Curs 3

Aplicatii malware

Tipuri de atacuri in Internet

Migrarea atacurilor spre Web

Securitate la nivelul sistemului de operare

Malware Hall of Fame

virusi;

viermi;

troieni (termen ce descrie mai degraba un comportament);

rogue security software (scam software), scareware;

rootkit-uri;

spyware; (Google)

adware;

dialer-e;

botnets & zombies;

crypto-ransomware.

Forme ale programelor malware datorita

utilizatorului uman – principala vulnerabilitate

toolbar-uri;

screensaver-e;

codec-uri;

plugin-uri pentru browsere (controale

ActivX), plugin-uri pentru clientii retelelor de

mesagerie instant;

fake antivirus, antispyware, antiadware.

Vectori si tehnici de raspandire

retele P2P, software piratat, keygen-uri;

vulnerabilitatii in aplicatiile desktop ale utilizatorilor (de obicei in browsere), vulnerabilitati ale pluginurilor (flash, pdf, java) - spre deosebire de viermi care se bazeaza pe vulnerabilitati server side pentru replicare;

retele de afiliere, publicitate si pop-uri agresive, tehnici de social engineering (scareware);

software freeware, addware, shareware (utilizatorii nu citesc aproape niciodata License Agreement-ul).

Malware vs. Privacy-Invasive Software vs.

Legitimate Software

Caracteristici Spyware:

Gradul de consimtamant din partea utilizatorului in instalarea softului;

Nivelul impactului negativ asupra utilizatorului si a calculatorului sau.

Culeg:

date mai putin confidentiale (online user behavior); date folosite ulterior de aplicatii addware;

date confidentiale (nume de utilizator, parole, date bancare).

Consimta-

mant Impact

redus mediu ridicat

sever malware spyware

spyware

moderat spyware

spyware spyware

tolerabil spyware

spyware

software

legitim

Exemple malware: New.net

http://en.wikipedia.org/wiki/New.net

Exemple:

Sony BMG copy protection rootkit

http://en.wikipedia.org/wiki/Sony_BMG_copy_protection_rootkit_scandal

Botnets & Zombie computers

Botnet

calculatoare infectate cu diferite aplicatii malware aflate sub controlul aceleiasi organizatii sau individ (bot herder).

Zombie

calculator infectat ce face parte dintr-un botnet.

Scopuri: in principal financiare

Spam;

Flood & DDOS;

Crypto Mining;

Furtul de date bancare, seriale software.

Botnets (exemple)

Data Nume

Numar de calculatoare

zombie controlate

Capacitate

spam-uri / zi

2016 Mirai 380,000

Device-uri IoT Linux (camere

IP sau routere)

2013 Chameleon 120,000

6 million $/lunar afisarea de

reclame

2009 BredoLab 30,000,000 3.6 miliarde

2008 Mariposa 12,000,000 NA

NA Conficker 10,500,000 10 miliarde

2007 Cutwail 1,500,000 74 miliarde

NA Grum 560,000 39.9 miliarde

2007 Srizbi 450,000 60 miliarde

2006 Rustock 150,000 30 miliarde

Vulnerabilitati in cadrul sistemelor de

operare

server side: viermi;

client side (vulnerabilitati ale browserelor,

clientilor de mail, pluginurilor): troieni,

spyware, adware.

Mecanisme de protectie

Antivirus, antispyware, antiadware,

antimalware;

Update-uri ale sistemlului de operare si

aplicatiilor instalate;

Firewall.

Zero-day attacks.

Cronologia exploatarii unei vulnerabilitatii

Zero-day attacks

se bazeaza pe vulnerabilitati in cadrul unei aplicatii software (SO, server, client) necunoscute si pentru care nu exista un patch (fix, update).

Atacuri bazate pe vulnerabilitati cunoscute:

in cazul softului open source atacatorul dezvolta un exploit pe baza rapoartelor de securitate aparute pe diverse forumuri, liste de discutii, etc;

in cazul softului propietar atacatorul dezvolta un exploit facand reverse engineering la patch-urile (update-urile) de securitate.

Vulnerability window

Intervalul de timp scurs intre prima exploatare a unei vulnerabilitatii si dezvoltarea unui patch pentru acea vulnearabilitate. Vulnerability window > 0 (Zero-day attacks)

Vulnerability window < 0 (Atacuri bazate pe vulnerabilitati cunoscute)

Tipuri de atacuri la care este expus un

sistem

individual, atac manual din partea unui singur individ;

scanare manuala;

scanare automata, infectie cu diferiti viermi.

Toate aceste atacuri intra in categoria atacuri remote.

Rootkit-uri

folosit dupa atacarea cu succes a unui sistem si obtinerea controlului asupra acestuia;

ascunderea urmelor (conectarilor, fisierelor) lasate de atacator;

oferirea unui backdoor de acces;

tipuri:

driver kernel;

modificarea aplicatiilor utilizator.

Migrarea atacurilor spre Web

folosirea motoarelor de cautare pentru localizarea sistemelor vulnerabile;

atacatorul nu mai este nevoit sa "sape" dupa sisteme vulnerabile, acestea ii sunt oferite "pe tava" de catre motoarele de cautare;

tehnica poate fi exploatata automat cu succes chiar si de viermi;

riscuri mari datorita folosirii pe scara larga a unui set relativ restrans de aplicatii web-based (exemple: phpBB, phpMyAdmin, Joomla, Drupal, WordPress, SquirrelMail).

Exemplu de loguri cu scanari

Santy, primul "webworm" cunoscut in

Internet (2004)

se baza pe o vulnerabilitate din cadrul phpBB (open source bulletin board software);

folosea Google pentru a gasi noi sisteme vulnerabile si a se raspandi in Internet;

in trei ore de la lansare s-a raspandit pe tot globul, in 24 de ore a afectat intre 30.000 si 40.000 de sisteme;

Google a filtrat, intr-un final, search query-ul folosit de vierme pentru a localiza noi sisteme vulnerabile;

un update (patch) exista deja la momentul lansarii viermelui;

printre primii viermi pentru care a fost lansat in Internet un anti-worm.

Atacuri remote si atacuri locale Atacurile remote:

presupun exploatarea unei vulnerabilitati in cadrul unui serviciu/proces daemon care asteapta cereri pe un anumit port;

in urma exploatari cu succes a unei vulnerabilitati remote, atacatorul ajuge sa ruleze pe sistem cod cu privilegiile utilizatorului care ruleaza procesul daemon / serviciul.

Atacurile locale:

presupun ca atacatorul poate rula cod cu privilegiile unui anumit utilizator pe sistem (spre exemplu studentii pot initia un atac local);

exploatate cu succes duc la escaladarea de privilegii, obtinerea unor privilegii mai ridicate (root, administrator) pentru un control total al sistemului;

in unele cazuri atacul local nu mai este necesar, spre exemplu in contextul atacului unui server sau aplicatii Web (atacatorul este interesat in alterarea continutului web nu al intregului sistem de fisiere).

Securitate la nivelul sistemelor de operare.

Securitatea sistemelor server in Internet.

Porturi deschide;

Servicii (daemoni) si utilizatorul sub care

ruleaza aceste servicii;

Programe suid-ate.

Exploituri celebre

ptrace (local);

wuftpd exploit (remote);

Heartbleed;

Shellshock;

Meltdown, Spectre.

Malware Trends

daca la inceput programele malware erau

create din "teribilism", azi principalul lor scop

este cel financiar;

migrarea spre web;

dezvoltarea de generatoare sau instrumente

capabile sa creeze automat noi virusi sau

aplicatii malware.

Bibliografie

The Nocebo* Effect on theWeb:

An Analysis of Fake Anti-Virus Distribution http://krebsonsecurity.com/wp-content/uploads/2010/04/leet10.pdf

Privacy-Invasive Software https://pdfs.semanticscholar.org/02a5/4c1bead250d9e14663444724174af1c25730.

pdf, cap2, cap7

Privacy-Invasive software

http://en.wikipedia.org/wiki/Privacy-invasive_software

Rootkit

http://en.wikipedia.org/wiki/Rootkit