Ιόνιο ΠανεπιστήμιοΤμήμα ΠληροφορικήςΑκαδημαϊκό Έτος 2011-2012Εξάμηνο: Δ’

Ασφάλεια Υπολογιστών και

Προστασία Δεδομένων

Ενότητα E: Κακόβουλο Λογισμικό (Computer Malware

Εμμανουήλ Μάγκος

0. Motivation &

Definitions

Κακόβουλο λογισμικό (Malicious Software – Malware)1. Ορισμοί & Ταξινομία

Κώδικας που δημιουργήθηκε με σκοπό την

πραγματοποίηση ενός η περισσοτέρων εκ των παρακάτω: αλλοίωση δεδομένων ή προγραμμάτων

υποκλοπή δεδομένων

διαγραφή δεδομένων ή προγραμμάτων

παρεμπόδιση λειτουργίας ή υποβάθμιση συστήματος

Γενικά, επιθέσεις εναντίον Εμπιστευτικότητας (C)

Ακεραιότητας (I)

Διαθεσιμότητας (A)CIA

Κακόβουλο λογισμικό - Ταξινομία

1. Ιοί (Viruses) Μολυσματικό λογισμικό με

ικανότητα αυτό-αναπαραγωγής

2. «Σκουλήκια» (Worms) Μολυσματικό λογισμικό. Αυτo-

μεταδίδεται μέσω δικτύων

3. Δούρειοι Ίπποι (Trojan Horses): Μη μολυσματικό λογισμικό.

Εκτελεί κάτι «άλλο» αντί (ή,

παράλληλα) αυτό για το οποίο

προορίζεται

4. Bots - zombies Χρήση ξενιστή για κατανεμημένες

επιθέσεις (π.χ. DDOS, spam,

phishing) …

Άλλες κατηγορίες – συχνά

συνδυάζονται με προηγούμενες Spyware & Adware

Υποκλοπή στοιχείων και

χρηστών

Αποστολή μη ζητηθεισών

διαφημίσεων

Rootkits – back doors

Χαρακτηριστικά stealth,

«Κερκόπορτες» για σύνδεση

με προνόμια διαχειριστή

…

Κακόβουλο λογισμικό Κύκλος Ζωής (1)

1. Δημιουργία Περιέχει ένα σύνολο εντολών προς τον Η/Υ

Δεν απαιτούνται ιδιαίτερες τεχνικές γνώσεις

2. Αρχική Μόλυνση Εκμετάλλευση ευπαθειών προγραμμάτων ή ανθρώπινου παράγοντα

Εγκατάσταση ώστε το φορτίο να εκτελείται συχνά ή πάντα π.χ. : ΗKLM\Software\Microsoft\Windows\CurrentVersion\Run

Εγκατάσταση ώστε η ανίχνευση & η αφαίρεση να είναι δύσκολες

3. Ενεργοποίηση (έκρηξη) του φορτίου (payload) - Παρενέργειες Επιθέσεις Υποκλοπής, Διακοπής, Αλλοίωσης ή Εισαγωγής

Δεδομένα, προγράμματα, αρχεία συστήματος, τομείς εκκίνησης Δημιουργία «κερκόπορτας»

Επιθέσεις εναντίον της διαθεσιμότητας (μνήμη, bandwidth, DDOS)

Κακόβουλο λογισμικό Κύκλος Ζωής (2)

4. Αναπαραγωγή & Μετάδοση Kατά την εκτέλεση του φορτίου γίνεται προσπάθεια να

μολυνθούν άλλα υποκείμενα (προγράμματα ή Η/Υ)…

5. Ανίχνευση (detect) Ανίχνευση βλαβερού κώδικα/συμπεριφοράς

6. Εξάλειψη – Μετάλλαξη (π.χ. πολυμορφικοί ιοί) Το κακόβουλο λογισμικό εξαλείφεται.

Σε αρκετές περιπτώσεις, μια επανέκδοση παραλλαγμένη

Κακόβουλο Λογισμικό – Aναπαραγωγή & Μετάδοση

1. Μέσω ηλεκτρονικής αλληλογραφίας π.χ. Εκτέλεση συνημμένων αρχείων

2. Μέσω Web (κακόβουλος κώδικας ενσωματωμένος σε σελίδες html) π.χ. Drive-by downloads, ενεργός κώδικας, ασφάλεια browsers και web

servers, ..

3. Μέσω άλλων διαδικτυακών υπηρεσιών Chat (IRC, Instant Messengers - IM), newsgroups …

Δίκτυα ανταλλαγής αρχείων (P2P file sharing)

4. Μέσω αφαιρούμενων αποθηκευτικών μέσων USB, optical, floppy, zip,..

5. Μέσω Δικτύων Μεταγωγής Σάρωση δικτύου για εντοπισμό ευπαθειών εφαρμογών & υπηρεσιών

LAN, WLANs: κοινή χρήση αρχείων, μετάδοση μέσω Bluetooth,…

…

Symantec Internet Security Threat Report - 2010

1. Old times

Κακόβουλο λογισμικό2. Ιστορικά στοιχεία

F. Cohen, “Computer Viruses”, ASP Press, 1985

…. «program that can 'infect' other programs by modifying them to include a ...

version of itself»…

1986: Brain

1987: Christmas Card, Jerusalem

1988: The Internet Worm

1992: Michelangelo

1994: Good times (hoax)

1995: Μακρο-ιοί

1999: Melissa

1998: Chernobyl

2000: ILOVEYOU

2003: Slammer, Blaster,…

… 2006: Botnets, Wikipedia attack, Myspace/XSS, Storm worm

http://www.f-secure.com/weblog/archives/maldal.jpg

«Κλασσικοί» Ιοί (Viruses)

Κακόβουλο – παρασιτικό λογισμικό που αποτελείται από: Το “Φορτίο” (payload): κώδικας που όταν εκτελείται έχει

παρενέργειες: π.χ. Παραβίαση της εμπιστευτικότητας ή/και

ακεραιότητας ή/και διαθεσιμότητας των δεδομένων-συστημάτων

Το Μηχανισμό Αναπαραγωγής (propagation, replication):

κώδικας για την αντιγραφή σε άλλα προγράμματα (αναπαραγωγή)

στον Η/Υ

Αναπαραγωγή: Οι ιοί (συνήθως) σχεδιάζονται ώστε να

αναπαράγονται μόνοι τους σε έναν Η/Υ Π.χ. Μολύνοντας διαδοχικά τα εκτελέσιμα αρχεία του Η/Υ

Μετάδοση (σε άλλον-ους Η/Υ): απαιτείται (σε μικρό ή μεγάλο

βαθμό) η συμμετοχή του ανθρώπινου παράγοντα

«Κλασσικοί Ιοί»Παρασιτικοί Ιοί (parasitic, file-infecting)

Δημοφιλείς μέχρι την έλευση των Win 3.1

Οι ιοί αυτής της κατηγορίας «μολύνουν» άλλα προγράμματα Μόλυνση: Εκτέλεση του προγράμματος που «περιέχει» τον Ιό

Αναπαραγωγή: Όταν εκτελεστεί o «ξενιστής», ο ιός συχνά παραμένει

στην κύρια μνήμη και μολύνει άλλα προγράμματα που εκτελούνται Εισαγωγή του κώδικα του ιού στον κώδικα εκτελέσιμων

προγραμμάτων (..EXE, .COM, .BAT, .SYS, .BIN, .PIF,...)

Μετάδοση: μέσω αποσπώμενων αποθηκευτικών μέσων ή μέσω δικτύου

Memory-resident Μελέτη Περίπτωσης: Jerusalem (1987)

Non-resident (direct action) Μελέτη Περίπτωσης: ο ιός Vienna

Παρασιτικοί Ιοί (parasitic, file-infecting)H διαδικασία της Αναπαραγωγής

http://oncampus.richmond.edu/~dszajda/classes/cs395_computer_security/Fall_2004/slides/MaliciousLogic.ppt

Pre-pend Append Overwrite

AVA V A V A V Aintegrate

Μελέτη περίπτωσης: Jerusalem (memory resident)

Ανακαλύφθηκε: 10-1-1987

1. Όταν εκτελεστεί το μολυσμένο αρχείο, ο ιός παραμένει

στην κύρια μνήμη του Η/Υ

2. Φορτίο (payload) Παρασκευή και 13: ο ιός σβήνει όλα τα προγράμματα που

θα εκτελέσει ο χρήστης

3. Αναπαραγωγή Μολύνει εκτελέσιμα αρχεία με επέκταση

(COM, .EXE, .SYS, .BIN, .PIF, .OVL) όταν αυτά εκτελούνται

Ιός - Ψευδοκώδικας

http://oncampus.richmond.edu/~dszajda/classes/cs395_computer_security/Fall_2004/slides/MaliciousLogic.ppt

«Κλασσικοί Ιοί»Ιοί Boot sector

Δημοφιλείς μέχρι την έλευση των Win 95

1. Ο ιός «μολύνει» εκτελέσιμο κώδικα συστήματος που εντοπίζει σε συσκευές βοηθητικής μνήμης (π.χ. δίσκος, δισκέτα,..) π.χ. Τομέας Εκκίνησης (boot sector) ή MBR (Master Boot Record). Ως αποτέλεσμα, o ιός φορτώνεται στη μνήμη κατά την εκκίνηση

(boot) του συστήματος

2. Αναπαραγωγή: ο ιός μολύνει κάθε δίσκο ή δισκέτα που θα χρησιμοποιηθεί τοπικά στον Η/Υ.

3. Μετάδοση: Ένας Η/Υ μολύνεται με τον ιό όταν προσπαθεί να εκκινήσει το σύστημα π.χ. με «μολυσμένη» δισκέτα

Μελέτη Περίπτωσης: Michelangelo (1992), Brain (1986)

Κλασσικοί ιοί – Υβριδικοί Ιοί (Multi-partite, ή Hybrid)

Συνδυάζουν χαρακτηριστικά δύο κατηγοριών Περίπτωση: ιοί “Boot and file”

Mολύνουν τομείς εκκίνησης (π.χ. MBR) & εκτελέσιμα αρχεία

(.exe)

Ο ιός Ghostball (1989) ο πρώτος multipartite ιός

Περίπτωση: ο ιός Melissa (1999) Συνδυάζει χαρακτηριστικά Μακρο-ιού και Worm

Σύγχρονο κακόβουλο λογισμικό Σύνοψη χαρακτηριστικών δύο ή περισσότερων κατηγοριών

π.χ. Virus και trojan, trojan worms κ.λ.π

Άλλοι «Κλασσικοί Ιοί»Ιοί Companion

Εκμεταλλεύονται μια ευπάθεια του DOS Αν υπάρχουν δύο προγράμματα με το ίδιο όνομα σε έναν

κατάλογο, το Λ.Σ. θα εκτελέσει πρώτα το αρχείο .com

Ο ιός δεν μολύνει το αρχείο .exe, αλλά δημιουργεί ένα

αντίγραφο με την κατάληξη .com το οποίο περιέχει το

«φορτίο» του ιού Συχνά το αρχείο αυτό μπορεί να είναι «κρυφό» (hidden)

Ομοιότητα με τους ιούς file system: δε μολύνουν τα αρχεία

καθ’ αυτά

Τρόποι Μετάδοσης Με αποθηκευτικά μέσα (μαγνητικά-οπτικά) ή μέσω δικτύου

Άλλοι «Κλασσικοί Ιοί»Ιοί Συστήματος Αρχείων και Flash Bios

Ιοί Συστήματος Αρχείων (file system virus). Τροποποίηση του

Πίνακα Καταχώρησης Αρχείων (FAT -File Allocation Table) Γνωστοί και ως (link virus), (cluster virus), (FAT virus)

Αλλαγή του συνδέσμου που «δείχνει» προς ένα πρόγραμμα, ώστε να

«δείχνει» στη συστοιχία (cluster) όπου αρχίζει ο κώδικας του ιού Εκτελείται ο ιός αντί για το πρόγραμμα

Δεν μολύνεται το πρόγραμμα καθ’ αυτό

Πρόδρομοι των σημερινών ιών τύπου rootkit - stealth Μελέτη περίπτωσης: DIR-II

Flash Bios. Αντικατάσταση (ovewriting) του BIOS Απρόβλεπτες συνέπειες ή/και αδυναμία εκκίνησης του Η/Υ

Μελέτη Περίπτωσης: CIH/Chernobyl (1999)

Μακρό - Ιοί (Macro viruses)

Δημιουργούνται με γλώσσες σεναρίων (scripting languages) Χρήση διερμηνέα (interpreter) αντί για μεταγλωττιστή (compiler)

Ανεξαρτησία από πλατφόρμα (platform independent)

Τα σενάρια (scripts) συχνά ονομάζονται μακρο-εντολές (macros) Αυτοματοποίηση ενεργειών & αποθήκευση με τα αρχεία

Αφορούν: Επεξεργαστές κειμένου, DBMS, υπολογιστικά φύλλα

Μολύνουν αρχεία δεδομένων (και όχι προγράμματα) Μεταδίδονται πιο εύκολα, αφού τα έγγραφα ανταλλάσσονται

συχνότερα σε σχέση με τα προγράμματα

Μελέτη περίπτωσης: Melissa (1999)

O ιός Melissa (1999)

http://www.heise.de/ct/99/08/017/bild.gif

O ιός Melissa (1999)

Mακρο-ιός με στοιχεία

Worm. Όταν το θύμα ανοίγει

το .doc ο ιός μολύνει το

πρότυπο normal.dot

Μόλυνση μελλοντικών

εγγράφων word.

O Melissa στέλνει τον

εαυτό του (e-mail) στις

πρώτες 50 διευθύνσεις του

address book.

Ο ιός είχε ως στόχο

επίθεση άρνησης

εξυπηρέτησης (DOS) στους

mail servers.

O ιός δε μόλυνε

προγράμματα (όπως οι file-

infecting ιοί) αλλά μόνο

έγγραφα κειμένου

2. Worms & Bots

1. «Σκουλήκια» (Worms) -Γενικά

Αυτό-μεταδιδόμενος

κώδικας (συνήθως μικρού

μεγέθους) με σκοπό τη

γρήγορη εξάπλωση

Μικρή ή μηδενική ανάμειξη

ανθρώπινου παράγοντα

κατά τη μετάδοση

Αρχική Μόλυνση

Εκμετάλλευση ανθρώπινου

παράγο-ντα ή ευπαθειών

προγραμμάτων

Εξάπλωση & Μετάδοση

Συνήθως αυτόματα, μέσω

δικτύου Mail worms, Scanning Worms,..

«Σκουλήκια» (Worms)

Διαφορές με ιούς

1. Ένα worm είναι αυτόνομος κώδικας (stand-alone app),

Δεν προσκολλάται σε άλλα προγράμματα (ξενιστές) για να επιβιώσει

2. Δεν μολύνει προγράμματα ή αρχεία, αλλά Η/Υ

Στέλνει αντίγραφα του εαυτού του για να εκτελεστεί σε άλλους Η/Υ

3. Διαθέτει ικανότητες αυτομετάδοσης από Η/Υ σε Η/Υ

Οι ιοί αυτό-αναπαράγονται από πρόγραμμα σε πρόγραμμα, ωστόσο για

τη μετάδοση τους σε άλλους Η/Υ απαιτείται ανθρώπινη παρέμβαση

Κυρίως επιθέσεις στη Διαθεσιμότητα των συστημάτων The Internet Worm (1988)

ILOVEYOU (2000), ANNAKOURNIKOVA.JPG.VBS (2001),

Code Red (2001), Blaster, Slammer (2003), MyDoom (2004)

Ένα πρόγραμμα που προσκολλάται σε άλλα προγράμματα, θεωρείται ιός. Όταν ταξιδεύει μόνο του, θεωρείται σκουλήκι..

«Σκουλήκια» (Worms)Φορτίο (Payload)

Φορτίο

Άρνηση εξυπηρέτησης (π,χ,

bandwidth, υπολογιστικών

πόρων φόρτος σε mail servers)

Δημιουργία κερκόπορτας με

σκοπό την εξ’ αποστάσεως

διαχείριση

Δημιουργία δικτύων Botnets

Κακόβουλο φορτίο

(π.χ. αλλοίωση, διαγραφή) Περίπτωση: Witty, Nyxem,…

Ψευδοκώδικας του Witty wormhttp://www.usenix.org/events/imc05/tech/full_papers/kumar/kumar_html/index.html

«Σκουλήκια» (Worms)Μετάδοση

Αυτό-μεταδιδόμενα (self-replicating) προγράμματα π.χ. στέλνοντας e-mail σε όσους βρίσκουν στο βιβλίο επαφών

Επιτίθενται σε ευπαθείς δικτυακές εφαρμογές ή ευπαθείς

υπηρεσίες & πρωτόκολλα Λειτουργικών Συστημάτων Επιθέσεις σε hosts στο LAN ή σε απομακρυσμένους Η/Υ στο

Internet

Π.χ. Επιθέσεις Υπερχείλισης - buffer overflow

(Περιπτώσεις blaster, Slammer, Code red…)

Χρήση κοινόχρηστων αρχείων και φακέλων στο LAN

Χρήση λειτουργιών προγραμμάτων συνομιλίας (IRC ή IΜ)

Χρήση προγραμμάτων ανταλλαγής αρχείων P2P

2. E-Mail Worms

Μολυσμένος Η/Υ

infectedcomputer

mailserver

infectedcomputerΜολυσμένοι Η/Υ

Από x προς aΑπό x προς b

Από x προς cΧρήστης: Ανοίγει συνημμένο

αρχείοc

b a

ANNAKOURNIKOVA.JPG.VBS (2001),

http://www.f-secure.co.jp/v-descs/v-descs2/onthefly.htm

Τοπολογία Δικτύου Εξάπλωσης: Οι γείτονες του δικτύου είναι οι

«διευθύνσεις» ηλεκτρονικής αλληλογραφίας στο βιβλίο διευθύνσεων του

θύματος…http://www.acims.arizona.edu/PUBLICATIONS/Presentations/VirusProp.ppt

Μελέτη Περίπτωσης: «Σκουλήκι» ILOVEYOU

1. Μόλυνση: εκτέλεση συν. αρχείου

2. Αναπαραγωγή: Εντοπίζει αρχεία .JPG, JPEG, MP3,

MP2, VBS, JS, και τα αντικαθιστά με

αντίγραφο του, με κατάληξη .vbs

www.caj.co.jp/tec/ tec_n/f_il0005iloveyou.htm

Προσθέτει την ακόλουθη εγγραφή στο Μητρώο του συστήματος HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\

Win32DLL=WINDOWS\Win32DLL.vbs

3. Μετάδοση Το worm στέλνει τον εαυτό του στις επαφές του βιβλίου

διευθύνσεων

Επίσης χρησιμοποιεί λογισμικό IRC client (εάν είναι εγκατεστημένο)

Εξάπλωση: 45 εκ. χρήστες έλαβαν το email σε μία ημέρα (2000)

3. Scanning Worms

Random Scanning Το σκουλήκι επιλέγει

τυχαία μια διεύθυνση IP από το εύρος των πιθανών διευθύνσεων

Περιπτώσεις: Slammer, Code Red Ι,…

Local Preference Το σκουλήκι επιλέγει με

μεγαλύτερη πιθανότητα μια διεύθυνση από το ίδιο δίκτυο (π.χ. /16 ή /32)

Περιπτώσεις: Blaster, Code Red II,…

IPv4 space

Ένα «Μελλοντικό» worm Εφοδιασμένο με λίστα

(hitlist) από «γνωστές» διευθύνσεις κόμβων με ευπαθές λογισμικό

Flash Worm [Staniford et al 2002]

Μελέτη Περίπτωσης: The Internet Worm (1988)

Μόλυνση & Μετάδοση: Εκμετάλλευση ευπάθειας των

προγραμμάτων fingerd & sendmail σε συστήματα UNIX Π.χ. Επίθεση στο fingerd

Επίθεση υπερχείλισης καταχωρητή (buffer overflow) στο

σύστημα που «τρέχει» το fingerd

Το worm εκτελείται ως root και εγκαθίσταται στο σύστημα

Στη συνέχεια επιτίθεται σε άλλα συστήματα

Από λάθος, το worm επιτιθόταν σε Η/Υ που είχαν ήδη

μολυνθεί!

6.000 υπολογιστές (10% του Internet) κατέρρευσαν

Μελέτη Περίπτωσης: Code Red I και ΙΙ (2001)

1. Μόλυνση Υπερχείλιση καταχωρητή

(IIS Web server 4.0)

2. Μετάδοση Δημιουργία λίστας τυχαίων

IP διευθύνσεων και απόπειρα μόλυνσης

3. Φορτίο Επίθεση στο whitehouse.gov

(Code Red I)

ww

w.c

iac.

org

/cia

c/ b

ulle

tins/

l-11

7.s

htm

l

ww

w.c

iac.

org/

ciac

/ bul

letin

s/l-1

17.s

htm

l

359.000 μολύνσεις- 14 ώρες ( CERT)

Slammer (Sapphire) Worm- January 25, 2003

http://www.caida.org/analysis/security/sapphire/

74855 μολυσμένοι κόμβοι μέσα σε 30 λεπτά !!

– Το πλέον «γρήγορο» σκουλήκι μέχρι σήμερα

Slammer Worm

Ταχύτατη εξάπλωση 55.000.000 ανιχνεύσεις το

δευτερόλεπτο !!

Ο μολυσμένος πληθυσμός

διπλασιάζεται κάθε 8.5 ’’

90% των ευπαθών

συστημάτων μολύνθηκαν σε

10’ από την εμφάνιση του

worm

1. Μόλυνση Υπερχείλιση (SQL server)

2. Μετάδοση Δημιουργία λίστας τυχαίων

IP διευθύνσεων

Αποστολή ενός πακέτου 376-

bytes στην θύρα UDP/1434

για κάθε διεύθυνση IP της

λίστας

Χρήση πρωτοκόλλου UDP

στο επίπεδο μεταφοράς

3. Φορτίο Όχι κακόβουλο

Blaster (worm) – Αύγουστος 2003

http://www.upenn.edu/computing/virus/03/w32.blaster.worm.html

Μελέτη Περίπτωσης: Blaster (worm)

1. Μόλυνση & Μετάδοση: Αυτόματη (μέσω δικτύου) Λ.Σ.: Windows 2000 & Windows XP Ευπάθεια: υπηρεσία RPC (135 TCP)

Υπερχείλιση καταχωρητή (buffer overflow)

Λήψη και εκτέλεση του worm (msblast.exe) Υπηρεσία tftp – (69 UDP)

2. Φορτίο (Payload) Αλλαγή του Μητρώου.. Λογική Βόμβα: Επίθεση (DDOS) στο windowsupdate.com στις 16–08-2003 Μήνυμα σφάλματος στην υπηρεσία RPC Επανεκκίνηση

3. Αντιμετώπιση Απαιτείται και ενημέρωση του Λ.Σ. (patch) Ωστόσο το ευπαθές σύστημα που συνδέεται στο δίκτυο υφίσταται (από

γειτονικούς, μολυσμένους κόμβους) επιθέσεις υπερχείλισης επανεκκίνηση

MyDoom (worm) - 2004

vil.nai.com/vil/ content/v_131868.htm

Μελέτη Περίπτωσης: MyDoom (worm) - 2004

Μόλυνση: λήψη παραπλανητικού e-mail και εκτέλεση συν.

αρχείου

Μετάδοση: μέσω e-mail ΚΑΙ μέσω δικτύων P2P

1. Αποστολή e-mail στις επαφές του βιβλίου διευθύνσεων

2. Αντιγραφή του worm στο διαμοιραζόμενο φάκελο του KAZAA

Φορτίο (Payload) Αλλαγή στο Μητρώο…

«Κερκόπορτα» (backdoor) – στη θύρα 3127 (TCP)

Επίθεση (DDOS) στον δικτυακό τόπο www.sco.com (στις 1

ΦΕΒ 2004)

Παραλλαγές του worm: Επίθεση σε μηχανές αναζήτησης (26

ΙΟΥΛ)

Περίπτωση: Το Σκουλήκι Nimda (2001)

To ΣκουλήκιQuickTime - XSS

Κατηγορία: XSS

(Cross-Site Scripting)

Το σκουλήκι εκμεταλλεύεται

1. Ευπάθεια στην εφαρμογή

QuickTime

2. Ευπάθεια στην εφαρμογή

Web (MySpace)

Αρχική Μόλυνση: Αναπαραγωγή

του «κακόβουλου» αρχείου

video

Φορτίο: Αλλαγή προφίλ χρήστη Οι σύνδεσμοι στη σελίδα του

παραπέμπουν στο phishing site

Αντίγραφο κακόβουλου αρχείου

video ενσωματώνεται στη

σελίδα του χρήστη

To ΣκουλήκιWarezov (2006)

«Κλασσική» εξάπλωση Μετά την αρχική μόλυνση,

στέλνει τον εαυτό του σε

χρήστες του address book

Μετάλλαξη: Συνδέεται σε

απομακρυσμένο server και

«κατεβάζει» μια

ενημέρωση του κώδικά

του

Πολυμορφικές Ιδιότητες ! Server-side

polymorphism

Ανήκει στη λεγόμενη «νέα

γενιά»

http://www.f-secure.com/weblog/archives/archive-092006.html

Bots & BotnetsIntroduction

(Feily et al, 2009)

(Liu et al, 2009)

Bots Self-propagating application that

infects hosts through direct exploitation or Trojans…

What makes them special? Establish Command & Control cha-

nnel (C&C) for updates & direction Bots then run as an automated

task over the Internet (“robot”) Infected hosts: “zombies”

Botnets Many bots under control of a C&C

server form a botnet Difference with worms: bots coo-

perate towards a common purpose

Initial Infection: How? Similar to other malware classes

Scanning for vulnerabilities (like scanning worms)

Send E-mail with attachments (like mail worms)

File sharing, P2P networks, IM,… Drive-by downloads, Social engineering,… Combination of the above !

Other features

Some bots try to evade detection like rootkits

Thousands of variants

(Giu et al, 2007)* *

*

*

(Bailey et al, 2009)* *

Bots & BotnetsHow it works: (Case) A Spamming Botnet

1. A botnet operator unleashes

some malware (viruses, worms or

trojans) The bot is their payload !

2. The bot logs into a particular C&C

server (e.g., IRC or Web server).

3. A spammer purchases the

services of the botnet from the

operator & provides spam

messages to operator

4. Operator instructs compromised

machines via the control panel on

C&C server, to send out spam

msgs

*

Botnet Attacks

Economics

Collection of slave computing to

be sold for illicit activities Spamming: About 70%-90% of

spam today is due to botnets

Phishing: Zombies may be used

as web hosts for phishing attacks

Mounting DDOS attacks:

TCP SYN, UDP flooding,…

Information leakage: retrieve

(& sell) usernames &

passwords

Click Fraud: promote CTR

(clickthrough rate) artificially

*, *

*(Liu et al, 2009)

*

*

*

*

€ €

Bots & BotnetsLife cycle of a Bot (Giu et al, 2007)*

Cycle

1. Target scanning

2. infection exploit

3. binary egg

download & exec

4. C&C channel

establishment

5. outbound scanning

Cycle

1. Target scanning

2. infection exploit

3. binary egg

download & exec

4. C&C channel

establishment

5. outbound scanning

Bots & BotnetsLife cycle of a Bot (Giu et al, 2007)*

Bots & BotnetsLife cycle *(Liu et al, 2009)

Taxonomy

A. IRC-based botnets

Client-server model

Centralized architecture Agobot (2002), SDBot

(2002),

SpyBot (2003), GT bot (2004)

B. Peer-to-Peer botnets

Decentralized architecture

More difficult to detect

No central server to shut down

*(Liu et al, 2009)

*

Slaper (2002) Sinit (2003) (PKC for update auth)

Phatbot (2004), Storm worm (2007) Conficker E (2009)

*

*

* *

(Zhu et al, 2006)*

* *

* *

C. Other HTTP-based (Rustock,

Blackenergy, Conficker,… )

DNS-based (Fast-flux)

*

* *

*

*,

*

Types of Bots *(Liu et al, 2009)

IRC-based BotnetsThe IRC Network

IRC

Internet protocol for (one to

many) real-time chat

Follows the client-server model

(Legitimate) IRC-based bot

Scripts that perform automated

actions in response of an event

Support IRC channel operations Managing access lists, moving

files, sharing clients, channel

information etc...

*(Puri, 2003)

♪

(Cooke et al, 2005)*

IRC-based Botnets

*(Puri, 2003)

(Cooke et al, 2005)*

♪

IRC-based BotnetsMitigating IRC-based botnets

Botnet tracking

1. Step 1: Acquire and analyze

a copy of a bot Use Honeypots &

special analysis software

2. Step 2: Connect to IRC channel, infiltrate & collect data from botnet

Use a specially crafted IRC

client

3. Step 3: Central IRC server is

taken offline by law enforcement

(Holz et al, 2008) *

Hint: Use same strategy for HTTP-based botnets

Hint: Use same strategy for HTTP-based botnets

*, *, *

*

*, *

P2P-based Botnets(Holz et al, 2008) *

P2P network architecture All network nodes are both

clients and servers Any node can provide & retrie-

ve information at same time

Resilience Network robust against node

failures

Loosely-coupled

communication No consumer knows who

published information they get

No provider knows who gets

published information

«Τύπου» Napster

«Τύπου» Kazaa

«Τύπου» Gnutella

P2P-based BotnetsCase: Storm Worm

Propagation mechanism E-mail: body contains a

varying English text (soc.

engineering)

Binary installation:

1. User opens attachment or

2. User clicks link that exploits

a browser’s vulnerability or

suggests a download !

Polymorphic features Binary is always different

(even from same web site)

Rootkit features Goal: hide presence on host

P2P characteristics File contains info on other peers

Each peer is identified via a hash value and IP address/port

Each infected machine has an accurate clock

System time is synchronized via Network Time Protocol (NTP)

Kademlia-based DHT routing for finding other bots & controller

http://www.commtouch.com/downloads/Storm-Worm_MOTR.pdf

*, ♪, ♪

*

Wikipedia*

HTTP-based BotnetsCase: Conficker Bot *(SRI, 2009)

Case: Conficker Bot *(SRI, 2009)

Case: Conficker Bot *(SRI, 2009)

Case: Conficker Bot *(SRI, 2009)

BotnetsDetection and Analysis

Detection & Analysis

1. Traffic analysis (at network perimeter) Monitor in-bound AND

out-bound flows Signature-based , anomaly-

based, behavior-based

2. Honeypots & Honeynets Computing “baits” attract

mal-ware for analysis & detection

Goal: identify and take down controlling nodes

3. Other Techniques Mining-based detection

(Machine learning,

clustering,… Source-code analysis DNS Tracking

*

*

*

*

*,

*

*(Liu et al, 2009) *(Feily et al, 2009)

*

*

*

(Cooke et al, 2005)*

BotnetsDetection and Analysis *(Feily et al, 2009)

BotnetsPrevention and Response *(Liu et al, 2009) *(Puri, 2003)

BotnetsResearch challenges

Challenges & Future

research Arms race between

controllers & researchers

Uneven playing field Botnets are global

Detectors should be global

(not easy: privacy issues)

Thus detectors are small-

scale (not representative)

Challenges & Future

research Encrypted C&C channels

Obfuscation (e.g., alter

traffic patterns)

Adaptive botnets

The untraceable feature of

coordinated attacks

Detection of P2P botnets

(Aviv & Haeberlen, 2011)*

*

*

*

*

*

*

RootkitsIntroduction

*

(Arnold, 2011)* (Levine et al, 2005)*

Goal

Hiding the existence and

actions of the malware

History Brain (1986): stealth code

created to hide its presence Botnet by Rustock: 50% of

total spam detected (30 bpd)

Today Many worms, viruses & bots

in-clude rootkits in their payload!! (to hide themselves)

RootkitsIntroduction

Original Infection

Rootkits typically need root-

level (administrative) privileges

Trojan-like: e.g., replace a

program but keep functionality

Functionality (after infection)

Opening system backdoors

Stealing private information

Escalating privileges of

malicious processes

Disabling defense mechanisms

Hide, delete logs,…

(Shields , 2008)*

*, *

*

(Arnold, 2011)*

♥

(Joy et al, 2011)*

(Levine et al, 2005)*

(Wang et al, 2009)*

Kernel-level RootkitsFunctionality

1. Hiding (HID) Conceal info that may indicate

the presence of the attacker Files, connections, processes,

…

2. Privilege Escalation (PE) Change the user ID of process

to “root” or “administrator” Add capabilities to a process,

change entries in ACLs,…

3. Reentry (REE) Insert an alternate access path

(backdoor) e.g., command & control

(botnets)

(Petroni, 2008) *

4. Reconnaissance (REC) Gather info from target

system

Key-logging, packet sniffing,…

5. Defense neutralization (NEU) Disable security and/or safety

features of target system

Kernel-level RootkitsMechanism

1. Kernel’s Machine code (TXT) Overwrite a portion of

kernel’s machine instructions e.g., insert direct jumps

2. Processor registers (REG) Manipulate registers used to

control processor’s execution cs, eip, esp, idtr, sysenter,

dr0-dr3

3. Kernel control-flow data (FP) Modify kernel function

pointers Statically or dynamically

allocated kernel memory

(Petroni, 2008) *

4. Kernel non-control data

(NCD) e.g. value changes to critical

kernel identifiers Process ids, user ids

Kernel-level RootkitsHowTo: Hide a Process (Control flow) (Petroni, 2008) *

Kernel-level RootkitsHowTo: Hide a Process (Non-Control data) (Petroni, 2008) *

1st Generation: User-land

Modified system binaries, log cleaning, library-level rootkits

2nd Generation Kernel-land

Modify OS at low level to eva-de user-land based detection

Kernel-mode hooking

RootkitsTaxonomy

3rd Generation Virtualization

Inject stealth system at a SW layer lower than kernel

Direct Kernel Object Manipulation (DKOM) Manipulate kernel data

structures

(Shields , 2008)*

(Arnold, 2011)*

(Joy et al, 2011)*

Application-level Rootkits(user-mode)

Techniques

1. File Masquerading Malicious binaries that replace

or modify user-level programs

Malicious DIR, netstat, ps, ls,

…

2. Userland Hooks Patch, hook or replace calls to

system libraries (API calls)

Difference with masquerading Affect large number of

binaries without modifying

more than just a few libraries

Userland Hooking Mechanisms

A. IAT Hooking Modify a program’s IAT table

B. Inline Hooking

1. Replace original system libra-

ries with modified versions

2. Intercept request for the

library API

3. Call the original API and filter

responses to hide

*

(Ries, 2006) *

*

(Shields , 2008)*

Also known as run-time library patching *

Application-level Rootkits (user-mode)Inline Hooking (Ries, 2006) *

(Ries, 2006) *

Kernel-level Rootkits

(Shields , 2008)*

“Patching the Kernel”

Loadable Kernel Modules

(Unix) Extend functionality without

re-compiling the kernel

Added / removed on the fly

Load device drivers (Windows)

Kernel-mode Hooking

Hijack kernel control flow

1. Requests for kernel resources

pass through a gate

2. This gate can be hooked to

point to malicious code

Hooking Targets

1. System Call Table (SSDT) Redirection of system calls to

rootkit-defined code

2. Interrupt Descriptor Table (IDT) Rootkit can execute its

subversion code before SSDT

3. Virtual File System (VFS) Overwrite handler routines,

which provide directory listings

4. …

(Arnold, 2011)*

(Joy et al, 2011)* (Levine et al, 2005)*(Petroni, 2008) *

Kernel-level Rootkits (Kozyrakis, 2009) *

Kernel-level RootkitsSystem Call Τable Ηooking (Joy et al, 2011)*

Three approaches

1. System Call Table modification Redirect a sys_call away from

legitimate sys_call e.g., Knark rootkit

2. System Call Target modification Overwrite legitimate sys_call

targets with malicious code e.g., a jmp instruction

3. System Call Table Redirection Redirect reference to the call

table to a new system call table

*

*

(Levine et al, 2005)*

Kernel-level RootkitsSystem Call Τable Ηooking (Levine et al, 2005)*

Kernel-level RootkitsSystem Call Τable Ηooking (Kozyrakis, 2009) *

Kernel-level RootkitsSystem Call Table Redirection (Kozyrakis, 2009) *

Kernel-level RootkitsHooking Interrupt Descriptor Table (IDT) (Kozyrakis, 2009) *

Kernel-level RootkitsHooking Virtual File System (VFS) (Kozyrakis, 2009) *

Direct Kernel Object

Modification (DKOM) Direct modification of

dynamic kernel data

objects in memory Case: FU Rootkit

(Windows)

Kernel-level RootkitsDKOM (Arnold, 2011)*

*

Virtualized Rootkits

VMM (Hypervisor) Visualization platform that

allows multiple OS to run

Hypervisor rootkits Subvert user-land AND kernel-

based detection engines e.g., BluePill, SubVirt

Load host OS as guest and can

monitor all host OS activities Intercept the calls from the

kernel to the HW itself

… even without requiring a

reboot!

Research challenges How to trust the Hypervisor

(Shields , 2008) *

*

*

* *

(Joy et al, 2011)*

(King et al, 2006)* (Wang & Jiang, 2010)*

*, *

(Kozyrakis, 2009) *

RootkitsDetection

Host-based Intrusion Detection

1. Signature-based techniques Analyze the byte pattern to

identify a unique fingerprint Integrate the fingerprint

“signature” into a DB Scan the system

2. File integrity monitoring Detect modification of

sensitive binaries & libraries User and/or kernel-level

Defeat user-or-kernel land rootkits that modify binaries

Tripwire, Samhain, AIDE,…

3. Hooking detection Define “normal” memory

range for function pointers Tools: GMER, Rootkit Unhooker

4. Heuristics-Based detection (or, behaviour-based) Classify malicious behavior ba-

sed on pre-determined rules Goal: detect zero-day malware Drawback: false positives

5. Signed Kernel Modules Verify signatures before install

6. …

(Shields , 2008)* (Arnold, 2011)*

*

*

* *

*

*

*

*

(Joy et al, 2011)*

Answer 3: Differential approach Some questions are asked to

the OS on the host system

Then, the system is rebooted

to a secure read-only OS Typically located on a CD

.. same questions are asked,

look for differences (e.g.,

time)

Answer 4: Secure Logging

Questions & Answers

Answer 1: Move at lower level Virtualization techniques Hardware-based (e.g., TPM )

Answer 2: Cross-View Analysis Statically compiled tools: dire-

ctly review kernel mem & HW Booting from a safe medium DKOM: Thread analysis, direct

heuristic memory searching Network-based detection, also

using an external gateway

RootkitsDetection

(Shields , 2008)*

If detection routine is run at kernel level, how to detect kernel-level rootkits?

If detection routine is run at kernel level, how to detect kernel-level rootkits?

(Arnold, 2011)*

*, *

*

*

*

*

(Joy et al, 2011)*

*, *

Case: Sleuthkit *

RootkitsDetection (Arnold, 2011)*

*

*

RootkitsDetection (Arnold, 2011)*

RootkitsChallenges (Shields , 2008)*

Challenges

Migrate detection software

to lower (-st) abstraction

level

How to trust the core of OS Anything in the kernel can

be a target of kernel-level

rootkits

Kernel-level & VM rootkits

always difficult to detect

What about firmware-level

rootkits

*, *

Εφαρμογή Χρήστη

Λειτουργικό Σύστημα

R o o t k i t

http://www.inacom.com/resources/security/symantec.ppt

Δούρειοι Ίπποι (Trojan Horses)

Κακόβουλο λογισμικό, ενσωματωμένο σε

φαινομενικά «ακίνδυνο» (benign) λογισμικό π.χ. Screensaver, freeware-shareware, games,…

… που όμως «κρύβει» ανεπιθύμητες παρενέργειες Adware, Browser Hijackers…

Spyware, Keyloggers, dialers, bots, downloaders,

rootkits, back doors

Διαφορά με ιούς Τα trojans συνήθως δεν έχουν μηχανισμούς αναπαραγωγής &

μετάδοσης

Ωστόσο συχνά αναφέρονται-αντιμετωπίζονται ως ιοί

Trojans - Backdoors

Αρχική μόλυνση Τρόπος Α: το «φορτίο»

περιέχεται σε ένα χρήσιμο

πρόγραμμα

Τρόπος Β: Οι χρήστες

εξαπατώνται νομίζοντας ότι

είναι το εν λόγω πρόγραμμα

είναι χρήσιμο, και το

εκτελούν

Λειτουργικότητα Τα Trojans συχνά περιλαμβάνουν

μη-χανισμούς διατήρησης της

πρόσβασης

Backdoors

Περιπτώσεις Tini

Netbus, Netcat

Back Orifice 2000,

Subseven

http://cse.stanford.edu/class/sophomore-college/projects-01/distributed-computing/assets/images/trojan-horse.gif

Trojan HorsesBack Orifice 2000 ♪

Trojan HorsesSubSeven ♪

Trojan HorsesWrappers

Γνωστοί και ως wrappers, binders, packers

Εργαλεία One file exe maker

Yet another binder (YAB)

Wrappers SW που αναλαμβάνει να

συνενώσει τον κακόβουλο

κώδικα με ένα χρήσιμο

πρόγραμμα (π.χ. παιχνίδι

Στο θύμα, το αρχείο εκτελείται

ως δύο processes (μια «κρυφή»

και μια «φανερή» εφαρμογή)

http://www.informit.com/articles/article.asp?p=102181&seqNum=2&rl=1

Διατήρηση της Πρόσβασης (Backdoors)

1. Δαίμονας telnet ή κέλυφος

συνδεδεμένο με θύρα TCP π.χ. χρησιμοποιώντας το

εργαλείο Netcat

2. Δαίμονας SSH

συνδεδεμένος με θύρα TCP Μυστικότητα &

αυθεντικοποίηση

3. Κέλυφος CGI ή PHP To θύμα είναι διακομιστής

Web

4. Ανάποδο Κέλυφος

(reverse shell) Το σύστημα συνδέεται πίσω

στον εισβολέα

5. Ανάποδο κέλυφος με συρρά-

γωση (reverse tunneled shell) Παράκαμψη firewall όταν έστω

μία θύρα είναι ενεργοποιημένη!

6. Κερκόπορτα βασισμένη σε πα-

ρακολούθηση πακέτων δικτύου Παρακολούθηση & ενεργοποίη-

ση με το «κατάλληλο» πακέτο

(Kozyrakis, 2009) *

BackdoorsNetcat

VICTIM♪

BackdoorsReverse shell

Η επίθεση είναι γνωστή και

ως HTTP reverse shell

Επίθεση trojan μέσω HTTP To trojan ανοίγει ανά τακτά

χρονικά διαστήματα συνδέσεις

στο port 80 του server

(hacker) Παράκαμψη firewall

O server «απαντά» με την

εντολή που θέλει να

εκτελεστεί

Άλλα Θέματα

Τεχνικές απόκρυψης – Stealth

Παράδειγμα ιού stealth

1. O ιός παραμένει ενεργός στη μνήμη (memory resident)

2. Μολύνει όσα προγράμματα τροποποιούν τον κώδικα τους κατόπιν

μιας καθ’ όλα νόμιμης εντολής του χρήστη ή του προγράμματος π.χ. λήψη και εγκατάσταση μιας επιδιόρθωσης (patch)

Κατ’ αυτόν τον τρόπο ο ιός «ξεγελάει» τα προγράμματα anti-virus

που εκτελούν έλεγχο ακεραιότητας (integrity checking)

Ειδική περίπτωση: ΡΕΤΡΟ- ΙΟΙ (retrovirus) Ιοί που επιτίθενται σε προγράμματα antivirus, προσπαθώντας να τα

απενεργοποιήσουν ή να τα υπονομεύσουν Αλλαγή αρχείου \etc\hosts για την παρεμπόδιση της ενημέρωσης

Τερματισμός σχετικού process (π.χ. navapw32.exe, vsmon.exe)

&κατάργηση από τη λίστα αρχείων αυτόματης εκκίνησης από το Μητρώο

Τεχνικές ΑπόκρυψηςΠολυμορφικοί Ιοί (polymorphic, self-mutating)

Ο ιός δημιουργεί αντίγραφα του εαυτού του, τα οποία

διαφέρουν … με ωστόσο τα ίδια καταστροφικά αποτελέσματα

1. Ο ιός κρυπτογραφεί τον εαυτό του με ένα κλειδί που αλλάζει Εναλλακτικά: συμπίεση (compression)

2. O ιός εισάγει «θόρυβο» (noise) στα αντίγραφα του, π.χ.

αλλάζοντας τη σειρά των εντολών ή εισάγοντας στον κώδικα

άσκοπες εντολές

3. Τεχνικές μετάλλαξης ιών (virus mutation techniques) Mutation Engines ή polymorphic engines

Μελέτη περίπτωσης: Whale virus

Παράδειγμα Πολυμορφικής Συμπεριφοράς- 1

http://www.cc.gatech.edu/classes/AY2003/cs6265_fall/Polymorph_final.ppt

Παράδειγμα Πολυμορφικής Συμπεριφοράς - 2

http://www.cc.gatech.edu/classes/AY2003/cs6265_fall/Polymorph_final.ppt

Παράδειγμα Πολυμορφικής Συμπεριφοράς - 3

http://www.cc.gatech.edu/classes/AY2003/cs6265_fall/Polymorph_final.ppt

Παράδειγμα Πολυμορφικής Συμπεριφοράς - 4

http://www.cc.gatech.edu/classes/AY2003/cs6265_fall/Polymorph_final.ppt

Λογισμικό Spyware

Παρακολούθηση συμπεριφοράς χρήστη ή υποκλοπή προσ. δεδομένων

Προσωπικά στοιχεία, Usernames, Passwords, TAN, κλειδιά,

Aριθμοί πιστωτικής κάρτας, λεπτομέρειες συναλλαγών

Σχόλιο: Συσχέτιση ή συνεργασία Spyware & Adware

Σχετιζόμενα Εργαλεία: keyloggers, sniffers, cookies

Τρόποι Μόλυνσης Το λογισμικό spyware είναι το

φορτίο (payload) ενός trojan

Εγκατάσταση ως συνέπεια μιας

επίθεσης phishing, π.χ. εκτέλεση

συνημμένου ή επιλογή συνδέσμου

που παραπέμπει σε site με

κακόβουλο ενεργό κώδικα

Εγκατάσταση κατά την

πλοήγηση στο Web (π.χ. ActiveX)

http://www.codeproject.com/system/KeyLogger.asp?df=100&forumid=177768&exp=0&select=1425820

Περίπτωση: καταγραφή αγοραστικής συμπεριφοράς χρήστη και αποστολή στοιχείων σε εταιρίες (tracking companies), που με τη σειρά τους προωθούν την πληροφορία σε διαφημιστές ή παροχείς υπηρεσιών

Λογισμικό Spyware

German Law Enforcement to Use Custom Malware.(27 February 2007)German law enforcement agencies are pushing for a legal basis to be ableto use malware and spyware in investigations. The malware will be used to "bug" suspect's computers. In addition to collecting information fromthe computer itself, cameras and microphones connected to thesecomputers could be used to monitor conversations.http://www.theregister.com/2007/02/27/german_state_hackers/

--Proposed Swedish Wiretapping Law Met with Criticism (March 7 & 8, 2007)Proposed legislation in Sweden would give the National Defense Radio Establishment (FRA) the power to tap cross-border Internet traffic and phone calls without a court order.  Current law allows FRA to monitor military radio communications; police may monitor communications only if they believe there is a crime being committed and they obtain a court order.  The law would allow FRA to use data mining software to ferret out communications containing keywords. Communications within Sweden would be unaffected by the law.  If the law is approved, it would go into effect on July 1.http://www.thelocal.se/6619/20070307/

Λογισμικό Adware

Τρόποι Μόλυνσης Παρόμοιοι με τα

προγράμματα τύπου

spyware

Επιπλέον: Αυτόματη

εγκατάσταση ως πρόσθετο

στο πρόγραμμα περιήγησης Περίπτωση: Browser Helper

Objects στον Internet

Explorer

Λογισμικό που μπορεί να

σχετίζεται με:

1. Ζητηθείσα διαφήμιση Συγκατάθεση του χρήστη

(π.χ. κατά την

εγκατάσταση δωρεάν

λογισμικού)

2. Μη ζητηθείσα διαφήμιση Χωρίς τη συγκατάθεση του

χρήστη

Π.χ. παράθυρα Pop-up κατά

την περιήγηση στο Web

Spyware - Adware

http://en.wikipedia.org/wiki/Image:Benedelman-spyware-blogspot-2a.png

Λογισμικό Adware

The AP recently ran a story about a substitute

teacher who was convicted of exposing students

to pornography. Her contention that it was

inadvertent because she couldn't keep up with

pop-ups seems plausible, but the equally non-

tech-savvy jury didn't buy it (despite the fact that

the prosecution never even made a reasonable

case by checking for spyware).  What seems

particularly Kafka-esque is the potential 40-year

sentence she faces.

http://www.courant.com/news/local/statewire/hc-

14013002.apds.m0230.bc-ct--

teacfeb14,0,7509985.story

Hoax - Φάρσες

Subject: FW: VIRUS

IMPORTANT, URGENT - ALL SEEING EYE VIRUS! PASS THIS ON TO ANYONE YOU

HAVE AN E-MAIL ADDRESS FOR. If you receive an email titled "We Are Watching

You!" DO NOT OPEN IT! It will erase everything on your hard drive. This

information was announced yesterday morning from IBM, FBI and Microsoft

states that this is a very dangerous and malicious virus, much worse than the "I

Love You," virus and that there is NO remedy for it at this time.

Some very sick individual has succeeded in using the reformat function from

Norton Utilities causing it to completely erase all documents on the hard drive. It

has been designed to work with Netscape Navigator and Microsoft Internet

Explorer. It destroys Macintosh and IBM compatible computers. This is a new,

very malicious virus and not many people on your address book will know about

it. Pass this warning along to EVERYONE in it and please share it with all your

online friendsASAP so that this threat may be stopped.

Προστασία από Κακόβουλο λογισμικόΆλλα θέματα

Εκπαίδευση – Ενημέρωση των χρηστών

Κοινή λογική (Common Sense)

Ποιόν εμπιστευόμαστε; Είναι ασφαλές το λογισμικό που «κατεβάζουμε» από το Internet;

Εμπιστεύομαι το αρχείο που έχει επισυναφθεί στο e-mail;

Οργανισμοί για την ασφάλεια και προστασία από κακόβουλο

λογισμικό CERT (Computer Emergency Response Team)

OECD (Organisation for Economic Co-operation and

Development)

…

1. Εγκατάσταση και λειτουργία ενός Προσωπικού Firewall

2. Λήψη Ενημερώσεων Ασφάλειας και Επιδιορθώσεων

3. Εγκατάσταση και λειτουργία (στο παρασκήνιο) προγράμματος

Anitvirus

4. Περιοδικός Έλεγχος με τη χρήση προγραμμάτων AntiRootkit,

Antispyware

5. Ρυθμίσεις Ασφάλειας στα προγράμματα περιήγησης στο web,

ηλεκτρονικής αλληλογραφίας και εφαρμογών γραφείου

6. Εκτέλεση με ελάχιστα προνόμια (π.χ. σύνδεση στο Internet ως

χρήστης χαμηλών δικαιωμάτων)

7. Δυσπιστία κατά τη λήψη συνημμένων ή/και επίσκεψη δικτυακών

σελίδων

8. Φυσική ασφάλεια στο χώρο λειτουργίας του Η/Υ

Πολιτικές Ασφάλειας

Κακόβουλο Λογισμικό: Κίνητρα και Αιτίες…

Κίνητρα Διασκέδαση, Περιέργεια, Μίσος, εκδίκηση, ακτιβισμός,…

Χρήμα, Βιομηχανική κατασκοπία

Φήμη-Δόξα (Κοινωνίες Hakers)

Αιτίες Ανεπαρκής Έλεγχος Πρόσβασης στα σύγχρονα Λ.Σ

Π.χ. εφαρμογή που εκτελείται με δικαιώματα administrator

Απροσεξία χρηστών, Ελλιπής εκπαίδευση Π.χ. επιθέσεις κοινωνικής μηχανικής

Σχεδίαση εφαρμογών και Λ.Σ. χωρίς έμφαση στην ασφάλεια Ασφάλεια: ένα χαρακτηριστικό που προστίθεται στην πορεία…

Μύθοι και Πραγματικότητα…

Μύθος 1 Στόχος είναι τα

προγράμματα της ΧΧΧ

διότι είναι περισσότερο

ευπαθή…

Αλήθεια 1 Στόχος είναι τα

προγράμματα της XXX

διότι είναι τα πλέον

δημοφιλή…

Μύθος 2 Τα κινητά τηλέφωνα

είναι πιο ασφαλή…

Αλήθειες 2 Τα τηλέφωνα γίνονται ολοένα και

πιο «έξυπνα», και οι συνδέσεις πιο

γρήγορες Διαβλέπετε τις προοπτικές;

Οι ιοί κινητών τηλεφώνων σήμερα

μοιάζουν με τους ιούς τα πρώτα

χρόνια του Internet Hobbyist, amateurs

Σε αντίθεση με τους Η/Υ, τα κινητά

έχουν ενσωματωμένο σύστημα

χρέωσης !!! Φαντάζεστε ένα worm-dialer σε

συσκευές κινητής τηλεφωνίας

Μέλλον: Botnets από κινητά (?)

Συμπεράσματα

«Three basic things allow viruses to spread: sharing,

programming, and changes. All we have to do is eliminate

those three things and we will be perfectly free of viruses.»

Fred Cohen, Short Course on Computer Viruses, 2nd Edition

«There is no such thing as absolute security. Whether a host

is penetrated depends on the time, money and risk that an

attacker is willing to spend, compared with the time, money,

and diligence we are willing to commit to defending a host»

Cheswick et al. 2003