290 likes | 653 Views
Malware. Wat is het en wat kan u eraan doen. PIVO, 6 juni 2005. Bjorn Bernaerts. Overzicht. Wat is malware Overzicht en bespreking verschillende soorten malware Bescherming tegen malware. Wat is malware. Software die schade aan het systeem toebrengt
E N D
Malware Wat is het en wat kan u eraan doen. PIVO, 6 juni 2005 Bjorn Bernaerts
Overzicht • Wat is malware • Overzicht en bespreking verschillende soorten malware • Bescherming tegen malware
Wat is malware • Software die schade aan het systeem toebrengt • Opdeling adhv de manier waarop ze werken • Opdeling is niet perfect • Het woord ‘Virus’ is overgebruikt • Verspreiding/activering hoofdzakelijk door Social Engineering
Social Engineering • Meer psychologie dan informatica • Mensen manipuleren voor vertrouwelijke informatie • Maken gebruik van telefoon of internet • Mails die vragen naar creditcard informatie • Systeembeheerders die vragen naar wachtwoorden
Voorbeeld: Phishing • Veel gebruikte manier van Social Engineering • Bank en andere websites worden nagemaakt • Sturen ogenschijnlijk officiële berichten • Gebruiken soms de scripts van de officiële sites • Contacteer het bedrijf of type de link naar de site zelf in
Soorten malware • Virus • Worm • Wabbit • Trojan (horse) • Backdoor • Spyware • Exploit • Rootkit • Key Logger • Dialer • URL injection
Virus • Meest voorkomende malware • Heeft een host (drager) nodig(.exe, boot sector, macro’s, attachments) • 2 soorten • Non-resident (infecteert andere dragers op de computer) • Resident (doet dat niet) • Verschillende uitwerkingen • Vernietiging van gegevens, vertragen van systeem, … • Verspreiden (aangepaste) versies van zichzelf via de host
Worm • Heeft geen host nodig: is een bestand op zichzelf • Wordt opgestart met het besturingssysteem • Verspreiding via zwakheden in het besturingssysteem of via social engineering
Wabbit • Zeldzame vorm van malware • Vermenigvuldigt zich enkel op de geïnfecteerde computer • Moeilijk op te lossen (Fork bomb): vermenigvuldigt zichzelf tot een limiet waarna de pc onbruikbaar wordt. • Verspreiding via Trojan of social engineering • “Be vewwy, wewwy quit. I’m hunting wabbits.” – Elmer Fudd (Bugs Bunny)
Trojan (horse) • Kunnen zichzelf niet vermenigvuldigen • Kan andere malware zoals een virus verspreiden en activeren (dropper) • Verspreiding via koppeling aan of vermomming als onschadelijke software • Hoofdzakelijk spionage of backdoor functionaliteit
Backdoor • Geeft niet-geautoriseerde toegang aan derden • Opdeling in 2 groepen • Werken als een Trojan • Werken als een Worm • Ratware: “Zombie” pc die wacht op een signaal om iets te doen • Verspreiding via Trojan, worm of social engineering
Spyware • Informatie verzamelen en versturen • Ad-aware (popup reclame) valt onder deze groep • Verspreiding zoals Trojan • Gekende programma’s met spyware: • MSN Messenger • DivX (gratis versie) • Kazaa • AOL Instant Messenger • …
Exploit • Ge(mis)bruik van beveiligingslek in een besturingssysteem • Opdeling via manier beveiligingslek wordt gecontacteerd • Remote exploit (geen verspreiding nodig) • Local exploit (verspreiding via trojan) • Niet noodzakelijk kwade bedoeling • Hoofdzakelijk doel is niet-geautoriseerde toegang krijgen
Rootkit • Worden door cracker geplaatst • Doel is verbergen van sporen • Volledige her-installatie
Key logger • Kopieert toetsenbord aanslagen naar een bestand • Werkt selectief bvb. alleen bij het bezoeken van een beveiligde website • Verspreiding via trojans • Anekdote: FBI gebruikt “Magic Lantern” tegen maffiabaas.
Dialer • Passen inbelnummer van modem aan • Belt uit om data te versturen • Breedband verbindingen worden niet beïnvloed • Verspreiding via trojan of social engineering
URL injection • Aanpassing url’s • Gebruiker merkt er zelden iets van • Verspreiding kan maar is niet nodig
Bescherming • Start bij de gebruiker - Preventie • Complete pakketten • Geen enkel pakket biedt 100% bescherming aangezien ze meestal achter de feiten aanlopen • Lokaal minstens antivirus en (liefst verschillende) antispyware • Firewall
Anti-virus • Verschillende pakketten • Betalende • Norton • McAfee • Kaspersky • Trend Micro • Gratis • AntiVir personal edition Classic(Persoonlijk gebruik) • AVG (Persoonlijk gebruik) • Avast (Persoonlijk gebruik)
Anti-spyware • 1 is niet genoeg • Ad-aware, spybot search & destroy, CWShredder, … • Hitman Pro 2
Firewall • Een firewall controleert het netwerk verkeer • Centrale VERA firewall • ZoneAlarm
De toekomst • Malware is meer en meer op geld uit • Erger is de mogelijkheid van een superworm • Een van de meest schadelijke wormen tot nu toe was SQL Slammer • Wereldwijde verspreiding in 10 minuten • Elke 8,5 seconden verdubbelde het aantal geïnfecteerde computers • Wereldwijd tussen de 400.000 en 700.000 geïnfecteerde computers • Gemiddeld 34,5 manuren nodig voor het oplossen van de infectie • Wereldwijd tussen de 950 miljoen en 1,2 miljard dollar verloren productiviteit • Tussen de 750 miljoen en 1 miljard dollar kosten om alles op te kuisen. • De bouwstenen voor de superworm zijn er reeds • Een dergelijke superworm wordt ook een Warhol worm genoemd.
Links • Virus • http://www.sophos.com/virusinfo/explained/ (virus woordenboek en best practise) • http://www.windowsecurity.com/articles/Protecting_Email_Viruses_Malware.html (email virussen) • http://www.pcvirus.org/links (papers over kwaadaardige code en virussen) • http://vx.netlux.org/ (Details over virussen) • http://www.secure-computing.info/ (10 meest gevaarlijke dingen die men kan doen) • Worm • http://www.wildlist.org/ (Lijst van virussen en wormen) • http://www.2-spyware.com/worms-removal (Opsomming van wormen en hun removal tools) • Trojan • http://www.bleepingcomputer.com/forums/topict405.html (Links) • http://www.anti-trojan.com/ (Informatie site) • http://www.2-spyware.com/trojans-removal (Tronjan verwijder tools) • http://www.windowsecurity.com/whitepapers/The_Complete_Windows_Trojans_Paper.html
Links • Backdoor • http://www.2-spyware.com/backdoors-removal (Backdoor verwijder tools) • Spyware • http://www.io.com/~cwagner/spyware/ (faq en verwijder gids) • http://www.spywarewarrior.com/rogue_anti-spyware.htm (SLECHTE anti-spyware programma's) • http://www.pcreview.co.uk/articles/Internet/Spyware_and_Adware_Removal/ • http://www.freespywareremoval.info/prevention/ • http://mvps.org/winhelp2002/unwanted.htm (Omgaan met spyware) • Exploit • http://www.frsirt.com/exploits/ (exploit overzicht) • http://medialab.freaknet.org/~alpt/tutorial/papers.html (papers over exploits) • http://www.packetstormsecurity.org/ (exploit test programmas) • http://www.securityforest.com/wiki/index.php/Category:ExploitTree (Gecategoriseerd exploit overzicht)
Links • Rootkit • http://la-samhna.de/library/rootkits/index.html (Linux kernel rootkits) • http://www.sans.org/y2k/t0rn.htm (Analyse van een rootkit) • http://www.sysinternals.com/ntw2k/freeware/rootkitreveal.shtml (Rootkit detecteer programma) • Key logger • http://keystroke-loggers.staticusers.net/ (Hard- en software key loggers) • http://www.2-spyware.com/keyloggers-removal (Key logger verwijder tools) • Dialer • http://www.2-spyware.com/dialers-removal (Dialer verwijder tools) • Phishing • http://purl.org/net/tbc/misc/phish001.htm (Uitgebreid voorbeeld) • http://rjohara.net/pfishing-scams/ (Overzicht van echte phishing mails)
Links • Anti-virus • http://www.norton.com/ • http://www.mcafee.com/nl/ • http://www.kaspersky.com/ • Anti-spyware • http://www.hitmanpro.nl/ • http://www.lavasoftusa.com/software/adaware/ • http://www.safer-networking.org/nl/index.html • Firewall • http://www.zonelabs.com (ZoneAlarm) • http://be.trendmicro-europe.com/ • http://www.grisoft.com/ • http://www.free-av.com/ • Algemeen • http://en.wikipedia.org/wiki/Stopping_e-mail_abuse • http://arstechnica.com/articles/paedia/malware.ars (malware wat is het en hoe voorkomen)