AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI
Hungarian Cyber Security Package
Vírusvédelem Szappanos Gábor Sophos
Alapfogalmak
Vírusok
Olyan önreprodukáló számítógépes program, amely úgy fertőz más programokat, hogy azok tartalmazzák a vírus egy (esetleg megváltoztatott) új példányát.
Olyan szoftver, aminek a célja az, hogy a felhasználóhoz Férgek reklám tartalmú üzeneteket juttasson el.
Legálisnak látszó program, aminek szándékoltan az célja, hogy a számítógép működését zavarja, vagy kárt okozzon.
Amivel foglalkozni fogunk Olyan szoftver, aminek a célja az, hogy a felhasználótól annak tudta nélkül információt juttasson el egy harmadik félhez. Adware, spyware
A greyware-ek legális körülmények között forgalmazott alkalmazások, melyeknél megvan az esély arra, hogy a felhasználó tudta nélkül, Trójaiak Greyware ártó szándékkal települtek fel a számítógépre.
Vírusok csoportosítása Fertőzött objektum alapján: – Boot vírus – Program vírus – Makró vírus – Script vírus – Féreg Fertőzési mód alapján: – Direkt akció – Rezidens
4
Az ősidőkben...
5
DOS programok fertőzése MZ
MZ Fejléc méret
Memória méret
Fejléc méret
Memória méret
SS:SP
CS:IP
SS:SP
CS:IP
DOS fejléc
DOS fejléc Belépési pont
Belépési pont
Kód
Kód
Verem
Belépési pont
Víruskód
Verem
6
DOS vírus esete PE programmal MZ
DOS fejléc
CS:IP
MZ
DOS stub PE
PE fejléc
DOS fejléc
CS:IP
DOS stub CS:EIP
PE
PE fejléc
CS:EIP
Data directories
Data directories
Export tábla Import tábla
Export tábla Import tábla
Section tábla
Section tábla
Sections
Sections
.text .data .rsrc
.text .data .rsrc
Víruskód
7
Boot vírus fertőzés előtt
1. Partíció info 2. Partíció info 3. Partíció info
Nem használt terület
4. Partíció info
ntloader
1. Partíció
grub
2. Partíció
bootcamp
3. Partíció
8
MBR Boot vírus fertőzés után
1. Partíció info 2. Partíció info 3. Partíció info
Nem használt terület
4. Partíció info
ntloader
1. Partíció
grub
2. Partíció
bootcamp
3. Partíció
9
FBR Boot vírus fertőzés után
1. Partíció info 2. Partíció info 3. Partíció info
Nem használt terület
4. Partíció info
ntloader
1. Partíció
grub
2. Partíció
bootcamp
3. Partíció
10
Brain vírus • Felbukkanás: 1986 január (legrégibb PC DOS vírus) • Vírus test „bad sector” –okban tárolva • Rejtőzködő (stealth) vírus • Rejtett szöveg: • Welcome to the Dungeon (c) 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE :430791,443248,280530. Beware of this VIRUS.... Contact us for vaccination............ $#@%$@!!
11
Boot vírusok
Boot
1996
1997
1998
1999
2000
2001
2002
File
2003
Macro
2004
Script
I-Worm
2005
12
Makróvírusok
Boot
File
Macro
Script
I-Worm
Concept
1996
1997
1998
1999
2000
2001
2002
2003
2004
2005
13
1995: Concept
• • • • • •
Csak a programokat gondolták veszélyesnek Főleg MS Word és Excel Dokumentumokat gyakran cserélnek Könnyű programozhatóság Forráskódban terjed, a dokumentummal együtt Gyenge védelem, rosszul dokumentált formátum
14
Fejlődő védettség
15
Bontchev konstans
2.7% 97.3% of the human population consists of idiots
Win32 network férgek Sircam Klez Boot
1997
1998
1999
2000
Macro
Script
I-Worm
Sasser
Loveletter
Concept
1996
File
2001
2002
2003
2004
2005
17
2003-2004: SQLSlammer, Sasser • Win32 wormok • Operációs rendszer biztonsági hibát használnak ki • Jelszólista alapú brute-force hozzáférés • Autonóm és gyors terjedés
2004 => : a profik színre lépnek • Addig: hobbi vírusírók • Botnetek megjelenése • Exploitok, trójaiak, botnetek, lopott adatok feketepiaca • Kis incidensek riasztási szint alatt • Célzott támadások ipari kémkedés céljából • Bagle - Netsky háború
19
Banki jelszólopók • • • • • •
Keylogging Form data capture Screen capture Mini screen capture egérkurzor körül Video capture Phishing
20
Phishing
Phishing
Botnetek
Botnet: hálózati összeköttetésben levő programok koordinált hálózata Legális botnetek: SETI@Home, distributed SHA cracking Illegális botnetek: spambot, DDoS
23
Klasszikus botnet
C&C
24
P2P botnet
25
Zeus botnet (Zbot, Citadel)
26
Botnetek vezérlése
27
Botnetek
Rootkitek Olyan program, aminek a célja objektumok (fájl, processz, registry, könyvtár) elrejtése a normál vizsgálatok elől. – Bootkit – User mód vs. kernel mód – Operációs rendszer belső struktúráit módosítják (Microsoft vs. Alureon)
29
Sony rootkit (2005) • Extended Copy Protection és MediaMax CD-3 másolásvédelem • Automatikusan és csendben feltelepül a lemez lejátszásakor • A %SYSTEM%\$sys$filesystem könyvtárba települ fel • Elrejt minden fájlt, könyvtárt és registry bejegyzést aminek a neve $sys$-el kezdődik Troj/Stinx:
• C:\WINDOWS\SYSTEM32\$sys$drv.exe néven települ fel
30
ZeroAccess
• Terjesztés: exploit kit, social engineering • UAC dialóg átverése: tiszta Fash telepítő, trójai DLL • Tűzfal, Windows védelmi programok leállítása • Telepítési könyvtár pl.: c:\windows\$NtUninstallKB35373$ • HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon • Felülír egy random kiválasztott drivert • A letöltött fájlok kódolva tároltak egy titkosított volume-on • 64 biten user módú • Pszeudo-random DGA (rendszeridő alapján) • Payload: click fraud, spambot
31
Exploit kit támadás gyakorlatban
Az Interneten keresztül történő támadások 2/3-a valamelyik exploit kit segítségével valósul meg. Ezek fele egyedül a Blackhole kithez kötődik 33
A Blackhole kit névjegy • Orosz fejlesztés • Bérelhető infrastruktúra • Traffic direction system (TDS) • MySQL backend • IP feketelista • Malware terjesztés v. átirányítás • Integrált víruskeresők • Management felület, részletes statisztikák • Közbenső oldalakat lopott jelszavakkal vagy SQL injektálással fertőzik
Traffic Direction System
TDS működésben
GET http://www.google.com/ig/cp/get?hl=en&gl=&authuser=0&bundleJs=0 HTTP/1.1 Host: www.google.com Proxy-Connection: keep-alive User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.202 Safari/535.1 Accept: */* Referer: http://www.google.com/ Accept-Encoding: gzip,deflate,sdch Accept-Language: en-US,en;q=0.8 Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3 If-None-Match: 4507273103833835255 If-Modified-Since: Tue, 11 Oct 2011 08:30:50 GMT Browser agent IP cím, feketelista Operációs rendszer
Blackhole TDS Vista: IE7,IE8 Win7: IE9, IE10
Win7: Mozilla22, Opera12, Safari5 Android: Safari5
Win7: Firefox14
Vista: IE6
Non-Windows platforms
WinNT90: IE9
Win8:Chrome17
OSX: IE5 WinCE: IE4
Win2K: Firefox5
WinXP:IE9
WinXP: Chrome17
Win95: IE4 Win98: IE4,IE5,IE6 WinNT: IE5 WinNT351: IE5 WinNT40: IE5 Win2K: IE4,IE5,IE6
Win2K3: IE7
Win2K: IE8 WinXP: AOL96
Java (CVE-2010-0840, CVE-2012-0507)
+
+
+
+
-
+
+
-
+
+
+
+
+
+
XMLHTTP+ADO DBSTREAM downloader PDF1: CVE-2009-0927, CVE-2008-2992, CVE-2009-4324 PDF2: CVE2010-0188 Hcp (CVE-20101885) XMLHTTP+ ADODB Flash (CVE-20110611) Flash (Troj/SWFExpBC ) CVE-2012-1889
-
-
-
+
-
-
-
+
-
-
-
+
-
-
+
-
-
+
+
+
(IFRAME)
(object)
(object + IFRAME)
(IFRAME)
-
-
-
-
-
+
+
(IFRAME)
(object)
-
-
-
+
+
+
+
+
+
(object + IFRAME)
(IFRAME)
(object)
(IFRAME)
(IFRAME)
(object)
+
+
-
+
+
(embed)
(embed)
-
(link)
(link)
-
-
-
-
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
+
-
-
-
-
-
-
-
-
-
-
-
-
-
-
Blackhole fertőzési séma Spam e-mail: http://bridgetblonde.info/KKkxkeBx/index.html http://3d-cam.com/jiQ9VFzm/index.html http://armovies.com.ar/e2fSCR2G/index.html http://armovies.com.ar/x12RsWiw/index.html http://chomikuj24.pl/KKkxkeBx/index.html
Blackhole szerver http://72.14.187.169/sho wthread.php?t=73a07bc b51f4be71
1. átirányító oldal
Átirányító script : http://66.165.125.19/1f TeeHMA/js.js
Átirányító script : http://bragan.net/cwM8 EscN/js.js
PDF exploit http://72.14.187.169/q.php ?f=e4a98&e=1
Átirányító script : http://74.119.235.211/1 14oTzgs/js.js
MDAC exploit http://72.14.187.169/q.php ?f=e4a98&e=4
SWF exploit http://72.14.187.169/q.php ?f=e4a98&e=2
Java exploit http://72.14.187.169/conte nt/GPlugin.jar
Payload: FakeAV Payload: ZeroAccess Payload: ZBot
38
Blackhole payload Downloader 2% ZAccess 6% Backdoor 6%
other 9%
Zbot 25%
FakeAV 11% Sinowal 11%
Ransomware 18% PWS 12%
39
Blackhole exploit kit
40
Main script
http://sumatranajuge.ru:8080/forum/w.php?f=XXXXX?e=0
Main script - decoded
43
Duqu • Moduláris szerkezet, letölthető pluginek • 0-day dropper (sehol máshol nem használt) • Direkt C&C kapcsolat, ha nem megy P2P • Lokális hálózaton terjed a jelszólopó által gyűjtött jelszavakkal • Digitálisan aláírt driver (C-Media) • Legelterjedtebb: Irán, Szudán • Célja ipari adatlopás
Duqu install
3%
Többrétegű védelem Application Control Potenciálisan veszélyes alkalmazások nem futhatnak
Anti-Spam Tömegesen terjesztett e-mailek szűrése
Anti-Spam
Víruskereső Ismert kártevők specifikus, új kártevők generikus felismerése
URL szűrés
• Terjesztéshez használt levelek blokkolása • A letöltési láncban használt weboldalak blokkolása
Tűzfal Kommunikációs kísérletek blokkolása, külső támadások szűrése
IPS
Víruskereső
• Az exploitokat letöltő és futtató scriptek detektálása
Csomagszintű felismerés
URL szűrés
Víruskereső
Reputációs és feketelista alapú szűrés
Data Loss Prevention Szenzitív információk kiszivárgásának megakadályozása
Víruskereső
Exploit védelem Biztonsági hibák kihasználásának detektálása
Viselkedésalapó védelem A futó program által a rendszerben végzett műveletek ellenőrzése
Viselkedésalapú védelem
• Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása • A letöltött Win32 payload detektálása • A futtatott Win32 payload detektálása
Víruskereső tesztek • Melyik a legjobb víruskereső? Vírusfelismerési arány Proaktív felismerési képesség Kevés vakriasztás Memóriahasználat Sebesség Platform lefedettség Stabilitás 49
Alapelvek 1. Testing must not endanger the public. 2. Testing must be unbiased. 3. Testing should be reasonably open and transparent. 4. The effectiveness and performance of anti‐‐malware products must be measured in a balanced way. 5. Testers must take reasonable care to validate whether test samples or test cases have been accurately classified as malicious, innocent or invalid. 6. Testing methodology must be consistent with the testing purpose. 7. The conclusions of a test must be based on the test results. 8. Test results should be statistically valid. 9. Vendors, testers and publishers must have an active contact point for testing related correspondence. 50
Rossz tesztek
51
Rossz tesztek Anti-Spam
URL szűrés
Víruskereső
Víruskereső
Víruskereső
Viselkedésalapú védelem
• Terjesztéshez használt levelek blokkolása • A letöltési láncban használt weboldalak blokkolása • Az exploitokat letöltő és futtató scriptek detektálása • Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása • A letöltött Win32 payload detektálása • A futtatott Win32 payload detektálása
52
Rossz tesztek • Terjesztéshez használt levelek Anti-virus products are rubbish, blokkolása says Imperva Anti-Spam
• A letöltési láncban használt weboldalak ‘Spend not proportional to effectiveness’ blokkolása By Richard Chirgwin URL szűrés
• Az exploitokat letöltő és futtató scriptek
A study released in December by US security outfit Imperva has tipped a detektálása bucket on the multi-billion-dollar anti-virus industry, claiming that initial • Az exploitot tartalmazóthat letöltött fájlok detection rates are as low as five percent, and concluding enterprise (SWF, PDF, Java, HTML) detektálása and consumer anti-virus spend “is not proportional to its effectiveness”. Working in conjunction with students from the Technion-Israel Institute of • A letöltöttsamples Win32 payload detektálása Technology, the company tested 82 malware against 40 antivirus products including offerings from Microsoft, Symantec, McAfee and Kaspersky. • A futtatott Win32 payload detektálása The test revealed that while catalogued viruses are well-detected, “less than 5% of anti-virus solutions in the study were able to initially detect previously non-cataloged viruses and that many solutions took up to a month or longer following the initial scan to update their signatures.” Víruskereső
Víruskereső
Víruskereső
Viselkedésalapú védelem
53
Jó tesztek
54
Zárszó
• Naprakész vírusvédelem • Biztonsági javítások telepítés
•Java frissítések!!!!!!