Malware. 2 Inhoud Historisch overzicht Malware Soorten Malware (+ werking) Virus, Worm, Trojan,...
-
Upload
elke-christiaens -
Category
Documents
-
view
225 -
download
2
Transcript of Malware. 2 Inhoud Historisch overzicht Malware Soorten Malware (+ werking) Virus, Worm, Trojan,...
Malware
2
Inhoud
Historisch overzicht Malware Soorten Malware (+ werking)
Virus, Worm, Trojan, botnet Andere Terminologie
Exploit, Payload, Zero-day Attack, Hoax, Phishing
Virusverspreiding en anti-virus Opdracht week 1 proftaak
3
1982
ELK CLONER:THE PROGRAM WITH A PERSONALITY
IT WILL GET ON ALL YOUR DISKSIT WILL INFILTRATE YOUR CHIPSYES IT’S CLONER!
IT WILL STICK TO YOU LIKE GLUEIT WILL MODIFY RAM TOOSEND IN THE CLONER!
4
1982 Apple II virus
Elk Cloner: The program with a personality
IT WILL GET ON ALL YOUR DISKSIT WILL INFLILTRATE YOUR CHIPSYES IT’S CLONER
IT WILL STICK TO YOU LIKE GLUEIT WILL MODIFY RAM TOOSEND IN THE CLONER
1983, Fred Cohen:
Formal definition of Computer Virus:
A program that can infect other programs by modifying them to include a, possibly evolved, version of itself
1986, Brain: first DOS virus
Welcome to the Dungeon.
BRAIN COMPUTER SERVICES
Beware of this VIRUS…
Contact us for vaccination…$#@%$@!!
5
Virus Eras 1986-
Years Virus type Outbreak speed
1986-1995
Boot virus
One year
1995-1999
Macro virus
One month
1999- Email worm
One day
2001- Network worm
One hour
6
Huidige situatie
Trojaanse paarden Wormen Botnets Phishing Mobiele apparatuur
Het virus
8
Virussen
File(infector)virus (.com, .exe) Bootsectorvirus Macrovirus Mobile virus
9
Wat is een virus? Een programma… Dat zichzelf copieert… Meestal zonder dat de gebruiker het merkt.
Kenmerken: Copieert code Verbergen code Payload Trigger Blijft op 1 systeem Vereist gebruikersinteractie om zich voort te planten
10
Kenmerken virus
1. Hoe komt het virus op het systeem?
2. Waar nestelt het virus zich?
3. Hoe wordt het virus getriggerd en actief?
4. Wat is de pay-load van het virus?
5. Hoe voorkomt het virus herkenning?
11
Kenmerken virus:2. Waar nestelt het virus zich?
ExecutablesHet virus embed zichzelf in executable code of zorgt dat het ipv executable wordt gestart.
Bootsector (bijv. MichelAngelo-virus ‘91)Het virus zit in het opstart gedeelt van een disk.
Document filesHet virus hecht zich aan uitvoerbare gedeeltes binnen een document (macro’s).
GeheugenHet virus nestelt zich in het geheugen (memory-resident virus), vaak via een van bovengenoemde manieren.
12
Infectie van executables
Companion infectieVirus in file met bestaande naam, maar andere extensie. Virus wordt gestart ipv orginele file. Bijv. Virus in notepad.com ipv notepad.exe.
Overwriting infectieDe lompe manier, virus overschrijft orginele file. Bijv. Notepad.exe is na infectie het virus.
Prepending infectie (bijv. Nimda 2001) Appending infectie (bijv. Appix 2002)
13
Kenmerken virus:3. Hoe wordt het virus getriggerd en actief?
Openen email (email script in werking)
Openen email-attachment (bijv. executable)
Floppy in systeem Openen web-site
(Bijv. XSS: cross-site scripting) Openen/starten geinfecteerde file
14
Kenmerken virus:4. Wat is de pay-load van het virus?
Werking systeem beinvloeden:- Crashen- Overbelasten systeem / netwerk- Wissen informatie- UI veranderen
Data aanpassen- Stelen- Aanpassen
Voortplanten- andere files infecteren- via email (adresboek)
15
Kenmerken virus:5. Hoe voorkomt het virus herkenning?
Stealthing- “hidden” attribute- stream companion virus- .exe extensie verbergen- een schone versie naar virus scanner presenteren
Poly-Morphisme: Dynamisch veranderen van uiterlijk bij propagatie:- aanpassen namen in code variabelen en procedures- volgorde van instructies aanpassen- instructies toevoegen die niks doen (+1-1, NOP-operaties)- encrypten code met veranderende sleutels, code decrypt eerst
Meta MorphismeZelfde als poly-morphisme, maar functionaliteit wijzigt ook.
Anti-virus deactivatieVoorbeelden ProcKill-Trojan, MTX-worm
De worm
17
Wat is een worm?
Een zelfstandig programma… Dat een virus is… Maar geen host nodig heeft
Kenmerken: Self-replicating Self-propagating
18
Worm vs. Virus
19
Worm Voorbeelden
1st wormMorris (1989)
Bekende wormenILoveYou/Loveletter, Code Red, Sasser, Blaster, Nimda
Recente worm: Storm Worm
20
Worm componenten
21
De warhead: gaining access
Via exploits zoals buffer overflows Via file-sharing Via email Via default of voorspelbare wachtwoorden Via achterdeurtjes
22
De Propagation engine: verspreiding van de worm-code
Protocollen die in gebruik zijn
Of worm opent de deur voor protocollen.
Bijvoorbeeld: FTP HTTP SMB TCP/IP
23
Target Selection Algorithm:nieuwe slachtoffers vinden
Email adressen Host lijsten (/etc/hosts, LMHOSTS) Network neighborhood DNS queries IP adressen
24
Scanning engine:Welke potentiele slachtoffers zijn kwetsbaar?
Scannen op gebruikte exploits: Windows versies Applicaties Openstaande poorten
25
Worm opdrachtje
Bestudeer de werking van de storm worm (2007):
Hoe werkt de Warhead?
Hoe werkt de propagation engine?
Wat voor target selection algorithm is er?
Wordt er gescand op vulnerabilities?
Wat is de payload van de worm?
De Trojan
27
Wat is een trojan?
Een programma… Dat iets slechts doet… Als ‘bonus’ bij wat je verwacht… Wordt in feite dus via social engineering
binnengehaald
Eigenschappen: Plant zich niet voort
28
Opbouw trojan
Trojan bestaat uit: Dropper (legitieme applicatie + virus/worm) Eventueel een:
Time Bom Logical Bomb
Payload
29
Verschillende Typen trojans: op basis van payload Remote Access (RATs) Email Sending Data Destructive (of cryptoviral extortion) Proxy trojan (disguising others as the infected
computer) FTP trojan (adding or copying data from the infected
computer) security software disabler denial-of-service attack (DoS) URL trojan (redirecting the infected computer to
expensive dial-up internet access)
30
Voorbeelden
1st trojanMichelAngelo (1991): Trojan met virus
Bekende trojansBack orifice, netbus, sub7
Recente trojansformat.A (PSP), mitglieder
De Hoax
32
Wat is een hoax?
Waarschuwing voor een virus… Met veel onrust tot gevolg… Als je niks doet
Eigenschappen: Als het veel geluk belooft Of geld van Bill Gates Dan is het waarschijnlijk een hoax
Het Botnet
34
Wat is een Botnet?
Netwerk van overgenomen systemen… Waarbij poort wordt geopend naar buitenwereld… Aangestuurd door centraal systeem… Met als doel: Spam, DDos, identity Theft
Eigenschappen: Werkt door enorme schaal waarop Gebruikt malware om doel te bereiken: virus, trojan,
spyware, etc.
Virus verspreiding
36
Virusverspreiding(1)
De verspreiding van Code Red:
verspreiding op 19 juli 2001
37
Virusverspreiding(2)
Verspreiding hangt af van:- Patching systemen
Denk aan 0-day attack waarbij nog geen patch beschikbaar is.
- Gewenste verspreidingsgraad makers Low-profile verspreiding valt minder op.
- Beveiliging netwerken en systemenAnti-virus (signatures ge-update?), Firewall (rules ge-update?)
Anti-Virus
39
Wat is anti-virus software?
Anti-virus software zijn computer programma’s die malware proberen te identificeren, tegen te werken, uit te schakelen en te verwijderen.
Anti-virus gebruikt hiervoor 2 technieken:- Scannen van filesysteem op aanwezigheid van
bekende malware op basis van definities in virus-database
- Identificeren van verdacht gedrag van computerprogramma’s dat duidt op infectie
40
Anti-virus: Waar?
User workstations File Servers
Central Detection of user files Mail Servers
Scan email before delivery Application Servers
Might interfere with system stability? Border Firewalls
Scan email, webbrowsingcontent, worms Handhelds
41
Anti-virus: Hoe?Scannen van filesysteem: Virus signatures
Identificeren van verdacht gedrag: Heuristics: attempts to
- access boot sector- locate all documents in current folder- write to an .exe file- delete hard-drive contents- set-up connection on unused port- execute stack-memory
Integrity verificationControle of bepaalde files (bijvoorbeeld kernel) onverwacht zijn gewijzigd; Status van (deel)systeem vastleggen door:- checksums- hashcodes
Detectie eventueel via sandboxes
42
Detectie van malware, en nu?
Antivirus software kan na detectie de volgende maatregelen nemen:
File repareren door virus te verwijderen File in quarantaine Verwijderen geïnfecteerde file Lopende malware processen uit geheugen
verwijderen
43
Opdracht proftaak week 1
Verzin d.m.v. brainstorm nieuwe malware met specifieke kenmerken.Beschrijf per type malware: Hoe komt de malware het systeem binnen? Waar nestelt de malware zich? Wat is de pay-load van de malware? Hoe wordt de payload van de malware getriggerd en actief? Hoe voorkomt de malware herkenning? Hoe worden nieuwe slachtoffers geselecteerd? Wat is de impact van de malware op het geïnfecteerde systeem? Wat is de impact van de malware op de gebruikers en de
gebruikersorganisatie?
Zie eventueel ook de kopieën van H3.Worms uit het boek Malware, fighting malicious code