430 likes | 677 Views
Malware. Inhoud. Historisch overzicht Malware Soorten Malware (+ werking) Virus, Worm, Trojan, botnet Andere Terminologie Exploit, Payload, Zero-day Attack, Hoax, Phishing Virusverspreiding en anti-virus Opdracht week 1 proftaak. 1982. ELK CLONER: THE PROGRAM WITH A PERSONALITY
E N D
Inhoud • Historisch overzicht Malware • Soorten Malware (+ werking)Virus, Worm, Trojan, botnet • Andere TerminologieExploit, Payload, Zero-day Attack, Hoax, Phishing • Virusverspreiding en anti-virus • Opdracht week 1 proftaak
1982 ELK CLONER: THE PROGRAM WITH A PERSONALITY IT WILL GET ON ALL YOUR DISKS IT WILL INFILTRATE YOUR CHIPS YES IT’S CLONER! IT WILL STICK TO YOU LIKE GLUE IT WILL MODIFY RAM TOO SEND IN THE CLONER!
1982 Apple II virus Elk Cloner: The program with a personality IT WILL GET ON ALL YOUR DISKSIT WILL INFLILTRATE YOUR CHIPSYES IT’S CLONER IT WILL STICK TO YOU LIKE GLUEIT WILL MODIFY RAM TOOSEND IN THE CLONER 1986, Brain: first DOS virus Welcome to the Dungeon. BRAIN COMPUTER SERVICES Beware of this VIRUS… Contact us for vaccination…$#@%$@!! 1983, Fred Cohen: Formal definition of Computer Virus: A program that can infect other programs by modifying them to include a, possibly evolved, version of itself
Huidige situatie • Trojaanse paarden • Wormen • Botnets • Phishing • Mobiele apparatuur
Virussen • File(infector)virus (.com, .exe) • Bootsectorvirus • Macrovirus • Mobile virus
Wat is een virus? • Een programma… • Dat zichzelf copieert… • Meestal zonder dat de gebruiker het merkt. Kenmerken: • Copieert code • Verbergen code • Payload • Trigger • Blijft op 1 systeem • Vereist gebruikersinteractie om zich voort te planten
Kenmerken virus • Hoe komt het virus op het systeem? • Waar nestelt het virus zich? • Hoe wordt het virus getriggerd en actief? • Wat is de pay-load van het virus? • Hoe voorkomt het virus herkenning?
Kenmerken virus:2. Waar nestelt het virus zich? • ExecutablesHet virus embed zichzelf in executable code of zorgt dat het ipv executable wordt gestart. • Bootsector (bijv. MichelAngelo-virus ‘91)Het virus zit in het opstart gedeelt van een disk. • Document filesHet virus hecht zich aan uitvoerbare gedeeltes binnen een document (macro’s). • GeheugenHet virus nestelt zich in het geheugen (memory-resident virus), vaak via een van bovengenoemde manieren.
Infectie van executables • Companion infectieVirus in file met bestaande naam, maar andere extensie. Virus wordt gestart ipv orginele file. Bijv. Virus in notepad.com ipv notepad.exe. • Overwriting infectieDe lompe manier, virus overschrijft orginele file. Bijv. Notepad.exe is na infectie het virus. • Prepending infectie (bijv. Nimda 2001) • Appending infectie (bijv. Appix 2002)
Kenmerken virus:3. Hoe wordt het virus getriggerd en actief? • Openen email (email script in werking) • Openen email-attachment (bijv. executable) • Floppy in systeem • Openen web-site (Bijv. XSS: cross-site scripting) • Openen/starten geinfecteerde file
Kenmerken virus:4. Wat is de pay-load van het virus? • Werking systeem beinvloeden:- Crashen- Overbelasten systeem / netwerk- Wissen informatie- UI veranderen • Data aanpassen- Stelen- Aanpassen • Voortplanten- andere files infecteren- via email (adresboek)
Kenmerken virus:5. Hoe voorkomt het virus herkenning? • Stealthing- “hidden” attribute- stream companion virus- .exe extensie verbergen- een schone versie naar virus scanner presenteren • Poly-Morphisme: Dynamisch veranderen van uiterlijk bij propagatie:- aanpassen namen in code variabelen en procedures- volgorde van instructies aanpassen- instructies toevoegen die niks doen (+1-1, NOP-operaties)- encrypten code met veranderende sleutels, code decrypt eerst • Meta MorphismeZelfde als poly-morphisme, maar functionaliteit wijzigt ook. • Anti-virus deactivatieVoorbeelden ProcKill-Trojan, MTX-worm
Wat is een worm? • Een zelfstandig programma… • Dat een virus is… • Maar geen host nodig heeft Kenmerken: • Self-replicating • Self-propagating
Worm Voorbeelden • 1st wormMorris (1989) • Bekende wormenILoveYou/Loveletter, Code Red, Sasser, Blaster, Nimda • Recente worm: Storm Worm
De warhead: gaining access • Via exploits zoals buffer overflows • Via file-sharing • Via email • Via default of voorspelbare wachtwoorden • Via achterdeurtjes
De Propagation engine: verspreiding van de worm-code Protocollen die in gebruik zijn Of worm opent de deur voor protocollen. Bijvoorbeeld: • FTP • HTTP • SMB • TCP/IP
Target Selection Algorithm:nieuwe slachtoffers vinden • Email adressen • Host lijsten (/etc/hosts, LMHOSTS) • Network neighborhood • DNS queries • IP adressen
Scanning engine:Welke potentiele slachtoffers zijn kwetsbaar? Scannen op gebruikte exploits: • Windows versies • Applicaties • Openstaande poorten
Worm opdrachtje Bestudeer de werking van de storm worm (2007): Hoe werkt de Warhead? Hoe werkt de propagation engine? Wat voor target selection algorithm is er? Wordt er gescand op vulnerabilities? Wat is de payload van de worm?
Wat is een trojan? • Een programma… • Dat iets slechts doet… • Als ‘bonus’ bij wat je verwacht… • Wordt in feite dus via social engineering binnengehaald Eigenschappen: • Plant zich niet voort
Opbouw trojan Trojan bestaat uit: • Dropper (legitieme applicatie + virus/worm) • Eventueel een: Time Bom Logical Bomb • Payload
Verschillende Typen trojans: op basis van payload • Remote Access (RATs) • Email Sending • Data Destructive (of cryptoviral extortion) • Proxy trojan (disguising others as the infected computer) • FTP trojan (adding or copying data from the infected computer) • security software disabler • denial-of-service attack (DoS) • URL trojan (redirecting the infected computer to expensive dial-up internet access)
Voorbeelden • 1st trojanMichelAngelo (1991): Trojan met virus • Bekende trojansBack orifice, netbus, sub7 • Recente trojansformat.A (PSP), mitglieder
Wat is een hoax? • Waarschuwing voor een virus… • Met veel onrust tot gevolg… • Als je niks doet Eigenschappen: • Als het veel geluk belooft • Of geld van Bill Gates • Dan is het waarschijnlijk een hoax
Wat is een Botnet? • Netwerk van overgenomen systemen… • Waarbij poort wordt geopend naar buitenwereld… • Aangestuurd door centraal systeem… • Met als doel: Spam, DDos, identity Theft Eigenschappen: • Werkt door enorme schaal waarop • Gebruikt malware om doel te bereiken: virus, trojan, spyware, etc.
Virusverspreiding(1) De verspreiding van Code Red: verspreiding op 19 juli 2001
Virusverspreiding(2) Verspreiding hangt af van: • Patching systemen Denk aan 0-day attack waarbij nog geen patch beschikbaar is. • Gewenste verspreidingsgraad makers Low-profile verspreiding valt minder op. • Beveiliging netwerken en systemenAnti-virus (signatures ge-update?), Firewall (rules ge-update?)
Wat is anti-virus software? Anti-virus software zijn computer programma’s die malware proberen te identificeren, tegen te werken, uit te schakelen en te verwijderen. Anti-virus gebruikt hiervoor 2 technieken: • Scannen van filesysteem op aanwezigheid van bekende malware op basis van definities in virus-database • Identificeren van verdacht gedrag van computerprogramma’s dat duidt op infectie
Anti-virus: Waar? • User workstations • File ServersCentral Detection of user files • Mail ServersScan email before delivery • Application Servers Might interfere with system stability? • Border FirewallsScan email, webbrowsingcontent, worms • Handhelds
Anti-virus: Hoe? Scannen van filesysteem: • Virus signatures Identificeren van verdacht gedrag: • Heuristics: attempts to- access boot sector- locate all documents in current folder- write to an .exe file- delete hard-drive contents- set-up connection on unused port- execute stack-memory • Integrity verificationControle of bepaalde files (bijvoorbeeld kernel) onverwacht zijn gewijzigd; Status van (deel)systeem vastleggen door:- checksums- hashcodes • Detectie eventueel via sandboxes
Detectie van malware, en nu? Antivirus software kan na detectie de volgende maatregelen nemen: • File repareren door virus te verwijderen • File in quarantaine • Verwijderen geïnfecteerde file • Lopende malware processen uit geheugen verwijderen
Opdracht proftaak week 1 Verzin d.m.v. brainstorm nieuwe malware met specifieke kenmerken. Beschrijf per type malware: • Hoe komt de malware het systeem binnen? • Waar nestelt de malware zich? • Wat is de pay-load van de malware? • Hoe wordt de payload van de malware getriggerd en actief? • Hoe voorkomt de malware herkenning? • Hoe worden nieuwe slachtoffers geselecteerd? • Wat is de impact van de malware op het geïnfecteerde systeem? • Wat is de impact van de malware op de gebruikers en de gebruikersorganisatie? Zie eventueel ook de kopieën van H3.Worms uit het boek Malware, fighting malicious code