Malware Wat is het en wat kan u eraan doen. Bjorn Bernaerts PIVO, 6 juni 2005
6 juni /26 Overzicht Wat is malware Overzicht en bespreking verschillende soorten malware Bescherming tegen malware
6 juni /26 Wat is malware Software die schade aan het systeem toebrengt Opdeling adhv de manier waarop ze werken Opdeling is niet perfect Het woord ‘Virus’ is overgebruikt Verspreiding/activering hoofdzakelijk door Social Engineering
6 juni /26 Social Engineering Meer psychologie dan informatica Mensen manipuleren voor vertrouwelijke informatie Maken gebruik van telefoon of internet Mails die vragen naar creditcard informatie Systeembeheerders die vragen naar wachtwoorden
6 juni /26 Voorbeeld: Phishing Veel gebruikte manier van Social Engineering Bank en andere websites worden nagemaakt Sturen ogenschijnlijk officiële berichten Gebruiken soms de scripts van de officiële sites Contacteer het bedrijf of type de link naar de site zelf in
6 juni /26 Soorten malware Virus Worm Wabbit Trojan (horse) Backdoor Spyware Exploit Rootkit Key Logger Dialer URL injection
6 juni /26 Virus Meest voorkomende malware Heeft een host (drager) nodig (.exe, boot sector, macro’s, attachments) 2 soorten –Non-resident (infecteert andere dragers op de computer) –Resident (doet dat niet) Verschillende uitwerkingen –Vernietiging van gegevens, vertragen van systeem, … Verspreiden (aangepaste) versies van zichzelf via de host
6 juni /26 Worm Heeft geen host nodig: is een bestand op zichzelf Wordt opgestart met het besturingssysteem Verspreiding via zwakheden in het besturingssysteem of via social engineering
6 juni /26 Wabbit Zeldzame vorm van malware Vermenigvuldigt zich enkel op de geïnfecteerde computer Moeilijk op te lossen (Fork bomb): vermenigvuldigt zichzelf tot een limiet waarna de pc onbruikbaar wordt. Verspreiding via Trojan of social engineering “Be vewwy, wewwy quit. I’m hunting wabbits.” – Elmer Fudd (Bugs Bunny)
6 juni /26 Trojan (horse) Kunnen zichzelf niet vermenigvuldigen Kan andere malware zoals een virus verspreiden en activeren (dropper) Verspreiding via koppeling aan of vermomming als onschadelijke software Hoofdzakelijk spionage of backdoor functionaliteit
6 juni /26 Backdoor Geeft niet-geautoriseerde toegang aan derden Opdeling in 2 groepen –Werken als een Trojan –Werken als een Worm Ratware: “Zombie” pc die wacht op een signaal om iets te doen Verspreiding via Trojan, worm of social engineering
6 juni /26 Spyware Informatie verzamelen en versturen Ad-aware (popup reclame) valt onder deze groep Verspreiding zoals Trojan Gekende programma’s met spyware: –MSN Messenger –DivX (gratis versie) –Kazaa –AOL Instant Messenger –…
6 juni /26 Exploit Ge(mis)bruik van beveiligingslek in een besturingssysteem Opdeling via manier beveiligingslek wordt gecontacteerd –Remote exploit (geen verspreiding nodig) –Local exploit (verspreiding via trojan) Niet noodzakelijk kwade bedoeling Hoofdzakelijk doel is niet-geautoriseerde toegang krijgen
6 juni /26 Rootkit Worden door cracker geplaatst Doel is verbergen van sporen Volledige her-installatie
6 juni /26 Key logger Kopieert toetsenbord aanslagen naar een bestand Werkt selectief bvb. alleen bij het bezoeken van een beveiligde website Verspreiding via trojans Anekdote: FBI gebruikt “Magic Lantern” tegen maffiabaas.
6 juni /26 Dialer Passen inbelnummer van modem aan Belt uit om data te versturen Breedband verbindingen worden niet beïnvloed Verspreiding via trojan of social engineering
6 juni /26 URL injection Aanpassing url’s Gebruiker merkt er zelden iets van Verspreiding kan maar is niet nodig
6 juni /26 Bescherming Start bij de gebruiker - Preventie Complete pakketten Geen enkel pakket biedt 100% bescherming aangezien ze meestal achter de feiten aanlopen Lokaal minstens antivirus en (liefst verschillende) antispyware Firewall
6 juni /26 Anti-virus Verschillende pakketten –Betalende Norton McAfee Kaspersky Trend Micro –Gratis AntiVir personal edition Classic (Persoonlijk gebruik) AVG (Persoonlijk gebruik) Avast (Persoonlijk gebruik)
6 juni /26 Anti-spyware 1 is niet genoeg –Ad-aware, spybot search & destroy, CWShredder, … Hitman Pro 2
6 juni /26 Firewall Een firewall controleert het netwerk verkeer Centrale VERA firewall ZoneAlarm
6 juni /26 De toekomst Malware is meer en meer op geld uit Erger is de mogelijkheid van een superworm Een van de meest schadelijke wormen tot nu toe was SQL Slammer –Wereldwijde verspreiding in 10 minuten –Elke 8,5 seconden verdubbelde het aantal geïnfecteerde computers –Wereldwijd tussen de en geïnfecteerde computers –Gemiddeld 34,5 manuren nodig voor het oplossen van de infectie –Wereldwijd tussen de 950 miljoen en 1,2 miljard dollar verloren productiviteit –Tussen de 750 miljoen en 1 miljard dollar kosten om alles op te kuisen. De bouwstenen voor de superworm zijn er reeds Een dergelijke superworm wordt ook een Warhol worm genoemd.
6 juni /26 Links Virus – (virus woordenboek en best practise) – ( virussen) – (papers over kwaadaardige code en virussen) – (Details over virussen) – (10 meest gevaarlijke dingen die men kan doen) Worm – (Lijst van virussen en wormen) – (Opsomming van wormen en hun removal tools) Trojan – (Links) – (Informatie site) – (Tronjan verwijder tools) –
6 juni /26 Links Backdoor – (Backdoor verwijder tools) Spyware – (faq en verwijder gids) – (SLECHTE anti-spyware programma's) – – – (Omgaan met spyware) Exploit – (exploit overzicht) – (papers over exploits) – (exploit test programmas) – (Gecategoriseerd exploit overzicht)
6 juni /26 Links Rootkit – (Linux kernel rootkits) – (Analyse van een rootkit) – (Rootkit detecteer programma) Key logger – (Hard- en software key loggers) – (Key logger verwijder tools) Dialer – (Dialer verwijder tools) Phishing – (Uitgebreid voorbeeld) – (Overzicht van echte phishing mails)
6 juni /26 Links Anti-virus – – – Anti-spyware – – – Firewall – (ZoneAlarm) – – – Algemeen – – (malware wat is het en hoe voorkomen)