AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI Hungarian Cyber Security Package Vírusvédelem Szappanos Gábor Sophos
Alapfogalmak
Vírusok Férgek Olyan önreprodukáló számítógépes program, amely úgy fertőz más programokat, hogy azok tartalmazzák a vírus egy (esetleg megváltoztatott) új példányát. Olyan szoftver, aminek a célja az, hogy a felhasználóhoz reklám tartalmú üzeneteket juttasson el. Amivel foglalkozni fogunk Olyan szoftver, aminek a célja az, hogy a felhasználótól annak tudta nélkül információt juttasson el egy harmadik félhez. Adware, spyware Legálisnak látszó program, aminek szándékoltan az célja, hogy a számítógép működését zavarja, vagy kárt okozzon. Trójaiak A greyware-ek legális körülmények között forgalmazott alkalmazások, melyeknél megvan az esély arra, hogy a felhasználó Greyware tudta nélkül, ártó szándékkal települtek fel a számítógépre.
Vírusok csoportosítása Fertőzött objektum alapján: Boot vírus Program vírus Makró vírus Script vírus Féreg Fertőzési mód alapján: Direkt akció Rezidens 4
Az ősidőkben... 5
DOS programok fertőzése MZ MZ Fejléc méret Memória méret Fejléc méret Memória méret SS:SP CS:IP SS:SP CS:IP DOS fejléc DOS fejléc Belépési pont Kód Belépési pont Kód Verem Belépési pont Víruskód Verem 6
DOS vírus esete PE programmal MZ DOS fejléc CS:IP MZ DOS fejléc CS:IP DOS stub DOS stub PE PE fejléc CS:EIP PE PE fejléc CS:EIP Data directories Export tábla Import tábla Section tábla Data directories Export tábla Import tábla Section tábla Víruskód Sections.text.data.rsrc Sections.text.data.rsrc 7
Boot vírus fertőzés előtt 1. Partíció info 2. Partíció info 3. Partíció info Nem használt terület 4. Partíció info ntloader 1. Partíció grub 2. Partíció bootcamp 3. Partíció 8
MBR Boot vírus fertőzés után 1. Partíció info 2. Partíció info 3. Partíció info Nem használt terület 4. Partíció info ntloader 1. Partíció grub 2. Partíció bootcamp 3. Partíció 9
FBR Boot vírus fertőzés után 1. Partíció info 2. Partíció info 3. Partíció info Nem használt terület 4. Partíció info ntloader 1. Partíció grub 2. Partíció bootcamp 3. Partíció 10
Brain vírus Felbukkanás: 1986 január (legrégibb PC DOS vírus) Vírus test bad sector okban tárolva Rejtőzködő (stealth) vírus Rejtett szöveg: Welcome to the Dungeon (c) 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE :430791,443248,280530. Beware of this VIRUS... Contact us for vaccination... $#@%$@!! 11
Boot vírusok Boot File Macro Script I-Worm 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 12
Makróvírusok Boot File Macro Script I-Worm Concept 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 13
1995: Concept Csak a programokat gondolták veszélyesnek Főleg MS Word és Excel Dokumentumokat gyakran cserélnek Könnyű programozhatóság Forráskódban terjed, a dokumentummal együtt Gyenge védelem, rosszul dokumentált formátum 14
Fejlődő védettség 15
Bontchev konstans 2.7% 97.3% of the human population consists of idiots
Win32 network férgek Sircam Klez Boot File Macro Script I-Worm Concept Loveletter Sasser 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 17
2003-2004: SQLSlammer, Sasser Win32 wormok Operációs rendszer biztonsági hibát használnak ki Jelszólista alapú brute-force hozzáférés Autonóm és gyors terjedés
2004 => : a profik színre lépnek Addig: hobbi vírusírók Botnetek megjelenése Exploitok, trójaiak, botnetek, lopott adatok feketepiaca Kis incidensek riasztási szint alatt Célzott támadások ipari kémkedés céljából Bagle - Netsky háború 19
Banki jelszólopók Keylogging Form data capture Screen capture Mini screen capture egérkurzor körül Video capture Phishing 20
Phishing
Phishing
Botnetek Botnet: hálózati összeköttetésben levő programok koordinált hálózata Legális botnetek: SETI@Home, distributed SHA cracking Illegális botnetek: spambot, DDoS 23
Klasszikus botnet C&C 24
P2P botnet 25
Zeus botnet (Zbot, Citadel) 26
Botnetek vezérlése 27
Botnetek
Rootkitek Olyan program, aminek a célja objektumok (fájl, processz, registry, könyvtár) elrejtése a normál vizsgálatok elől. Bootkit User mód vs. kernel mód Operációs rendszer belső struktúráit módosítják (Microsoft vs. Alureon) 29
Sony rootkit (2005) Extended Copy Protection és MediaMax CD-3 másolásvédelem Automatikusan és csendben feltelepül a lemez lejátszásakor A %SYSTEM%\$sys$filesystem könyvtárba települ fel Elrejt minden fájlt, könyvtárt és registry bejegyzést aminek a neve $sys$-el kezdődik Troj/Stinx: C:\WINDOWS\SYSTEM32\$sys$drv.exe néven települ fel 30
ZeroAccess Terjesztés: exploit kit, social engineering UAC dialóg átverése: tiszta Fash telepítő, trójai DLL Tűzfal, Windows védelmi programok leállítása Telepítési könyvtár pl.: c:\windows\$ntuninstallkb35373$ HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Felülír egy random kiválasztott drivert A letöltött fájlok kódolva tároltak egy titkosított volume-on 64 biten user módú Pszeudo-random DGA (rendszeridő alapján) Payload: click fraud, spambot 31
Exploit kit támadás gyakorlatban Az Interneten keresztül történő támadások 2/3-a valamelyik exploit kit segítségével valósul meg. Ezek fele egyedül a Blackhole kithez kötődik 33
A Blackhole kit névjegy Orosz fejlesztés Bérelhető infrastruktúra Traffic direction system (TDS) MySQL backend IP feketelista Malware terjesztés v. átirányítás Integrált víruskeresők Management felület, részletes statisztikák Közbenső oldalakat lopott jelszavakkal vagy SQL injektálással fertőzik
Traffic Direction System
TDS működésben GET http://www.google.com/ig/cp/get?hl=en&gl=&authuser=0&bundlejs=0 HTTP/1.1 Host: www.google.com Proxy-Connection: keep-alive User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.202 Safari/535.1 Accept: */* Referer: http://www.google.com/ Accept-Encoding: gzip,deflate,sdch Accept-Language: en-us,en;q=0.8 Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3 If-None-Match: 4507273103833835255 If-Modified-Since: Tue, 11 Oct 2011 08:30:50 GMT Browser agent IP cím, feketelista Operációs rendszer
Blackhole TDS Vista: IE7,IE8 Win7: IE9, IE10 Win7: Mozilla22, Opera12, Safari5 Android: Safari5 Win7: Firefox14 Vista: IE6 Non-Windows platforms WinNT90: IE9 Win8:Chrome17 OSX: IE5 WinCE: IE4 Win2K: Firefox5 WinXP:IE9 WinXP: Chrome17 Win95: IE4 Win98: IE4,IE5,IE6 WinNT: IE5 WinNT351: IE5 WinNT40: IE5 Win2K: IE4,IE5,IE6 Win2K3: IE7 Win2K: IE8 WinXP: AOL96 Java (CVE-2010-0840, CVE-2012-0507) XMLHTTP+ADO DBSTREAM downloader PDF1: CVE-2009-0927, CVE-2008-2992, CVE-2009-4324 PDF2: CVE- 2010-0188 Hcp (CVE-2010-1885) XMLHTTP+ ADODB Flash (CVE-2011-0611) Flash (Troj/SWFExp- BC ) + + + + - + + - + + + + + + - - - + - - - + - - - + - - + (IFRAME) + (object) + (object + IFRAME) + (IFRAME) - + (IFRAME) + (object) - + (object + IFRAME) - - - - - - - - - + + (IFRAME) (link) + (object) + (link) + (IFRAME) + (IFRAME) - + - - - - + + + + + + + + + + + + + + + + + + + + + + + + CVE-2012-1889 - - - - - - - - - - - - - - (embed) + (object) + (embed)
Spam e-mail: http://bridgetblonde.info/kkkxkebx/index.html http://3d-cam.com/jiq9vfzm/index.html http://armovies.com.ar/e2fscr2g/index.html http://armovies.com.ar/x12rswiw/index.html http://chomikuj24.pl/kkkxkebx/index.html Blackhole fertőzési séma Blackhole szerver http://72.14.187.169/sho wthread.php?t=73a07bc b51f4be71 1. átirányító oldal Átirányító script : http://bragan.net/cwm8 EscN/js.js Átirányító script : http://66.165.125.19/1f TeeHMA/js.js Átirányító script : http://74.119.235.211/1 14oTzgs/js.js PDF exploit http://72.14.187.169/q.php?f=e4a98&e=1 SWF exploit http://72.14.187.169/q.php?f=e4a98&e=2 MDAC exploit http://72.14.187.169/q.php?f=e4a98&e=4 Java exploit http://72.14.187.169/conte nt/gplugin.jar Payload: FakeAV Payload: ZeroAccess Payload: ZBot 38
Blackhole payload Downloader 2% ZAccess 6% Backdoor 6% FakeAV 11% Sinowal 11% other 9% PWS 12% Zbot 25% Ransomware 18% 39
Blackhole exploit kit 40
Main script http://sumatranajuge.ru:8080/forum/w.php?f=xxxxx?e=0
Main script - decoded
43
Duqu Moduláris szerkezet, letölthető pluginek 0-day dropper (sehol máshol nem használt) Direkt C&C kapcsolat, ha nem megy P2P Lokális hálózaton terjed a jelszólopó által gyűjtött jelszavakkal Digitálisan aláírt driver (C-Media) Legelterjedtebb: Irán, Szudán Célja ipari adatlopás
Duqu install
3%
Többrétegű védelem Application Control Potenciálisan veszélyes alkalmazások nem futhatnak Anti-Spam Tömegesen terjesztett e-mailek szűrése Víruskereső Ismert kártevők specifikus, új kártevők generikus felismerése Tűzfal Kommunikációs kísérletek blokkolása, külső támadások szűrése IPS Csomagszintű felismerés URL szűrés Reputációs és feketelista alapú szűrés Data Loss Prevention Szenzitív információk kiszivárgásának megakadályozása Exploit védelem Biztonsági hibák kihasználásának detektálása Viselkedésalapó védelem A futó program által a rendszerben végzett műveletek ellenőrzése Anti-Spam URL szűrés Víruskereső Víruskereső Víruskereső Viselkedésalapú védelem Terjesztéshez használt levelek blokkolása A letöltési láncban használt weboldalak blokkolása Az exploitokat letöltő és futtató scriptek detektálása Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása A letöltött Win32 payload detektálása A futtatott Win32 payload detektálása
Víruskereső tesztek Melyik a legjobb víruskereső? Vírusfelismerési arány Proaktív felismerési képesség Kevés vakriasztás Memóriahasználat Sebesség Platform lefedettség Stabilitás 49
1. Testing must not endanger the public. 2. Testing must be unbiased. 3. Testing should be reasonably open and transparent. Alapelvek 4. The effectiveness and performance of anti malware products must be measured in a balanced way. 5. Testers must take reasonable care to validate whether test samples or test cases have been accurately classified as malicious, innocent or invalid. 6. Testing methodology must be consistent with the testing purpose. 7. The conclusions of a test must be based on the test results. 8. Test results should be statistically valid. 9. Vendors, testers and publishers must have an active contact point for testing related correspondence. 50
Rossz tesztek 51
Rossz tesztek Anti-Spam Terjesztéshez használt levelek blokkolása URL szűrés A letöltési láncban használt weboldalak blokkolása Víruskereső Az exploitokat letöltő és futtató scriptek detektálása Víruskereső Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása Víruskereső A letöltött Win32 payload detektálása Viselkedésalapú védelem A futtatott Win32 payload detektálása 52
Rossz tesztek Terjesztéshez használt levelek Anti-virus products are rubbish, says Imperva Anti-Spam blokkolása Spend not proportional to effectiveness URL szűrés By Richard Chirgwin A letöltési láncban használt weboldalak blokkolása Az exploitokat letöltő és futtató scriptek A study released in December by Víruskereső US security detektálása outfit Imperva has tipped a bucket on the multi-billion-dollar anti-virus industry, claiming that initial detection rates are as low as five percent, Az exploitot and concluding tartalmazó that letöltött enterprise fájlok Víruskereső (SWF, PDF, Java, HTML) detektálása and consumer anti-virus spend is not proportional to its effectiveness. Working in conjunction with students from the Technion-Israel Institute of Technology, the company tested 82 malware A letöltött samples Win32 payload against detektálása Víruskereső 40 antivirus products including offerings from Microsoft, Symantec, McAfee and Kaspersky. Viselkedésalapú A futtatott Win32 payload detektálása The test revealed that while catalogued védelem viruses are well-detected, less than 5% of anti-virus solutions in the study were able to initially detect previously non-cataloged viruses and that many solutions took up to a month or longer following the initial scan to update their signatures. 53
Jó tesztek 54
Zárszó Naprakész vírusvédelem Biztonsági javítások telepítés Java frissítések!!!!!!