Metode Napada i Zastite Korisnika Od Spijunskog Softvera

VISOKA KOLA ELEKTROTEHNIKE I RAUNARSTVA STRUKOVNIH STUDIJA

KOPRIVICA Milo METODE NAPADA I ZATITE KORISNIKA OD PIJUNSKOG SOFTVERA-d

iplomski rad-

Beograd, 2011

Kandidat: Milo Koprivica Broj indeksa: NRT-31/07 Smer: Nove raunarske tehnologije

Tema: METODE NAPADA I ZATITE KORISNIKA OD PIJUNSKOG SOFTVERA Osnovni zadaci: 1. Objasniti principe na kojima se zasniva funkcionisanje pijunskog softvera 2. Tehnike napada, alati i maskiranje pijunskog softvera 3. Zatita korisnika, preventiva i uklanjanje zaraze Hardver: 0% Softver: 70% Teorija: 30%

Beograd, 2011

Predmetni profesor: ________________________ dr Zoran Banjac, prof. VIER-a

IZVODU diplomskom radu su opisane neke od metoda napada upotrebom zlonamernog pijunskog softvera, koje koriste zlonamerni korisnici (hakeri), kao i neke od metoda koje bi mogle da pomognu korisnicima raunara da se zatite od pijunskog softvera. Opisan je nain funkcionisanja pijuna kroz primere.

ABSTRACTWithin graduate work there is a description of the attack methods by the use of malicious spyware which are utilized by malicious users (hackers), as well as of some methods that could help computer users to protect themselves against spyware. The spyware operation mode is described through the examples.

SADRAJ

1. UVOD ...............................................................................................................1 2. VRSTE ZLONAMERNOG SOFTVERA .......................................................2 3. O PIJUNSKOM SOFTVERU........................................................................4 4. METODE NAPADA ........................................................................................8 4.1. LOKALNO PODEAVANJE PIJUNA ZA NAPAD ................................8 4.1.1 Generalna podeavanja..............................................................................9 4.1.2 Podeavanje naina praenja otkucanog teksta (logging) ..........................10 4.1.3 Podeavanje hvatanja slika na ekranu (screenshoot) ..............................12 4.1.4 Podeavanje slanja logova putem i-mejla .................................................13 4.1.4.1 Scheduler ...............................................................................................13 4.1.4.2 Delivery .................................................................................................15 4.1.5 Podeavanje slanja logova putem FTP servera ..........................................16 4.1.5.1 Scheduler ...............................................................................................16 4.1.5.2 FTP server..............................................................................................17 4.1.6 Podeavanje hitnih obavetenja (alerts) ....................................................19 4.1.7 Podeavanje praenja aplikacija (targets)..................................................20 4.1.8 Podeavanje notifikacija ...........................................................................21 4.2 UDALJENO INSTALIRANJE PIJUNA (REMOTE INSTALL) ...............22 4.2.1 Uputstvo za korienje "remote install" opcije na perfect keylogger .........24 4.2.2 Povezivanje dva ili vie exe fajlova u jedan (bindovanje) .........................30 4.3 SAKRIVANJE PIJUNA OD ANTIVIRUS, ANTISPAJVER I FAJERVOL PROGRAMA ....................................................................................................33 4.3.1 Exe kompresori .........................................................................................33 4.3.2 Skremblovanje unutranjosti fajla (code pervertor) ....................................35 4.3.3 Runo menjanje potpisa i strukture exe fajla .............................................37 4.3.4 Vezivanje (bindovanje) eksploita uz pijuna ..............................................37 5. METODE ZATITE ........................................................................................39 5.1 PREVENCIJA .............................................................................................39 5.2 DETEKCIJA ................................................................................................40 5.2.1 Osnovni softver za zatitu .........................................................................40 5.2.2 Skeniranje portova, i praenje mrenog saobraaja ....................................41 5.2.3 Pretraivanje skrivenih procesa .................................................................42 5.2.4 Isprobavanje kombinacije tastera na tastaturi .............................................43 6. ZAKLJUAK ..................................................................................................44 7. LITERATURA .................................................................................................45

Milo Koprivica: Metode napada i zatite korisnika od pijunskog softvera

1. UVOD

U ovom radu su date opte informacije i osobine pijunskog softvera koje su neophodne za razumevanje ovog aktuelnog problema. Detaljno su opisane neke od najeih metoda napada korisnika upotrebom pijunskog softvera i dati korisni, a esto i neophodni saveti, kako se zatititi od te vrste napada. Za ovaj rad kao primer funkcionisanja pijunskog softvera uzet je "Perfect keylogger", ije detaljnije informacije, kao i nain preuzimanja, mogu se videti na njihovom zvaninom sajtu: http://www.blazingtools.com/bpk.html Da bismo znali kako od neega da se zatitimo poeljno je, a esto i neophodno, da znamo kako funkcionie pijunski softver, kao i ta sve rade zlonamerni korisnici (hakeri), kojim alatima se slue da bi ostvarili svoj zlonamerni cilj i ugrozili privatnost korisnika (rtve). Na poetku emo videti kako napada, nakon to instalira pijuna na svom raunaru, podeava nain ponaanja pijuna kad se instalira kod rtve, kao i detaljan opis svih postojeih opcija da bi se lake razumelo kako pijun funkcionie. Nakon toga emo videti kako haker vri udaljeno instaliranje pijuna, kako pravi instalacioni paket i kako to ini na nain da naivan korisnik misli da je otvorio naizgled bezazlen fajl. Tako e e biti kratko opisani neki od alata koje napada koristi kako bi svog kreiranog pijuna lake provukao kroz zatite koje korisnik poseduje tj. kako prolazi antivirus i fajervol (eng. firewall). Nakon to smo upoznati ta se sve deava od strane napadaa i ime se sve slui pijunski softver da bi ugrozio privatnost korisnika, bie predloene neophodne mere zatite koje poveavaju sigurnost i smanjuju anse da napad bude uspean od strane zlonamernog korisnika. Bie opisani neki postupci koji omoguavaju bolju prevenciju od pijunskih softvera da nepoeljno i neopaeno zaraze raunar, kao i nain da se otkrije postojanje pijunskog softvera na zaraenom raunaru. O sigurnosti i o pijunskom softveru ima dosta objavljenih radova. Veina njih su opteg informativnog karaktera. Me utim, veoma je mali broj radova u kojima se detaljno opisuje procedura koju izvodi napada, skup najpopularnijih ideja da bi napada ostvario svoju zamisao, kako se na osnovu tih informacija pravilno zatititi, kao i specifine ideje detektovanja ukoliko postoji pijunski softver u sistemu. Neke od informacija koje su date u ovom radu dosta je teko nai, jer je rad napisan iz linog iskustva i prakse.

1


Osim toga, ovaj rad moe da se zloupotrebi ako do e u pogrene ruke, pa samim tim kao autor napominjem da je rad iskljuivo informativnog karaktera i ne snosim nikaku krivinu i materijalnu odgovornost vezanu za njegov sadraj.

2. VRSTE ZLONAMERNOG SOFTVERA

Veina nas zna da je softver napravio ovek da bi mu koristio u ostvarenju odre enih ciljeva. Svako ko koristi raunar koristi i odre enu vrstu softvera koja pomae oveku. Me utim, pored tog korisnog softvera, postoji i takozvani "zlonamerni softver", na engleskom jeziku poznat kao malver (eng. malware). Zlonamerni softver se po nainu funkcionisanja u sistemu deli na dve kategorije (slika 1): 1) one kojima je potreban nosilac (trojanski konj, logike bombe, klopke, virusi) i 2) samostalne (crvi, pijunski softver). U posebnu kategoriju treba staviti rutkit (eng. rootkit) koji predstavlja skup zlonamernih alata koji napadau omoguuju kompletan pristup rtvinom raunaru, ime napada stie najvie mogue privilegije na zaraenom raunaru tj. administratorske (eng. root) privilegije. Iz tog razloga naziv rootkit je i vie nego zasluen.

Slika 1. Podela zlonamernog softveraIzvor: D.Pleskonji, N.Maek, B.orevi, M.Cari: ''Sigurnost raunarskih sistema i mrea'', Mikro knjiga, Beograd, 2007, str.296

2


Vano je napomenuti da se neki od zlonamernih programa razmnoavaju, tj. imaju sposobnost da pre u na drugi raunar i na njemu nastave da izvravaju svoju ulogu. Tu sposobnost imaju virusi i crvi. Svaki tip zlonamernog softvera ima drugaiju ulogu. Neki od njih imaju ulogu da napadau omogue laki pristup raunaru (trojanski konj, rutkit), neki da nanesu korisniku neku vrstu tete ili na neki drugi nepoeljan nain iskoriste resurse raunara (virusi, crvi), dok su neki jednostavno kreirani najee iz socijalnih razloga, koji stupaju na delo ako se zadovolje (ili ne zadovolje) neki uslovi (klopke, logike bombe). Pored svih njih postoji i posebna vrsta koja najee ne napravi nikakvu materijalnu tetu, ali znatno ugroava privatnost korisnika koja je u dananje vreme na Internetu veoma slaba. To je "pijunski softver" na engleskom poznat kao spyware, koji e u ovom radu biti detaljno opisan.

U daljem tekstu e biti opisana uloga pijunskog softvera, nain njegovog funkcionisanja, njegova podela, metode napada na korisnika, kao i neke korisne ideje kako se zatititi od ovako esto neprimetne, a jako podle vrste zlonamernog programa.

3


3. O PIJUNSKOM SOFTVERU

Kao to je ve reeno, ovaj tip zlonamernog softvera, za razliku od ostalih, najee ne napravi nikakvu materijalnu tetu na raunaru (ne oteuje fajlove, ne ugroava rad raunara...), ali znatno ugroava privatnost korisnika. Nekad se desi da promeni podeavanja na raunaru, uspori internet konekciju ili promeni nain funkcionisanja nekog programa i/ili servisa, ali se trudi da ostane neprimeen. Najvei broj pijunskih softvera nalazi se na Vindovs (eng. Windows) platformi, mada postoje i na drugim platformama, ali u znatno manjoj meri. Prisustvo pijuna u korisnikovom raunaru je esto tajno i uglavnom ga je jako teko detektovati, jer moderniji i bolje kreirani pijuni imaju sposobnost da uspeno zaobilaze zatitne barijere (eng. firewall), da se sakriju od antivirusa, da ne budu vi eni u listi aktivnih programa, procesa i servisa, kao i da ne budu primeeni u startap (eng. start up) listi programa na raunaru. pijunski softver od zaraenog raunara prikuplja razne informacije kao na primer: ta je korisnik kucao, u koje vreme, koje je sajtove poseivao, koje programe je pokretao, koje fajlove je otvarao, koliko je dugo raunar bio ukljuen i slino. Iz tih razloga, njegova najea zloupotreba je kra a korisnikih naloga na raznim sajtovima (korisniko ime i ifra), kao i kra a broja kreditnih kartica koje slue za plaanje preko Interneta. pijunski softver se deli u dve kategorije: 1) Spajver (eng. Spyware) i 2) Adver (eng. Adware). Spajver je tip pijunskog softvera koji znatno ugroava korisnikovu privatnost i mnogo je opasniji od advera. Spajver koji se instalira na rtvinom raunaru se najee koristi da prati razne korisnikove aktivnosti (poseivanje sajtova, otkucani tekst, lozinke, brojevi kreditnih kartica, itd...). Napada moe da ima razliite motive me u kojima su najei: kra a raznih internet naloga, kra a brojeva kreditnih kartica, provera ukuana, prijatelja, branog partnera, i slino. Najpopularnija vrsta spajvera je kiloger (eng. keylogger) (slika 2), koji ima osnovnu ulogu da prati ta je korisnik kucao na tastaturi i u koje vreme. Naravno, kako se razvija softverska tehnologija potrebe kilogera su sve vee i vee, pa samim tim esto, pored osnovne uloge, imaju i ulogu da zapisane unose sa tastature poalju na i-mejl (eng. e-mail), aploaduju na ftp server, da slikaju korisnikov desktop na odre eni vremenski interval i slino.4


Slika 2. Primer kilogera

Adver je tip pijunskog softvera koji najee koriste velike kompanije koje zarad svoje koristi ugroavaju privatnost korisnika, najee gledajui statistike informacije poput onih koje pokazuju kako korisnik upotrebljava raunar, ta ga najvie zanima od sajtova i proizvoda na Internetu, i ostalih slinih aktivnosti. Te kompanije kasnije, na i-mejl adresu alju razne reklame, ponude i ostalu neeljenu potu (spam), kao i da bi uz pomo statistike velikog broja korisnika poboljale svoje poslovanje. Adver je mnogo manje opasan od spajvera, ali i dalje nije poeljan, jer nekad usporava brzinu Interneta i rad raunara budui da ima estu konekciju sa nekim stranim serverom (najee bez znanja korisnika). Korisnik esto "legalno" instalira adver tako to prihvati uslove EULA (eng. End User Licensing Agreement) dokumenta tj. ugovor pod kojim se korisnik sloi da koristi odre eni softver. Adver se esto instalira uz neki drugi komercijalni softver gde u EULA dokumentu pie da e se pored softvera koji korisnik instalira, instalirati i softver za praenje korisnikove aktivnosti. Velika veina korisnika EULA dokument nee ni proitati, i naivno e tiklirati "I accept", ili kliknuti "Next" (slika 3). Na taj nain kompanija se zakonski osigurava od plaanja bilo kakve tete korisnicima.

5


Slika 3. EULA dokument

Stiler (eng. Stealer) (slika 4) je tip zlonamernog softvera koji se esto brka sa pijunskim softverom, ali ima slian cilj i skromnije mogunosti nego pijunski softver. On slui da ukrade razliite internet naloge koji su lokalno zapameni (keirani) u rtvinom raunaru od strane internet pretraivaa (Firefox, Opera, Internet Explorer...), ili neke internet aplikacije (Skype, Windows live messenger, Google talk...). Da bi se stiler upotrebio, najee je potrebno da napada ima fiziki pristup rtvinom raunaru, pokrene stiler zlonamernu aplikaciju koja automatski pokupi korisnika imena i ifre zapamenih naloga sa raunara, i zapamti ih u odre eni fajl, ili prikae na ekranu.

6


Slika 4. Stiler

7


4. METODE NAPADA

Da bismo lake objasnili kako najee izgleda procedura podeavanja pijunskog softvera, staviemo se u ulogu napadaa - objasniemo detaljne korake koje napada izvodi i na ta sve mora da obrati panju kako bi napad bio uspean. Ovu proceduru emo slikovito opisati uzimajui za primer pijunsku aplikaciju pod imenom "Perfect keylogger". Detaljnije informacije o korienoj aplikaciji mogu se nai na njegovom zvaninom sajtu: http://www.blazingtools.com/bpk.html Za uspenu instalaciju pijuna rtvin raunar najee mora da ima administratorske privilegije, jer pijunski softver koristi zahtevne funkcije operativnog sistema kome ogranieni korisnici najee nemaju pristup.

4.1. LOKALNO PODEAVANJE PIJUNA ZA NAPAD

Prvi korak koji napada mora da izvede jeste da instalira pijunski softver na svom raunaru, plati licencu (ako se to zahteva) i prvo ga na svom raunaru podesi onako kako bi eleo da funkcionie kad se instalira i na rtvinom raunaru. esto se pijunski softver instalira i na zajednikom raunaru napadaa i rtve, i time napada ima uvid ko je kada i ta radio na raunaru (npr. zajedniki raunar u kancelariji, u kui i drugo). U svakom sluaju, ista ova podeavanja koja korisnik izvri na svom lokalnom raunaru e vaiti i kad se pijunski softver instalira na udaljenom rtvinom raunaru, najee preko Interneta. Ova opcija se u pijunskom softveru zove udaljeno instaliranje (eng. remote install) i o njoj e kasnije biti rei. Za napadaa je veoma bitno da uspeno podesi pijunski softver i da ga testira odre eni vremenski period, da vidi da li radi na oekivani nain ili treba uraditi neke izmene pre nego to ga poalje rtvi. U sluaju da se pijun neuspeno podesi, neka opcija pogreno definie, zaboravi i slino, mogue je da se ugrozi sakrivanje pijuna (pa rtva lake posumnja). Tako e se moe desiti da napada nee dobijati sve izvetaje koje je oekivao (ili ak nijedan), ili e dobijati bespotrebne informacije, ili e biti pretrpan informacijama i samim tim mu je tee da izdvoji ono to mu je bitno da zna o rtvi. .

8


4.1.1 Generalna podeavanja

Kao to smo ve rekli, za primer emo koristiti "Perfect keylogger". Prva kartica General (slika 5) slui za generalna podeavanja pijuna i sadri par podgrupa. Ukoliko elimo da je pijun konstantno aktivan i da se pokree zajedno sa pokretanjem Vindovsa, neophodno je da bude tiklirana opcija "Run on Windows startup". Odmah ispod te opcije imamo opciju "Don't show program icon at startup", koju je izuzetno bitno tiklirati ukoliko elimo da pijun radi u pozadini i bude neprimeen. Ukoliko elimo da pijun bude jo bolje sakriven, tikliramo i opciju "Hide the program from Ctrl+Alt+Del", i time e pijun biti sakriven od Vindovs task menadera (eng. Windows Task Manager), tj. nee biti vidljiv u aktivnim procesima. Jedna od obaveznih opcija koju ima veina novijih kilogera je izbor kombinacije tastera na tastaturi koji e prikazati interfejs (eng. interface) pijunskog softvera (to vidimo na donjoj slici). Ovu kombinaciju tastera i ifru treba da zna samo vlasnik pijuna, odnosno napada. Notifikacije o novoj verziji softvera bilo bi poeljno iskljuiti ukoliko elimo bolju sakrivenost pijuna.

Slika 5. Generalna podeavanja

9


4.1.2 Podeavanje naina praenja otkucanog teksta (logging)

Veoma je bitno da rtva, u sluaju da posumnja na prisustvo pijuna, ili na neki nain pritisne odgovarajuu kombinaciju tastera na tastaturi, ne dobije odmah pristup podeavanjima pijuna, ve da ta podeavanja budu zatiena lozinkom. Iz tog razloga bi "Password" opcija bila jako korisna (slika 6). Tu moemo da postavimo novu lozinku, izbriemo ili zamenimo staru. Ukoliko nije bitno ta rtva radi kad nije povezana na Internet, onda je vrlo korisno tiklirati opciju "Monitor only online activity". To moe znatno da smanji veliinu log fajla u kome su zapisane rtvine aktivnosti, kao i da pobolja preglednost i istakne stvari bitne napadau. Ako napada eli da prati rtvinu konverzaciju preko poznatijih IM aplikacija (MSN, Skype, Yahoo Messenger) opcija "Enable chat logging" bi trebalo da bude ukljuena. Ukoliko ta opcija nije tiklirana, napada e moi da dobije izvetaj o tome ta je rtva kucala, ali ne i koje je poruke dobila od drugih ljudi.

Slika 6. Logging10


Ako napada pored standardnog praenja rtvinog otkucanog teksta eli da prati sadraj klipborda (eng. clipboard), treba da tiklira opciju "Enable clipboard logging" koja je esto napadau nepotrebna i znatno poveava veliinu log fajla. Tako e, napada moe pratiti koje je sve dugmie (ok, cancel, yes, no...) rtva pritisnula i u kojoj aplikaciji. Ovo je najee apsolutno bespotrebno, tako da emo tu opciju ostaviti iskljuenom. Ako napadaa zanima da li je rtva na tastaturi pritiskala dugmie koji nisu vidljivi u kucanju teksta (F11, DEL, INSERT, SHIFT, CTRL, BACKSPACE...), onda se tiklira opcija "Include non-character keys in the log". Ali treba imati u vidu da ako je ova opcija ukljuena, ona moe znatno da ometa itanje loga i izdvajanje bitnih stvari za napadaa. Poto na nekim raunarima pijuni imaju problem da "uhvate" ono to rtva kuca, postoji i takozvana "Proggresive method of keystroke interception" opcija koja koristi malo naprednije i monije tehnike za "hvatanje" otkucanih karaktera na tastaturi. Ova opcija zahteva malo vie resursa, ali daje sigurnost da e sve biti "uhvaeno". Na kraju, u donjem delu postoje opcije za pregled, brisanje i promenu lokacije log fajla, tj. fajla u kome su zapisane sve aktivnosti na raunaru. Primer pregledanja logova ovog pijunskog softvera moete videti na slici 7.

Slika 7. Pregledanje logova11


4.1.3 Podeavanje hvatanja slika na ekranu (screenshoot)

Iako napada u log fajlu moe dobiti otkucan tekst, vreme, aplikacuju koja se koristila i slino, on ne moe uvek imati dovoljno jasnu predstavu ta se u tom trenutku deavalo u rtvinom raunaru. Iz tog razloga postoji i opcija za hvatanje slika trenutnog izgleda ekrana koji vidi rtva (slika 8). Ukljuenjem ove opcije znatno se poveava veliina log fajla, ali poto je esto vrlo bitna, ona se ipak ukljui tako to se tiklira opcija "Enable visual surveillence". Ispod toga postoji opcija gde moemo da podesimo koliko esto i u kom vremenskom intervalu treba da se hvataju slike. Ukoliko se izabere da bude previe esto, imae se jasnija slika deavanja, ali se veliina log fajla znatno poveava. Iz tog razloga je optimalno podesiti interval na oko sat vremena. Ako su potrebe drugaije i napadau je ovo izuzetno bitno, moe da se smanji na 30 min, ali manje od toga nije preporuljivo. Poeljno je znati koji korisnik trenutno koristi raunar, kao i vreme kad je slika uhvaena. Zbog toga se ukljuuje opcija "Time stamp and username on screenshot". Ako je ova opcija ukljuena na svakoj slici e u oku biti zabeleeno vreme i korisnik koji koristi raunar.

Slika 8. Screenshot podeavanja

12


Ispod toga se nalazi kliza koji slui da podesimo kvalitet slike. to je manji kvalitet slike to i manje prostora zauzima, ali je i itljivost mnogo loija. Na priloenoj slici vidi se kako izgleda optimalno podeavanje - da slika u log fajlu ne zauzima mnogo prostora, a da moe da se vidi tekst kao i ostali bitni detalji. Ispod klizaa postoji opcija da se slika pun ekran ili samo aplikacija koja se koristi. Pored nje se nalazi opcija koja omoguava da se podesi automatsko brisanje slika koje su starije od podeenog broja dana. Ako je rtvin raunar udaljen, ovu opciju automatskog brisanja napada treba da iskljui. Poslednja opcija slui da se podesi hvatanje slike na klik mia, u zavisnosti da li je rtva pritisnula ok, cancel, yes, no, i ostalo, kao i u zavisnosti od aplikacije. Ovo je esto bespotrebno, zato i stoji odtiklirano.

4.1.4 Podeavanje slanja logova putem i-mejla

Svi bolji i noviji pijuni imaju opciju da zapisane logove alju putem i-mejla, odnosno SMTP protokola. Ova opcija moe biti izuzetno bitna napadaima ija se rtva nalazi na nekom udaljenom raunaru, a manje bitna, ili praktino nebitna, onima koji dele raunar sa rtvom. U podeavanjima za slanje logova putem i-mejla imamo dve kartice, od kojih je jedna Scheduler koja slui da se podese vremenski raspored slanja i-mejla, format, ta slati, i ostale opcije slanja. U drugoj kartici (Delivery) se reguliu stvari poput toga na koju i-mejl adresu e se slati logovi, podeavanje SMTP servera i slino.

4.1.4.1 Scheduler

Prva opcija koju napada mora da ukljui da bi pijun uopte pokuao da poalje logove na i-mejl je "Try to send logs by e-mail every" (slika 9). Tu treba da podesi vremenski interval u kome e pijun pokuavati da poalje logove na i-mejl adresu. U sluaju da ne uspe iz nekih razloga (optereen SMTP server, gubitak internet konekcije i slino), pokuae opet na onoliko minuta na koliko je podeeno. Ispod ove opcije nalaze se one koje se odnose na to ta e od zabeleenih logova biti poslato na i-mejl adresu. Ukoliko je rtva na nakom udaljenom raunaru, napadau je13


poeljno da dobije sve, iz tog razloga su ovde obeleene sve 4 opcije (otkucani tekst, slike, et i poseene veb stranice). U Log file format opcijama biramo nain na koji elimo da nam stiu logovi na imejl adresu, odnosno da li elimo da stignu u HTML formatu, kao otvoren i itljiv tekst, ili elimo da nam stigne kao jedan fajl koji je kriptovan (zatien). Kriptovani fajl potom moemo da otvorimo samo uz pomo specijalne aplikacije (koja dolazi uz program i ima je napada) uz dodatnu lozinku za njegovo otvaranje. Napada sam bira koliko eli da bude oprezan i tajanstven. Ovde je radi lakeg itanja i razumevanja kako sve funkcionie izabrana HTML opcija. Sledea opcija "Send only when log size is more than" napadau omoguava da ne dobija dnevno previe poruka u inbox, nego tek kad se nakupi dovoljno "materijala". Praksa je pokazala da je za dosadanja podeavanja 50KB optimalno. Na kraju se nalazi "Clear logs after succesful sending" opcija koja slui da se izbegne bespotrebno zatrpavanje prostora na hard disku udaljenog rtvinog raunara. Ukoliko je rtvin i napadaev raunar zajedniki, ova opcija moe biti iskljuena, jer napada moe runo da brie sakupljene logove.

Slika 9. E-mail scheduler

14


4.1.4.2 Delivery

Nakon to napada podesi Scheduler opcije i odredi ta e se slati na i-mejl, koliko esto i drugo, potrebno je da se podese i Delivery opcije (slika 10) kako bi napada uspeno dobijao izvetaje o aktivnosti rtve. Prvo to mora da se podesi je i-mejl adresa na koju e da se alju izvetaji. To treba uraditi tako to se ona unese u tekstboks (eng. textbox) iza "Send to:". pijun moe automatski da alje poruke na datu adresu bez znanja korisnikog imena (eng. username) i ifre (eng. password), ali je to esto od servera protumaeno kao neeljena pota (eng. spam). Iz tog razloga je najbolje runo namestiti podeavanja i ukljuiti opciju "Configure email account manually" i runo podesiti slanje. Nakon to se unesu ostala klasina podeavanja (server, port, korisniko ime, lozinka i nain autentifikacije) koja se razlikuju u zavisnosti od SMTP servera, napada moe da izabere opciju "Edit email message header" i tako podesi naslov poruka koje bude dobijao od pijuna. Zahvaljujui tome, on moe u svom sanduetu razlikovati poruke koje je dobio regularno i poruke u kojima pijun alje izvetaje. Kada se sve to uradi, poeljno je proveriti podeavanja klikom na dugme "Send test", da napada vidi da li je dobro podesio slanje poruka.

15

Slika 10. E-mail delivery


4.1.5 Podeavanje slanja logova putem FTP servera

esto su i-mejl podeavanja dovoljna da bi napada dobijao izvetaje od pijuna. Me utim, ukoliko se napadau vie svi a opcija da mu se logovi aploaduju na FTP server ovaj program ima mogunosti i za to. Napada sam bira hoe li mu pijun slati logove imejlom, FTP serverom, putem oba ili nee ni jednim. Isto kao i u sluaju i-mejl podeavanja i FTP podeavanja se sastoje iz dva dela. Prvi deo (Scheduler) slui da podesi ta, kada i kako e se slati izvetaj, dok se drugi deo odnosi na podeavanje samog FTP servera.

4.1.5.1 Scheduler

Veina podeavanja ''FTP scheduler'' su veoma slina podeavanju ''E-mail scheduler''. Razlika je u tome to za prvi postoji i opcija "Stealth uploading using Internet Explorer (invisible for firewall)" koja je prikazana na slici 11. Ona slui da se fajlovi aploaduju na FTP server SAMO kada je pokrenut Internet Explorer, koji po standardnim Vindovsovim podeavanjima ima dozvoljen pristup Internetu. pijun se, dakle, tajno prikai uz njega i neprimetno u odnosu na fajervol aploaduje logove na FTP server. Me utim, sve manji broj korisnika koristi Internet Explorer i on je retko kad pokrenut na raunaru te je pitanje kada bi napada dobio izvetaj. Iz tog razloga je ova opcija iskljuena. Tako e, treba napomenuti da postoji opcija da se logovi kompresuju (zipuju) kako bi zauzimali manje prostora na FTP serveru.

16


Slika 11. FTP scheduler

4.1.5.2 FTP server

Nakon to je napada podesio Scheduler u FTP podeavanjima, potrebno je to uraditi i za FTP server. Na prikazanoj kartici (slika 12) se vre klasina podeavanja za povezivanje na FTP server (host, user name, password). Pored njih postoji i podeavanje ''Remote dir'' koje omoguava da se izabere ime foldera na FTP serveru gde e aploadovani log fajlovi biti smeteni. Kada se sve to uradi, za napadaa je poeljno da testira podeavanja FTP servera pritiskom na dugme "Test FTP" i time utvrdi da li je uspeno podesio FTP server.

17


Slika 12. FTP server

18


4.1.6 Podeavanje hitnih obavetenja (alerts)

Perfect keylogger ima jednu jako zanimljivu funkciju koja slui da obavesti napadaa kad rtvin raunar otkuca deo teksta ili tekst koji napada podesi. Ovo napadau moe biti vrlo korisno ako, na primer, eli da vidi ta se deava na raunaru kad se spomene njegovo ime, nadimak ili kljuna re neke teme koja ga zanima. Sa desne strane ovog prozora (slika 13) postoji dugme "Add keyword" koje slui da dodamo kljunu re na koju e pijun da reaguje. Ispod njega se nalazi dugme "Delete" koje omoguava da se izbrie neka re ubaena u spisak. Ispod liste rei koje napada podesi nalaze se i opcije raznih komandi za pijuna u sluaju da je rtva otkucala neku od kljunih rei sa spiska. Ako napada eli da odmah dobije obavetenje ta se u tom trenutku deava i da vidi zato se neka od tih rei spominje, poeljno je da ukljui opciju "Send e-mail notification". Kad je ova opcija ukljuena na i-mejl adresu se odmah alju do tada prikupljeni izvetaji, bez obzira na sva prethodna podeavanja i kriterijume. Naravno, neophodno je uneti podeavanje SMTP servera. Da bi napada imao jasnu sliku zato se neka od njegovih rei spomenula, poeljno je da ukljui opciju "Make a screenshot" koja e mu omoguiti da odmah napravi sliku sa ekrana i dobije uvid u to ta se u datom trenutku deava. Ukoliko je pre toga izabrana opcija za slanje i-mejla, slika se odmah alje zajedno sa ostalim izvetajima. Ako ta opcija nije ukljuena, snimie se slika sa ekrana i bie poslata u regularnom izvetaju u zavisnosti od klasinih podeavanja pijuna.

19


Slika 13. Podeavanje hitnih obavetenja

4.1.7 Podeavanje praenja aplikacija (targets)

Ukoliko napada eli da prati samo odre ene aplikacije (kao na primer Mozilla Firefox, Internet Explorer i sl.) treba da izabere opciju Enable logging in the fallowing application only(slika 14) i doda aplikacije u spisak pritiskom na ''Add'' dugme. pijun moe da odredi aplikacije po imenu programa (npr. firefox.exe) ili po imenu prozora aplikacije (npr. Welcome to Facebook). Napada na ovaj nain moe znatno da smanji veliinu log fajla i da izdvoji ono to mu je bitno, ali nekad moe da propusti bitnu informaciju u sluaju da rtva ne koristi datu aplikaciju (npr. Operu). Ovde je izabrano da se prate sve aplikacije poto napada u naem sluaju eli da ima vie informacija (slika 14) .20


Slika 14. Targets

4.1.8 Podeavanje notifikacija

Po zakonima nekih zemlja osoba mora biti obavetena da se prati njena aktivnost. U suprotnom se to smatra krivinim delom naruavanja privatnosti. Na primer, roditelj treba da upozori dete da pazi na koje sajtove ide, ta poseuje i slino i obavesti ga da se njegova aktivnost prati. Roditelj ima mogunost da ukljui opciju notifikacije u koju unosi tekst koji bi eleo da dete proita. Slino moe da uradi ef ako eli da upozori zaposlene da rade posao, a ne da gube vreme. Zlonamernim napadaima ova opcija (slika 15) nikako nije u interesu, jer je njima cilj da aktivnost pijuna bude to tajanstvenija, pa je samim tim ova opcija iskljuena.

21


Slika 15. Podeavanje notifikacija

4.2 UDALJENO INSTALIRANJE PIJUNA (REMOTE INSTALL)

Neki pijuni imaju opciju udaljenog instaliranja, na engleskom poznato kao "remote install", koja omoguava napadau da instalira pijuna na udaljenom raunaru, najee bez znanja rtve. Ova opcija napadaima moe biti neophodna, ili izuzetno bitna, ukoliko je rtva neki udaljen raunar preko Interneta, kome napada nema fiziki pristup. ''Remote install'' opciju nemaju svi pijuni. Zato napada, u zavisnosti da li mu treba ili ne, moe sam da odlui koji e pijunski program koristiti za napad. Perfect keylogger program ima ugra enu opciju koja omoguava napadau da napravi instalacionu verziju pijuna. Ona e se na instaliranom raunaru ponaati onako kako ga je napada podesio i automatski se instalira pri pokretanju, esto bez znanja korisnika.22


Perfect keylogger, pored toga to ima mogunost da napravi verziju pijuna za udaljeno instaliranje, tako e sadri alat koji omoguava napadau da tu verziju pijuna sakrije uz bilo koji drugi exe program. Kad rtva pokrene taj program, uz koji je povezan pijun, rtva e normalno videti i koristiti taj program i imae utisak da je sve regularno, dok e se prethodno podeeni pijun instalirati u pozadini, najee bez znanja rtve. Nakon to se samo jednom pokrene program, uz koji je sakrivena instalacija pijuna, on se trajno instalira na rtvinom raunaru, i poinje da deluje na nain kako ga je napada prethodno podesio. Proces spajanja dva ili vise exe fajla u jedan, naziva se "bindovanje", o kome e detaljnije biti rei malo kasnije.

23


4.2.1 Uputstvo za korienje "remote install" opcije na perfect keylogger

Nakon to je napada podesio pijuna onako kako bi eleo da se ponaa na rtvinom raunaru, u donjem desnom uglu, u task baru, treba da klikne desnim tasterom mia na ikonicu pijuna. Pojavie se meni sa raznim opcijama (slika 16), me u kojima je jedna od njih "Remote installation".

Slika 16. Meni Klikom na opciju "Remote installation", napadau se nudi arobnjak (eng. wizzard), koji ga opcijama vodi ka tome da uspeno obavi i podesi udaljeno instaliranje.

Slika 17. Izbor instalacionog paketa24


Prvo to napada treba da izabere je, da li stvara paket za instaliranje, ili bira paket za brisanje ve instaliranog pijuna (slika 17). Ukoliko napada eli da instalira pijuna na udaljen raunar izabrae prvu opciju, a ukoliko eli da izbrie pijuna, koji je ve instaliran na udaljenom raunaru, izabrae drugu opciju. Napada nikad nije siguran da li je instalacija uspeno prola na udaljenom raunaru, zbog raznih zatita od antivirusa, fajervola, i drugih, i da li je rtva pokrenula exe fajl koji je dobila od napadaa. Iz tog razloga napada ima jako korisnu opciju "Notify me when installation package will be lunched", koja mu omoguava da bude obaveten ukoliko se pijun uspeno instalirao na rtvinom raunaru, i ako je proao sve zatite. Ispod toga moe da izabere opciju preko koje eli da bude obaveten, da li putem imejl adrese, ili ftp servera, koji su prethodno podeeni. Nakon to napada klikne na Next dugme, dobija opcije da podesi sa kojom aplikacijom, tj. kojim exe fajlom (za koji smatra da e rtva pokrenuti, normalno videti i koristiti) da povee pijuna, dok se on u pozadini neprimetno instalira (slika 18). U ovom sluaju, za primer uzeta je Vindovs igrica sa kartama "freecell.exe". Ispod toga napada moe da izabere mesto gde eli da bude instaliran pijun. U sluaju da se ne dira dodatno, pijun e se automatski instalirati u "System" folderu. Ispod napada sam bira da li eli veito da prati deavanja na rtvinom raunaru, ili samo za odre eni vremenski period. Ukoliko napada proceni da za, na primer 90 dana, moe da prikupi od rtve sve to ga interesuje, i eli da ukloni svoj trag na rtvinom raunaru, napada izabere opciju "Automaticlly uninstall remote keylogger after". Osim toga, izabere i broj dana koliko eli da pijun postoji u sistemu od trenutka kad se instalira, nakon ega e se on trajno sam ukloniti iz sistema.

25


Slika 18. Izbor aplikacije uz koju bi se instalirao pijun

Nakon to je napada kliknuo ''Next'', dobija opcije da izabere ikonicu (slika 19), koju eli da dodeli za datu aplikaciju da bi vizualno to bolje zavarao rtvu i sakrio pijuna.

Slika 19. Izbor ikonice

26


Kada opet klikne na ''Next'', napadau iza e obavetenje da je uspeno obavio proces podeavanja fajla za ura enu instalaciju. Ukratko se ispisuje kako je to podeeno, pa napada ima uvid ta je uradio i vidi ime fajla koji treba da poalje rtvi (slika 20). U naem sluaju to je "inst_frecell.exe", kome bi bilo poeljno da napada promeni ime.

Slika 20. Izvetaj o kreiranom paketu

Sve to je ostalo napadau da uradi je da na neki nain rtvi poalje taj fajl (putem imejl adrese, davanjem linka na Fejsbuku, kopira mu na usb fle i kae mu da je unutra igrica i slino). Ukoliko rtva pokrene ovu "aplikaciju" na nezatienom kunom raunaru (bez antivirusa, fajervola, ili neke druge zatite), pijun e se instalirati u pozadini, dok e rtvi biti normalno prikazana igrica sa kartama (slika 21).

27


Slika 21. Igrica sa kartama

Me utim, poto veina raunara koristi antivirus, fajervol, ili neku drugu zatitu, napada, ukoliko eli da pro e neotkriven, i da uspeno instalira pijuna, a da ga ne otkrije antivirus ili neki drugi softver za zatitu, morae dodatno da se pomui, to emo uskoro i videti.

28


Nakon nekog vremena, ako sve uspeno pro e, a rtvin raunar ima internet konekciju, napadau e na osnovu podeavanja koje smo dali kao primer, poeti da stiu izvetaji na imejl adresu (slika 22).

Slika 22. I-mejl izvetaji

29


4.2.2 Povezivanje dva ili vie exe fajlova u jedan (bindovanje)

Povezivanje dva ili vie fajlova nije ilegalno i moe u nekim situacijama biti jako korisno imati sve na jednom mestu (na primer, povezati aplikaciju za kasu i kalkulator). I jednim pokretanjem, obe aplikacije se pokrenu, to olakava korisniku posao. Me utim, hakeri veoma esto zloupotrebljavaju ovakve programe za svoje potrebe. Neki pijuni, koji imaju "remote install" opciju, nemaju ugra enu opciju da se veu uz neki drugi exe fajl i time budu zamaskirani i neotkriveni. Oni samo kreiraju exe fajl, koji kad se pokrene uradi instalaciju podeenog pijuna, ali rtva kad klikne duplim klikom na taj fajl, nita se ne desi vidljivo za korisnika, ili iza e najobinija poruka sa grekom. Takvo ponaanje nakon pokretanja aplikacije iskusnijim korisnicima raunara je sumnjivo, zato napada, ako eli da se bolje sakrije, poeljno je da povee instalaciju pijuna uz neki drugi fajl ili aplikaciju. Ima zaista veoma mnogo programa na Internetu koji slue u ove svrhe. esto su neki od njih otkriveni od antivirusa kao nepoeljan softver, haktul (eng. hacktool), ili neto slino. Napada zna njegovu svrhu i privremeno e iskljuiti zatitu na svom raunaru da bi obavio proceduru. Jedan od popularnih programa, koji emo ovde uzeti za primer radi objanjenja procedure povezivanje dva ili vie fajlova se zove "file joiner" (slika 23). O tom programu se moe detaljnije proitati na oficijalnom sajtu: http://www.file-joiner.com/ Nakon to se pokrene program, u osnovnim prozoru imamo razne opcije za dodavanje i brisanje fajlova koje elimo da spojimo u jedan exe fajl. Mogue je spojiti razliite fajlove, koji ne moraju biti exe fajlovi, kao to je prikazano na slici 23.

30

Slika 23. File joiner aplikacija


Napada uglavnom ima potrebu da vee maksimalno dva do tri exe fajla, od kojih je jedan obina korisnika aplikacija, drugi pijun, a trei jo neki zlonamerni program, kao na primer Exploit, koji e onemoguiti antivirus i fajervol na rtvinom raunaru. Nakon to izabere opciju "add file" (slika 24), napada dobija klasian prozor za izbor fajlova.

Slika 24. Izbor fajlova Kada je napada izaberao neki(e) od fajlova, nude mu se opcije za podeavanje nivoa enkripcije (slika 25). Kada to podesi, antivirus najverovatnije nee otkriti pijuna. Pored toga, napada bira da li e se pijun pokrenuti zajedno sa ostalim izabranim fajlovima, ili e biti samo pasivno sakriven.

31

Slika 25. Podeavanje enkripcije


Nakon to napada izabere sve fajlove koje eli, poeljno je da izabere opciju "cnange icon"(slika 26), na glavnom prozoru, i izabere ikonicu koja bi rtvi bila najprivlanija i najrealnija.

Slika 26. Izbor ikonice Posle tih podeavanja, napada klikne na dugme "Join files" na glavnom prozoru, pa e izabrani fajlovi biti "zapakovani" u jedan exe fajl, sa izabranom ikonicom. Sada je taj novokreirani exe fajl, koji sadri u sebi pijuna i aplikaciju, spreman za slanje na rtvin raunar.

32


4.3 SAKRIVANJE PIJUNA OD ANTIVIRUS, ANTISPAJVER I FAJERVOL PROGRAMA

Kao to smo videli, dosadanji proces podeavanja pijuna bi do sada bio dovoljan ukoliko rtvin raunar ne koristi bilo kakvu zatitu od zlonamernog softvera. Me utim, veina prosenih korisnika Interneta koristi bar najosnovniju antivirus zatitu. Neki korisnici pored antivirus zatite, koriste i dodatne zatite, kao to je antispajver (eng. antispyware) i neki dodatni fajervol (Vindovsov je dokazan kao slab i veina pijuna ga bez problema zaobilazi). Ovde e biti pomenute najee tehnike kojima se napadai slue da bi uinili da zaraeni fajl bude to vie neprimetan za razne zatitne mehanizme. Koliko e ih napadai veto koristiti, zavisie samo od vetine poznavanja nekih od pomenutih alata. ak i upotreba ovih alata ne daje napadau 100% sigurnost da se napad nee otkriti, ali mu u svakom sluaju poveava anse. Napad ili odbrana, to je veiti rat izme u hakera i kompanija koje se bave zatitom korisnika. Naravno, pobe uje onaj ko je vetiji u ovoj igri.

4.3.1 Exe kompresori

Exe kompresori (eng. compressor) je legalan softver, ija je osnovna ideja da od postojee veliine exe fajla napravi manju verziju exe fajla, tako da ona zadri originalnu funkcionalnost aplikacije, a da to manje negativno utie na performanse kompjutera. Exe kompresorii rade tako to zamene neke asemblerske instrukcije, koje se izvravaju na odre en nain. Pri tome se asemblerske instrukcije izvravaju na neki drugi nain (npr. smanji im se broj, zameni se sporiji set instrukcija brim, i slino). Naravno, hakeri esto zloupotrebljavaju ovakav softver za svoje namere. Budui da exe kompresori, u odnosu na tip kompresora i njihova podeavanja, totalno izmene strukturu exe fajla a zadre mu funkcionalnost, antivirus, kad bude skenirao izmenjeni exe fajl (koji vie nema istu strukturu kao onaj prethodni), najverovatnije nee prepoznati zlonamerni kod, samim tim ni pijuna. Napada e, u zavisnosti od svojih potreba, veto izabrati odgovarajui exe kompresor i uporno ga podeavati dok ne dobije eljeni rezultat. eljeni rezultat je da fajl bude33


funkcionalan, isto kao i original, ali da vie ne bude prepoznatljiv od programa koji slue da zatite korisnika. Ovaj posao esto nije ni malo lak, jer zahteva solidno znanje o exe kompresiji, koja ima zaista veoma mnogo opcija. Izborom pogrene opcije moe se totalno unititi funkcionalnost fajla. Ovi programi, pored exe fajla, esto znaju i da kompresuju dll fajlove, to napadau moe biti veoma korisno. Napadau predstavlja problem to to svaki bolji antivirus ima ugra enu logiku za prepoznavanje da li je neki fajl kompresovan od nekih komercijalnih exe kompresora. Samim tim takvi antivirusi znaju i da kompresovani fajl (u velikoj veini sluajeva) dekompresuje, tj. vrati ga na original i na taj nain otkrije da li fajl sadri maliciozni kod. Iz tog razloga, iskusniji napada se odluuje za neku privatnu verziju exe kompresora, koja se prodaje na hakerskim sajtovima. Ako je napada vet programer, moe da iskoristi neki od open sors (eng. open source) exe kompresora, da mu reprogramira logiku, potpis, i na taj nain napravi svoju verziju exe kompresora koju antivirus nee prepoznati. Na taj nain napada ima vee anse da njegov zaraen fajl bude nedetektovan.

34

Slika 27. Exe kompresor


Jedan od open sors kompresora, koji je me u napadaima veoma popularan, je UPX compressor. Njegovo preuzimanje je besplatno na oficijalnom sajtu: http://upx.sourceforge.net/ Primer podeavanja tako e popularnog, ali ne i besplatnog, PECompact exe kompresora moe se videti na slici 27.

4.3.2 Skremblovanje unutranjosti fajla (code pervertor)

Kao to smo do sada videli, napada ima cilj da izmeni strukturu fajla, ali da zadri istu funkcionalnost, u cilju da bude neotkriven od programa protiv malicioznog softvera. Pored exe kompresora, postoje takozvani "code pervertor" programi, (slika 28) ija je namera iskljuivo da promene strukturu fajla, tako da ga programi za zatitu raunara ne mogu otkriti. Za razliku od exe kompresora, koji kompletno moe da izmeni veliinu exe fajla, kao i njegovu funkcionalnost, koud pervertori (eng. code pervertor) menjaju fajl na taj nain to mu ostave istu veliinu, ali zamene neke stvari u okviru fajla (na primer, potpis, zaglavlje, unutar fajla ispremetaju redosled asemblerskih instrukcija itd), ali tako da ne otete funkcionalnost exe fajla. Ovi programi su ilegalni, jer ih iskljuivo prave hakeri za svoje potrebe. S druge strane, napada ne moe biti 100% siguran da antivirus programi nee detektovati fajl. Uporni napada, menjanjem opcija, koristei neke druge programe sa istom namerom, moe doi do eljenih rezultata. esto se koud pervertori kombinuju sa exe kompresorima, i u takvoj kombinaciji naprave mnogo vei problem antivurusu da ga detektuje. Na slici 28 je prikazan jedan od popularnih programa ove namere koji se moe preuzeti na adresi: http://z0mbie.daemonlab.org/#engines

35


Slika 28. Code pervertor

Slika 28. Code pervertor

Korienje ovog programa je krajnje jednostavno. Sve to je potrebno da napada uradi je da izabere fajl koji eli da mutira (slika 29), i podesi opciju da li da mutira sve u okviru fajla, ili neke delove fajla nasumino.

Slika 29. Izbor fajla Code Pervertor36


4.3.3 Runo menjanje potpisa i strukture exe fajla

Svi opisani alati koje smo do sada spomenuli slue da promene strukturu exe fajla, tako da pijun ne bude prepoznatljiv od antivirus ili antispajver softvera. Oni rade onako kako su isprogramirani i imaju svoj algoritam po kome menjaju strukturu exe fajla. Postoji odre en nain kako napada moe runo, koristei odre ene alate (kao to su hex editor), da izmeni exe fajl tako da ne bude prepoznatljiv od antivirus softvera,. Ideja je da se vidi koji deo fajla antivirus prepoznaje kao zlonamerni kod, i da se samo taj deo izmeni na nain koji ne bi uticao na funkcionalnost celog programa. Za poetak, napada odgovarajuim softverom podeli fajl na veliki broj malih delova, da bi video koji e od tih malih delova antivirus prepoznati. Nakon toga se taj mali deo izmeni. Na ovom linku postoji video klip koji detaljno prikazuje proceduru: http://www.securitytube.net/video/137

4.3.4 Vezivanje (bindovanje) eksploita uz pijuna

Svi ovi alati koje smo do sada opisivali, napadau su veoma korisni kad treba da se pijun sakrije od antivirus ili antispajver programa. Me utim, svaki malo bolji fajervol, napadau predstavlja dodatni problem. Vindovsov fajervol veina dobrih pijuna zaobilazi bez problema, ali neke naprednije (kao na primer zone alarm, comodo, i sline) veoma teko ukoliko korisnik sam ne napravi greku (iako ga fajervol upozori) i dopusti pijunu da se konektuje na smtp, ili ftp port. Moda postoje neki inteligentniji pijuni, koji koriste metode sa veim ansama da prevare fajervol, ali popularnije reenje je da se povee (binduje) eksploit (eng. exploit), ili neki zlonamerni program, koji slui samo da izbrie, iskljui, promeni profil (da dopusti konekcije), doda neki program u listu, i slino. Postoji veoma mnogo razliitih verzija eksploita, za razliite fajervol, antiviruse, i antispajver softvere.

37


Ativirusi esto otkrivaju eksploite, pa pre povezivanja bilo kog eksploita sa pijunom, bilo bi poeljno proi neku od procedura za sakrivanje od antivirusa (exe kompresija, i slino). Ovakvi eksploiti, ili slini programi, najee se mogu nai u privatnim hakerskim zajednicama, na forumuma, gde ih prodaju, jer veinu komercijalnih eksploita antivirusi prepoznaju. Tako e, u tim zajednicama, na forumima, mogu se kupiti privatne verzije pijuna i ostali hakerski softveri. Jedan od njih je na adresi: http://hackersforum.ucoz.com/

38


5. METODE ZATITE

Sada smo upoznati sa nainom rada pijuna, kao i sa popularnim tehnikama koje koriste napadai da bi im napad bio to uspeniji. Videemo ta je sve mogue preduzeti kao meru prevencije, tj. ta treba uraditi da ne dozvolimo pijunskom softveru da bude u naem raunaru. Osim toga, aktuelni su i neki postupci na osnovu kojih je mogue otkriti ili bar posumnjati na prisustvo pijuna u raunaru. Sigurnost sa tehnikog aspekta je na veoma visokom nivou. Savremena oprema, softver i sve ostalo, znatno je napredovalo, ali najvea rupa u sigurnosti je uvek bila i ostala ljudska nepanja i neznanje. Na primer, fajervol moe da upozori, ali korisnik esto refleksno dozvoli zlonamernoj aplikaciji pristup preko Interneta, tj. lakoverno dozvoli da bude prevaren na neki od naina. Prevara zaista ima veoma veliki broj, pa uvek treba paziti na sumnjive fajlove; ne verovati svakom linku ili i-mejl poruci koju dobijemo. Ukoliko elimo da otvorimo neki sumnjivi fajl, da vidimo njegov sadraj, a da ne otetimo raunar, i za to postoji mogunost (to emo uskoro i videti).

5.1 PREVENCIJA

Kao to smo ve rekli, edukacija i odre ene mere opreza, da se ne bi deavale greke ljudskog karaktera, jako su vane u zatiti od malicioznog softvera. Kod veine korisnika, kao osnovni nivo zatite, podrazumeva se instalacija dobrog antivirus programa, koji ima konstantno vaeu licencu i redovan apdejt (eng. update), kako bi najnoviji virusi, pijuni i drugi maliciozni softveri bili otkriveni. Korisnici koji hoce veu kontrolu i zatitu podataka instaliraju i fajervol. Fajervol trai vie znanja za korienje, pa samim tim u nekim sluajevima, kad korisnik nije dovoljno informatiki obrazovan, moe samo da ga zbuni. Fajervol treba dobro podesiti, to ipak trai malo naprednije znanje. Postoje i antispajver programi, koji se bave iskljuivo zatitom od raznih pijunskih programa i koje je poeljno imati pored antivirusa, jer oni esto na u neke stvari u raunaru koje antivirus ne moe da prepozna kao pijunski softwer. Ono to korisnik jo moe da uradi kao nain zatite je da koristi limited akaunt (eng, limited account) u Vindovsu, tj. nalog koji ima ograniene mogunosti dok koristi Internet. U39


sluaju da korisnik grekom pokrene neki maliciozni softver, taj softver nee imati privilegiju sistema da se instalira ili da obavi neku opasnu sistemsku proceduru, tj. nee moi da napravi veu tetu. Nekad korisnik moe imati potrebu da pokrene neki fajl iako ga smatra sumnjivim. U tom sluaju bi bilo idealno da se koriste virtuelne maine, tako to se sumnjiv fajl kopira i pokrene u virtuelnoj maini. Na taj nain fajl se ponaa slobodno, u punoj svojoj funkcionalnosti, u kontrolisanim uslovima, i ne nanosi tetu. Uvek se stanje virtuelne maine moe vratiti na staro stanje u sluaju da za tim postoji potreba. 5.2 DETEKCIJA

5.2.1 Osnovni softver za zatitu

Kao to smo rekli, redovno auriranje aktivnih antivirus i antispajver softvera je veoma bitna procedura za dobru prevenciju od malicioznog softvera. Tako e, isti ovi programi mogu da se koriste i za detekciju kad je pijun ve uao u raunar. Naravno, kao to bi lekari rekli "bolje spreiti nego leiti", isto pravilo vai i kad je u pitanju maliciozni softver. Ali ako nekim sluajem i na neki nain bude instaliran pijun, potrebno je preduzeti odre ene mere da bi se on oistio iz raunara, ako je to mogue. Na primer, korisnik nije redovno apdejtovao antivirus i antispajver softver, a u me uvremenu se pijun instalira u raunaru. Kada korisnik aurira softver za zatitu, treba opet da skenira ceo raunar, da bi video da li e softver za zatitu otkriti zlonamernu aplikaciju. U nekim sluajevima korisnik nije imao instaliran softver za zatitu, i nakon njegove instalacije, on moda detektuje pijuna, i preduzme odre ene mere. Tako e moe da se desi, da neki antivirusi mogu da detektuju prisustvo pijuna ili nekog drugog malicioznog softvera, ali su nemoni da ga izbriu iz raunara. U tom sluaju postoje takozvani "sekundarni antivirusi", koji se preteno bave nainom da eliminiu iz raunara one maliciozne programe koji su ve instalirani na raunaru, a koje obini antivirusi najee mogu samo da detektuju, ali ne i da obriu. Jedan od najpopularnijih, najefikasnijih, ali ne i besplatnih sekundarnih antivirusa se moe preuzeti na ovoj adresi: http://www.malwarebytes.org/

40


5.2.2 Skeniranje portova, i praenje mrenog saobraaja

Nekad moe da nam se desi da omanu svi programi za zatitu i pijun bude toliko vet, da ne bude detektovan ni od jednog softvera. U tom sluaju, ako i dalje sumnjamo da imamo instaliranog pijuna u kompjuteru, potrebno je da na emo nain da posumnjamo na njegovo prisustvo. Kao to smo ve videli, velika veina pijuna udaljenom raunaru alje izvetaje ili putem mejla, ili putem FTP servera. Dakle, pijun u tom sluaju koristi ili SMTP, ili FTP port, koji spadaju u opte poznate portove. Mi moemo da pratimo mreni saobraaj uz pomo nekog od programa (npr. Wireshark), i usmerimo panju na ciljane SMTP, i FTP portove (slika 30).

Slika 30. Wireshark

Ukoliko mi pustimo Wireshark da prati mreni saobraaj dovoljno dugo (na primer, dan - dva, mada je esto dovoljno znatno krae), i ukoliko podesimo filtriranje u Wireshark,41


tako da pratimo mreni saobraaj na SMTP i FTP portovima, bie uhvaen samo ciljani mreni saobraaj. Ako posle odre enog vremena vidimo sumnjivu aktivnost na tim protokolima, moemo da pretpostavimo da imamo pijuna ili neku slinu neeljenu aplikaciju koja alje odre ene informacije putem tih protokola. Tako e, moemo malo detaljnije da u emo u analizu tih protokola, da vidimo na koju i-mejl, ili ftp adresu se alju podaci. Ukoliko se slanje na jednu te istu adresu ponavlja uestalo, koristei nepoznat i-mejl nalog i server, velika je mogunost da se u raunaru nalazi pijun koji prikupljene podatke sa raunara alje napadau. Ukoliko primetimo tako neto, moemo da koristimo dodatni softver da bi se detaljnije ispitalo koja aplikacija koristi taj protokol, pa da vidimo da je uklonimo iz raunara, a tako e je mogue prijaviti adresu napadaa njegovom i-mejl, ili ftp provajderu.

5.2.3 Pretraivanje skrivenih procesa

Bolji pijuni su esto podeeni tako da budu sakriveni u listi procesa od standardnog Vindovs task menadera, tako da korisnik ne moe da ih vidi, i vidi sumnjivu aplikaciju koja radi u pozadini. Me utim, postoje specijalni alati, koji omoguavaju korisniku da pretrai skrivene procese, koji esto Vindovs task menader nije u stanju da prepozna i prikae korisniku. Jedna od dosta dobrih i popularnih alata ove namere je aplikacija "Spyware Process Detector". Zvanina web strana aplikacije je: http://www.systemsoftlab.com/spydetector.html

42

Slika 31. Spyware Process Detector


Ovaj program funkcionie vrlo jednostavno tako to nakon njegove instalacije i pokretanja, sam izdvoji procese po bojama, u zavisnosti od toga koliko po odre enom algoritmu se smatra da je neka aplikacija opasna, ili se ponaa kao pijunski softver (slika 31). Crvenom bojom su oznaeni najsumnjiviji procesi. To su obino oni koji se kriju od Vindovsovog task menadera, a to je boja svetlija, to je manja mogunost da je to opasan proces. Zelenom bojom su predstavljeni oni procesi za koje se smatra da su bezopasni. To su najee ve poznati procesi i oni koji se ni malo ne ponaaju kao pijunski softver.

5.2.4 Isprobavanje kombinacije tastera na tastaturi

Kao to smo videli u podeavanjima pijuna, velika veina njih ima "tajnu" kombinaciju tastera na tastaturi, koju samo napada treba da zna, a koja mu omoguava da pristupi podeavanjima pijuna. Ukoliko nita od prethodno navedenog ne pomogne u tome da se detektuje postojanje pijunskog softvera, ne bi bilo loe isprobati kombinacije tastera na tastaturi. Mogue je to uraditi runo, ali je bolje nai program koji omoguava da se automatski pro u sve mogue kombinacije tastera na tastaturi, uz posebnu panju na kombinacije koje idu uz CTRL, ALT, i SHIFT dugme. U sluaju da se ne na e takva aplikacija na Internetu, za pisanje ovog programa koji isprobava kombinacije tastera nije neophodna prevelika vetina programera,. Ako nakon prolaska svih kombinacija primetimo da nam je iskoio prozor za podeavanje pijuna, ili prozor koji trai da se unese lozinka da bi se pristupilo podeavanjima pijuna, vrlo je mogue da u raunaru postoji pijunski softver.

43


6. ZAKLJUAK

Svaki kompjuter koji je na bilo koji nain povezan sa Internetom, koji prebacuje fajlove sa jednog raunara na drugi, kao i onaj koga vie ljudi koristi, u opasnosti je da bude zaraen pijunskim softverom. Nikad se ne zna da li postoji neko iz nae okoline (ili je to nepoznati napada) ko eli da ugrozi nau privatnost. Na primer, to moe biti namera da sazna broj kreditnih kartica, ili da sazna informaciju sa naeg raunara koju treba da zna samo vlasnik. Proizvo ai pijunskog softvera postaju sve pametniji u svojoj nameri da veto zaobi u barijere. Sve je vie kompanija koje prodaju "privatne" verzije pijuna, koje nisu javno dostupne, pa samim tim i pro e vie vremena da antivirusni i antipijunski programi otkriju njihovu pojavu. Isto tako, softver za zatitu postaje sve bolji. To znai, kad je svet novih raunarskih tehnologija u pitanju, da se i dalje vodi, i uvek e se voditi, borba izme u zlonamernih i dobronamernih kompanija, alata i ljudi. Mnogo je bolje spreiti nego kasnije leiti posledice koje mogu da se dese ugroavanjem privatnosti pomou pijuna. Zato su edukacija korisnika, potovanje odre enih pravila (kao na primer redovan apdejt i instalacija antivirusa) i opreznost u korienju raunara, kljune stvari kad je zatita u pitanju.

44


LITERATURA

1. D.Pleskonji, N.Maek, B. or evi, M.Cari: ''Sigurnost raunarskih sistema i mrea'', Mikro knjiga, Beograd, 2007. 2. http://www.blazingtools.com/bpk.html 3. http://www.file-joiner.com/ 4. http://upx.sourceforge.net/ 5. http://z0mbie.daemonlab.org/#engines 6. http://www.securitytube.net/video/137 7. http://hackersforum.ucoz.com/ 8. http://www.malwarebytes.org/products/malwarebytes_pro 9. http://www.systemsoftlab.com/spydetector.html

45

Documents

Metode Napada i Zastite Korisnika Od Spijunskog Softvera