AZ INFORMATIKAI BIZTONSÁGSPECIÁLIS TÉMAKÖREI

Hungarian Cyber Security Package

VírusvédelemSzappanos Gábor

VirusBuster kft.Víruslabor vezető

Amivel foglalkozni fogunk

Vírusok

Férgek

Trójaiak

Adware, spyware

Greyware

Olyan szoftver, aminek a célja az, hogy a felhasználóhoz

reklám tartalmú üzeneteket juttasson el.

Olyan szoftver, aminek a célja az, hogy a felhasználótólannak tudta nélkül információt

juttasson el egy harmadikfélhez.

A greyware-ek legális körülményekközött forgalmazott alkalmazások,melyeknél megvan az esély arra,hogy a felhasználó tudta nélkül,

ártó szándékkal települtek fela számítógépre.

Legálisnak látszó program,aminek szándékoltan az célja, hogy a számítógép működését

zavarja, vagy kárt okozzon.

Az ősidőkben...

EXE programa fertõzés elõtt

EXE programa fertõzés után

programprogram

vírus

fejléc fejléc

EXE programa fertõzés elõtt

EXE programa fertõzés után

program

vírusDOS fejléc

WIN fejléc

program

DOS fejléc

WIN fejléc

Vírusok típus szerinti megoszlása – boot vírusok

1996 1997 1998 1999 2000 2001 2002 2003 2004 2005

Boot File Macro Script I-Worm

Makróvírusok

1996 1997 1998 1999 2000 2001 2002 2003 2004 2005

Boot File Macro Script I-Worm

Concept

1995: Concept

• Csak a programokat gondolták veszélyesnek• Dokumentumokat gyakran cserélnek• Könnyű programozhatóság• Gyenge védelem• Forráskódban terjed, a dokumentummal együtt• Átjárhatóság

(Word => Outlook)(Word => Excel)(Word => PowerPoint)

Makróvírusok

2.2%

84.2%

13.2% 0.4% Office

Word

Excel

Egyéb

•PowerPoint•Access•Project•AutoCAD•Visio•Lotus 123•SuperLogo•CorelScript•Shockwave•AutoIT

Fejlődő védettség

Scriptek

1996 1997 1998 1999 2000 2001 2002 2003 2004 2005

Boot File Macro Script I-Worm

Concept Loveletter

1999. Loveletter

• Könnyen programozható script nyelvek• Forráskódban terjed, könnyű változtatni• Jórészt social engineering• Gyors együttműködés kellett az AV

laborok között

Win32 e-mail férgek

1996 1997 1998 1999 2000 2001 2002 2003 2004 2005

Boot File Macro Script I-Worm

ConceptLoveletter

SircamKlez

2001. Sircam, Klez

• Win32 e-mail wormok

• Aktiválódás jórészt social engineering

• Címgyűjtés a lokális gépről

• Terjedés MAPI, SMTP

E-mail vírus életciklusokMyparty.A – 3 nap

Klez.H – 5 hónap

[1] I-Worm.Zafi.B ........................ 463 (2004.06)[2] I-Worm.Mydoom.CR ........................ 71 (2008.01)[3] I-Worm.Zafi.D ........................ 48 (2004.12)[4] I-Worm.Bagle.LC ........................ 40 (2006.12)[5] I-Worm.Netsky.Q1 ........................ 34 (2004.03)[6] Exploit.IFrame.B ........................ 25 [7] I-Worm.Mytob.E ........................ 20 (2005.03)[8] I-Worm.Mydoom.R ........................ 17 (2004.07)[9] I-Worm.Netsky.Q2 ........................ 10 (2004.03)[10] I-Worm.Netsky.O ........................ 6 (2004.03)[11] I-Worm.Bagle.GK ........................ 5 (2006.02)

Win32 network férgek

1996 1997 1998 1999 2000 2001 2002 2003 2004 2005

Boot File Macro Script I-Worm

ConceptLoveletter

SircamKlez

Sasser

2003-2004: SQLSlammer, Sasser

• Win32 wormok• Op. rendszer biztonsági hibát

használnak ki• Autonóm és gyors terjedés

Felgyorsult idő1990 Form 3 év

1995 Concept 4 hónap

1998 Melissa 4 nap

1999 Loveletter 4 óra

2003 SQLSlammer 4 perc

Vírus terjedési modellek

… végül a valóság idomult a modellhez

• Nem-rezidens, direkt vírus fertőzési modell (Gleissner, 1989)

• Irányított és véletlen gráf modell (Kephart-White, 1991)

• Homogén terjedési modell(Solomon, 1990)

Terjedési modell

( ) ( ) ( ) ( )( )ττ

00 11

ttagptageeptN

−⋅−−⋅−

⋅⋅−=•p: védett gépek aránya

•t0 felismerésig eltelt idő

•a: elnyelési arány

•g: sokszorozási arány

•τ: ciklusidő

•boot vírus ~ 1

•I-Worm ~ 5

•boot vírus ~ 1 hét

•I-Worm~ 1/4 óra

Generation history of Mimail

0

100

200

300

400

500

600

700

0 5 10 15 20 25 30

Generation

Min

utes

ela

psed

Ciklusidő: 15 perc

Modellezés – alap

Mi a teendő? Védettség növelése

• Védett gépek arányának növelése – több víruskereső

• Vírusincidens esetén katasztrófaterv gyors víruselhárítás

Modellezés 1 végső absz. 2 -> 3

Mi a teendő? – kezdeti védettség növelése

• Megelőző vírusvédelmi módszerek:heurisztikaemuláció

• Diverzitás növelése• Behatolási pontok védelme• Biztonságosabb rendszerek használata• Biztonsági javítások feltelepítése

Modellezés 2 absz. 1.7 -> 1.6

Reaktív vírusfeldolgozás

• A vírus felbukkan valahol a nagyvilágban• Felhasználó beküldi• Víruslabor elemzi, feldolgozza• Vírusadatbázis QA• Elkészül az adatbázis frissítés

~ 3 óra

Mi a teendő? – reakcióidő csökkentése

• Víruslaborok közötti együttműködés• Vírusadatbázis SOS frissítése• Rendszergazdák informálása• Frissítések azonnali szétterítése

(cégen belül pull helyett push)

Modellezés 3 Reakcióidő: 120 -> 90

2005: a profik színre lépnek

• Hobbi vírusírók háttérbe szorultak

• Bagle - Netsky háború

• Botnetek megjelenése

• Exploitok, trójaiak, botnetek, lopott adatok piaca

• Sok kis incidens

Botnetek

Bot életciklus:

•Létrehozás•Kiterjesztés•Irányítás•Megszüntetés

Ismert * bot variánsok száma: ~ 171,000

>20-30k always online SOCKs4, url is de-duped and updated every >10 minutes. 900/weekly, Samples will be sent on request. >Monthly payments arranged at discount prices.

>$350.00/weekly - $1,000/monthly (USD) >Type of service: Exclusive (One slot only)>Always Online: 5,000 - 6,000>Updated every: 10 minutes

Zeus botnet (Zbot)

Botnetek vezérlése

Klasszikus botnet

C&C

Storm P2P botnet

Banki jelszólopók

• Jelenleg ismert: ~230000• Keylogging• Form data capture• Screen capture• Mini screen capture• Phishing

Behatolás

• Drive-by exploitok• E-mail üzenet• Instant messaging üzenet• Közösségi portálok• P2P, torrent hálózatok

Drive-by

38zu-cnmbr2-cn117la-cnwvg6-cnckt1-cnw.jsguangji.cnw.toyony.com.cnw.ttkiss.com.cn

Drive-by (folyt.)

http://d.doinw.com/xx/x2.css

Trojan.DL.Exchanger

• Legnagyobb botnet (Srizbi/CBEPlay/Exchanger)

• Kb. 315,000 gép, több szegmensre osztva (Reactor Mailer)

• Kapacitás: 60 milliárd üzenet/nap (spam tömeg 40%-a)

• Terjesztésében Mpack kitet használnak

38

•Kamu antivírus programot telepít több lépésben•A felhasználót megijeszti annyira, hogy fizessen a programért•Képernyővédőt is bevet•A System Restore pontokat törli•„Csak” a pénzünket akarják•Határeset (mindenkinek joga hülyének lenni)

Trojan.FakeAlert

39

MPACK támadások• Web szerver feltörése alkalmazás hibájával (SQL, PHP, cpanel)

• 8000 olasz website egy menetben (2007. Június) ~ 100,000 fertőzött gép

• Böngészéskor klienstől függő hibák

– ANI overflow

– MS06-014,

– MS06-006,

– MS06-044,

– XML Overflow,

– WebViewFolderIcon Overflow

– WinZip ActiveX Overflow

– QuickTime Overflow

• nincs biztonságos böngésző

SWF PDF

Jan 2009 2154 37

Feb 2009 3625 94

Mar 2009 4362 33

MPACK fertőzés előtt

MPACK fertőzés után

Browser agentGeolocationOperációs rendszer

Üzleti modell

Kiadás:• MPACK kit: 700 USD• Weboldalhoz exploit: 10,000 USD (0-day)• Weboldalhoz script fertőzés : 50 USD

Bevétel:• 100,000 fertőzött gép, • egyenként 100,000 spam levél• 0,03 cent/levél

Megtérülési arány: 27

10,750 USD

300,000 USD

Exploitok

Csökken az idő a hiba publikálása és az azt kihasználó kártevő megjelenése között

(MS Office 0-day támadások: patch Tuesday, exploit Wednesday)

A biztonsági programok hibái is célpontok (Delbot: SYM06-010)

Minden eladó

• Exploit kód (500 USD -> 250000 USD)

• Egyedi, felismerhetetlen packer

• Botnet

• MPACK készlet (500-1000 USD)

Kártevőszám emelkedés

• Kártevők száma duplázódik évente

• Az ismert kártevők fele az elmúlt 18 hónapban született

• “Szerver oldali polimorfizmus”

• Egyre kevesebb az idő a feldolgozásra, QA erősítendő

• Vakriasztások száma megnövekedett (egységnyi feldolgozásra jutó szám

kb. ugyanaz)

• A mennyiségi növekedés minőségi ugrást követel (memória használat,

víruslabor létszám nem skálázható)0

2,000,000

4,000,000

6,000,000

8,000,000

10,000,000

12,000,000

14,000,000

16,000,000

18,000,000

20,000,000

22,000,000

24,000,000

26,000,000

28,000,000

30,000,000

32,000,000

2007

-01

2007

-02

2007

-03

2007

-04

2007

-05

2007

-06

2007

-07

2007

-08

2007

-09

2007

-10

2007

-11

2007

-12

2008

-01

2008

-02

2008

-03

2008

-04

2008

-05

2008

-06

2008

-07

2008

-08

2008

-09

2008

-10

2008

-11

2008

-12

2009

-01

2009

-02

2009

-03

2009

-04

2009

-05

2009

-06

2009

-07

2009

-08

2009

-09

2009

-10

2009

-11

Uni

que

Sam

ples

in C

olle

ctio

n

Total Number of Unique Samples in AV-Test.org's Malware Collection

Actual balanceForecast

0

500000

1000000

1500000

2000000

2500000

3000000

3500000

4000000

2009.01.01.2009.04.01. 2009.07.01 2009.10.01.2010.01.01.2010.04.01.

Sig count

Gyorsan változó kártevők

• Mire a 1568. variánsra kimegy a frissítés, a felhasználónál már a 1786.

variáns tölti le a 1795.-et

• Hatalmas lenne a memória használat

• Csak generikus felismerésekkel érdemes kezelni ezeket

• A gyors reakció idő kevesebb, mint a proaktív felismerés

• A víruskeresőknek fertőzött környezetben kell működnie

Folytonos innováció

• DOS és Win32 emulátor

• Algoritmikus felismerések

• Generikus felismerések

• Heurisztikus felismerések (szabályrendszer alapon)

• Adware, spyware, dialer, RAT, phishing, trójai

Vírusok által okozott kár

• Adatvesztés• Adat kiáramlás• Személyes adatok lopása, használata• Kiesett munkaidő• Szándékos rombolás• Rendelkezésre nem állás

Emberi tényezők

• Felhasználói “gyengeségek”– Képzés hiánya

• Nem tudja mit csinál• Nem tudja mit kellene csinálnia

– Felelőtlenség• Tudja, hogy nem kellene, de mégis• Tudja, hogy kellene, de mégsem

– “Bonyolult” rendszerek

Határvédelem

• Böngészés, FTP– Károkozó szűrés– Káros aktív tartalom szűrése

• Levelezés– Károkozók– Spam

• Tűzfal– Alkalmazás szintű tűzfal

Munkaállomások, szerverek

• Folyamatos védelmek– Állomány hozzáféréskor– Hálózati forgalom figyelés

• Manuális ellenőrzések• Operációs rendszer és szoftver frissítések