Rok červa

Rok červa
Tomáš Vobruba; [email protected]
AEC, spol. s r.o.
Rok 2003 byl zatím nejhorší ze
všech
2
Ohlédnutí za rokem 2003
• V roce 2003 oslavila virová scéna 20 let.
• Rok 2003 ukázal obrovský nárůst popularity síťových
červů.
• Počet známých virů dosáhnul hodnoty 90 tisíc.
• V roce 2003 jedna antivirová společnost zaznamenala
celkem sedm masivních virových útoků.
• V roce 2002 o byly pouze dva útoky.
• V roce 2003 bylo zaznamenáno 28 alertů druhé úrovně
• V roce 2002 jich bylo o tři méně.
• 5 případů z loňského roku naznačuje směr vývoje:
• Slammer, Bugbear.B, Blaster, Sobig.F a Swen
3
Ohlédnutí za rokem 2003
• Leden – zaútočil Slammer, největší útok v historii
Internetu. Byla objevena první verze Sobigu -> Sobig.A.
• Únor – Lovgate.A – virus, který se pokoušel uhádnout
hesla uživatelů a infikovat počítač přes sdílení v síti.
• Březen – Ganda virus – virus poukazující na válku v
Iráku.
• Květen – Fizzer – virus, který ukazuje na propojení se
spamery.
• Červen – Bugbear.B atakuje banky po celém světě.
- Další exklusivní varianty Sobigu -> Sobig.D a
Sobig.E.
4
Ohlédnutí za rokem 2003
• Srpen – nejhorší měsíc v historii virů – Blaster, Welchi,
Sobig.F, první varianta viru Mimail.
• Září – Swen – způsoboval problémy s e-mail komunikací
ještě měsíc poté. Mimail.B a Vote.K – viry k výročí 11.
září 2001.
• Říjen – Sober – virus, který se tváří jako e-mail z
antivirových firem.
• Listopad – Mimail.E varianta útočila na antispamové
servery a snažila se ukrást informace o kreditních
kartách.
5
Síťoví červi
• Tento typ škodlivých kódů si žel získává stále větší
pozornost administrátorů a bezpečnostních analytiků.
• Donedávna bylo sice rozpracováno několik konceptů
šíření síťových červů, tyto ale zůstávaly především v
teoretické rovině.
• Historie síťových červů se začala psát s Morrisovým
červem (listopad 1988). Jejich opravdový nástup začal
červem Code Red v roce 2001 a v širším měřítku v roce
2002. Červi z roku 2003 pokračují v zahájeném trendu.
Úspěšných červů sice nebylo kvantitativně mnoho, ale
přesto způsobili výrazný nárůst síťového provozu, který
v některých případech vedl ke zkolabování sítě.
6
Denial of Service útok
Dostupnost služby/zdroje je
úmyslně blokována nebo
degradována.
Útok zamezuje dostupnost nebo
přístup ke službě jeho regulérními
uživateli.
7
DDoS Attack
T
A
8
Současné případy
• Slammer
• Welchi
• MSBlast
• Bugbear
• Swen
• Sobig
9
Případ Bugbear.B
• Detekován byl 5. června 2003.
• Bugbear verze B se šířil především prostřednictvím
elektronické pošty.
• Pro své šíření prostřednictvím elektronické pošty
využíval Bugbear.B vestavěný SMTP motor.
• E-mailový červ kradl mimo jiných informací i hesla ze
systému a posílal je na předdefinované adresy.
• Virus také sebou nesl seznam IP adres 1300
amerických, evropských, afrických, australských a
asijských bank.
• Za zmínku určitě stojí: vub.sk, slsp.sk, nbs.sk,
istrobanka.sk a basl.sk .
10
Případ Bugbear.B
11
Případ Blaster,Lovsan, MSBlast
• Detekován byl 11. srpna 2003.
• Červ je velmi podobný svým chování Slammeru.
• Zneužíval bezpečnostní díry v RPC službě na MS Windows
XP a 2000.
• Zajímavé je, že bezpečnostní slabina, kterou využíval,
byla zveřejněna pouhý měsíc předem!
• Cílem DDoS útok vůči windowsupdate.com
• Přestože útok nebyl úspěšný, doména byla zrušena, a
tím vlastně virus vyhrál.
12
Lovsan,MSBlast,Blaster
13
Welchi – hodný strýček virus
• Welchi byl bratříček MSBlastu.
• Zneužíval stejnou slabinu a šířil se stejně.
• Na druhou stranu na zranitelném počítači provedl
stažení opravy a její instalaci.
• Dosti kontroverzní způsob boje proti virům.
• Welchi generoval o dost vyšší síťový provoz než jeho
bratříček.
• Oba viry způsobili poměrně velké problémy komerčním
firmám a poprvé zde také mluvíme o reálném výpadku
reálných služeb!
14
Případ Sobig.F
• O týden později (19. srpna 2003) se objevil Sobig.F.
• Nejhorší emailový červ ze všech. Po celém světě stihnul
rozeslat přes 300 000 000 infikovaných emailů.
• AOL 20. srpna 2003 reportoval 20 000 000 infikovaných
e-mailů za 24 hodin.
• Vypadá to, že za skupinou červů Sobig stojí více než
jeden amatérský pisatel.
• Různé varianty se chovají různě, ale všechny mají
explicitní dobu šíření.
• Důvod je jasný, vyklidit „pole“ dokonalejšímu
bratříčkovi.
• Sobig.F obsahoval zašifrovanou rutinu, a příkaz, že v
určitou dobu si má napadený počítač stáhnout cosi z 20
předdefinovaných serverů.
• Na odhalení spolupracovala i FBI.
15
Případ Sobig.F
16
Případ Swen
• Swen se začal šířit 18. září 2003.
• Objevil se nový problém – VELMI dokonalé sociální
inženýrství.
• Swen se maskoval jako originální záplata od Microsoftu!
• Alarmem by mělo být, že Microsoft nikdy nerozesílá
hotfixy e-mailem.
• Swen nevypadal jako nějaký vážnější problém, bohužel
nejvíce problémům přinesl ISP, protože Swen generoval
náhodné emailové adresy. Spousta z nich byla
neexistujících, což přinášelo problémy právě ISP.
17
Případ Swen
18
SPAM
19
Pisatele virů a SPAM
• Sbírání e-mailových adres.
• Zřízení e-mailových serverů.
• Zřízení webových serverů k nabízení
zboží.
• Útoky proti antispamovým serverům.
20
Oni spolupracují!
Ocituji tady svého kolegu ze společnosti F-Secure, Mikka
Hyponnena:
„Suddenly the nature of our counterpart has changed
completely. Our enemy used to be amateurs who wrote
viruses for the fun of it. Now viruses are generated by
spammer gangs, who develop viruses professionally".
Přeloženo do češtiny:
„Náhle se povaha našeho protivníka kompletně změnila.
Náš nepřítel býval amatér, který psal viry jen tak pro
zábavu. Dnes jsou viry vytvářeny skupinami spamerů,
kteří vyvíjejí viry profesionálně“
21
Případ Mimail.E
• Jedná se o velmi blízkou variantu viru Mimail.C
• Mimail.E je přesně tím typem emailového červa, který
se pokusil o DDoS útok na antispamové servery:
spamhaus.org
spamcop.net
www.spews.org
www.spamhaus.org
www.spamcop.net
• Což nás vede k domněnce o organizovanosti a
propojenosti spamerů a pisatelů virů. V horším případě
spamer = virus writer.
• Mimo jiné pochopitelně zkouší ukrást data z aplikace
E-gold a odeslat informace na e-mailové adresy.
22
Viry a kritická infrastruktura
Rok 2003 zahrnoval nejenom problémy virů, ale také
ukázal reálné problémy s útoky virů:
• Slammer dokázal dramaticky snížit průchodnost
•
•
•
•
celého Internetu.
Chyba v RPC způsobila díky viru Welchi, Blaster
zastavení letového provozu.
Chyba RPC způsobila výpadek bankomatů v USA.
Blaster taktéž způsobil zastavení vlakové sítě.
S virem je spojována také mediální kauza výpadku
el. proudu v USA.
23
Typický dnešní scénář průniku
• Kanál do vnitřní sítě (dial-up, ISDN, Wi-Fi…), který obchází
firewall.
• Tento kanál není dostatečně zabezpečen: antivir nemusí stačit
(několik minut po vypuštění červa jistě nebude mít aktuální báze,
běží nad děravým OS), nutný je dobře nastavený a fungující
personální firewall.
• Ve vnitřní síti je antivirem nechráněný stroj, na kterém existuje
červem zneužívaná bezpečnostní chyba. Stroj je infikován a stejně
tak všechny ostatní nechráněné stroje. Jsou generována kvanta
hlášení o infekci a admin je zahlcen virovými hlášeními.
• Telefonát na hot-line: „Ten váš antivir mi nefunguje a mám
zavirovanou celou síť.“
24
Slammer (Sapphire, Helkern)
První výskyt: 25. ledna 2003.
Historicky první „zhmotnění“ jedné z nejhorších variant
síťových červů.
Prozatím nejrychlejší sítový červ v historii – během 10 minut
infikoval více než 90 procent infikovatelných strojů.
25
Slammer (Sapphire, Helkern)
• Během první minuty šíření se počet infikovaných strojů
zdvojnásobil každých 8,5 sekundy!
• Asi po třech minutách působení dosáhl plné skenovací
rychlosti: 55 000 000 skenů za sekundu!!!
• Většina infikovatelných strojů byla nakažena do 10 minut od
vypuštění červa. Celkem asi 75 000 strojů.
26
Slammer
27
Slammer
28
Slammer x Code Red
Slammer byl o dva řády rychlejší než
Code Red:
Populace červů Slammer se zdvojnásobila každých 8,5 sekund!
Populace červů Code Red se zdvojnásobila každých 37 minut!
Proč byl Slammer tak rychlý?
TCP-SYN x UDP pakety.
29
Slammer
•
Slammer má pouhých 376 bytů!!! Zde je jeho nejdůležitější část:
•
BufferOverrun (gets into vulnerabe machine)
•
Gets Win32 APIs (GetTickCount, socket, send)
•
"socket" : opens socket
•
Loop:
•
IP = "GetTickCount"
•
"send" my-code-to-IP
•
goto Loop
•
To je vše. Důsledky: znepřístupnění 5 ze 13 internetových kořenových
jmenných serverů (root nameservers), problémy s dostupností 13,000
automatů Bank of America, zrušené lety, znepřístupnění systémů v
jaderné elektrárně Davis-Beese atd.
30
Jeden praktický příklad za
všechny
Síťový červ Slammer proniknul do sítě jaderné elektrárny DavisBesse v Ohiu a vyřadil na několik hodin z provozu dva systémy,
které se podílejí na monitorování reaktoru.
Zdroj: http://www.securityfocus.com/news/6767
31
Jaderná elektrárna Davis-Besse
Chronologie událostí byla následující:
• Uživatelé obchodní sítě firmy Davis-Besse
zaznamenali její snížený výkon ve stejné chvíli,
kdy se objevily problémy způsobené Slammerem
po celém světě.
• Z obchodní sítě červ proniknul do sítě elektrárny,
kde našel minimálně jeden nezaplátovaný server.
• Kolem 16.00 zaznamenali operátoři elektrárny
snížený výkon sítě v elektrárně.
32
Jaderná elektrárna Davis-Besse
Chronologie událostí:
• V 16.50 zahlcuje červ síť natolik, že přestává
fungovat zobrazování na panelu SPDS (Safety
Parameter Display System). SPDS monitoruje
většinu klíčových indikátorů elektrárny (např.
chladící systémy, klíčové teplotní senzory, vnější
senzory radiace atd.). Mnoho z nich musí být
pečlivě sledováno, i když je elektrárna „off-line“.
• V 17.13 zkolaboval další, ne tak kritický,
monitorovací systém – „Plant Process
Computer“.
33
Jaderná elektrárna Davis-Besse
Důsledky:
• SPDS byl zprovozněn po čtyřech hodinách a padesáti minutách a
PPC po více než šesti hodinách.
• Incident naštěstí neměl závažné důsledky, protože záložní
systém zůstal červem nedotčen a navíc byl reaktor v té době
odstaven. Každopádně je ale z této situace zřejmé, že za určitých
podmínek mohou škodlivé kódy ovlivnit klíčové systémy.
• Povrchní závěr - vlastně se nic nestalo.
• Ale doposud byly zmíněny jen problémy způsobené vysokým
zatížením sítě! Položme si ale otázku – na jaké aplikace červ útočí?
Co mohl útočník (teoreticky) získat?
34
Válka v Iráku
• Válka, která začala vloni na jaře vzedmula vlnu obav, co
se na bojovém poli internetu stane.
• Útoky se pochopitelně objevily a byly následujícího
charakteru:
• DoS útok vůči Al-Džazíra TV stanici.
• DoS útok vůči britskému Ministerskému předsedovi.
• Webové útoku vůči serverům US Army, Navy, Air
Forces.
• Několik virů.
• Několik dalších webů, na kterých byl citován Korán.
35
Válka v Iráku
Počet útoků po
začátku války byl
20krát vyšší než
týden předtím.
• http://www.f-secure.com/virus-info/iraq.shtml
36
Cesta k ochraně počítače
•
•
•
•
Pravidelně aplikujte opravy na váš operační
systém.
Vypínejte počítač nebo se odpojte od
počítačové sítě, vždy když jej nepoužíváte.
Instalujte antivirové programy, které se
automaticky aktualizují.
Instalujte personální firewally – to se týká i
stanic uvnitř podnikové sítě. O mobilních
nebo domácích stanicích nemluvě
37
Budoucnost
• Můžeme čekat, že dojde k ještě větší
profesionalizaci.
• Zatím nebyly prokázány žádné útoky virů
zaměřené schválně vůči nějaké síti či firmě,
které by byly úspěšné.
• Tady můžeme čekat, že se něco brzo objeví.
• Hodně se mluví o zkracování intervalu mezi
odhaleným exploitem a novým červem.
• Mluví se dokonce o červech zneužívající
neznámé chyby.
38
Dotazy?
Děkuji
za
pozornost
39