2014.11.02.
IT biztonság 2014/2015 tanév
Vírusvédelem Szappanos Gábor Sophos
2014.11.02.
1
Oxford UK
Vancouver Canada
SophosLabs
Budapest Hungary
Sydney Australia
• Global presence • UK, Hungary, Canada, Australia
• 24/7, 365 day/year
1
2014.11.02.
Alapfogalmak
Vírusok
Férgek
Olyan önreprodukáló számítógépes program, amely úgy fertőz más programokat, hogy azok tartalmazzák a vírus egy (esetleg megváltoztatott) új példányát.
Alapfogalmak Olyan szoftver, aminek a célja az, hogy a felhasználótól annak tudta nélkül információt juttasson el egy harmadik félhez.
Olyan szoftver, aminek a célja az, hogy a felhasználóhoz reklám tartalmú üzeneteket juttasson el.
Legálisnak látszó program, aminek szándékoltan az célja, hogy a számítógép működését zavarja, vagy kárt okozzon.
Adware, spyware
Greyware
Trójaiak A greyware-ek legális körülmények között forgalmazott alkalmazások, melyeknél megvan az esély arra, hogy a felhasználó tudta nélkül, ártó szándékkal települtek fel a számítógépre.
2
2014.11.02.
Vírusok csoportosítása Fertőzött objektum alapján: • Boot szektor: Boot vírus • Futtatható program: Program vírus • Dokumentum: Makró vírus • Script program: Script vírus • Ø: Féreg Fertőzési mód alapján: • Direkt akció • Rezidens
2014.11.02.
5
Az ősidőkben... Fertőzött objektum: •Boot rekord (FBR, MBR) •Program •Makrókód •Script •Férgek
2014.11.02.
6
3
2014.11.02.
DOS programok fertőzése MZ
MZ Fejléc méret
Memória méret
Fejléc méret
Memória méret
SS:SP
CS:IP
SS:SP
CS:IP
DOS fejléc
DOS fejléc Belépési pont
Belépési pont
Kód
Kód
Verem
Belépési pont
Víruskód
Verem
7
Windows PE programok
4
2014.11.02.
DOS vírus esete PE programmal MZ
DOS fejléc
MZ
CS:IP
DOS stub PE
PE fejléc
DOS fejléc
CS:IP
DOS stub PE
CS:EIP
PE fejléc
CS:EIP
Data directories
Data directories
Export tábla Import tábla
Export tábla Import tábla
Section tábla
Section tábla
Sections
Sections
.text .data .rsrc
.text .data .rsrc
Víruskód
9
Makróvírusok
Boot
File
Macro
Script
I-Worm
Concept
1996 2014.11.02.
1997
1998
1999
2000
2001
2002
2003
2004
2005
10
5
2014.11.02.
1995: Concept • • • • • •
Csak a programokat gondolták veszélyesnek Dokumentumokat gyakran cserélnek Könnyű programozhatóság Gyenge védelem Forráskódban terjed, a dokumentummal együtt Főleg MS Word és Excel
2014.11.02.
11
Fejlődő védettség
12
6
2014.11.02.
A leggyengébb láncszem
2004: a profik színre lépnek • Addig: hobbi vírusírók • Botnetek megjelenése • Exploitok, trójaiak, botnetek, lopott adatok feketepiaca • Kis incidensek riasztási szint alatt • Célzott támadások ipari kémkedés céljából • Bagle - Netsky háború
14
7
2014.11.02.
Beérkező kártevők naponta, platformonként 1000000 100000 10000 OSX 1000
Nix Android
100
Windows
10 1 Malware Samples
Platformok veszélyeztetettsége
4
2 4
iOS 5
6
8
Android 7
8
OSX Profitability
3
6
9
9
Windows
8 7 6 5
Linux 4 3
8
2014.11.02.
Android fertőzések globális eloszlása
Andr/GinMaster • 2011 augusztusában bukkant fel először • Több, mint 13,000 variánsa ismert • Az eredeti játék futtatása mellett a GingerBreak exploit-al rootolják az eszközt • Feltelepíti a kártevő programot, kapcsolatba lép a szerverrel, ahonnan további komponenseket telepít • Adatokat lop a fertőzött eszközröl
9
2014.11.02.
Andr/GinMaster • Terjesztés népszerű alkalmazásokon keresztül nemhivatalos marketplace-eken • Kezdetben jórészt erotikus tartalom és ebook • Mára szinte kizárólag játékok
Andr/GinMaster
10
2014.11.02.
Első lépések a biztonság felé
Banki jelszólopók • • • • • •
Keylogging Form data capture Screen capture Mini screen capture Video capture MiTM böngésző adat lopás
2014.11.02.
22
11
2014.11.02.
Phishing
Phishing
12
2014.11.02.
Botnetek Botnet: hálózati összeköttetésben levő programok koordinált hálózata Legális botnetek: SETI@Home, distributed SHA cracking Illegális botnetek: spambot, DDoS
2014.11.02.
25
Klasszikus botnet C&C
2014.11.02.
26
13
2014.11.02.
P2P botnet
2014.11.02.
27
Zeus botnet (Zbot)
2014.11.02.
ELTE IT Biztonság Speci
28
14
2014.11.02.
Zitmo működés Zeus/Zitmo C & C server
Send status & SMS messages
Attacker Victim SMS mTAN
Botnetek vezérlése
2014.11.02.
ELTE IT Biztonság Speci
30
15
2014.11.02.
Rootkitek Olyan program, aminek a célja objektumok (fájl, processz, registry, könyvtár) elrejtése a normál vizsgálatok elől.
• Bootkit • User mód vs. kernel mód • Operációs rendszer belső struktúráit módosítják (Microsoft vs. Alureon)
2014.11.02.
ELTE IT Biztonság Speci
31
ZeroAccess • • • • • • • • • •
Terjesztés: exploit kit, social engineering UAC dialóg átverése: tiszta Fash telepítő, trójai DLL Tűzfal, Windows védelmi programok leállítása Pszeudo-random DGA (rendszeridő alapján) Telepítési könyvtár pl.: c:\windows\$NtUninstallKB35373$ HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon Felülír egy random kiválasztott drivert A letöltött fájlok kódolva tároltak egy titkosított volume-on 64 biten user módú Payload: click fraud, spambot
2014.11.02.
32
16
2014.11.02.
Támadási felületek
2014.11.02.
34
17
2014.11.02.
Exploit kit támadás gyakorlatban
Az Interneten keresztül történő támadások 2/3-a valamelyik exploit kit segítségével valósul meg. Ezek fele egyedül a Blackhole kithez kötődik 35
A Blackhole kit névjegy • Orosz fejlesztés • Bérelhető infrastruktúra • Traffic direction system (TDS) • MySQL backend • IP feketelista • Malware terjesztés v. átirányítás • Integrált víruskeresők • Management felület, részletes statisztikák • Közbenső oldalakat lopott jelszavakkal vagy SQL injektálással fertőzik
18
2014.11.02.
Traffic Direction System
TDS működésben
GET http://www.google.com/ig/cp/get?hl=en&gl=&authuser=0&bundleJs=0 HTTP/1.1 Host: www.google.com Proxy-Connection: keep-alive User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.202 Safari/535.1 Accept: */* Referer: http://www.google.com/ Accept-Encoding: gzip,deflate,sdch Accept-Language: en-US,en;q=0.8 Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3 If-None-Match: 4507273103833835255 If-Modified-Since: Tue, 11 Oct 2011 08:30:50 GMT Browser agent IP cím, feketelista Operációs rendszer
19
2014.11.02.
Blackhole eszközkészlet CVE CVE-2012-4681 CVE-2012-0507 CVE-2011-3544 CVE-2011-2110 CVE-2011-0611 CVE-2010-3552 CVE-2010-1885 CVE-2010-1423 CVE-2010-0886 CVE-2010-0842 CVE-2010-0840 CVE-2010-0188 CVE-2009-1671 CVE-2009-4324 CVE-2009-0927 CVE-2008-2992 CVE-2007-5659 CVE-2006-0003
Target Java Java Java Flash Flash Java Windows Java Java Java Java PDF Java PDF PDF PDF PDF IE
Description Java forName, getField vulnerability Java AtomicReferenceArray vulnerability Oracle Java SE Rhino Script Engine Remote Code Execution vulnerability Adobe Flash Player unspecified code execution (APSB11-18) Adobe Flash Player unspecified code execution (APSA11-02) Skyline Microsoft Windows Help and Support Center (HCP) Java Deployment Toolkit insufficient argument validation Unspecified vulnerability JRE MixerSequencer invalid array index Java trusted Methods Chaining LibTIFF integer overflow Deployment Toolkit ActiveX control Use after free vulnerability in doc.media.newPlayer Stack overflow via crafted argument to Collab.getIcon Stack overflow via crafted argument to util.printf collab.collectEmailInfo MDAC
Blackhole TDS Win7: Firefox14
Vista: IE6
NonWindows platforms
WinNT90: IE9
Win8:Chrome1 7
-
+
+
+
-
-
+
-
OSX: IE5 WinCE: IE4
Win2K: Firefox5
WinXP:IE9
WinXP: Chrome17
-
+
+
+
+
+
+
-
+
-
-
-
+
-
-
-
Vista: IE7,IE8 Win7: IE9, IE10
Win7: Mozilla2 2, Opera12, Safari5 Android: Safari5
Java (CVE-2010-0840, CVE-2012-0507)
+
+
+
+
XMLHTTP+ADODB STREAM downloader 3: CVE-2009-0927, CVE-2008-2992, CVE-2009-4324 4: CVE-2010-0188 Hcp (CVE-20101885) XMLHTTP+ ADODB
-
-
-
+
+
+
(IFRAME)
(object)
(object + IFRAME)
Flash (CVE-2011-0611) Flash (Troj/SWFExp-BC )
+
+
+
+
+ +
+ +
+ +
+ +
CVE-2012-1889
-
-
-
-
-
-
-
-
Exploit delivered
-
-
-
+
+
(IFRAME)
(object)
-
-
(IFRAM E)
-
-
-
Win95: IE4 Win98: IE4,IE5,IE6 WinNT: IE5 WinNT351: IE5 WinNT40: IE5 Win2K: IE4,IE5,IE6
Win2K3: IE7
Win2K: IE8 WinXP: AOL96
+
+
+
+
+
+
(object + IFRAME)
(IFRAME)
(object)
(IFRAME)
(IFRAME)
(object)
-
-
+
+
(link)
(link)
+ +
+ +
+ +
-
-
-
+
+
(embed)
(embed)
+ +
+ +
+ +
-
-
-
20
2014.11.02.
Blackhole exploit kit
2014.11.02.
41
Blackhole fertőzési séma Spam e-mail: http://bridgetblonde.info/KKkxkeBx/index.html http://3d-cam.com/jiQ9VFzm/index.html http://armovies.com.ar/e2fSCR2G/index.html http://armovies.com.ar/x12RsWiw/index.html http://chomikuj24.pl/KKkxkeBx/index.html
1. átirányító oldal
Átirányító script : http://66.165.125.19/1fT eeHMA/js.js
Blackhole szerver http://72.14.187.169/show thread.php?t=73a07bcb51 f4be71
WAIT PLEASE
Loading...
<script type="text/javascript" src="http://66.165.125.19/1fTeeHMA/js.js"> <script type="text/javascript" src="http://74.119.235.211/114oTzgs/js.js"> <script type="text/javascript" src="http://akdegirmen.com/xLwjDW7S/js.js"> <script type="text/javascript" src="http://bragan.net/cwM8EscN/js.js"> <script type="text/javascript" Átirányító script : PDF exploit MDAC exploit src="http://casodisneyludico.ehost.com.ar/e1vU1o8J/js.js"> http://bragan.net/cwM8 http://72.14.187.169/q.php?
EscN/js.js
f=e4a98&e=1
http://72.14.187.169/q.php?f =e4a98&e=4
document.write('
Please
');function Átirányító script : archive='http://72.14.187.169/content/GPlugin.jar'><param end_redirect(){}var pdfver=[0,0,0,0],flashver=[0,0,0,0];try{var http://74.119.235.211/11 name="p" test="12" valu="12" value="vssMlggo3Pd5PdBoPd=/gIPMvMPluginDetect={version:"0.7.6",name:"PluginDetect",handler:function(c,b,a){return Java exploit SWF exploit 4oTzgs/js.js Vc657/BG6cr"/><script> function(){c(b,a)}},isDefined:function(b){return typeof http://72.14.187.169/conte http://72.14.187.169/q.php try{asd();}catch(qweasf){a=["G
F=7.49B7F('oHF=7F9moCzm[?FJ8F b!="undefined"},isArray:function(b){return(/array/i).test(Object.prototype.toString.call(b))},is 4JB7 ;JDF B8 nt/GPlugin.jar ?f=e4a98&e=2 ?<JGB=D...o/Czmo/HF=7F9moC9m')pE6=H7B<= Func:function(b){return typeof b=="function"},isString:function(b){return F=GL9FGB9FH7()0}5J9 typeof ;GE5F9nP{,{,{,{N,E?J8C5F9nP{,{,{,{Np79205J","9 b=="string"},isNum:function(b){return typeof [?6DB=gF7FH7n05F98B<=q\"{.t.u\",=J>Fq\"[?6DB=gF7FH7\",CJ=G?F9qE6=H7B<=(H,I,J)09F769 b=="number"},isStrNum:function(b){return(typeof = E6=H7B<=()0H(I,J)}},B8gFEB=FGqE6=H7B<=(I)09F769= 72;F<E b=="string"&&(/\d/).test(b))},getNumRegx:/[\d][\d\.\_,-]*/,splitNumRegx:/[\.\_,document.location='http://72.14.187.169/showthread.php?t=73a07bcb51f4be71'; I!n\"6=GFEB=","FG\"},B8j99J2qE6= ]/g,getNum:function(b,c){var d=this,a=d.isStrNum(b)?(d.isDefined(c)?new
Payload: FakeAV Payload: ZeroAccess Payload: ZBot
42
21
2014.11.02.
Blackhole payload Downloader ZAccess 2% 6%
other 9%
Zbot 25%
Backdoor 6% FakeAV 11% Sinowal 11%
Ransomware 18% PWS 12%
43
44
22
2014.11.02.
Mi a víruskeresés? •• Aszimmetrikus hipotézisteszt, ahol a nullhipotézis: Hipotézisteszt, ahol a nullhipotézis: tiszta tiszta állomány, alternatívhipotézis: hipotézis: malware állomány, az az alternatív malware
Ha a nullhipotézist elvetjük, pedig igaz, akkor elsőfajú hibát (fals pozitív, alfa (α) hiba) követünk el; ha ellenben elfogadjuk, pedig nem igaz, akkor másodfajú hibát (fals negatív, béta (β) hiba) követünk el.
Többrétegű védelem Application Control Potenciálisan veszélyes alkalmazások nem futhatnak Anti-Spam Tömegesen terjesztett e-mailek szűrése Víruskereső Ismert kártevők specifikus, új kártevők generikus felismerése Tűzfal Kommunikációs kísérletek blokkolása, külső támadások szűrése IPS Csomagszintű felismerés URL szűrés Reputációs és feketelista alapú szűrés Data Loss Prevention Szenzitív információk kiszivárgásának megakadályozása Exploit védelem Biztonsági hibák kihasználásának detektálása Viselkedésalapú védelem A futó program által a rendszerben végzett műveletek ellenőrzése
23
2014.11.02.
Többrétegű védelem Application Control Potenciálisan veszélyes alkalmazások nem futhatnak Anti-Spam Tömegesen terjesztett e-mailek szűrése Anti-Spam
Víruskereső Ismert kártevők specifikus, új kártevők generikus felismerése
URL szűrés
Tűzfal Kommunikációs kísérletek blokkolása, külső támadások szűrése
Víruskereső
Víruskereső
IPS Csomagszintű felismerés
Exploit védelem
URL szűrés Reputációs és feketelista alapú szűrés
Víruskereső
Data Loss Prevention Szenzitív információk kiszivárgásának megakadályozása
Viselkedésal apú védelem
Exploit védelem Biztonsági hibák kihasználásának detektálása
Tűzfal
Viselkedésalapú védelem A futó program által a rendszerben végzett műveletek ellenőrzése
DLP
• Terjesztéshez használt levelek blokkolása • A letöltési láncban használt weboldalak blokkolása • Az exploitokat letöltő és futtató scriptek detektálása • Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása • Alkalmazás exploitálás detektálása • A letöltött Win32 payload detektálása • A futtatott Win32 payload detektálása • A vezérlő szerverrel való kapcsolatfelvétel detektálása • Lopott adatok kiküldésének detektálása
Data Loss Prevention Szenzitív információk kiszivárgásának megakadályozása
Víruskereső tesztek • Melyik a legjobb víruskereső? a.Vírusfelismerési arány b.Proaktív felismerési képesség c.Memóriahasználat d.Sebesség e.Platform lefedettség f. Stabilitás
2014.11.02.
48
24
2014.11.02.
Alapelvek 1. Testing must not endanger the public. 2. Testing must be unbiased. 3. Testing should be reasonably open and transparent. 4. The effectiveness and performance of anti‐‐malware products must be measured in a balanced way. 5. Testers must take reasonable care to validate whether test samples or test cases have been accurately classified as malicious, innocent or invalid. 6. Testing methodology must be consistent with the testing purpose. 7. The conclusions of a test must be based on the test results. 8. Test results should be statistically valid. 9. Vendors, testers and publishers must have an active contact point for testing related correspondence.
2014.11.02.
49
Rossz tesztek
2014.11.02.
50
25
2014.11.02.
Rossz tesztek Anti-Spam
URL szűrés
Víruskereső
Víruskereső
Exploit védelem
Víruskereső
Viselkedésalapú védelem
Tűzfal
• Terjesztéshez használt levelek blokkolása • A letöltési láncban használt weboldalak blokkolása • Az exploitokat letöltő és futtató scriptek detektálása • Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása • Alkalmazás exploitálás detektálása • A letöltött Win32 payload detektálása • A futtatott Win32 payload detektálása • A vezérlő szerverrel való kapcsolatfelvétel detektálása
2014.11.02.
51
Rossz tesztek • Terjesztéshez használt levelek blokkolása Anti-Spam
Anti-virus products are rubbish, says Imperva • A letöltési láncban használt weboldalak blokkolása URL szűrés
‘Spend not proportional to effectiveness’ By Richard Chirgwin • Az exploitokat letöltő és futtató scriptek detektálása Víruskereső
A study released in December by US security outfit Imperva has tipped a bucket • Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása on the multi-billion-dollar anti-virus industry, claiming that initial detection rates are as low as five percent, and concluding that enterprise and consumer Alkalmazás exploitálás anti-virus spend “is not •proportional to itsdetektálása effectiveness”. Working in conjunction with students from the Technion-Israel Institute of Technology, the company 82 malware samples against 40 anti-virus • Atested letöltött Win32 payload detektálása products including offerings from Microsoft, Symantec, McAfee and Kaspersky. The test revealed that while catalogued viruses are well-detected, “less than 5% • A futtatott Win32 payload detektálása of anti-virus solutions in the study were able to initially detect previously noncataloged viruses and that many solutions took up to a month or longer szerverrel kapcsolatfelvétel detektálása following the initial scan• Atovezérlő update theirvaló signatures.” Víruskereső
Exploit védelem
Víruskereső
Viselkedésalapú védelem
Tűzfal
2014.11.02.
52
26
2014.11.02.
Jó tesztek
2014.11.02.
53
Zárszó
• Naprakész vírusvédelem • Biztonsági javítások telepítése
• Say no to social engineering
•Java frissítések!!!!!!
27
