Miről lesz szó? Malware. Vírustörténelem. Problémák. Malware okozta károk. Célpontok

Vírusok

Dr. Nagy Gábor [email protected]

1

Póserné Oláh Valéria [email protected]

Miről lesz szó?
Malware
Vírustörténelem
Problémák
Malware okozta károk
Célpontok
A követendő vírusvédelmi, adatvédelmi és adatbiztonsági politika kialakítása

2

Miért fontos?

3

CSI/FBI 2005: támadások típusai

Miért fontos?

4

CSI/FBI 2005: anyagi kár

Miért fontos?

5

CSI/FBI 2005: védekezés típusai

Malware (1)

féreg nem feltétlenül kell a fertőzéshez felhasználói művelet végrehajtása (pl. biztonsági rés kihasználásánál), nem ágyazódik más, futtatható fájlokba („stand-alone”), hálózaton terjed beépített motorok révén (pl. SMTPmotorral e-mailben) vírus felhasználói művelet végrehajtása kell a fertőzéshez (pl. fertőzött állomány elindítása), futtatható fájlokba ágyazódik, felhasználó terjesztheti (pl. e-mail csatolt állományaként fertőzött állományt ad meg)

6

Malware (2)

trójai, kémszoftver felhasználó tudta nélkül működik (pl. „backdoor” nyitása későbbi támadáshoz, bizalmas adatok, jelszavak gyűjtése és továbbítása), felhasználó megtévesztése révén (pl. más alkalmazásnak álcázva magát) települ fel 7

Vírustörténelem (1) (forrás: www.viruslist.com)

8

1970 Creeper (ARPANET), Tenex OS, szöveget írt ki Reaper (ARPANET), Tenex OS, vírusként terjedt és leirtotta a Creeper vírust 1981 első vírus, vírus Elk Cloner, Apple II sz.g-ken, szöveget írt ki, boot vírus 1986 első vírus IBM PC számítógépekre, Brain, boot vírusként terjedt

Vírustörténelem (2)

9

1987 első adatromboló vírus, vírus Lehigh Suriv víruscsalád „elsői”: Suriv-1: első .com .com fájlokat fertőző vírus Suriv-2: első .exe .exe fájlokat fertőző vírus Suriv-4: Jerusalem, .com és .exe fájlokat fertőzött meg, memóriában megmaradt első féreg, féreg Christmas Tree Worm 4 nap alatt megfertőzte a European Academic Research Network (EARN) hálózatán keresztül az IBM Vnet hálózatát

Vírustörténelem (3) 1989 első trójai, trójai AIDS, rejtjelezte a merevlemez tartalmát és kiírta, hogy a visszafejtéshez szükséges kriptográfiai kulcsot a megfelelő pénzösszeg befizetése ellenében kaphatja meg a károsult 1990 első polimorf vírus, vírus Chameleon, minden fertőzés alkalmával változott a kód, így megnehezült a vírusmintákon alapuló keresés

10

Vírustörténelem (4) 1992 első komolyabb károkat okozó vírus, vírus Michelangelo, rendszerfájlok, boot rekordok, FAT (MS-DOS) sérülése, a lemez használhatatlanná tétele az első „vírus kit” megjelenése, Dark Avenger Mutation Engine (MtE), amelyet hamarosan követ a többi (VCS, GenVir, PS-MPC, NGVCK, stb.), megkönnyítve az új vírusok írását

11

Vírustörténelem (5) 1994 az első .obj .obj fájlokat fertőző vírus, vírus Shifter hírhedt rejtőzködő, polimorf fájl- és boot vírus, Onehalf, amely rejtjelezte a merevlemez tartalmát 1995 első makrómakró-vírus, vírus Concept 1996 első Windows 95 vírus, Boza első OS/2 .exe .exe fájlokat fertőző vírus, AEP első Excel vírus, Laroux

12

Vírustörténelem (6) 1997 az első Linux vírus megjelenése, Bliss IRC férgek megjelenése FTP motorral rendelkező vírus megjelenése, Homer 1998 az első Access vírus, AccessiV az első flash vírus, CIH, az első .vbs .vbs vírusok megjelenése az első PowerPoint vírus megjelenése, Attach

13

Vírustörténelem (7) 1999 első Outlook levelezőt támadó vírus, Happy99 első önmagát frissítő vírus, vírus Babylonia hírhedt makró-vírus és féreg egyben, Melissa első féreg, féreg amely nem csatolt állományként terjedt a levelekben, hanem elegendő volt elolvasni azokat, Bubbleboy, KakWorm, biztonsági rést használt ki 2000 hírhedt .vbs vírus, LoveLetter

14

Vírustörténelem (8)

15

2001 hírhedt vírusok, CodeRed, SirCam (saját SMTPmotor), Mandragore (Gnutella), Nimda 2002 első .NET vírusok, LFM, Donut hírhedt vírus, Klez 2003 hírhedt férgek, Slammer, Sobig („zombi” hálózat) 2004 hírhedt férgek, Bagle, Netsky, Sasser

BME Informatikai Központ: kód vizsgálata: a Bagle módosítja a „registry” értékeit is

16

BME Informatikai Központ: kód vizsgálata: a Bagle létrehozza a csatolt állományt tartalmazó levelet

17

BME Informatikai Központ: hálózati forgalom figyelése: a Bagle futás közben DNS lekérdezéseket küld

18

BME Informatikai Központ: fájlműveletek figyelése: a Bagle futás közben létrehozza a saját példányait a rendszerkönyvtárban

19

BME Informatikai Központ: hálózati kapcsolatok figyelése: a Bagle futás közben „hátsó ajtókat” nyit és megpróbál csatlakozni más gépekhez

20

Problémák






21

Hasznos és káros programok - Hol a határ? Nevezéktan – ahány ház annyi szokás CARO – a nevek mágiája? Számháború Másolásvédelmek és „hadibacik”

Vírusok és férgek csoportosítása Férgek csoportosítására még nincs kiforrott szempontrendszer. Trójai pr. pr.--k csoportosítására még nincs kiforrott szempontrendszer. Vírusok csoportosítása fertőzési módok szerint:
Boot vírusok
Fájl vírusok
Memória rezidens vírusok

22

Vírusok bemutatása (1) Boot vírusok: az MBR, vagy a boot-szektor fertőződik meg MBR: „boot strap” kód átírása (megmondja, hogy mit töltsön be) MBR tartalmának változtatása, törlése partíciós tábla módosítása Boot-szektor: merevlemez boot szektorának felülírása szektor megjelölése „bad” címkével, s a vírus törzsének tárolása

23

Vírusok bemutatása (2) Fájl vírusok: felülíró vírusok: a fájl valamely részét felülírják, ezzel elronthatják annak működését is hozzáfűződő vírusok: a fájl elejéhez vagy végéhez csatolják magukat, átirányítják magukra a végrehajtást, majd miután elvégezték műveleteiket, végrehajtják az eredeti programot beágyazódó („cavity”) vírusok: nem növeli a fájl méretét, a fájl üres részeibe írja be magát feldarabolva a vírus (pl. „hexa 00” helyekre). tömörítő vírusok: az eredeti fájl tartalmát vagy önmagukat tömörítik, s a végrehajtáskor végzik el a kicsomagolást

24

Vírusok bemutatása (3) EPO („Entry Point Obscuring”) vírusok: nem változtatják meg a megfertőzött program belépési pontját, csak a kódot valahol a program törzsén belül, s így kerül sor a vírus véletlenszerű indítására, futtatására Egy lehetséges jövőbeli technika: kódépítés, ahol a vírus képes vizsgálni a megfertőzött fájl utasításait („assembly”), s ezeket az utasításokat felhasználja saját maga felépítésére (pl. saját paramétereivel futtatja az adott kódot).

25

Vírusok bemutatása (4) Memória rezidens vírusok: memóriába kerül a vírus elindítás után, figyelheti az operációs rendszer működését („hook”) elvégezve a fertőzést, adatgyűjtést: fájl-, memóriaműveletek, hálózati forgalom lopakodó jelleget ölthet (task manager, regedt32 nem jelzi ki). „mutex” (egy, védett példány futtatása) használata vírus betöltése (pl. „dll injection”, kernel módban „rootkit”) hálózaton keresztül betöltheti magát a sérülékeny programba, amely kapcsolódott a hálózathoz („exploit”)

26

Besorolás fertőzési technikák szerint












ANSI bombák Logikai bombák Trójai programok Programférgek (worm) Spam, Hoax Nigériai levél, Lottó csalás Phishing Dialerek Keyloggerek

Bootvírusok Programfájl-fertőző Több

támadáspontú vírusok

FAT-fertőző ASCII

vírusok

vírusok

Makrovírusok,

27

vírusok

Rootkitek

szkriptvírusok

Besorolások feladatkör szerint

28




Időzített bombák




Trójai programok




Levélbombák




Backdoor programok




Kémprogramok, fülelők




Vírusok




Dropperek




Interloper programok




Vírusgyártó automaták




Adat-túszejtők




Jelszólopók




Tűzfal támadók




Programférgek




Botnetek




Rootkitek

Besorolások az alkalmazott speciális technikák alapján













29

Felülíró, append, mutáló, polimorf, oligomorf, metamorf lopakodó vírusok companion vírusok többtámadáspontú vírusok makróvírusok, script vírusok és férgek, dropperek, vírusgyártó kitek, rootkitek, backdoor programok

Nem program típusú támadások











30




Spam (szex, fogyókúra, gyógyszer, kölcsön, befektetés, egyéb szolgáltatások, hardver, szoftver, pornó, jelszavak, címlisták stb.) Hoax valódinak látszó felhívások, kérések, figyelmeztetések, hitelesnek látszó forrásokra hivatkozva Nigériai levél több ezer e-mailt postáznak szét kecsegtető üzleti lehetőséget ajánlva, majd rászedve áldozataikat. Lottó csalás Phishing, pharming

A Hoax, mint jelenség








31

Hoaxtípusok: – vakriasztások, rémhírek (False Alarms, Scare Chains) – városi legendák (Urban legends) – ingyen ajándékok (Give aways) – zagyva és/vagy elévült üzenetek – szimpátiafelkeltő levelek (Symphaty Letters) – hagyományos és fenyegető lánclevelek (Chain letters) – hamis céges levelek (Scam Chains) – tréfák (Jokes) – igazi legendák (True Legends) Nevezetes hoaxok http://www.symantec.com/avcenter/hoax.html A hoaxok felismerése és kiszűrése http://www.snopes.com/info/search/search.asp Hoaxinfo weboldalak Az érintett felhasználók felkészítése, az oktatás szerepe

Malware okozta károk, a kockázat


Elsődleges károk: – – – –




Másodlagos károk – –




Hitelvesztés, a bizalom elvesztése; Rossz hínév.

Harmadlagos hatások – – –

32

Programok, adatok sérülése (pótolni, javítani, újra ellenőrizni kell); A hardver fizikai sérülése (rendkívül ritka); Gépidőkiesés; Eltávolítás, helyreállítás, külső és belső szakértők költségei.

Pánik miatti adatvesztés; Pánik miatti gépidőkiesés; Hozzá nem értő víruseltávolításból eredő károk.

Hol juthatnak be a rendszerbe?













33

fertőzött mobil adathordozókon (pendrive, memóriakártya, külső adattár, flopi, CD/DVD stb.), újonnan vásárolt merevlemezeken, a helyi hálózat fertőzött szervereiről és/vagy munkaállomásairól, Internetről (FTP, weboldal, gopher stb.) letöltött fájlokban, e-mail üzenetekhez csatolva vagy az üzenetszövegbe beágyazva, IRC és/vagy chat klienseken keresztül, soros, párhuzamos, USB kábelen, infra vagy bluetooth adatkapcsolaton keresztüli adatcserével, billentyűzeten is begépelhető a rövidebb víruskód (csupán 25 karakter a legkisebb dokumentált vírus!!!).

Célpontok, potenciális áldozatok (1) Mindig a legkisebb ellenállás irányában!
A nem IT szakemberek által használt célprogramok (MS_Office, Outlook, Internet Explorer stb.) biztonsági rései, ahol automatikusan vezérléshez juthatnak a bejövő program- és adatfájlok
játékok, csereberélt programok
magazinok, könyvek flopi, CD és DVD mellékletei
a család felelőtlenebb (általában fiatalabb) tagjai által használt programok.

34

Célpontok, potenciális áldozatok (2)









Internetről, BBS-ekről letöltött (tömörített és/vagy öntelepítő) fájlok elektronikus levelek mellékleteiben és levéltörzsében érkező programok a szervizes gépe Tévhitek: – –

35

„már ellenőrzött” program és dokumentumfájlok „a mobiltelefonról nem fenyeget semmi...”

A humán faktor









36

Az emberi tényező kockázatnövelő hatásai Az oktatás hiányosságai A kockázatok nem ismerése és/vagy figyelmen kívül hagyása A „false authority syndrome” A hamis biztonságérzet „Addig tagadni, amíg ránk nem bizonyítják!”

Backup stratégia


A védendő objektumok és területek: – – – – – – –




A védendő anyagok mennyisége szerint – – – –

37




a szerver(ek) operációs rendszere(i) a Registryvel és a felhasználói adatbázissal telepített programok és beállítások adatbázisok, szerveren tárolt adatfájlok levelezés (bejövő, kimenő és tárolt levelek) Intranet és Internet (web, ftp stb.) oldalak telepítő csomagok a munkaállomások speciális könyvtárai flopi lemezeken (tömörítve) elférő 20-100 MB – streamer, 100-700 MB – CD GB nagyságrendű – DAT, DVD

Automatizálás, naplózás, tartalék rendszerek

Megelőzés vagy helyreállítás? Helyreállítás

Gépidőkiesés
Szakértők kiszállása, órabére
Víruseltávolító program(ok) költségei
Ismételt ellenőrzés(ek) költségei
Programpótlások (újratelepítés, visszaállítás, új telepítés), korlátozott számban telepíthető és önellenőrző programok
Adatvisszaállítás biztonsági mentésekről
Ismételt adatrögzítés és ellenőrzések
38 Jó hírnév elvesztése


• • • • • • • •

Megelőzés Szerveroldali (fájl- és alkalmazásszerver) védelem Levelezőszerver védelme Kliensoldali védelem Notebook gépek vírusvédelme Tűzfalak, behatolásdetektorok, VPN Éves nyomkövetés, napi-hetihavi frissítések Alkalmi kiszállás, telepítés, tanácsadás, elemzés Titkosítás, digitális azonosítás, smartcard, biometrikus felhasználó-azonosítás

Vírusellenőr programok (1)


39

A fő antivírus (AV) programtípusok – ad hoc víruskeresők – memóriarezidens vírusgátak standalone gépeken – memóriarezidens vírusgátak hálózati munkaállomásokon – szerveroldali vírusvédelem (fájl- és alkalmazásszervereken) – levelezőszerverek vírusvédelme – levelező kliensek vírusvédelme – proxy szerverek – hardveres és szoftveres tűzfalak – behatolásdetektorok – Internet Security csomagok

Vírusellenőr programok (2)






40

Alkalmazott víruskeresési-, felismerési technikák – azonosító sztring(ek) – változásdetektor – heurisztika – inteligens víruskeresés – makrovírusok keresése, azonosítása és eltávolítása – szkript alapú kártevők keresése, azonosítása és eltávolítása Víruskeresés a helyi hálózat meghajtóin Web alapú víruskereső szolgáltatások

A víruskereső beállítása










41




Védendő objektumok meghatározása a támadáspontok blokkolása alapértelmezett beállításban nem szereplő veszélyeztetett kiterjesztések naplózás a felhasználó ne kapcsolhassa ki karantén könyvtár kijelölése és beállításai alkalmazandó víruskeresési módszerek (pl. heurisztika: ismeretlen vírusok felismerésének képessége ) megválasztása programfrissítések beállításai riasztások, értesítések beállításai (felhasználó, rendszergazda, kijelölt felelős, címzett, feladó) töröljön, fertőtlenítsen, átnevezzen vagy áthelyezzen?

Kiemelten védendő objektumok















42




A flopi- és merevlemezek boot-területe A merevlemezek partíciós táblája Végrehajtható bináris programkódot tartalmazó fájlok Végrehajtható makró- és/vagy szkript-programo(ka)t tartalmazó fájlok Bináris-, makró- vagy szkript-programokat beágyazott objektumként tartalmazó dokumentumfájlok Kötegelt (batch) parancsokat tartalmazó parancsfájlok Registry BIOS Adatbázisok Levelezés Szöveges, képi és egyéb dokumentumok

A károk helyreállítása











43

Felülíró vírusok: újratelepítés, backup-ról visszamásolás A víruskód kioperálásnak módszerei és korlátai A teljes víruseltávolítás esélyei Lappangó víruspéldányok felkutatása Többtámadáspontú kártevők (Anarchy, OneHalf) Az adat- és konfigurációs fájlok ellenőrzése, helyreállítása Elkódolt fájlok, lemezterületek (OneHalf) A vírus által nyitott kiskapuk bezárása A fertőzésben érintett rendszer hibáinak kijavítása Backdoor, trójai, Rootkit-nyomok és kémprogramok eltávolítása

Az albán vagy afgán vírus Kedves olvasónk! Szerény erőforrásaink nem teszik lehetővé modern technológiák alkalmazását. Ezért arra kérjük, törölje a merevlemez „\Windows,” „\Program Files” és „\Dokumentumok” könyvtárait! Segítségét előre is köszönjük! az albán/afgán víruskészítők 44

VBS/LoveLetter

45




Mivel a Windows alapbeállításaival nem látszik a csatolt fájl(ok) kiterjesztése, a csatolmány egyszerű szövegfájlnak tűnhet.




Napok alatt kézre kerítették a Fülöp szigeteken élő vírusszerzőt.




Hiába az eredményes nyomozás, ha a törvények még nincsenek felkészítve a vírusokra.




Azóta már a legtöbb országban büntethető és büntetendő a vírusírás és vírusterjesztés.

Tévhitek a biztonságról





46

Csak eredeti, hivatalos programok, lemezek használata (VirOnCD) elegendő védelem a vírusok ellen Az ismerősöktől, ismerős helyekről érkező lemezek, fájlok biztonságosak (vírus a víruskeresőben!)




A hardveres (BIOS-ba épített) vírusvédelem elegendő




A telepített vírusvédelem 100 %-os védelmet ad (vakfoltok)




A vírus nem okozhat fizikai károsodást (CIH variánsok)




A makrovírusok, script férgek nem okoznak komoly károkat




Egy tűzfal elegendő védelem a behatolók ellen




A jelszavas védelem feltörhetetlen (jelszótörők)




A kereskedelmi programok biztonságosak (fertőzött disztribúciók)




Az ingyenes programok mind veszélyesek




Backdoor- és rootkit funkciók kereskedelmi programokban

Általános szabályok –

A REGEDIT.EXE átnevezése REGEDIT.COM-má

–

Registry és .INI helyreállítás

–

47

DOS üzemben maradéktalanul eltávolíthatók a féreg- és vírusfájlok

–

Ahol nincs DOS, ott trükközni kell

–

A csökkentett (Safe) üzemmód előnyei és használata

–

Telepítő CD-k megőrzése

–

Szoftverleltár fontossága

Segítség a webről







48

Vírusinformáció - víruslexikonok Online ellenőrzések Letöltések (próbaverziók és free keresők) Frissítések Fórumok Antivírus-tesztek

Kémprogram-keresők












49




MS AntiSpyware Beta - Windows Defender AdAware SE Personal / Professional SpyBot Search and Destroy CWShredder - Trend Micro AntiSpyware Spyware Blaster Webroot SpySweeper Spyware Doctor SpyDefense CounterSpy SpyCatcher Spyware Eliminator McAfee Antispyware

A Symantec EndPoint Protection beállításai - 1. A rendszertálcán keressük meg a SEP vezérlőközpontjának ikonját és indítsuk el a programot.

50

A Symantec EndPoint Protection beállításai - 2. A fájlrendszerek védelme Gyorsíthatja az ellenőrzést, ha az "All type" helyett a "Selected"-et választjuk. Ahol nem túl nagy a vírus-előfordulás gyakorisága, ott ne keressen, amelyek nem kapnak vezérlést, ill. csak azokban a fájltípusokban, amelyekben már ismerünk vírust.

51

A Symantec EndPoint Protection beállításai - 3. Az Advanced gombra kattintva az automatikus védelem beállításai: Ha az Auto-Protect szolgáltatást ki is kapcsolja a user, megadhatjuk az "Automatic Enabler" szekcióban, mennyi idő múltán kapcsoljon vissza. Legyen minél rövidebb!

52

A Symantec EndPoint Protection beállításai - 4. A heurisztika erősségének gyári alapbeállíta közepes. Ha a kereső a gyanús tünetek dacára sem talál fertőzést, v. nagy a valószínűsége még ismeretlen kártevők támadásának, kapcsoljuk maximálisra a védelmet.

53

A Symantec EndPoint Protection beállításai - 5. Fontos a flopi ellenőrzés megfelelő beállítása is!

54

A Symantec EndPoint Protection beállításai - 6. Minden egyes kártevőtípus esetén külön határozhatjuk meg a teendőket a fertőzés észlelésének esetére. Ha az első akció nem lehetséges, akkor a másodikat végzi el a program.

55

A Symantec EndPoint Protection beállításai - 7. A felhasználót értesítő figyelmeztető üzenetek magyarul is megírhatók. Itt a „gyógyítás” két paramétere is beállítható:

56

A Symantec EndPoint Protection beállításai - 8. Előfordulhat, hogy egyes fájlokat, foldereket ki kell zárnunk az ellenőrzésből.

57

A Symantec EndPoint Protection beállításai - 9. Az elektronikus levelezés sem védtelen. Az is megadható, hogy a szoftver ki(ke)t figyelmeztessen és milyen üzenettel. Legyen bekapcsolva a kimenő posta ellenőrzése is.

58

A Symantec EndPoint Protection beállításai - 10. A felhasználót figyelmeztető üzenetet célszerű úgy megfogalmazni, hogy ne legyen félreérthető. Érdemes magyarított üzenetet használni, amikor a program fertőzést jelez a postafiókba beérkezett levél általa módosított szövegében.

59

A Symantec EndPoint Protection beállításai - 11. Az illetéktelen módosítás ellen is védhetjük fájljainkat. (Jobb, ha magyarul figyelmeztet a rendszer.)

60

A Symantec EndPoint Protection beállításai - 12. Víruskeresési beállítások

61

A Symantec EndPoint Protection beállításai - 13.

62

Vírusminta

http://www.eicar.org/anti_virus_test_file.htm

63