Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό...
Post on 14-Jan-2016
38 Views
Preview:
DESCRIPTION
TRANSCRIPT
Ιόνιο ΠανεπιστήμιοΤμήμα ΠληροφορικήςΑκαδημαϊκό Έτος 2011-2012Εξάμηνο: Δ’
Ασφάλεια Υπολογιστών και
Προστασία Δεδομένων
Ενότητα E: Κακόβουλο Λογισμικό (Computer Malware
Εμμανουήλ Μάγκος
0. Motivation &
Definitions
Κακόβουλο λογισμικό (Malicious Software – Malware)1. Ορισμοί & Ταξινομία
Κώδικας που δημιουργήθηκε με σκοπό την
πραγματοποίηση ενός η περισσοτέρων εκ των παρακάτω: αλλοίωση δεδομένων ή προγραμμάτων
υποκλοπή δεδομένων
διαγραφή δεδομένων ή προγραμμάτων
παρεμπόδιση λειτουργίας ή υποβάθμιση συστήματος
Γενικά, επιθέσεις εναντίον Εμπιστευτικότητας (C)
Ακεραιότητας (I)
Διαθεσιμότητας (A)CIA
Κακόβουλο λογισμικό - Ταξινομία
1. Ιοί (Viruses) Μολυσματικό λογισμικό με
ικανότητα αυτό-αναπαραγωγής
2. «Σκουλήκια» (Worms) Μολυσματικό λογισμικό. Αυτo-
μεταδίδεται μέσω δικτύων
3. Δούρειοι Ίπποι (Trojan Horses): Μη μολυσματικό λογισμικό.
Εκτελεί κάτι «άλλο» αντί (ή,
παράλληλα) αυτό για το οποίο
προορίζεται
4. Bots - zombies Χρήση ξενιστή για κατανεμημένες
επιθέσεις (π.χ. DDOS, spam,
phishing) …
Άλλες κατηγορίες – συχνά
συνδυάζονται με προηγούμενες Spyware & Adware
Υποκλοπή στοιχείων και
χρηστών
Αποστολή μη ζητηθεισών
διαφημίσεων
Rootkits – back doors
Χαρακτηριστικά stealth,
«Κερκόπορτες» για σύνδεση
με προνόμια διαχειριστή
…
Κακόβουλο λογισμικό Κύκλος Ζωής (1)
1. Δημιουργία Περιέχει ένα σύνολο εντολών προς τον Η/Υ
Δεν απαιτούνται ιδιαίτερες τεχνικές γνώσεις
2. Αρχική Μόλυνση Εκμετάλλευση ευπαθειών προγραμμάτων ή ανθρώπινου παράγοντα
Εγκατάσταση ώστε το φορτίο να εκτελείται συχνά ή πάντα π.χ. : ΗKLM\Software\Microsoft\Windows\CurrentVersion\Run
Εγκατάσταση ώστε η ανίχνευση & η αφαίρεση να είναι δύσκολες
3. Ενεργοποίηση (έκρηξη) του φορτίου (payload) - Παρενέργειες Επιθέσεις Υποκλοπής, Διακοπής, Αλλοίωσης ή Εισαγωγής
Δεδομένα, προγράμματα, αρχεία συστήματος, τομείς εκκίνησης Δημιουργία «κερκόπορτας»
Επιθέσεις εναντίον της διαθεσιμότητας (μνήμη, bandwidth, DDOS)
Κακόβουλο λογισμικό Κύκλος Ζωής (2)
4. Αναπαραγωγή & Μετάδοση Kατά την εκτέλεση του φορτίου γίνεται προσπάθεια να
μολυνθούν άλλα υποκείμενα (προγράμματα ή Η/Υ)…
5. Ανίχνευση (detect) Ανίχνευση βλαβερού κώδικα/συμπεριφοράς
6. Εξάλειψη – Μετάλλαξη (π.χ. πολυμορφικοί ιοί) Το κακόβουλο λογισμικό εξαλείφεται.
Σε αρκετές περιπτώσεις, μια επανέκδοση παραλλαγμένη
Κακόβουλο Λογισμικό – Aναπαραγωγή & Μετάδοση
1. Μέσω ηλεκτρονικής αλληλογραφίας π.χ. Εκτέλεση συνημμένων αρχείων
2. Μέσω Web (κακόβουλος κώδικας ενσωματωμένος σε σελίδες html) π.χ. Drive-by downloads, ενεργός κώδικας, ασφάλεια browsers και web
servers, ..
3. Μέσω άλλων διαδικτυακών υπηρεσιών Chat (IRC, Instant Messengers - IM), newsgroups …
Δίκτυα ανταλλαγής αρχείων (P2P file sharing)
4. Μέσω αφαιρούμενων αποθηκευτικών μέσων USB, optical, floppy, zip,..
5. Μέσω Δικτύων Μεταγωγής Σάρωση δικτύου για εντοπισμό ευπαθειών εφαρμογών & υπηρεσιών
LAN, WLANs: κοινή χρήση αρχείων, μετάδοση μέσω Bluetooth,…
…
Symantec Internet Security Threat Report - 2010
1. Old times
Κακόβουλο λογισμικό2. Ιστορικά στοιχεία
F. Cohen, “Computer Viruses”, ASP Press, 1985
…. «program that can 'infect' other programs by modifying them to include a ...
version of itself»…
1986: Brain
1987: Christmas Card, Jerusalem
1988: The Internet Worm
1992: Michelangelo
1994: Good times (hoax)
1995: Μακρο-ιοί
1999: Melissa
1998: Chernobyl
2000: ILOVEYOU
2003: Slammer, Blaster,…
… 2006: Botnets, Wikipedia attack, Myspace/XSS, Storm worm
http://www.f-secure.com/weblog/archives/maldal.jpg
«Κλασσικοί» Ιοί (Viruses)
Κακόβουλο – παρασιτικό λογισμικό που αποτελείται από: Το “Φορτίο” (payload): κώδικας που όταν εκτελείται έχει
παρενέργειες: π.χ. Παραβίαση της εμπιστευτικότητας ή/και
ακεραιότητας ή/και διαθεσιμότητας των δεδομένων-συστημάτων
Το Μηχανισμό Αναπαραγωγής (propagation, replication):
κώδικας για την αντιγραφή σε άλλα προγράμματα (αναπαραγωγή)
στον Η/Υ
Αναπαραγωγή: Οι ιοί (συνήθως) σχεδιάζονται ώστε να
αναπαράγονται μόνοι τους σε έναν Η/Υ Π.χ. Μολύνοντας διαδοχικά τα εκτελέσιμα αρχεία του Η/Υ
Μετάδοση (σε άλλον-ους Η/Υ): απαιτείται (σε μικρό ή μεγάλο
βαθμό) η συμμετοχή του ανθρώπινου παράγοντα
«Κλασσικοί Ιοί»Παρασιτικοί Ιοί (parasitic, file-infecting)
Δημοφιλείς μέχρι την έλευση των Win 3.1
Οι ιοί αυτής της κατηγορίας «μολύνουν» άλλα προγράμματα Μόλυνση: Εκτέλεση του προγράμματος που «περιέχει» τον Ιό
Αναπαραγωγή: Όταν εκτελεστεί o «ξενιστής», ο ιός συχνά παραμένει
στην κύρια μνήμη και μολύνει άλλα προγράμματα που εκτελούνται Εισαγωγή του κώδικα του ιού στον κώδικα εκτελέσιμων
προγραμμάτων (..EXE, .COM, .BAT, .SYS, .BIN, .PIF,...)
Μετάδοση: μέσω αποσπώμενων αποθηκευτικών μέσων ή μέσω δικτύου
Memory-resident Μελέτη Περίπτωσης: Jerusalem (1987)
Non-resident (direct action) Μελέτη Περίπτωσης: ο ιός Vienna
Παρασιτικοί Ιοί (parasitic, file-infecting)H διαδικασία της Αναπαραγωγής
http://oncampus.richmond.edu/~dszajda/classes/cs395_computer_security/Fall_2004/slides/MaliciousLogic.ppt
Pre-pend Append Overwrite
AVA V A V A V Aintegrate
Μελέτη περίπτωσης: Jerusalem (memory resident)
Ανακαλύφθηκε: 10-1-1987
1. Όταν εκτελεστεί το μολυσμένο αρχείο, ο ιός παραμένει
στην κύρια μνήμη του Η/Υ
2. Φορτίο (payload) Παρασκευή και 13: ο ιός σβήνει όλα τα προγράμματα που
θα εκτελέσει ο χρήστης
3. Αναπαραγωγή Μολύνει εκτελέσιμα αρχεία με επέκταση
(COM, .EXE, .SYS, .BIN, .PIF, .OVL) όταν αυτά εκτελούνται
Ιός - Ψευδοκώδικας
http://oncampus.richmond.edu/~dszajda/classes/cs395_computer_security/Fall_2004/slides/MaliciousLogic.ppt
«Κλασσικοί Ιοί»Ιοί Boot sector
Δημοφιλείς μέχρι την έλευση των Win 95
1. Ο ιός «μολύνει» εκτελέσιμο κώδικα συστήματος που εντοπίζει σε συσκευές βοηθητικής μνήμης (π.χ. δίσκος, δισκέτα,..) π.χ. Τομέας Εκκίνησης (boot sector) ή MBR (Master Boot Record). Ως αποτέλεσμα, o ιός φορτώνεται στη μνήμη κατά την εκκίνηση
(boot) του συστήματος
2. Αναπαραγωγή: ο ιός μολύνει κάθε δίσκο ή δισκέτα που θα χρησιμοποιηθεί τοπικά στον Η/Υ.
3. Μετάδοση: Ένας Η/Υ μολύνεται με τον ιό όταν προσπαθεί να εκκινήσει το σύστημα π.χ. με «μολυσμένη» δισκέτα
Μελέτη Περίπτωσης: Michelangelo (1992), Brain (1986)
Κλασσικοί ιοί – Υβριδικοί Ιοί (Multi-partite, ή Hybrid)
Συνδυάζουν χαρακτηριστικά δύο κατηγοριών Περίπτωση: ιοί “Boot and file”
Mολύνουν τομείς εκκίνησης (π.χ. MBR) & εκτελέσιμα αρχεία
(.exe)
Ο ιός Ghostball (1989) ο πρώτος multipartite ιός
Περίπτωση: ο ιός Melissa (1999) Συνδυάζει χαρακτηριστικά Μακρο-ιού και Worm
Σύγχρονο κακόβουλο λογισμικό Σύνοψη χαρακτηριστικών δύο ή περισσότερων κατηγοριών
π.χ. Virus και trojan, trojan worms κ.λ.π
Άλλοι «Κλασσικοί Ιοί»Ιοί Companion
Εκμεταλλεύονται μια ευπάθεια του DOS Αν υπάρχουν δύο προγράμματα με το ίδιο όνομα σε έναν
κατάλογο, το Λ.Σ. θα εκτελέσει πρώτα το αρχείο .com
Ο ιός δεν μολύνει το αρχείο .exe, αλλά δημιουργεί ένα
αντίγραφο με την κατάληξη .com το οποίο περιέχει το
«φορτίο» του ιού Συχνά το αρχείο αυτό μπορεί να είναι «κρυφό» (hidden)
Ομοιότητα με τους ιούς file system: δε μολύνουν τα αρχεία
καθ’ αυτά
Τρόποι Μετάδοσης Με αποθηκευτικά μέσα (μαγνητικά-οπτικά) ή μέσω δικτύου
Άλλοι «Κλασσικοί Ιοί»Ιοί Συστήματος Αρχείων και Flash Bios
Ιοί Συστήματος Αρχείων (file system virus). Τροποποίηση του
Πίνακα Καταχώρησης Αρχείων (FAT -File Allocation Table) Γνωστοί και ως (link virus), (cluster virus), (FAT virus)
Αλλαγή του συνδέσμου που «δείχνει» προς ένα πρόγραμμα, ώστε να
«δείχνει» στη συστοιχία (cluster) όπου αρχίζει ο κώδικας του ιού Εκτελείται ο ιός αντί για το πρόγραμμα
Δεν μολύνεται το πρόγραμμα καθ’ αυτό
Πρόδρομοι των σημερινών ιών τύπου rootkit - stealth Μελέτη περίπτωσης: DIR-II
Flash Bios. Αντικατάσταση (ovewriting) του BIOS Απρόβλεπτες συνέπειες ή/και αδυναμία εκκίνησης του Η/Υ
Μελέτη Περίπτωσης: CIH/Chernobyl (1999)
Μακρό - Ιοί (Macro viruses)
Δημιουργούνται με γλώσσες σεναρίων (scripting languages) Χρήση διερμηνέα (interpreter) αντί για μεταγλωττιστή (compiler)
Ανεξαρτησία από πλατφόρμα (platform independent)
Τα σενάρια (scripts) συχνά ονομάζονται μακρο-εντολές (macros) Αυτοματοποίηση ενεργειών & αποθήκευση με τα αρχεία
Αφορούν: Επεξεργαστές κειμένου, DBMS, υπολογιστικά φύλλα
Μολύνουν αρχεία δεδομένων (και όχι προγράμματα) Μεταδίδονται πιο εύκολα, αφού τα έγγραφα ανταλλάσσονται
συχνότερα σε σχέση με τα προγράμματα
Μελέτη περίπτωσης: Melissa (1999)
O ιός Melissa (1999)
http://www.heise.de/ct/99/08/017/bild.gif
O ιός Melissa (1999)
Mακρο-ιός με στοιχεία
Worm. Όταν το θύμα ανοίγει
το .doc ο ιός μολύνει το
πρότυπο normal.dot
Μόλυνση μελλοντικών
εγγράφων word.
O Melissa στέλνει τον
εαυτό του (e-mail) στις
πρώτες 50 διευθύνσεις του
address book.
Ο ιός είχε ως στόχο
επίθεση άρνησης
εξυπηρέτησης (DOS) στους
mail servers.
O ιός δε μόλυνε
προγράμματα (όπως οι file-
infecting ιοί) αλλά μόνο
έγγραφα κειμένου
2. Worms & Bots
1. «Σκουλήκια» (Worms) -Γενικά
Αυτό-μεταδιδόμενος
κώδικας (συνήθως μικρού
μεγέθους) με σκοπό τη
γρήγορη εξάπλωση
Μικρή ή μηδενική ανάμειξη
ανθρώπινου παράγοντα
κατά τη μετάδοση
Αρχική Μόλυνση
Εκμετάλλευση ανθρώπινου
παράγο-ντα ή ευπαθειών
προγραμμάτων
Εξάπλωση & Μετάδοση
Συνήθως αυτόματα, μέσω
δικτύου Mail worms, Scanning Worms,..
«Σκουλήκια» (Worms)
Διαφορές με ιούς
1. Ένα worm είναι αυτόνομος κώδικας (stand-alone app),
Δεν προσκολλάται σε άλλα προγράμματα (ξενιστές) για να επιβιώσει
2. Δεν μολύνει προγράμματα ή αρχεία, αλλά Η/Υ
Στέλνει αντίγραφα του εαυτού του για να εκτελεστεί σε άλλους Η/Υ
3. Διαθέτει ικανότητες αυτομετάδοσης από Η/Υ σε Η/Υ
Οι ιοί αυτό-αναπαράγονται από πρόγραμμα σε πρόγραμμα, ωστόσο για
τη μετάδοση τους σε άλλους Η/Υ απαιτείται ανθρώπινη παρέμβαση
Κυρίως επιθέσεις στη Διαθεσιμότητα των συστημάτων The Internet Worm (1988)
ILOVEYOU (2000), ANNAKOURNIKOVA.JPG.VBS (2001),
Code Red (2001), Blaster, Slammer (2003), MyDoom (2004)
Ένα πρόγραμμα που προσκολλάται σε άλλα προγράμματα, θεωρείται ιός. Όταν ταξιδεύει μόνο του, θεωρείται σκουλήκι..
«Σκουλήκια» (Worms)Φορτίο (Payload)
Φορτίο
Άρνηση εξυπηρέτησης (π,χ,
bandwidth, υπολογιστικών
πόρων φόρτος σε mail servers)
Δημιουργία κερκόπορτας με
σκοπό την εξ’ αποστάσεως
διαχείριση
Δημιουργία δικτύων Botnets
Κακόβουλο φορτίο
(π.χ. αλλοίωση, διαγραφή) Περίπτωση: Witty, Nyxem,…
Ψευδοκώδικας του Witty wormhttp://www.usenix.org/events/imc05/tech/full_papers/kumar/kumar_html/index.html
«Σκουλήκια» (Worms)Μετάδοση
Αυτό-μεταδιδόμενα (self-replicating) προγράμματα π.χ. στέλνοντας e-mail σε όσους βρίσκουν στο βιβλίο επαφών
Επιτίθενται σε ευπαθείς δικτυακές εφαρμογές ή ευπαθείς
υπηρεσίες & πρωτόκολλα Λειτουργικών Συστημάτων Επιθέσεις σε hosts στο LAN ή σε απομακρυσμένους Η/Υ στο
Internet
Π.χ. Επιθέσεις Υπερχείλισης - buffer overflow
(Περιπτώσεις blaster, Slammer, Code red…)
Χρήση κοινόχρηστων αρχείων και φακέλων στο LAN
Χρήση λειτουργιών προγραμμάτων συνομιλίας (IRC ή IΜ)
Χρήση προγραμμάτων ανταλλαγής αρχείων P2P
2. E-Mail Worms
Μολυσμένος Η/Υ
infectedcomputer
mailserver
infectedcomputerΜολυσμένοι Η/Υ
Από x προς aΑπό x προς b
Από x προς cΧρήστης: Ανοίγει συνημμένο
αρχείοc
b a
ANNAKOURNIKOVA.JPG.VBS (2001),
http://www.f-secure.co.jp/v-descs/v-descs2/onthefly.htm
Τοπολογία Δικτύου Εξάπλωσης: Οι γείτονες του δικτύου είναι οι
«διευθύνσεις» ηλεκτρονικής αλληλογραφίας στο βιβλίο διευθύνσεων του
θύματος…http://www.acims.arizona.edu/PUBLICATIONS/Presentations/VirusProp.ppt
Μελέτη Περίπτωσης: «Σκουλήκι» ILOVEYOU
1. Μόλυνση: εκτέλεση συν. αρχείου
2. Αναπαραγωγή: Εντοπίζει αρχεία .JPG, JPEG, MP3,
MP2, VBS, JS, και τα αντικαθιστά με
αντίγραφο του, με κατάληξη .vbs
www.caj.co.jp/tec/ tec_n/f_il0005iloveyou.htm
Προσθέτει την ακόλουθη εγγραφή στο Μητρώο του συστήματος HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
Win32DLL=WINDOWS\Win32DLL.vbs
3. Μετάδοση Το worm στέλνει τον εαυτό του στις επαφές του βιβλίου
διευθύνσεων
Επίσης χρησιμοποιεί λογισμικό IRC client (εάν είναι εγκατεστημένο)
Εξάπλωση: 45 εκ. χρήστες έλαβαν το email σε μία ημέρα (2000)
3. Scanning Worms
Random Scanning Το σκουλήκι επιλέγει
τυχαία μια διεύθυνση IP από το εύρος των πιθανών διευθύνσεων
Περιπτώσεις: Slammer, Code Red Ι,…
Local Preference Το σκουλήκι επιλέγει με
μεγαλύτερη πιθανότητα μια διεύθυνση από το ίδιο δίκτυο (π.χ. /16 ή /32)
Περιπτώσεις: Blaster, Code Red II,…
IPv4 space
Ένα «Μελλοντικό» worm Εφοδιασμένο με λίστα
(hitlist) από «γνωστές» διευθύνσεις κόμβων με ευπαθές λογισμικό
Flash Worm [Staniford et al 2002]
Μελέτη Περίπτωσης: The Internet Worm (1988)
Μόλυνση & Μετάδοση: Εκμετάλλευση ευπάθειας των
προγραμμάτων fingerd & sendmail σε συστήματα UNIX Π.χ. Επίθεση στο fingerd
Επίθεση υπερχείλισης καταχωρητή (buffer overflow) στο
σύστημα που «τρέχει» το fingerd
Το worm εκτελείται ως root και εγκαθίσταται στο σύστημα
Στη συνέχεια επιτίθεται σε άλλα συστήματα
Από λάθος, το worm επιτιθόταν σε Η/Υ που είχαν ήδη
μολυνθεί!
6.000 υπολογιστές (10% του Internet) κατέρρευσαν
Μελέτη Περίπτωσης: Code Red I και ΙΙ (2001)
1. Μόλυνση Υπερχείλιση καταχωρητή
(IIS Web server 4.0)
2. Μετάδοση Δημιουργία λίστας τυχαίων
IP διευθύνσεων και απόπειρα μόλυνσης
3. Φορτίο Επίθεση στο whitehouse.gov
(Code Red I)
ww
w.c
iac.
org
/cia
c/ b
ulle
tins/
l-11
7.s
htm
l
ww
w.c
iac.
org/
ciac
/ bul
letin
s/l-1
17.s
htm
l
359.000 μολύνσεις- 14 ώρες ( CERT)
Slammer (Sapphire) Worm- January 25, 2003
http://www.caida.org/analysis/security/sapphire/
74855 μολυσμένοι κόμβοι μέσα σε 30 λεπτά !!
– Το πλέον «γρήγορο» σκουλήκι μέχρι σήμερα
Slammer Worm
Ταχύτατη εξάπλωση 55.000.000 ανιχνεύσεις το
δευτερόλεπτο !!
Ο μολυσμένος πληθυσμός
διπλασιάζεται κάθε 8.5 ’’
90% των ευπαθών
συστημάτων μολύνθηκαν σε
10’ από την εμφάνιση του
worm
1. Μόλυνση Υπερχείλιση (SQL server)
2. Μετάδοση Δημιουργία λίστας τυχαίων
IP διευθύνσεων
Αποστολή ενός πακέτου 376-
bytes στην θύρα UDP/1434
για κάθε διεύθυνση IP της
λίστας
Χρήση πρωτοκόλλου UDP
στο επίπεδο μεταφοράς
3. Φορτίο Όχι κακόβουλο
Blaster (worm) – Αύγουστος 2003
http://www.upenn.edu/computing/virus/03/w32.blaster.worm.html
Μελέτη Περίπτωσης: Blaster (worm)
1. Μόλυνση & Μετάδοση: Αυτόματη (μέσω δικτύου) Λ.Σ.: Windows 2000 & Windows XP Ευπάθεια: υπηρεσία RPC (135 TCP)
Υπερχείλιση καταχωρητή (buffer overflow)
Λήψη και εκτέλεση του worm (msblast.exe) Υπηρεσία tftp – (69 UDP)
2. Φορτίο (Payload) Αλλαγή του Μητρώου.. Λογική Βόμβα: Επίθεση (DDOS) στο windowsupdate.com στις 16–08-2003 Μήνυμα σφάλματος στην υπηρεσία RPC Επανεκκίνηση
3. Αντιμετώπιση Απαιτείται και ενημέρωση του Λ.Σ. (patch) Ωστόσο το ευπαθές σύστημα που συνδέεται στο δίκτυο υφίσταται (από
γειτονικούς, μολυσμένους κόμβους) επιθέσεις υπερχείλισης επανεκκίνηση
MyDoom (worm) - 2004
vil.nai.com/vil/ content/v_131868.htm
Μελέτη Περίπτωσης: MyDoom (worm) - 2004
Μόλυνση: λήψη παραπλανητικού e-mail και εκτέλεση συν.
αρχείου
Μετάδοση: μέσω e-mail ΚΑΙ μέσω δικτύων P2P
1. Αποστολή e-mail στις επαφές του βιβλίου διευθύνσεων
2. Αντιγραφή του worm στο διαμοιραζόμενο φάκελο του KAZAA
Φορτίο (Payload) Αλλαγή στο Μητρώο…
«Κερκόπορτα» (backdoor) – στη θύρα 3127 (TCP)
Επίθεση (DDOS) στον δικτυακό τόπο www.sco.com (στις 1
ΦΕΒ 2004)
Παραλλαγές του worm: Επίθεση σε μηχανές αναζήτησης (26
ΙΟΥΛ)
Περίπτωση: Το Σκουλήκι Nimda (2001)
To ΣκουλήκιQuickTime - XSS
Κατηγορία: XSS
(Cross-Site Scripting)
Το σκουλήκι εκμεταλλεύεται
1. Ευπάθεια στην εφαρμογή
QuickTime
2. Ευπάθεια στην εφαρμογή
Web (MySpace)
Αρχική Μόλυνση: Αναπαραγωγή
του «κακόβουλου» αρχείου
video
Φορτίο: Αλλαγή προφίλ χρήστη Οι σύνδεσμοι στη σελίδα του
παραπέμπουν στο phishing site
Αντίγραφο κακόβουλου αρχείου
video ενσωματώνεται στη
σελίδα του χρήστη
To ΣκουλήκιWarezov (2006)
«Κλασσική» εξάπλωση Μετά την αρχική μόλυνση,
στέλνει τον εαυτό του σε
χρήστες του address book
Μετάλλαξη: Συνδέεται σε
απομακρυσμένο server και
«κατεβάζει» μια
ενημέρωση του κώδικά
του
Πολυμορφικές Ιδιότητες ! Server-side
polymorphism
Ανήκει στη λεγόμενη «νέα
γενιά»
http://www.f-secure.com/weblog/archives/archive-092006.html
Bots & BotnetsIntroduction
(Feily et al, 2009)
(Liu et al, 2009)
Bots Self-propagating application that
infects hosts through direct exploitation or Trojans…
What makes them special? Establish Command & Control cha-
nnel (C&C) for updates & direction Bots then run as an automated
task over the Internet (“robot”) Infected hosts: “zombies”
Botnets Many bots under control of a C&C
server form a botnet Difference with worms: bots coo-
perate towards a common purpose
Initial Infection: How? Similar to other malware classes
Scanning for vulnerabilities (like scanning worms)
Send E-mail with attachments (like mail worms)
File sharing, P2P networks, IM,… Drive-by downloads, Social engineering,… Combination of the above !
Other features
Some bots try to evade detection like rootkits
Thousands of variants
(Giu et al, 2007)* *
*
*
(Bailey et al, 2009)* *
Bots & BotnetsHow it works: (Case) A Spamming Botnet
1. A botnet operator unleashes
some malware (viruses, worms or
trojans) The bot is their payload !
2. The bot logs into a particular C&C
server (e.g., IRC or Web server).
3. A spammer purchases the
services of the botnet from the
operator & provides spam
messages to operator
4. Operator instructs compromised
machines via the control panel on
C&C server, to send out spam
msgs
*
Botnet Attacks
Economics
Collection of slave computing to
be sold for illicit activities Spamming: About 70%-90% of
spam today is due to botnets
Phishing: Zombies may be used
as web hosts for phishing attacks
Mounting DDOS attacks:
TCP SYN, UDP flooding,…
Information leakage: retrieve
(& sell) usernames &
passwords
Click Fraud: promote CTR
(clickthrough rate) artificially
*, *
*(Liu et al, 2009)
*
*
*
*
€ €
Bots & BotnetsLife cycle of a Bot (Giu et al, 2007)*
Cycle
1. Target scanning
2. infection exploit
3. binary egg
download & exec
4. C&C channel
establishment
5. outbound scanning
Cycle
1. Target scanning
2. infection exploit
3. binary egg
download & exec
4. C&C channel
establishment
5. outbound scanning
Bots & BotnetsLife cycle of a Bot (Giu et al, 2007)*
Bots & BotnetsLife cycle *(Liu et al, 2009)
Taxonomy
A. IRC-based botnets
Client-server model
Centralized architecture Agobot (2002), SDBot
(2002),
SpyBot (2003), GT bot (2004)
B. Peer-to-Peer botnets
Decentralized architecture
More difficult to detect
No central server to shut down
*(Liu et al, 2009)
*
Slaper (2002) Sinit (2003) (PKC for update auth)
Phatbot (2004), Storm worm (2007) Conficker E (2009)
*
*
* *
(Zhu et al, 2006)*
* *
* *
C. Other HTTP-based (Rustock,
Blackenergy, Conficker,… )
DNS-based (Fast-flux)
*
* *
*
*,
*
Types of Bots *(Liu et al, 2009)
IRC-based BotnetsThe IRC Network
IRC
Internet protocol for (one to
many) real-time chat
Follows the client-server model
(Legitimate) IRC-based bot
Scripts that perform automated
actions in response of an event
Support IRC channel operations Managing access lists, moving
files, sharing clients, channel
information etc...
*(Puri, 2003)
♪
(Cooke et al, 2005)*
IRC-based Botnets
*(Puri, 2003)
(Cooke et al, 2005)*
♪
IRC-based BotnetsMitigating IRC-based botnets
Botnet tracking
1. Step 1: Acquire and analyze
a copy of a bot Use Honeypots &
special analysis software
2. Step 2: Connect to IRC channel, infiltrate & collect data from botnet
Use a specially crafted IRC
client
3. Step 3: Central IRC server is
taken offline by law enforcement
(Holz et al, 2008) *
Hint: Use same strategy for HTTP-based botnets
Hint: Use same strategy for HTTP-based botnets
*, *, *
*
*, *
P2P-based Botnets(Holz et al, 2008) *
P2P network architecture All network nodes are both
clients and servers Any node can provide & retrie-
ve information at same time
Resilience Network robust against node
failures
Loosely-coupled
communication No consumer knows who
published information they get
No provider knows who gets
published information
«Τύπου» Napster
«Τύπου» Kazaa
«Τύπου» Gnutella
P2P-based BotnetsCase: Storm Worm
Propagation mechanism E-mail: body contains a
varying English text (soc.
engineering)
Binary installation:
1. User opens attachment or
2. User clicks link that exploits
a browser’s vulnerability or
suggests a download !
Polymorphic features Binary is always different
(even from same web site)
Rootkit features Goal: hide presence on host
P2P characteristics File contains info on other peers
Each peer is identified via a hash value and IP address/port
Each infected machine has an accurate clock
System time is synchronized via Network Time Protocol (NTP)
Kademlia-based DHT routing for finding other bots & controller
http://www.commtouch.com/downloads/Storm-Worm_MOTR.pdf
*, ♪, ♪
*
Wikipedia*
HTTP-based BotnetsCase: Conficker Bot *(SRI, 2009)
Case: Conficker Bot *(SRI, 2009)
Case: Conficker Bot *(SRI, 2009)
Case: Conficker Bot *(SRI, 2009)
BotnetsDetection and Analysis
Detection & Analysis
1. Traffic analysis (at network perimeter) Monitor in-bound AND
out-bound flows Signature-based , anomaly-
based, behavior-based
2. Honeypots & Honeynets Computing “baits” attract
mal-ware for analysis & detection
Goal: identify and take down controlling nodes
3. Other Techniques Mining-based detection
(Machine learning,
clustering,… Source-code analysis DNS Tracking
*
*
*
*
*,
*
*(Liu et al, 2009) *(Feily et al, 2009)
*
*
*
(Cooke et al, 2005)*
BotnetsDetection and Analysis *(Feily et al, 2009)
BotnetsPrevention and Response *(Liu et al, 2009) *(Puri, 2003)
BotnetsResearch challenges
Challenges & Future
research Arms race between
controllers & researchers
Uneven playing field Botnets are global
Detectors should be global
(not easy: privacy issues)
Thus detectors are small-
scale (not representative)
Challenges & Future
research Encrypted C&C channels
Obfuscation (e.g., alter
traffic patterns)
Adaptive botnets
The untraceable feature of
coordinated attacks
Detection of P2P botnets
(Aviv & Haeberlen, 2011)*
*
*
*
*
*
*
RootkitsIntroduction
*
(Arnold, 2011)* (Levine et al, 2005)*
Goal
Hiding the existence and
actions of the malware
History Brain (1986): stealth code
created to hide its presence Botnet by Rustock: 50% of
total spam detected (30 bpd)
Today Many worms, viruses & bots
in-clude rootkits in their payload!! (to hide themselves)
RootkitsIntroduction
Original Infection
Rootkits typically need root-
level (administrative) privileges
Trojan-like: e.g., replace a
program but keep functionality
Functionality (after infection)
Opening system backdoors
Stealing private information
Escalating privileges of
malicious processes
Disabling defense mechanisms
Hide, delete logs,…
(Shields , 2008)*
*, *
*
(Arnold, 2011)*
♥
(Joy et al, 2011)*
(Levine et al, 2005)*
(Wang et al, 2009)*
Kernel-level RootkitsFunctionality
1. Hiding (HID) Conceal info that may indicate
the presence of the attacker Files, connections, processes,
…
2. Privilege Escalation (PE) Change the user ID of process
to “root” or “administrator” Add capabilities to a process,
change entries in ACLs,…
3. Reentry (REE) Insert an alternate access path
(backdoor) e.g., command & control
(botnets)
(Petroni, 2008) *
4. Reconnaissance (REC) Gather info from target
system
Key-logging, packet sniffing,…
5. Defense neutralization (NEU) Disable security and/or safety
features of target system
Kernel-level RootkitsMechanism
1. Kernel’s Machine code (TXT) Overwrite a portion of
kernel’s machine instructions e.g., insert direct jumps
2. Processor registers (REG) Manipulate registers used to
control processor’s execution cs, eip, esp, idtr, sysenter,
dr0-dr3
3. Kernel control-flow data (FP) Modify kernel function
pointers Statically or dynamically
allocated kernel memory
(Petroni, 2008) *
4. Kernel non-control data
(NCD) e.g. value changes to critical
kernel identifiers Process ids, user ids
Kernel-level RootkitsHowTo: Hide a Process (Control flow) (Petroni, 2008) *
Kernel-level RootkitsHowTo: Hide a Process (Non-Control data) (Petroni, 2008) *
1st Generation: User-land
Modified system binaries, log cleaning, library-level rootkits
2nd Generation Kernel-land
Modify OS at low level to eva-de user-land based detection
Kernel-mode hooking
RootkitsTaxonomy
3rd Generation Virtualization
Inject stealth system at a SW layer lower than kernel
Direct Kernel Object Manipulation (DKOM) Manipulate kernel data
structures
(Shields , 2008)*
(Arnold, 2011)*
(Joy et al, 2011)*
Application-level Rootkits(user-mode)
Techniques
1. File Masquerading Malicious binaries that replace
or modify user-level programs
Malicious DIR, netstat, ps, ls,
…
2. Userland Hooks Patch, hook or replace calls to
system libraries (API calls)
Difference with masquerading Affect large number of
binaries without modifying
more than just a few libraries
Userland Hooking Mechanisms
A. IAT Hooking Modify a program’s IAT table
B. Inline Hooking
1. Replace original system libra-
ries with modified versions
2. Intercept request for the
library API
3. Call the original API and filter
responses to hide
*
(Ries, 2006) *
*
(Shields , 2008)*
Also known as run-time library patching *
Application-level Rootkits (user-mode)Inline Hooking (Ries, 2006) *
(Ries, 2006) *
Kernel-level Rootkits
(Shields , 2008)*
“Patching the Kernel”
Loadable Kernel Modules
(Unix) Extend functionality without
re-compiling the kernel
Added / removed on the fly
Load device drivers (Windows)
Kernel-mode Hooking
Hijack kernel control flow
1. Requests for kernel resources
pass through a gate
2. This gate can be hooked to
point to malicious code
Hooking Targets
1. System Call Table (SSDT) Redirection of system calls to
rootkit-defined code
2. Interrupt Descriptor Table (IDT) Rootkit can execute its
subversion code before SSDT
3. Virtual File System (VFS) Overwrite handler routines,
which provide directory listings
4. …
(Arnold, 2011)*
(Joy et al, 2011)* (Levine et al, 2005)*(Petroni, 2008) *
Kernel-level Rootkits (Kozyrakis, 2009) *
Kernel-level RootkitsSystem Call Τable Ηooking (Joy et al, 2011)*
Three approaches
1. System Call Table modification Redirect a sys_call away from
legitimate sys_call e.g., Knark rootkit
2. System Call Target modification Overwrite legitimate sys_call
targets with malicious code e.g., a jmp instruction
3. System Call Table Redirection Redirect reference to the call
table to a new system call table
*
*
(Levine et al, 2005)*
Kernel-level RootkitsSystem Call Τable Ηooking (Levine et al, 2005)*
Kernel-level RootkitsSystem Call Τable Ηooking (Kozyrakis, 2009) *
Kernel-level RootkitsSystem Call Table Redirection (Kozyrakis, 2009) *
Kernel-level RootkitsHooking Interrupt Descriptor Table (IDT) (Kozyrakis, 2009) *
Kernel-level RootkitsHooking Virtual File System (VFS) (Kozyrakis, 2009) *
Direct Kernel Object
Modification (DKOM) Direct modification of
dynamic kernel data
objects in memory Case: FU Rootkit
(Windows)
Kernel-level RootkitsDKOM (Arnold, 2011)*
*
Virtualized Rootkits
VMM (Hypervisor) Visualization platform that
allows multiple OS to run
Hypervisor rootkits Subvert user-land AND kernel-
based detection engines e.g., BluePill, SubVirt
Load host OS as guest and can
monitor all host OS activities Intercept the calls from the
kernel to the HW itself
… even without requiring a
reboot!
Research challenges How to trust the Hypervisor
(Shields , 2008) *
*
*
* *
(Joy et al, 2011)*
(King et al, 2006)* (Wang & Jiang, 2010)*
*, *
(Kozyrakis, 2009) *
RootkitsDetection
Host-based Intrusion Detection
1. Signature-based techniques Analyze the byte pattern to
identify a unique fingerprint Integrate the fingerprint
“signature” into a DB Scan the system
2. File integrity monitoring Detect modification of
sensitive binaries & libraries User and/or kernel-level
Defeat user-or-kernel land rootkits that modify binaries
Tripwire, Samhain, AIDE,…
3. Hooking detection Define “normal” memory
range for function pointers Tools: GMER, Rootkit Unhooker
4. Heuristics-Based detection (or, behaviour-based) Classify malicious behavior ba-
sed on pre-determined rules Goal: detect zero-day malware Drawback: false positives
5. Signed Kernel Modules Verify signatures before install
6. …
(Shields , 2008)* (Arnold, 2011)*
*
*
* *
*
*
*
*
(Joy et al, 2011)*
Answer 3: Differential approach Some questions are asked to
the OS on the host system
Then, the system is rebooted
to a secure read-only OS Typically located on a CD
.. same questions are asked,
look for differences (e.g.,
time)
Answer 4: Secure Logging
Questions & Answers
Answer 1: Move at lower level Virtualization techniques Hardware-based (e.g., TPM )
Answer 2: Cross-View Analysis Statically compiled tools: dire-
ctly review kernel mem & HW Booting from a safe medium DKOM: Thread analysis, direct
heuristic memory searching Network-based detection, also
using an external gateway
RootkitsDetection
(Shields , 2008)*
If detection routine is run at kernel level, how to detect kernel-level rootkits?
If detection routine is run at kernel level, how to detect kernel-level rootkits?
(Arnold, 2011)*
*, *
*
*
*
*
(Joy et al, 2011)*
*, *
Case: Sleuthkit *
RootkitsDetection (Arnold, 2011)*
*
*
RootkitsDetection (Arnold, 2011)*
RootkitsChallenges (Shields , 2008)*
Challenges
Migrate detection software
to lower (-st) abstraction
level
How to trust the core of OS Anything in the kernel can
be a target of kernel-level
rootkits
Kernel-level & VM rootkits
always difficult to detect
What about firmware-level
rootkits
*, *
Εφαρμογή Χρήστη
Λειτουργικό Σύστημα
R o o t k i t
http://www.inacom.com/resources/security/symantec.ppt
Δούρειοι Ίπποι (Trojan Horses)
Κακόβουλο λογισμικό, ενσωματωμένο σε
φαινομενικά «ακίνδυνο» (benign) λογισμικό π.χ. Screensaver, freeware-shareware, games,…
… που όμως «κρύβει» ανεπιθύμητες παρενέργειες Adware, Browser Hijackers…
Spyware, Keyloggers, dialers, bots, downloaders,
rootkits, back doors
Διαφορά με ιούς Τα trojans συνήθως δεν έχουν μηχανισμούς αναπαραγωγής &
μετάδοσης
Ωστόσο συχνά αναφέρονται-αντιμετωπίζονται ως ιοί
Trojans - Backdoors
Αρχική μόλυνση Τρόπος Α: το «φορτίο»
περιέχεται σε ένα χρήσιμο
πρόγραμμα
Τρόπος Β: Οι χρήστες
εξαπατώνται νομίζοντας ότι
είναι το εν λόγω πρόγραμμα
είναι χρήσιμο, και το
εκτελούν
Λειτουργικότητα Τα Trojans συχνά περιλαμβάνουν
μη-χανισμούς διατήρησης της
πρόσβασης
Backdoors
Περιπτώσεις Tini
Netbus, Netcat
Back Orifice 2000,
Subseven
http://cse.stanford.edu/class/sophomore-college/projects-01/distributed-computing/assets/images/trojan-horse.gif
Trojan HorsesBack Orifice 2000 ♪
Trojan HorsesSubSeven ♪
Trojan HorsesWrappers
Γνωστοί και ως wrappers, binders, packers
Εργαλεία One file exe maker
Yet another binder (YAB)
Wrappers SW που αναλαμβάνει να
συνενώσει τον κακόβουλο
κώδικα με ένα χρήσιμο
πρόγραμμα (π.χ. παιχνίδι
Στο θύμα, το αρχείο εκτελείται
ως δύο processes (μια «κρυφή»
και μια «φανερή» εφαρμογή)
http://www.informit.com/articles/article.asp?p=102181&seqNum=2&rl=1
Διατήρηση της Πρόσβασης (Backdoors)
1. Δαίμονας telnet ή κέλυφος
συνδεδεμένο με θύρα TCP π.χ. χρησιμοποιώντας το
εργαλείο Netcat
2. Δαίμονας SSH
συνδεδεμένος με θύρα TCP Μυστικότητα &
αυθεντικοποίηση
3. Κέλυφος CGI ή PHP To θύμα είναι διακομιστής
Web
4. Ανάποδο Κέλυφος
(reverse shell) Το σύστημα συνδέεται πίσω
στον εισβολέα
5. Ανάποδο κέλυφος με συρρά-
γωση (reverse tunneled shell) Παράκαμψη firewall όταν έστω
μία θύρα είναι ενεργοποιημένη!
6. Κερκόπορτα βασισμένη σε πα-
ρακολούθηση πακέτων δικτύου Παρακολούθηση & ενεργοποίη-
ση με το «κατάλληλο» πακέτο
(Kozyrakis, 2009) *
BackdoorsNetcat
VICTIM♪
BackdoorsReverse shell
Η επίθεση είναι γνωστή και
ως HTTP reverse shell
Επίθεση trojan μέσω HTTP To trojan ανοίγει ανά τακτά
χρονικά διαστήματα συνδέσεις
στο port 80 του server
(hacker) Παράκαμψη firewall
O server «απαντά» με την
εντολή που θέλει να
εκτελεστεί
Άλλα Θέματα
Τεχνικές απόκρυψης – Stealth
Παράδειγμα ιού stealth
1. O ιός παραμένει ενεργός στη μνήμη (memory resident)
2. Μολύνει όσα προγράμματα τροποποιούν τον κώδικα τους κατόπιν
μιας καθ’ όλα νόμιμης εντολής του χρήστη ή του προγράμματος π.χ. λήψη και εγκατάσταση μιας επιδιόρθωσης (patch)
Κατ’ αυτόν τον τρόπο ο ιός «ξεγελάει» τα προγράμματα anti-virus
που εκτελούν έλεγχο ακεραιότητας (integrity checking)
Ειδική περίπτωση: ΡΕΤΡΟ- ΙΟΙ (retrovirus) Ιοί που επιτίθενται σε προγράμματα antivirus, προσπαθώντας να τα
απενεργοποιήσουν ή να τα υπονομεύσουν Αλλαγή αρχείου \etc\hosts για την παρεμπόδιση της ενημέρωσης
Τερματισμός σχετικού process (π.χ. navapw32.exe, vsmon.exe)
&κατάργηση από τη λίστα αρχείων αυτόματης εκκίνησης από το Μητρώο
Τεχνικές ΑπόκρυψηςΠολυμορφικοί Ιοί (polymorphic, self-mutating)
Ο ιός δημιουργεί αντίγραφα του εαυτού του, τα οποία
διαφέρουν … με ωστόσο τα ίδια καταστροφικά αποτελέσματα
1. Ο ιός κρυπτογραφεί τον εαυτό του με ένα κλειδί που αλλάζει Εναλλακτικά: συμπίεση (compression)
2. O ιός εισάγει «θόρυβο» (noise) στα αντίγραφα του, π.χ.
αλλάζοντας τη σειρά των εντολών ή εισάγοντας στον κώδικα
άσκοπες εντολές
3. Τεχνικές μετάλλαξης ιών (virus mutation techniques) Mutation Engines ή polymorphic engines
Μελέτη περίπτωσης: Whale virus
Παράδειγμα Πολυμορφικής Συμπεριφοράς- 1
http://www.cc.gatech.edu/classes/AY2003/cs6265_fall/Polymorph_final.ppt
Παράδειγμα Πολυμορφικής Συμπεριφοράς - 2
http://www.cc.gatech.edu/classes/AY2003/cs6265_fall/Polymorph_final.ppt
Παράδειγμα Πολυμορφικής Συμπεριφοράς - 3
http://www.cc.gatech.edu/classes/AY2003/cs6265_fall/Polymorph_final.ppt
Παράδειγμα Πολυμορφικής Συμπεριφοράς - 4
http://www.cc.gatech.edu/classes/AY2003/cs6265_fall/Polymorph_final.ppt
Λογισμικό Spyware
Παρακολούθηση συμπεριφοράς χρήστη ή υποκλοπή προσ. δεδομένων
Προσωπικά στοιχεία, Usernames, Passwords, TAN, κλειδιά,
Aριθμοί πιστωτικής κάρτας, λεπτομέρειες συναλλαγών
Σχόλιο: Συσχέτιση ή συνεργασία Spyware & Adware
Σχετιζόμενα Εργαλεία: keyloggers, sniffers, cookies
Τρόποι Μόλυνσης Το λογισμικό spyware είναι το
φορτίο (payload) ενός trojan
Εγκατάσταση ως συνέπεια μιας
επίθεσης phishing, π.χ. εκτέλεση
συνημμένου ή επιλογή συνδέσμου
που παραπέμπει σε site με
κακόβουλο ενεργό κώδικα
Εγκατάσταση κατά την
πλοήγηση στο Web (π.χ. ActiveX)
http://www.codeproject.com/system/KeyLogger.asp?df=100&forumid=177768&exp=0&select=1425820
Περίπτωση: καταγραφή αγοραστικής συμπεριφοράς χρήστη και αποστολή στοιχείων σε εταιρίες (tracking companies), που με τη σειρά τους προωθούν την πληροφορία σε διαφημιστές ή παροχείς υπηρεσιών
Λογισμικό Spyware
German Law Enforcement to Use Custom Malware.(27 February 2007)German law enforcement agencies are pushing for a legal basis to be ableto use malware and spyware in investigations. The malware will be used to "bug" suspect's computers. In addition to collecting information fromthe computer itself, cameras and microphones connected to thesecomputers could be used to monitor conversations.http://www.theregister.com/2007/02/27/german_state_hackers/
--Proposed Swedish Wiretapping Law Met with Criticism (March 7 & 8, 2007)Proposed legislation in Sweden would give the National Defense Radio Establishment (FRA) the power to tap cross-border Internet traffic and phone calls without a court order. Current law allows FRA to monitor military radio communications; police may monitor communications only if they believe there is a crime being committed and they obtain a court order. The law would allow FRA to use data mining software to ferret out communications containing keywords. Communications within Sweden would be unaffected by the law. If the law is approved, it would go into effect on July 1.http://www.thelocal.se/6619/20070307/
Λογισμικό Adware
Τρόποι Μόλυνσης Παρόμοιοι με τα
προγράμματα τύπου
spyware
Επιπλέον: Αυτόματη
εγκατάσταση ως πρόσθετο
στο πρόγραμμα περιήγησης Περίπτωση: Browser Helper
Objects στον Internet
Explorer
Λογισμικό που μπορεί να
σχετίζεται με:
1. Ζητηθείσα διαφήμιση Συγκατάθεση του χρήστη
(π.χ. κατά την
εγκατάσταση δωρεάν
λογισμικού)
2. Μη ζητηθείσα διαφήμιση Χωρίς τη συγκατάθεση του
χρήστη
Π.χ. παράθυρα Pop-up κατά
την περιήγηση στο Web
Spyware - Adware
http://en.wikipedia.org/wiki/Image:Benedelman-spyware-blogspot-2a.png
Λογισμικό Adware
The AP recently ran a story about a substitute
teacher who was convicted of exposing students
to pornography. Her contention that it was
inadvertent because she couldn't keep up with
pop-ups seems plausible, but the equally non-
tech-savvy jury didn't buy it (despite the fact that
the prosecution never even made a reasonable
case by checking for spyware). What seems
particularly Kafka-esque is the potential 40-year
sentence she faces.
http://www.courant.com/news/local/statewire/hc-
14013002.apds.m0230.bc-ct--
teacfeb14,0,7509985.story
Hoax - Φάρσες
Subject: FW: VIRUS
IMPORTANT, URGENT - ALL SEEING EYE VIRUS! PASS THIS ON TO ANYONE YOU
HAVE AN E-MAIL ADDRESS FOR. If you receive an email titled "We Are Watching
You!" DO NOT OPEN IT! It will erase everything on your hard drive. This
information was announced yesterday morning from IBM, FBI and Microsoft
states that this is a very dangerous and malicious virus, much worse than the "I
Love You," virus and that there is NO remedy for it at this time.
Some very sick individual has succeeded in using the reformat function from
Norton Utilities causing it to completely erase all documents on the hard drive. It
has been designed to work with Netscape Navigator and Microsoft Internet
Explorer. It destroys Macintosh and IBM compatible computers. This is a new,
very malicious virus and not many people on your address book will know about
it. Pass this warning along to EVERYONE in it and please share it with all your
online friendsASAP so that this threat may be stopped.
Προστασία από Κακόβουλο λογισμικόΆλλα θέματα
Εκπαίδευση – Ενημέρωση των χρηστών
Κοινή λογική (Common Sense)
Ποιόν εμπιστευόμαστε; Είναι ασφαλές το λογισμικό που «κατεβάζουμε» από το Internet;
Εμπιστεύομαι το αρχείο που έχει επισυναφθεί στο e-mail;
Οργανισμοί για την ασφάλεια και προστασία από κακόβουλο
λογισμικό CERT (Computer Emergency Response Team)
OECD (Organisation for Economic Co-operation and
Development)
…
1. Εγκατάσταση και λειτουργία ενός Προσωπικού Firewall
2. Λήψη Ενημερώσεων Ασφάλειας και Επιδιορθώσεων
3. Εγκατάσταση και λειτουργία (στο παρασκήνιο) προγράμματος
Anitvirus
4. Περιοδικός Έλεγχος με τη χρήση προγραμμάτων AntiRootkit,
Antispyware
5. Ρυθμίσεις Ασφάλειας στα προγράμματα περιήγησης στο web,
ηλεκτρονικής αλληλογραφίας και εφαρμογών γραφείου
6. Εκτέλεση με ελάχιστα προνόμια (π.χ. σύνδεση στο Internet ως
χρήστης χαμηλών δικαιωμάτων)
7. Δυσπιστία κατά τη λήψη συνημμένων ή/και επίσκεψη δικτυακών
σελίδων
8. Φυσική ασφάλεια στο χώρο λειτουργίας του Η/Υ
Πολιτικές Ασφάλειας
Κακόβουλο Λογισμικό: Κίνητρα και Αιτίες…
Κίνητρα Διασκέδαση, Περιέργεια, Μίσος, εκδίκηση, ακτιβισμός,…
Χρήμα, Βιομηχανική κατασκοπία
Φήμη-Δόξα (Κοινωνίες Hakers)
Αιτίες Ανεπαρκής Έλεγχος Πρόσβασης στα σύγχρονα Λ.Σ
Π.χ. εφαρμογή που εκτελείται με δικαιώματα administrator
Απροσεξία χρηστών, Ελλιπής εκπαίδευση Π.χ. επιθέσεις κοινωνικής μηχανικής
Σχεδίαση εφαρμογών και Λ.Σ. χωρίς έμφαση στην ασφάλεια Ασφάλεια: ένα χαρακτηριστικό που προστίθεται στην πορεία…
Μύθοι και Πραγματικότητα…
Μύθος 1 Στόχος είναι τα
προγράμματα της ΧΧΧ
διότι είναι περισσότερο
ευπαθή…
Αλήθεια 1 Στόχος είναι τα
προγράμματα της XXX
διότι είναι τα πλέον
δημοφιλή…
Μύθος 2 Τα κινητά τηλέφωνα
είναι πιο ασφαλή…
Αλήθειες 2 Τα τηλέφωνα γίνονται ολοένα και
πιο «έξυπνα», και οι συνδέσεις πιο
γρήγορες Διαβλέπετε τις προοπτικές;
Οι ιοί κινητών τηλεφώνων σήμερα
μοιάζουν με τους ιούς τα πρώτα
χρόνια του Internet Hobbyist, amateurs
Σε αντίθεση με τους Η/Υ, τα κινητά
έχουν ενσωματωμένο σύστημα
χρέωσης !!! Φαντάζεστε ένα worm-dialer σε
συσκευές κινητής τηλεφωνίας
Μέλλον: Botnets από κινητά (?)
Συμπεράσματα
«Three basic things allow viruses to spread: sharing,
programming, and changes. All we have to do is eliminate
those three things and we will be perfectly free of viruses.»
Fred Cohen, Short Course on Computer Viruses, 2nd Edition
«There is no such thing as absolute security. Whether a host
is penetrated depends on the time, money and risk that an
attacker is willing to spend, compared with the time, money,
and diligence we are willing to commit to defending a host»
Cheswick et al. 2003
top related