Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
AZ INFORMATIKAI BIZTONSÁGSPECIÁLIS TÉMAKÖREI
Hungarian Cyber Security Package
Vírusvédelem
Szappanos Gábor
Sophos
Alapfogalmak
Amivel foglalkozni fogunk
Vírusok
FérgekAdware, spyware
Olyan önreprodukáló számítógépes program, amely úgy fertőz más
programokat, hogy azok tartalmazzák a vírus egy
(esetleg megváltoztatott) új példányát.
Olyan szoftver, aminek a célja az, hogy a felhasználótólannak tudta nélkül információt
juttasson el egy harmadikfélhez.
Olyan szoftver, aminek a célja az, hogy a felhasználóhoz
reklám tartalmú üzeneteket juttasson el.
Trójaiak Greyware
A greyware-ek legális körülményekközött forgalmazott alkalmazások,melyeknél megvan az esély arra,hogy a felhasználó tudta nélkül,
ártó szándékkal települtek fela számítógépre.
Legálisnak látszó program,aminek szándékoltan az célja, hogy a számítógép működését
zavarja, vagy kárt okozzon.
Vírusok csoportosítása
Fertőzött objektum alapján:– Boot vírus– Program vírus– Makró vírus– Script vírus– Féreg– Féreg
Fertőzési mód alapján:– Direkt akció– Rezidens
4
Az ősidőkben...
5
DOS programok fertőzése
DOS fejléc
MZ
CS:IPSS:SP
Fejléc méret
Memória méret
Belépési pont
DOS fejléc
Kód
MZ
CS:IPSS:SP
Fejléc méret
Memória méret
Belépési pont
6
Kód
Verem
Kód
Verem
Víruskód
Belépési pont
DOS vírus esete PE programmal
DOS fejléc
DOS stub
PE fejléc
Data directories
Export tábla
Import tábla
CS:IP
CS:EIP
MZ
PE
DOS fejléc
DOS stub
PE fejléc
Data directories
Export tábla
Import tábla
CS:IP
CS:EIP
Víruskód
MZ
PE
7
Section tábla
Sections.text.data.rsrc
Section tábla
Sections.text.data.rsrc
Boot vírus fertőzés előtt
Nem használt terület
1. Partíció info
2. Partíció info
3. Partíció info
4. Partíció info
1. Partíció ntloader
8
1. Partíció
2. Partíció
3. Partíció
ntloader
grub
bootcamp
MBR Boot vírus fertőzés után
Nem használt terület
1. Partíció info
2. Partíció info
3. Partíció info
4. Partíció info
1. Partíció ntloader
9
1. Partíció
2. Partíció
3. Partíció
grub
bootcamp
ntloader
FBR Boot vírus fertőzés után
Nem használt terület
1. Partíció info
2. Partíció info
3. Partíció info
4. Partíció info
1. Partíció ntloader
10
1. Partíció
2. Partíció
3. Partíció
grub
bootcamp
ntloader
Brain vírus
• Felbukkanás: 1986 január (legrégibb PC DOS vírus)
• Vírus test „bad sector” –okban tárolva• Rejtőzködő (stealth) vírus• Rejtett szöveg: • Rejtett szöveg:
• Welcome to the Dungeon(c) 1986 Basit & Amjad (pvt) Ltd.BRAIN COMPUTER SERVICES730 NIZAB BLOCK ALLAMA IQBAL TOWNLAHORE-PAKISTANPHONE :430791,443248,280530.Beware of this VIRUS....Contact us for vaccination............ $#@%$@!!
11
Boot vírusok
Boot File Macro Script I-Worm
19961997
19981999
20002001
2002 2003 2004 2005
12
Makróvírusok
Boot File Macro Script I-Worm
19961997
19981999
2000 20012002 2003 2004 2005
Concept
13
1995: Concept
• Csak a programokat gondolták veszélyesnek• Főleg MS Word és Excel• Dokumentumokat gyakran cserélnek• Könnyű programozhatóság• Könnyű programozhatóság• Forráskódban terjed, a dokumentummal együtt• Gyenge védelem, rosszul dokumentált formátum
14
Fejlődő védettség
15
Bontchev konstans
2.7%
97.3% of the human 97.3% of the human population consists of
idiots
Win32 network férgek
Boot File Macro Script I-Worm
ConceptLoveletter
SircamKlez
Sasser
19961997
19981999
20002001
2002 2003 20042005
17
• Win32 wormok• Operációs rendszer biztonsági hibát
használnak ki• Jelszólista alapú brute-force hozzáférés• Autonóm és gyors terjedés
2003-2004: SQLSlammer, Sasser
• Autonóm és gyors terjedés
2004 => : a profik színre lépnek
• Addig: hobbi vírusírók
• Botnetek megjelenése
• Exploitok, trójaiak, botnetek, lopott adatok
feketepiacafeketepiaca
• Kis incidensek riasztási szint alatt
• Célzott támadások ipari kémkedés céljából
• Bagle - Netsky háború
19
Banki jelszólopók
• Keylogging• Form data capture• Screen capture• Mini screen capture egérkurzor körül• Mini screen capture egérkurzor körül• Video capture• Phishing
20
Phishing
Phishing
Botnetek
Botnet: hálózati összeköttetésben levő programok koordinált hálózata
Legális botnetek: SETI@Home, distributed SHA crackingSHA cracking
Illegális botnetek: spambot, DDoS
23
Klasszikus botnet
C&C
24
P2P botnet
25
Zeus botnet (Zbot, Citadel)
26
Botnetek vezérlése
27
Botnetek
Rootkitek
Olyan program, aminek a célja objektumok (fájl, processz, registry, könyvtár) elrejtése a normál vizsgálatok elől.
– Bootkit– User mód vs. kernel mód– Operációs rendszer belső struktúráit
módosítják (Microsoft vs. Alureon)
29
Sony rootkit (2005)
• Extended Copy Protection és MediaMax CD-3 másolásvédelem
• Automatikusan és csendben feltelepül a lemez lejátszásakor
• A %SYSTEM%\$sys$filesystem könyvtárba települ fel
• Elrejt minden fájlt, könyvtárt és registry bejegyzést aminek • Elrejt minden fájlt, könyvtárt és registry bejegyzést aminek a neve $sys$-el kezdődik
30
Troj/Stinx:
• C:\WINDOWS\SYSTEM32\$sys$drv.exe néven települ fel
ZeroAccess
• Terjesztés: exploit kit, social engineering
• UAC dialóg átverése: tiszta Fash telepítő, trójai DLL
• Tűzfal, Windows védelmi programok leállítása
• Telepítési könyvtár pl.: c:\windows\$NtUninstallKB35373$
• HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon• HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
• Felülír egy random kiválasztott drivert
• A letöltött fájlok kódolva tároltak egy titkosított volume-on
• 64 biten user módú
• Pszeudo-random DGA (rendszeridő alapján)
• Payload: click fraud, spambot
31
Exploit kit támadás gyakorlatban
Az Internetenkeresztül történő támadások 2/3-a valamelyik exploit kit segítségével
33
kit segítségével valósul meg.
Ezek fele egyedül a Blackhole kithez kötődik
A Blackhole kit névjegy
• Orosz fejlesztés
• Bérelhető infrastruktúra
• Traffic direction system (TDS)
• MySQL backend
• IP feketelista• IP feketelista
• Malware terjesztés v. átirányítás
• Integrált víruskeresők
• Management felület, részletes statisztikák
• Közbenső oldalakat lopott jelszavakkal vagy SQL injektálással fertőzik
Traffic Direction System
TDS működésben
GET http://www.google.com/ig/cp/get?hl=en&gl=&authuser=0&bundleJs=0 HTTP/1.1Host: www.google.comProxy-Connection: keep-aliveUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.202 Safari/535.1Accept: */*
Browser agentIP cím, feketelistaOperációs rendszer
Accept: */*Referer: http://www.google.com/Accept-Encoding: gzip,deflate,sdchAccept-Language: en-US,en;q=0.8Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3If-None-Match: 4507273103833835255If-Modified-Since: Tue, 11 Oct 2011 08:30:50 GMT
Blackhole TDS
Vista:
IE7,IE8
Win7: IE9,
IE10
Win7:
Mozilla22,
Opera12,
Safari5
Android:
Safari5
Win7:
Firefox14
Vista:
IE6
Non-Windows
platforms
WinNT90:
IE9
Win8:Chrome17 OSX: IE5
WinCE: IE4
Win2K:
Firefox5
WinXP:IE9 WinXP:
Chrome17
Win95: IE4
Win98: IE4,IE5,IE6
WinNT: IE5
WinNT351: IE5
WinNT40: IE5
Win2K: IE4,IE5,IE6
Win2K3: IE7 Win2K: IE8
WinXP:
AOL96
Java
(CVE-2010-0840,
CVE-2012-0507)
+ + + + - + + - + + + + + +
XMLHTTP+ADO
DBSTREAM
downloader
- - - + - - - + - - - + - -
PDF1:
CVE-2009-0927,
CVE-2008-2992,
CVE-2009-4324
+(IFRAME)
+(object)
+(object + IFRAME)
+(IFRAME)
- +(IFRAME)
+(object)
- +(object + IFRAME)
+(IFRAME)
+(object)
+(IFRAME)
+(IFRAME)
+(object)
CVE-2009-4324
PDF2: CVE-
2010-0188
Hcp (CVE-2010-
1885)
XMLHTTP+
ADODB
- - - - - - - - - +(link)
+(link)
- +(embed)
+(embed)
Flash
(CVE-2011-
0611)
- - - - + + + + + + + + + +
Flash
(Troj/SWFExp-
BC )
+ + + + + + + + + + + + + +
CVE-2012-1889 - - - - - - - - - - - - - -
Blackhole fertőzési sémaSpam e-mail:http://bridgetblonde.info/KKkxkeBx/index.htmlhttp://3d-cam.com/jiQ9VFzm/index.htmlhttp://armovies.com.ar/e2fSCR2G/index.htmlhttp://armovies.com.ar/x12RsWiw/index.htmlhttp://chomikuj24.pl/KKkxkeBx/index.html
Átirányító script :http://66.165.125.19/1f
Átirányító script :http://bragan.net/cwM8EscN/js.js
1. átirányító oldal
Blackhole szerverhttp://72.14.187.169/showthread.php?t=73a07bc
b51f4be71
PDF exploithttp://72.14.187.169/q.php?f=e4a98&e=1
MDAC exploithttp://72.14.187.169/q.php?f=e4a98&e=4
38
http://66.165.125.19/1fTeeHMA/js.js Átirányító script :
http://74.119.235.211/114oTzgs/js.js SWF exploit
http://72.14.187.169/q.php?f=e4a98&e=2
Java exploithttp://72.14.187.169/content/GPlugin.jar
Payload: FakeAV
Payload: ZeroAccess
Payload: ZBot
Blackhole payload
Zbot25%
Ransomware
FakeAV11%
Backdoor6%
ZAccess6%
Downloader2%
other9%
39
Ransomware18%
PWS12%
Sinowal11%
Blackhole exploit kit
40
Main script
http://sumatranajuge.ru:8080/forum/w.php?f=XXXXX?e=0
Main script - decoded
43
Duqu
• Moduláris szerkezet, letölthető pluginek
• 0-day dropper (sehol máshol nem használt)
• Direkt C&C kapcsolat, ha nem megy P2P
• Lokális hálózaton terjed a jelszólopó által gyűjtött jelszavakkal
• Digitálisan aláírt driver (C-Media)
• Legelterjedtebb: Irán, Szudán
• Célja ipari adatlopás
Duqu install
3%
Többrétegű védelem
Application ControlPotenciálisan veszélyes alkalmazások nem futhatnak
Anti-SpamTömegesen terjesztett e-mailek szűrése
VíruskeresőIsmert kártevők specifikus, új kártevők generikus felismerése
TűzfalKommunikációs kísérletek blokkolása, külső támadások szűrése
IPS
Anti-Spam
• Terjesztéshez használt levelek blokkolása
URL szűrés
• A letöltési láncban használt weboldalak blokkolása
Víruskereső
• Az exploitokat letöltő és futtató scriptek detektálása
IPSCsomagszintű felismerés
URL szűrésReputációs és feketelista alapú szűrés
Data Loss PreventionSzenzitív információk kiszivárgásának megakadályozása
Exploit védelemBiztonsági hibák kihasználásának detektálása
Viselkedésalapó védelemA futó program által a rendszerben végzett műveletek ellenőrzése
detektálása
Víruskereső
• Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása
Víruskereső• A letöltött Win32 payload detektálása
Viselkedésalapú védelem
• A futtatott Win32 payload detektálása
Víruskereső tesztek
• Melyik a legjobb víruskereső?�Vírusfelismerési arány�Proaktív felismerési képesség�Kevés vakriasztás�Kevés vakriasztás�Memóriahasználat�Sebesség�Platform lefedettség�Stabilitás
49
Alapelvek
1. Testing must not endanger the public.
2. Testing must be unbiased.
3. Testing should be reasonably open and transparent.
4. The effectiveness and performance of anti‐‐‐‐malware productsmust be measured in a balanced way.
5. Testers must take reasonable care to validate whether test samples or test cases have been accurately classified as malicious, innocent or invalid.malicious, innocent or invalid.
6. Testing methodology must be consistent with the testing purpose.
7. The conclusions of a test must be based on the test results.
8. Test results should be statistically valid.
9. Vendors, testers and publishers must have an active contact point for testing related correspondence.
50
Rossz tesztek
51
Rossz tesztek
Anti-Spam
• Terjesztéshez használt levelek blokkolása
URL szűrés
• A letöltési láncban használt weboldalak blokkolása
Víruskereső
• Az exploitokat letöltő és futtató scriptek detektálása
• Az exploitot tartalmazó letöltött fájlok
52
Víruskereső
• Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása
Víruskereső• A letöltött Win32 payload detektálása
Viselkedésalapú védelem
• A futtatott Win32 payload detektálása
Rossz tesztek
Anti-virus products are rubbish, says Imperva
‘Spend not proportional to effectiveness’By Richard Chirgwin
A study released in December by US security outfit Imperva has tipped a bucket on the multi-billion-dollar anti-virus industry, claiming that initial detection rates are as low as five percent, and concluding that enterprise and consumer anti-virus spend “is not proportional to its effectiveness”.
Anti-Spam
• Terjesztéshez használt levelek blokkolása
URL szűrés
• A letöltési láncban használt weboldalak blokkolása
Víruskereső
• Az exploitokat letöltő és futtató scriptek detektálása
• Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása
53
and consumer anti-virus spend “is not proportional to its effectiveness”.Working in conjunction with students from the Technion-Israel Institute of Technology, the company tested 82 malware samples against 40 anti-virus products including offerings from Microsoft, Symantec, McAfee and Kaspersky.The test revealed that while catalogued viruses are well-detected, “less than 5% of anti-virus solutions in the study were able to initially detect previously non-cataloged viruses and that many solutions took up to a month or longer following the initial scan to update their signatures.”
Víruskereső (SWF, PDF, Java, HTML) detektálása
Víruskereső• A letöltött Win32 payload detektálása
Viselkedésalapú védelem
• A futtatott Win32 payload detektálása
Jó tesztek
54
Zárszó
• Naprakész vírusvédelem• Biztonsági javítások telepítés
•Java frissítések!!!!!!•Java frissítések!!!!!!