Malware

Inhoud Historisch overzicht Malware Soorten Malware (+ werking) Virus, Worm, Trojan, botnet Andere Terminologie Exploit, Payload, Zero-day Attack, Hoax, Phishing Virusverspreiding en anti-virus Opdracht week 1 proftaak

1982 ELK CLONER: THE PROGRAM WITH A PERSONALITY IT WILL GET ON ALL YOUR DISKS IT WILL INFILTRATE YOUR CHIPS YES IT’S CLONER! IT WILL STICK TO YOU LIKE GLUE IT WILL MODIFY RAM TOO SEND IN THE CLONER! Middelbare scholier Rich Skrenta Haalde grapjes uit met schoolvrienden door kopien van gehackte spelletjes zo te veranderen dat ze zichzelf vernietigden na een aantal keer spelen Hij wilde wel eens echt indruk maken op zijn vrienden door iets te maken dat zichzelf kon verspreiden zonder dat ze wisten dat het van hem afkwam. Replicerende software (in memory) is al gerapporteerd in 1972, maar dan als grapje tussen software ontwikkelaars. Elk Cloner wordt beschouwd als het eerste zichzelf sterk verspreidende vrius

1982 Apple II virus Elk Cloner: The program with a personality IT WILL GET ON ALL YOUR DISKS IT WILL INFLILTRATE YOUR CHIPS YES IT’S CLONER IT WILL STICK TO YOU LIKE GLUE IT WILL MODIFY RAM TOO SEND IN THE CLONER 1986, Brain: first DOS virus Welcome to the Dungeon. BRAIN COMPUTER SERVICES Beware of this VIRUS… Contact us for vaccination…$#@%$@!! 1983, Fred Cohen: Formal definition of Computer Virus: A program that can infect other programs by modifying them to include a, possibly evolved, version of itself

Virus Eras 1986- Years 1986-1995 Boot virus One year 1995-1999 Virus type Outbreak speed 1986-1995 Boot virus One year 1995-1999 Macro virus One month 1999- Email worm One day 2001- Network worm One hour

Huidige situatie Trojaanse paarden Wormen Botnets Phishing Mobiele apparatuur

Het virus

Virussen File(infector)virus (.com, .exe) Bootsectorvirus Macrovirus Mobile virus .com gaat voor .exe en .com wordt 1:1 in geheugen geduwd

Wat is een virus? Een programma… Dat zichzelf copieert… Meestal zonder dat de gebruiker het merkt. Kenmerken: Copieert code Verbergen code Payload Trigger Blijft op 1 systeem Vereist gebruikersinteractie om zich voort te planten Virus zit vastgeplakt aan een ander stuk code

Kenmerken virus Hoe komt het virus op het systeem? Waar nestelt het virus zich? Hoe wordt het virus getriggerd en actief? Wat is de pay-load van het virus? Hoe voorkomt het virus herkenning?

Kenmerken virus: 2. Waar nestelt het virus zich? Executables Het virus embed zichzelf in executable code of zorgt dat het ipv executable wordt gestart. Bootsector (bijv. MichelAngelo-virus ‘91) Het virus zit in het opstart gedeelt van een disk. Document files Het virus hecht zich aan uitvoerbare gedeeltes binnen een document (macro’s). Geheugen Het virus nestelt zich in het geheugen (memory-resident virus), vaak via een van bovengenoemde manieren.

Infectie van executables Companion infectie Virus in file met bestaande naam, maar andere extensie. Virus wordt gestart ipv orginele file. Bijv. Virus in notepad.com ipv notepad.exe. Overwriting infectie De lompe manier, virus overschrijft orginele file. Bijv. Notepad.exe is na infectie het virus. Prepending infectie (bijv. Nimda 2001) Appending infectie (bijv. Appix 2002) Prepending en appending

Kenmerken virus: 3. Hoe wordt het virus getriggerd en actief? Openen email (email script in werking) Openen email-attachment (bijv. executable) Floppy in systeem Openen web-site (Bijv. XSS: cross-site scripting) Openen/starten geinfecteerde file

Kenmerken virus: 4. Wat is de pay-load van het virus? Werking systeem beinvloeden: - Crashen - Overbelasten systeem / netwerk - Wissen informatie - UI veranderen Data aanpassen - Stelen - Aanpassen Voortplanten - andere files infecteren - via email (adresboek) Voortplanten zie ook enkele sheets terug hoe komt het op systeem

Kenmerken virus: 5. Hoe voorkomt het virus herkenning? Stealthing - “hidden” attribute - stream companion virus - .exe extensie verbergen - een schone versie naar virus scanner presenteren Poly-Morphisme: Dynamisch veranderen van uiterlijk bij propagatie: - aanpassen namen in code variabelen en procedures - volgorde van instructies aanpassen - instructies toevoegen die niks doen (+1-1, NOP-operaties) - encrypten code met veranderende sleutels, code decrypt eerst Meta Morphisme Zelfde als poly-morphisme, maar functionaliteit wijzigt ook. Anti-virus deactivatie Voorbeelden ProcKill-Trojan, MTX-worm Stream companion (microsoft NTFS): er is een soort paralelle datastroom gekoppeld aan een normale file op het systeem, die laatste verandert niet als de stream verandert. Intercepting: Het lezen van een bestand (door de vrousscanner) wordt afgevangen, en alleen een zogenaamd schoon resultaat wordt dan als data doorgegeven aan de virusscanner Polymorfisme en metamorphisme zien we ook terug bij wormen

De worm

Wat is een worm? Een zelfstandig programma… Dat een virus is… Maar geen host nodig heeft Kenmerken: Self-replicating Self-propagating

Worm vs. Virus

Worm Voorbeelden 1st worm Morris (1989) Bekende wormen ILoveYou/Loveletter, Code Red, Sasser, Blaster, Nimda Recente worm: Storm Worm ILoveYou: http://en.wikipedia.org/wiki/ILOVEYOU_%28computer_virus%29 , May 2000 The "I Love You" virus infected image and sound files with VBscript and spread quickly by causing copies of itself to be sent to all individuals in an address book Code Red: http://en.wikipedia.org/wiki/Code_red_worm july 13-19 2001 (half million infecties) It attacked computers running Microsoft's IIS web server. The worm exploited a vulnerability in the indexing software distributed with IIS, described in MS01-033, for which a patch had been available a month earlier. The worm spread itself using a common type of vulnerability known as a buffer overflow. It did this by using a long string of the repeated character 'N' to overflow a buffer, allowing the worm to execute arbitrary code and infect the machine. It defaced the affected web site to display: HELLO! Welcome to http://www.worm.com! ii! (The last sentence became a stock phrase to indicate an online defeat) It tried to spread itself by looking for more IIS servers on the Internet. It waited 20-27 days after it was installed to launch denial of service attacks on several fixed IP addresses. The IP address of the White House web server was among those.[

Worm componenten

De warhead: gaining access Via exploits zoals buffer overflows Via file-sharing Via email Via default of voorspelbare wachtwoorden Via achterdeurtjes

De Propagation engine: verspreiding van de worm-code Protocollen die in gebruik zijn Of worm opent de deur voor protocollen. Bijvoorbeeld: FTP HTTP SMB TCP/IP

Target Selection Algorithm: nieuwe slachtoffers vinden Email adressen Host lijsten (/etc/hosts, LMHOSTS) Network neighborhood DNS queries IP adressen

Scanning engine: Welke potentiele slachtoffers zijn kwetsbaar? Scannen op gebruikte exploits: Windows versies Applicaties Openstaande poorten

Worm opdrachtje Bestudeer de werking van de storm worm (2007): Hoe werkt de Warhead? Hoe werkt de propagation engine? Wat voor target selection algorithm is er? Wordt er gescand op vulnerabilities? Wat is de payload van de worm?

De Trojan

Wat is een trojan? Een programma… Dat iets slechts doet… Als ‘bonus’ bij wat je verwacht… Wordt in feite dus via social engineering binnengehaald Eigenschappen: Plant zich niet voort

Opbouw trojan Trojan bestaat uit: Dropper (legitieme applicatie + virus/worm) Eventueel een: Time Bom Logical Bomb Payload

Verschillende Typen trojans: op basis van payload Remote Access (RATs) Email Sending Data Destructive (of cryptoviral extortion) Proxy trojan (disguising others as the infected computer) FTP trojan (adding or copying data from the infected computer) security software disabler denial-of-service attack (DoS) URL trojan (redirecting the infected computer to expensive dial-up internet access)

Voorbeelden 1st trojan MichelAngelo (1991): Trojan met virus Bekende trojans Back orifice, netbus, sub7 Recente trojans format.A (PSP), mitglieder Back orifice, netbus, sub7 zijn allemaal RATs Sub7 kan bijvoorbeeld ook webcam captures maken!

De Hoax

Wat is een hoax? Waarschuwing voor een virus… Met veel onrust tot gevolg… Als je niks doet Eigenschappen: Als het veel geluk belooft Of geld van Bill Gates Dan is het waarschijnlijk een hoax

Het Botnet

Wat is een Botnet? Netwerk van overgenomen systemen… Waarbij poort wordt geopend naar buitenwereld… Aangestuurd door centraal systeem… Met als doel: Spam, DDos, identity Theft Eigenschappen: Werkt door enorme schaal waarop Gebruikt malware om doel te bereiken: virus, trojan, spyware, etc.

Virus verspreiding

De verspreiding van Code Red: Virusverspreiding(1) De verspreiding van Code Red: verspreiding op 19 juli 2001

Virusverspreiding(2) Verspreiding hangt af van: Patching systemen Denk aan 0-day attack waarbij nog geen patch beschikbaar is. Gewenste verspreidingsgraad makers Low-profile verspreiding valt minder op. Beveiliging netwerken en systemen Anti-virus (signatures ge-update?), Firewall (rules ge-update?)

Anti-Virus

Wat is anti-virus software? Anti-virus software zijn computer programma’s die malware proberen te identificeren, tegen te werken, uit te schakelen en te verwijderen. Anti-virus gebruikt hiervoor 2 technieken: Scannen van filesysteem op aanwezigheid van bekende malware op basis van definities in virus-database Identificeren van verdacht gedrag van computerprogramma’s dat duidt op infectie

Anti-virus: Waar? User workstations File Servers Central Detection of user files Mail Servers Scan email before delivery Application Servers Might interfere with system stability? Border Firewalls Scan email, webbrowsingcontent, worms Handhelds

Anti-virus: Hoe? Scannen van filesysteem: Virus signatures Identificeren van verdacht gedrag: Heuristics: attempts to - access boot sector - locate all documents in current folder - write to an .exe file - delete hard-drive contents - set-up connection on unused port - execute stack-memory Integrity verification Controle of bepaalde files (bijvoorbeeld kernel) onverwacht zijn gewijzigd; Status van (deel)systeem vastleggen door: - checksums - hashcodes Detectie eventueel via sandboxes

Detectie van malware, en nu? Antivirus software kan na detectie de volgende maatregelen nemen: File repareren door virus te verwijderen File in quarantaine Verwijderen geïnfecteerde file Lopende malware processen uit geheugen verwijderen

Opdracht proftaak week 1 Verzin d.m.v. brainstorm nieuwe malware met specifieke kenmerken. Beschrijf per type malware: Hoe komt de malware het systeem binnen? Waar nestelt de malware zich? Wat is de pay-load van de malware? Hoe wordt de payload van de malware getriggerd en actief? Hoe voorkomt de malware herkenning? Hoe worden nieuwe slachtoffers geselecteerd? Wat is de impact van de malware op het geïnfecteerde systeem? Wat is de impact van de malware op de gebruikers en de gebruikersorganisatie? Zie eventueel ook de kopieën van H3.Worms uit het boek Malware, fighting malicious code