AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package. Vírusvédelem. Szappanos Gábor VirusBuster kft.

Átírás

1 AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI Hungarian Cyber Security Package Vírusvédelem Szappanos Gábor VirusBuster kft. Víruslabor vezető

2 Vírusok Olyan szoftver, aminek a célja az, hogy a felhasználóhoz reklám tartalmú üzeneteket juttasson el. Amivel foglalkozni fogunk Olyan szoftver, aminek a célja az, hogy a felhasználótól annak tudta nélkül információt juttasson el egy harmadik félhez. Férgek Legálisnak látszó program, aminek szándékoltan az célja, hogy a számítógép működését zavarja, vagy kárt okozzon. Trójaiak Adware, spyware A greyware-ek legális körülmények között forgalmazott alkalmazások, melyeknél megvan az esély arra, hogy a felhasználó tudta nélkül, ártó szándékkal települtek fel a számítógépre. Greyware

3 Az ősidőkben... fejléc fejléc program program DOS fejléc WIN fejléc DOS fejléc vírus WIN fejléc vírus program program EXE program EXE program a fertõzés elõtt a fertõzés után EXE program EXE program a fertõzés elõtt a fertõzés után

4 Vírusok típus szerinti megoszlása boot vírusok Boot File Macro Script I-Worm

5 Makróvírusok Boot File Macro Script I-Worm Concept

6 1995: Concept Csak a programokat gondolták veszélyesnek Dokumentumokat gyakran cserélnek Könnyű programozhatóság Gyenge védelem Forráskódban terjed, a dokumentummal együtt Átjárhatóság (Word => Outlook) (Word => Excel) (Word => PowerPoint)

7 Makróvírusok 13.2% 0.4% Office 84.2% 2.2% Word Excel Egyéb PowerPoint Access Project AutoCAD Visio Lotus 123 SuperLogo CorelScript Shockwave AutoIT

8 Fejlődő védettség

9 Scriptek Boot File Macro Script I-Worm Concept Loveletter

10 1999. Loveletter Könnyen programozható script nyelvek Forráskódban terjed, könnyű változtatni Jórészt social engineering Gyors együttműködés kellett az AV laborok között

11 Win32 férgek Sircam Klez Boot File Macro Script I-Worm Concept Loveletter

12 2001. Sircam, Klez Win32 wormok Aktiválódás jórészt social engineering Címgyűjtés a lokális gépről Terjedés MAPI, SMTP

13 vírus életciklusok Myparty.A 3 nap [1] I-Worm.Zafi.B ( ) [2] I-Worm.Mydoom.CR ( ) [3] I-Worm.Zafi.D ( ) [4] I-Worm.Bagle.LC ( ) [5] I-Worm.Netsky.Q ( ) [6] Exploit.IFrame.B Klez.H 5 hónap [7] I-Worm.Mytob.E ( ) [8] I-Worm.Mydoom.R ( ) [9] I-Worm.Netsky.Q ( ) [10] I-Worm.Netsky.O... 6 ( ) [11] I-Worm.Bagle.GK... 5 ( )

14 Win32 network férgek Sircam Klez Boot File Macro Script I-Worm Concept Loveletter Sasser

15 : SQLSlammer, Sasser Win32 wormok Op. rendszer biztonsági hibát használnak ki Autonóm és gyors terjedés

16 1990 Form 3 év Felgyorsult idő 1995 Concept 4 hónap 1998 Melissa 4 nap 1999 Loveletter 4 óra 2003 SQLSlammer 4 perc

17 Vírus terjedési modellek Nem-rezidens, direkt vírus fertőzési modell (Gleissner, 1989) Irányított és véletlen gráf modell (Kephart-White, 1991) Homogén terjedési modell (Solomon, 1990) végül a valóság idomult a modellhez

18 Terjedési modell N ( t) = ( 1 p) e t ( ) 0 g a ( 1 p)( g a) τ e t t τ 0 Minutes elapsed Generation history of Mimail p: védett gépek aránya t 0 felismerésig eltelt idő a: elnyelési arány g: sokszorozási arány τ: ciklusidő Ciklusidő: 15 perc boot vírus ~ 1 I-Worm ~ 5 boot vírus ~ 1 hét I-Worm~ 1/4 óra Generation

19 Modellezés alap

20 Mi a teendő? Védettség növelése Védett gépek arányának növelése több víruskereső Vírusincidens esetén katasztrófaterv gyors víruselhárítás

21 Modellezés 1 végső absz. 2 -> 3

22 Mi a teendő? kezdeti védettség növelése Megelőző vírusvédelmi módszerek: heurisztika emuláció Diverzitás növelése Behatolási pontok védelme Biztonságosabb rendszerek használata Biztonsági javítások feltelepítése

23 Modellezés 2 absz > 1.6

24 Reaktív vírusfeldolgozás A vírus felbukkan valahol a nagyvilágban Felhasználó beküldi Víruslabor elemzi, feldolgozza Vírusadatbázis QA Elkészül az adatbázis frissítés ~ 3 óra

25 Mi a teendő? reakcióidő csökkentése Víruslaborok közötti együttműködés Vírusadatbázis SOS frissítése Rendszergazdák informálása Frissítések azonnali szétterítése (cégen belül pull helyett push)

26 Modellezés 3 Reakcióidő: 120 -> 90

27 2005: a profik színre lépnek Hobbi vírusírók háttérbe szorultak Bagle - Netsky háború Botnetek megjelenése Exploitok, trójaiak, botnetek, lopott adatok piaca Sok kis incidens

28 Botnetek Bot életciklus: Létrehozás Kiterjesztés Irányítás Megszüntetés Ismert * bot variánsok száma: ~ 171,000

29 >20-30k always online SOCKs4, url is de-duped and updated every >10 minutes. 900/weekly, Samples will be sent on request. >Monthly payments arranged at discount prices. >$350.00/weekly - $1,000/monthly (USD) >Type of service: Exclusive (One slot only) >Always Online: 5,000-6,000 >Updated every: 10 minutes

30 Zeus botnet (Zbot)

31 Botnetek vezérlése

32 Klasszikus botnet C&C

33 Storm P2P botnet

34 Jelenleg ismert: ~ Keylogging Form data capture Screen capture Mini screen capture Phishing Banki jelszólopók

35 Drive-by exploitok üzenet Instant messaging üzenet Közösségi portálok P2P, torrent hálózatok Behatolás

36 38zu-cn mbr2-cn 117la-cn wvg6-cn ckt1-cn w.jsguangji.cn w.toyony.com.cn w.ttkiss.com.cn Drive-by

37 Drive-by (folyt.)

38 Trojan.DL.Exchanger Legnagyobb botnet (Srizbi/CBEPlay/Exchanger) Kb. 315,000 gép, több szegmensre osztva (Reactor Mailer) Kapacitás: 60 milliárd üzenet/nap (spam tömeg 40%-a) Terjesztésében Mpack kitet használnak 38

39 Trojan.FakeAlert Kamu antivírus programot telepít több lépésben A felhasználót megijeszti annyira, hogy fizessen a programért Képernyővédőt is bevet A System Restore pontokat törli Csak a pénzünket akarják Határeset (mindenkinek joga hülyének lenni) 39

40 MPACK támadások Web szerver feltörése alkalmazás hibájával (SQL, PHP, cpanel) 8000 olasz website egy menetben (2007. Június) ~ 100,000 fertőzött gép Böngészéskor klienstől függő hibák ANI overflow MS06-014, MS06-006, SWF PDF MS06-044, XML Overflow, WebViewFolderIcon Overflow WinZip ActiveX Overflow QuickTime Overflow nincs biztonságos böngésző Jan Feb Mar

41 MPACK fertőzés előtt

42 Browser agent Geolocation Operációs rendszer MPACK fertőzés után

43 Üzleti modell Kiadás: MPACK kit: 700 USD Weboldalhoz exploit: 10,000 USD (0-day) Weboldalhoz script fertőzés : 50 USD 10,750 USD Bevétel: 100,000 fertőzött gép, egyenként 100,000 spam levél 0,03 cent/levél 300,000 USD Megtérülési arány: 27

44 Exploitok Csökken az idő a hiba publikálása és az azt kihasználó kártevő megjelenése között (MS Office 0-day támadások: patch Tuesday, exploit Wednesday) A biztonsági programok hibái is célpontok (Delbot: SYM06-010) Minden eladó Exploit kód (500 USD -> USD) Egyedi, felismerhetetlen packer Botnet MPACK készlet ( USD)

45 Unique Samples in Collection Kártevők száma duplázódik évente 32,000,000 30,000, ,000, Kártevőszám emelkedés Az ismert kártevők fele az elmúlt 18 hónapban született 26,000, ,000, ,000, ,000,000 Szerver oldali polimorfizmus Egyre kevesebb az idő a feldolgozásra, QA erősítendő 18,000,000 16,000,000 14,000,000 Vakriasztások száma megnövekedett (egységnyi feldolgozásra jutó szám 12,000,000 10,000,000 8,000,000 6,000,000 kb. ugyanaz) 4,000,000 A mennyiségi növekedés minőségi ugrást követel (memória használat, 2,000,000 víruslabor 0 létszám nem skálázható) Sig count Total Number of Unique Samples in AV-Test.org's Malware Collection Actual balance Forecast

46 Gyorsan változó kártevők Mire a variánsra kimegy a frissítés, a felhasználónál már a variáns tölti le a et Hatalmas lenne a memória használat Csak generikus felismerésekkel érdemes kezelni ezeket A gyors reakció idő kevesebb, mint a proaktív felismerés A víruskeresőknek fertőzött környezetben kell működnie

47 Folytonos innováció DOS és Win32 emulátor Algoritmikus felismerések Generikus felismerések Heurisztikus felismerések (szabályrendszer alapon) Adware, spyware, dialer, RAT, phishing, trójai

48 Vírusok által okozott kár Adatvesztés Adat kiáramlás Személyes adatok lopása, használata Kiesett munkaidő Szándékos rombolás Rendelkezésre nem állás

49 Felhasználói gyengeségek Képzés hiánya Nem tudja mit csinál Nem tudja mit kellene csinálnia Felelőtlenség Tudja, hogy nem kellene, de mégis Tudja, hogy kellene, de mégsem Bonyolult rendszerek Emberi tényezők

50 Böngészés, FTP Károkozó szűrés Káros aktív tartalom szűrése Levelezés Károkozók Spam Tűzfal Alkalmazás szintű tűzfal Határvédelem

51 Munkaállomások, szerverek Folyamatos védelmek Állomány hozzáféréskor Hálózati forgalom figyelés Manuális ellenőrzések Operációs rendszer és szoftver frissítések