Vírusok Dr. Nagy Gábor tallsoft@interware.hu Póserné Oláh Valéria poserne.valeria@nik.bmf.hu 1
Miről lesz szó? Malware Vírustörténelem Problémák Malware okozta károk Célpontok 2 A követendő vírusvédelmi, adatvédelmi és adatbiztonsági politika kialakítása
Miért fontos? 3 CSI/FBI 2005: támadások típusai
Miért fontos? 4 CSI/FBI 2005: anyagi kár
Miért fontos? 5 CSI/FBI 2005: védekezés típusai
Malware (1) 6 féreg nem feltétlenül kell a fertőzéshez felhasználói művelet végrehajtása (pl. biztonsági rés kihasználásánál), nem ágyazódik más, futtatható fájlokba ( stand-alone ), hálózaton terjed beépített motorok révén (pl. SMTPmotorral e-mailben) vírus felhasználói művelet végrehajtása kell a fertőzéshez (pl. fertőzött állomány elindítása), futtatható fájlokba ágyazódik, felhasználó terjesztheti (pl. e-mail csatolt állományaként fertőzött állományt ad meg)
Malware (2) trójai, kémszoftver felhasználó tudta nélkül működik (pl. backdoor nyitása későbbi támadáshoz, bizalmas adatok, jelszavak gyűjtése és továbbítása), felhasználó megtévesztése révén (pl. más alkalmazásnak álcázva magát) települ fel 7
Vírustörténelem (1) (forrás: www.viruslist.com) 8 1970 Creeper (ARPANET), Tenex OS, szöveget írt ki Reaper (ARPANET), Tenex OS, vírusként terjedt és leirtotta a Creeper vírust 1981 első vírus, Elk Cloner, Apple II sz.g-ken, szöveget írt ki, boot vírus 1986 első vírus IBM PC első vírus IBM PC számítógépekre, Brain, boot vírusként terjedt
Vírustörténelem (2) 9 1987 első adatromboló vírus, Lehigh Suriv víruscsalád elsői : Suriv-1: első.com fájlokat fertőző vírus Suriv-2: első.exe fájlokat fertőző vírus Suriv-4: Jerusalem,.com és.exe fájlokat fertőzött meg, memóriában megmaradt első féreg első féreg, Christmas Tree Worm 4 nap alatt megfertőzte a European Academic Research Network (EARN) hálózatán keresztül az IBM Vnet hálózatát
Vírustörténelem (3) 1989 első trójai, AIDS, rejtjelezte a merevlemez tartalmát és kiírta, hogy a visszafejtéshez szükséges kriptográfiai kulcsot a megfelelő pénzösszeg befizetése ellenében kaphatja meg a károsult 1990 első polimorf vírus első polimorf vírus, Chameleon, minden fertőzés alkalmával változott a kód, így megnehezült a vírusmintákon alapuló keresés 10
Vírustörténelem (4) 1992 első komolyabb károkat okozó vírus, Michelangelo, rendszerfájlok, boot rekordok, FAT (MS-DOS) sérülése, a lemez használhatatlanná tétele az első vírus kit az első vírus kit megjelenése, Dark Avenger Mutation Engine (MtE), amelyet hamarosan követ a többi (VCS, GenVir, PS-MPC, NGVCK, stb.), megkönnyítve az új vírusok írását 11
Vírustörténelem (5) 12 1994 az első.obj fájlokat fertőző vírus, Shifter hírhedt rejtőzködő, polimorf fájl- és boot vírus, Onehalf, amely rejtjelezte a merevlemez tartalmát 1995 első makró-vírus, Concept 1996 első Windows 95 vírus, Boza első OS/2.exe fájlokat fertőző vírus, AEP első Excel vírus, Laroux
Vírustörténelem (6) 1997 az első Linux vírus megjelenése, Bliss IRC férgek megjelenése FTP motorral rendelkező vírus megjelenése, Homer 1998 az első Access vírus, AccessiV az első flash vírus, CIH, az első.vbs vírusok megjelenése az első PowerPoint vírus megjelenése, Attach 13
Vírustörténelem (7) 14 1999 első Outlook levelezőt támadó vírus, Happy99 első önmagát frissítő vírus, Babylonia hírhedt makró-vírus és féreg egyben, Melissa első féreg, amely nem csatolt állományként terjedt a levelekben, hanem elegendő volt elolvasni azokat, Bubbleboy, KakWorm, biztonsági rést használt ki 2000 hírhedt.vbs vírus, LoveLetter
Vírustörténelem (8) 15 2001 hírhedt vírusok, CodeRed, SirCam (saját SMTP- motor), Mandragore (Gnutella), Nimda 2002 első.net vírusok, LFM, Donut 2003 2004 hírhedt vírus, Klez hírhedt férgek, Slammer, Sobig ( zombi hálózat) hírhedt férgek, Bagle, Netsky, Sasser
16 BME Informatikai Központ: kód vizsgálata: a Bagle módosítja a registry értékeit is
17 BME Informatikai Központ: kód vizsgálata: a Bagle létrehozza a csatolt állományt tartalmazó levelet
18 BME Informatikai Központ: hálózati forgalom figyelése: a Bagle futás közben DNS lekérdezéseket küld
19 BME Informatikai Központ: fájlműveletek figyelése: a Bagle futás közben létrehozza a saját példányait a rendszerkönyvtárban
20 BME Informatikai Központ: hálózati kapcsolatok figyelése: a Bagle futás közben hátsó ajtókat nyit és megpróbál csatlakozni más gépekhez
Problémák Hasznos és káros programok - Hol a határ? Nevezéktan ahány ház annyi szokás CARO a nevek mágiája? Számháború Másolásvédelmek és hadibacik 21
Vírusok és férgek csoportosítása Férgek csoportosítására még nincs kiforrott szempontrendszer. Trójai pr.-k csoportosítására még nincs kiforrott szempontrendszer. Vírusok csoportosítása fertőzési módok szerint: Boot vírusok Fájl vírusok Memória rezidens vírusok 22
Vírusok bemutatása (1) Boot vírusok: az MBR, vagy a boot-szektor fertőződik meg MBR: boot strap kód átírása (megmondja, hogy mit töltsön be) MBR tartalmának változtatása, törlése partíciós tábla módosítása 23 Boot-szektor: merevlemez boot szektorának felülírása szektor megjelölése bad címkével, s a vírus törzsének tárolása
Vírusok bemutatása (2) Fájl vírusok: 24 felülíró vírusok: a fájl valamely részét felülírják, ezzel elronthatják annak működését is hozzáfűződő vírusok: a fájl elejéhez vagy végéhez csatolják magukat, átirányítják magukra a végrehajtást, majd miután elvégezték műveleteiket, végrehajtják az eredeti programot beágyazódó ( cavity ) vírusok: nem növeli a fájl méretét, a fájl üres részeibe írja be magát feldarabolva a vírus (pl. hexa 00 helyekre). tömörítő vírusok: az eredeti fájl tartalmát vagy önmagukat tömörítik, s a végrehajtáskor végzik el a kicsomagolást
Vírusok bemutatása (3) EPO ( Entry Point Obscuring ) vírusok: nem változtatják meg a megfertőzött program belépési pontját, csak a kódot valahol a program törzsén belül, s így kerül sor a vírus véletlenszerű indítására, futtatására Egy lehetséges jövőbeli technika: kódépítés, ahol a vírus képes vizsgálni a megfertőzött fájl utasításait ( assembly ), s ezeket az utasításokat felhasználja saját maga felépítésére (pl. saját paramétereivel futtatja az adott kódot). 25
Vírusok bemutatása (4) Memória rezidens vírusok: memóriába kerül a vírus elindítás után, figyelheti az operációs rendszer működését ( hook ) elvégezve a fertőzést, adatgyűjtést: fájl-, memóriaműveletek, hálózati forgalom lopakodó jelleget ölthet (task manager, regedt32 nem jelzi ki). mutex (egy, védett példány futtatása) használata vírus betöltése (pl. dll injection, kernel módban rootkit ) hálózaton keresztül betöltheti magát a sérülékeny programba, amely kapcsolódott a hálózathoz ( exploit ) 26
Besorolás fertőzési technikák szerint 27 ANSI bombák Logikai bombák Trójai programok Programférgek (worm) Spam, Hoax Nigériai levél, Lottó csalás Phishing Dialerek Keyloggerek Bootvírusok Programfájl-fertőző vírusok Több támadáspontú vírusok FAT-fertőző vírusok ASCII vírusok Makrovírusok, szkriptvírusok Rootkitek
Besorolások feladatkör szerint 28 Időzített bombák Levélbombák Kémprogramok, fülelők Interloper programok Adat-túszejtők Tűzfal támadók Botnetek Trójai programok Backdoor programok Vírusok Dropperek Vírusgyártó automaták Jelszólopók Programférgek Rootkitek
Besorolások az alkalmazott speciális technikák alapján 29 Felülíró, append, mutáló, polimorf, oligomorf, metamorf lopakodó vírusok companion vírusok többtámadáspontú vírusok makróvírusok, script vírusok és férgek, dropperek, vírusgyártó kitek, rootkitek, backdoor programok
Nem program típusú támadások 30 Spam (szex, fogyókúra, gyógyszer, kölcsön, befektetés, egyéb szolgáltatások, hardver, szoftver, pornó, jelszavak, címlisták stb.) Hoax valódinak látszó felhívások, kérések, figyelmeztetések, hitelesnek látszó forrásokra hivatkozva Nigériai levél több ezer e-mailt postáznak szét kecsegtető üzleti lehetőséget ajánlva, majd rászedve áldozataikat. Lottó csalás Phishing, pharming
A Hoax, mint jelenség 31 Hoaxtípusok: vakriasztások, rémhírek (False Alarms, Scare Chains) városi legendák (Urban legends) ingyen ajándékok (Give aways) zagyva és/vagy elévült üzenetek szimpátiafelkeltő levelek (Symphaty Letters) hagyományos és fenyegető lánclevelek (Chain letters) hamis céges levelek (Scam Chains) tréfák (Jokes) igazi legendák (True Legends) Nevezetes hoaxok http://www.symantec.com/avcenter/hoax.html A hoaxok felismerése és kiszűrése http://www.snopes.com/info/search/search.asp Hoaxinfo weboldalak Az érintett felhasználók felkészítése, az oktatás szerepe
Malware okozta károk, a kockázat 32 Elsődleges károk: Programok, adatok sérülése (pótolni, javítani, újra ellenőrizni kell); A hardver fizikai sérülése (rendkívül ritka); Gépidőkiesés; Eltávolítás, helyreállítás, külső és belső szakértők költségei. Másodlagos károk Hitelvesztés, a bizalom elvesztése; Rossz hínév. Harmadlagos hatások Pánik miatti adatvesztés; Pánik miatti gépidőkiesés; Hozzá nem értő víruseltávolításból eredő károk.
Hol juthatnak be a rendszerbe? fertőzött mobil adathordozókon (pendrive, memóriakártya, külső adattár, flopi, CD/DVD stb.), újonnan vásárolt merevlemezeken, a helyi hálózat fertőzött szervereiről és/vagy munkaállomásairól, Internetről (FTP, weboldal, gopher stb.) letöltött fájlokban, e-mail üzenetekhez csatolva vagy az üzenetszövegbe beágyazva, IRC és/vagy chat klienseken keresztül, soros, párhuzamos, USB kábelen, infra vagy bluetooth adatkapcsolaton keresztüli adatcserével, billentyűzeten is begépelhető a rövidebb víruskód (csupán 25 karakter a legkisebb dokumentált vírus!!!). 33
Célpontok, potenciális áldozatok (1) Mindig a legkisebb ellenállás irányában! A nem IT szakemberek által használt célprogramok (MS_Office, Outlook, Internet Explorer stb.) biztonsági rései, ahol automatikusan vezérléshez juthatnak a bejövő program- és adatfájlok játékok, csereberélt programok magazinok, könyvek flopi, CD és DVD mellékletei a család felelőtlenebb (általában fiatalabb) tagjai által használt programok. 34
Célpontok, potenciális áldozatok (2) Internetről, BBS-ekről letöltött (tömörített és/vagy öntelepítő) fájlok elektronikus levelek mellékleteiben és levéltörzsében érkező programok a szervizes gépe Tévhitek: már ellenőrzött program és dokumentumfájlok a mobiltelefonról nem fenyeget semmi... 35
A humán faktor Az emberi tényező kockázatnövelő hatásai Az oktatás hiányosságai A kockázatok nem ismerése és/vagy figyelmen kívül hagyása A false authority syndrome A hamis biztonságérzet Addig tagadni, amíg ránk nem bizonyítják! 36
Backup stratégia 37 A védendő objektumok és területek: a szerver(ek) operációs rendszere(i) a Registryvel és a felhasználói adatbázissal telepített programok és beállítások adatbázisok, szerveren tárolt adatfájlok levelezés (bejövő, kimenő és tárolt levelek) Intranet és Internet (web, ftp stb.) oldalak telepítő csomagok a munkaállomások speciális könyvtárai A védendő anyagok mennyisége szerint flopi lemezeken (tömörítve) elférő 20-100 MB streamer, 100-700 MB CD GB nagyságrendű DAT, DVD Automatizálás, naplózás, tartalék rendszerek
Megelőzés vagy helyreállítás? Helyreállítás Gépidőkiesés Szakértők kiszállása, órabére Víruseltávolító program(ok) költségei Ismételt ellenőrzés(ek) költségei Programpótlások (újratelepítés, visszaállítás, új telepítés), korlátozott számban telepíthető és önellenőrző programok Adatvisszaállítás biztonsági mentésekről Ismételt adatrögzítés és ellenőrzések 38 Jó hírnév elvesztése Megelőzés Szerveroldali (fájl- és alkalmazásszerver) védelem Levelezőszerver védelme Kliensoldali védelem Notebook gépek vírusvédelme Tűzfalak, behatolásdetektorok, VPN Éves nyomkövetés, napi-hetihavi frissítések Alkalmi kiszállás, telepítés, tanácsadás, elemzés Titkosítás, digitális azonosítás, smartcard, biometrikus felhasználó-azonosítás
Vírusellenőr programok (1) 39 A fő antivírus (AV) programtípusok ad hoc víruskeresők memóriarezidens vírusgátak standalone gépeken memóriarezidens vírusgátak hálózati munkaállomásokon szerveroldali vírusvédelem (fájl- és alkalmazásszervereken) levelezőszerverek vírusvédelme levelező kliensek vírusvédelme proxy szerverek hardveres és szoftveres tűzfalak behatolásdetektorok Internet Security csomagok
Vírusellenőr programok (2) 40 Alkalmazott víruskeresési-, felismerési technikák azonosító sztring(ek) változásdetektor heurisztika inteligens víruskeresés makrovírusok keresése, azonosítása és eltávolítása szkript alapú kártevők keresése, azonosítása és eltávolítása Víruskeresés a helyi hálózat meghajtóin Web alapú víruskereső szolgáltatások
A víruskereső beállítása 41 Védendő objektumok meghatározása a támadáspontok blokkolása alapértelmezett beállításban nem szereplő veszélyeztetett kiterjesztések naplózás a felhasználó ne kapcsolhassa ki karantén könyvtár kijelölése és beállításai alkalmazandó víruskeresési módszerek (pl. heurisztika: ismeretlen vírusok felismerésének képessége ) megválasztása programfrissítések beállításai riasztások, értesítések beállításai (felhasználó, rendszergazda, kijelölt felelős, címzett, feladó) töröljön, fertőtlenítsen, átnevezzen vagy áthelyezzen?
Kiemelten védendő objektumok 42 A flopi- és merevlemezek boot-területe A merevlemezek partíciós táblája Végrehajtható bináris programkódot tartalmazó fájlok Végrehajtható makró- és/vagy szkript-programo(ka)t tartalmazó fájlok Bináris-, makró- vagy szkript-programokat beágyazott objektumként tartalmazó dokumentumfájlok Kötegelt (batch) parancsokat tartalmazó parancsfájlok Registry BIOS Adatbázisok Levelezés Szöveges, képi és egyéb dokumentumok
A károk helyreállítása Felülíró vírusok: újratelepítés, backup-ról visszamásolás A víruskód kioperálásnak módszerei és korlátai A teljes víruseltávolítás esélyei Lappangó víruspéldányok felkutatása Többtámadáspontú kártevők (Anarchy, OneHalf) Az adat- és konfigurációs fájlok ellenőrzése, helyreállítása Elkódolt fájlok, lemezterületek (OneHalf) A vírus által nyitott kiskapuk bezárása A fertőzésben érintett rendszer hibáinak kijavítása Backdoor, trójai, Rootkit-nyomok és kémprogramok eltávolítása 43
Az albán vagy afgán vírus Kedves olvasónk! Szerény erőforrásaink nem teszik lehetővé modern technológiák alkalmazását. Ezért arra kérjük, törölje a merevlemez \Windows, \Program Files és \Dokumentumok könyvtárait! Segítségét előre is köszönjük! az albán/afgán víruskészítők 44
VBS/LoveLetter Mivel a Windows alapbeállításaival nem látszik a csatolt fájl(ok) kiterjesztése, a csatolmány egyszerű szövegfájlnak tűnhet. Napok alatt kézre kerítették a Fülöp szigeteken élő vírusszerzőt. Hiába az eredményes nyomozás, ha a törvények még nincsenek felkészítve a vírusokra. Azóta már a legtöbb országban büntethető és büntetendő a vírusírás és vírusterjesztés. 45
Tévhitek a biztonságról 46 Csak eredeti, hivatalos programok, lemezek használata (VirOnCD) elegendő védelem a vírusok ellen Az ismerősöktől, ismerős helyekről érkező lemezek, fájlok biztonságosak (vírus a víruskeresőben!) A hardveres (BIOS-ba épített) vírusvédelem elegendő A telepített vírusvédelem 100 %-os védelmet ad (vakfoltok) A vírus nem okozhat fizikai károsodást (CIH variánsok) A makrovírusok, script férgek nem okoznak komoly károkat Egy tűzfal elegendő védelem a behatolók ellen A jelszavas védelem feltörhetetlen (jelszótörők) A kereskedelmi programok biztonságosak (fertőzött disztribúciók) Az ingyenes programok mind veszélyesek Backdoor- és rootkit funkciók kereskedelmi programokban
Általános szabályok A REGEDIT.EXE átnevezése REGEDIT.COM-má Registry és.ini helyreállítás DOS üzemben maradéktalanul eltávolíthatók a féreg- és vírusfájlok Ahol nincs DOS, ott trükközni kell A csökkentett (Safe) üzemmód előnyei és használata Telepítő CD-k megőrzése Szoftverleltár fontossága 47
Segítség a webről Vírusinformáció - víruslexikonok Online ellenőrzések Letöltések (próbaverziók és free keresők) Frissítések Fórumok Antivírus-tesztek 48
Kémprogram-keresők 49 MS AntiSpyware Beta - Windows Defender AdAware SE Personal / Professional SpyBot Search and Destroy CWShredder - Trend Micro AntiSpyware Spyware Blaster Webroot SpySweeper Spyware Doctor SpyDefense CounterSpy SpyCatcher Spyware Eliminator McAfee Antispyware
A Symantec EndPoint Protection beállításai - 1. A rendszertálcán keressük meg a SEP vezérlőközpontjának ikonját és indítsuk el a programot. 50
A Symantec EndPoint Protection beállításai - 2. A fájlrendszerek védelme Gyorsíthatja az ellenőrzést, ha az "All type" helyett a "Selected"-et választjuk. Ahol nem túl nagy a vírus-előfordulás gyakorisága, ott ne keressen, amelyek nem kapnak vezérlést, ill. csak azokban a fájltípusokban, amelyekben már ismerünk vírust. 51
A Symantec EndPoint Protection beállításai - 3. Az Advanced gombra kattintva az automatikus védelem beállításai: Ha az Auto-Protect szolgáltatást ki is kapcsolja a user, megadhatjuk az "Automatic Enabler" szekcióban, mennyi idő múltán kapcsoljon vissza. Legyen minél rövidebb! 52
A Symantec EndPoint Protection beállításai - 4. A heurisztika erősségének gyári alapbeállíta közepes. Ha a kereső a gyanús tünetek dacára sem talál fertőzést, v. nagy a valószínűsége még ismeretlen kártevők támadásának, kapcsoljuk maximálisra a védelmet. 53
A Symantec EndPoint Protection beállításai - 5. Fontos a flopi ellenőrzés megfelelő beállítása is! 54
A Symantec EndPoint Protection beállításai - 6. Minden egyes kártevőtípus esetén külön határozhatjuk meg a teendőket a fertőzés észlelésének esetére. Ha az első akció nem lehetséges, akkor a másodikat végzi el a program. 55
A Symantec EndPoint Protection beállításai - 7. A felhasználót értesítő figyelmeztető üzenetek magyarul is megírhatók. Itt a gyógyítás két paramétere is beállítható: 56
A Symantec EndPoint Protection beállításai - 8. Előfordulhat, hogy egyes fájlokat, foldereket ki kell zárnunk az ellenőrzésből. 57
A Symantec EndPoint Protection beállításai - 9. Az elektronikus levelezés sem védtelen. Az is megadható, hogy a szoftver ki(ke)t figyelmeztessen és milyen üzenettel. Legyen bekapcsolva a kimenő posta ellenőrzése is. 58
A Symantec EndPoint Protection beállításai - 10. A felhasználót figyelmeztető üzenetet célszerű úgy megfogalmazni, hogy ne legyen félreérthető. Érdemes magyarított üzenetet használni, amikor a program fertőzést jelez a postafiókba beérkezett levél általa módosított szövegében. 59
A Symantec EndPoint Protection beállításai - 11. Az illetéktelen módosítás ellen is védhetjük fájljainkat. (Jobb, ha magyarul figyelmeztet a rendszer.) 60
A Symantec EndPoint Protection beállításai - 12. Víruskeresési beállítások 61
62 A Symantec EndPoint Protection beállításai - 13.
Vírusminta http://www.eicar.org/anti_virus_test_file.htm 63