AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package. Vírusvédelem. Szappanos Gábor VirusBuster kft.

AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI Hungarian Cyber Security Package Vírusvédelem Szappanos Gábor VirusBuster kft. Víruslabor vezető

Vírusok Olyan szoftver, aminek a célja az, hogy a felhasználóhoz reklám tartalmú üzeneteket juttasson el. Amivel foglalkozni fogunk Olyan szoftver, aminek a célja az, hogy a felhasználótól annak tudta nélkül információt juttasson el egy harmadik félhez. Férgek Legálisnak látszó program, aminek szándékoltan az célja, hogy a számítógép működését zavarja, vagy kárt okozzon. Trójaiak Adware, spyware A greyware-ek legális körülmények között forgalmazott alkalmazások, melyeknél megvan az esély arra, hogy a felhasználó tudta nélkül, ártó szándékkal települtek fel a számítógépre. Greyware

Az ősidőkben... fejléc fejléc program program DOS fejléc WIN fejléc DOS fejléc vírus WIN fejléc vírus program program EXE program EXE program a fertõzés elõtt a fertõzés után EXE program EXE program a fertõzés elõtt a fertõzés után

Vírusok típus szerinti megoszlása boot vírusok Boot File Macro Script I-Worm 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005

Makróvírusok Boot File Macro Script I-Worm Concept 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005

1995: Concept Csak a programokat gondolták veszélyesnek Dokumentumokat gyakran cserélnek Könnyű programozhatóság Gyenge védelem Forráskódban terjed, a dokumentummal együtt Átjárhatóság (Word => Outlook) (Word => Excel) (Word => PowerPoint)

Makróvírusok 13.2% 0.4% Office 84.2% 2.2% Word Excel Egyéb PowerPoint Access Project AutoCAD Visio Lotus 123 SuperLogo CorelScript Shockwave AutoIT

Fejlődő védettség

Scriptek Boot File Macro Script I-Worm Concept Loveletter 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005

1999. Loveletter Könnyen programozható script nyelvek Forráskódban terjed, könnyű változtatni Jórészt social engineering Gyors együttműködés kellett az AV laborok között

Win32 e-mail férgek Sircam Klez Boot File Macro Script I-Worm Concept Loveletter 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005

2001. Sircam, Klez Win32 e-mail wormok Aktiválódás jórészt social engineering Címgyűjtés a lokális gépről Terjedés MAPI, SMTP

E-mail vírus életciklusok Myparty.A 3 nap [1] I-Worm.Zafi.B... 463 (2004.06) [2] I-Worm.Mydoom.CR... 71 (2008.01) [3] I-Worm.Zafi.D... 48 (2004.12) [4] I-Worm.Bagle.LC... 40 (2006.12) [5] I-Worm.Netsky.Q1... 34 (2004.03) [6] Exploit.IFrame.B... 25 Klez.H 5 hónap [7] I-Worm.Mytob.E... 20 (2005.03) [8] I-Worm.Mydoom.R... 17 (2004.07) [9] I-Worm.Netsky.Q2... 10 (2004.03) [10] I-Worm.Netsky.O... 6 (2004.03) [11] I-Worm.Bagle.GK... 5 (2006.02)

Win32 network férgek Sircam Klez Boot File Macro Script I-Worm Concept Loveletter Sasser 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005

2003-2004: SQLSlammer, Sasser Win32 wormok Op. rendszer biztonsági hibát használnak ki Autonóm és gyors terjedés

1990 Form 3 év Felgyorsult idő 1995 Concept 4 hónap 1998 Melissa 4 nap 1999 Loveletter 4 óra 2003 SQLSlammer 4 perc

Vírus terjedési modellek Nem-rezidens, direkt vírus fertőzési modell (Gleissner, 1989) Irányított és véletlen gráf modell (Kephart-White, 1991) Homogén terjedési modell (Solomon, 1990) végül a valóság idomult a modellhez

Terjedési modell N ( t) = ( 1 p) e t ( ) 0 g a ( 1 p)( g a) τ e t t τ 0 Minutes elapsed 700 600 500 400 300 200 100 0 Generation history of Mimail p: védett gépek aránya t 0 felismerésig eltelt idő a: elnyelési arány g: sokszorozási arány τ: ciklusidő 0 5 10 15 20 25 30 Ciklusidő: 15 perc boot vírus ~ 1 I-Worm ~ 5 boot vírus ~ 1 hét I-Worm~ 1/4 óra Generation

Modellezés alap

Mi a teendő? Védettség növelése Védett gépek arányának növelése több víruskereső Vírusincidens esetén katasztrófaterv gyors víruselhárítás

Modellezés 1 végső absz. 2 -> 3

Mi a teendő? kezdeti védettség növelése Megelőző vírusvédelmi módszerek: heurisztika emuláció Diverzitás növelése Behatolási pontok védelme Biztonságosabb rendszerek használata Biztonsági javítások feltelepítése

Modellezés 2 absz. 1.7 -> 1.6

Reaktív vírusfeldolgozás A vírus felbukkan valahol a nagyvilágban Felhasználó beküldi Víruslabor elemzi, feldolgozza Vírusadatbázis QA Elkészül az adatbázis frissítés ~ 3 óra

Mi a teendő? reakcióidő csökkentése Víruslaborok közötti együttműködés Vírusadatbázis SOS frissítése Rendszergazdák informálása Frissítések azonnali szétterítése (cégen belül pull helyett push)

Modellezés 3 Reakcióidő: 120 -> 90

2005: a profik színre lépnek Hobbi vírusírók háttérbe szorultak Bagle - Netsky háború Botnetek megjelenése Exploitok, trójaiak, botnetek, lopott adatok piaca Sok kis incidens

Botnetek Bot életciklus: Létrehozás Kiterjesztés Irányítás Megszüntetés Ismert * bot variánsok száma: ~ 171,000

>20-30k always online SOCKs4, url is de-duped and updated every >10 minutes. 900/weekly, Samples will be sent on request. >Monthly payments arranged at discount prices. >$350.00/weekly - $1,000/monthly (USD) >Type of service: Exclusive (One slot only) >Always Online: 5,000-6,000 >Updated every: 10 minutes

Zeus botnet (Zbot)

Botnetek vezérlése

Klasszikus botnet C&C

Storm P2P botnet

Jelenleg ismert: ~230000 Keylogging Form data capture Screen capture Mini screen capture Phishing Banki jelszólopók

Drive-by exploitok E-mail üzenet Instant messaging üzenet Közösségi portálok P2P, torrent hálózatok Behatolás

38zu-cn mbr2-cn 117la-cn wvg6-cn ckt1-cn w.jsguangji.cn w.toyony.com.cn w.ttkiss.com.cn Drive-by

http://d.doinw.com/xx/x2.css Drive-by (folyt.)

Trojan.DL.Exchanger Legnagyobb botnet (Srizbi/CBEPlay/Exchanger) Kb. 315,000 gép, több szegmensre osztva (Reactor Mailer) Kapacitás: 60 milliárd üzenet/nap (spam tömeg 40%-a) Terjesztésében Mpack kitet használnak 38

Trojan.FakeAlert Kamu antivírus programot telepít több lépésben A felhasználót megijeszti annyira, hogy fizessen a programért Képernyővédőt is bevet A System Restore pontokat törli Csak a pénzünket akarják Határeset (mindenkinek joga hülyének lenni) 39

MPACK támadások Web szerver feltörése alkalmazás hibájával (SQL, PHP, cpanel) 8000 olasz website egy menetben (2007. Június) ~ 100,000 fertőzött gép Böngészéskor klienstől függő hibák ANI overflow MS06-014, MS06-006, SWF PDF MS06-044, XML Overflow, WebViewFolderIcon Overflow WinZip ActiveX Overflow QuickTime Overflow nincs biztonságos böngésző Jan 2009 2154 37 Feb 2009 3625 94 Mar 2009 4362 33

MPACK fertőzés előtt

Browser agent Geolocation Operációs rendszer MPACK fertőzés után

Üzleti modell Kiadás: MPACK kit: 700 USD Weboldalhoz exploit: 10,000 USD (0-day) Weboldalhoz script fertőzés : 50 USD 10,750 USD Bevétel: 100,000 fertőzött gép, egyenként 100,000 spam levél 0,03 cent/levél 300,000 USD Megtérülési arány: 27

Exploitok Csökken az idő a hiba publikálása és az azt kihasználó kártevő megjelenése között (MS Office 0-day támadások: patch Tuesday, exploit Wednesday) A biztonsági programok hibái is célpontok (Delbot: SYM06-010) Minden eladó Exploit kód (500 USD -> 250000 USD) Egyedi, felismerhetetlen packer Botnet MPACK készlet (500-1000 USD)

Unique Samples in Collection 4000000 3500000 3000000 2500000 Kártevők száma duplázódik évente 32,000,000 30,000,000 2000000 28,000,000 1500000 Kártevőszám emelkedés Az ismert kártevők fele az elmúlt 18 hónapban született 26,000,000 1000000 24,000,000 500000 22,000,000 0 20,000,000 Szerver oldali polimorfizmus Egyre kevesebb az idő a feldolgozásra, QA erősítendő 18,000,000 16,000,000 14,000,000 Vakriasztások száma megnövekedett (egységnyi feldolgozásra jutó szám 12,000,000 10,000,000 8,000,000 6,000,000 kb. ugyanaz) 4,000,000 A mennyiségi növekedés minőségi ugrást követel (memória használat, 2,000,000 víruslabor 0 létszám nem skálázható) 2007-01 2007-02 2007-03 2007-04 2007-05 2007-06 Sig count Total Number of Unique Samples in AV-Test.org's Malware Collection 2009.01.01. 2009.04.01. 2009.07.01 2009.10.01. 2010.01.01. 2010.04.01. 2007-07 2007-08 2007-09 2007-10 2007-11 2007-12 2008-01 2008-02 2008-03 2008-04 2008-05 2008-06 2008-07 2008-08 2008-09 2008-10 2008-11 2008-12 2009-01 2009-02 2009-03 2009-04 2009-05 2009-06 2009-07 2009-08 2009-09 2009-10 2009-11 Actual balance Forecast

Gyorsan változó kártevők Mire a 1568. variánsra kimegy a frissítés, a felhasználónál már a 1786. variáns tölti le a 1795.-et Hatalmas lenne a memória használat Csak generikus felismerésekkel érdemes kezelni ezeket A gyors reakció idő kevesebb, mint a proaktív felismerés A víruskeresőknek fertőzött környezetben kell működnie

Folytonos innováció DOS és Win32 emulátor Algoritmikus felismerések Generikus felismerések Heurisztikus felismerések (szabályrendszer alapon) Adware, spyware, dialer, RAT, phishing, trójai

Vírusok által okozott kár Adatvesztés Adat kiáramlás Személyes adatok lopása, használata Kiesett munkaidő Szándékos rombolás Rendelkezésre nem állás

Felhasználói gyengeségek Képzés hiánya Nem tudja mit csinál Nem tudja mit kellene csinálnia Felelőtlenség Tudja, hogy nem kellene, de mégis Tudja, hogy kellene, de mégsem Bonyolult rendszerek Emberi tényezők

Böngészés, FTP Károkozó szűrés Káros aktív tartalom szűrése Levelezés Károkozók Spam Tűzfal Alkalmazás szintű tűzfal Határvédelem

Munkaállomások, szerverek Folyamatos védelmek Állomány hozzáféréskor Hálózati forgalom figyelés Manuális ellenőrzések Operációs rendszer és szoftver frissítések