Шта је то малициозни софтвер, које појавне облике има у савременој технологији и који су најопаснији вируси, погледајте у презентацији Александра Костадиновића, систем админстратора РНИДС-а.

1. Malware
Maliciozni softver
Aleksandar Kostadinović
Oktobar 2015. Beograd

2. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Tipovi
 Virusi
 Worms (crvi)
 Trojanski konji
 Rootkits
 Hoax

3. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Maliciozni programi
Virus
Worm
Trojanski
konj - Rootkit

4. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
„Posebni“
 Chameleon familija virusa (prvi polimorfni
virusi)
 CIH (prvi virus koji uslovno rečeno
„oštećuje“ hardver)
 Melissa (prvi makro virus)
 Kakworm (javascript)
 Kenzero (kopira porno istoriju i ucenjuje)

5. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
„Posebni“
 Nimda (višestruko širenje, i kroz mrežne
diskove, kroz rupe koje su napravili drugi
virusi)
 ExploreZip (smanjuje veličinu fajlova na 0)
 Leap-A/Oompa-A (prvi moderni Mac virus)
 Crypto-locker malware

6. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Stuxnet
 Virusi
 Worms (crvi)
 Trojanski konji
 Rootkits
Stuxnet

7. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Šta se dogodilo
 Pojavio se najmanje godinu dana pre nego
što je javno otkriven (jun 2010.)
 Postoje najmanje 3 varijante (jun 2009.,
mart 2010. i april 2010.)
 Postao je prvo oružje za prvi pravi Cyber rat
 Sabotirao je iranski nuklearni program i po
proceni vratio ga 2 do 3 godine unazad

8. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Napadani segmenti
 Windows OS
 Siemens PCS 7, WinCC and STEP7
industrijski softver koji radi pod Windows
OS
 Siemens S7 PLCs.

9. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Komponente - Rootkit
 Zadužena za ulazak u Windows sisteme i
preuzimanje kontrole
 Koristi 20 zero-days propusta
 Koristi originalne bezbednosne sertifikate
(ukradene npr. od Realtek-a)
 Koristi stvarne administrativne privilegije a
ne lažne

10. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Komponente – Virus i crv
 zadužene za širenje i traženje ciljnog računara
 širenje putem zaraženih fajlova
 zaraženog USB flash-a (MS10-046)
 mrežnih deljenih diskova
 štampača (MS10-061)
 MS10-073 kernel drajver, MS10-092 task
scheduler, CVE-2010-2772 standardna lozinka,
MS08-067 server servis

11. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Komponente – Trojanski konj
 neutralisanje antivirus servisa
 ažuriranje „Stuxnet“-a
 ispitivanje cilja
 preuzimanje kontrole nad PLC kontrolerom
i reprogramiranje
 preuzimanje kontrole nad senzorima i
dojavljivačima
 kraj širenja 24.6.2012.

12. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Širenje
 Prvi korak - inficiranje (najveći broj inicijalnih
infekcija je bio preko USB flash drive
korišćenjem ukradenih pravih digitalno
potpisanih drajvera)
 Drugi korak – upoznavanje okruženja (Stuxnet
istražuje da li je inficirani računar vezan za
odgovarajuće kontrolere, da li je na mreži, da li
je na pravoj lokaciji, nakon toga odlučuje da li
deluje, širi se dalje ili se briše sa računara)

13. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Širenje
 Treći korak – ažuriranje (ukoliko je računar
onaj na kome će Stuxnet delovati, pokušava
da se zakači na internet u pozadini i skine
noviju verziju sebe)
 Četvrti korak – kompromitovanje (ukoliko je
na pravoj mreži, prepoznaje računare sa
kontrolerima, Stuxnet se širi koristeći zero
days vulnerabilities, usb, lan, štampači)

14. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Širenje
 Peti korak – osmatranje i kontrola (na računaru
koji upravlja kontrolerom, Stuxnet prvo prikuplja
podatke i analizira ih, ukoliko može pošalje ih
preko interneta ukoliko ne odlučuje kako da
deluje)
 Šesti korak – maskiranje i uništenje (pošto je
analizirao podatke, naizgled ispravne podatke
šalje ljudima koji kontrolišu sistem da ih zavara,
u pozadini na potpuno drugačiji način upravlja
sistemom i uništava ga)

15. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Algoritam širenja

16. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Ciljane teritorije
0
10
20
30
40
50
60
58.31
17.38
9.96
3.4
1.4 1.16 0.89 0.71 0.61 0.57
5.15
Broj inficiranih računara po zemljama procentualno

17. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Ciljane teritorije
0
10
20
30
40
50
60
70
Iran Indonezija Indija Azerbejdžan Pakistan Malezija SAD Uzbekistan
67.6
8.1
4.98
2.18 2.18 1.56 1.25
12.15
Broj inficiranih računara koji imaju vezu
sa PLC kontrolerima po zemljama

18. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Autori
 Ne postoji potvrda ko su autori, sumnja se:
 Stuxnet grupa USA
 Equation grupa USA
 Unit 8200 Israel
 Myrtus (mirta, Hadaša- Hadassah ili Esther)
 "b:myrtussrcobjfre_w2k_x86i386guava.pdb" ili "My-
RTUs„ (RTU – remote terminal unit)
 Registry key "19790509" infection marker
 09/05/1979 datum pogubljenja Habiba Elghaniana u Iranu

19. Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Хвала на пажњи
Aleksandar Kostadinović
aleksandar.kostadinovic@rnids.rs
rnids.rs
рнидс.срб
domen.rs
домен.срб