AZ INFORMATIKAI BIZTONSÁGSPECIÁLIS TÉMAKÖREI
Hungarian Cyber Security Package
VírusvédelemSzappanos Gábor
VirusBuster kft.Víruslabor vezető
Amivel foglalkozni fogunk
Vírusok
Férgek
Trójaiak
Adware, spyware
Greyware
Olyan szoftver, aminek a célja az, hogy a felhasználóhoz
reklám tartalmú üzeneteket juttasson el.
Olyan szoftver, aminek a célja az, hogy a felhasználótólannak tudta nélkül információt
juttasson el egy harmadikfélhez.
A greyware-ek legális körülményekközött forgalmazott alkalmazások,melyeknél megvan az esély arra,hogy a felhasználó tudta nélkül,
ártó szándékkal települtek fela számítógépre.
Legálisnak látszó program,aminek szándékoltan az célja, hogy a számítógép működését
zavarja, vagy kárt okozzon.
Az ősidőkben...
EXE programa fertõzés elõtt
EXE programa fertõzés után
programprogram
vírus
fejléc fejléc
EXE programa fertõzés elõtt
EXE programa fertõzés után
program
vírusDOS fejléc
WIN fejléc
program
DOS fejléc
WIN fejléc
Vírusok típus szerinti megoszlása – boot vírusok
1996 1997 1998 1999 2000 2001 2002 2003 2004 2005
Boot File Macro Script I-Worm
Makróvírusok
1996 1997 1998 1999 2000 2001 2002 2003 2004 2005
Boot File Macro Script I-Worm
Concept
1995: Concept
• Csak a programokat gondolták veszélyesnek• Dokumentumokat gyakran cserélnek• Könnyű programozhatóság• Gyenge védelem• Forráskódban terjed, a dokumentummal együtt• Átjárhatóság
(Word => Outlook)(Word => Excel)(Word => PowerPoint)
Makróvírusok
2.2%
84.2%
13.2% 0.4% Office
Word
Excel
Egyéb
•PowerPoint•Access•Project•AutoCAD•Visio•Lotus 123•SuperLogo•CorelScript•Shockwave•AutoIT
Fejlődő védettség
Scriptek
1996 1997 1998 1999 2000 2001 2002 2003 2004 2005
Boot File Macro Script I-Worm
Concept Loveletter
1999. Loveletter
• Könnyen programozható script nyelvek• Forráskódban terjed, könnyű változtatni• Jórészt social engineering• Gyors együttműködés kellett az AV
laborok között
Win32 e-mail férgek
1996 1997 1998 1999 2000 2001 2002 2003 2004 2005
Boot File Macro Script I-Worm
ConceptLoveletter
SircamKlez
2001. Sircam, Klez
• Win32 e-mail wormok
• Aktiválódás jórészt social engineering
• Címgyűjtés a lokális gépről
• Terjedés MAPI, SMTP
E-mail vírus életciklusokMyparty.A – 3 nap
Klez.H – 5 hónap
[1] I-Worm.Zafi.B ........................ 463 (2004.06)[2] I-Worm.Mydoom.CR ........................ 71 (2008.01)[3] I-Worm.Zafi.D ........................ 48 (2004.12)[4] I-Worm.Bagle.LC ........................ 40 (2006.12)[5] I-Worm.Netsky.Q1 ........................ 34 (2004.03)[6] Exploit.IFrame.B ........................ 25 [7] I-Worm.Mytob.E ........................ 20 (2005.03)[8] I-Worm.Mydoom.R ........................ 17 (2004.07)[9] I-Worm.Netsky.Q2 ........................ 10 (2004.03)[10] I-Worm.Netsky.O ........................ 6 (2004.03)[11] I-Worm.Bagle.GK ........................ 5 (2006.02)
Win32 network férgek
1996 1997 1998 1999 2000 2001 2002 2003 2004 2005
Boot File Macro Script I-Worm
ConceptLoveletter
SircamKlez
Sasser
2003-2004: SQLSlammer, Sasser
• Win32 wormok• Op. rendszer biztonsági hibát
használnak ki• Autonóm és gyors terjedés
Felgyorsult idő1990 Form 3 év
1995 Concept 4 hónap
1998 Melissa 4 nap
1999 Loveletter 4 óra
2003 SQLSlammer 4 perc
Vírus terjedési modellek
… végül a valóság idomult a modellhez
• Nem-rezidens, direkt vírus fertőzési modell (Gleissner, 1989)
• Irányított és véletlen gráf modell (Kephart-White, 1991)
• Homogén terjedési modell(Solomon, 1990)
Terjedési modell
( ) ( ) ( ) ( )( )ττ
00 11
ttagptageeptN
−⋅−−⋅−
⋅⋅−=•p: védett gépek aránya
•t0 felismerésig eltelt idő
•a: elnyelési arány
•g: sokszorozási arány
•τ: ciklusidő
•boot vírus ~ 1
•I-Worm ~ 5
•boot vírus ~ 1 hét
•I-Worm~ 1/4 óra
Generation history of Mimail
0
100
200
300
400
500
600
700
0 5 10 15 20 25 30
Generation
Min
utes
ela
psed
Ciklusidő: 15 perc
Modellezés – alap
Mi a teendő? Védettség növelése
• Védett gépek arányának növelése – több víruskereső
• Vírusincidens esetén katasztrófaterv gyors víruselhárítás
Modellezés 1 végső absz. 2 -> 3
Mi a teendő? – kezdeti védettség növelése
• Megelőző vírusvédelmi módszerek:heurisztikaemuláció
• Diverzitás növelése• Behatolási pontok védelme• Biztonságosabb rendszerek használata• Biztonsági javítások feltelepítése
Modellezés 2 absz. 1.7 -> 1.6
Reaktív vírusfeldolgozás
• A vírus felbukkan valahol a nagyvilágban• Felhasználó beküldi• Víruslabor elemzi, feldolgozza• Vírusadatbázis QA• Elkészül az adatbázis frissítés
~ 3 óra
Mi a teendő? – reakcióidő csökkentése
• Víruslaborok közötti együttműködés• Vírusadatbázis SOS frissítése• Rendszergazdák informálása• Frissítések azonnali szétterítése
(cégen belül pull helyett push)
Modellezés 3 Reakcióidő: 120 -> 90
2005: a profik színre lépnek
• Hobbi vírusírók háttérbe szorultak
• Bagle - Netsky háború
• Botnetek megjelenése
• Exploitok, trójaiak, botnetek, lopott adatok piaca
• Sok kis incidens
Botnetek
Bot életciklus:
•Létrehozás•Kiterjesztés•Irányítás•Megszüntetés
Ismert * bot variánsok száma: ~ 171,000
>20-30k always online SOCKs4, url is de-duped and updated every >10 minutes. 900/weekly, Samples will be sent on request. >Monthly payments arranged at discount prices.
>$350.00/weekly - $1,000/monthly (USD) >Type of service: Exclusive (One slot only)>Always Online: 5,000 - 6,000>Updated every: 10 minutes
Zeus botnet (Zbot)
Botnetek vezérlése
Klasszikus botnet
C&C
Storm P2P botnet
Banki jelszólopók
• Jelenleg ismert: ~230000• Keylogging• Form data capture• Screen capture• Mini screen capture• Phishing
Behatolás
• Drive-by exploitok• E-mail üzenet• Instant messaging üzenet• Közösségi portálok• P2P, torrent hálózatok
Drive-by
38zu-cnmbr2-cn117la-cnwvg6-cnckt1-cnw.jsguangji.cnw.toyony.com.cnw.ttkiss.com.cn
Drive-by (folyt.)
http://d.doinw.com/xx/x2.css
Trojan.DL.Exchanger
• Legnagyobb botnet (Srizbi/CBEPlay/Exchanger)
• Kb. 315,000 gép, több szegmensre osztva (Reactor Mailer)
• Kapacitás: 60 milliárd üzenet/nap (spam tömeg 40%-a)
• Terjesztésében Mpack kitet használnak
38
•Kamu antivírus programot telepít több lépésben•A felhasználót megijeszti annyira, hogy fizessen a programért•Képernyővédőt is bevet•A System Restore pontokat törli•„Csak” a pénzünket akarják•Határeset (mindenkinek joga hülyének lenni)
Trojan.FakeAlert
39
MPACK támadások• Web szerver feltörése alkalmazás hibájával (SQL, PHP, cpanel)
• 8000 olasz website egy menetben (2007. Június) ~ 100,000 fertőzött gép
• Böngészéskor klienstől függő hibák
– ANI overflow
– MS06-014,
– MS06-006,
– MS06-044,
– XML Overflow,
– WebViewFolderIcon Overflow
– WinZip ActiveX Overflow
– QuickTime Overflow
• nincs biztonságos böngésző
SWF PDF
Jan 2009 2154 37
Feb 2009 3625 94
Mar 2009 4362 33
MPACK fertőzés előtt
MPACK fertőzés után
Browser agentGeolocationOperációs rendszer
Üzleti modell
Kiadás:• MPACK kit: 700 USD• Weboldalhoz exploit: 10,000 USD (0-day)• Weboldalhoz script fertőzés : 50 USD
Bevétel:• 100,000 fertőzött gép, • egyenként 100,000 spam levél• 0,03 cent/levél
Megtérülési arány: 27
10,750 USD
300,000 USD
Exploitok
Csökken az idő a hiba publikálása és az azt kihasználó kártevő megjelenése között
(MS Office 0-day támadások: patch Tuesday, exploit Wednesday)
A biztonsági programok hibái is célpontok (Delbot: SYM06-010)
Minden eladó
• Exploit kód (500 USD -> 250000 USD)
• Egyedi, felismerhetetlen packer
• Botnet
• MPACK készlet (500-1000 USD)
Kártevőszám emelkedés
• Kártevők száma duplázódik évente
• Az ismert kártevők fele az elmúlt 18 hónapban született
• “Szerver oldali polimorfizmus”
• Egyre kevesebb az idő a feldolgozásra, QA erősítendő
• Vakriasztások száma megnövekedett (egységnyi feldolgozásra jutó szám
kb. ugyanaz)
• A mennyiségi növekedés minőségi ugrást követel (memória használat,
víruslabor létszám nem skálázható)0
2,000,000
4,000,000
6,000,000
8,000,000
10,000,000
12,000,000
14,000,000
16,000,000
18,000,000
20,000,000
22,000,000
24,000,000
26,000,000
28,000,000
30,000,000
32,000,000
2007
-01
2007
-02
2007
-03
2007
-04
2007
-05
2007
-06
2007
-07
2007
-08
2007
-09
2007
-10
2007
-11
2007
-12
2008
-01
2008
-02
2008
-03
2008
-04
2008
-05
2008
-06
2008
-07
2008
-08
2008
-09
2008
-10
2008
-11
2008
-12
2009
-01
2009
-02
2009
-03
2009
-04
2009
-05
2009
-06
2009
-07
2009
-08
2009
-09
2009
-10
2009
-11
Uni
que
Sam
ples
in C
olle
ctio
n
Total Number of Unique Samples in AV-Test.org's Malware Collection
Actual balanceForecast
0
500000
1000000
1500000
2000000
2500000
3000000
3500000
4000000
2009.01.01.2009.04.01. 2009.07.01 2009.10.01.2010.01.01.2010.04.01.
Sig count
Gyorsan változó kártevők
• Mire a 1568. variánsra kimegy a frissítés, a felhasználónál már a 1786.
variáns tölti le a 1795.-et
• Hatalmas lenne a memória használat
• Csak generikus felismerésekkel érdemes kezelni ezeket
• A gyors reakció idő kevesebb, mint a proaktív felismerés
• A víruskeresőknek fertőzött környezetben kell működnie
Folytonos innováció
• DOS és Win32 emulátor
• Algoritmikus felismerések
• Generikus felismerések
• Heurisztikus felismerések (szabályrendszer alapon)
• Adware, spyware, dialer, RAT, phishing, trójai
Vírusok által okozott kár
• Adatvesztés• Adat kiáramlás• Személyes adatok lopása, használata• Kiesett munkaidő• Szándékos rombolás• Rendelkezésre nem állás
Emberi tényezők
• Felhasználói “gyengeségek”– Képzés hiánya
• Nem tudja mit csinál• Nem tudja mit kellene csinálnia
– Felelőtlenség• Tudja, hogy nem kellene, de mégis• Tudja, hogy kellene, de mégsem
– “Bonyolult” rendszerek
Határvédelem
• Böngészés, FTP– Károkozó szűrés– Káros aktív tartalom szűrése
• Levelezés– Károkozók– Spam
• Tűzfal– Alkalmazás szintű tűzfal
Munkaállomások, szerverek
• Folyamatos védelmek– Állomány hozzáféréskor– Hálózati forgalom figyelés
• Manuális ellenőrzések• Operációs rendszer és szoftver frissítések