Malware-1
Transkript
Malware-1
MALWARE MALWARE • = Malicious Software, škodlivý software, škodlivé kódy • Často chybn označováno „viry“ • Tento problém spojen výhradn s IT • Vysoké, ale často nep esné pov domí ve ejnosti ZDROJE INFIKOVÁNÍ - WEB • Nevhodný a nelegální obsah, hl. pornografie a nelegáln ší ená díla - „t etina nelegálních program umíst ných na internetu je infikovaná“ ĚP ibyl, Základní pravidla bezpečného pohybu na internetuě • Korektní stránky - Podle bezpečnostní společnosti Sophos se denn objevuje 1617ň nakažlivých webových stránek, z nichž ř0 % p estavují stránky s jinak nezávadným obsahem ĚP ibyl, Sophos varujeě ZDROJE INFIKOVÁNÍ – E-MAIL • Nákazu zp sobí: • Text v HTML, možná infikace již zobrazením náhledu • P íloha, často nezbytné otev ít, starší metoda • Častý spoofing => d v ivost DALŠÍ ZDROJE INFEKCE • Jakýkoli komunikační kanál Ěk dopravení malwaru k ob tiě • Klasické nap . IM, PŇP sít • Elektronické sociální sít , mobilní komunikační služby… • P ipojitelné k r zným typ m soubor – od spustitelných p es dokumenty po MPň ČINNOST MALWARU PO INFIKOVÁNÍ • M že d lat vše, na co naprogramován • Obvykle se snaží: • Skrýt: nap . vytvo ením mnoha i upravených kopií, vypnutím ochranných prvk … • Dále se ší it: u moderních kód už obvykle bez pomoci uživatele • V současnosti minimum destrukce, více špionáž – dáno zm nou pohnutek tv rc UKÁZKY NEJČASTĚJŠÍCH ČINNOSTÍ • • • • • Manipulace s OS, programy a soubory na disku, ale t eba i CD/DVD mechanikou, vč. zm ny lokálního záznamu DNS Získávání konkrétních či všech informací o uživateli a jejich odesílání, vč. pohybu myši a signálu z mikrofonu či kamery Vydírání uživatele Ěransomware) – zaplať a dostaneš zp t svoje data Stahování a instalace dalšího malwaru (dropper) Zneužití k nelegálním činnostem Ěuložení dat, rozesílání spamu…ě, až plné ovládnutí počítače, často používáno k dDoS či jako proxy serveru MOŽNOST ODHALENÍ – NEOBVYKLÉ CHOVÁNÍ • Zm na velikosti, názv nebo obsahu soubor • Zmenšování volného místa na disku • Zpomalení výkonu počítače nebo p ipojení k internetu • Nečekan vysoká aktivita na disku nebo na internetu • Samospoušt ní neznámých program • Poruchy program a OS VIRY • • • • • První typ malwaru, dnes se tém nevyskytují „Historicky je počítačový virus program, který napadne spustitelný nebo p eložený Ěobjectě soubor.“ ĚKlander, s. ňŘ5ě - HOSTITEL Termín poprvé použil Fred Cohen v roce 1řŘň a p edvedl ukázku Další možné člen ní: bootovací, souborové, stealth, polymorfní, generické…, makroviry Ěs OS Win95) První virus v ob hu = bootovací virus Brain v r. 1řŘ7, o rok pozd ji pro n j vydán antivir DĚLENÍ VIRŮ • boot viry (Boot Viruses) – napadají boot sektor, MBR a tím si zajistí své spušt ní hned p i startu počítače • souborové viry (File Viruses) – jejich hostitelem jsou soubory, podle zp sobu infekce se d lí souborové viry na p episující, parazitické a doprovodné • multipartitní viry (Multipartite Viruses) – napadají více částí Ěboot sektor i soubory) • makroviry (Macroviruses) – ší í se v prost edí aplikací podporujících makra (MS Word, MS Excel) VLASTNOSTI VIRŮ • současné počítačové viry nemohou poškodit technické vybavení počítače, mohou však smazat obsah pam ti • existují „mýty“ o poškozování FDD, HDD, monitor apod., v tšinou však jde o chybn navržená za ízení • formátováním pevného disku se virus nemusí vždy odstranit, neboť kód viru m že být zapsán ješt v Master Boot Recordu (MBR) PROJEVY POČÍTAČOVÝCH VIRŮ • destrukce dat • zobrazování r zných zpráv na obrazovce • vyluzování r zných zvuk a melodií (Yankee Doodle) • vtipkování s uživatelem (vkládání vtipných komentá do textových soubor , r zné animace, ...) • simulace selhání technického vybavení • zpomalování činnosti počítače ČERVI • Dnes mnohem čast jší než viry – ší í se rychleji, mohou mít více funkcí (spojení kategorií) • Mohou se ší it samostatn , vždy ale v síťovém prost edí • Kontakty z adresá , uložené, stanovené IP adresy, kombinace doménových jmen… • Další d lení: e-mailové, síťové • Často SI, spooofing • 1. Worm (R. T. Morris) 2.11.1988 – v napadeném počítači se množil a rozesílal, až počítač „zamrzl“ TROJSKÉ KONĚ • Nereplikují se, ale umož ují ovládnutí systému • „…se na první pohled chová jako zcela legální program, ve skutečnosti však tajn provádí škodlivé operace“ • Nejčast ji spojeny se zadními vrátky (backdoor) oPASSWORD STEALING - TROJANI (PWS) oSKUPINA TROJSKÝCH KONÍ, KTERÁ OBVYKLE SLEDUJE JEDNOTLIVÉ STISKY KLÁVES ĚKEYLOGGERSě ů TYTO UKLÁDÁ ů NÁSLEDN I ODESÍLÁ Nů DůNÉ EMAILOVÉ ADRESY. MůJITELÉ T CHTO EMůILOVÝCH ůDRES ĚNEJČůST JI SůMOTNÍ ůUTO I TROJSKÉHO KON ě TůK MOHOU ZÍSKůT I VELICE D LEŽITÁ HESLA. TENTO TYP INFILTRACE LZE KLASIFIKOVAT I JAKO SPYWARE. oDESTRUKTIVNÍ TROJAN oKLůSICKÁ FORMů, POD KTEROU JE POJEM TROJSKÝCH KONÍ OBECN CHÁPÁN. POKUD JE TůKOVÝ TROJSKÝ K SPUŠT N, PůK LIKVIDUJE SOUBORY Nů DISKU, NEBO HO ROVNOU KOMPLETN ZFORMÁTUJE. DO TÉTO KůTEGORIE M ŽEME Zů ůDIT I V TŠINU BůT TROJůN , TJ. ŠKODLIVÝCH DÁVKOVÝCH SOUBOR S P ÍPONOU BůT. V TOMTO P ÍPůD M ŽE P EKVůPIT SNůD JEN OBČůSNÉ JEDNODUCHÉ KÓDOVÁNÍ OBSůHU, DÍKY ČEMUŽ NENÍ Nů PRVNÍ POHLED Z EJMÉ, CO TůKOVÝ KÓD PROVÁDÍ. SPYWARE • • • • • „Špehovací“ software – informace ukládá a v tšinou odesílá Často t žké odhalit – vznik z korektních d vod Ěd ti, zam stnanci…ě Problém rozlišení využití a zneužití Ěmarketing, pomoc uživateli, licence za informace…ě – podstatné seznámení uživatele se špehováním Reáln Ěnelegáln ě lze i dnes umístit na ve ejn dostupné počítače – problém d v ryhodnosti správc „Legální“ placené aplikace ADWARE -Jde o produkt, který znep íjem uje práci s PC reklamou - Typickým p íznakem jsou „vyskakující“ pop-up reklamní okna b hem surfování, společn s vnucováním stránek Ěnap . výchozí stránka internet exploreruě, o které nemá uživatel zájem. část adware je doprovázena tzv. „eula“ - end user license agreement – licenčním ujednáním. uživatel tak v ad p ípad musí souhlasit s instalací. SLEDOVANÉ INFORMACE • Informace o za ízení i uživateli • Již bylo shromažďováno: p ehled nainstalovaných program Ěvč. registračních údaj ě, historie navštívených stránek, využité odkazy, založené weby, časové období používání počítače/internetu, hesla a uživatelská jména, text e-mail atd. • Ohrozitelná jakákoli digitální stopa • I korektn získané bylo zneužito ĚToysmartě MÉNĚ ZNÁMÉ KATEGORIE • Keylogger: monitorují stisknuté klávesy • Cookie a webbug: spyware na webu, i legální • Backdoor/bot: otvírá skrytou cestu pro ovládnutí za ízení, vytvá í zombie • Browser Hijacker: m ní nastavení webového prohlížeče • Dropper: po infikaci nainstalují množství neseného malwaru • Downloader: další malware stahují z definovaných web • Logická bomba: má určen spoušt cí pokyn pro škodlivou rutinu • Password Stealer: určený speciáln k odcizování hesel • Rootkit: pracuje na nízké úrovni OS, takže umí skrýt sebe i další aplikace a m ní zp sob práce systému, proto jej bezpečnostní programy špatn detekují a odstra ují • Ransomware: blokuje p ístup k dat m a vydírá PŘÍKLADY • 1řŘř „ůIDS Information Diskette Incident“ – Ň0 tis. dopis s infikovanou disketou, která m la obsahovat informace o ůIDS, ale zašifroval soubory na disku, klíč m l být doručen po finanční úhrad • 2000 ILoveYou - „bližší informace o vysoké finanční transakci na Vašem účtu najdete v p íloze“ Ěinfikoval 10 % počítač p ipojených k internetu) • 2000 United Bank of Switzerland – zam stnanc m e-mail „žádost o zam stnání“ – šel po heslech • 2001 Anna Kournikova – jeden z prvních z generátoru • 2001 Code Red – jeden z prvních hacktivism Ětvá il se z Čínyě • Ň005 Sony BMG prodávala CD obsahující rootkit, který m l sloužit jako ochrana p ed nelegálními kopiemi • 2009 Ikee – cílem odblokované iPhone (instalace neautorizovaného) • 2010 – Stuxnet OCHRANA - DŮVODY • Ochrana vlastních dat i identity • Ochrana vlastní bezúhonnosti – zneužití počítače na dálku k nelegálním činnostem • Úspora času a nerv OCHRANA – CHOVÁNÍ UŽIVATELŮ • Pozor na problematický obsah • Vše stažené prov it • Opatrná práce s e-maily a jejich p ílohami (dle odesilatele, pak obsahu, problematické hned smazat) • Stahování a instalace jen toho, co uživatel opravdu pot ebuje • Číst varování, hlášení, certifikáty… OCHRANA – BEZPEČNOSTNÍ APLIKACE • • • • • • ůntiviry = první bezpečnostní aplikace Od té doby se zm nily ony i hrozby, proti kterým stojí Velmi r znorodé Ěspecializované X všeobecné, r zné techniky, nástroje, nastavení…ě Obecn chrání nejen proti vir m Specializované – antirootkit, antispyware Firewall – ochrana proti necht nému transferu dat Ěkontrola pakt , uzav ení port , odhalení skenování port …ě FUNKCE „ANTIMALWARU“ • Porovnávání signatur Ěnejstaršíě • Heuristická analýza (najde i nový malware) • Analýza chování • Kontrola integrity • Sledování veškeré komunikace Ěhl. e-mail a p ílohě • Rezidentní a nerezidentní ochrana • Automatické aktualizace