Malware.

Slides:



Advertisements
Verwante presentaties
ongewenste indringers op de computer
Advertisements

Installatie Small Office Home Office licentie
Malware.
EEN INTRODUCTIE. Wat is een firewall?  Een firewall is een systeem of een groep van systemen dat zorgt voor de beveiliging van je intranet (of intern.
Blok 7: netwerken Les 7 Christian Bokhove.
WEB toepassingen. Wat is een WEB toepassing of applicatie t.t.z... een WEB applicatie is een applicatieprogramma welke je via internet kunt gebruiken,
Onderhoud van de PC. 26 oktober, 2005 Danny Kuppens.
Personalisatie van de Archis website Naam: Sing Hsu Student nr: Datum: 24 Juni 2004.
Installatie & beheer Jonathan Mohnen Martijn Wolfs.
Global e-Society Complex België - Regio Vlaanderen e-Regio Provincie Limburg Stad Hasselt Percelen.
Internet College 1 Architecturen.
11 januari januari “Van elke drie pc’s heeft er een geen goede beveiliging.
Labnet & PTSchemes : Installatie van de toepassingen
Beveiliging van de PC. 2 december 2004NBC Presentatie2 Waar aan denken?  Beveiliging van data  Beveiliging tegen stroomuitval  Beveiliging tegen ongewenst.
ADS Verborgen bestanden (stromen) Cum 13 juli 2008 Rudiger.
FireWalls. Wat is een Firewall? Een Firewall is een programma wat jouw persoonlijke bestanden op jouw computer beschermt tegen buitenstaanders. Internet.
11 januari januari “Van elke drie pc’s heeft er een geen goede beveiliging tegen virussen en spionnen”
Dorien Oostra Tanja van Essen Charlotte Westbroek
H17: Beveiliging en cryptografie
Byte && Security ir. Willem de Groot Elmina Fortress, Ghana Slechts 10 Slides !
Geschiedenis van DOS en Windows
Ronde (Sport & Spel) Quiz Night !
Natuurlijke Werkloosheid en de Phillipscurve
Bedreigingen en Beveiliging van uw computer Presentatie Clubmiddag 18 januari 2011 door Fred Houthuijs Amstelland Senioren ComputerClub.
Veilig Internetten? Door: Hans ter Heijne Gert-Jan Scharstuhl
Basisgeheugenschakelingen
Blok 7: netwerken Les 8 Christian Bokhove.
Start.
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.
SQL injections en meer... PERU. web application vulnerabilities Cross Site Scripting (21.5%) SQL Injection (14%) PHP includes (9.5%) Buffer overflows.
Installeren, configureren en onderhouden
 Een standalone server is een server die zelf geen domeincontroller is en geen lid is van een domein.  Indien een server is opgenomen in een werkgroep,
Virussen, trojans en hoaxes:
Lucas Aerbeydt & Alexander Ide 1 SPYWARE You are being watched.
Computerbeveiliging.
Opleiding ICT © J.W. Jonker Dia 1/19 Systemen Besturingssoftware Windows XP Mark van Heck.
Opleiding ICT © J.W. Jonker Dia 1/32 Systemen Besturingssoftware Windows XP Mark van Heck.
Geometrie en topologie Rob Kromwijk, 26 juli 2012.
User management voor ondernemingen en organisaties
2009 Tevredenheidsenquête Resultaten Opleidingsinstellingen.
Hoe werkt een rekenmachine?
1 Van Harvard naar MIPS. 2 3 Van Harvard naar MIPS Microprocessor without Interlocked Pipeline Stages Verschillen met de Harvard machine: - 32 Registers.
© 2007 McAfee, Inc. Computerbeveiliging Welke gevaren liggen er op de loer?
Meerdere platforms over hetzelfde netwerk: DOS Windows 3.X & 9X NT ‘Office’ applicaties; administratie; gekoppeld aan apparatuur Verschillende Microsoft.
Beveiliging woensdag 22 november Beveiliging Waarom aandacht voor beveiliging? Oneigenlijk gebruik door andere personen Afscherming van informatie.
PC Beveiliging woensdag 23 november PC Beveiliging Waarom moet de PC beveiligd worden? Oneigenlijk gebruik door andere personen Afscherming van.
Computermisdaad.
Presentatie Het BIOS (wat is dat) Rondkijken in het BIOS
Oudere software op een nieuwe PC De andere manier is het gebruik van virtual p.c. Het gebruik van virtual pc heeft als voor/nadeel het standaard operatings-
Het electronische paspoort
ECHT ONGELOOFLIJK. Lees alle getallen. langzaam en rij voor rij
17/08/2014 | pag. 1 Fractale en Wavelet Beeldcompressie Les 3.
Opleiding CMS website Gent Bart Nelis Gent: #239/ docentengang Brussel: /naast bibliotheek
De financiële functie: Integrale bedrijfsanalyse©
Logistics: a driver for innovation Low costs High value Flexibility now and later Superior technology Timwood - T > No transport - I > No Inventory - M.
1 Zie ook identiteit.pdf willen denkenvoelen 5 Zie ook identiteit.pdf.
Computertechniek 2 – ARM assembler Hogeschool van Utrecht / Institute for Computer, Communication and Media Technology 1  programma draaien vanuit ROM.
1 XSLT processing & control Datamodellering 2006.
© imec 2000 © imec 2001 MAX+PLUS II Installatieprocedure.
Cegeka & TenForce Ronde tafel 17/06/2014 Doelstellingenmanagement VO.
Spyware en andere beesten Hoe vermijden en verwijderen.
1 Sophos en Cyberoam Presentatie: Thierry Brandjes Hilbrand Wouters, Cyberoam Channel Manager Sophos Ratho Inspiratiemiddag, 6 november 2015 Netwerkbeveiliging.
Malware JORIS LELIEVELD EN RICK VAN DRIEL. Wormen  Verspreiden via Internet  Hebben geen bestuurder nodig  Effect van Wormen is hetzelfde als een virus.
M5 Datacommunicatie Applicatielaag
M5 Datacommunicatie Transportlaag
Besturingssystemen Ga verder met een muisklik..
Software Development fundamentals
Introductie computerveiligheid
Transcript van de presentatie:

Malware

Inhoud Historisch overzicht Malware Soorten Malware (+ werking) Virus, Worm, Trojan, botnet Andere Terminologie Exploit, Payload, Zero-day Attack, Hoax, Phishing Virusverspreiding en anti-virus Opdracht week 1 proftaak

1982 ELK CLONER: THE PROGRAM WITH A PERSONALITY IT WILL GET ON ALL YOUR DISKS IT WILL INFILTRATE YOUR CHIPS YES IT’S CLONER! IT WILL STICK TO YOU LIKE GLUE IT WILL MODIFY RAM TOO SEND IN THE CLONER! Middelbare scholier Rich Skrenta Haalde grapjes uit met schoolvrienden door kopien van gehackte spelletjes zo te veranderen dat ze zichzelf vernietigden na een aantal keer spelen Hij wilde wel eens echt indruk maken op zijn vrienden door iets te maken dat zichzelf kon verspreiden zonder dat ze wisten dat het van hem afkwam. Replicerende software (in memory) is al gerapporteerd in 1972, maar dan als grapje tussen software ontwikkelaars. Elk Cloner wordt beschouwd als het eerste zichzelf sterk verspreidende vrius

1982 Apple II virus Elk Cloner: The program with a personality IT WILL GET ON ALL YOUR DISKS IT WILL INFLILTRATE YOUR CHIPS YES IT’S CLONER IT WILL STICK TO YOU LIKE GLUE IT WILL MODIFY RAM TOO SEND IN THE CLONER 1986, Brain: first DOS virus Welcome to the Dungeon. BRAIN COMPUTER SERVICES Beware of this VIRUS… Contact us for vaccination…$#@%$@!! 1983, Fred Cohen: Formal definition of Computer Virus: A program that can infect other programs by modifying them to include a, possibly evolved, version of itself

Virus Eras 1986- Years 1986-1995 Boot virus One year 1995-1999 Virus type Outbreak speed 1986-1995 Boot virus One year 1995-1999 Macro virus One month 1999- Email worm One day 2001- Network worm One hour

Huidige situatie Trojaanse paarden Wormen Botnets Phishing Mobiele apparatuur

Het virus

Virussen File(infector)virus (.com, .exe) Bootsectorvirus Macrovirus Mobile virus .com gaat voor .exe en .com wordt 1:1 in geheugen geduwd

Wat is een virus? Een programma… Dat zichzelf copieert… Meestal zonder dat de gebruiker het merkt. Kenmerken: Copieert code Verbergen code Payload Trigger Blijft op 1 systeem Vereist gebruikersinteractie om zich voort te planten Virus zit vastgeplakt aan een ander stuk code

Kenmerken virus Hoe komt het virus op het systeem? Waar nestelt het virus zich? Hoe wordt het virus getriggerd en actief? Wat is de pay-load van het virus? Hoe voorkomt het virus herkenning?

Kenmerken virus: 2. Waar nestelt het virus zich? Executables Het virus embed zichzelf in executable code of zorgt dat het ipv executable wordt gestart. Bootsector (bijv. MichelAngelo-virus ‘91) Het virus zit in het opstart gedeelt van een disk. Document files Het virus hecht zich aan uitvoerbare gedeeltes binnen een document (macro’s). Geheugen Het virus nestelt zich in het geheugen (memory-resident virus), vaak via een van bovengenoemde manieren.

Infectie van executables Companion infectie Virus in file met bestaande naam, maar andere extensie. Virus wordt gestart ipv orginele file. Bijv. Virus in notepad.com ipv notepad.exe. Overwriting infectie De lompe manier, virus overschrijft orginele file. Bijv. Notepad.exe is na infectie het virus. Prepending infectie (bijv. Nimda 2001) Appending infectie (bijv. Appix 2002) Prepending en appending

Kenmerken virus: 3. Hoe wordt het virus getriggerd en actief? Openen email (email script in werking) Openen email-attachment (bijv. executable) Floppy in systeem Openen web-site (Bijv. XSS: cross-site scripting) Openen/starten geinfecteerde file

Kenmerken virus: 4. Wat is de pay-load van het virus? Werking systeem beinvloeden: - Crashen - Overbelasten systeem / netwerk - Wissen informatie - UI veranderen Data aanpassen - Stelen - Aanpassen Voortplanten - andere files infecteren - via email (adresboek) Voortplanten zie ook enkele sheets terug hoe komt het op systeem

Kenmerken virus: 5. Hoe voorkomt het virus herkenning? Stealthing - “hidden” attribute - stream companion virus - .exe extensie verbergen - een schone versie naar virus scanner presenteren Poly-Morphisme: Dynamisch veranderen van uiterlijk bij propagatie: - aanpassen namen in code variabelen en procedures - volgorde van instructies aanpassen - instructies toevoegen die niks doen (+1-1, NOP-operaties) - encrypten code met veranderende sleutels, code decrypt eerst Meta Morphisme Zelfde als poly-morphisme, maar functionaliteit wijzigt ook. Anti-virus deactivatie Voorbeelden ProcKill-Trojan, MTX-worm Stream companion (microsoft NTFS): er is een soort paralelle datastroom gekoppeld aan een normale file op het systeem, die laatste verandert niet als de stream verandert. Intercepting: Het lezen van een bestand (door de vrousscanner) wordt afgevangen, en alleen een zogenaamd schoon resultaat wordt dan als data doorgegeven aan de virusscanner Polymorfisme en metamorphisme zien we ook terug bij wormen

De worm

Wat is een worm? Een zelfstandig programma… Dat een virus is… Maar geen host nodig heeft Kenmerken: Self-replicating Self-propagating

Worm vs. Virus

Worm Voorbeelden 1st worm Morris (1989) Bekende wormen ILoveYou/Loveletter, Code Red, Sasser, Blaster, Nimda Recente worm: Storm Worm ILoveYou: http://en.wikipedia.org/wiki/ILOVEYOU_%28computer_virus%29 , May 2000 The "I Love You" virus infected image and sound files with VBscript and spread quickly by causing copies of itself to be sent to all individuals in an address book Code Red: http://en.wikipedia.org/wiki/Code_red_worm july 13-19 2001 (half million infecties) It attacked computers running Microsoft's IIS web server. The worm exploited a vulnerability in the indexing software distributed with IIS, described in MS01-033, for which a patch had been available a month earlier. The worm spread itself using a common type of vulnerability known as a buffer overflow. It did this by using a long string of the repeated character 'N' to overflow a buffer, allowing the worm to execute arbitrary code and infect the machine. It defaced the affected web site to display: HELLO! Welcome to http://www.worm.com! ii! (The last sentence became a stock phrase to indicate an online defeat) It tried to spread itself by looking for more IIS servers on the Internet. It waited 20-27 days after it was installed to launch denial of service attacks on several fixed IP addresses. The IP address of the White House web server was among those.[

Worm componenten

De warhead: gaining access Via exploits zoals buffer overflows Via file-sharing Via email Via default of voorspelbare wachtwoorden Via achterdeurtjes

De Propagation engine: verspreiding van de worm-code Protocollen die in gebruik zijn Of worm opent de deur voor protocollen. Bijvoorbeeld: FTP HTTP SMB TCP/IP

Target Selection Algorithm: nieuwe slachtoffers vinden Email adressen Host lijsten (/etc/hosts, LMHOSTS) Network neighborhood DNS queries IP adressen

Scanning engine: Welke potentiele slachtoffers zijn kwetsbaar? Scannen op gebruikte exploits: Windows versies Applicaties Openstaande poorten

Worm opdrachtje Bestudeer de werking van de storm worm (2007): Hoe werkt de Warhead? Hoe werkt de propagation engine? Wat voor target selection algorithm is er? Wordt er gescand op vulnerabilities? Wat is de payload van de worm?

De Trojan

Wat is een trojan? Een programma… Dat iets slechts doet… Als ‘bonus’ bij wat je verwacht… Wordt in feite dus via social engineering binnengehaald Eigenschappen: Plant zich niet voort

Opbouw trojan Trojan bestaat uit: Dropper (legitieme applicatie + virus/worm) Eventueel een: Time Bom Logical Bomb Payload

Verschillende Typen trojans: op basis van payload Remote Access (RATs) Email Sending Data Destructive (of cryptoviral extortion) Proxy trojan (disguising others as the infected computer) FTP trojan (adding or copying data from the infected computer) security software disabler denial-of-service attack (DoS) URL trojan (redirecting the infected computer to expensive dial-up internet access)

Voorbeelden 1st trojan MichelAngelo (1991): Trojan met virus Bekende trojans Back orifice, netbus, sub7 Recente trojans format.A (PSP), mitglieder Back orifice, netbus, sub7 zijn allemaal RATs Sub7 kan bijvoorbeeld ook webcam captures maken!

De Hoax

Wat is een hoax? Waarschuwing voor een virus… Met veel onrust tot gevolg… Als je niks doet Eigenschappen: Als het veel geluk belooft Of geld van Bill Gates Dan is het waarschijnlijk een hoax

Het Botnet

Wat is een Botnet? Netwerk van overgenomen systemen… Waarbij poort wordt geopend naar buitenwereld… Aangestuurd door centraal systeem… Met als doel: Spam, DDos, identity Theft Eigenschappen: Werkt door enorme schaal waarop Gebruikt malware om doel te bereiken: virus, trojan, spyware, etc.

Virus verspreiding

De verspreiding van Code Red: Virusverspreiding(1) De verspreiding van Code Red: verspreiding op 19 juli 2001

Virusverspreiding(2) Verspreiding hangt af van: Patching systemen Denk aan 0-day attack waarbij nog geen patch beschikbaar is. Gewenste verspreidingsgraad makers Low-profile verspreiding valt minder op. Beveiliging netwerken en systemen Anti-virus (signatures ge-update?), Firewall (rules ge-update?)

Anti-Virus

Wat is anti-virus software? Anti-virus software zijn computer programma’s die malware proberen te identificeren, tegen te werken, uit te schakelen en te verwijderen. Anti-virus gebruikt hiervoor 2 technieken: Scannen van filesysteem op aanwezigheid van bekende malware op basis van definities in virus-database Identificeren van verdacht gedrag van computerprogramma’s dat duidt op infectie

Anti-virus: Waar? User workstations File Servers Central Detection of user files Mail Servers Scan email before delivery Application Servers Might interfere with system stability? Border Firewalls Scan email, webbrowsingcontent, worms Handhelds

Anti-virus: Hoe? Scannen van filesysteem: Virus signatures Identificeren van verdacht gedrag: Heuristics: attempts to - access boot sector - locate all documents in current folder - write to an .exe file - delete hard-drive contents - set-up connection on unused port - execute stack-memory Integrity verification Controle of bepaalde files (bijvoorbeeld kernel) onverwacht zijn gewijzigd; Status van (deel)systeem vastleggen door: - checksums - hashcodes Detectie eventueel via sandboxes

Detectie van malware, en nu? Antivirus software kan na detectie de volgende maatregelen nemen: File repareren door virus te verwijderen File in quarantaine Verwijderen geïnfecteerde file Lopende malware processen uit geheugen verwijderen

Opdracht proftaak week 1 Verzin d.m.v. brainstorm nieuwe malware met specifieke kenmerken. Beschrijf per type malware: Hoe komt de malware het systeem binnen? Waar nestelt de malware zich? Wat is de pay-load van de malware? Hoe wordt de payload van de malware getriggerd en actief? Hoe voorkomt de malware herkenning? Hoe worden nieuwe slachtoffers geselecteerd? Wat is de impact van de malware op het geïnfecteerde systeem? Wat is de impact van de malware op de gebruikers en de gebruikersorganisatie? Zie eventueel ook de kopieën van H3.Worms uit het boek Malware, fighting malicious code