AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI
Hungarian Cyber Security Package
Vírusvédelem Szappanos Gábor VirusBuster kft. Víruslabor vezető
Amivel foglalkozni fogunk
Vírusok
Olyan szoftver, aminek a célja az, hogy a felhasználóhoz reklám tartalmú üzeneteket juttasson el.
Olyan szoftver, aminek a célja az, hogy a felhasználótól annak tudta nélkül információt juttasson el egy harmadik félhez.
Adware, spyware Férgek
Legálisnak látszó program, aminek szándékoltan az célja, hogy a számítógép működését zavarja, vagy kárt okozzon.
A greyware-ek legális körülmények között forgalmazott alkalmazások, melyeknél megvan az esély arra, hogy a felhasználó tudta nélkül, ártó szándékkal települtek fel a számítógépre.
Trójaiak
Greyware
Az ősidőkben... fejléc
fejléc
DOS fejléc program
WIN fejléc
program
vírus EXEprogram afertõzéselõtt
EXEprogram afertõzésután
program
EXEprogram afertõzéselõtt
DOS fejléc
vírus
WIN fejléc program
EXEprogram afertõzésután
Vírusok típus szerinti megoszlása – boot vírusok
Boot
1996
1997
1998
1999
2000
2001
2002
File
2003
Macro
2004
Script
2005
I-Worm
Makróvírusok
Boot
File
Macro
Script
Concept
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
I-Worm
1995: Concept • • • • • •
Csak a programokat gondolták veszélyesnek Dokumentumokat gyakran cserélnek Könnyű programozhatóság Gyenge védelem Forráskódban terjed, a dokumentummal együtt Átjárhatóság (Word => Outlook) (Word => Excel) (Word => PowerPoint)
Makróvírusok
13.2%
0.4%
Office
2.2%
Word Excel Egyéb
84.2%
•PowerPoint •Access •Project •AutoCAD •Visio •Lotus 123 •SuperLogo •CorelScript •Shockwave •AutoIT
Fejlődő védettség
Scriptek
Boot
Macro
Script
Loveletter
Concept
1996
File
1997
1998
1999
2000
2001
2002
2003
2004
2005
I-Worm
1999. Loveletter • • • •
Könnyen programozható script nyelvek Forráskódban terjed, könnyű változtatni Jórészt social engineering Gyors együttműködés kellett az AV laborok között
Win32 e-mail férgek Sircam Klez Boot
Macro
Script
Loveletter
Concept
1996
File
1997
1998
1999
2000
2001
2002
2003
2004
2005
I-Worm
2001. Sircam, Klez • Win32 e-mail wormok • Aktiválódás jórészt social engineering • Címgyűjtés a lokális gépről • Terjedés MAPI, SMTP
E-mail vírus életciklusok Myparty.A – 3 nap
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]
I-Worm.Zafi.B ........................ I-Worm.Mydoom.CR ........................ I-Worm.Zafi.D ........................ I-Worm.Bagle.LC ........................ I-Worm.Netsky.Q1 ........................ Exploit.IFrame.B ........................ I-Worm.Mytob.E ........................ I-Worm.Mydoom.R ........................ I-Worm.Netsky.Q2 ........................ I-Worm.Netsky.O ........................ I-Worm.Bagle.GK ........................
463 71 48 40 34 25 20 17 10 6 5
(2004.06) (2008.01) (2004.12) (2006.12) (2004.03) Klez.H – 5 hónap (2005.03) (2004.07) (2004.03) (2004.03) (2006.02)
Win32 network férgek Sircam Klez Boot
File
Macro
Script
Sasser Loveletter Concept
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
I-Worm
2003-2004: SQLSlammer, Sasser • Win32 wormok • Op. rendszer biztonsági hibát használnak ki • Autonóm és gyors terjedés
Felgyorsult idő 1990
Form
3 év
1995
Concept
4 hónap
1998
Melissa
4 nap
1999
Loveletter
4 óra
2003
SQLSlammer
4 perc
Vírus terjedési modellek • Nem-rezidens, direkt vírus fertőzési modell (Gleissner, 1989) • Irányított és véletlen gráf modell (Kephart-White, 1991) • Homogén terjedési modell (Solomon, 1990)
… végül a valóság idomult a modellhez
Terjedési modell
N (t ) = (1 − p ) ⋅ e
( g − a )⋅
t0
τ
⋅e
(1− p )( g − a )⋅
Generation history of Mimail
•p: védett gépek aránya
Minutes elapsed
700 600
•t0 felismerésig eltelt idő
500
•a: elnyelési arány
400
Ciklusidő: 15 perc
•boot vírus ~ 1
•g: sokszorozási arány
•I-Worm
300
~ 5
200 100
•boot vírus ~ 1 hét
•τ: ciklusidő
•I-Worm~ 1/4 óra
0 0
5
10
15 Generation
20
25
30
t −t0
τ
Modellezés – alap
Mi a teendő? Védettség növelése
• Védett gépek arányának növelése – több víruskereső • Vírusincidens esetén katasztrófaterv gyors víruselhárítás
Modellezés 1 végső absz. 2 -> 3
Mi a teendő? – kezdeti védettség növelése
• Megelőző vírusvédelmi módszerek: heurisztika emuláció • Diverzitás növelése • Behatolási pontok védelme • Biztonságosabb rendszerek használata • Biztonsági javítások feltelepítése
Modellezés 2 absz. 1.7 -> 1.6
Reaktív vírusfeldolgozás
• • • • •
A vírus felbukkan valahol a nagyvilágban Felhasználó beküldi Víruslabor elemzi, feldolgozza Vírusadatbázis QA Elkészül az adatbázis frissítés ~ 3 óra
Mi a teendő? – reakcióidő csökkentése
• • • •
Víruslaborok közötti együttműködés Vírusadatbázis SOS frissítése Rendszergazdák informálása Frissítések azonnali szétterítése (cégen belül pull helyett push)
Modellezés 3 Reakcióidő: 120 -> 90
2005: a profik színre lépnek • Hobbi vírusírók háttérbe szorultak • Bagle - Netsky háború • Botnetek megjelenése • Exploitok, trójaiak, botnetek, lopott adatok piaca • Sok kis incidens
Botnetek
Bot életciklus: •Létrehozás •Kiterjesztés •Irányítás •Megszüntetés Ismert * bot variánsok száma: ~ 171,000
>20-30k always online SOCKs4, url is de-duped and updated every >10 minutes. 900/weekly, Samples will be sent on request. >Monthly payments arranged at discount prices.
>$350.00/weekly - $1,000/monthly (USD) >Type of service: Exclusive (One slot only) >Always Online: 5,000 - 6,000 >Updated every: 10 minutes
Zeus botnet (Zbot)
Botnetek vezérlése
Klasszikus botnet C&C
Storm P2P botnet
Banki jelszólopók • • • • • •
Jelenleg ismert: ~230000 Keylogging Form data capture Screen capture Mini screen capture Phishing
Behatolás
• • • • •
Drive-by exploitok E-mail üzenet Instant messaging üzenet Közösségi portálok P2P, torrent hálózatok
Drive-by 38zu-cn mbr2-cn 117la-cn wvg6-cn ckt1-cn w.jsguangji.cn w.toyony.com.cn w.ttkiss.com.cn
Drive-by (folyt.)
http://d.doinw.com/xx/x2.css
Trojan.DL.Exchanger • Legnagyobb botnet (Srizbi/CBEPlay/Exchanger) • Kb. 315,000 gép, több szegmensre osztva (Reactor Mailer) • Kapacitás: 60 milliárd üzenet/nap (spam tömeg 40%-a) • Terjesztésében Mpack kitet használnak
38
Trojan.FakeAlert
•Kamu antivírus programot telepít több lépésben •A felhasználót megijeszti annyira, hogy fizessen a programért •Képernyővédőt is bevet •A System Restore pontokat törli •„Csak” a pénzünket akarják •Határeset (mindenkinek joga hülyének lenni)
39
MPACK támadások •
Web szerver feltörése alkalmazás hibájával (SQL, PHP, cpanel)
•
8000 olasz website egy menetben (2007. Június) ~ 100,000 fertőzött gép
•
Böngészéskor klienstől függő hibák – ANI overflow – MS06-014, – MS06-006,
SWF
PDF
2154
37
3625
94
4362
33
– MS06-044, – XML Overflow,
Jan 2009
– WebViewFolderIcon Overflow – WinZip ActiveX Overflow
Feb 2009
– QuickTime Overflow
•
nincs biztonságos böngésző
Mar 2009
MPACK fertőzés előtt
MPACK fertőzés után
Browser agent Geolocation Operációs rendszer
Üzleti modell Kiadás: • MPACK kit: 700 USD • Weboldalhoz exploit: 10,000 USD (0-day) • Weboldalhoz script fertőzés : 50 USD
10,750 USD
Bevétel: • 100,000 fertőzött gép, • egyenként 100,000 spam levél • 0,03 cent/levél Megtérülési arány: 27
300,000 USD
Exploitok Csökken az idő a hiba publikálása és az azt kihasználó kártevő megjelenése között (MS Office 0-day támadások: patch Tuesday, exploit Wednesday) A biztonsági programok hibái is célpontok (Delbot: SYM06-010) Minden eladó •
Exploit kód (500 USD -> 250000 USD)
•
Egyedi, felismerhetetlen packer
•
Botnet
•
MPACK készlet (500-1000 USD)
Sig count
Kártevőszám emelkedés
4000000 3500000 3000000
Total Number of Unique Samples in AV-Test.org's Malware Collection
Kártevők száma duplázódik évente
32,000,000 2500000
•
30,000,000 2000000 28,000,000 1500000 26,000,000 1000000
Az ismert kártevők fele az elmúlt 18 hónapban született
24,000,000 500000 22,000,0000
•
“Szerver oldali polimorfizmus”
20,000,000
2009.01.01. 2009.04.01. 2009.07.01 2009.10.01. 2010.01.01. 2010.04.01.
Egyre kevesebb az idő a feldolgozásra, QA erősítendő
18,000,000
•
16,000,000 14,000,000
Actual
• Vakriasztások száma megnövekedett (egységnyi feldolgozásra jutó szám balance 12,000,000
Forecast
10,000,000
kb. ugyanaz)
8,000,000 6,000,000
•
A mennyiségi növekedés minőségi ugrást követel (memória használat,
4,000,000 2,000,000
víruslabor létszám nem skálázható) 0 2007-01 2007-02 2007-03 2007-04 2007-05 2007-06 2007-07 2007-08 2007-09 2007-10 2007-11 2007-12 2008-01 2008-02 2008-03 2008-04 2008-05 2008-06 2008-07 2008-08 2008-09 2008-10 2008-11 2008-12 2009-01 2009-02 2009-03 2009-04 2009-05 2009-06 2009-07 2009-08 2009-09 2009-10 2009-11
Unique Samples in Collection
•
Gyorsan változó kártevők
•
Mire a 1568. variánsra kimegy a frissítés, a felhasználónál már a 1786. variáns tölti le a 1795.-et
•
Hatalmas lenne a memória használat
•
Csak generikus felismerésekkel érdemes kezelni ezeket
•
A gyors reakció idő kevesebb, mint a proaktív felismerés
•
A víruskeresőknek fertőzött környezetben kell működnie
Folytonos innováció
•
DOS és Win32 emulátor
•
Algoritmikus felismerések
•
Generikus felismerések
•
Heurisztikus felismerések (szabályrendszer alapon)
•
Adware, spyware, dialer, RAT, phishing, trójai
Vírusok által okozott kár
• • • • • •
Adatvesztés Adat kiáramlás Személyes adatok lopása, használata Kiesett munkaidő Szándékos rombolás Rendelkezésre nem állás
Emberi tényezők • Felhasználói “gyengeségek” – Képzés hiánya • Nem tudja mit csinál • Nem tudja mit kellene csinálnia
– Felelőtlenség • Tudja, hogy nem kellene, de mégis • Tudja, hogy kellene, de mégsem
– “Bonyolult” rendszerek
Határvédelem • Böngészés, FTP – Károkozó szűrés – Káros aktív tartalom szűrése
• Levelezés – Károkozók – Spam
• Tűzfal – Alkalmazás szintű tűzfal
Munkaállomások, szerverek • Folyamatos védelmek – Állomány hozzáféréskor – Hálózati forgalom figyelés
• Manuális ellenőrzések • Operációs rendszer és szoftver frissítések
