Malware-1

MALWARE
MALWARE
• = Malicious Software, škodlivý software,
škodlivé kódy
• Často chybn označováno „viry“
• Tento problém spojen výhradn s IT
• Vysoké, ale často nep esné pov domí
ve ejnosti
ZDROJE INFIKOVÁNÍ - WEB
•
Nevhodný a nelegální obsah, hl. pornografie a
nelegáln ší ená díla - „t etina nelegálních
program umíst ných na internetu je
infikovaná“ ĚP ibyl, Základní pravidla
bezpečného pohybu na internetuě
•
Korektní stránky - Podle bezpečnostní
společnosti Sophos se denn objevuje 1617ň
nakažlivých webových stránek, z nichž ř0 %
p estavují stránky s jinak nezávadným
obsahem ĚP ibyl, Sophos varujeě
ZDROJE INFIKOVÁNÍ – E-MAIL
• Nákazu zp sobí:
• Text v HTML, možná infikace již zobrazením
náhledu
• P íloha, často nezbytné otev ít, starší metoda
• Častý spoofing => d v ivost
DALŠÍ ZDROJE INFEKCE
• Jakýkoli komunikační kanál Ěk dopravení
malwaru k ob tiě
• Klasické nap . IM, PŇP sít
• Elektronické sociální sít , mobilní komunikační
služby…
• P ipojitelné k r zným typ m soubor – od
spustitelných p es dokumenty po MPň
ČINNOST MALWARU PO
INFIKOVÁNÍ
• M že d lat vše, na co naprogramován
• Obvykle se snaží:
• Skrýt: nap . vytvo ením mnoha i upravených kopií,
vypnutím ochranných prvk …
• Dále se ší it: u moderních kód už obvykle bez
pomoci uživatele
• V současnosti minimum destrukce, více
špionáž – dáno zm nou pohnutek tv rc
UKÁZKY NEJČASTĚJŠÍCH
ČINNOSTÍ
•
•
•
•
•
Manipulace s OS, programy a soubory na disku,
ale t eba i CD/DVD mechanikou, vč. zm ny
lokálního záznamu DNS
Získávání konkrétních či všech informací o uživateli
a jejich odesílání, vč. pohybu myši a signálu z
mikrofonu či kamery
Vydírání uživatele Ěransomware) – zaplať a
dostaneš zp t svoje data
Stahování a instalace dalšího malwaru (dropper)
Zneužití k nelegálním činnostem Ěuložení dat,
rozesílání spamu…ě, až plné ovládnutí počítače,
často používáno k dDoS či jako proxy serveru
MOŽNOST ODHALENÍ –
NEOBVYKLÉ CHOVÁNÍ
• Zm na velikosti, názv nebo obsahu
soubor
• Zmenšování volného místa na disku
• Zpomalení výkonu počítače nebo p ipojení
k internetu
• Nečekan vysoká aktivita na disku nebo na
internetu
• Samospoušt ní neznámých program
• Poruchy program a OS
VIRY
•
•
•
•
•
První typ malwaru, dnes se tém nevyskytují
„Historicky je počítačový virus program, který
napadne spustitelný nebo p eložený Ěobjectě
soubor.“ ĚKlander, s. ňŘ5ě - HOSTITEL
Termín poprvé použil Fred Cohen v roce 1řŘň
a p edvedl ukázku
Další možné člen ní: bootovací, souborové,
stealth, polymorfní, generické…, makroviry Ěs
OS Win95)
První virus v ob hu = bootovací virus Brain v r.
1řŘ7, o rok pozd ji pro n j vydán antivir
DĚLENÍ VIRŮ
•
boot viry (Boot Viruses) – napadají boot sektor, MBR
a tím si zajistí své spušt ní hned p i startu počítače
•
souborové viry (File Viruses) – jejich hostitelem jsou
soubory, podle zp sobu infekce se d lí souborové
viry na p episující, parazitické a doprovodné
•
multipartitní viry (Multipartite Viruses) – napadají
více částí Ěboot sektor i soubory)
•
makroviry (Macroviruses) – ší í se v prost edí aplikací
podporujících makra (MS Word, MS Excel)
VLASTNOSTI VIRŮ
•
současné počítačové viry nemohou poškodit
technické vybavení počítače, mohou však smazat
obsah pam ti
•
existují „mýty“ o poškozování FDD, HDD, monitor
apod., v tšinou však jde o chybn navržená za ízení
•
formátováním pevného disku se virus nemusí vždy
odstranit, neboť kód viru m že být zapsán ješt
v Master Boot Recordu (MBR)
PROJEVY POČÍTAČOVÝCH VIRŮ
•
destrukce dat
•
zobrazování r zných zpráv na obrazovce
•
vyluzování r zných zvuk a melodií (Yankee Doodle)
•
vtipkování s uživatelem (vkládání vtipných komentá
do textových soubor , r zné animace, ...)
•
simulace selhání technického vybavení
•
zpomalování činnosti počítače
ČERVI
•
Dnes mnohem čast jší než viry – ší í se rychleji,
mohou mít více funkcí (spojení kategorií)
•
Mohou se ší it samostatn , vždy ale v síťovém
prost edí
•
Kontakty z adresá , uložené, stanovené IP adresy,
kombinace doménových jmen…
•
Další d lení: e-mailové, síťové
•
Často SI, spooofing
•
1. Worm (R. T. Morris) 2.11.1988 – v napadeném
počítači se množil a rozesílal, až počítač „zamrzl“
TROJSKÉ KONĚ
• Nereplikují se, ale umož ují ovládnutí
systému
• „…se na první pohled chová jako zcela
legální program, ve skutečnosti však tajn
provádí škodlivé operace“
• Nejčast ji spojeny se zadními vrátky
(backdoor)
oPASSWORD STEALING - TROJANI (PWS)
oSKUPINA TROJSKÝCH KONÍ, KTERÁ OBVYKLE SLEDUJE JEDNOTLIVÉ STISKY
KLÁVES ĚKEYLOGGERSě ů TYTO UKLÁDÁ ů NÁSLEDN I ODESÍLÁ Nů DůNÉ EMAILOVÉ ADRESY. MůJITELÉ T CHTO EMůILOVÝCH ůDRES ĚNEJČůST JI
SůMOTNÍ ůUTO I TROJSKÉHO KON ě TůK MOHOU ZÍSKůT I VELICE D LEŽITÁ
HESLA. TENTO TYP INFILTRACE LZE KLASIFIKOVAT I JAKO SPYWARE.
oDESTRUKTIVNÍ TROJAN
oKLůSICKÁ FORMů, POD KTEROU JE POJEM TROJSKÝCH KONÍ OBECN
CHÁPÁN. POKUD JE TůKOVÝ TROJSKÝ K
SPUŠT N, PůK LIKVIDUJE
SOUBORY Nů DISKU, NEBO HO ROVNOU KOMPLETN ZFORMÁTUJE. DO TÉTO
KůTEGORIE M ŽEME Zů ůDIT I V TŠINU BůT TROJůN , TJ. ŠKODLIVÝCH
DÁVKOVÝCH SOUBOR S P ÍPONOU BůT. V TOMTO P ÍPůD M ŽE P EKVůPIT
SNůD JEN OBČůSNÉ JEDNODUCHÉ KÓDOVÁNÍ OBSůHU, DÍKY ČEMUŽ NENÍ Nů
PRVNÍ POHLED Z EJMÉ, CO TůKOVÝ KÓD PROVÁDÍ.
SPYWARE
•
•
•
•
•
„Špehovací“ software – informace ukládá a
v tšinou odesílá
Často t žké odhalit – vznik z korektních
d vod Ěd ti, zam stnanci…ě
Problém rozlišení využití a zneužití Ěmarketing,
pomoc uživateli, licence za informace…ě –
podstatné seznámení uživatele se špehováním
Reáln Ěnelegáln ě lze i dnes umístit na
ve ejn dostupné počítače – problém
d v ryhodnosti správc
„Legální“ placené aplikace
ADWARE
-Jde o produkt, který znep íjem uje práci s PC reklamou
- Typickým p íznakem jsou „vyskakující“ pop-up reklamní okna
b hem surfování, společn s vnucováním stránek Ěnap .
výchozí stránka internet exploreruě, o které nemá uživatel
zájem. část adware je doprovázena tzv. „eula“ - end user
license agreement – licenčním ujednáním. uživatel tak v ad
p ípad musí souhlasit s instalací.
SLEDOVANÉ INFORMACE
•
Informace o za ízení i uživateli
•
Již bylo shromažďováno: p ehled
nainstalovaných program Ěvč. registračních
údaj ě, historie navštívených stránek, využité
odkazy, založené weby, časové období
používání počítače/internetu, hesla a
uživatelská jména, text e-mail atd.
•
Ohrozitelná jakákoli digitální stopa
•
I korektn získané bylo zneužito ĚToysmartě
MÉNĚ ZNÁMÉ KATEGORIE
•
Keylogger: monitorují stisknuté klávesy
•
Cookie a webbug: spyware na webu, i legální
•
Backdoor/bot: otvírá skrytou cestu pro ovládnutí za ízení, vytvá í
zombie
•
Browser Hijacker: m ní nastavení webového prohlížeče
•
Dropper: po infikaci nainstalují množství neseného malwaru
•
Downloader: další malware stahují z definovaných web
•
Logická bomba: má určen spoušt cí pokyn pro škodlivou rutinu
•
Password Stealer: určený speciáln k odcizování hesel
•
Rootkit: pracuje na nízké úrovni OS, takže umí skrýt sebe i další
aplikace a m ní zp sob práce systému, proto jej bezpečnostní
programy špatn detekují a odstra ují
•
Ransomware: blokuje p ístup k dat m a vydírá
PŘÍKLADY
•
1řŘř „ůIDS Information Diskette Incident“ – Ň0 tis. dopis
s infikovanou disketou, která m la obsahovat informace o ůIDS, ale
zašifroval soubory na disku, klíč m l být doručen po finanční úhrad
•
2000 ILoveYou - „bližší informace o vysoké finanční transakci na
Vašem účtu najdete v p íloze“ Ěinfikoval 10 % počítač p ipojených k
internetu)
•
2000 United Bank of Switzerland – zam stnanc m e-mail „žádost o
zam stnání“ – šel po heslech
•
2001 Anna Kournikova – jeden z prvních z generátoru
•
2001 Code Red – jeden z prvních hacktivism Ětvá il se z Čínyě
•
Ň005 Sony BMG prodávala CD obsahující rootkit, který m l sloužit
jako ochrana p ed nelegálními kopiemi
•
2009 Ikee – cílem odblokované iPhone (instalace neautorizovaného)
•
2010 – Stuxnet
OCHRANA - DŮVODY
• Ochrana vlastních dat i identity
• Ochrana vlastní bezúhonnosti – zneužití
počítače na dálku k nelegálním činnostem
• Úspora času a nerv
OCHRANA – CHOVÁNÍ
UŽIVATELŮ
• Pozor na problematický obsah
• Vše stažené prov it
• Opatrná práce s e-maily a jejich p ílohami
(dle odesilatele, pak obsahu, problematické
hned smazat)
• Stahování a instalace jen toho, co uživatel
opravdu pot ebuje
• Číst varování, hlášení, certifikáty…
OCHRANA – BEZPEČNOSTNÍ
APLIKACE
•
•
•
•
•
•
ůntiviry = první bezpečnostní aplikace
Od té doby se zm nily ony i hrozby, proti
kterým stojí
Velmi r znorodé Ěspecializované X všeobecné,
r zné techniky, nástroje, nastavení…ě
Obecn chrání nejen proti vir m
Specializované – antirootkit, antispyware
Firewall – ochrana proti necht nému transferu
dat Ěkontrola pakt , uzav ení port , odhalení
skenování port …ě
FUNKCE „ANTIMALWARU“
• Porovnávání signatur Ěnejstaršíě
• Heuristická analýza (najde i nový malware)
• Analýza chování
• Kontrola integrity
• Sledování veškeré komunikace Ěhl. e-mail
a p ílohě
• Rezidentní a nerezidentní ochrana
• Automatické aktualizace