Upload
doanmien
View
236
Download
8
Embed Size (px)
Citation preview
Curs 3
Aplicatii malware
Tipuri de atacuri in Internet
Migrarea atacurilor spre Web
Securitate la nivelul sistemului de operare
Malware Hall of Fame
virusi;
viermi;
troieni (termen ce descrie mai degraba un comportament);
rogue security software (scam software), scareware;
rootkit-uri;
spyware; (Google)
adware;
dialer-e;
botnets & zombies;
crypto-ransomware.
Forme ale programelor malware datorita
utilizatorului uman – principala vulnerabilitate
toolbar-uri;
screensaver-e;
codec-uri;
plugin-uri pentru browsere (controale
ActivX), plugin-uri pentru clientii retelelor de
mesagerie instant;
fake antivirus, antispyware, antiadware.
Vectori si tehnici de raspandire
retele P2P, software piratat, keygen-uri;
vulnerabilitatii in aplicatiile desktop ale utilizatorilor (de obicei in browsere), vulnerabilitati ale pluginurilor (flash, pdf, java) - spre deosebire de viermi care se bazeaza pe vulnerabilitati server side pentru replicare;
retele de afiliere, publicitate si pop-uri agresive, tehnici de social engineering (scareware);
software freeware, addware, shareware (utilizatorii nu citesc aproape niciodata License Agreement-ul).
Malware vs. Privacy-Invasive Software vs.
Legitimate Software
Caracteristici Spyware:
Gradul de consimtamant din partea utilizatorului in instalarea softului;
Nivelul impactului negativ asupra utilizatorului si a calculatorului sau.
Culeg:
date mai putin confidentiale (online user behavior); date folosite ulterior de aplicatii addware;
date confidentiale (nume de utilizator, parole, date bancare).
Consimta-
mant Impact
redus mediu ridicat
sever malware spyware
spyware
moderat spyware
spyware spyware
tolerabil spyware
spyware
software
legitim
Exemple malware: New.net
http://en.wikipedia.org/wiki/New.net
Exemple:
Sony BMG copy protection rootkit
http://en.wikipedia.org/wiki/Sony_BMG_copy_protection_rootkit_scandal
Botnets & Zombie computers
Botnet
calculatoare infectate cu diferite aplicatii malware aflate sub controlul aceleiasi organizatii sau individ (bot herder).
Zombie
calculator infectat ce face parte dintr-un botnet.
Scopuri: in principal financiare
Spam;
Flood & DDOS;
Crypto Mining;
Furtul de date bancare, seriale software.
Botnets (exemple)
Data Nume
Numar de calculatoare
zombie controlate
Capacitate
spam-uri / zi
2016 Mirai 380,000
Device-uri IoT Linux (camere
IP sau routere)
2013 Chameleon 120,000
6 million $/lunar afisarea de
reclame
2009 BredoLab 30,000,000 3.6 miliarde
2008 Mariposa 12,000,000 NA
NA Conficker 10,500,000 10 miliarde
2007 Cutwail 1,500,000 74 miliarde
NA Grum 560,000 39.9 miliarde
2007 Srizbi 450,000 60 miliarde
2006 Rustock 150,000 30 miliarde
Vulnerabilitati in cadrul sistemelor de
operare
server side: viermi;
client side (vulnerabilitati ale browserelor,
clientilor de mail, pluginurilor): troieni,
spyware, adware.
Mecanisme de protectie
Antivirus, antispyware, antiadware,
antimalware;
Update-uri ale sistemlului de operare si
aplicatiilor instalate;
Firewall.
Zero-day attacks.
Cronologia exploatarii unei vulnerabilitatii
Zero-day attacks
se bazeaza pe vulnerabilitati in cadrul unei aplicatii software (SO, server, client) necunoscute si pentru care nu exista un patch (fix, update).
Atacuri bazate pe vulnerabilitati cunoscute:
in cazul softului open source atacatorul dezvolta un exploit pe baza rapoartelor de securitate aparute pe diverse forumuri, liste de discutii, etc;
in cazul softului propietar atacatorul dezvolta un exploit facand reverse engineering la patch-urile (update-urile) de securitate.
Vulnerability window
Intervalul de timp scurs intre prima exploatare a unei vulnerabilitatii si dezvoltarea unui patch pentru acea vulnearabilitate. Vulnerability window > 0 (Zero-day attacks)
Vulnerability window < 0 (Atacuri bazate pe vulnerabilitati cunoscute)
Tipuri de atacuri la care este expus un
sistem
individual, atac manual din partea unui singur individ;
scanare manuala;
scanare automata, infectie cu diferiti viermi.
Toate aceste atacuri intra in categoria atacuri remote.
Rootkit-uri
folosit dupa atacarea cu succes a unui sistem si obtinerea controlului asupra acestuia;
ascunderea urmelor (conectarilor, fisierelor) lasate de atacator;
oferirea unui backdoor de acces;
tipuri:
driver kernel;
modificarea aplicatiilor utilizator.
Migrarea atacurilor spre Web
folosirea motoarelor de cautare pentru localizarea sistemelor vulnerabile;
atacatorul nu mai este nevoit sa "sape" dupa sisteme vulnerabile, acestea ii sunt oferite "pe tava" de catre motoarele de cautare;
tehnica poate fi exploatata automat cu succes chiar si de viermi;
riscuri mari datorita folosirii pe scara larga a unui set relativ restrans de aplicatii web-based (exemple: phpBB, phpMyAdmin, Joomla, Drupal, WordPress, SquirrelMail).
Exemplu de loguri cu scanari
Santy, primul "webworm" cunoscut in
Internet (2004)
se baza pe o vulnerabilitate din cadrul phpBB (open source bulletin board software);
folosea Google pentru a gasi noi sisteme vulnerabile si a se raspandi in Internet;
in trei ore de la lansare s-a raspandit pe tot globul, in 24 de ore a afectat intre 30.000 si 40.000 de sisteme;
Google a filtrat, intr-un final, search query-ul folosit de vierme pentru a localiza noi sisteme vulnerabile;
un update (patch) exista deja la momentul lansarii viermelui;
printre primii viermi pentru care a fost lansat in Internet un anti-worm.
Atacuri remote si atacuri locale Atacurile remote:
presupun exploatarea unei vulnerabilitati in cadrul unui serviciu/proces daemon care asteapta cereri pe un anumit port;
in urma exploatari cu succes a unei vulnerabilitati remote, atacatorul ajuge sa ruleze pe sistem cod cu privilegiile utilizatorului care ruleaza procesul daemon / serviciul.
Atacurile locale:
presupun ca atacatorul poate rula cod cu privilegiile unui anumit utilizator pe sistem (spre exemplu studentii pot initia un atac local);
exploatate cu succes duc la escaladarea de privilegii, obtinerea unor privilegii mai ridicate (root, administrator) pentru un control total al sistemului;
in unele cazuri atacul local nu mai este necesar, spre exemplu in contextul atacului unui server sau aplicatii Web (atacatorul este interesat in alterarea continutului web nu al intregului sistem de fisiere).
Securitate la nivelul sistemelor de operare.
Securitatea sistemelor server in Internet.
Porturi deschide;
Servicii (daemoni) si utilizatorul sub care
ruleaza aceste servicii;
Programe suid-ate.
Exploituri celebre
ptrace (local);
wuftpd exploit (remote);
Heartbleed;
Shellshock;
Meltdown, Spectre.
Malware Trends
daca la inceput programele malware erau
create din "teribilism", azi principalul lor scop
este cel financiar;
migrarea spre web;
dezvoltarea de generatoare sau instrumente
capabile sa creeze automat noi virusi sau
aplicatii malware.
Bibliografie
The Nocebo* Effect on theWeb:
An Analysis of Fake Anti-Virus Distribution http://krebsonsecurity.com/wp-content/uploads/2010/04/leet10.pdf
Privacy-Invasive Software https://pdfs.semanticscholar.org/02a5/4c1bead250d9e14663444724174af1c25730.
pdf, cap2, cap7
Privacy-Invasive software
http://en.wikipedia.org/wiki/Privacy-invasive_software
Rootkit
http://en.wikipedia.org/wiki/Rootkit