Embed Size (px)
Citation preview
Código e Atividade Maliciosa
Bruno Hott
2
Características, Arquitetura e Operações de Software Malicioso
● Software malicioso, ou malware, pode ser definido como um conjunto de instruções que executam em um sistema computacional e realizam operações que o usuário não quer. Essa atividade pode ter várias formas:
– Um atacante ganha controle administrativo de seu sistema e usa comandos para causar danos.
– Um atacante envia comandos diretamente a seu sistema, que os interpreta e depois os executa.
– Um atacante usa programas de software que danificam seu sistema. Esses programas podem vir de meios físicos (como uma unidade USB) ou de um processo de comunicações (como a Internet). Vírus, programas de cavalo de Troia e vermes são todos exemplos desses tipos de programas de software malicioso.
– Atacantes usam ferramentas legítimas de administração remotas e sondas de segurança para identificar e explorar vulnerabilidades de segurança em sua rede.
3
Os Principais Tipos de Malware
● Você deverá projetar e implementar contramedidas efetivas para detectar, atenuar e impedir ataques de código malicioso. Para isso, você deve conhecer vários tipos de código malicioso e como cada tipo é usado.
4
Vírus
● Um vírus de computador é um programa executável que infecta ou se conecta a outros programas executáveis.
● E então ele se replica para infectar ainda mais programas.
● Alguns vírus realizam atividades destrutivas após se replicarem.
● Geralmente envolvem algum tipo de ação de um usuário.
● Nem todo vírus causa dano. Alguns são apenas incômodos ou se concentram em se replicar. Outros escondem sua carga e instalam uma porta dos fundos. A vítima pode não perceber o vírus ou seus danos imediatamente.
5
Vírus
● Existem três tipos principais de vírus:
– Os infectantes de sistema são vírus que visam funções de partida de hardware e software computacional.
– Os infectantes de arquivos atacam e modificam programas executáveis (como arquivos COM, EXE, SYS e DLL).
– Os infectantes de dados atacam arquivos de documento que contenham capacidades embutidas de programação de macro.
6
VírusCiclo de vida típico de um vírus de computados
7
Evidência de Atividades de Código de Vírus
● Deterioração da capacidade de resposta da estação de trabalho ou do servidor.
● Níveis de atividade de disco inesperados e sustentados em estações de trabalho.
● Lentidão repentina de aplicativos de usuário, principalmente, ao iniciar.
● Congelamento inexplicável de aplicativos ou mensagens de erro inesperadas.
● Reinicializações e falhas de hardware não programadas, incluindo paradas de programas.
8
Evidência de Atividades de Código de Vírus
● Atividade repentina de alarme de antivírus.
● Mensagens de erro de disco, incluindo resultados de “cluster perdido”, cada vez mais frequentes após varredura de disco.
● Diminuição inexplicável em espaço disponível em disco ou em memória disponível.
● No caso de vírus de macro, documentos salvos e abertos como arquivos DOT.
● Aplicativos (ou seus ícones) que desaparecem ou não executam.
9
Infectantes de sistemas
● Os tipos mais prevalentes de infectantes de sistemas são:
– Os de registro de partida (boot) por disquete.
– Os de registro-mestre de partida por disco rígido.
● Esses vírus trafegam principalmente por meio de troca de mídia.
10
Vírus infectante de sistema
11
Infectantes de Registro de Partida (boot)
● Infectantes de sistemas são vírus que visam os principais componentes de hardware e de software de sistema em um computador.
● Os componentes infectados normalmente são processos de partida do sistema.
● Esse tipo de infecção permite que o vírus assuma o controle e seja executado antes que o computador possa carregar a maior parte das medidas de proteção.
12
Infectantes de registro-mestre de partida e de sistema
● Um infectante de registro-mestre de partida move ou destrói o registro-mestre original de partida, substituindo-o por código viral.
● Ele pode, então, ganhar o controle a partir do programa de iniciação (bootstrap) e realizar sua hostil missão.
● Tipicamente, infectantes de registro-mestre de partida realizam suas tarefas e depois devolvem o controle ao registro-mestre legítimo de partida para mascarar sua existência.
13
Infectantes de registro-mestre de partida e de sistema
● Infectantes de registro de partida normalmente podem contornar os serviços de sistema.
● Carregar nesse nível permite que o vírus intercepte todas as solicitações normais de hardware de aplicativo e de sistema operacional.
● Essas solicitações incluem funções como abrir e fechar arquivos e serviços de diretório de arquivo.
● Esse tipo de vírus também pode executar outros tipos de rotina de código malicioso e encobrir seus próprios rastros.
14
Infectantes de arquivo (programa)
● Exibem o comportamento clássico do tipo “replicar e anexar”.
● Devido à grande aceitação e popularidade dos sistemas operacionais baseados no Microsoft Windows, a maioria dos infectantes de arquivo conhecidos visa esses sistemas e tipicamente ataca arquivos de programa com extensões de arquivo .com ou .exe.
15
Infectantes de arquivo (programa)
● Desenvolvedores de malware escrevem e compilam muitos desses vírus em C++ e outras linguagens de programação de alto nível.
● Em contrapartida, normalmente usam linguagem de montagem (assembly) para escrever infectantes de registro de boot.
● Vírus desse tipo se anexam ao arquivo de programa original e controlam a execução desse arquivo até que ele possa replicar e infectar outros.
16
Infectantes de arquivo (programa)
● Um tipo de infectante de arquivo, um vírus acompanhante, é na realidade um arquivo de programa separado, que não se anexa ao programa hospedeiro original, mas cria um novo programa com um nome de arquivo coincidente, mas com uma extensão executada antes do original.
● Por exemplo, Windows executa arquivos .com antes de executar os .exe. Ele cria esse arquivo no mesmo caminho de diretório do programa real. Quando o usuário executar o programa, o sistema operacional chamará o malware em vez do programa legítimo. Após o vírus terminar o trabalho, ele simplesmente executará o comando para iniciar o programa original.
17
Como funciona um vírus infectante de arquivo
18
Infectantes de macro (arquivo de dados)
● Vírus de macro se tornaram um problema quando vendedores de software acrescentaram capacidades de gravação a aplicativos populares de escritório.
● Usuários utilizam capacidades de gravação de macro para gravar suas ações em um programa.
● O aplicativo no qual as ações são gravadas armazena essas instruções com o arquivo de dados.
● O usuário pode então executar as ações automaticamente quando abre o arquivo ou pressiona uma sequência de teclas predefinida.
● A finalidade original de macros era automatizar processos repetitivos. Porém, essas macros abriram a porta para que códigos maliciosos executem suas próprias instruções.
19
Infectantes de macro (arquivo de dados)
● Vírus de macro infectam esses arquivos de documentos e inserem comandos próprios.
● Quando usuários compartilham o documento infectado com outros usuários, o malware se espalha e se replica.
● Macros podem se mover com facilidade entre plataformas e são muito simples de construir. Por esse motivo, vírus de macro são extremamente populares.
20
Infectantes de macro (arquivo de dados)
● A bomba de e-mail é uma forma de ataque de macro malicioso e tipicamente envolve um anexo de mensagem de e-mail que contém macros projetadas para causar o máximo de dano.
● Atacantes podem enviar o anexo de documento por meio de retransmissores anônimos de e-mails para alcançar seus alvos com grande precisão.
● Alguém que receba a bomba de e-mail só precisará abrir o anexo para iniciar o vírus de macro. Em alguns casos, simplesmente visualizar a mensagem ativará a bomba de e-mail.
21
Como funciona um vírus de macro
22
Outras classificações de vírus
● Vírus podem usar qualquer uma de diversas técnicas para propagar e evitar detecção por software antivírus.
● A maioria dos vírus de computador isolados funciona copiando réplicas exatas dele mesmo para cada arquivo, setor de partida ou documento que infectem
● O vírus realiza infecções subsequentes da mesma maneira, criando duplicatas exatas, byte por byte.
● Essa previsível ação produz um padrão de assinatura.
● Muitos programas antivírus e antimalware procuram essa assinatura para detectar malware.
● Alguns vírus se comportam de maneira diferente
23
Outras classificações de vírus:Vírus polimórficos
● Esses tipos de vírus incluem um mecanismo de criptografia separado que armazena o corpo do vírus em formato encriptado enquanto duplica seu corpo principal.
● O vírus expõe apenas a rotina de decriptação para uma possível detecção.
● Ele embute a parte de controle do vírus na rotina de decriptação, que toma o controle do sistema-alvo e decripta o corpo principal do vírus, de modo que ele possa executar.
● Vírus polimórficos verdadeiros usam um mecanismo adicional de mutação para variar o processo de decriptação a cada iteração, o que torna até mesmo essa parte do código mais difícil de identificar.
24
Outras classificações de vírus:Vírus furtivos
● Utilizam diversas técnicas para se esconder de usuários e de software de detecção.
● Instalando uma função de serviço de sistema de baixo nível, eles podem interceptar qualquer solicitação de sistema e alterar a saída de serviço para ocultar sua presença.
● Vírus furtivos podem ter tamanho furtivo, leitura furtiva ou ambos.
25
Como funciona um vírus furtivo
26
Outras classificações de vírus:Vírus furtivos
● Tamanho furtivo esconde o fato de que um arquivo infectado é maior do que costumava ser. O vírus intercepta solicitações de sistema por informações de arquivo e subtrai o próprio tamanho da resposta antes de passá-la de volta ao processo solicitante.
● Leitura furtiva esconde o fato de que o vírus moveu o código de setor de partida. O vírus intercepta solicitações de leitura/gravação para o setor normal de partida, que ele reposicionou pelo código viral, e então redireciona a solicitação para o novo local oculto do código do setor de partida original.
27
Outras classificações de vírus:Vírus lentos
● Eles contrariam a capacidade de programas antivírus de detectar mudanças em arquivos infectados.
● Esse tipo de vírus reside na memória de um computador, onde software antivírus não pode detectá-lo.
● Ele espera por certas tarefas, como copiar ou mover arquivos, para ser executado.
● À medida que o sistema operacional lê o arquivo para a memória, o vírus altera antes de gravar no arquivo de saída, tornando sua detecção muito mais difícil.
28
Outras classificações de vírus:Vírus de retrospectiva
● Esses vírus atacam contramedidas, como arquivos de assinatura de antivírus ou bancos de dados de integridade.
● Um vírus de retrospectiva procura esses arquivos de dados e os exclui ou altera, impedindo assim a capacidade de funcionamento do software antivírus.
● Outros vírus, especialmente os de partida (que ganham controle do sistema-alvo ao iniciar), modificam chaves do Registro do Windows e outros arquivos-chave para desativar software AV, firewall e IDS, se forem encontrados.
29
Como funciona um vírus de retrospectiva
30
Outras classificações de vírus:Vírus de plataforma cruzada
● São menos prevalentes, mas ainda podem ser ameaças potentes.
● Há uma série de vírus documentados que visam múltiplos sistemas operacionais.
● Se essas plataformas também executarem software de emulação do Windows, elas se tornarão tão suscetíveis a vírus do Windows quanto um próprio computador da marca.
31
Outras classificações de vírus:Vírus de múltiplas partes
● São vírus híbridos, que exibem vários comportamentos.
● Existem dois tipos principais de vírus de múltiplas partes:
– vírus de registro-mestre de partida/setor de partida
– vírus de infecção de arquivo.
● Esses vírus podem existir como um infectante de arquivo dentro de um aplicativo.
● Sob execução do aplicativo infectado, o vírus poderá espalhar uma infecção de registro-mestre de partida, que então infectará outros arquivos quando você reiniciar o sistema.
32
Como funciona um vírus de múltiplas partes
33
Spam
● Spam é um dos desafios mais incômodos enfrentados por administradores de rede, pois não apenas constantemente contém vírus ou outro código malicioso, mas congestiona redes e servidores de e-mail e pode desperdiçar muito tempo e produtividade de usuários.
● Muitos vírus agora transportam software para fazer com que um computador infectado se torne parte de uma rede robotizada (botnet) de spam, que enviam novas versões de vírus.
● Estima-se que 70% a 90% de todo o tráfego de mensagem seja spam.
34
Spam
● Em termos simples, spam é qualquer mensagem não desejada.
● Porém, muitos usuários ainda abrem ou recebem e-mails ou mensagens instantâneas indesejadas, pois veem a promessa de trabalho, ganhos em loterias ou preços reduzidos em produtos, o que dificulta a classificar a mensagem como estritamente “indesejada”.
● Spam está se tornando um grande problema para organizações de todos os tamanhos, pois usa largura de banda da qual organizações precisam para operar e desperdiça tempo de funcionários.
● Spam também é um terreno fértil para vírus e vermes.
● Felizmente, existem ferramentas automatizadas para ajudar o administrador de segurança a eliminar essas mensagens.
35
Spam:Ameaças a organizações
● Consome recursos computacionais (largura de banda e tempo de CPU).
● Desvia pessoal de TI de atividades mais críticas à segurança de rede.
● Mensagem de spam é um portador em potencial de código malicioso (vírus, conteúdo ativo hostil, etc.).
● Divulgadores de spam (spammers) têm desenvolvido técnicas para comprometer sistemas intermediários para facilitar serviços de reenvio, mascarando os endereços reais de origem e constituindo um ataque de negação de serviço para sistemas vitimados.
● Recursos para cancelar assinatura (opt out) em mensagens de spam podem representar uma nova forma de ataque de reconhecimento para adquirir endereços de destino legítimos.
36
Spam:O que é Spam?
● SPAM, com todas as letras maiúsculas, é uma marca registrada da Hormel Foods.
● O uso atual do termo spam surgiu em um seriado de comédia do grupo Monty Python (1970). O seriado representava um garçom em um jantar, em que cada prato incluía o produto SPAM. Toda vez que um dos personagens pronunciava a palavra “SPAM”, vários Vikings no jantar repetidamente cantavam “SPAM, SPAM, SPAM, SPAM!”. O canto dos Vikings abafava o diálogo principal, dificultando a compreensão do que outros personagens falavam.
● Como resultado, o termo “spam” passou a significar qualquer ruído ou comunicação excessiva que abafe a mensagem principal.
37
Vermes
● Vermes (worms) são programas autocontidos, projetados para se propagarem de uma máquina hospedeira para outra, usando os próprios protocolos de comunicações de rede do hospedeiro.
● Diferentemente de vírus, vermes não exigem um programa hospedeiro para sobreviver e se replicar.
● Originalmente, a distinção entre vermes e vírus era a de que os primeiros usavam redes e enlaces de comunicações para se espalhar e não se anexavam diretamente a um arquivo executável.
● O uso do termo verme vem do fato de serem programas segmentos, que trabalham em diferentes computadores, todos se comunicando por uma rede.
38
Vermes:Evidência de Ataques
● Aumentos não explicados em consumo de largura de banda.
● Altos volumes de e-mails recebidos e enviados durante períodos de atividades normais.
● Aumento repentino em utilização de armazenamento de servidor de e-mail (o que pode disparar limites de alarme definidos para monitorar e gerenciar espaço em partição de disco/usuário).
● Diminuição não explicada em espaço disponível em disco.
39
Vermes:Evidência de Ataques
● Aumento incomum em tamanho médio de mensagem ou aumento em volume de anexos.
● Respostas não esperadas de daemon SMTP ou POP3 para não entrega de tráfego de mensagem não enviado por usuários.
● Aumento repentino em tempos de resposta de usuário pela rede ou congestionamento repentino em pontos de estrangulamento próximos a agrupamentos (farms) de servidores.
● Aumento repentino em atividade de alarme de limite de IDS e firewall.
40
Vermes
● Um verme normalmente sonda computadores conectados a uma rede para explorar uma vulnerabilidade específica.
● Em geral, vermes procuram uma parte específica de software servidor ou utilitário que responderá a consultas ou atividade de rede.
● Alguns exemplos de vermes são o Internet/Morris Worm de 1988.
● Vermes mais recentes incluem o Code Red e uma série de vermes para Linux, como o Lion.
● Blaster foi possivelmente um dos vermes mais bem-sucedidos, porque a função que ele usava (DCOM) estava disponível em todas as versões do Windows – desktop e também servidor.
41
Vermes:Como funciona um verme
42
Vermes
● Um verme pode se espalhar rapidamente sem qualquer ação de usuário e normalmente ataca software de servidor, pois muitas pessoas que os escrevem sabem que servidores estão ligados o tempo inteiro, o que permite que o verme se espalhe em uma velocidade mais rápida.
43
Cavalos de Troia
● Um cavalo de Troia é qualquer programa que se disfarce como útil enquanto esconde sua maliciosa intenção.
● A natureza de disfarce de um cavalo de Troa encoraja usuários a baixar e executar o programa.
● Do ponto de vista de um cracker, a vantagem dessa abordagem é que o cavalo de Troia executa como um processo autorizado, porque um usuário autorizado o executou.
44
Cavalos de Troia
● O sucesso de cavalos de Troia é devido ao fato de que contam com engenharia social para se espalhar e operar. Ele tem de enganar usuários para que o executem.
● Se parecer ser um programa útil, terá mais chance de se espalhar. Na verdade, os cavalos de Troia mais bem-sucedidos realmente oferecem serviços úteis, e usuários desavizados podem executá-lo muitas vezes. Porém, cada vez que o cavalo de Troia executa, também também executa alguma ação indesejada.
45
Cavalos de Troia
● Muitos cavalos de Troia se espalham por mensagens de e-mail ou por downloads a partir de Web sites.
● No passado, desenvolvedores de cavalo de Troia publicavam os programas em sistemas de quadro de aviso eletrônico e em sites de arquivamento. Moderadores e software antimalware logo identificavam e eliminavam programas maliciosos.
● Mais recentemente, programas de cavalo de Troia se espalham por mensagens de e-mail em massa. Web sites, redes sociais e agentes de distribuição automatizados (bots).
● Programas de cavalo de Troia podem se espalhar em uma série de disfarces. A identificação de sua carga útil maliciosa se tornou muito mais difícil.
46
Cavalos de Troia:Evidências de Cavalos de Troia
● Execução de novos processos não reconhecidos.
● Mensagens de partida indicando que um novo software foi (ou está sendo) instalado (atualização de Registro).
● Falta de resposta de aplicativos a comandos normais.
● Redirecionamento incomum de solicitações Web normais para sites desconhecidos.
● Atividades de conexão de modem inesperada ou não programada.
47
Cavalos de Troia:Evidências de Cavalos de Troia
● Pedidos de acesso remoto inesperados em horários incomuns ou painéis de solicitação de acesso desconhecidos (isso pode resultar de atualizações de software de rotina ou reinicialização de sessão, mas também pode indicar um software de captura de teclado ou de senha na forma de cavalo de Troia).
● Término repentino ou inesperado de software de varredura antivírus ou software pessoal (ao iniciar ou quando usuário tenta carregar).
48
Cavalos de Troia
● Alguns especialistas consideram que um vírus é apenas um tipo de programa de cavalo de Troia.
● Existem alguma validade nessa visão. Um vírus é uma grandeza desconhecida que se oculta e se espalha junto com um programa legítimo.
● Além disso, você pode transformar qualquer programa em cavalo de Troia infectando-o com um vírus.
● Porém, o termo vírus refere-se especificamente ao código infeccioso, não ao hospedeiro infectado.
● O termo cavalo de Troia refere-se a um programa deliberadamente enganador ou modificado, que não se reproduz.
49
Bombas Lógicas
● Uma bomba lógica é um programa que executa uma função maliciosa de algum tipo quando detecta certas condições.
● Uma vez implantada, a bomba lógica espera por uma condição ou momento especificado e, quando ocorre, ela é ativada e executa as respectivas tarefas.
● As tarefas maliciosas podem causar danos imediatos ou iniciar uma sequência de eventos que causem danos por um período maior.
50
Bombas Lógicas
● Muitas bombas lógicas se originam com funcionários da organização. Como pessoas em uma organização geralmente têm mais conhecimento da infraestrutura de TI que estranhos, elas podem plantar bombas lógicas com mais facilidade.
● Além disso, o pessoal interino geralmente sabe mais sobre pontos fracos de uma organização e pode deduzir maneiras efetivas de causar danos.
● Por exemplo, um programador pode esconder um programa em outro software que se encontre inativo. Se a empresa o demitir, ele poderá ativar o programa e fazer com que a bomba lógica execute atividades maliciosas, como excluir arquivos valiosos ou causar outro tipo de prejuízo.
51
Bombas Lógicas
● Bombas lógicas podem ser muito difíceis de identificar porque o projetista as cria para evitar detecção.
● Além disso, ele geralmente possui conhecimento das capacidades e dos controles de segurança da organização e pode colocar bombas lógicas onde elas provavelmente não chamarão atenção.
52
Vulnerabilidades de Conteúdo Ativo
● O termo conteúdo ativo se refere a componentes, principalmente em sites, que ofereçam funcionalidade para interagir com usuários.
● Isso inclui qualquer objeto dinâmico que faça algo quando o usuário abre a página Web.
● Desenvolvedores podem usar muitas tecnologias para criar conteúdo ativo, incluindo ActiveX, Java, JavaScript, VBScript, macros, plugins de navegador, arquivos PDF e outras linguagens scripting.
● Esse código executa no contexto do navegador de usuário e usa as credenciais de acesso de usuário.
● Essas ameaças de conteúdo ativo são consideradas código móvel porque esses programas executam em uma grande variedade de plataformas de computador
53
Vulnerabilidades de Conteúdo Ativo
● Muitos sites agora contam com conteúdo ativo para criar estilo próprio.
● Para que esses esquemas operem apropriadamente, o usuário precisa baixar esses bits de código móvel, a partir dos quais possam ganhar acesso ao disco rígido.
● Uma vez ativos, eles podem potencialmente fazer coisas como preencher sua área de trabalho com ícones de arquivo infectado. Esses ícones criarão cópias adicionais do código malicioso.
● Todas as tecnologias citadas anteriormente podem conter software malicioso por meio de recursos de conteúdo ativo bem definidos e documentados.
● Todos esses têm falhas em potencial que malware pode explorar.
54
Redes Robotizadas
● Grupos de hackers criam redes robotizadas (botnets) para iniciar ataques.
● Os atacantes infectam máquinas vulneráveis com agentes que realizam várias funções ao comando do bot-herder ou controlador (um bot-herder é um hacker que opera uma botnet).
● Tipicamente, controladores se comunicam com outros membros da botnet usando canais de bate-papo (IRC).
Redes Robotizadas
● Atacantes podem usar redes robotizadas para distribuir malware e spam e para iniciar ataques de negação de serviço contra organizações ou mesmo países.
● Esses estabeleceram milhares de redes robotizadas e são uma ameaça real a sistemas.
● Durante 2007, a rede robotizada Storm foi o segundo supercomputador mais poderoso do mundo.
56
Ataques de Negação de Serviço
● A finalidade de um ataque de negação de serviço (DoS – Denial of Service) é dominar um servidor ou segmento de rede até o ponto em que se torne inutilizável.
● Um ataque de DoS bem-sucedido faz um servidor ou dispositivo de rede falhar ou cria tanto congestionamento de rede que usuários autorizados não podem acessar recursos de rede.
57
Ataques de Negação de Serviço
● Ataques padrão de DoS usam um único computador para disparar um ataque.
● Um ataque de negação de serviço distribuído (DDoS) usa computadores intermediários para realizar o ataque.
● Esses intermediários são sistemas comprometidos que contêm programas tratadores de cavalo de Troia, que, então, atuam como agentes para executar um ataque coordenado sobre um sistema ou rede-alvo.
● O(s) atacante(s) controla(m) um ou mais servidores tratadores-mestre, cada um podendo controlar muitos agentes ou daemons.
● Os agentes recebem instruções para coordenar um ataque baseado em pacotes contra um ou mais sistemas-vítima.
58
Ataques de Negação de Serviço
● Existem três partes nesses ataques:
– os atacantes,
– os intermediários (tratadores e agentes) e as
– vítimas.
● Embora o intermediário não seja a vítima intencionada, ele também poderá sofrer os mesmos tipos de problemas que a vítima nesses ataques.
● Você poderá encontrar informações adicionais sobre ataques de DDoS no site do CERT (www.cert.org).
59
Ataques de Negação de Serviço eRedes Robotizadas
● Redes robotizadas são a principal fonte de ataques de negação de serviço distribuído (DDoS) e de spam.
● São programas que se escondem em computadores comprometidos e esperam por um comando que os “acorde” para executar algumas instruções.
● Redes robotizadas são extremamente resistentes à demolição e podem ser difíceis de detectar por que existem em muitos computadores diferentes.
● Ataques de DoS de redes robotizadas estão crescendo e se espalhando tão rapidamente que é impossível manter descrições como essa de forma atualizada.
60
Ataques de Negação de Serviço:Ataques de Inundação de SYN
● Uma técnica popular para ataques de inundação, na qual o atacante usa falsificação de IP para enviar um grande número de pacotes que solicitam conexões com o computador da vítima.
● Eles parecem ser legítimos, mas, de fato, referenciam um sistema cliente incapaz de responder às mensagens de SYN-ACK.
● O computador vítima registra cada solicitação e reserva um local para a conexão em uma tabela local em memória.
● O computador vítima, então, envia uma confirmação de volta ao atacante, chamada de mensagem SYN-ACK com uma mensagem ACK.
61
Ataques de Negação de Serviço:Ataques de Inundação de SYN
● Porém, como o atacante usou falsificação de IP, a mensagem SYN-ACK vai para o sistema falsificado.
● O resultado é que o cliente nunca envia a mensagem ACK
● O computador vítima, então enche sua tabela de conexões esperando mensagens ACK para todas as solicitações. E, nenhum usuário legítimo poderá se conectar ao computador vítima.
● O computador vítima permanecerá indisponível até que as solicitações de conexão esgotem seu tempo limite.
● Ainda assim, o sistema atacante poderá simplesmente continuar solicitando novas conexões mais rápidas que o sistema vítima possa terminar as conexões pendentes expiradas.
62
Ataques de Negação de Serviço:Como funciona um ataque de inundação de SYN
63
Ataques de Negação de Serviço:Ataques Smurf
● Em um ataque smurf, atacantes direcionam pacotes forjados de solicitação de eco ICMP para endereços IP de difusão (boradcast) a partir de locais remotos para gerar ataques de negação de serviço.
● Existem três partes nesses ataques:
– o atacante,
– o intermediário e
– a vítima.
● O intermediário recebe um pacote de solicitação de eco ICMP direcionado para o endereço IP de difusão de sua rede.
● Muitas das máquinas na rede receberão esse pacote de solicitação de eco ICMP e enviarão um pacote de resposta de volta.
● Quando todas as máquinas em uma rede responderem a essa solicitação, o resultado poderá ser um congestionamento severo ou paradas na rede.
64
Ataques de Negação de Serviço:Como funciona um ataque smurf
65
Spywre
● Spyware é qualquer processo em segundo plano não solicitado que se instale em um computador de um usuário e colete informações sobre os hábitos de navegação de um usuário e atividades de site.
● Esses programas normalmente afetam privacidade e confidencialidade e se instalam quando usuários baixam programas freeware.
66
Spyware:Cookie
● Um cookie é um pequeno arquivo de texto que armazena informações sobre uma sessão de navegador.
● O lado servidor de uma conexão de usuaŕio com um servidor Web pode colocar certas informações no cookie e depois transferi-lo para o navegador do usuário.
● Mais tarde, o mesmo servidor poderá solicitar o cookie ao navegador e recuperar a informação que o navegador armazenou anteriormente.
● Prática útil em qualquer interação inteligente entre um navegador e um site, pois o navegador não mantém uma conexão com o servidor entre solicitações
67
Spyware:Cookie
● Cookies de spyware são aqueles que compartilham informações entre sites.
● Alguns cookies são persistentes e armazenados em seu disco rígido indefinidamente, sem sua permissão.
● Eles podem revelar e compartilhar informações particulares, coletadas entre vários sites.
● Cookies de spyware incluem os que contêm texto, como 247media, admonitor, adforce, doubleclick, engage, flycast, sexhound, sextracker, sexlist e valueclick em seus nomes.
68
Adware
● Programas de adware disparam elementos incômodos, como anúncios suspensos (pop-ups) e cartazes (banners), quando você visita certos sites.
● Eles afetam a produtividade e podem ser combinados com atividades ativadas em segundo plano, como código de sequestro de página inicial.
● Além disso, adware coleta e acompanha informações sobre atividade de aplicativos, de Web site e da Internet.
● O problema com spyware e com adware é distinguir atividades legítimas de ilícitas. Empresas de spyware e adware tiraram muito proveito disso, normalmente processando empresas antispyware por rotular seus programas como spyware.
69
Phishing
● Um ataque de phishing leva os usuários a inserirem informações de acesso no que parece ser um Web site legítimo, mas, na verdade, é um site montado por um atacante para obter essa informação.
● Se o atacante obtiver informações de acesso para instituições financeiras, por exemplo, ele poderá roubar a vítiima.
● Atacantes usam tecnologias muito sofisticadas para fazer com que esses sites pareçam legítimos.
70
Phishing:Spear-Phishing
● De modo a aumentar a taxa de sucesso de um ataque de phishing, alguns atacantes fornecem informações sobre a vítima que parecem ter vindo da empresa legítima.
● Essas informações podem ser obtidas de muitas maneiras, incluindo palpites, vasculhar lixo ou envio de pesquisas falsas.
71
Phishing:Pharming
● O termo pharming originou-se do termo phishing, que se refere ao uso de engenharia social para obter credenciais de acesso, como nomes de usuário e senhas.
● Pharming é possível por meio da exploração de uma vulnerabilidade em software servidor de sistema de nomes de domínio (DNS).
● A vulnerabilidade existente nesses servidores permite que um atacante adquira o nome de domínio para um site e (por exemplo) redirecione aquele tráfego do site para outro.
72
Phishing:Pharming
● Se o site que receber o tráfego for falso, como uma cópia de um site de um banco, ele poderá ser usado para roubar uma senha, um PIN ou um número de conta de um usuário do computador.
● Por exemplo, em janeiro de 2005, um atacante sequestrou o nome de domínio de um grande provedor de serviços de Internet em Nova York, Panix, para um site na Austália.
● Outras empresas bem conhecidas também se tornaram vítimas desse ataque (observe que isso só é possível quando o site original não é protegido por SSL ou quando o usuário ignora advertências sobre certificados de servidor inválidos).
73
Capturadores de Teclado (Keylogger)
● Seja baseado em software ou em hardware, um keylogger captura toques de teclas ou entradas de usuário e, então, encaminha essa informação ao atacante, o que permite que ele capture informações de acesso, bancárias e outros dados confidenciais.
● Para combater capturadores de teclado, algumas pessoas passaram a usar teclados virtuais na tela. Em resposta, hackers começaram a distribuir malware que pegam imagens instantâneas da tela em torno da área clicada pelo mouse.
74
Boatos e Mitos
● Embora boatos sobre vírus nem sempre sejam malíciosos, espalhar advertências não verificadas e reparos falsos pode ocasionar novas vulnerabilidades.
● Frequentemente, o objetivo do criador de um boato ou mito é simplesmente observar quão amplamente a artimanha poderá ser propagada.
● Essa é uma nova versão do antigo ataque de corrente, de acordo com o qual um atacante enviava a uma pessoa uma carta prometendo boa sorte ou felicidade se ela encaminhasse a mensagem para uma dúzia de pessoas.
75
Boatos e Mitos:Como reconhecer?
● Uma entidade legítima (especialista em segurança de computador) enviou o alerta?Inspecione qualquer certificado de validação ou, pelo menos, o URL de origem do informante.
● Existe um pedido para encaminhar o alerta a outros? Nenhum alerta de segurança legítimo sugerirá que o destinatário encaminhe o informe.
● Existem explicações detalhadas ou teminologia técnica no alerta? Boatos normalmente usam linguajar técnico para intimidar o destinatário, fazendo-o crer que se trata de um alerta legítimo. Um aviso legítimo, no entanto, normalmente omitirá qualquer detalhe e simplesmente referenciará o destinatário a um site legítimo para detalhes.
76
Boatos e Mitos:Como reconhecer?
● O alerta segue o formato genérico de uma carta de corrente? Nesse formato, existe um gancho, uma ameaça e um pedido. O gancho é uma abertura atraente ou dramática ou linha de assunto para chamar a atenção do destinatário. A ameaça é uma advertência em termos técnicos sobre vulnerabilidades ou danos sérios. O pedido é um apelo para distribuir o alerta ou uma sugestão para tomar alguma ação imediata – por exemplo, baixar uma correção.
77
Sequestro de Página Inicial
● A função desses ataques é mudar a página inicial (home page) de seu navegador para apontar para o site do atacante. Existem duas formas de sequestro:
– Explorar uma vulnerabilidade do navegador para modificar a página inicial – Muitos tipos de conteúdo ativo podem mudar a página inicial do navegador, normalmente sem a permissão do usuário. Mesmo sem lançar mão de meios ocultos, é fácil convencer um usuário a selecionar uma ação que faça mais do que o que ele espere.
– Instalar secretamente um programa de cavalo de Troia de objeto auxiliar de navegador – Uma vez que um objeto auxiliador de navegador (BHO) seja executado, ele poderá mudar a página inicial do navegador de volta para o site desejado pelo sequestrador. Tipicamente, programas sequestradores colocam uma referência para eles mesmos nos procedimentos de partida do sistema operacional. Desse modo, o sequestrador executa toda vez que o computador inicia.
78
Desfigurações de Página Web
● O termo desfiguração (defacement) Web ou pichação (graffiti) Web refere-se a alguém que obtenha acesso não autorizado a um servidor Web e altere a página de índice de um site no servidor.
● Geralmente, o atacante explora vulnerabilidades conhecidas no servidor alvo e obtém acesso administrativo. Uma vez no controle, ele substitui as páginas originais do site por versões alteradas.
79
Desfigurações de Página Web:Página Web desfigurada do New York Times
80
Desfigurações de Página Web
● A maioria dos profissionais de segurança considera essa forma de ataque simplesmente um incômodo. Porém, existe o potencial para embutir código com conteúdo malicioso ativo no site, como vírus ou cavalos de Troia.
● Code Red, por exemplo, incluía uma carga útil que instalava um cavalo de Troia do tipo porta dos fundos, que permitia acesso remoto a um servidor IIS infectado, que atacantes podiam usar para desfigurar a página inicial do servidor Web.
