1.01k likes | 1.21k Views
Základy informatiky část 8. Počítače a MALWARE MAL icious soft WARE. Motto: To, že jsem paranoidní, neznamená, že po mě nejdou…. Malware – Historie. Sci-fi literatura předpověděla již v 60. letech V reálu se malware objevil až v 80. letech
E N D
Počítače a MALWAREMALicioussoftWARE Motto: To, že jsem paranoidní, neznamená, že po mě nejdou…
Malware – Historie • Sci-fi literatura předpověděla již v 60. letech • V reálu se malware objevil až v 80. letech • Nejstarší – Trojské koně, snažily se předstírat užitečnost…
Malware – Historie Příklady: • 1985 EGABTRsliboval lepší grafiku, ve skutečnosti mazal a když domazal, napsal „Arf! Arf! Gotcha“ • Hra Nuklea – po dohrání na disku nic nezbylo • Přelom 80. až 90. let, trojani se vydávají za antivirové programy, místo hledání virů rovnou mažou disk
Malware – Historie • První virus 1986 Brain(bratři Basit aAmjadsFarooqAlvi z Pakistánu – Lahore. Údajně ho dávali jako bonus cizincům, kteří si u nich v obchodě kupovali nelegální software. • Experimenty p. Franka. Jeho první pokus s viry 10.9.1983 na počítači VAX 11/750 pod UNIXem, nad kterým ztratil po půl hodině kontrolu.
Malware – Historie • 1987 Lehigh, Stoned, Vienna, Cascade. Posledně jmenovaný – slavná padající písmenka na obrazovce. • XI.1988 Robert T. Morris vypustil do světa tzv. „Morrisův červ“. Červ napadl kolem 6000 unixových počítačů, blokoval tehdejší síť 36 hodin, červ se dostal i do LawrenceLivermoreNationalLaboratory, škody 100 miliónů dolarů.
Malware – Historie • 1988 antivirové programy. McAfeeVirusScan, Dr. Solomon AVTK. • 1990 polymorfní viryviry, u nichž vypadá každý exemplář „na venek“ odlišně. Antiviry vyhledávají podle řetězců.
Malware – Historie • „Stealth“ viry, tj. viry, které se dokážou maskovat v systému. Příklad virus Frodo, který sledoval manipulaci se soubory a uživateli nebo antiviru „předhazoval“ nezávadné verze těchto, ve skutečnosti infikovaných souborů. • 1991Tequilaprvní multipartitní virus. Multipartitní viry dokážou napadnout systémové oblasti disku i soubory. Tequila byla navíc polymorfní a pro jistotu i typu stealth.
Malware – Historie • 1994 One_Half.3544.A • Silně polymorfní a multipartitní virus ze Slovenska. • Řada antivirů ho nedokázala stoprocentně detekovat.
Malware – Historie • 1995 FormOperační systém Windows 95 sliboval zánik počítačových virů • Boot virus Form, byl společností Microsoft distribuován společně s Windows 95 beta testerům na instalačních disketách. • W 95 neznamenal konec virům
Malware – Historie • 1995 makrovirusConceptšíří se v dokumentech MS Word. • Dlouhou dobu nejrozšířenější vir (tehdejší antiviry nebyly na makroviry připraveny). • Relativní klid panoval u majitelů českých verzí – pod českou verzí nefungovalo. • Od verze MS Office 97 makroviry funkční i v českých verzích…
Malware – Historie • 1995Win95/Boza.APrvníopravdovývirus pro Windows 95. • 1995Win95/Punch „paměťově rezidentní“, přežíval v paměti jako VxD ovladač. • 1995Laroux – první makrovirus pro MS Excel. • 1998Win95/CIH – novináři nazvaný Černobyl Vždy 26. dubna* se pokusil přemazat paměť Flash BIOS na základní desce a část dat na disku. První popřel tezi, že virus neohrozí hardware. * záleželo na variantě
Malware – Historie • 1998Skriptové viry napříkladVBS/RabbitneboHTML/Internal. • 1999Skriptové viry„mass-mailing“, W97M/Melissa.A@mm.
Malware – Současnost • Vývoj virů šířících se elektronickou poštou stále pokračuje. • Nejstarší potřebovaly aplikaci Outlook, • Novější si vezou sebou vlastní SMTP server(!). • Možno zneužívat infikované PC bez vědomí jeho uživatele (stroj označován „zombie“). • Malwareje typu backdoor nebo trojanproxy.
Malware – útok Typický průběh "spamování" havěti (v tomto případě jde o dropper viru Win32/Bagle.BI) – dvě vlny a pak klid (svislá osa – počet infikovaných e-mailů zachycených na poštovním serveru, vodorovná osa – čas). Igor Hák Moderní počítačové viry
Malware – základní dělení • Viry– virus je schopen sebereplikace, tedy množení sebe sama • Potřebuje hostitele k němuž je připojen • Rychle se šíří • Snaha se ukrýt
Malware – základní dělení • Trojské koně (Trojan) – tento typ škodlivého kódu není schopen sebereplikacea infekce souborů • Cílený útok • Snaha na sebe neupozornit • Sofistikované maskování
Malware – základní dělení • Červi (worms) – infikace počítače • Šíří se elektronickou poštou • Formě síťových paketů. • Počítač infikují otevřením přílohy.
Malware – základní dělení • Backdoor– zadní vrátka • Otevírá přístup do počítače • Schovává se v počítači uživatele • Čeká až se útočník se připojí přes internet na postižený počítač. • Počítač je plně v moci útočníka • Kopírování a získávání dat, manipulace s OS, DVD, HDD…
Spyware–sledování uživatele Program využívá Internet odesílá data z počítače bez vědomí uživatele Sledování chování Pro účely marketingu Nízká nebezpečnost, ale otravný. Malware – základní dělení
Adware– reklamní sdělení a okna Spolupráce se Spywarem Otravuje Neškodí Malware – základní dělení
Hoax– poplašná zpráva, Obvykle varuje před neexistujícím nebezpečným virem Využívá lidské důvěřivosti Účelem je zahltit poštu Malware – základní dělení
Phishing– podvodné e-maily, Podvodné zprávy Na první pohled informace z významné instituce (nejčastěji banky) Snaha vylákat důvěrné informace Spolupráce s lidskou hloupostí a naivitou Malware – základní dělení
Dialer– přesměrování hovoru Pro vytáčené připojení Přesměruje přes drahé linky Předpokládá analogovou telefonní síť Dnes prakticky vymizel Malware – základní dělení
Makroviry–zaměřují se na makra kancelářských programů Cílem především MS Office Využívá Visual Basic Důsledek: vypnutá makra Malware – základní dělení
Rootkit– velmi nebezpečný Programy a technologie umožňující maskovat přítomnost malware v počítači Skrývá běžící procesy, soubory a systémové údaje. Obtížná detekce Obtížný boj Malware – základní dělení
Viry Program „infikující“ jiné programy a pomocí nich se šíří a) Bootviry– napadají systémové oblasti, šíří se datovými nosiči (při bootování) b) Souborové viry – napadají programové soubory (dělíme do 3 skupin)
Viry Hostitelem mohou být spustitelné (exe, com) soubory systémové oblasti disku, soubory, které lze spustit za použití specifických aplikací (dokumenty Microsoft Wordu, skripty VisualBasicu apod.)
Boot Viry Napadají systémové oblasti: boot sektory disket (flash disků…) MBR (Master BootRecord) pevného disku. Obvykle přepíší svým vlastním kódem boot sektor a původní přepsanou část boot sektoru uschovají na jiné místo disku.
Boot Viry Najdeme je: v nevyužitých klastrech v použitých klastrech (hrozí poškození původního obsahu) v systémových oblastech ve stopách, které se nacházejí mimo aktivní oblast disku
Souborové viry přepisující • Vyhledá spustitelný soubor a přepíše jej • Původní obsah programu je přepsán novým kódem • Původní program je od této chvíle nespustitelným
Parazitické viry (link) Připojí se k hostiteli (spustitelnému souboru) bez toho, aby ho poškodily Připojení prepend (před) insert (v) append (za) Při infekci je původní soubor upraven tak, aby po jeho následné aktivaci došlo jak k aktivaci viru, tak i původního programu
Doprovodné viry • Nezapisují se do původního kódu programu • Vytváří stínový soubor stejného jména s příponou .COM(ten je OS preferován) • Příklad: Máme soubor SPUST.EXE, virus vytvoří SPUST.COM. Podle priorit DOS dojde při volání daného souboru bez uvedení přípony nejprve k aktivaci toho s příponou COM a tím i k aktivaci viru.
Umístění virů Parazitický Doprovodný BAUDIŠ, Pavel; ZELENKA Josef; Antivirová ochrana. Praha : únor, 1996. ISBN. str.28
Multiparitní viry • Napadají systémové oblasti • Napadají spustitelné soubory • Kombinují vlastnosti boot a souborového viru • Velké škody („One Half“)
One_Half • Postupně kódoval obsah pevného disku • Šifrování pomocí klíče, který si sebou nesl. • Neodborné odstranění (včetně tohoto klíče), znamenalo to i ztrátu zakódované části dat.
One_Half • Dekryptovacíalgoritmus viru byl rozdělen na několik navzájem propojených „ostrůvků“, které byly „rozsety“ po infikovaném souboru. • Polymorfní • Stealth
Makroviry • Vytvářeny vmakrojazycíchkancelářských programů • Napadají dokumenty (Word, Excel, … ) • Šíří se v dokumentech – velké nebezpečí, neboť s nimi uživatelé nepočítají
Jak virus poznat? • Obecně obtížně, obvykle se skrývají • Chlubí se sám, že je (dříve): • Pouze efekty (padající znaky na obrazovce) • Přehazuje klávesy, zaměňuje soubory • Ničí data na HDD • Dnes: získávání informací zablokování systémů
Trojské koně • Sniffer– odposlouchávání přístupových jmen a hesel, čísel kreditních karet • Keylogger– sledování (záznam) znaků zadávaných z klávesnice • Spyware– sleduje uživatele a jeho zvyklosti při surfování na Internetu a posílá o tom zprávy
Trojské koně • Zadní vrátka – trojský kůň obsahuje síťovou službu, kterou může útočník použít pro získání přístupu do systému přes počítačovou síť • Spam server – rozesílání nevyžádané elektronické pošty (e-mail) z napadeného počítače
Trojské koně • Souborový server – trojský kůň nainstaluje souborový server • např. FTP, IRC bota nebo nějaký P2P program • server je poté použit: • pro stahování souborů uživatele, • pro ukládání souborů majitelem trojského koně (např. warezu nebo malware)
Trojské koně • Proxy trojan– umožňuje použít napadený počítač jako proxy server. • Security software disabler– zablokuje software pro zabezpečení PC (Firewall,Antivir)
Trojské koně • Denial-of-service– trojský kůň se účastní DDoS útoku (zahlcení požadavky) • URLtrojan– přesměrovává infikované počítače připojené přes vytáčené připojení k Internetu na dražší tarify (URLinjection, hijacker)
Ransomware • Trojský kůň • Požaduje výkupné 100 až 3000 EUR • Cryptolocker, Win32/Filecoder.BQ • Šifruje soubory na počítači • Okno s odpočtem 72 hodin • Zaplatit, nebo se smaže dešifrovací klíč • Sofistikovaná asymetrická šifra (AES-2048)
Obrana před Cryptolockerem • Zálohování – lepší je alespoň nějaká záloha než žádná • Instalujte záplaty operačního systému, MS Office, Java, Adobe • Používejte nejaktuálnější verze internetových prohlížečů • Samozřejmostí je aktuální verze antiviru a virových databází
Tracking cookie • Cookie(anglicky koláček, oplatka, sušenka) v protokolu HTTP označuje malé množství dat, která WWW server pošle prohlížeči, který je uloží na počítači uživatele. • Trackingcookie– „sledovací sušenka“, slouží k monitorován našeho pohybu po Internetu. • Trackingcookies nepředstavují žádnou hrozbu, „pouze“ narušují soukromí.
Spyware • Spyware využívá Internetu k odesílání dat z počítače bez vědomí jeho uživatele. • Na rozdíl od backdooru jsou odcizovány pouze „statistická“ data jako přehled navštívených stránek či nainstalovaných programů. • Nelze zaručit, že informace nebo technologie nemůže být zneužita. • Spyware se šíří společně s řadou sharewarových programů a jejich autoři o této skutečnosti vědí.
Adware • Znepříjemňuje práci s PC reklamou. • Typickým příznakem jsou "vyskakující" pop-up reklamní okna společně s vnucováním stránek. • Adware může být součástí některých produktů (např. BSPlayer). • Reklama doprovází během celé činnosti s daným programem výměnou za větší množství funkcí, které nejsou v klasické free verzi (bez reklamy) dostupné – něco za něco.
(Dialer) • Dialer je program, který změní způsob přístupu na Internet prostřednictvím modemu. • Místo běžného telefonního čísla pro Internetové připojení přesměruje vytáčení na čísla se zvláštní tarifikací, např. 60 Kč / minutu (tzv. "žluté linky"). • Dialery jsou nebezpečné pouze u analogových telefonních linek (dial-up). • Netýká se ISDN, ADSL a jiných moderních technologií • Pozn.: pouze pro vytáčené připojení k internetu, u digitálních linek nehrozí.