Malicious Code. Dimitris Mitropoulos

Σχετικά έγγραφα
ΑΣΦΑΛΕΙΑ ΔΕΔΟΜΕΝΩΝ ΣΤΗΝ ΚΟΙΝΩΝΙΑ ΤΗΣ ΠΛΗΡΟΦΟΡΙΑΣ (Κακόβουλο Λογισμικό)

Κακόβουλο Λογισμικό Ηλιάδης Ιωάννης

ΤΕΧΝΙΚΕΣ ΕΠΙΘΕΣΗΣ (1/8)

Ασφάλεια Υπολογιστικών Συστηµάτων

Ασφάλεια Πληροφοριακών Συστημάτων

ΚΙΝΔΥΝΟΙ ΣΤΟ ΔΙΑΔΙΚΤΥΟ

Πως μπορούν τα μέρη του υλικού ενός υπολογιστή να επικοινωνούν και να συνεργάζονται μεταξύ τους; Επειδή ακολουθούν συγκεκριμένες οδηγίες (εντολές).

Κακοβουλο Λογισμικο & Επιθέσεις. Τμήμα Μηχανικών Πληροφοριακών και Επικοινωνιακών Συστημάτων Πανεπιστήμιο Αιγαίου

ΠΡΟΣΤΑΣΙΑ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ

Ο ηλεκτρονικός υπολογιστής µπορεί να επεξεργάζεται δεδοµένα βάσει ενός συνόλου προκαθορισµένων οδηγιών Το κυριότερο πρόβληµα που αντιµετωπίζουν οι

ΤΕΙ ΙΟΝΙΩΝ ΝΗΣΩΝ ΣΧΟΛΗ ΔΙΟΙΚΗΣΗΣ ΚΑΙ ΟΙΚΟΝΟΜΙΑΣ ΤΜΗΜΑ ΔΙΟΙΚΗΣΗΣ ΕΠΙΧΕΙΡΗΣΕΩΝ - ΕΙΣ

Πληροφοριακά Συστήματα. Φάσεις ανάπτυξης (1/3) Βασικά στοιχεία Π.Σ. Φάσεις ανάπτυξης (3/3) Φάσεις ανάπτυξης (2/3) Πληροφορική I

Malware & AntiVirus. black d@ck HackFest 12/03/2015

Τ.Ε.Ι. Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων Μεσολόγγι. 9 η Διάλεξη. Μάθημα: Τεχνολογίες Διαδικτύου

Τ.Ε.Ι. Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων Μεσολόγγι. 9 η Διάλεξη. Μάθημα: Τεχνολογίες Διαδικτύου

Οι ιοί των υπολογιστών αποτελούν πλέον ένα διαδεδομένο, καθημερινό φαινόμενο. Η γρήγορη εξάπλωση των ιών τα τελευταία χρόνια οφείλονται στο διαδίκτυο

Εισαγωγή στην πληροφορική

Τεχνολογίες & Εφαρμογές Πληροφορικής

Κεφάλαιο 16 Ασφάλεια και Προστασία στο Διαδίκτυο. Εφαρμογές Πληροφορικής Κεφ. 16 Καραμαούνας Πολύκαρπος

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Συμμετρική & Μη-Συμμετρική Κρυπτογραφία

Κάποια ransomware μπορεί να είναι μεταμφιεσμένα. Να σας εμφανίζονται για παράδειγμα ως προειδοποιητικά μηνύματα του τύπου "Ο υπολογιστής σας έχει

ΜΑΘΗΤΕΣ:ΑΝΤΩΝΙΟΥ ΕΥΑΓΓΕΛΙΑ,ΔΑΡΑΜΑΡΑ ΑΓΓΕΛΙΚΗ,ΖΑΡΚΑΔΟΥΛΑ ΔΕΣΠΟΙΝΑ,ΚΑΠΟΥΛΑΣ ΑΠΟΣΤΟΛΟΣ,ΚΟΛΟΒΟΣ ΠΑΝΑΓΙΩΤΗΣ ΚΑΘΗΓΗΤΡΙΑ:ΧΑΛΙΜΟΥΡΔΑ ΑΓΓΕΛΙΚΗ ΕΡΕΥΝΗΤΙΚΗ

Κεφάλαιο 1.10: Προστασία και ασφάλεια δεδομένων

Privilege Separation. Dimitris Mitropoulos

Πώς να προστατευτείτε από τους ιούς

Malware: A Primer. Dimitris Gritzalis. November (updated May 2014)

GDPR. «Η προστασία των προσωπικών δεδομένων και η ασφάλεια των πληροφοριακών συστημάτων» Φώτης Ρωμούδης. Τρίτη 20/03/2018. Senior IT Consultant

Οδηγός Εγκατάστασης και Χρήσης του Arebas Easy

Ασφάλεια Υπολογιστικών Συστημάτων

Cryptography and Network Security Chapter 21. Fifth Edition by William Stallings

ΠΡΟΣΤΑΣΙΑ ΛΟΓΙΣΜΙΚΟΥ- ΙΟΙ ΚΕΦΑΛΑΙΟ 7

Τ.Π.Ε. στον Τουρισμό. Τ.Ε.Ι. Ιονίων Νήσων Σχολή Διοίκησης και Οικονομίας - Λευκάδα

λογισμικό το οποίο εκ προθέσεως διαθέτει τις απαιτούμενες εντολές για να βλάψει ένα υπολογιστικό σύστημα.

ΑΣΦΑΛΕΙΕΣ ΣΤΑ ΔΙΚΤΥΑ

«ΣΥΓΧΡΟΝΑ ΕΡΓΑΛΕΙΑ, ΤΕΧΝΙΚΕΣ ΚΑΙ ΜΕΘΟΔΟΛΟΓΙΕΣ ΓΙΑ ΤΟ ΧΑΡΑΚΤΗΡΙΣΜΟ ΚΥΒΕΡΝΟΕΠΙΘΕΣΕΩΝ ΚΑΙ ΚΑΚΟΒΟΥΛΟΥ Λ ΟΓΙΣΜΙΚΟΥ»

Εργαστήριο ικτύων Υπολογιστών 6η ιάλεξη: Ασφάλεια δικτύων

Σχεδιάζοντας ένα σύγχρονο πρόγραµµα εκπαίδευσης στελεχών µικροµεσαίων επιχειρήσεων σε θέµατα ασφάλειας

Εφαρμογή Βάσης Δεδομένων για την Εθελοντική Αιμοδοσία στο ΑΤΕΙ-Θ

ΕΙΣΑΓΩΓΗ ΣΤΗΝ ΠΛΗΡΟΦΟΡΙΚΗ

The Greek Data Protection Act: The IT Professional s Perspective

Εισαγωγή στην Πληροφορική

Προσδιορισμός απαιτήσεων Ασφάλειας (1)

Αντίγραφα στο σύννεφο

Ασφάλεια, Διαθεσιμότητα και Ταχύτητα για τις Web Εφαρμογές

Τεχνική Οδηγία. Εγκατάσταση & ρύθμιση MS ISA Server 2000 στο περιβάλλον των σχολικών εργαστηρίων. Έκδοση 1.0. Ιανουάριος 2005

Συμβουλές Ασφαλείας. ενάντια στους ΙΟΥΣ

Λιβανός Γιώργος Εξάμηνο 2017Β

Λογισμικό για το Σχολικό εργαστήριο

ΕΝΟΤΗΤA Σχολικό εργαστήριο πληροφορικής και εισαγωγή στα θέματα ασφάλειας

Διαδικτυακά εργαλεία και υπηρεσίες στην καθημερινή ζωή

Τεχνική Οδηγία. Εγκατάσταση & ρύθµιση MS ISA Server 2000 στο περιβάλλον των σχολικών εργαστηρίων. Έκδοση 1.0. Ιανουάριος 2005

ΑΣΦΑΛΕΙΑ. Το περιβάλλον ασφάλειας Απειλές

Basic Missions

29 Μαρτίου Οδηγός Χρήσης VPN. Πανεπιστήμιο Κύπρου Τμήμα Πληροφορικής. Ομάδα Τεχνικής Υποστήριξης Υπεύθυνος: Ανδρέας Κασενίδης. Έκδοση 4.

Ενσωματωμένα controls τα οποία προσαρμόζονται και χρησιμοποιούνται σε οποιαδήποτε ιστοσελίδα επιλέγει ο φορέας.

ΓΡΑΦΕΙΟ ΤΗΛΕΔΙΑΣΚΕΨΗΣ ΚΑΙ ΠΟΛΥΜΕΣΩΝ

ABUS-SERVER.com. ABUS Security Center. Οδηγίες τεχνικού για την υπηρεσία DynDNS. Τεχνικές Πληροφορίες. By Technischer Support

ΜΑΘΗΜΑ 7 - ΕΡΩΤΗΣΕΙΣ ΠΟΛΛΑΠΛΗΣ ΕΠΙΛΟΓΗΣ

ΔΙΑΔΥΚΤΙΟ ΤΟ ΔΙΑΔΥΚΤΙΟ ΚΑΙ Η ΕΠΙΚΟΙΝΩΝΙΑ

ECDL Module 7 Πλοήγηση στον Ιστό και Επικοινωνία Εξεταστέα Ύλη, έκδοση 5.0 (Syllabus Version 5.0)

Legal use of personal data to fight telecom fraud

Διαχείριση Ασφάλειας και Εμπιστοσύνης σε Πολιτισμικά Περιβάλλοντα

Ρ ΓΑ Σ Τ Ή Ρ Ι Ο 8 Α Σ Φ Ά Λ Ε Ι Α Σ Π Λ Η Ρ Ο Φ Ο Ρ Ι Κ Ώ Ν Σ Υ Σ Τ Η Μ ΆΤ Ω Ν

Σχεδίαση Εφαρμογών και Υπηρεσιών Διαδικτύου 7 η Διάλεξη: Σύντομη εισαγωγή στην Java

Παύλος Εφραιμίδης. Δύο παραδείγματα. Ασφ Υπολ Συστ

Επισκόπηση προβλημάτων ασφαλείας, απειλών και κακόβουλων επιθέσεων αντίμετρα hands on lab/training module

ΗΜΕΡΟΛΟΓΙΟ ΓΛΩΣΣΑΡΙ ΔΙΑΔΙΚΤΥΟΥ

Το λειτουργικό σύστημα. Προγραμματισμός II 1

Περιεχόµενα. Ασφάλεια Πληροφοριών και Υπολογιστικών Συστηµάτων. Ηλεκτρονικό Έγκληµα (2)

Ψηφιακή Εμπιστοσύνη και Παιδεία. Φραγκιαδάκης Ιωάννης ΚΕ.ΜΕ.Α.

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων SSL/TLS

Κεφ. 5 Γνωριμία με το Λογισμικό του Υπολογιστή - σελ 34-38

Σύγχρονες Απειλές & Προστασία. Γιάννης Παυλίδης Presales & Tech Support Engineer

Alice in Warningland: A Large-Scale Field Study of Browser Security Warning Effectiveness. Presented by: Elli Panagi

Σηµειώσεις εγκατάστασης του συστήµατος εκτύπωσης HP LaserJet σειράς P2015

ΔΗΜΙΟΥΡΓΙΑMOBILE ΕΦΑΡΜΟΓΩΝ ΓΙΑ ANDROID ΣΥΣΚΕΥΕΣ ΜΕ APPINVENTOR

Βασικές έννοιες Ασφάλειας α) ιαθεσιµότητα: άµεσα προσπελάσιµες υπηρεσίες ενός δικτύου υπολογιστών για τους εξουσιοδοτηµένους χρήστες β) Εµπιστευτικότη

Web and HTTP. Βασικά Συστατικά: Web Server Web Browser HTTP Protocol

Τα mobile διαφημιστικά Trojans ήταν η κορυφαία απειλή κακόβουλου λογισμικού το 2016

Οι τρόποι με τους οποίους μπορεί ένας ιός να μεταδοθεί είναι πολλοί. Τρεις είναι αυτοί που χρησιμοποιούνται πιο συχνά:

ΕΞΕΤΑΣΤΕΑ ΥΛΗ (SYLLABUS) ADVANCED σχεδιασμός ιστοσελίδας ΕΚΔΟΣΗ 1.0. Σόλωνος 108,Τηλ Φαξ

Εξετάζοντας το Pkybot

XAMPP Apache MySQL PHP javascript xampp

Αρχιτεκτονική του πληροφοριακού συστήµατος Cardisoft Γραµµατεία 2003 ιαχείριση Προσωπικού

ΚΡΥΠΤΟΓΡΑΦIΑ Α ΚΑΙ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΩΝ Δ Εξάμηνο

Εργαλεία ανάπτυξης εφαρμογών internet Ι

Υπηρεσία φωνητικής υποστήριξης των ιστοτόπων της ΕΡΤ Α.Ε.

Το λειτουργικό σύστημα. Προγραμματισμός II 1

Λογισμικό. Αντωνακάκης Αντώνιος Δήμος Ευάγγελος Χορόζογλου Γεώργιος

Εισαγωγή στην επιστήμη των υπολογιστών. Κεφάλαιο 4 ο Δικτύωση και Διαδίκτυο

Στρατηγικές Ασφάλειας

ΈΦΗ ΑΠΟΣΤΟΛΑΚΟΥ ΤΜΗΜΑ: Α1

Λειτουργικά Συστήματα. Εισαγωγή

PROXY SERVER. Άριστη πύλη διαχωρισμού μεταξύ του εσωτερικού δικτύου και του Internet.

Σχεδιάζοντας Εφαρμογές για το Διαδίκτυο

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων. PGP (Pretty Good Privacy)

Σχεδιασμός Εικονικών Δικτύων Ενότητα 6: Εικονικά Ιδιωτικά Δίκτυα Επιπέδου Μεταφοράς - Secure Sockets Layer (SSL) / Transport Layer Security (TLS)

Λειτουργικά Συστήματα (ΗΥ321)

ΑΣΦΑΛΕΙΑ ΚΑΤΑ ΤΗ ΙΑΚΙΝΗΣΗ ΠΟΛΥΜΕΣΙΚΗΣ ΠΛΗΡΟΦΟΡΙΑΣ

Transcript:

Malicious Code Dimitris Mitropoulos dimitro@di.uoa.gr

Κακόβουλο Λογισμικό Οριοθέτηση Έννοιας Το λογισμικό που είναι υλοποιημένο έτσι ώστε να έχει επιβλαβείς ή απρόβλεπτες συνέπειες.

Κακόβουλο Λογισμικό Ιδιότητες Αυτονομία: Ύπαρξη ανάγκης για λογισμικόξενιστή. Αναπαραγωγή: Δυνατότητα αυτοαναπαραγωγής, όταν οι συνθήκες το επιτρέπουν.

Κακόβουλο Λογισμικό Τύποι Ιός (Virus): τμήμα λογισμικού που: 1. ενσωματώνει τον κώδικά του σε ένα πρόγραμμα ξενιστή, 2. εκτελείται στο παρασκήνιο και 3. αναπαράγεται με την αντιγραφή του εαυτού του σε άλλους ξενιστές. Δούρειος Ίππος (Trojan Horse): λογισμικό που φαίνεται αρχικά χρήσιμο αλλά περιλαμβάνει κρυφές λειτουργίες που μπορούν να εκμεταλλευτούν τα δικαιώματα του χρήστη που εκτελεί το πρόγραμμα.

Κακόβουλο Λογισμικό Τύποι (2) Αναπαραγωγός (Worm): ένα πρόγραμμα που μεταδίδεται από ένα σύστημα σε έναν άλλο, δημιουργώντας αντίγραφο του εαυτού του. Λογική Βόμβα (Logic Bomb): λογισμικό που εκτελεί μια ενέργεια που παραβιάζει την ασφάλεια ενός συστήματος όταν πληρείται μια λογική συνθήκη στο σύστημα. Βακτήριο (Fork Bomb): έχει παρόμοια λειτουργία με τον αναπαραγωγό αλλά διαφορετικούς στόχους. Λ.χ. δεν αλλοιώνει δεδομένα αλλά καταναλώνει το σύνολο των πόρων ενός συστήματος.

Κατηγοριοποίηση Κακόβουλο Λογισμικό Απαιτεί Ξενιστή Δεν Απαιτεί Ξενιστή Λογική Βόμβα (Logic Bomb) Ιός (Virus) Αναπαραγωγός (Worm) Βακτήριο (Fork Bomb) Δούρειος Ίππος (Trojan Horse) [ ] [ ]

Κατηγοριοποίηση (2) Κακόβουλο Λογισμικό Απαιτεί Ξενιστή Δεν Απαιτεί Ξενιστή Λογική Βόμβα (Logic Bomb) Ιός (Virus) Αναπαραγωγός (Worm) Βακτήριο (Fork Bomb) Δούρειος Ίππος (Trojan Horse) [ ] [ ] Δεν Δημιουργούν Αντίγραφα Δημιουργούν Αντίγραφα

Ιοί Μόλυνση (Infection) Ιός Ροή Πρόγραμμα + Ιός = Πρόγραμμα

Ιοί Μόλυνση (Infection) 2 Ιός Ροή Πρόγραμμα + Ιός = Πρόγραμμα Ιός αλλαγές σε σχέση με το τι κάνει το πρόγραμμα πριν τερματίσει (λ.χ. να καλύψει τα ίχνη της ύπαρξης του ιού)

Ιοί Φάσεις Επώαση: ο ιός παραμένει ανενεργός μέχρι να ενεργοποιηθεί από κάποιο γεγονός. Αναπαραγωγή: δημιουργία αντιγράφων και ενσωμάτωση σε ξενιστές. Ενεργοποίηση και εκτέλεση: εκτέλεση εντολών.

Ιοί Υπορουτίνες Αναζήτησης: αναζήτηση νέων ξενιστών. Αντιγραφής: δημιουργία αντιγράφου και ενσωμάτωση. Υπορουτίνα κατά του εντοπισμού: παραμετροποίηση των παραπάνω για την αποφυγή εντοπισμού.

Ιοί Κατηγορίες Μακρο-ιοί: περιλαμβάνουν μια ακολουθία εντολών η οποία διερμηνεύεται (interpreted) αντί να εκτελείται (executed), και χρησιμοποιούν συνήθως αρχεία δεδομένων ως ξενιστές. Κρυπτογραφημένοι: αποφεύγουν την ανίχνευση, κρυπτογραφώντας το μεγαλύτερο τμήμα τους, εκτός από μία ρουτίνα αποκρυπτογράφησης και το αντίστοιχο κλειδί (K, C = Enc(K, code), Dec_Loader_Code.). Πολυμορφικοί: κρυπτογραφημένοι ιοί, που μεταβάλλουν την ρουτίνα αποκρυπτογράφησης μετά από κάθε προσβολή του ξενιστή. κ.α.

Κρυπτογραφημένος Ιός (Παράδειγμα: Cascade Virus) Κρυπτογράφηση και αποκρυπτογράφηση με την χρήση XOR (ταχύτητα και αντιστρεψιμότητα). «Αλγόριθμος» κρυπτογράφησης: Code XOR Address XOR code_length = enc_code Είναι όμως ολόκληρος ο κώδικας του ιού κρυπτογραφημένος;

Κρυπτογραφημένος Ιός (Παράδειγμα: Decrypt) push %eax ; save current EAX mov %esp, %eax ; save ESP into EAX lea Virus, %esi ; start of encrypted code mov $0x4, %esp ; length of encrypted code Decrypt: xor %esp, (%esi) ; XOR code with its length xor %esi, (%esi) ; XOR code with its address mov %eax, %esp ; restore ESP pop %eax ; restore EAX Virus: ; encrypted virus code body 1e 1f c1 cb

Worms VS Viruses Και οι δυο δημιουργούν αντίγραφα. Οι ιοί χρειάζονται ξενιστή και ενεργοποιούνται όταν ενεργοποιηθεί και ο ξενιστής. Ο αναπαραγωγός δεν χρειάζεται ξενιστή. Από την στιγμή που απελευθερώνεται (unleashed) είτε λειτουργεί είτε τερματίζει.

The Morris Worm Ξεκινά να λειτουργεί στις 2 Νοεμβρίου, 1988. Μολύνει το 10% του Internet (τότε). Ζημιά $10Μ - $100Μ.

The Morris Worm Ενέργειες «Άλλαζε» το όνομά του ώστε να μην φαίνεται κάτι ύποπτο στη λίστα των processes. Εξέταζε σε ποιά μηχανήματα είναι συνδεδεμένος ο current host ώστε να συνεχίσει να μεταδίδεται. Έκανε brute force attack για να βρει τα passwords των χρηστών (το 88 τα passwords βρισκόντουσαν encrypted στο /etc/passwd). Για να μεταδοθεί εκμεταλλευόταν buffer overflows (λ.χ. στο fingerd utility).

The Morris Worm Συνέπειες Η συνειδητοποίηση ότι μια καταστροφική επίθεση μπορεί να έρθει «μέσα» από το ίδιο το σύστημα. Άλλαξε η πολιτική διαχείρισης του /etc/passwd. Ξεκίνησε η ανάπτυξη προγραμμάτων για την ανίχνευση ευπαθειών. Ο 23χρονος Robert Morris έκανε 400 ώρες community service και πλήρωσε 10000$ πρόστιμο.

The Sammy Worm but most of all, Sammy is my hero Ξεκινά να λειτουργεί στις 4 Οκτωβρίου, 2005. Στόχος: οι χρήστες του μέσου κοινωνικής δικτύωσης MySpace. Μέσα σε 20 ώρες πάνω από 1 εκατομμύριο χρήστες έχουν «μολυνθεί» κάνοντας το Sammy worm το πιο γρήγορα μεταδιδόμενο κακόβουλο λογισμικό.

The Sammy Worm Ενέργειες Εκμετάλλευση μιας XSS ευπάθειας της ιστοσελίδας. Το worm περιέχει JavaScript κώδικα που τρέχει όταν ένας χρήστης επισκέπτεται την σελίδα του Sammy. Όταν τρέξει στον browser του, τότε στέλνει ένα friend request στον Sammy. Στη συνέχεια αντιγράφει τον εαυτό του στην σελίδα του χρήστη.

The Sammy Worm XSS Attack <div id = code style = "background:url( java script:eval(document.all.code.foo) ) foo = "alert( XSS )"></div>

The Sammy Worm Συνέπειες Το πρόβλημα των XSS ευπαθειών εξετάζεται από τότε με μεγαλύτερη προσοχή. Ανάπτυξη νέων αντίμετρων. Ο Sammy κάνει 90 μέρες community service, πληρώνει $20000 και του απαγορεύεται η πλοήγηση στο διαδίκτυο για 3 χρόνια.

:( ) { : : & } ; : fork bomb!

Ransomware κακόβουλο λογισμικό που κρυπτογραφεί τα δεδομένα των χρηστών και ζητά λύτρα (συνήθως σε bitcoin)

WannaCry Ξεκινά στις 2 Μαΐου, 2017. Μέσα σε μια μέρα έχει μολύνει περισσότερους από 230.000 υπολογιστές σε 150 χώρες. Ο τρόπος που εμπλέκεται η NSA (National Security Agency) φέρνει και πάλι στο προσκήνιο τα open-ended threat models.

WannaCry Ενέργειες Εκμεταλλεύεται την ευπάθεια EternalBlue για να μολύνει έναν υπολογιστή. Πρόκειται για μια ευπάθεια που υπάρχει στην υλοποίηση του Server Message Block (SMB) πρωτοκόλλου των Windows XP! Εγκαθιστά το backdoor implant εργαλείο DoublePulsar (της NSA!). Το εργαλείο τρέχει σε kernel mode. Κάνοντας exec φορτώνει το malware στο σύστημα. Σημαντικό: το WannaCry έχει έναν ειδικό μηχανισμό για να αναγνωρίζει εαν βρίσκεται σε καραντίνα ή όχι, έτσι ώστε να μην μπορούν να το αναλύσουν οι (καλόβουλοι) ερευνητές.

WannaCry Kill Switch Συνήθως, τα sandboxed environments που χρησιμοποιούνται ως καραντίνες θέλουν να «δίνουν» την εντύπωση στο malware πως είναι online. Το WannaCry σε κάποιο σημείο έκανε ένα query σε ένα URL που δεν ήταν καταχωρημένο για αυτόν ακριβώς τον λόγο. Εαν το query ήταν πετυχημένο το malware σταματούσε να λειτουργεί!

WannaCry Συζήτηση Η NSA γνώριζε πολύ πριν για την ευπάθεια αλλά δεν την είχε ανακοινώσει (ούτε καν στην Microsoft). Την ευπάθεια (και το εργαλείο DoublePulsar), διέρρευσε μια ομάδα από hackers στις αρχές του 2017. Το patch για την ευπάθεια EternalBlue είχε βγει στις 14 Μαρτίου (σχεδόν 1.5 μήνα πριν την διάδοση του WannaCry).

Πρόληψη Δεν εκτελούμε κώδικα για τον οποίο δεν είμαστε σίγουροι για την λειτουργικότητά του. Χρησιμοποιούμε λογισμικό που εμπιστευόμαστε. Backup your backups. Χρησιμοποιούμε virus scanners (local ή online).

Τεχνικές Αναλυσης Στατική Ανάλυση - Hashes - Αντιϊκά προγράμματα Δυναμική Ανάλυση - Εργαλεία Παρακολούθησης (Monitoring Tools) - Sandboxes Προχωρημένη Ανάλυση Reverse Engineering - Disassembly - Debugging

Μελέτη Περίπτωσης Κακόβουλες Android Εφαρμογές Εξετάζοντας τις κλήσεις συστήματος (POSIX calls) που πραγματοποιούνται από καλόβουλες και κακόβουλες android εφαρμογές. Απόπειρα δημιουργίας φίλτρων.

http://www.malgenomeproject.org/

~1 million apps

100% Libraries Linking to POSIX Calls (%) 75% 50% 25% Play Store Malicious 0% 0 100 200 300 400 500 600 700 800 900 1000 1100 POSIX Calls (sorted by popularity) (ptsname, unlockpt)

400" #"of"poten)ally"malicious"applica)ons" 350" 300" 250" 200" 150" 100" 50" 0" 1" 2" 3" 4" 5" 6" 7" 8" 9" 10" 11" 12" 13" 14" 15" 16" 17" 18" 19" 20" 21" 22" 23" 24" 25" 26" #"of"an)viruses" Απλό φίλτρο (ptsname, unlockpt, setsid)

120" #"of"poten)ally"malicious"applica)ons" 100" 80" 60" 40" 20" 0" 1" 2" 3" 4" 5" 6" 7" 8" 9" 10" 11" 12" 13" 14" 15" 16" 17" 18" 19" 20" 21" 22" 23" 24" 25" 26" #"of"an)viruses" Φίλτρο βασισμένο σε ένα SVT (Support Vector Machine) classifier

70" #"of"poten)ally"malicious"applica)ons" 60" 50" 40" 30" 20" 10" 0" 1" 2" 3" 4" 5" 6" 7" 8" 9" 10" 11" 12" 13" 14" 15" 16" 17" 18" 19" 20" 21" 22" 23" 24" 25" 26" #"of"an)viruses" Εφαρμογές με obfuscated βιβλιοθήκες

Βιβλιογραφία Michael Sikorski and Andrew Honig. The Hands-On Guide to Dissecting Malicious Software. No Scratch Press, San Fransisco. 2012. Stallings, William. Computer security : principles and practice. Boston: Pearson. p. 182. 2012. ISBN:978-0-13-277506-9. Cascade.Threat Description. [Online]. Available: https://www.f-secure.com/v-descs/cascade.shtml Diomidis Spinellis. Reliable identification of bounded-length viruses is NP-complete. IEEE Transactions on Information Theory, 49(1): 280 284, January 2003. Sammy Kamkar. Technical explanation of The MySpace Worm. [Online]. Available: https://samy.pl/popular/tech.html E. H. Spafford. 1989. Crisis and aftermath. Communications of the ACM. 32, 6 (June 1989), 678-687. Vaggelis Atlidakis, Jeremy Andrus, Roxana Geambasu, Dimitris Mitropoulos, and Jason Nieh. POSIX abstractions in modern operating systems: The old, the new, and the missing. In Proceedings of the 11th European Conference on Computer Systems (EuroSys '16), pages 19:1 19:17. ACM, 2016. Σωκράτης Κάτσικας, Δημήτρης Γκρίτζαλης, Στέφανος Γκρίτζαλης. Ασφάλεια Πληροφοριακών Συστημάτων, Εκδόσεις Νέων Τεχνολογιών, Αθήνα 2004. WannaCrypt ransomware worm targets out-of-date systems". TechNet. Microsoft. May 2017. [Online]. Available: https:// blogs.technet.microsoft.com/mmpc/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/ Why governments won t let go secret software bugs. Wired. May 2017. [Online]. Available: https://www.wired.com/2017/05/ governments-wont-let-go-secret-software-bugs/ Dimitris Mitropoulos. Better safe than sorry: Backup your backups. XRDS: Crossroads, The ACM Magazine for Students, 18(2):6 6, 2012. Dimitris Mitropoulos.How 1 Million App Calls can Tell you a Bit About Malware Part 1. [Online]. Available: http://xrds.acm.org/blog/ 2016/06/1-million-app-calls-can-tell-bit-malware-part-1/ Dimitris Mitropoulos.How 1 Million App Calls can Tell you a Bit About Malware Part 2. [Online]. Available: http://xrds.acm.org/blog/ 2017/05/1-million-app-calls-can-tell-bit-malware-part-2/

2024 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια