De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Malware. 2 Inhoud Historisch overzicht Malware Soorten Malware (+ werking) Virus, Worm, Trojan, botnet Andere Terminologie Exploit, Payload, Zero-day.

Verwante presentaties


Presentatie over: "Malware. 2 Inhoud Historisch overzicht Malware Soorten Malware (+ werking) Virus, Worm, Trojan, botnet Andere Terminologie Exploit, Payload, Zero-day."— Transcript van de presentatie:

1 Malware

2 2 Inhoud Historisch overzicht Malware Soorten Malware (+ werking) Virus, Worm, Trojan, botnet Andere Terminologie Exploit, Payload, Zero-day Attack, Hoax, Phishing Virusverspreiding en anti-virus Opdracht week 1 proftaak

3 ELK CLONER: THE PROGRAM WITH A PERSONALITY IT WILL GET ON ALL YOUR DISKS IT WILL INFILTRATE YOUR CHIPS YES IT’S CLONER! IT WILL STICK TO YOU LIKE GLUE IT WILL MODIFY RAM TOO SEND IN THE CLONER!

4 Apple II virus Elk Cloner: The program with a personality IT WILL GET ON ALL YOUR DISKS IT WILL INFLILTRATE YOUR CHIPS YES IT’S CLONER IT WILL STICK TO YOU LIKE GLUE IT WILL MODIFY RAM TOO SEND IN THE CLONER 1983, Fred Cohen: Formal definition of Computer Virus: A program that can infect other programs by modifying them to include a, possibly evolved, version of itself 1986, Brain: first DOS virus Welcome to the Dungeon. BRAIN COMPUTER SERVICES Beware of this VIRUS… Contact us for

5 5 Virus Eras Years Virus typeOutbreak speed Boot virus One year Macro virus One month worm One day 2001-Network worm One hour

6 6 Huidige situatie Trojaanse paarden Wormen Botnets Phishing Mobiele apparatuur

7 Het virus

8 8 Virussen File(infector)virus (.com,.exe) Bootsectorvirus Macrovirus Mobile virus

9 9 Wat is een virus? Een programma… Dat zichzelf copieert… Meestal zonder dat de gebruiker het merkt. Kenmerken: Copieert code Verbergen code Payload Trigger Blijft op 1 systeem Vereist gebruikersinteractie om zich voort te planten

10 10 Kenmerken virus 1. Hoe komt het virus op het systeem? 2. Waar nestelt het virus zich? 3. Hoe wordt het virus getriggerd en actief? 4. Wat is de pay-load van het virus? 5. Hoe voorkomt het virus herkenning?

11 11 Kenmerken virus: 2. Waar nestelt het virus zich? Executables Het virus embed zichzelf in executable code of zorgt dat het ipv executable wordt gestart. Bootsector (bijv. MichelAngelo-virus ‘91) Het virus zit in het opstart gedeelt van een disk. Document files Het virus hecht zich aan uitvoerbare gedeeltes binnen een document (macro’s). Geheugen Het virus nestelt zich in het geheugen (memory-resident virus), vaak via een van bovengenoemde manieren.

12 12 Infectie van executables Companion infectie Virus in file met bestaande naam, maar andere extensie. Virus wordt gestart ipv orginele file. Bijv. Virus in notepad.com ipv notepad.exe. Overwriting infectie De lompe manier, virus overschrijft orginele file. Bijv. Notepad.exe is na infectie het virus. Prepending infectie (bijv. Nimda 2001) Appending infectie (bijv. Appix 2002)

13 13 Kenmerken virus: 3. Hoe wordt het virus getriggerd en actief? Openen ( script in werking) Openen -attachment (bijv. executable) Floppy in systeem Openen web-site (Bijv. XSS: cross-site scripting) Openen/starten geinfecteerde file

14 14 Kenmerken virus: 4. Wat is de pay-load van het virus? Werking systeem beinvloeden: - Crashen - Overbelasten systeem / netwerk - Wissen informatie - UI veranderen Data aanpassen - Stelen - Aanpassen Voortplanten - andere files infecteren - via (adresboek)

15 15 Kenmerken virus: 5. Hoe voorkomt het virus herkenning? Stealthing - “hidden” attribute - stream companion virus -.exe extensie verbergen - een schone versie naar virus scanner presenteren Poly-Morphisme: Dynamisch veranderen van uiterlijk bij propagatie: - aanpassen namen in code variabelen en procedures - volgorde van instructies aanpassen - instructies toevoegen die niks doen (+1-1, NOP-operaties) - encrypten code met veranderende sleutels, code decrypt eerst Meta Morphisme Zelfde als poly-morphisme, maar functionaliteit wijzigt ook. Anti-virus deactivatie Voorbeelden ProcKill-Trojan, MTX-worm

16 De worm

17 17 Wat is een worm? Een zelfstandig programma… Dat een virus is… Maar geen host nodig heeft Kenmerken: Self-replicating Self-propagating

18 18 Worm vs. Virus

19 19 Worm Voorbeelden 1 st worm Morris (1989) Bekende wormen ILoveYou/Loveletter, Code Red, Sasser, Blaster, Nimda Recente worm: Storm Worm

20 20 Worm componenten

21 21 De warhead: gaining access Via exploits zoals buffer overflows Via file-sharing Via Via default of voorspelbare wachtwoorden Via achterdeurtjes

22 22 De Propagation engine: verspreiding van de worm-code Protocollen die in gebruik zijn Of worm opent de deur voor protocollen. Bijvoorbeeld: FTP HTTP SMB TCP/IP

23 23 Target Selection Algorithm: nieuwe slachtoffers vinden adressen Host lijsten (/etc/hosts, LMHOSTS) Network neighborhood DNS queries IP adressen

24 24 Scanning engine: Welke potentiele slachtoffers zijn kwetsbaar? Scannen op gebruikte exploits: Windows versies Applicaties Openstaande poorten

25 25 Worm opdrachtje Bestudeer de werking van de storm worm (2007): Hoe werkt de Warhead? Hoe werkt de propagation engine? Wat voor target selection algorithm is er? Wordt er gescand op vulnerabilities? Wat is de payload van de worm?

26 De Trojan

27 27 Wat is een trojan? Een programma… Dat iets slechts doet… Als ‘bonus’ bij wat je verwacht… Wordt in feite dus via social engineering binnengehaald Eigenschappen: Plant zich niet voort

28 28 Opbouw trojan Trojan bestaat uit: Dropper (legitieme applicatie + virus/worm) Eventueel een: Time Bom Logical Bomb Payload

29 29 Verschillende Typen trojans: op basis van payload Remote Access (RATs) Sending Data Destructive (of cryptoviral extortion) Proxy trojan (disguising others as the infected computer) FTP trojan (adding or copying data from the infected computer) security software disabler denial-of-service attack (DoS) denial-of-service URL trojan (redirecting the infected computer to expensive dial-up internet access)

30 30 Voorbeelden 1 st trojan MichelAngelo (1991): Trojan met virus Bekende trojans Back orifice, netbus, sub7 Recente trojans format.A (PSP), mitglieder

31 De Hoax

32 32 Wat is een hoax? Waarschuwing voor een virus… Met veel onrust tot gevolg… Als je niks doet Eigenschappen: Als het veel geluk belooft Of geld van Bill Gates Dan is het waarschijnlijk een hoax

33 Het Botnet

34 34 Wat is een Botnet? Netwerk van overgenomen systemen… Waarbij poort wordt geopend naar buitenwereld… Aangestuurd door centraal systeem… Met als doel: Spam, DDos, identity Theft Eigenschappen: Werkt door enorme schaal waarop Gebruikt malware om doel te bereiken: virus, trojan, spyware, etc.

35 Virus verspreiding

36 36 Virusverspreiding(1) De verspreiding van Code Red: verspreiding op 19 juli 2001

37 37 Virusverspreiding(2) Verspreiding hangt af van: - Patching systemen Denk aan 0-day attack waarbij nog geen patch beschikbaar is. - Gewenste verspreidingsgraad makers Low-profile verspreiding valt minder op. - Beveiliging netwerken en systemen Anti-virus (signatures ge-update?), Firewall (rules ge-update?)

38 Anti-Virus

39 39 Wat is anti-virus software? Anti-virus software zijn computer programma’s die malware proberen te identificeren, tegen te werken, uit te schakelen en te verwijderen. Anti-virus gebruikt hiervoor 2 technieken: - Scannen van filesysteem op aanwezigheid van bekende malware op basis van definities in virus- database - Identificeren van verdacht gedrag van computerprogramma’s dat duidt op infectie

40 40 Anti-virus: Waar? User workstations File Servers Central Detection of user files Mail Servers Scan before delivery Application Servers Might interfere with system stability? Border Firewalls Scan , webbrowsingcontent, worms Handhelds

41 41 Anti-virus: Hoe? Scannen van filesysteem: Virus signatures Identificeren van verdacht gedrag: Heuristics: attempts to - access boot sector - locate all documents in current folder - write to an.exe file - delete hard-drive contents - set-up connection on unused port - execute stack-memory Integrity verification Controle of bepaalde files (bijvoorbeeld kernel) onverwacht zijn gewijzigd; Status van (deel)systeem vastleggen door: - checksums - hashcodes Detectie eventueel via sandboxes

42 42 Detectie van malware, en nu? Antivirus software kan na detectie de volgende maatregelen nemen: File repareren door virus te verwijderen File in quarantaine Verwijderen geïnfecteerde file Lopende malware processen uit geheugen verwijderen

43 43 Opdracht proftaak week 1 Verzin d.m.v. brainstorm nieuwe malware met specifieke kenmerken. Beschrijf per type malware: Hoe komt de malware het systeem binnen? Waar nestelt de malware zich? Wat is de pay-load van de malware? Hoe wordt de payload van de malware getriggerd en actief? Hoe voorkomt de malware herkenning? Hoe worden nieuwe slachtoffers geselecteerd? Wat is de impact van de malware op het geïnfecteerde systeem? Wat is de impact van de malware op de gebruikers en de gebruikersorganisatie? Zie eventueel ook de kopieën van H3.Worms uit het boek Malware, fighting malicious code


Download ppt "Malware. 2 Inhoud Historisch overzicht Malware Soorten Malware (+ werking) Virus, Worm, Trojan, botnet Andere Terminologie Exploit, Payload, Zero-day."

Verwante presentaties


Ads door Google