De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Malware.

Verwante presentaties


Presentatie over: "Malware."— Transcript van de presentatie:

1 Malware

2 Inhoud Historisch overzicht Malware
Soorten Malware (+ werking) Virus, Worm, Trojan, botnet Andere Terminologie Exploit, Payload, Zero-day Attack, Hoax, Phishing Virusverspreiding en anti-virus Opdracht week 1 proftaak

3 1982 ELK CLONER: THE PROGRAM WITH A PERSONALITY
IT WILL GET ON ALL YOUR DISKS IT WILL INFILTRATE YOUR CHIPS YES IT’S CLONER! IT WILL STICK TO YOU LIKE GLUE IT WILL MODIFY RAM TOO SEND IN THE CLONER! Middelbare scholier Rich Skrenta Haalde grapjes uit met schoolvrienden door kopien van gehackte spelletjes zo te veranderen dat ze zichzelf vernietigden na een aantal keer spelen Hij wilde wel eens echt indruk maken op zijn vrienden door iets te maken dat zichzelf kon verspreiden zonder dat ze wisten dat het van hem afkwam. Replicerende software (in memory) is al gerapporteerd in 1972, maar dan als grapje tussen software ontwikkelaars. Elk Cloner wordt beschouwd als het eerste zichzelf sterk verspreidende vrius

4 1982 Apple II virus Elk Cloner: The program with a personality IT WILL GET ON ALL YOUR DISKS IT WILL INFLILTRATE YOUR CHIPS YES IT’S CLONER IT WILL STICK TO YOU LIKE GLUE IT WILL MODIFY RAM TOO SEND IN THE CLONER 1986, Brain: first DOS virus Welcome to the Dungeon. BRAIN COMPUTER SERVICES Beware of this VIRUS… Contact us for 1983, Fred Cohen: Formal definition of Computer Virus: A program that can infect other programs by modifying them to include a, possibly evolved, version of itself

5 Virus Eras 1986- Years 1986-1995 Boot virus One year 1995-1999
Virus type Outbreak speed Boot virus One year Macro virus One month 1999- worm One day 2001- Network worm One hour

6 Huidige situatie Trojaanse paarden Wormen Botnets Phishing
Mobiele apparatuur

7 Het virus

8 Virussen File(infector)virus (.com, .exe) Bootsectorvirus Macrovirus
Mobile virus .com gaat voor .exe en .com wordt 1:1 in geheugen geduwd

9 Wat is een virus? Een programma… Dat zichzelf copieert…
Meestal zonder dat de gebruiker het merkt. Kenmerken: Copieert code Verbergen code Payload Trigger Blijft op 1 systeem Vereist gebruikersinteractie om zich voort te planten Virus zit vastgeplakt aan een ander stuk code

10 Kenmerken virus Hoe komt het virus op het systeem?
Waar nestelt het virus zich? Hoe wordt het virus getriggerd en actief? Wat is de pay-load van het virus? Hoe voorkomt het virus herkenning?

11 Kenmerken virus: 2. Waar nestelt het virus zich?
Executables Het virus embed zichzelf in executable code of zorgt dat het ipv executable wordt gestart. Bootsector (bijv. MichelAngelo-virus ‘91) Het virus zit in het opstart gedeelt van een disk. Document files Het virus hecht zich aan uitvoerbare gedeeltes binnen een document (macro’s). Geheugen Het virus nestelt zich in het geheugen (memory-resident virus), vaak via een van bovengenoemde manieren.

12 Infectie van executables
Companion infectie Virus in file met bestaande naam, maar andere extensie. Virus wordt gestart ipv orginele file. Bijv. Virus in notepad.com ipv notepad.exe. Overwriting infectie De lompe manier, virus overschrijft orginele file. Bijv. Notepad.exe is na infectie het virus. Prepending infectie (bijv. Nimda 2001) Appending infectie (bijv. Appix 2002) Prepending en appending

13 Kenmerken virus: 3. Hoe wordt het virus getriggerd en actief?
Openen ( script in werking) Openen -attachment (bijv. executable) Floppy in systeem Openen web-site (Bijv. XSS: cross-site scripting) Openen/starten geinfecteerde file

14 Kenmerken virus: 4. Wat is de pay-load van het virus?
Werking systeem beinvloeden: - Crashen - Overbelasten systeem / netwerk - Wissen informatie - UI veranderen Data aanpassen - Stelen - Aanpassen Voortplanten - andere files infecteren - via (adresboek) Voortplanten zie ook enkele sheets terug hoe komt het op systeem

15 Kenmerken virus: 5. Hoe voorkomt het virus herkenning?
Stealthing - “hidden” attribute - stream companion virus - .exe extensie verbergen - een schone versie naar virus scanner presenteren Poly-Morphisme: Dynamisch veranderen van uiterlijk bij propagatie: - aanpassen namen in code variabelen en procedures - volgorde van instructies aanpassen - instructies toevoegen die niks doen (+1-1, NOP-operaties) - encrypten code met veranderende sleutels, code decrypt eerst Meta Morphisme Zelfde als poly-morphisme, maar functionaliteit wijzigt ook. Anti-virus deactivatie Voorbeelden ProcKill-Trojan, MTX-worm Stream companion (microsoft NTFS): er is een soort paralelle datastroom gekoppeld aan een normale file op het systeem, die laatste verandert niet als de stream verandert. Intercepting: Het lezen van een bestand (door de vrousscanner) wordt afgevangen, en alleen een zogenaamd schoon resultaat wordt dan als data doorgegeven aan de virusscanner Polymorfisme en metamorphisme zien we ook terug bij wormen

16 De worm

17 Wat is een worm? Een zelfstandig programma… Dat een virus is…
Maar geen host nodig heeft Kenmerken: Self-replicating Self-propagating

18 Worm vs. Virus

19 Worm Voorbeelden 1st worm Morris (1989)
Bekende wormen ILoveYou/Loveletter, Code Red, Sasser, Blaster, Nimda Recente worm: Storm Worm ILoveYou: , May 2000 The "I Love You" virus infected image and sound files with VBscript and spread quickly by causing copies of itself to be sent to all individuals in an address book Code Red: july (half million infecties) It attacked computers running Microsoft's IIS web server. The worm exploited a vulnerability in the indexing software distributed with IIS, described in MS01-033, for which a patch had been available a month earlier. The worm spread itself using a common type of vulnerability known as a buffer overflow. It did this by using a long string of the repeated character 'N' to overflow a buffer, allowing the worm to execute arbitrary code and infect the machine. It defaced the affected web site to display: HELLO! Welcome to ii! (The last sentence became a stock phrase to indicate an online defeat) It tried to spread itself by looking for more IIS servers on the Internet. It waited days after it was installed to launch denial of service attacks on several fixed IP addresses. The IP address of the White House web server was among those.[

20 Worm componenten

21 De warhead: gaining access
Via exploits zoals buffer overflows Via file-sharing Via Via default of voorspelbare wachtwoorden Via achterdeurtjes

22 De Propagation engine: verspreiding van de worm-code
Protocollen die in gebruik zijn Of worm opent de deur voor protocollen. Bijvoorbeeld: FTP HTTP SMB TCP/IP

23 Target Selection Algorithm: nieuwe slachtoffers vinden
adressen Host lijsten (/etc/hosts, LMHOSTS) Network neighborhood DNS queries IP adressen

24 Scanning engine: Welke potentiele slachtoffers zijn kwetsbaar?
Scannen op gebruikte exploits: Windows versies Applicaties Openstaande poorten

25 Worm opdrachtje Bestudeer de werking van de storm worm (2007):
Hoe werkt de Warhead? Hoe werkt de propagation engine? Wat voor target selection algorithm is er? Wordt er gescand op vulnerabilities? Wat is de payload van de worm?

26 De Trojan

27 Wat is een trojan? Een programma… Dat iets slechts doet…
Als ‘bonus’ bij wat je verwacht… Wordt in feite dus via social engineering binnengehaald Eigenschappen: Plant zich niet voort

28 Opbouw trojan Trojan bestaat uit:
Dropper (legitieme applicatie + virus/worm) Eventueel een: Time Bom Logical Bomb Payload

29 Verschillende Typen trojans: op basis van payload
Remote Access (RATs) Sending Data Destructive (of cryptoviral extortion) Proxy trojan (disguising others as the infected computer) FTP trojan (adding or copying data from the infected computer) security software disabler denial-of-service attack (DoS) URL trojan (redirecting the infected computer to expensive dial-up internet access)

30 Voorbeelden 1st trojan MichelAngelo (1991): Trojan met virus
Bekende trojans Back orifice, netbus, sub7 Recente trojans format.A (PSP), mitglieder Back orifice, netbus, sub7 zijn allemaal RATs Sub7 kan bijvoorbeeld ook webcam captures maken!

31 De Hoax

32 Wat is een hoax? Waarschuwing voor een virus…
Met veel onrust tot gevolg… Als je niks doet Eigenschappen: Als het veel geluk belooft Of geld van Bill Gates Dan is het waarschijnlijk een hoax

33 Het Botnet

34 Wat is een Botnet? Netwerk van overgenomen systemen…
Waarbij poort wordt geopend naar buitenwereld… Aangestuurd door centraal systeem… Met als doel: Spam, DDos, identity Theft Eigenschappen: Werkt door enorme schaal waarop Gebruikt malware om doel te bereiken: virus, trojan, spyware, etc.

35 Virus verspreiding

36 De verspreiding van Code Red:
Virusverspreiding(1) De verspreiding van Code Red: verspreiding op 19 juli 2001

37 Virusverspreiding(2) Verspreiding hangt af van:
Patching systemen Denk aan 0-day attack waarbij nog geen patch beschikbaar is. Gewenste verspreidingsgraad makers Low-profile verspreiding valt minder op. Beveiliging netwerken en systemen Anti-virus (signatures ge-update?), Firewall (rules ge-update?)

38 Anti-Virus

39 Wat is anti-virus software?
Anti-virus software zijn computer programma’s die malware proberen te identificeren, tegen te werken, uit te schakelen en te verwijderen. Anti-virus gebruikt hiervoor 2 technieken: Scannen van filesysteem op aanwezigheid van bekende malware op basis van definities in virus-database Identificeren van verdacht gedrag van computerprogramma’s dat duidt op infectie

40 Anti-virus: Waar? User workstations
File Servers Central Detection of user files Mail Servers Scan before delivery Application Servers Might interfere with system stability? Border Firewalls Scan , webbrowsingcontent, worms Handhelds

41 Anti-virus: Hoe? Scannen van filesysteem:
Virus signatures Identificeren van verdacht gedrag: Heuristics: attempts to - access boot sector - locate all documents in current folder - write to an .exe file - delete hard-drive contents - set-up connection on unused port - execute stack-memory Integrity verification Controle of bepaalde files (bijvoorbeeld kernel) onverwacht zijn gewijzigd; Status van (deel)systeem vastleggen door: - checksums - hashcodes Detectie eventueel via sandboxes

42 Detectie van malware, en nu?
Antivirus software kan na detectie de volgende maatregelen nemen: File repareren door virus te verwijderen File in quarantaine Verwijderen geïnfecteerde file Lopende malware processen uit geheugen verwijderen

43 Opdracht proftaak week 1
Verzin d.m.v. brainstorm nieuwe malware met specifieke kenmerken. Beschrijf per type malware: Hoe komt de malware het systeem binnen? Waar nestelt de malware zich? Wat is de pay-load van de malware? Hoe wordt de payload van de malware getriggerd en actief? Hoe voorkomt de malware herkenning? Hoe worden nieuwe slachtoffers geselecteerd? Wat is de impact van de malware op het geïnfecteerde systeem? Wat is de impact van de malware op de gebruikers en de gebruikersorganisatie? Zie eventueel ook de kopieën van H3.Worms uit het boek Malware, fighting malicious code


Download ppt "Malware."

Verwante presentaties


Ads door Google