AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package. Vírusvédelem. Szappanos Gábor Sophos

Átírás

1 AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI Hungarian Cyber Security Package Vírusvédelem Szappanos Gábor Sophos

2 Alapfogalmak

3 Vírusok Férgek Olyan önreprodukáló számítógépes program, amely úgy fertőz más programokat, hogy azok tartalmazzák a vírus egy (esetleg megváltoztatott) új példányát. Olyan szoftver, aminek a célja az, hogy a felhasználóhoz reklám tartalmú üzeneteket juttasson el. Amivel foglalkozni fogunk Olyan szoftver, aminek a célja az, hogy a felhasználótól annak tudta nélkül információt juttasson el egy harmadik félhez. Adware, spyware Legálisnak látszó program, aminek szándékoltan az célja, hogy a számítógép működését zavarja, vagy kárt okozzon. Trójaiak A greyware-ek legális körülmények között forgalmazott alkalmazások, melyeknél megvan az esély arra, hogy a felhasználó Greyware tudta nélkül, ártó szándékkal települtek fel a számítógépre.

4 Vírusok csoportosítása Fertőzött objektum alapján: Boot vírus Program vírus Makró vírus Script vírus Féreg Fertőzési mód alapján: Direkt akció Rezidens 4

5 Az ősidőkben... 5

6 DOS programok fertőzése MZ MZ Fejléc méret Memória méret Fejléc méret Memória méret SS:SP CS:IP SS:SP CS:IP DOS fejléc DOS fejléc Belépési pont Kód Belépési pont Kód Verem Belépési pont Víruskód Verem 6

7 DOS vírus esete PE programmal MZ DOS fejléc CS:IP MZ DOS fejléc CS:IP DOS stub DOS stub PE PE fejléc CS:EIP PE PE fejléc CS:EIP Data directories Export tábla Import tábla Section tábla Data directories Export tábla Import tábla Section tábla Víruskód Sections.text.data.rsrc Sections.text.data.rsrc 7

8 Boot vírus fertőzés előtt 1. Partíció info 2. Partíció info 3. Partíció info Nem használt terület 4. Partíció info ntloader 1. Partíció grub 2. Partíció bootcamp 3. Partíció 8

9 MBR Boot vírus fertőzés után 1. Partíció info 2. Partíció info 3. Partíció info Nem használt terület 4. Partíció info ntloader 1. Partíció grub 2. Partíció bootcamp 3. Partíció 9

10 FBR Boot vírus fertőzés után 1. Partíció info 2. Partíció info 3. Partíció info Nem használt terület 4. Partíció info ntloader 1. Partíció grub 2. Partíció bootcamp 3. Partíció 10

11 Brain vírus Felbukkanás: 1986 január (legrégibb PC DOS vírus) Vírus test bad sector okban tárolva Rejtőzködő (stealth) vírus Rejtett szöveg: Welcome to the Dungeon (c) 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE :430791,443248, Beware of this VIRUS... Contact us for vaccination... 11

12 Boot vírusok Boot File Macro Script I-Worm

13 Makróvírusok Boot File Macro Script I-Worm Concept

14 1995: Concept Csak a programokat gondolták veszélyesnek Főleg MS Word és Excel Dokumentumokat gyakran cserélnek Könnyű programozhatóság Forráskódban terjed, a dokumentummal együtt Gyenge védelem, rosszul dokumentált formátum 14

15 Fejlődő védettség 15

16 Bontchev konstans 2.7% 97.3% of the human population consists of idiots

17 Win32 network férgek Sircam Klez Boot File Macro Script I-Worm Concept Loveletter Sasser

18 : SQLSlammer, Sasser Win32 wormok Operációs rendszer biztonsági hibát használnak ki Jelszólista alapú brute-force hozzáférés Autonóm és gyors terjedés

19 2004 => : a profik színre lépnek Addig: hobbi vírusírók Botnetek megjelenése Exploitok, trójaiak, botnetek, lopott adatok feketepiaca Kis incidensek riasztási szint alatt Célzott támadások ipari kémkedés céljából Bagle - Netsky háború 19

20 Banki jelszólopók Keylogging Form data capture Screen capture Mini screen capture egérkurzor körül Video capture Phishing 20

21 Phishing

22 Phishing

23 Botnetek Botnet: hálózati összeköttetésben levő programok koordinált hálózata Legális botnetek: distributed SHA cracking Illegális botnetek: spambot, DDoS 23

24 Klasszikus botnet C&C 24

25 P2P botnet 25

26 Zeus botnet (Zbot, Citadel) 26

27 Botnetek vezérlése 27

28 Botnetek

29 Rootkitek Olyan program, aminek a célja objektumok (fájl, processz, registry, könyvtár) elrejtése a normál vizsgálatok elől. Bootkit User mód vs. kernel mód Operációs rendszer belső struktúráit módosítják (Microsoft vs. Alureon) 29

30 Sony rootkit (2005) Extended Copy Protection és MediaMax CD-3 másolásvédelem Automatikusan és csendben feltelepül a lemez lejátszásakor A %SYSTEM%\$sys$filesystem könyvtárba települ fel Elrejt minden fájlt, könyvtárt és registry bejegyzést aminek a neve $sys$-el kezdődik Troj/Stinx: C:\WINDOWS\SYSTEM32\$sys$drv.exe néven települ fel 30

31 ZeroAccess Terjesztés: exploit kit, social engineering UAC dialóg átverése: tiszta Fash telepítő, trójai DLL Tűzfal, Windows védelmi programok leállítása Telepítési könyvtár pl.: c:\windows\$ntuninstallkb35373$ HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Felülír egy random kiválasztott drivert A letöltött fájlok kódolva tároltak egy titkosított volume-on 64 biten user módú Pszeudo-random DGA (rendszeridő alapján) Payload: click fraud, spambot 31

32

33 Exploit kit támadás gyakorlatban Az Interneten keresztül történő támadások 2/3-a valamelyik exploit kit segítségével valósul meg. Ezek fele egyedül a Blackhole kithez kötődik 33

34 A Blackhole kit névjegy Orosz fejlesztés Bérelhető infrastruktúra Traffic direction system (TDS) MySQL backend IP feketelista Malware terjesztés v. átirányítás Integrált víruskeresők Management felület, részletes statisztikák Közbenső oldalakat lopott jelszavakkal vagy SQL injektálással fertőzik

35 Traffic Direction System

36 TDS működésben GET HTTP/1.1 Host: Proxy-Connection: keep-alive User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/ Safari/535.1 Accept: */* Referer: Accept-Encoding: gzip,deflate,sdch Accept-Language: en-us,en;q=0.8 Accept-Charset: ISO ,utf-8;q=0.7,*;q=0.3 If-None-Match: If-Modified-Since: Tue, 11 Oct :30:50 GMT Browser agent IP cím, feketelista Operációs rendszer

37 Blackhole TDS Vista: IE7,IE8 Win7: IE9, IE10 Win7: Mozilla22, Opera12, Safari5 Android: Safari5 Win7: Firefox14 Vista: IE6 Non-Windows platforms WinNT90: IE9 Win8:Chrome17 OSX: IE5 WinCE: IE4 Win2K: Firefox5 WinXP:IE9 WinXP: Chrome17 Win95: IE4 Win98: IE4,IE5,IE6 WinNT: IE5 WinNT351: IE5 WinNT40: IE5 Win2K: IE4,IE5,IE6 Win2K3: IE7 Win2K: IE8 WinXP: AOL96 Java (CVE , CVE ) XMLHTTP+ADO DBSTREAM downloader PDF1: CVE , CVE , CVE PDF2: CVE Hcp (CVE ) XMLHTTP+ ADODB Flash (CVE ) Flash (Troj/SWFExp- BC ) (IFRAME) + (object) + (object + IFRAME) + (IFRAME) - + (IFRAME) + (object) - + (object + IFRAME) (IFRAME) (link) + (object) + (link) + (IFRAME) + (IFRAME) CVE (embed) + (object) + (embed)

38 Spam Blackhole fertőzési séma Blackhole szerver wthread.php?t=73a07bc b51f4be71 1. átirányító oldal Átirányító script : EscN/js.js Átirányító script : TeeHMA/js.js Átirányító script : 14oTzgs/js.js PDF exploit SWF exploit MDAC exploit Java exploit nt/gplugin.jar Payload: FakeAV Payload: ZeroAccess Payload: ZBot 38

39 Blackhole payload Downloader 2% ZAccess 6% Backdoor 6% FakeAV 11% Sinowal 11% other 9% PWS 12% Zbot 25% Ransomware 18% 39

40 Blackhole exploit kit 40

41 Main script

42 Main script - decoded

43 43

44

45 Duqu Moduláris szerkezet, letölthető pluginek 0-day dropper (sehol máshol nem használt) Direkt C&C kapcsolat, ha nem megy P2P Lokális hálózaton terjed a jelszólopó által gyűjtött jelszavakkal Digitálisan aláírt driver (C-Media) Legelterjedtebb: Irán, Szudán Célja ipari adatlopás

46 Duqu install

47 3%

48 Többrétegű védelem Application Control Potenciálisan veszélyes alkalmazások nem futhatnak Anti-Spam Tömegesen terjesztett ek szűrése Víruskereső Ismert kártevők specifikus, új kártevők generikus felismerése Tűzfal Kommunikációs kísérletek blokkolása, külső támadások szűrése IPS Csomagszintű felismerés URL szűrés Reputációs és feketelista alapú szűrés Data Loss Prevention Szenzitív információk kiszivárgásának megakadályozása Exploit védelem Biztonsági hibák kihasználásának detektálása Viselkedésalapó védelem A futó program által a rendszerben végzett műveletek ellenőrzése Anti-Spam URL szűrés Víruskereső Víruskereső Víruskereső Viselkedésalapú védelem Terjesztéshez használt levelek blokkolása A letöltési láncban használt weboldalak blokkolása Az exploitokat letöltő és futtató scriptek detektálása Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása A letöltött Win32 payload detektálása A futtatott Win32 payload detektálása

49 Víruskereső tesztek Melyik a legjobb víruskereső? Vírusfelismerési arány Proaktív felismerési képesség Kevés vakriasztás Memóriahasználat Sebesség Platform lefedettség Stabilitás 49

50 1. Testing must not endanger the public. 2. Testing must be unbiased. 3. Testing should be reasonably open and transparent. Alapelvek 4. The effectiveness and performance of anti malware products must be measured in a balanced way. 5. Testers must take reasonable care to validate whether test samples or test cases have been accurately classified as malicious, innocent or invalid. 6. Testing methodology must be consistent with the testing purpose. 7. The conclusions of a test must be based on the test results. 8. Test results should be statistically valid. 9. Vendors, testers and publishers must have an active contact point for testing related correspondence. 50

51 Rossz tesztek 51

52 Rossz tesztek Anti-Spam Terjesztéshez használt levelek blokkolása URL szűrés A letöltési láncban használt weboldalak blokkolása Víruskereső Az exploitokat letöltő és futtató scriptek detektálása Víruskereső Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása Víruskereső A letöltött Win32 payload detektálása Viselkedésalapú védelem A futtatott Win32 payload detektálása 52

53 Rossz tesztek Terjesztéshez használt levelek Anti-virus products are rubbish, says Imperva Anti-Spam blokkolása Spend not proportional to effectiveness URL szűrés By Richard Chirgwin A letöltési láncban használt weboldalak blokkolása Az exploitokat letöltő és futtató scriptek A study released in December by Víruskereső US security detektálása outfit Imperva has tipped a bucket on the multi-billion-dollar anti-virus industry, claiming that initial detection rates are as low as five percent, Az exploitot and concluding tartalmazó that letöltött enterprise fájlok Víruskereső (SWF, PDF, Java, HTML) detektálása and consumer anti-virus spend is not proportional to its effectiveness. Working in conjunction with students from the Technion-Israel Institute of Technology, the company tested 82 malware A letöltött samples Win32 payload against detektálása Víruskereső 40 antivirus products including offerings from Microsoft, Symantec, McAfee and Kaspersky. Viselkedésalapú A futtatott Win32 payload detektálása The test revealed that while catalogued védelem viruses are well-detected, less than 5% of anti-virus solutions in the study were able to initially detect previously non-cataloged viruses and that many solutions took up to a month or longer following the initial scan to update their signatures. 53

54 Jó tesztek 54

55 Zárszó Naprakész vírusvédelem Biztonsági javítások telepítés Java frissítések!!!!!!