešće tako • davlasnik računara nije ni svestan “posetioca”. • Primer: Back Orifice 2K (BO2K) • mogućava da se sa udaljenog računara na računaru na kom se nalazi BO2K server: • prate pritisnuti tasteri • prenose datoteke • upravlja deljenim direktorijumima • modifikuje baza registry • pristupi konzolnim programima (kao što je komandni interpreter) preko Telnet servisa, • kontrolišu procesi ili preusmere mrežni zahtevi. • Pazite, Back Orifice možete koristiti zlonamerno i dobronamerno – sami odlučite kako ćete ga koristiti. Zlonamerni programi

  13. Trojanski konji… • Kradljivac informacija • poverljivih informacija kao što su lozinke1, privatni i javni ključevi, sertifikati i/ili detalji vezani za kreditne kartice. • Trojanski špijuni (engl. trojan spy) • Špijun miruje na inficiranom računaru i beleži pritisnutetastere • (engl. keylogging) • „Obaveštajci“(engl. trojan notifiers) • Trojananci nosioci softvera su obično realizovani u vidu trojanskihkonja • koji se nakon instalacije • ponašaju kao magnet zadrugi zlonameran softver. • Downloaderobično miruje na računaru i pokušava sa Interneta da preuzme i instalira drugi zlonameran softver. • Trojanski proksi server (engl. trojan proxy) • pokušaće da pretvori inficirani računar u proksi server • Trojan dialers Programi koji pomoću modema • pozivaju „egzotične“telefonske brojeve • (engl. dialers)-ogromni racuni Zlonamerni programi

  14. Logičke bombe • Logička bomba (engl. logical bomb) • je zlonameran kodugrađen u neki koristan program • koji će se aktivirati • kadase ispune odgovarajući uslovi • na primer, u određenovreme ili određenog datuma • ukoliko na disku postojiodređena datoteka • ili ako se na sistem prijavi određenikorisnik. • Mogućnosti su praktično neograničene • i zavise samo odmašte • zlonamernih pisaca logičkih bombi. • Kada se aktivira, logička bomba se najčešće ponaša destruktivno. Na primer, programer može sakriti deo koda koji će brisati projektne datoteke (i bazu podataka u kojoj se evidentiraju zarade zaposlenih) u slučaju da on napusti kompaniju u kojoj radi. Kasnije se taj isti programer može ponovo priključiti kompaniji kao visokoplaćeni konsultant koji će otkloniti “grešku u kodu”. Do sada je zabeleženo nekoliko ovakvih slučajeva. • Drugi oblici zlonamernih programa, kao što su virusi i crvi, često sadrže logičke bombe Zlonamerni programi

  15. Zombiji • Zombi (engl. zombie) je program • koji potajno preuzimakontrolu • nad drugim umreženim računarom • Nakon toga ga koristi da indirektno lansira napad • Često se koriste da se lansira DDoS • distributed denial of service(DDoS) attacks • Eksploatiše poznate propuste u mrežnim sistemima Zlonamerni programi

  16. Crvi • Crvi (engl. worms) • su samostalni (engl. stand-alone)programi • koji se šire s jednog računara na drugi • Uobičajene metode prenošenja na žrtvu su: • upotrebaelektronske pošte • i • Internet servisa (FTP, HTTP). • Crv eksploatiše ranjivost žrtve • ili koristi metode prevare iobmanjivanja, • poznate kao društveni inženjering (engl.social engineering), • kako bi naterao korisnika da gapokrene Zlonamerni programi

  17. Crvi… • Crvi se mogu prenositi preko: • 1. e-pošte (tzv. e-mail crvi) • kao što su Netsky, MyDoom, Sasser.a, Lirva i Gibe • šire se preko inficiranih poruka elektronske pošte, • i to kao prilozi-attachment (izvršne datoteke) • ili hiperveze (engl. links) ka inficiranim Web stranicama • 2.instant poruka (IM crvi) • šire se preko standardnih servisa za poruke • kao što su Microsoft MSN, Skype, Yahoo Messenger, ICQ, AOL AIM i drugi. • Crv šalje svim korisnicima vezu, koja ukazuje na inficiranu Web lokaciju ili datoteku. • Kada žrtva pritisne vezu, računar preuzima i pokreće crva Zlonamerni programi

  18. Crvi… • Crvi se mogu prenositi preko: • 3. Interneta (Internet crvi). • Tužno ali istinito: da bi se računar inficirao crvom, dovoljno je da bude povezan na Internet. Neki crvi na Internetu traže ranjive računare, tj. računare na kojima nisu instalirane sigurnosne zakrpe, računare koji nemaju mrežnu barijeru ili računare na kojima su otvoreni portovi koje crv može da iskoristi. Kada pronađe takav računar, crv će pokušati da iskoristi propust, tj. da se iskopira i instalira na žrtvi. • Tehnike za propagaciju internet crva su: • Kopiranje crva na mrežne resurse. Crv koristi usluge operativnih sistema kako bi na mreži pronašao direktorijume koji su otvoreni za čitanje i pisanje. • Eksploatacija slabosti operativnih sistema. Crv na Internetu traži računare koji su pogodni za eksploataciju – najčešće se radi o računarima koji nemaju najnovije sigurnosne zakrpe. Crv šalje pakete koji će instalirati ili celog crva ili samo jedan deo – udicu (engl. hook). Nakon instaliranja, udica preuzima i instalira celog crva. • Korišćenje javnih mreža. Crv najpre napada HTTP i FTP servere, npr. statičke Web stranice, a zatim čeka da klijenti pristupe inficiranim datotekama i napada klijentske računare. Zlonamerni programi

  19. Crvi… • Crvi se mogu prenositi preko: • 4. deljenja datoteka (file-sharing crvi) • file sharing crv će pokušati da se iskopira • u potencijalno deljeni direktorijum pod imenom • koje navodi korisnika da pomisli kako se radi o uslužnoj aplikaciji. • Datoteka će tako postati vidljiva svakom ko ima pristup tom direktorijumu. • Korisnici će preuzeti datoteku sa mreže i pokrenuti je, misleći da je to korisna aplikacija, što će rezultovati inficiranjem računara. • 5. razmene datoteka između ravnopravnihračunara (P2P crvi) • P2P crv se kopira u neki P2P deljeni direktorijum. • Nakon toga, P2P mreža odrađuje dalji posao oko propagacije crva: • informiše druge korisnike o postojanju novog resursa i obezbeđuje infrastrukturu za preuzimanje datoteke. • Složeniji P2P crvi oponašaju protokole P2P mreža – ovi crvi odgovaraju potvrdno na sve zahteve i, umesto prave datoteke, korisnicima nude telo crva. • Primer P2P crva je Benjamin. • Za svoje širenje, Benjamin koristi Kazaa P2P mrežu za razmenu datoteka. • Mreža Kazaa dozvoljava korisnicima da međusobno razmenjuju datoteke koristeći istoimeni klijentski softver. Zlonamerni programi

  20. Primeri crva • Morris Worm • best known classic worm • released by Robert Morris in 1988 • targeted Unix systems • using several propagation techniques • simple password cracking of local pw file • exploit bug in finger daemon • exploit debug trapdoor in sendmail daemon • if any attack succeeds then replicated self • MyDoom • Sasser • Code Red i Code Red 2 • Nimda Zlonamerni programi

  21. Virusi • Virusi (engl. viruses) su verovatno • najpodmuklija vrsta od svog raspoloživog • zlonamernog softvera. • Česti efekti infekcije virusima su: • brisanje važnihdatoteka i/ili • dovođenje sistema u stanje • u komene može normalno da se koristi • Za razliku od crva • virusi ne koriste mrežneresurse za širenje • ali se mogu širiti preko mreže • kao deo nekog crva Zlonamerni programi

  22. Kako virus radi? • Faze: • dormant – waiting on trigger event • propagation – replicating to programs/disks • triggering – by event to execute payload • execution – of payload • Detalji su obično specifični za mašinu i OS • exploiting features/weaknesses Zlonamerni programi

  23. Struktura virusa • program V := • {goto main; • 1234567; • subroutineinfect-executable := {loop: • file := get-random-executable-file; • if (first-line-of-file = 1234567) then goto loop • else prepend V to file; } • subroutinedo-damage := {whatever damage is to be done} • subroutine trigger-pulled := {return true if some conditionholds} • main: main-program := {infect-executable; • if trigger-pulled then do-damage; • goto next;} • next: • } Zlonamerni programi

  24. Tipovi virusa • Mogu se klasifikovati na bazi toga kako napadaju: • parasitic virus • memory-resident virus • boot sector virus • stealth • polymorphic virus • macro virus Zlonamerni programi

  25. Virusi koji napadaju sistemedatoteka • Virusi ovog tipa za svoje širenje • koriste jednu ili više vrstasistema datoteka. • Najveći broj ovih virusa inficira izvršnedatoteke. • Premametodama inficiranja, virusi ovog tipamogu se podeliti na: • prepisujuće viruse, tj. viruse koji prepisuju postojeći kôd • (engl.overwriting) • parazitske viruse (engl. parasitic) • pridružujuće viruse (engl. companion) • viruse startnog zapisa (engl. boot-sector) Zlonamerni programi

  26. Virusi koji napadaju sistemedatoteka • prepisujuće viruse, tj. viruse koji prepisuju postojeći kôd • Virusi koji prepisuju postojeći kôd koriste najjednostavniji metod inficiranja: virus zamenjuje deo koda inficirane datoteke svojim kodom, a datoteka nakon toga postaje neupotrebljiva. Ovi virusi se, zbog toga, lako detektuju, ali se teško čiste jer antivirusni softver ne zna kako da rekonstruiše originalni kôd datoteke. • parazitske viruse (engl. parasitic) • Parazitski virusi dodaju svoj kôd u datoteku tako da datoteka ostane delimično ili potpuno funkcionalna. Virus može upisati svoj kôd: • na početak datoteke (engl. prepending) • na kraj datoteke (engl. appending) • Većina virusa pripada ovoj kategoriji. Virus najpre dopisuje svoj kôd na kraj inficirane datoteke, a zatim modifikuje ulaznu tačku (engl. entry-point) u zaglavlju datoteke kako bi osigurao da će se pre izvršenja samog programa izvršiti zlonamerni kôd. Ovi virusi se lako otkrivaju i čiste sa izvršnih datoteka na osnovu antivirusnih definicija. • unutar postojećeg koda (engl. inserting) • Za dodavanje zlonamernog koda unutar postojećeg koda virus koristi dve tehnike: pomera originalni, zdrav kôd na kraj datoteke, ili upisuje svoj kôd u šupljine zdravog koda (engl. cavity virus), na primer, u šupljine između sekcija .exe datoteka. • EPO virusi (engl. entry point obscuring) Zlonamerni programi

  27. Virusi koji napadaju sistemedatoteka • pridružujuće viruse (engl. companion) • Pridružujući virusi ne menjaju sadržaj originalne datoteke, već samo njeno ime, i prave novu datoteku pod originalnim imenom koja sadrži virus. Umesto zdrave datoteke, prvo se izvršava virus, a zatim zdrava datoteka. Postoje i druge vrste pridružujućih virusa – na primer, path-companion koji smešta svoje kopije u Windowsov sistemski direktorijum, pretpostavljajući da je on naveden prvi u promenljivoj PATH. • viruse startnog zapisa (engl. boot-sector) • Virusi startnog zapisa svoj kôd upisuju u glavni startni zapis hard diska (engl. master boot record) ili startni zapis (engl. boot sector) aktivne particije na disku. Po potrebi, virus obog tipa može upisati svoj kôd u neki sektor na disku, a zatim promeniti vrednost u MBR-u. Zasnovani su na principima na kojima radi rutina (potprogram) za podizanje operativnog sistema. Zlonamerni programi

  28. Makro virusi i skript virusi • Makro virusi najčešće su • napisani i ugrađeni u dokumente • koji se otvaraju onim aplikacijama iz paketa Microsoft Office • koje koriste tehnologiju povezivanja i ugrađivanja objekata • OLE2 (Object Linking and Embedding). • Skript virusi su podskup virusa • koji napadaju sistemedatoteka, • pisani u skript jezicima (VBS, JavaScript, BAT,PHP). • Skript virusi su sposobni da inficiraju • datoteke udrugom formatu, • kao što je HTM, • ukoliko datoteke togformata omogućavaju • i dozvoljavaju izvršavanje skriptova Zlonamerni programi

  29. Špijunski programi i reklamni špijunski program • Špijunski softver (engl. spyware) je neželjeni program • instaliran na računaru bez znanja (ili odobrenja)korisnika • koji prikuplja informacije o aktivnosti korisnika • (na primer, softver koji se koristi i posećene Webstranice) • lozinke i finansijske informacije. • U špijunske programe mogu se ubrojiti i • trojanski konjiiz kategorije kradljivaca informacija • (na primer,keyloggeri). • Reklamni špijunski programi (engl. adware) • oveinformacije prikuplja • i šalje kompanijama • koje se baveposebnom vrstom marketinga • zasnovanom na praćenjuvaših navika pri pretraživanju Weba • i na oglašavanju(engl. behavioural marketing) Zlonamerni programi

  30. Simptomi infekcije špijunskim programima su: • Simptomiinfekcije špijunskim programima su: • neželjeni iskačući (engl. pop-up) prozori s reklamama koji se pojavljuju dok pretražujete Internet, otvaranje nove instance čitača Weba sa neželjenim reklamama, • promene izgleda čitača Weba – nova paleta alatki (engl. toolbar), promenjene ikonice ili baneri, promena podrazumevane Web stranice u čitaču (engl. home page), • računar se automatski, bez znanja korisnika, povezuje na Internet (koristeći Dialer trojanske konje) kako bi prikazao reklame, • Web zahtevi su preusmereni, a veza sa Internetom je znatno sporija, • računar radi sporije i nestabilno; operativni sistem se često blokira. • Osim krađe informacija (koja se u većini zemalja smatra prekršajem), špijunski programi kradu i resurse vašeg računara i propusni opseg vaše veze sa Internetom (za slanje prikupljenih informacija i prenos reklama). • Firme i pojedinci koji kodiraju špijunske programe, svoj kôd najčešće ugrađuju u razne datoteke i besplatni (engl. freeware) ili probni (engl. shareware) softver koji se može preuzeti sa Interneta. • Špijunski program se ugrađuje kao: • 1. deo izvršne datoteke korisnog programa (engl. hard-coded) ili • 2. kao posebna aplikacija koju će rutina za instaliranje programa instalirati na vaš računar. • Ovakav softver je obično praćen veoma dugim ugovorom o korišćenju (engl. End User Licence Agreement, EULA) Zlonamerni programi

  31. Primeri • Dijalog koji ukazuje na postojanje adware komponenata • CyDoor i GAIN su adware komponenate Zlonamerni programi

  32. Primeri… • Instalacija špijunskih programa koji prate besplatni softver • WhenU SAVE! je adware komponenta Zlonamerni programi

  33. Primeri… • Traženje dozvole za instaliranje špijunske komponente • Još jedan način za instaliranje špijunskih programa je korišćenje ActiveX kontrola, koje dozvoljavaju tvorcima zlonamernih programa da na vaš računar instaliraju neželjeni softver pod maskom legitimnog dodatka (engl. plug-in) za vaš čitač Weba. • Na slici prikazan je dijalog koji pokušava da na računar žrtve instalira špijunsku komponentu Zlonamerni programi

  34. Softpedia, čist softver • Top lista spyware i adware programa: • Gator • CoolWebSearch (CWS) • 180search Assistant • Cydoor • ISTbar • WhenU Desktop Bar. Zlonamerni programi

  35. Zaštita od zlonamernihprograma • „Bolje sprečiti nego lečiti“ • Obavezno napraviti plan akcije za slučaj da dođe do“zaraze” • Redovno pravljenje rezervnih kopija važnih podataka iliarhiviranje celog sistema • Instalirati i redovno ažurirati odgovarajući zaštitnisoftver (antivirus, antispyware itd.) • Pažljivo proveriti programe koje instalirate • Biti oprezan od koga uzimate medije nosioce podataka • Voditi računa o tome koje Web lokacije posećujete i štasa njih preuzimate • Ne dozvoliti pokretanje sumnjivih programa Zlonamerni programi

  36. Virus Countermeasures • viral attacksexploit lack of integrity control onsystems • to defend need to add such controls • typically by one or more of: • prevention - block virus infection mechanism • detection - of viruses in infected system • reaction - restoring system to clean state • antivirusni programi • Ovakvih proizvoda ima mnogo – neki su besplatni, neki se daju na probu (na određeni period nakon koga morate kupiti licencu). • Dve osnovne komponente kvalitetnog antivirusnog programa su • 1. klasičan skener (proverava datoteke, MBR i bazu registry) • 2. rezidentni skener koji obezbeđuje proveru u realnom vremenu (proverava izvršne datoteke pri pokretanju, elektronsku poštu, Web stranice i P2P mrežu). • Zajedničko za oba skenera je da koriste bazu opisa zlonamernih programa koja se mora redovno obnavljati kako bi detekcija bila uspešna. • Antivirusni program mora biti sposoban da aktiviranog trojanca ukloni iz liste procesa i očisti sa diska, pronađe virus u izvršnoj datoteci (bez obzira na oznaku tipa datoteke), i proveri arhive. U principu, virus se mora pronaći pre aktiviranja, jer ga je kasnije nekad nemoguce ukloniti, tj. zaražene datoteke vratiti u pređašnje stanje (ukoliko virus prepisuje zdravi kôd). Zlonamerni programi

  37. Anti-Virus Software • first-generation • scanner uses virus signature to identify virus • or • change in length of programs • second-generation • uses heuristic rules to spot viral infection • or • uses program checksums to spot changes • third-generation • memory-resident programs identify virus by actions • fourth-generation • packages with a variety of antivirus techniques • eg scanning & activity traps, access-controls Zlonamerni programi

  38. Advanced Anti-VirusTechniques • generic decryption • use CPU simulator to check program signature &behavior before actually running it • digital immune system (IBM) • general purpose emulation & virus detection • any virus entering org is captured, analyzed,detection/shielding created for it, removed • Vrste: • Avast i druge besplatne alternative: AVG (www.grisoft.com) ili Antivir Personal Edition (www.free-av.com) ili komercijalni proizvodi (Norton, McAffee, Kaspersky, NOD32 ili F-Prot Antivirus) • Spybot Search & Destroy • Spyware blaster • SpyDefense • XP-antispy Zlonamerni programi

  39. Behavior-Blocking Software • integrated with host O/S • monitors program behavior in real-time • e.g. file access, disk format, executable mods, systemsettings changes, network access • for possibly malicious actions • if detected can block, terminate, or seek ok • has advantage over scanners • but malicious code runs before detection Zlonamerni programi

  40. Rootkit • Naziv Rootkit je složenica od engleskih reči • „root“, koja se odnosi na korisnika sa najvišim nivoom pristupa u UNIX i Linux okruženju, • „kit“, koja predstavlja alat ili skup alata. • Rootkit, dakle, možemo definisati kao skup alata • koji napadačima omogućavaju najviši nivo pristupa • i • potpunu kontrolu kompromitovanog sistema. • Da bi napadač mogao uspešno da završi napad • rootkit mora ostati „skriven“ u sistemu, • tj. ne sme biti vidljiv za administratore • i programe za zaštitu od zlonamernog softvera. • Time se definicija proširuje • na skup alata koji skriva prisustvo napadača • i obezbeđuje mu potpunu kontrolu nad kompromitovanim sistemom Zlonamerni programi

  41. Linux Rootkit • Napadači su morali • da pronađu načine „zavaravanja“ ovihmehanizama • kako bi sakrili svoje prisustvo u sistemu • U te svrhe, napadači koriste rootkit alate. • Napad na sistemzasnovan na rootkit alatima izvodi se u 4 faze: • sakupljanje informacija o ciljnom sistemu (koji jeoperativni sistem u pitanju, koja verzija jezgra, kojikorisnički nalozi postoje itd.) • sticanje administratorskih prava, tj, prava koja imakorisnik root, i koja su najčešće neophodna zainstalaciju • instaliranje rootkit alata • uspostavljanje kontrole nad ciljnim sistemom. Zlonamerni programi

  42. Podela rootkit alata • Rootkit alati se mogu podeliti na2 grupe: • 1. aplikacioni rootkit alati • koji - kao i sve ostale aplikacije – • radeu neprivilegovanom (korisničkom) režimu • (engl. user mode) • 2. kernel rootkit alati • koji se integrišu u samo jezgro • i rade na nivoujezgra (engl. kernel mode). • Ove dve vrste alata razlikuju se • po mestu u sistemu nakome su smešteni • i načina na koji skrivaju svoje prisustvou sistemu Zlonamerni programi

  43. Aplikacioni rootkit alati • Rad aplikacionih rootkit alata • zasniva se na zameni • legitimnihaplikacija zlonamernim datotekama. • Ubačene datotekeomogućavaju napadaču • da prikrije svoje prisustvo • i da obaviželjene aktivnosti na sistemu • (na primer, alat može daobezbedi zadnja vrata koja napadač može da iskoristi). • U grupu programa koje napadač menja kako bi sakrio svojeprisustvo na sistemu spadaju programi koji: • skrivaju zlonamerne datoteke i direktorijume koje je napadačpodmetnuo (ls, find, du), • skrivaju procese koje je napadač pokrenuo (na primer, ps), • sprečavaju ubijanje procesa koje je pokrenuo napadač (kill, killall), • prikrivaju aktivnosti napadača na mreži – otvorenih portova,mrežnih veza (netstat, ifconfig), • skrivaju unos u datoteku crontab • skrivaju zapise u dnevničkoj datoteci o vezama koje napadačostvaruje sa udaljenim sistemom (syslogd) Zlonamerni programi

  44. Rootkit alati na nivou jezgra • Rootkit alati na nivou jezgra otkrivaju se teže odaplikacionih, • jer se integrišu u samo jezgro operativnogsistema, • što znači da ih može zaobići provera integritetasistema • obavljena u neprivilegovanom režimu rada. • Rootkit alati jezgra zasnovani su na činjenici • da je jezgroLinux sistema modularno – • korisnik sa root privilegijama • može u jezgro učitati neki modul • (engl. Loadable KernelModule, LKM) • i na taj način proširiti funkcionalnostoperativnog sistema • Napadač menja funkcionalnost sistemskih poziva i na taj način „vara“ sve programe koji rade u korisničkom režimu a koriste te sistemske pozive. • Na taj način napadač stiče veliku snagu za obavljanje zlonamernih aktivnosti. • Dakle, nakon instaliranja LKM rootkit alata, korisnik se normalno obraća jezgru preko sistemskih poziva; međutim, pošto je LKM rootkit modifikovao neke sistemske pozive, prosleđivanje određenih parametara imaće za posledicu to da trojanski sistemski poziv obavlja neke akcije u korist napadača. Zlonamerni programi

  45. Zaštita od rootkit alata • Za rootkit alate važi isto što i za crve i za viruse – • mnogo jelakše sprečiti instaliranje ovih alata • nego ih kasnije otkriti iukloniti. • Administratorima su na raspolaganju • i određeni programi • namenjeni za otkrivanje rootkit alata: • Chkrootkit • Rkscan • Rkdet Zlonamerni programi

  46. Windows rootkit • Rootkit alati za Linux sisteme razvijali su se relativno jednostavno zahvaljujući otvorenom izvornom kodu jezgra sistema. • U Windows okruženju, razvoj rootkit alata i njihovo „podmetanje“ žrtvama otežani su zbog: • 1. skrivenog izvornog koda operativnog sistema • 2.Windowsovog sistema zaštite datoteka (engl. Windows File Protection) koji onemogućava zamenu izvršnih datoteka. • U Windows okruženju postoje 3 osnovne metode implementacije aplikacionih rootkit alataČ • 1. Upotreba postojećeg interfejsa za ubacivanjezlonamernog koda • 2. Deaktiviranje sistema zaštite datoteka, WFP • 3. Napadi DLL injection i API hooking • Detekcija rootkit alata – RootkitRevealer Zlonamerni programi

  47. Upotreba postojećeg interfejsa zaubacivanje zlonamernog koda • Operativni sistem Windows • sadrži određene komponente(interfejse) • koji omogućavaju nadogradnju sistemaalatima drugih proizvođača. • Na primer, procesprijavljivanja na sistem (engl. user logon process) • možese proširiti novim programima i/ili bibliotekama. • Standardna procedura prijavljivanja na Windows sistem • počinje zadavanjem kombinacije tasteraCtrl+Alt+Delete. • Nakon toga, proces winlogon • (koji nastaje pokretanjemdatoteke winlogon.exe) • poziva standardnu Windowsbiblioteku msgina.dll • (Graphical Identification aNdAuthentication, GINA) • koja proverava identitet korisnika • na osnovu unetog korisničkog imena i lozinke. • Proces prijavljivanja može da se izmeni • korišćenjemtrojanskog alata FakeGINA • koji zapravo predstavljarootkit alat. • Pri sledećem podizanju operativnog sistema, FakeGINA će korisničko ime i lozinku uneti u datoteku %SYSTEMROOT%\system32\passlist.txt. Dakle, pomoću ove biblioteke, napadač može doći do podataka o korisnicima sistema i njihovim lozinkama. Zlonamerni programi

  48. Deaktiviranje sistema zaštitedatoteka • Napadači često moraju da promene neku sistemskudatoteku • koja nije predviđena da se menja. • Da bi u tomeuspeli, • potrebno je da „nadjačaju“ Windowsov sistemzaštite datoteka • (engl. Windows File Protection, WFP). • Prilikom instalacije operativnog sistema • generiše se spisakznačajnih sistemskih datoteka. • Njihova zamena drugomverzijom moguća je jedino • ukoliko administrator instalira • neku zvaničnu zakrpu (engl. hotfix) ili Service Pack • Zavisno ot toga šta se menja, postoje 2 metode napada na WFP: • jedna je zasnovana na izmeni putanje ili sadržaja direktorijumaDllCache • druga na izmeni vrednosti ključa SFCDisable. • Kada zaustavi Windowsov sistem zaštite datoteka, napadač može neometano da izmeni neku značajnu sistemsku izvršnu datoteku i da ostane neprimećen. Zlonamerni programi

  49. Napadi DLL injection i APIhooking • Ove dve tehnike napada usmerene su na procese – • napadačubacuje zlonameran kôd u neki proces • i na taj način menjaoriginalnu funkciju procesa. • Tehnika ubrizgavanja DLLbiblioteke • (engl. DLL injection), • tj. ubacivanja zlonamerne DLLbiblioteke • u memorijski prostor aktivnog procesa • izvodi se unekoliko faza. • Tehnika API hooking nadovezuje se na DLL injection – • onapredviđa ubacivanje • zlonamernih rootkit funkcija • u legitimneDLL datoteke Zlonamerni programi

  50. Napadi DLL injection i APIhooking • Jedan od alata • koji kombinuje tehnike • DLL Injection i APIhooking • jeste AFX Windows Rootkit • Ova aplikacija krije: • aktivne procese u sistemu • direktorijume, datoteke • zapise ubazi registry • TCP i UDP portove itd • Ovaj alat ne formirazadnja vrata (engl. backdoor) – • zato se najpre formira „ulaz“ usistem • pomoću nekog drugog alata • čije se prisustvo krijekoristeći AFX Windows Rootkit Zlonamerni programi

More Related