Malware & AntiVirus. black d@ck HackFest 12/03/2015

Transcript

1 Malware & AntiVirus black HackFest 12/03/2015

2 Malware Malicous Software γνωστό και ως Malware. Όρος που χρησιμοποιείται για να περιγράψει οποιοδήποτε μη επιθυμητό λογισμικό και εκτελέσιμο κώδικα που χρησιμοποιείται για να φέρει εις πέρας μη εξουσιοδοτημένες και συνήθως επιβλαβείς ενέργειες σε μια υπολογιστική συσκευή. Είναι ένας όρος που χρησιμοποιείται για διάφορες μορφές επιβλαβών λογισμικών όπως για παράδειγμα viruses, worms, Trojans, rootkits, botnets και ούτω καθεξής

3 Creeper 1971 "I'M THE CREEPER : CATCH ME IF YOU CAN." Ο Bob Thomas (BBN Bolt, Beranek and Newman) ξεκίνησε να πειραματίζεται με την ιδέα μιας εφαρμογής που θα μεταφέρεται. Χρησιμοποιούσε το Arpanet για να μεταφερθεί και έτρεχε σε υπολογιστές DEC PDP-10 με λειτουργικό σύστημα Tenex. Ο Ray Tomlinson εξέλιξε την ιδέα του και πρόσθεσε την δυνατότητα αντιγραφής. Reaper (Nematode)

4 Brain 1986 Welcome to the Dungeon 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE :430791,443248, Beware of this VIRUS... Contact us for vaccination...

5 Brain 1986 Basit και Amjad Farooq Alvi από το Lahore του Πακιστάν Πρόγραμμα που είχε σαν στόχο την προστασία ενός ιατρικού λογισμικού τους από την πειρατεία, και υποτίθεται ότι το πρόγραμμα αυτό στόχευε μόνο τους παραβάτες πνευματικών δικαιωμάτων. Ο πρώτος ιός για IBM-PCs που έτρεχαν λειτουργικό PC-DOS ή IBM-DOS. Μόλυνε τον τομέα εκκίνησης από δισκέτες 5,25 ιντσών καθώς αυτές εισάγονταν σε ένα μολυσμένο υπολογιστή. Το πρώτο Internet worm και αρκετοί από τους πρώτους ιούς για MS-DOS ήταν ακίνδυνοι τόσο για τον χρήστη όσο και τον υπολογιστή. Είχαν σχεδιαστεί για να είναι ενοχλητικοί και να γνωρίσουν στον κόσμο τους δημιουργούς τους.

6 Αρχική κατηγοριοποίηση Βάση του τρόπου εξάπλωσης και λειτουργίας τους. Με το πέρασμα των χρόνων όμως, τα πράγματα άλλαξαν και η κατηγοριοποίηση που χρησιμοποιούσαμε δεν είναι πια απόλυτη. Ένα κακόβουλο λογισμικό μπορεί να ανήκει ταυτόχρονα σε περισσότερες από μία κατηγορίες. Στις μέρες μας δεν γίνονται συγκεκριμένες αναφορές για worms. Για την περιγραφή τέτοιου είδους προγραμμάτων χρησιμοποιούμε την λέξη Virus και τον πιο γενικό όρο Malware.

7 Η σημερινή πραγματικότητα Καθημερινά εμφανίζονται καινούρια κακόβουλα λογισμικά που χρησιμοποιούνται είτε σε στοχευμένες είτε σε μαζικές επιθέσεις. Οι κατηγορίες που χαρακτηρίζουν τα κακόβουλα λογισμικά είναι πολλές. Ιός (Virus) Δούρειος Ίππος (Trojan Horse) Ransomware SMS Ransomware Winlocker File Encryptors MBR Ransomware Worm Worms Instant Messaging Worms Internet Worms IRC Worms File-sharing Networks Worms

8 Κατηγορίες Malware Λογισμικό Λήψης Κακόβουλου Λογισμικού (dropper) Μονοβάθμιο Λογισμικό Λήψης Κακόβουλου Λογισμικού (single stage dropper) Λογισμικό Λήψης Κακόβουλου Λογισμικού δύο σταδίων (two stage dropper) Κακόβουλος Κώδικας Κερκόπορτας (backdoor) Κέλυφος ή Αντίστροφο Κέλυφος (Shell / Reverse Shell) Botnet Επιθέσεις Distributed denial-of-service Διαφημίσεις Adware Λογισμικό Κλοπής Πληροφοριών (Spyware) Εργαλεία Απομακρυσμένου Ελέγχου (RATs / Remote Administration Tools)

9 Κατηγορίες Malware Λογισμικό Rootkit Application Level Rootkits Kernel Level Rootkits Boot loader Level Rootkits / Bootkit Hypervisor / Virtualized Level Rootkits Hardware / Firmware Rootkits Λογισμικό Εκφοβισμού (scareware)

10 Εντοπισμός κακόβουλου λογισμικού Δεν υπάρχει κάποιος χαρακτηριστικός αλγόριθμος που να εντοπίζει με επιτυχία όλους τους ιούς που είτε υπάρχουν είτε δημιουργούνται κατά καιρούς. Frederick B. Cohen's 1984 Με την χρήση διαφορετικών επιπέδων άμυνας κατά του κακόβουλου λογισμικού, ένα καλό ποσοστό εντοπισμού μπορεί να επιτευχθεί. Υπάρχουν αρκετοί τρόποι με τους οποίους ένα αντιικό πρόγραμμα μπορεί να εντοπίσει κακόβουλο λογισμικό. Παρακάτω αναφέρονται οι πιο βασικοί

11 Τρόποι εντοπισμού malware Ανίχνευση βάση υπογραφής (Signature-based detection) Ευρετική ανίχνευση (Heuristic-based detection) Ανίχνευση βάση συμπεριφοράς (Behavioural-based detection) Ανίχνευση σε περιβάλλον δοκιμών (Sandbox detection) Real-time protection

12 Συλλογή κακόβουλου λογισμικού Η ανάλυση malware βοηθάει τους ερευνητές κακόβουλου λογισμικού να κατανοήσουν τον τρόπο λειτουργίας τους καθώς και τις τεχνικές επιθέσεων που χρησιμοποιούν οι δημιουργοί τους. Μπορούν να εντοπίσουν και να ταξινομήσουν οικογένειες κακόβουλων λογισμικών, να αναπτύξουν τεχνικές προστασίας και να δημιουργήσουν αυτόματα μοντέλα ανίχνευσης. Η εξέλιξη του κακόβουλου λογισμικού καταστεί αναγκαία την συλλογή και την ανάλυση του.

13 Τρόποι συλλογής malware Honeypots Pure honeypots Honeypots χαμηλής αλληλεπίδρασης (Low interaction honeypots) Honeypots Υψηλής αλληλεπίδρασης (High interaction honeypots) Web Crawler Shared repository Spam trap Disk forensics User upload

14 Ανάλυση κακόβουλου λογισμικού Αυτόματη ανάλυση (Automated analysis) Δυναμική ανάλυση (Dynamic Malware Analysis) Στατική ανάλυση (Static Analysis) Manual Code Reversing

15