AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package. Vírusvédelem. Szappanos Gábor Sophos

AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI

Hungarian Cyber Security Package

Vírusvédelem Szappanos Gábor Sophos

Alapfogalmak

Vírusok

Olyan önreprodukáló számítógépes program, amely úgy fertőz más programokat, hogy azok tartalmazzák a vírus egy (esetleg megváltoztatott) új példányát.

Olyan szoftver, aminek a célja az, hogy a felhasználóhoz Férgek reklám tartalmú üzeneteket juttasson el.

Legálisnak látszó program, aminek szándékoltan az célja, hogy a számítógép működését zavarja, vagy kárt okozzon.

Amivel foglalkozni fogunk Olyan szoftver, aminek a célja az, hogy a felhasználótól annak tudta nélkül információt juttasson el egy harmadik félhez. Adware, spyware

A greyware-ek legális körülmények között forgalmazott alkalmazások, melyeknél megvan az esély arra, hogy a felhasználó tudta nélkül, Trójaiak Greyware ártó szándékkal települtek fel a számítógépre.

Vírusok csoportosítása Fertőzött objektum alapján: – Boot vírus – Program vírus – Makró vírus – Script vírus – Féreg Fertőzési mód alapján: – Direkt akció – Rezidens

4

Az ősidőkben...

5

DOS programok fertőzése MZ

MZ Fejléc méret

Memória méret

Fejléc méret

Memória méret

SS:SP

CS:IP

SS:SP

CS:IP

DOS fejléc

DOS fejléc Belépési pont

Belépési pont

Kód

Kód

Verem

Belépési pont

Víruskód

Verem

6

DOS vírus esete PE programmal MZ

DOS fejléc

CS:IP

MZ

DOS stub PE

PE fejléc

DOS fejléc

CS:IP

DOS stub CS:EIP

PE

PE fejléc

CS:EIP

Data directories

Data directories

Export tábla Import tábla

Export tábla Import tábla

Section tábla

Section tábla

Sections

Sections

.text .data .rsrc

.text .data .rsrc

Víruskód

7

Boot vírus fertőzés előtt

1. Partíció info 2. Partíció info 3. Partíció info

Nem használt terület

4. Partíció info

ntloader

1. Partíció

grub

2. Partíció

bootcamp

3. Partíció

8

MBR Boot vírus fertőzés után

1. Partíció info 2. Partíció info 3. Partíció info

Nem használt terület

4. Partíció info

ntloader

1. Partíció

grub

2. Partíció

bootcamp

3. Partíció

9

FBR Boot vírus fertőzés után

1. Partíció info 2. Partíció info 3. Partíció info

Nem használt terület

4. Partíció info

ntloader

1. Partíció

grub

2. Partíció

bootcamp

3. Partíció

10

Brain vírus • Felbukkanás: 1986 január (legrégibb PC DOS vírus) • Vírus test „bad sector” –okban tárolva • Rejtőzködő (stealth) vírus • Rejtett szöveg: • Welcome to the Dungeon (c) 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE :430791,443248,280530. Beware of this VIRUS.... Contact us for vaccination............ $#@%$@!!

11

Boot vírusok

Boot

1996

1997

1998

1999

2000

2001

2002

File

2003

Macro

2004

Script

I-Worm

2005

12

Makróvírusok

Boot

File

Macro

Script

I-Worm

Concept

1996

1997

1998

1999

2000

2001

2002

2003

2004

2005

13

1995: Concept

• • • • • •

Csak a programokat gondolták veszélyesnek Főleg MS Word és Excel Dokumentumokat gyakran cserélnek Könnyű programozhatóság Forráskódban terjed, a dokumentummal együtt Gyenge védelem, rosszul dokumentált formátum

14

Fejlődő védettség

15

Bontchev konstans

2.7% 97.3% of the human population consists of idiots

Win32 network férgek Sircam Klez Boot

1997

1998

1999

2000

Macro

Script

I-Worm

Sasser

Loveletter

Concept

1996

File

2001

2002

2003

2004

2005

17

2003-2004: SQLSlammer, Sasser • Win32 wormok • Operációs rendszer biztonsági hibát használnak ki • Jelszólista alapú brute-force hozzáférés • Autonóm és gyors terjedés

2004 => : a profik színre lépnek • Addig: hobbi vírusírók • Botnetek megjelenése • Exploitok, trójaiak, botnetek, lopott adatok feketepiaca • Kis incidensek riasztási szint alatt • Célzott támadások ipari kémkedés céljából • Bagle - Netsky háború

19

Banki jelszólopók • • • • • •

Keylogging Form data capture Screen capture Mini screen capture egérkurzor körül Video capture Phishing

20

Phishing

Phishing

Botnetek

Botnet: hálózati összeköttetésben levő programok koordinált hálózata Legális botnetek: SETI@Home, distributed SHA cracking Illegális botnetek: spambot, DDoS

23

Klasszikus botnet

C&C

24

P2P botnet

25

Zeus botnet (Zbot, Citadel)

26

Botnetek vezérlése

27

Botnetek

Rootkitek Olyan program, aminek a célja objektumok (fájl, processz, registry, könyvtár) elrejtése a normál vizsgálatok elől. – Bootkit – User mód vs. kernel mód – Operációs rendszer belső struktúráit módosítják (Microsoft vs. Alureon)

29

Sony rootkit (2005) • Extended Copy Protection és MediaMax CD-3 másolásvédelem • Automatikusan és csendben feltelepül a lemez lejátszásakor • A %SYSTEM%\$sys$filesystem könyvtárba települ fel • Elrejt minden fájlt, könyvtárt és registry bejegyzést aminek a neve $sys$-el kezdődik Troj/Stinx:

• C:\WINDOWS\SYSTEM32\$sys$drv.exe néven települ fel

30

ZeroAccess

• Terjesztés: exploit kit, social engineering • UAC dialóg átverése: tiszta Fash telepítő, trójai DLL • Tűzfal, Windows védelmi programok leállítása • Telepítési könyvtár pl.: c:\windows\$NtUninstallKB35373$ • HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon • Felülír egy random kiválasztott drivert • A letöltött fájlok kódolva tároltak egy titkosított volume-on • 64 biten user módú • Pszeudo-random DGA (rendszeridő alapján) • Payload: click fraud, spambot

31

Exploit kit támadás gyakorlatban

Az Interneten keresztül történő támadások 2/3-a valamelyik exploit kit segítségével valósul meg. Ezek fele egyedül a Blackhole kithez kötődik 33

A Blackhole kit névjegy • Orosz fejlesztés • Bérelhető infrastruktúra • Traffic direction system (TDS) • MySQL backend • IP feketelista • Malware terjesztés v. átirányítás • Integrált víruskeresők • Management felület, részletes statisztikák • Közbenső oldalakat lopott jelszavakkal vagy SQL injektálással fertőzik

Traffic Direction System

TDS működésben

GET http://www.google.com/ig/cp/get?hl=en&gl=&authuser=0&bundleJs=0 HTTP/1.1 Host: www.google.com Proxy-Connection: keep-alive User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.202 Safari/535.1 Accept: */* Referer: http://www.google.com/ Accept-Encoding: gzip,deflate,sdch Accept-Language: en-US,en;q=0.8 Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3 If-None-Match: 4507273103833835255 If-Modified-Since: Tue, 11 Oct 2011 08:30:50 GMT Browser agent IP cím, feketelista Operációs rendszer

Blackhole TDS Vista: IE7,IE8 Win7: IE9, IE10

Win7: Mozilla22, Opera12, Safari5 Android: Safari5

Win7: Firefox14

Vista: IE6

Non-Windows platforms

WinNT90: IE9

Win8:Chrome17

OSX: IE5 WinCE: IE4

Win2K: Firefox5

WinXP:IE9

WinXP: Chrome17

Win95: IE4 Win98: IE4,IE5,IE6 WinNT: IE5 WinNT351: IE5 WinNT40: IE5 Win2K: IE4,IE5,IE6

Win2K3: IE7

Win2K: IE8 WinXP: AOL96

Java (CVE-2010-0840, CVE-2012-0507)

+

+

+

+

-

+

+

-

+

+

+

+

+

+

XMLHTTP+ADO DBSTREAM downloader PDF1: CVE-2009-0927, CVE-2008-2992, CVE-2009-4324 PDF2: CVE2010-0188 Hcp (CVE-20101885) XMLHTTP+ ADODB Flash (CVE-20110611) Flash (Troj/SWFExpBC ) CVE-2012-1889

-

-

-

+

-

-

-

+

-

-

-

+

-

-

+

-

-

+

+

+

(IFRAME)

(object)

(object + IFRAME)

(IFRAME)

-

-

-

-

-

+

+

(IFRAME)

(object)

-

-

-

+

+

+

+

+

+

(object + IFRAME)

(IFRAME)

(object)

(IFRAME)

(IFRAME)

(object)

+

+

-

+

+

(embed)

(embed)

-

(link)

(link)

-

-

-

-

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

+

-

-

-

-

-

-

-

-

-

-

-

-

-

-

Blackhole fertőzési séma Spam e-mail: http://bridgetblonde.info/KKkxkeBx/index.html http://3d-cam.com/jiQ9VFzm/index.html http://armovies.com.ar/e2fSCR2G/index.html http://armovies.com.ar/x12RsWiw/index.html http://chomikuj24.pl/KKkxkeBx/index.html

Blackhole szerver http://72.14.187.169/sho wthread.php?t=73a07bc b51f4be71

1. átirányító oldal

Átirányító script : http://66.165.125.19/1f TeeHMA/js.js

Átirányító script : http://bragan.net/cwM8 EscN/js.js

PDF exploit http://72.14.187.169/q.php ?f=e4a98&e=1

Átirányító script : http://74.119.235.211/1 14oTzgs/js.js

MDAC exploit http://72.14.187.169/q.php ?f=e4a98&e=4

SWF exploit http://72.14.187.169/q.php ?f=e4a98&e=2

Java exploit http://72.14.187.169/conte nt/GPlugin.jar

Payload: FakeAV Payload: ZeroAccess Payload: ZBot

38

Blackhole payload Downloader 2% ZAccess 6% Backdoor 6%

other 9%

Zbot 25%

FakeAV 11% Sinowal 11%

Ransomware 18% PWS 12%

39

Blackhole exploit kit

40

Main script

http://sumatranajuge.ru:8080/forum/w.php?f=XXXXX?e=0

Main script - decoded

43

Duqu • Moduláris szerkezet, letölthető pluginek • 0-day dropper (sehol máshol nem használt) • Direkt C&C kapcsolat, ha nem megy P2P • Lokális hálózaton terjed a jelszólopó által gyűjtött jelszavakkal • Digitálisan aláírt driver (C-Media) • Legelterjedtebb: Irán, Szudán • Célja ipari adatlopás

Duqu install

3%

Többrétegű védelem Application Control Potenciálisan veszélyes alkalmazások nem futhatnak

Anti-Spam Tömegesen terjesztett e-mailek szűrése

Anti-Spam

Víruskereső Ismert kártevők specifikus, új kártevők generikus felismerése

URL szűrés

• Terjesztéshez használt levelek blokkolása • A letöltési láncban használt weboldalak blokkolása

Tűzfal Kommunikációs kísérletek blokkolása, külső támadások szűrése

IPS

Víruskereső

• Az exploitokat letöltő és futtató scriptek detektálása

Csomagszintű felismerés

URL szűrés

Víruskereső

Reputációs és feketelista alapú szűrés

Data Loss Prevention Szenzitív információk kiszivárgásának megakadályozása

Víruskereső

Exploit védelem Biztonsági hibák kihasználásának detektálása

Viselkedésalapó védelem A futó program által a rendszerben végzett műveletek ellenőrzése

Viselkedésalapú védelem

• Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása • A letöltött Win32 payload detektálása • A futtatott Win32 payload detektálása

Víruskereső tesztek • Melyik a legjobb víruskereső?
Vírusfelismerési arány
Proaktív felismerési képesség
Kevés vakriasztás
Memóriahasználat
Sebesség
Platform lefedettség
Stabilitás 49

Alapelvek 1. Testing must not endanger the public. 2. Testing must be unbiased. 3. Testing should be reasonably open and transparent. 4. The effectiveness and performance of anti‐‐malware products must be measured in a balanced way. 5. Testers must take reasonable care to validate whether test samples or test cases have been accurately classified as malicious, innocent or invalid. 6. Testing methodology must be consistent with the testing purpose. 7. The conclusions of a test must be based on the test results. 8. Test results should be statistically valid. 9. Vendors, testers and publishers must have an active contact point for testing related correspondence. 50

Rossz tesztek

51

Rossz tesztek Anti-Spam

URL szűrés

Víruskereső

Víruskereső

Víruskereső

Viselkedésalapú védelem

• Terjesztéshez használt levelek blokkolása • A letöltési láncban használt weboldalak blokkolása • Az exploitokat letöltő és futtató scriptek detektálása • Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása • A letöltött Win32 payload detektálása • A futtatott Win32 payload detektálása

52

Rossz tesztek • Terjesztéshez használt levelek Anti-virus products are rubbish, blokkolása says Imperva Anti-Spam

• A letöltési láncban használt weboldalak ‘Spend not proportional to effectiveness’ blokkolása By Richard Chirgwin URL szűrés

• Az exploitokat letöltő és futtató scriptek

A study released in December by US security outfit Imperva has tipped a detektálása bucket on the multi-billion-dollar anti-virus industry, claiming that initial • Az exploitot tartalmazóthat letöltött fájlok detection rates are as low as five percent, and concluding enterprise (SWF, PDF, Java, HTML) detektálása and consumer anti-virus spend “is not proportional to its effectiveness”. Working in conjunction with students from the Technion-Israel Institute of • A letöltöttsamples Win32 payload detektálása Technology, the company tested 82 malware against 40 antivirus products including offerings from Microsoft, Symantec, McAfee and Kaspersky. • A futtatott Win32 payload detektálása The test revealed that while catalogued viruses are well-detected, “less than 5% of anti-virus solutions in the study were able to initially detect previously non-cataloged viruses and that many solutions took up to a month or longer following the initial scan to update their signatures.” Víruskereső

Víruskereső

Víruskereső

Viselkedésalapú védelem

53

Jó tesztek

54

Zárszó

• Naprakész vírusvédelem • Biztonsági javítások telepítés

•Java frissítések!!!!!!