• Save
Scurta Istorie a Malware-ului
Upcoming SlideShare
Loading in...5
×
 

Scurta Istorie a Malware-ului

on

  • 3,269 views

Scurta (?) istorie a malware-ului, adica a virusilor, troienilor, retelelor de boti si alte chestii "nasty"

Scurta (?) istorie a malware-ului, adica a virusilor, troienilor, retelelor de boti si alte chestii "nasty"

Statistics

Views

Total Views
3,269
Views on SlideShare
3,165
Embed Views
104

Actions

Likes
0
Downloads
0
Comments
0

11 Embeds 104

http://psihologiemanageriala.blogspot.ro 46
http://psihologiemanageriala.blogspot.com 35
http://psihologiemanageriala.blogspot.it 7
http://www.slideshare.net 5
https://psihologiemanageriala.blogspot.com 4
http://www.linkedin.com 2
http://www.copyscape.com 1
http://psihologiemanageriala.blogspot.be 1
http://psihologiemanageriala.blogspot.cz 1
http://psihologiemanageriala.blogspot.de 1
http://copyscape.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Scurta Istorie a Malware-ului Scurta Istorie a Malware-ului Presentation Transcript

  • Scurtă istorie a malware-ului
  • Pentru început câteva definiții
  • Definiții Malware - malicious software - aplicații scrise cu intenții răuvoitoare, având ca obiectiv instalarea și rularea pe un sistem informatic fără consimțământul proprietarului. Altfel spus sunt aplicații care, în anumite cazuri distrug, în altele încarcă suplimentar sistemul sau fură datele utilizatorului și le trimite către atacator. În categoria malware intră virușii, viermii, troienii, rootkit-uri, spyware, adware, etc. Virus informatic - program care se replică singur și infectează calculatoarele fără permisiunea utilizatorului. Virușii se pot răspândi prin intermediul unui purtător, cum ar fi un mesaj e-mail, un fișier infectat, o discheta sau un CD/USB drive.
  • Definiții Vierme - este o aplicație care, ca și virusul, se replică singură. Diferența față de virus este că se replică fără quot;ajutorulquot; utilizatorului, nu este nevoie ca acesta să deschidă un fișier infectat sau un e-mail, ci se răspândește prin rețea accesând direct alte sisteme vulnerabile. Troian (sau cal troian) - malware care pare că îndeplinește o funcție folositoare, dar de fapt ascunde intenții și funcții răuvoitoare. Exemple de deghizări: screensaver, joc, antivirus (!), aplicație de arhivare, aplicație de download. În cele mai multe cazuri troienii sunt împachetați în aplicații legitime cu ajutorul unor utilitare speciale.
  • Definiții Rootkit - program destinat să preia controlul administrativ al unui sistem informatic fără acceptul proprietarului acestuia. Numele provine de la sistemele Unix unde superuser-ul (administratorul) se numește root. Practic, rootkit-ul scurtcircuitează mecanismele de securitate ale sistemului de operare, în cele mai multe cazuri fiind imposibil de descoperit prin utilitarele specifice ale sistemului, neapărând în loguri sau în lista de procese active.
  • Definiții Spyware - aplicație care se instalează pe un calculator personal și interceptează orice interacțiune a utilizatorului cu acesta, bineînțeles fără acceptul acestuia. Intre acțiunile de interceptare intră: înregistrarea a ce se scrie la tastatură (keylogging), toată activitatea de browsing pe Internet, mesajele trimise pe aplicații de mesagerie instantanee (IM), capturi de ecran. Adware - advertising-supported software - programe care afișează automat reclame sau aduc de pe Internet alte reclame sau aplicații din aceeași categorie. Inițial s-au distribuit la pachet cu aplicații gratuite ca o metodă de a face bani pentru programatorii aplicațiilor, acum, în general, fac parte din pachete de malware.
  • Definiții Atac DDOS - distributed denial-of-service attack - este un atac destinat să împiedice folosirea normală a resurselor unui sistem informatic. Exemplu: mai multe sisteme compromise fac cereri simultan și repetat a unei adrese web; în acest caz pot apare două situații - 1. serverul care găzduiește site-ul web respectiv nu mai face față cererilor sau 2. serverul poate face față, dar este ocupată toată banda de rețea datorita tentativelor repetate de acces. În oricare din cazuri, utilizatorii îndreptățiți nu mai au acces normal la sistemul respectiv.
  • Definiții Crimeware – este o categorie de malware concepută pentru automatizarea activităților criminale de natură financiară. Crimeware-ul folosește metode de inginerie socială sau tehnice în scop de furt de identitate, pentru a accesa conturile utilizatorilor serviciilor bancare online sau conturile de pe site-uri de comerț online (e-Bay, Amazon). Spamming - reprezintă o modalitate de abuz a sistemelor de mesagerie electronică în scopul de a trimite mesaje nesolicitate, în general reclame. Cea mai răspândită forma este spam-ul de tip e-mail, dar mai exista și alte tipuri, cum ar fi spam IM (spim), spam pe telefoanele mobile (m-spam), etc.
  • Şi acum linia timpului
  • criminale intentii Linia timpului Phishing Crimeware Spyware & Rootkits – Adware Spyware Adware răspândire rapidă Boți & Atacuri Boți – evoluție Botnets DDoS explozivă Spam Spam - evoluție explozivă Viermi de Viermi de e-mail rețea curiozitate Viruși Viruși distructivi Viruși de macro 1986 2007 Sursa: Symantec
  • Linia timpului 1982  Elk Cloner, virus de boot, scris de un elev de 15 ani ca o glumă proastă la adresa unor colegi. A fost unul dintre primii viruși și s-a răspândit prin intermediul dischetelor infectate pe Apple II. 1983  Doctorandul Fred Cohen de la quot;University of Southern Californiaquot; folosește pentru prima oara termenul de virus de calculator (computer virus) pentru a descrie o aplicație care poate infecta alte aplicații modificându-le în așa fel încât să încorporeze copii ale sale.
  • Linia timpului 1986  Apare primul virus de PC, numit The Brain – scris de doi frați din Pakistan. Scopul lor inițial a fost să protejeze o aplicație medicală împotriva copierii de pe dischetă. 1988  Morris este primul vierme care se răspândește pe Internet, infectează sistemele DEC VAX și Sun pe care rulează BSD Unix și duce la oprirea a 10% din Internet. Ca urmare a efectelor produse de Morris, DARPA (Defense Advanced Research Projects Agency) însărcinează SEI (Software Engineering Institute Carnegie Mellon) să înființeze un centru pentru a coordona partea de comunicații între experți în timpul incidentelor de securitate și să prevină viitoare incidente; astfel a apărut Centrul de Coordonare CERT.
  • Linia timpului 1988  Apare primul mesaj electronic de tip chain letter, cu numele quot;Make Money Fastquot;, de fapt o schemă piramidală. A fost unul din mesajele de tip spam de o longevitate ieșită din comun, după 1994 cunoscând o nouă răspândire prin noi variante. 1992  Virusul Michelangelo, virus ce se instalează în MBR (Master Boot Record), a creat o adevărată panică alimentată de mass-media, vehiculându-se cifre de milioane de calculatoare ale caror hard discuri vor fi șterse pe data de 6 Martie. S-a dovedit a fi o mare gogoriță, numărul final al sistemelor afectate fiind de maxim 20.000.
  • Linia timpului 1994  Green Card spam - primul incident de tip spam comercial – o echipă de avocați, soț și soție, care ofereau servicii de consultanță în ceea ce privește imigrația, au început să inunde cu reclame grupurile de discuții de pe Usenet. 1999  Melissa - virus de macro ce infectează documentele MS Word 97 și 2000, după infecție citește primele 50 de contacte din Outlook adress book spre care trimite noi exemplare. A pornit de pe grupul alt.sex.usenet ca un fișier numit List.doc ce ar fi conținut parolele de acces către 80 de site-uri cu conținut pornografic. Deși a produs pagube de peste 80 milioane USD, autorul a fost condamnat la închisoare 20 de luni și plata a doar 5000 USD.
  • Linia timpului 1999  Cercetătorii SANS descoperă secvențe de cod care pot fi rulate și controlate de la distanță, pe câteva mii de calculatoare cu Windows. Calculatoarele infectate sunt botezate quot;roboțiquot;, mai pe scurt quot;boțiquot;. 1999  CERT publică o notificare de incident în care sunt prezentate detalii despre trinoo și tribe flood network (TFN), unele dintre primele quot;utilitarequot; care pot fi folosite în atacuri de tip distributed denial of service (DDOS). Amândouă folosesc aceeași arhitectură cu unul sau mai multe centre de comandă numite master/s și un număr mare de clienți (daemons), care execută instrucțiunile primite de la master.
  • Linia timpului 2000  ILoveYou.vbs - unul dintre cei mai costisitori viermi din istoria Internetului, pierderile cauzate în principal de blocarea serverelor de e-mail și de munca de curățire a sistemelor au fost estimate la aproape 10 miliarde USD; au fost afectate aproximativ 10% din totalul sistemelor conectate la Internet. Autorii virusului, Irene și Onel de Guzman, nu au putut fi condamnați datorită lipsei legislației din Filipine la momentul respectiv, legislație referitoare la scrierea și distribuirea de viruși informatici.
  • Linia timpului 2000  Unul dintre primele atacuri de tip DDOS cunoscute la adresa unor site-uri importante: Yahoo, eBay și Amazon. Printre cei care au acționat în această serie de atacuri a fost un script-kiddie cu pseudonimul Mafiaboy, fiind și singurul condamnat. Câțiva experți au contestat rezultatele investigației unității quot;Computer Crimequot; a Departamentului de Justiție al USA susținând că Mafiaboy a fost un simplu executant și nu organizatorul, quot;creierulquot; atacurilor.
  • Linia timpului 2001  aduce o multitudine de viruși: Anna Kournikova, Sircam, Code Red, Nimda, Klez. 2001  Viermele Code Red a exploatat o vulnerabilitate în serviciul de indexare al Microsoft IIS, nefiind necesar nici măcar ca serviciul să fie activ. Un patch care rezolva această vulnerabilitate exista deja de o lună. Code Red declanșa următoarele acțiuni: ● înlocuia site-urile web cu o pagină web cu următorul conținut: quot;HELLO! Welcome to http://www.worm.com! Hacked By Chinese!quot; ● scana și încerca să infecteze alte servere IIS ● după o perioadă de 20-27 zile de la instalare declanșa un atac de tip DOS către un set de adrese IP, printre care și adresa serverului de web al Casei Albe.
  • Linia timpului 2001  Sircam a folosit simultan doua mecanisme de propagare, prin intermediul email-ului și prin intermediul share-urilor neprotejate. 2001  Nimda (quot;adminquot; scris invers) - vierme ce s-a propagat cu o viteză ieșită din comun, în numai 22 de minute de la lansare a ajuns cel mai răspândit virus/vierme la momentul respectiv. Răspândirea atât de rapidă poate fi explicată prin faptul că a folosit nu mai puțin de cinci vectori de transmitere: 1. e-mail; 2. share-uri neprotejate; 3. browsing-ul site-urilor web compromise; 4. exploatarea unor vulnerabilități Microsoft IIS 4 și 5; 5. back doors lăsate de alți viermi - Code Red II și sadmind/IIS.
  • Linia timpului 2002  Primul atac de tip DDOS vizând însăși infrastructura Internetului. Atacul de tip quot;ping floodquot; (cereri de tip ICMP) a durat aproximativ o oră și a fost orientat către toate cele 13 servere root DNS, din care 9 au fost dezactivate, celelalte 4 reușind totuși să facă față. Un reprezentant al UUNET, furnizorul de servicii pentru două din serverele de root, a recunoscut că a fost cel mai mare atac direcționat întâlnit pană la momentul respectiv.
  • Linia timpului 2002  SD-Bot – unul dintre primii boți din categoria malware. Este de fapt un troian care se conectează la un server de IRC (Internet Relay Chat ) pe un anumit canal și așteaptă să primească instrucțiuni. Prin intermediul comenzilor transmise se pot accesa oricare din quot;facilitățilequot; următoare: ● Captură de ecran; ● Clonarea troianului; ● Ștergere de fișiere; ● Download de fișiere; ● Rulare de fișiere executabile; ● Primire de informații detaliate despre sistem pe e-mail; ● Lansare de atacuri de tip SYN sau ICMP flood; ● Keylogging.
  • Linia timpului 2003  Viermele SQL Slammer afectează dramatic traficul Internet, infectând în 10 minute aproximativ 75.000 de sisteme. Viteza de răspândire s-a datorat și faptului că viermele a folosit ca mijloc de transport protocolul UDP. Deși mărimea viermelui era extrem de redusă (376 bytes) traficul Internet a fost perturbat pentru că multe rutere s-au blocat și s-a produs un efect în cascadă prin retrimiterea de update-uri de tabele de rutare între ruterele vecine. Patch-ul care adresa vulnerabilitatea exploatată de SQL Slammer din Microsoft SQL și MSDE exista deja de peste șase luni.
  • Linia timpului 2003  Viermele Blaster (cunoscut și ca Lovsan sau Lovesan) a fost creat de un colectiv de hackeri chinezi cu numele Xfocus prin reverse engineering pe update-ul apărut cu mai mult de o luna înainte. 2003  Viermele Welchia a fost unul dintre primii viermi creați cu intenții bune. Pentru infecție se baza pe aceeași vulnerabilitate în Microsoft RPC ca și Blaster, dar ulterior instala patch-urile care rezolvau vulnerabilitatea, dezinfecta sistemul de viermele Blaster, în cazul în care îl descoperea, și se inactiva după 120 de zile. Deși intențiile erau bune, și acest vierme intră tot la categoria malware, deoarece acționează fără consimțământul proprietarului sistemului.
  • Linia timpului 2003  Un alt vierme, Sobig, infectează milioane de sisteme Microsoft Windows, având nu mai puțin de șase variante. Deși Microsoft a oferit o recompensă de 250.000 USD pentru informații despre autor, acesta nu a fost prins. 2003  Sinit - primul bot descoperit care folosește tehnologia peer-to- peer pentru a comunica cu restul rețelei de boți. Fiecare host infectat cu Sinit devine automat parte a unei rețele peer-to-peer prin intermediul căreia se transmit comenzi sau alt cod malițios. O facilitate notabilă, codul transmis prin rețeaua de boți Sinit este semnat digital, astfel prevenindu-se coruperea datelor sau introducerea de cod străin, numai persoana deținând cheia privată de criptare putând introduce date.
  • Linia timpului 2003  Începe o serie de atacuri, numită mai târziu Titan Rain, asupra unor companii strategice ale USA. Prima intruziune s-a produs în rețeaua companiei Lockheed Martin. Au urmat atacuri încununate de succes asupra Sandia National Laboratories, Redstone Arsenal și NASA. Atacatorii au reușit să intre în sisteme cu informații senzitive și au extras, printre altele, planuri ale sistemelor de propulsie ale Mars Reconnaissance Orbiter și specificații ale sistemului de planning de zbor Falconview 3.2 folosit de armata și fortele aeriene ale US. Atacurile au fost identificate având China ca și origine, dar nu a putut fi dovedit clar dacă este vorba de spionaj la nivel de stat sau la nivel de corporații concurente.
  • Linia timpului 2004  Viermele MyDoom depășea recordul stabilit anterior de Sobig ca viteză de răspândire. După câteva ore de la răspândire, s-a estimat că MyDoom a redus viteza de încărcare a paginilor web în medie cu 50%, datorita traficului Internet creat. Numărul calculatoarelor infectate a fost estimat la peste 2 milioane. Prima variantă MyDoom a declanșat un atac de tip DDOS asupra site-ului web al SCO, site care a fost inaccesibil pentru mai mult de o săptămână. Varianta MyDoom.B a vizat Microsoft, dar efectul a fost mult mai redus decât asupra www.sco.com. Atât Microsoft cât și SCO au oferit fiecare o recompensă de 250.000 USD pentru găsirea celor care au creat MyDoom, dar fără rezultat.
  • Linia timpului 2004  Viermele Witty a fost unic prin faptul ca s-a răspândit foarte repede, la numai o zi după anunțul vulnerabilității și a afectat un set de produse de securitate, aplicații de tip firewall ale ISS (Internet Security Systems) - RealSecure Network, RealSecure Server Sensor, RealSecure Desktop și BlackICE. 2004  Autorul lui Sasser, un alt vierme ce a infectat sistemele Windows 2000 și XP, un student german, a fost arestat. În arest a mărturisit că a mai creat și distribuit o variantă a unui alt vierme, Netsky. Pentru că era minor (17 ani) la data când a lansat Sasser a primit condamnare 21 de luni cu suspendare.
  • Linia timpului 2005  Istoria viermelui Zotob: 9 August - apare buletinul de securitate MS05-039 care explică o vulnerabilitate in componenta Plug-and-Play a Windows 2000, precum și patch-ul aferent; 13 August - apariția mai multor variante de Zotob și RBot, împreună cu versiuni îmbunătățite ale viermilor SD-Bot și IRC-Bot; 16 August - compania CNN este afectată, suferind un downtime de 90 minute; 17 August - sunt afectate un număr de bănci, printre care și CIBC, dar rețelele ATM ale acestora rămân active;
  • Linia timpului 26 August - la cererea FBI, politia marocană arestează un suspect de 18 ani, pe nume Farid Essebar; 16 Septembrie - Farid Essebar (aka Diabl0) și prietenul sau turc, Achraf Bahloul, sunt condamnați în Maroc. Ulterior arestării, F-Secure a găsit dovezi care au arătat ca Diabl0 (Essebar) făcea parte din gruparea quot;Dark-side hackersquot;, grupare care stătea în spatele răspândirii de malware.
  • Linia timpului 2006  Americanul Jeanson James Ancheta este prima persoană condamnată pentru acțiuni legate de controlul asupra unei rețele de computere zombie (botnet). Ancheta a mărturisit că a vândut de mai mult de 30 de ori accesul la rețeaua de boți către alte persoane care au lansat atacuri de tip DDOS. De asemeni, a beneficiat de câștiguri ilegale de la companii de publicitate prin infectarea a mai mult de 400.000 de sisteme cu adware.
  • Linia timpului 2007  Încă din luna ianuarie începe să se răspândească viermele Storm. Viermele conține un troian care afectează calculatoarele cu sisteme de operare Microsoft Windows; s-a răspândit la început prin intermediul unor mesaje e-mai cu subiectul quot;European windstorm Kyrillquot;, ulterior subiectul devenind din ce în ce mai divers. După infecție troianul downloadează și instalează rootkit-ul Win32.agent.dh. Toate sistemele infectate cu Storm Worm participă în rețeaua de boți Storm, rețea care se extinde până spre jumătatea anului 2007 la peste 1.7 milioane de host-uri.
  • Linia timpului În luna iulie rețeaua Storm a declanșat unul din cele mai mari atacuri spam, compania din domeniul securității web Postini înregistrând într-o singură săptămână 200 milioane de mesaje e-mail care conțineau troieni și/sau linkuri către site-uri web infectate. Spre sfârșitul anului 2007 botnet-ul Storm Worm pierde supremația în fața unei alte rețele, Mega-D. Principala cauză a micșorării dramatice, cu peste 20% a numărului de boți din Storm Worm, a fost introducerea detecției în decursul lunii septembrie de către Microsoft în utilitarul anti-malware quot;Malicious Software Removal toolquot;.
  • Linia timpului 2007  Un alt atac de tip DDOS direcționat către cele 13 root servere DNS. Conform ICANN atacul a avut doua etape, prima de 2,5 ore, urmată la interval de câteva ore de o alta de 5 ore. Atacul a avut ca origine zona Asia-Pacific și a afectat șase servere, din care două au fost puternic incapacitate. 2007 Războiul Cibernetic Estonian sau Web War One reprezintă o serie de atacuri care au început în 27.04.2007 și au blocat efectiv infrastructura Internet a Estoniei. Evenimentul care a declanșat seria de atacuri a fost mutarea unui monument sovietic dedicat soldaților căzuți în al Doilea Război Mondial în capitala Estoniei, Tallinn.
  • Linia timpului Atacurile, în cea mai mare parte de tip quot;distributed denial of servicequot;, au vizat serverele web ale parlamentului și guvernului estonian, ale marilor trusturi de presă, ale băncilor, ale furnizorilor locali de Internet, ale operatorilor din telecomunicații și au durat până după 9 mai, Ziua Victoriei Armatei Sovietice. Singura modalitate de apărare a fost efectiv întreruperea pentru câteva zile a comunicațiilor Internet cu exteriorul Estoniei. Ministrul estonian al apărării, Jaak Aaviksoo, a declarat: quot;Aceasta este prima dată când o rețea de boți amenință siguranța națională a unei țări.quot; Ene Ergma, fizician, purtător de cuvânt al Parlamentului din Estonia, a speculat că atacul a fost doar un test la adresa capacităților de apărare informatică ale NATO, test coordonat chiar de Kremlin.
  • Linia timpului 2008  Conform companiei din domeniul securității informatice Damballa, începând cu luna aprilie botnet-ul Kraken ajunge pe primul loc în lume ca număr de boți. Kraken a ajuns la peste 400.000 de calculatoare, multe din acestea aparținând unor companii din Fortune 500. Se estimează că rețeaua Kraken poate genera peste 90 miliarde mesaje e-mail pe zi. Tot conform Damballa, malware-ul distribuit de Kraken este nedetectabil pe mai mult de 80% din calculatoarele cu aplicații antivirus active. Un alt concurent al Kraken este Srizbi, un botnet care controlează peste 300.000 de calculatoare.
  • Linia timpului Top 5 botnets pe 2008 Numărul boți Capacitatea de estimat generare de spam Kraken 400000 100 miliarde mesaje/zi Srizbi 315000 60 miliarde mesaje/zi Rustock 150000 30 miliarde mesaje/zi Cutwail 125000 16 miliarde mesaje/zi Storm 85000 3 miliarde mesaje/zi Surse: SecureWorks, Damballa
  • Şi istoria nu se termină aici...
  • Vă mulțumesc pentru atenție! Bogdan Moroșan bogdan.morosan@gmail.com http://itboard.ro/blogs/bmoros_blog/ Mulțumesc lui Alex Drăgulescu pentru permisiunea de a folosi imaginea din primul slide, imagine preluată din colecția “Malwarez”.