Upload
-
View
467
Download
0
Embed Size (px)
Citation preview
Malware:
Virus – 16.02%Trojan – 68.34%Adware – 2.58% Worm – 11.69%Others – 1.37%
Кизько Б.А. ноябрь 2013
ВПО – программа, которая загружается без уведомления пользователя, выполняется без его разрешения и преследует цели создателя.
Виды:1. Компьютерные вирусы (КВ).2. Троянские кони (ТК).3. Потайные ходы (ПХ).4. Сетевые черви (СЧ).5. Rootkits (РК).6. Средства удаленных атак (СУА).7. Потенциально опасные программы (ПОП) – adware,
riskware, spam...
Несанкционированное:уничтожение, блокирование, модификация, копирование информации.
Нарушение работы ЭВМ, систем ЭВМ или их сети.
Конспект Книги на русском языкеПлатонов В.В. Программно-аппаратные средства защиты
информации /В.В. Платонов. – Москва: Издательский центр «Академия», 2013г. – 336 с. – (Сер. Бакалавриат)
Книги на английском языке Основные сайты по безопасности Интернет
1959 г. – статья Л. Пенроуза о самовоспроизводящихся механизмах в «Scientific American»1972 г. – игра «Darwin» М. Макилроя из AT&T Bell Laboritories. Игровая программа «Animal»1975 г. – J. Brunne «The Shockware Rider» <Tapeworm, распределённые программы, защита от обнаружения, заражение программ…>1977 г . – T.R. Ryan «The Adolescence of P-1» <заражение сети, стирание информации>
4.10.1957 г. – 1ый искусственный спутник Земли7.10.1957 г. – DARPA. Цель: обеспечить выживаемость инфраструктуры после ядерного удара.1980 г. – в ARPANET появилась программа, перепутывающая адреса эл. почты.Около 1966 г. – Robert Morris, Sr. Разработал идею программы, которую запрограммировали его друзья, Dennis Ritchie и Victor Vyssotsky. -> игра «Darwin»
1982 г. – первый вирус для Apple II, автор – Rich Skrenta. Вирус писал «ELK CLONER».
1985 г. – «пакистанский вирус»
Ноябрь 1976 г. – Диффи и Хеллман
1977 г. – RSA
Elk Cloner:
It will get on all your disksIt will infiltrate your chipsYes, it’s Cloner!
It will stick to you like glueIt will modify RAM tooSend in the Cloner!
1984 г. – Ф. Коэн (F. Cohen) разработал формальную модель КВ: «A virus is a program, that is able to infect other programs by modifying them to include a possibly evolved copy of itself».
Adleman: «A computer virus is a program that recursively and explicitly copies a possible evolved version of itself».
1987 г. – первая статья, посвященная КВ. А.А. Чижов, ВЦ АН СССР.Август 1988 г. – первый КВ обнаружен в лаборатории Института программных систем, Переславль-Залесский1989 г. – семинар «Системное программирование», Безруков Н.Н.1991 г. – Безруков Н.Н. «Компьютерная вирусология» – 1я «хорошая» книга
Исходные коды с комментариями
Появление ПК
Появление книг по программированию
Интернетwww.phrack.org
Компьютерный вирус – «программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам.» ГОСТ 51188-98
Степень опасностиОпасные, неопасные, чрезвычайно опасныеНаличие маскировкиЗащита от просмотра, защита от обнаруженияСреда обитанияАппаратная, программнаяСтратегия инфицирования (условия инфицирования и объект заражения)
Многократные попытки унификацииПоход Symantec:
Префикс.Имя.СуффиксПрефикс – платформа распространения (или тип вируса).Имя извлекается из тела вирусаСуффикс – для определения вирусов одного семейства.
ПрефиксыJavaW32 (Win32)Trojan (Troj)PWStealO2KMO97KMOMVBSW2KM
Суффиксы@m@mmFamilyWormGen
Неоднозначность именования вирусов у различных исследователей!
www.wildlist.org
Внедрение
Инкубационный период
Саморазмножение
Выполнение спец. Функций
Проявление
ФайловыеЗагрузочные
СетевыеМакровирусы
Файловые КВ поражают почти все типы исполняемых файлов.
EXE- и COM-файлы.dll
.drv – драйверы устройств.scr – оконные заставки
.chm – компилируемые HTML-файлы
.cpl – расширение панели управления.bpl – библиотеки Borland
.pif – информация о программе.vxd – драйверы вирт. устройств
Elf-файлы в *Nix-системах
Перезаписывающие КВПаразитические КВКомпаньон-вирусы
Вирусы-червиLink-вирусы
Вирусы, заражающие объектные (OBJ) модули, библиотеки компиляторов и исходные коды
программ
Носителем вируса становится файл, получаемый в процессе компоновки зараженного obj/lib-файла с другими объектными модулями и библиотеками.
Примеры: SrcVir, Urphin
Кен Томсон, 1981 г: «Не доверяйте кодам, которые писали не Вы»
Некоторые подвиды используют сжатие заражаемого файла
Записывают свой код в инфицируемый файл, уничтожая его содержимое.
Исходный файл – target.comВирус – virus.com
Зараженный файл:
Возможно внедрение в начало или конец файла
Target.com
Virus.com
Virus.com Target.com
Внедрение в начало файла (актуально для DOS)COM EXE
JMP
Программа
JMP
Программа
Вирус
1. Переименование заражаемого файлаДо заражения
После заражения
Пользователь запустит файл Target.exe, который содержит вирус, а уже тот запустит исходный файл
Target.exe Virus.com
Target.exdTarget.exe
2. Использование особенностей DOS
Пусть в директории C:\x\ лежат файлы:Target.bat, Target.com, Target.exe
Пользователь из командной строки выполняет команду C:\x\target (т.е. без указания расширения файла), и в этом случае DOS запустит файл Target.bat.
Приоритеты выполнения: .bat -> .com -> .exe
Armored VirusesМетоды защиты вирусов:- Защита от AV-средств;- Защита от дизассемблеров (antidisassembly);- Защита от отладчиков (antidebugging);- Защита от эвристик (antiheuristics);- Защита от эмуляции (antiemulation);-Защита от мишеней (antigoat).
Доступность AV привела к эволюции кода вирусов:- Использование шифрования;- Использование упаковщиков.
AV средства для обнаружения используют структуры (команды) модуля шифрования/расшифрования вируса.
Oligomorphic viruses (Олигоморфные вирусы)(гр. oligos – незначительный)
Изменение модуля и/или ключей шифрования от копии к копииИспользование набора модулей (W95/Memorial, WordSwap)
Полиморфизм – изменение модуля для каждой копии. Полиморфные вирусы.
1990 г. – первый полиморфный вирус, «1260». Автор – Mark Washburn.
Перестановка блоков внутри модуля, вставка команд «мусора».
1991(1992) г. – MtE (Mutation Engine). Автор – Dark Avenger, из Болгарии. Объектный модуль с подробной инструкцией.
MtE – первый известный полиморфный генератор для MS-DOS.
Полиморфные генераторы обеспечивают шифрование тела вируса случайным ключом и генерацию соответствующего случайного работающего расшифровщика. В итоге копии вирусов, зашифрованные полиморфными генераторами, могут не совпадать ни в одном байте и иметь разную длину.
Сам полиморфный генератор не является вирусом, поскольку не имеет алгоритма заражения файлов или иного способа размножения.
Известные полиморфные генераторы для MS-DOS:MtE (Mutation Engine)TPE (Trident Polymorphic Engine)NED (NuKE Encryption Device)SMEGTCEVICEDAME (Dark Avenger`s Mutation Engine)
Использование «мусорных команд»Код без «мусора»: Код, содержащий «мусор»
mov esi, start_of_virus_body mov esi, start_of_virus_body
mov ebx, decryption_key nop
mov ecx, virus_size mov ebx, decryption_key
decryption_loop: add edx, 105
xor [esi], ebx mov ecx, virus_size
inc esi xchg ebp, edx
loop decryption_loop jc decryption_loop:
decryption_loop:
xor [esi], ebx
push ebx
pop eax
inc esi
dec eax
loop decryption_loop
jcxz next
next:
Метаморфизм – мутация кода вируса при каждой инфекции, приводящая к изменениям функциональности.
Вставка мусораВарианты:
1) вставка кода, который аннулирует эффект предыдущей команды:Xchg eax, ebxXchg ebx, eax
Вставка мусора
Варианты:
2) вставка кода, который производит вычисления, которые далее не используются:Mov eax, 0Mov eax, ebx
2. Переименование переменных:Mov eax,0Push eaxPush ebx
3. Перестановка команд, не зависящих от данных.
4. Перестановка блоков команд (BadBoy).5. Замена эквивалентных последовательностейAdd eax, 5 Sub eax, -5
6. Вставка псевдоусловных переходов
7. Вставка безусловных переходов.8.Мутация полезной нагрузки и условий срабатывания.
ГОСТ 51188-98:Программные и программно-аппаратные методы.
Программно-аппаратные – с помощью спец. технических устройств. Пример: технологии NX-Bit (AMD Athlon 64), XD-Bit (Intel Pentium 4), Microsoft DEP. (защита оперативной памяти на уровне страниц)
Программные.1. Сигнатурный метод. Поиск по базе сигнатур.30 дней от запуска вируса до выпуска AV-сигнатуры.2. Резидентные «сторожа».3. Эвристический анализ.4. Обнаружение изменений.5. Вакцинирование программных средств6.Honeypot.7. HIPS и виртуализация.8. Blacklisting. «Чёрные списки» программ.9. Whitelisting. Bit9, 2008 г.
Основные принципы1. Контролируем то, что известно.2. Контролируем на самом низком уровне («low-level»).3. Контролируем «прозрачно» для запущенной программы.
Появление многофункциональных операционных систем для мобильных телефонов и КПК: Symbian, Windows Mobile, Android, iOs, Windows Phone.Массовое распространение телефонов, смартфонов и КПК с указанными выше ОС.Наличие у устройств нескольких коммуникационных интерфейсов (GSM/CDMA и др., Bluetooth, WiFi, IrDa).Неосторожность и пренебрежительное отношение со стороны пользователей устройств.Некоторые другие причины.
2000г. – распространение наборов команд, исполняемые телефоном, передавался через SMS.
Сообщения с командами забивали ячейки памяти и при удалении блокировали работу телефона. Наибольшее распространение получили команды для телефонов Siemens и Nokia.
Название – Cabir (Caribe)Дата появления – июнь 2004 г.Авторы – команда 29A, VallezЦелевая платформа – SymbianOSКанал распространения – BluetoothФункционал вируса: самораспространение по BT, расход заряда аккумулятора.Цель появления вируса – доказательство актуальности проблем инф. безопасности для мобильных устройств
Исходный код Cabir вскоре (2004 г.) стал доступен в результате утечки, что привело к массовому распространению по всему миру.Чемпионат мира по легкой атлетикe, Хельсинки. Моментальное распространение по стадиону. На стадионе в специальном месте F-Secure удаляли Cabir из памяти смартфонов зрителей.За всё время Cabir поразил смартфоны из (примерно) 20 стран.
Принцип действия: Cabir доставляется на телефон в виде SIS-файла, маскируясь под утилиту управления безопасностью, Caribe Security Manager. «Зараженный» смартфон начинает поиск других уязвимых аппаратов и пересылает на них файл, содержавший червя. Вирус не уничтожает пользовательские данные, но блокирует санкционированные Bluetooth-соединения и потребляет ресурсы аккумулятора (заряда хватало примерно на 2 часа).
2004 г. – вирус Duts, первый вирус для Windows Mobile. Duts заражал исполняемые файлы, однако перед заражением спрашивал разрешения у пользователя КПК или коммуникатора. Brador - первый в мире backdoor для телефонов. Brador ожидал подключения зараженного устройства к Сети, и как только оно было установлено, отправлял IP-адрес устройства "хозяину" по e-mail и открывал особый порт. "Хозяин", подключившись через этот порт к инфицированному устройству, мог получить доступ к его файлам, самому отправлять ему те или иные файлы и выводить на его экран текстовые сообщения.
Март 2005 г. – червь CommWarrior-A. CommWarrior атаковал Symbian-аппараты на S60 и распространялся через Bluetooth или MMS. Вирус проникал в трубку и сразу начинал рассылать заражённые MMS всем контактам из адресной книги. CommWarrior оказался зловреднее Cabir, так как не только выводил аппарат из строя, но и подрывал финансовое положение пользователей несанкционированной рассылкой MMS.
Шпион Flexispy (50 долларов США) – устанавливал контроль над смартфоном, отсылал информацию о звонках и SMS.Cxover – первый мобильный вирус, распространявшийся в различных ОС. При запуске он определяет ОС, проникает в компьютер и ищет доступные мобильные устройства через ActiveSync. Затем вирус копирует себя на найденное устройство. Попав в смартфон, программа пытается проделать обратную процедуру – скопировать себя на персональный компьютер. Вирус может удалять пользовательские файлы на мобильном устройстве.
Вирус-троян RedBrowser – платформа Java ME. Троян маскируется под программу, позволяющую посещать WAP-сайты без настройки WAP-подключения. Авторы программы сообщают, что такая возможность достигается за счёт бесплатных SMS. На деле вирус начинает рассылать SMS на платные мобильные сервисы. Стоимость одного сообщения может достигать 5-6 долларов США, а отправляются они непрерывно. Таким образом, RedBrowser может за несколько минут разорить абонента. После атаки вируса счёт пользователя обнуляется, а в случае кредитной системы оплаты даже уходит в глубокий минус.
Вирус-троян Webster
Январь 2008 г. – первый вирус для iPhone. Удалял файлы из /bin, где лежат исполняемые файлы всех приложений.11.04.2011 – вирус для iOs4, автор – s7ranger. Удаляет всю информацию с устройства (iPhone 3GS, iPhone 4, iPad, iPad 2 и iPod Touch), в том числе и все контакты с SIM-карты.http://newapples.ru/news/ostorozhno-poyavilsya-virus-dlya-ios-4.html
1. Кража персональной информации. Контакты владельца, пароли от программ, параметры учетных записей (Google Play, AppStore). Пример – Android.Gemini. Попадая в систему, Android.Gemini определяет местоположение смартфона, загружает файлы из Интернета, считывает и записывает закладки браузера, получает доступ к контактам, совершает звонки, отправляет, читает и редактирует SMS-сообщения.2. Отправка платных SMS. Android.SmsSend, Webster, RedBrowser и др.3. Мошенничество. Использование интернет-банка.Пример – Trojan-Spy.SymbOS.Zbot.a.
1. Не получать файлы от недоверенных лиц.2. Не переходить по ссылкам от недоверенных лиц.3. Открывать файлы, полученные от третьих лиц (даже от доверенных), с осторожностью.4. Не устанавливать фальшивые антивирусные средства.5. Иметь в наличии AV.6. Общее усиление системы (установка обновлений и др.)7. Резервное копирование всей важной информации.8. Не хранить в плохо защищённых системах важную информацию.