1. Vanja Svajcer Principal Researcher – Sophos Beograd, 13 Maj 2010 Anatomijanapada – duhovi u mašini
2. Šta radi SophosLabs? Sakuplja pretnje Analizira i klasifikuje Kreira detekcije i otklanja pretnje Objavljuje sveže definicije i informacije Istraživanje i razvoj Nešto više informacija videćemo kasnije 2
6. Nema „standardnog“ pisca virusa, nema „standardnog“ motiva za pisanje Školarci Srednjoškolci Studenti IT profesionalci Uglavnom muškarci Nikako A/V kompanije Ko se nekada bavio pisanjem virusa?
7.
8.
9. Virusi se retko viđaju, ali čini se da opet postaju popularni U pitanju je novac U osnovi se svodi na kriminal ( I dalje postoji tamo neki pegavi tinejdžer…) Ko piše malver danas?
10. APT Advanced Persistent Threat Moderan izraz za “targeted malware” Mala veličina (oko 100k) i posebne namene Nema pakovanja Izgleda kao legitiman Windows fajl Neovlašćeni prikriveni transfer podataka (Data Exfiltration) Težak za uklanjanje 10
11. 11 Email pretnje Druga polovina 2008. bila je svedok dramatičnog porasta malverau obliku priloga email-a 2009.taj trend se nastavlja,nekoliko familija se širi agresivnimmasovnim spemovanjem Iste stare taktike socijalnog inženjeringa UPS/FedEx failed deliveryreports, Microsoft patches,Airline e-tickets itd.
12. 12 Top spemovani malver (2009) Dominiraju ključne familijemalvera Bredo Waled Jednostavnoali i dalje radi!
13. Socijalni inženjering – Bredo Mal/Bredo Ista kampanja može obuhvatati brojne “različite” priloge
15. BredovsZbot Konkurencija između botova!!! Bredopokušava da onemogući bilo koji instalirani Zbot Vrlo slično poput NetskyvsBaglerata od pre par godina!!!
16. 16 Email pretnje Globalnespem zamke za praćenje spema SADusmerava više spema nego bilo koja druga pojedinačna država Kompromitovani računari ne samo što šire spem već distribuiraju malver i lansiraju DDoS napade
17. Web najdominantniji 99% inficiranih sistema su legitimni kompromitovani sajtovi Sajtovi za napad Botnet C&C korišćenjem HTTP Napadi i dalje često počinju spemovanjem email-a 17
20. Korak1: preusmeravanje sa kompromitovanog sajta Kompromitovani web sajtovi Attacker-controlledredirects Attack site usingbundle of exploits Payload
22. SQL injection DB DB DB Malicious SQLinjection Hakeri koriste alate da identifikuju stranice potencijalno ranjive na SQL injection Šalju maliciozneHTTP zahteve (Demo)
23. SQL injection <script src=http:/ <script src=http:/ <script src=http:/ <script src=http:/ <script src=http:/ <script src=http:/ <script src=http:/ <script src=http://[evil].com/file.js SQL injection uzrokuje da baza podataka postane zabiberena malicioznim skript tagovima Kao rezultat, stranice na web serveru izgrađene od podataka preuzetih iz baze takođe sadrže maliciozne skript tagove
24. SQL injection Korisnik se kreće web sajtom Maliciozni skript tag prikrivenoučitava skript sa udaljenog servera Žrtva postaje inficirana malverom:Asproxtrojan
33. Korak3: Preuzimanje sadržaja sa napadačevog sajta Kompromitovani web sajtovi Preusmeravanja kojakontroliše napadač Sajt za napad koristi više kombinovanih ranjivosti Payload
34. Web napadi Otkriven: 19. oktobra 2009. Izrađen korišćenjem kupljenih kompleta alata MPack, IcePack, GPack,Neosploit, Eleonore, Yes Konzola za upravljanje Phishing Najpogođenije države: Francuska – 4% SAD– 17% Velika Britanija – 3% Nemačka – 6%
35. Web napadi Pregled po programimaza pregled Internet sadržaja! Polimorfizam sa serverske strane Procenat pogođenih: MSIE – 12% FireFox – 1% Opera – 5%
41. Slabosti polimorfnog malvera Poly-engine je deo koda Može biti reverzovan od strane upornog istraživača Mora biti dekriptovan u memoriji Emulira programski kod dok se ne nađe prava varijanta Detekcija može biti bazirana po proceduri dekripcije 41
47. Korak4: Napadni žrtve kroz ranjivosti, zarazi ih Kompromitovani web sajtovi Preusmeravanja kojakontroliše napadač Sajt za napad koristiviše kombinovanih ranjivosti Tovar
59. Rootkitovi– Sinowal (Mebroot) CPU Real mode CPU Protected mode BIOS initialization MBR Boot loader Early kernel initialization Kernel initialization MBR Boot loader Early kernel initialization User process Endpoint security User process Sinowal dropper User process Read MBR BIOS services Window services Window services Hard disk
68. Tehnologija zaštite Inspekcija sadržaja (klasično skeniranje) Detekcija na bazi ponašanja (HIPS) Reputacija Domen Fajl 68
69. Životni ciklus familije malvera Prvi član porodice Analiza Detekcija TEST Objava Sledeći član porodica
70. Karakteristike familije Identične osnovne funkcionalnosti Nove varijante mogu imati dodatne funkcionalnosti Linije koda se ponovo upotrebljavaju Nakon rekompilacije, nova varijanta je binarno različita Tradicionalno skeniranje nije efikasno za proaktivnu detekciju familije Zahteva analizu na funkcionalnom nivou
73. „Runtime behavioral“zaštita Nadopunjuje Behavioral Genotype Proverava ponašanje procesa primenjenona sistemu Proverava sve pokrenute procese na znake malicioznih modifikacija sistemskih objekata Fajlove Registry unose Procese Mrežne konekcije Učitane drajvere
84. Buffer overflow zaštita Generičkatehnologijaza detekciju zloupotrebe propusta (uključujući tzv. zero day zloupotrebe) Nadopunjuje Windows DEP Detektuje različite buffer overflow napade Stack Heap Return to lib C Štiti Microsoft i ne-Microsoft procese, uglavnom sa klijentske strane
96. Cloud zaštita Pretrage u realnom vremenu Povratne informacije u realnom vremenu (zaštita zajednice) Socijalno umrežavanje vezano za bezbednost Premošćavanje prekida u zaštiti Unapređenje vremena odziva 78
98. Zaključak Malver postaje sve kompleksniji Finansijska motivacija Usmereni (targeted) malver može predstavljati izazov Security zajednica ne gubi bitku Stalno se razvijaju nove metode Tehnologija ne predstavlja „srebrni metak“ 80