AZ INFORMATIKAI BIZTONSÁGSPECIÁLIS TÉMAKÖREI

Hungarian Cyber Security Package

Vírusvédelem

Szappanos Gábor

Sophos

Alapfogalmak

Amivel foglalkozni fogunk

Vírusok

FérgekAdware, spyware

Olyan önreprodukáló számítógépes program, amely úgy fertőz más

programokat, hogy azok tartalmazzák a vírus egy

(esetleg megváltoztatott) új példányát.

Olyan szoftver, aminek a célja az, hogy a felhasználótólannak tudta nélkül információt

juttasson el egy harmadikfélhez.

Olyan szoftver, aminek a célja az, hogy a felhasználóhoz

reklám tartalmú üzeneteket juttasson el.

Trójaiak Greyware

A greyware-ek legális körülményekközött forgalmazott alkalmazások,melyeknél megvan az esély arra,hogy a felhasználó tudta nélkül,

ártó szándékkal települtek fela számítógépre.

Legálisnak látszó program,aminek szándékoltan az célja, hogy a számítógép működését

zavarja, vagy kárt okozzon.

Vírusok csoportosítása

Fertőzött objektum alapján:– Boot vírus– Program vírus– Makró vírus– Script vírus– Féreg– Féreg

Fertőzési mód alapján:– Direkt akció– Rezidens

4

Az ősidőkben...

5

DOS programok fertőzése

DOS fejléc

MZ

CS:IPSS:SP

Fejléc méret

Memória méret

Belépési pont

DOS fejléc

Kód

MZ

CS:IPSS:SP

Fejléc méret

Memória méret

Belépési pont

6

Kód

Verem

Kód

Verem

Víruskód

Belépési pont

DOS vírus esete PE programmal

DOS fejléc

DOS stub

PE fejléc

Data directories

Export tábla

Import tábla

CS:IP

CS:EIP

MZ

PE

DOS fejléc

DOS stub

PE fejléc

Data directories

Export tábla

Import tábla

CS:IP

CS:EIP

Víruskód

MZ

PE

7

Section tábla

Sections.text.data.rsrc

Section tábla

Sections.text.data.rsrc

Boot vírus fertőzés előtt

Nem használt terület

1. Partíció info

2. Partíció info

3. Partíció info

4. Partíció info

1. Partíció ntloader

8

1. Partíció

2. Partíció

3. Partíció

ntloader

grub

bootcamp

MBR Boot vírus fertőzés után

Nem használt terület

1. Partíció info

2. Partíció info

3. Partíció info

4. Partíció info

1. Partíció ntloader

9

1. Partíció

2. Partíció

3. Partíció

grub

bootcamp

ntloader

FBR Boot vírus fertőzés után

Nem használt terület

1. Partíció info

2. Partíció info

3. Partíció info

4. Partíció info

1. Partíció ntloader

10

1. Partíció

2. Partíció

3. Partíció

grub

bootcamp

ntloader

Brain vírus

• Felbukkanás: 1986 január (legrégibb PC DOS vírus)

• Vírus test „bad sector” –okban tárolva• Rejtőzködő (stealth) vírus• Rejtett szöveg: • Rejtett szöveg:

• Welcome to the Dungeon(c) 1986 Basit & Amjad (pvt) Ltd.BRAIN COMPUTER SERVICES730 NIZAB BLOCK ALLAMA IQBAL TOWNLAHORE-PAKISTANPHONE :430791,443248,280530.Beware of this VIRUS....Contact us for vaccination............ $#@%$@!!

11

Boot vírusok

Boot File Macro Script I-Worm

19961997

19981999

20002001

2002 2003 2004 2005

12

Makróvírusok

Boot File Macro Script I-Worm

19961997

19981999

2000 20012002 2003 2004 2005

Concept

13

1995: Concept

• Csak a programokat gondolták veszélyesnek• Főleg MS Word és Excel• Dokumentumokat gyakran cserélnek• Könnyű programozhatóság• Könnyű programozhatóság• Forráskódban terjed, a dokumentummal együtt• Gyenge védelem, rosszul dokumentált formátum

14

Fejlődő védettség

15

Bontchev konstans

2.7%

97.3% of the human 97.3% of the human population consists of

idiots

Win32 network férgek

Boot File Macro Script I-Worm

ConceptLoveletter

SircamKlez

Sasser

19961997

19981999

20002001

2002 2003 20042005

17

• Win32 wormok• Operációs rendszer biztonsági hibát

használnak ki• Jelszólista alapú brute-force hozzáférés• Autonóm és gyors terjedés

2003-2004: SQLSlammer, Sasser

• Autonóm és gyors terjedés

2004 => : a profik színre lépnek

• Addig: hobbi vírusírók

• Botnetek megjelenése

• Exploitok, trójaiak, botnetek, lopott adatok

feketepiacafeketepiaca

• Kis incidensek riasztási szint alatt

• Célzott támadások ipari kémkedés céljából

• Bagle - Netsky háború

19

Banki jelszólopók

• Keylogging• Form data capture• Screen capture• Mini screen capture egérkurzor körül• Mini screen capture egérkurzor körül• Video capture• Phishing

20

Phishing

Phishing

Botnetek

Botnet: hálózati összeköttetésben levő programok koordinált hálózata

Legális botnetek: SETI@Home, distributed SHA crackingSHA cracking

Illegális botnetek: spambot, DDoS

23

Klasszikus botnet

C&C

24

P2P botnet

25

Zeus botnet (Zbot, Citadel)

26

Botnetek vezérlése

27

Botnetek

Rootkitek

Olyan program, aminek a célja objektumok (fájl, processz, registry, könyvtár) elrejtése a normál vizsgálatok elől.

– Bootkit– User mód vs. kernel mód– Operációs rendszer belső struktúráit

módosítják (Microsoft vs. Alureon)

29

Sony rootkit (2005)

• Extended Copy Protection és MediaMax CD-3 másolásvédelem

• Automatikusan és csendben feltelepül a lemez lejátszásakor

• A %SYSTEM%\$sys$filesystem könyvtárba települ fel

• Elrejt minden fájlt, könyvtárt és registry bejegyzést aminek • Elrejt minden fájlt, könyvtárt és registry bejegyzést aminek a neve $sys$-el kezdődik

30

Troj/Stinx:

• C:\WINDOWS\SYSTEM32\$sys$drv.exe néven települ fel

ZeroAccess

• Terjesztés: exploit kit, social engineering

• UAC dialóg átverése: tiszta Fash telepítő, trójai DLL

• Tűzfal, Windows védelmi programok leállítása

• Telepítési könyvtár pl.: c:\windows\$NtUninstallKB35373$

• HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon• HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

• Felülír egy random kiválasztott drivert

• A letöltött fájlok kódolva tároltak egy titkosított volume-on

• 64 biten user módú

• Pszeudo-random DGA (rendszeridő alapján)

• Payload: click fraud, spambot

31

Exploit kit támadás gyakorlatban

Az Internetenkeresztül történő támadások 2/3-a valamelyik exploit kit segítségével

33

kit segítségével valósul meg.

Ezek fele egyedül a Blackhole kithez kötődik

A Blackhole kit névjegy

• Orosz fejlesztés

• Bérelhető infrastruktúra

• Traffic direction system (TDS)

• MySQL backend

• IP feketelista• IP feketelista

• Malware terjesztés v. átirányítás

• Integrált víruskeresők

• Management felület, részletes statisztikák

• Közbenső oldalakat lopott jelszavakkal vagy SQL injektálással fertőzik

Traffic Direction System

TDS működésben

GET http://www.google.com/ig/cp/get?hl=en&gl=&authuser=0&bundleJs=0 HTTP/1.1Host: www.google.comProxy-Connection: keep-aliveUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.202 Safari/535.1Accept: */*

Browser agentIP cím, feketelistaOperációs rendszer

Accept: */*Referer: http://www.google.com/Accept-Encoding: gzip,deflate,sdchAccept-Language: en-US,en;q=0.8Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3If-None-Match: 4507273103833835255If-Modified-Since: Tue, 11 Oct 2011 08:30:50 GMT

Blackhole TDS

Vista:

IE7,IE8

Win7: IE9,

IE10

Win7:

Mozilla22,

Opera12,

Safari5

Android:

Safari5

Win7:

Firefox14

Vista:

IE6

Non-Windows

platforms

WinNT90:

IE9

Win8:Chrome17 OSX: IE5

WinCE: IE4

Win2K:

Firefox5

WinXP:IE9 WinXP:

Chrome17

Win95: IE4

Win98: IE4,IE5,IE6

WinNT: IE5

WinNT351: IE5

WinNT40: IE5

Win2K: IE4,IE5,IE6

Win2K3: IE7 Win2K: IE8

WinXP:

AOL96

Java

(CVE-2010-0840,

CVE-2012-0507)

+ + + + - + + - + + + + + +

XMLHTTP+ADO

DBSTREAM

downloader

- - - + - - - + - - - + - -

PDF1:

CVE-2009-0927,

CVE-2008-2992,

CVE-2009-4324

+(IFRAME)

+(object)

+(object + IFRAME)

+(IFRAME)

- +(IFRAME)

+(object)

- +(object + IFRAME)

+(IFRAME)

+(object)

+(IFRAME)

+(IFRAME)

+(object)

CVE-2009-4324

PDF2: CVE-

2010-0188

Hcp (CVE-2010-

1885)

XMLHTTP+

ADODB

- - - - - - - - - +(link)

+(link)

- +(embed)

+(embed)

Flash

(CVE-2011-

0611)

- - - - + + + + + + + + + +

Flash

(Troj/SWFExp-

BC )

+ + + + + + + + + + + + + +

CVE-2012-1889 - - - - - - - - - - - - - -

Blackhole fertőzési sémaSpam e-mail:http://bridgetblonde.info/KKkxkeBx/index.htmlhttp://3d-cam.com/jiQ9VFzm/index.htmlhttp://armovies.com.ar/e2fSCR2G/index.htmlhttp://armovies.com.ar/x12RsWiw/index.htmlhttp://chomikuj24.pl/KKkxkeBx/index.html

Átirányító script :http://66.165.125.19/1f

Átirányító script :http://bragan.net/cwM8EscN/js.js

1. átirányító oldal

Blackhole szerverhttp://72.14.187.169/showthread.php?t=73a07bc

b51f4be71

PDF exploithttp://72.14.187.169/q.php?f=e4a98&e=1

MDAC exploithttp://72.14.187.169/q.php?f=e4a98&e=4

38

http://66.165.125.19/1fTeeHMA/js.js Átirányító script :

http://74.119.235.211/114oTzgs/js.js SWF exploit

http://72.14.187.169/q.php?f=e4a98&e=2

Java exploithttp://72.14.187.169/content/GPlugin.jar

Payload: FakeAV

Payload: ZeroAccess

Payload: ZBot

Blackhole payload

Zbot25%

Ransomware

FakeAV11%

Backdoor6%

ZAccess6%

Downloader2%

other9%

39

Ransomware18%

PWS12%

Sinowal11%

Blackhole exploit kit

40

Main script

http://sumatranajuge.ru:8080/forum/w.php?f=XXXXX?e=0

Main script - decoded

43

Duqu

• Moduláris szerkezet, letölthető pluginek

• 0-day dropper (sehol máshol nem használt)

• Direkt C&C kapcsolat, ha nem megy P2P

• Lokális hálózaton terjed a jelszólopó által gyűjtött jelszavakkal

• Digitálisan aláírt driver (C-Media)

• Legelterjedtebb: Irán, Szudán

• Célja ipari adatlopás

Duqu install

3%

Többrétegű védelem

Application ControlPotenciálisan veszélyes alkalmazások nem futhatnak

Anti-SpamTömegesen terjesztett e-mailek szűrése

VíruskeresőIsmert kártevők specifikus, új kártevők generikus felismerése

TűzfalKommunikációs kísérletek blokkolása, külső támadások szűrése

IPS

Anti-Spam

• Terjesztéshez használt levelek blokkolása

URL szűrés

• A letöltési láncban használt weboldalak blokkolása

Víruskereső

• Az exploitokat letöltő és futtató scriptek detektálása

IPSCsomagszintű felismerés

URL szűrésReputációs és feketelista alapú szűrés

Data Loss PreventionSzenzitív információk kiszivárgásának megakadályozása

Exploit védelemBiztonsági hibák kihasználásának detektálása

Viselkedésalapó védelemA futó program által a rendszerben végzett műveletek ellenőrzése

detektálása

Víruskereső

• Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása

Víruskereső• A letöltött Win32 payload detektálása

Viselkedésalapú védelem

• A futtatott Win32 payload detektálása

Víruskereső tesztek

• Melyik a legjobb víruskereső?�Vírusfelismerési arány�Proaktív felismerési képesség�Kevés vakriasztás�Kevés vakriasztás�Memóriahasználat�Sebesség�Platform lefedettség�Stabilitás

49

Alapelvek

1. Testing must not endanger the public.

2. Testing must be unbiased.

3. Testing should be reasonably open and transparent.

4. The effectiveness and performance of anti‐‐‐‐malware productsmust be measured in a balanced way.

5. Testers must take reasonable care to validate whether test samples or test cases have been accurately classified as malicious, innocent or invalid.malicious, innocent or invalid.

6. Testing methodology must be consistent with the testing purpose.

7. The conclusions of a test must be based on the test results.

8. Test results should be statistically valid.

9. Vendors, testers and publishers must have an active contact point for testing related correspondence.

50

Rossz tesztek

51

Rossz tesztek

Anti-Spam

• Terjesztéshez használt levelek blokkolása

URL szűrés

• A letöltési láncban használt weboldalak blokkolása

Víruskereső

• Az exploitokat letöltő és futtató scriptek detektálása

• Az exploitot tartalmazó letöltött fájlok

52

Víruskereső

• Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása

Víruskereső• A letöltött Win32 payload detektálása

Viselkedésalapú védelem

• A futtatott Win32 payload detektálása

Rossz tesztek

Anti-virus products are rubbish, says Imperva

‘Spend not proportional to effectiveness’By Richard Chirgwin

A study released in December by US security outfit Imperva has tipped a bucket on the multi-billion-dollar anti-virus industry, claiming that initial detection rates are as low as five percent, and concluding that enterprise and consumer anti-virus spend “is not proportional to its effectiveness”.

Anti-Spam

• Terjesztéshez használt levelek blokkolása

URL szűrés

• A letöltési láncban használt weboldalak blokkolása

Víruskereső

• Az exploitokat letöltő és futtató scriptek detektálása

• Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása

53

and consumer anti-virus spend “is not proportional to its effectiveness”.Working in conjunction with students from the Technion-Israel Institute of Technology, the company tested 82 malware samples against 40 anti-virus products including offerings from Microsoft, Symantec, McAfee and Kaspersky.The test revealed that while catalogued viruses are well-detected, “less than 5% of anti-virus solutions in the study were able to initially detect previously non-cataloged viruses and that many solutions took up to a month or longer following the initial scan to update their signatures.”

Víruskereső (SWF, PDF, Java, HTML) detektálása

Víruskereső• A letöltött Win32 payload detektálása

Viselkedésalapú védelem

• A futtatott Win32 payload detektálása

Jó tesztek

54

Zárszó

• Naprakész vírusvédelem• Biztonsági javítások telepítés

•Java frissítések!!!!!!•Java frissítések!!!!!!