az informatikai biztonsÁg speciÁlis...
TRANSCRIPT
![Page 1: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/1.jpg)
AZ INFORMATIKAI BIZTONSÁGSPECIÁLIS TÉMAKÖREI
Hungarian Cyber Security Package
Vírusvédelem
Szappanos Gábor
Sophos
![Page 2: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/2.jpg)
Alapfogalmak
![Page 3: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/3.jpg)
Amivel foglalkozni fogunk
Vírusok
FérgekAdware, spyware
Olyan önreprodukáló számítógépes program, amely úgy fertőz más
programokat, hogy azok tartalmazzák a vírus egy
(esetleg megváltoztatott) új példányát.
Olyan szoftver, aminek a célja az, hogy a felhasználótólannak tudta nélkül információt
juttasson el egy harmadikfélhez.
Olyan szoftver, aminek a célja az, hogy a felhasználóhoz
reklám tartalmú üzeneteket juttasson el.
Trójaiak Greyware
A greyware-ek legális körülményekközött forgalmazott alkalmazások,melyeknél megvan az esély arra,hogy a felhasználó tudta nélkül,
ártó szándékkal települtek fela számítógépre.
Legálisnak látszó program,aminek szándékoltan az célja, hogy a számítógép működését
zavarja, vagy kárt okozzon.
![Page 4: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/4.jpg)
Vírusok csoportosítása
Fertőzött objektum alapján:– Boot vírus– Program vírus– Makró vírus– Script vírus– Féreg– Féreg
Fertőzési mód alapján:– Direkt akció– Rezidens
4
![Page 5: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/5.jpg)
Az ősidőkben...
5
![Page 6: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/6.jpg)
DOS programok fertőzése
DOS fejléc
MZ
CS:IPSS:SP
Fejléc méret
Memória méret
Belépési pont
DOS fejléc
Kód
MZ
CS:IPSS:SP
Fejléc méret
Memória méret
Belépési pont
6
Kód
Verem
Kód
Verem
Víruskód
Belépési pont
![Page 7: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/7.jpg)
DOS vírus esete PE programmal
DOS fejléc
DOS stub
PE fejléc
Data directories
Export tábla
Import tábla
CS:IP
CS:EIP
MZ
PE
DOS fejléc
DOS stub
PE fejléc
Data directories
Export tábla
Import tábla
CS:IP
CS:EIP
Víruskód
MZ
PE
7
Section tábla
Sections.text.data.rsrc
Section tábla
Sections.text.data.rsrc
![Page 8: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/8.jpg)
Boot vírus fertőzés előtt
Nem használt terület
1. Partíció info
2. Partíció info
3. Partíció info
4. Partíció info
1. Partíció ntloader
8
1. Partíció
2. Partíció
3. Partíció
ntloader
grub
bootcamp
![Page 9: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/9.jpg)
MBR Boot vírus fertőzés után
Nem használt terület
1. Partíció info
2. Partíció info
3. Partíció info
4. Partíció info
1. Partíció ntloader
9
1. Partíció
2. Partíció
3. Partíció
grub
bootcamp
ntloader
![Page 10: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/10.jpg)
FBR Boot vírus fertőzés után
Nem használt terület
1. Partíció info
2. Partíció info
3. Partíció info
4. Partíció info
1. Partíció ntloader
10
1. Partíció
2. Partíció
3. Partíció
grub
bootcamp
ntloader
![Page 11: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/11.jpg)
Brain vírus
• Felbukkanás: 1986 január (legrégibb PC DOS vírus)
• Vírus test „bad sector” –okban tárolva• Rejtőzködő (stealth) vírus• Rejtett szöveg: • Rejtett szöveg:
• Welcome to the Dungeon(c) 1986 Basit & Amjad (pvt) Ltd.BRAIN COMPUTER SERVICES730 NIZAB BLOCK ALLAMA IQBAL TOWNLAHORE-PAKISTANPHONE :430791,443248,280530.Beware of this VIRUS....Contact us for vaccination............ $#@%$@!!
11
![Page 12: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/12.jpg)
Boot vírusok
Boot File Macro Script I-Worm
19961997
19981999
20002001
2002 2003 2004 2005
12
![Page 13: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/13.jpg)
Makróvírusok
Boot File Macro Script I-Worm
19961997
19981999
2000 20012002 2003 2004 2005
Concept
13
![Page 14: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/14.jpg)
1995: Concept
• Csak a programokat gondolták veszélyesnek• Főleg MS Word és Excel• Dokumentumokat gyakran cserélnek• Könnyű programozhatóság• Könnyű programozhatóság• Forráskódban terjed, a dokumentummal együtt• Gyenge védelem, rosszul dokumentált formátum
14
![Page 15: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/15.jpg)
Fejlődő védettség
15
![Page 16: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/16.jpg)
Bontchev konstans
2.7%
97.3% of the human 97.3% of the human population consists of
idiots
![Page 17: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/17.jpg)
Win32 network férgek
Boot File Macro Script I-Worm
ConceptLoveletter
SircamKlez
Sasser
19961997
19981999
20002001
2002 2003 20042005
17
![Page 18: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/18.jpg)
• Win32 wormok• Operációs rendszer biztonsági hibát
használnak ki• Jelszólista alapú brute-force hozzáférés• Autonóm és gyors terjedés
2003-2004: SQLSlammer, Sasser
• Autonóm és gyors terjedés
![Page 19: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/19.jpg)
2004 => : a profik színre lépnek
• Addig: hobbi vírusírók
• Botnetek megjelenése
• Exploitok, trójaiak, botnetek, lopott adatok
feketepiacafeketepiaca
• Kis incidensek riasztási szint alatt
• Célzott támadások ipari kémkedés céljából
• Bagle - Netsky háború
19
![Page 20: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/20.jpg)
Banki jelszólopók
• Keylogging• Form data capture• Screen capture• Mini screen capture egérkurzor körül• Mini screen capture egérkurzor körül• Video capture• Phishing
20
![Page 21: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/21.jpg)
Phishing
![Page 22: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/22.jpg)
Phishing
![Page 23: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/23.jpg)
Botnetek
Botnet: hálózati összeköttetésben levő programok koordinált hálózata
Legális botnetek: SETI@Home, distributed SHA crackingSHA cracking
Illegális botnetek: spambot, DDoS
23
![Page 24: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/24.jpg)
Klasszikus botnet
C&C
24
![Page 25: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/25.jpg)
P2P botnet
25
![Page 26: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/26.jpg)
Zeus botnet (Zbot, Citadel)
26
![Page 27: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/27.jpg)
Botnetek vezérlése
27
![Page 28: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/28.jpg)
Botnetek
![Page 29: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/29.jpg)
Rootkitek
Olyan program, aminek a célja objektumok (fájl, processz, registry, könyvtár) elrejtése a normál vizsgálatok elől.
– Bootkit– User mód vs. kernel mód– Operációs rendszer belső struktúráit
módosítják (Microsoft vs. Alureon)
29
![Page 30: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/30.jpg)
Sony rootkit (2005)
• Extended Copy Protection és MediaMax CD-3 másolásvédelem
• Automatikusan és csendben feltelepül a lemez lejátszásakor
• A %SYSTEM%\$sys$filesystem könyvtárba települ fel
• Elrejt minden fájlt, könyvtárt és registry bejegyzést aminek • Elrejt minden fájlt, könyvtárt és registry bejegyzést aminek a neve $sys$-el kezdődik
30
Troj/Stinx:
• C:\WINDOWS\SYSTEM32\$sys$drv.exe néven települ fel
![Page 31: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/31.jpg)
ZeroAccess
• Terjesztés: exploit kit, social engineering
• UAC dialóg átverése: tiszta Fash telepítő, trójai DLL
• Tűzfal, Windows védelmi programok leállítása
• Telepítési könyvtár pl.: c:\windows\$NtUninstallKB35373$
• HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon• HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
• Felülír egy random kiválasztott drivert
• A letöltött fájlok kódolva tároltak egy titkosított volume-on
• 64 biten user módú
• Pszeudo-random DGA (rendszeridő alapján)
• Payload: click fraud, spambot
31
![Page 32: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/32.jpg)
![Page 33: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/33.jpg)
Exploit kit támadás gyakorlatban
Az Internetenkeresztül történő támadások 2/3-a valamelyik exploit kit segítségével
33
kit segítségével valósul meg.
Ezek fele egyedül a Blackhole kithez kötődik
![Page 34: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/34.jpg)
A Blackhole kit névjegy
• Orosz fejlesztés
• Bérelhető infrastruktúra
• Traffic direction system (TDS)
• MySQL backend
• IP feketelista• IP feketelista
• Malware terjesztés v. átirányítás
• Integrált víruskeresők
• Management felület, részletes statisztikák
• Közbenső oldalakat lopott jelszavakkal vagy SQL injektálással fertőzik
![Page 35: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/35.jpg)
Traffic Direction System
![Page 36: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/36.jpg)
TDS működésben
GET http://www.google.com/ig/cp/get?hl=en&gl=&authuser=0&bundleJs=0 HTTP/1.1Host: www.google.comProxy-Connection: keep-aliveUser-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/535.1 (KHTML, like Gecko) Chrome/14.0.835.202 Safari/535.1Accept: */*
Browser agentIP cím, feketelistaOperációs rendszer
Accept: */*Referer: http://www.google.com/Accept-Encoding: gzip,deflate,sdchAccept-Language: en-US,en;q=0.8Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.3If-None-Match: 4507273103833835255If-Modified-Since: Tue, 11 Oct 2011 08:30:50 GMT
![Page 37: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/37.jpg)
Blackhole TDS
Vista:
IE7,IE8
Win7: IE9,
IE10
Win7:
Mozilla22,
Opera12,
Safari5
Android:
Safari5
Win7:
Firefox14
Vista:
IE6
Non-Windows
platforms
WinNT90:
IE9
Win8:Chrome17 OSX: IE5
WinCE: IE4
Win2K:
Firefox5
WinXP:IE9 WinXP:
Chrome17
Win95: IE4
Win98: IE4,IE5,IE6
WinNT: IE5
WinNT351: IE5
WinNT40: IE5
Win2K: IE4,IE5,IE6
Win2K3: IE7 Win2K: IE8
WinXP:
AOL96
Java
(CVE-2010-0840,
CVE-2012-0507)
+ + + + - + + - + + + + + +
XMLHTTP+ADO
DBSTREAM
downloader
- - - + - - - + - - - + - -
PDF1:
CVE-2009-0927,
CVE-2008-2992,
CVE-2009-4324
+(IFRAME)
+(object)
+(object + IFRAME)
+(IFRAME)
- +(IFRAME)
+(object)
- +(object + IFRAME)
+(IFRAME)
+(object)
+(IFRAME)
+(IFRAME)
+(object)
CVE-2009-4324
PDF2: CVE-
2010-0188
Hcp (CVE-2010-
1885)
XMLHTTP+
ADODB
- - - - - - - - - +(link)
+(link)
- +(embed)
+(embed)
Flash
(CVE-2011-
0611)
- - - - + + + + + + + + + +
Flash
(Troj/SWFExp-
BC )
+ + + + + + + + + + + + + +
CVE-2012-1889 - - - - - - - - - - - - - -
![Page 38: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/38.jpg)
Blackhole fertőzési sémaSpam e-mail:http://bridgetblonde.info/KKkxkeBx/index.htmlhttp://3d-cam.com/jiQ9VFzm/index.htmlhttp://armovies.com.ar/e2fSCR2G/index.htmlhttp://armovies.com.ar/x12RsWiw/index.htmlhttp://chomikuj24.pl/KKkxkeBx/index.html
Átirányító script :http://66.165.125.19/1f
Átirányító script :http://bragan.net/cwM8EscN/js.js
1. átirányító oldal
Blackhole szerverhttp://72.14.187.169/showthread.php?t=73a07bc
b51f4be71
PDF exploithttp://72.14.187.169/q.php?f=e4a98&e=1
MDAC exploithttp://72.14.187.169/q.php?f=e4a98&e=4
38
http://66.165.125.19/1fTeeHMA/js.js Átirányító script :
http://74.119.235.211/114oTzgs/js.js SWF exploit
http://72.14.187.169/q.php?f=e4a98&e=2
Java exploithttp://72.14.187.169/content/GPlugin.jar
Payload: FakeAV
Payload: ZeroAccess
Payload: ZBot
![Page 39: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/39.jpg)
Blackhole payload
Zbot25%
Ransomware
FakeAV11%
Backdoor6%
ZAccess6%
Downloader2%
other9%
39
Ransomware18%
PWS12%
Sinowal11%
![Page 40: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/40.jpg)
Blackhole exploit kit
40
![Page 41: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/41.jpg)
Main script
http://sumatranajuge.ru:8080/forum/w.php?f=XXXXX?e=0
![Page 42: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/42.jpg)
Main script - decoded
![Page 43: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/43.jpg)
43
![Page 44: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/44.jpg)
![Page 45: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/45.jpg)
Duqu
• Moduláris szerkezet, letölthető pluginek
• 0-day dropper (sehol máshol nem használt)
• Direkt C&C kapcsolat, ha nem megy P2P
• Lokális hálózaton terjed a jelszólopó által gyűjtött jelszavakkal
• Digitálisan aláírt driver (C-Media)
• Legelterjedtebb: Irán, Szudán
• Célja ipari adatlopás
![Page 46: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/46.jpg)
Duqu install
![Page 47: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/47.jpg)
3%
![Page 48: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/48.jpg)
Többrétegű védelem
Application ControlPotenciálisan veszélyes alkalmazások nem futhatnak
Anti-SpamTömegesen terjesztett e-mailek szűrése
VíruskeresőIsmert kártevők specifikus, új kártevők generikus felismerése
TűzfalKommunikációs kísérletek blokkolása, külső támadások szűrése
IPS
Anti-Spam
• Terjesztéshez használt levelek blokkolása
URL szűrés
• A letöltési láncban használt weboldalak blokkolása
Víruskereső
• Az exploitokat letöltő és futtató scriptek detektálása
IPSCsomagszintű felismerés
URL szűrésReputációs és feketelista alapú szűrés
Data Loss PreventionSzenzitív információk kiszivárgásának megakadályozása
Exploit védelemBiztonsági hibák kihasználásának detektálása
Viselkedésalapó védelemA futó program által a rendszerben végzett műveletek ellenőrzése
detektálása
Víruskereső
• Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása
Víruskereső• A letöltött Win32 payload detektálása
Viselkedésalapú védelem
• A futtatott Win32 payload detektálása
![Page 49: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/49.jpg)
Víruskereső tesztek
• Melyik a legjobb víruskereső?�Vírusfelismerési arány�Proaktív felismerési képesség�Kevés vakriasztás�Kevés vakriasztás�Memóriahasználat�Sebesség�Platform lefedettség�Stabilitás
49
![Page 50: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/50.jpg)
Alapelvek
1. Testing must not endanger the public.
2. Testing must be unbiased.
3. Testing should be reasonably open and transparent.
4. The effectiveness and performance of anti‐‐‐‐malware productsmust be measured in a balanced way.
5. Testers must take reasonable care to validate whether test samples or test cases have been accurately classified as malicious, innocent or invalid.malicious, innocent or invalid.
6. Testing methodology must be consistent with the testing purpose.
7. The conclusions of a test must be based on the test results.
8. Test results should be statistically valid.
9. Vendors, testers and publishers must have an active contact point for testing related correspondence.
50
![Page 51: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/51.jpg)
Rossz tesztek
51
![Page 52: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/52.jpg)
Rossz tesztek
Anti-Spam
• Terjesztéshez használt levelek blokkolása
URL szűrés
• A letöltési láncban használt weboldalak blokkolása
Víruskereső
• Az exploitokat letöltő és futtató scriptek detektálása
• Az exploitot tartalmazó letöltött fájlok
52
Víruskereső
• Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása
Víruskereső• A letöltött Win32 payload detektálása
Viselkedésalapú védelem
• A futtatott Win32 payload detektálása
![Page 53: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/53.jpg)
Rossz tesztek
Anti-virus products are rubbish, says Imperva
‘Spend not proportional to effectiveness’By Richard Chirgwin
A study released in December by US security outfit Imperva has tipped a bucket on the multi-billion-dollar anti-virus industry, claiming that initial detection rates are as low as five percent, and concluding that enterprise and consumer anti-virus spend “is not proportional to its effectiveness”.
Anti-Spam
• Terjesztéshez használt levelek blokkolása
URL szűrés
• A letöltési láncban használt weboldalak blokkolása
Víruskereső
• Az exploitokat letöltő és futtató scriptek detektálása
• Az exploitot tartalmazó letöltött fájlok (SWF, PDF, Java, HTML) detektálása
53
and consumer anti-virus spend “is not proportional to its effectiveness”.Working in conjunction with students from the Technion-Israel Institute of Technology, the company tested 82 malware samples against 40 anti-virus products including offerings from Microsoft, Symantec, McAfee and Kaspersky.The test revealed that while catalogued viruses are well-detected, “less than 5% of anti-virus solutions in the study were able to initially detect previously non-cataloged viruses and that many solutions took up to a month or longer following the initial scan to update their signatures.”
Víruskereső (SWF, PDF, Java, HTML) detektálása
Víruskereső• A letöltött Win32 payload detektálása
Viselkedésalapú védelem
• A futtatott Win32 payload detektálása
![Page 54: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/54.jpg)
Jó tesztek
54
![Page 55: AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREIusers.nik.uni-obuda.hu/poserne/ibst/Frissitett_anyagok_2013/Virusve... · Vírusvédelem Szappanos Gábor Sophos. Alapfogalmak. Amivel](https://reader031.vdocuments.site/reader031/viewer/2022011813/5e3809c0842b747c405bc4dc/html5/thumbnails/55.jpg)
Zárszó
• Naprakész vírusvédelem• Biztonsági javítások telepítés
•Java frissítések!!!!!!•Java frissítések!!!!!!