M alicious Graphic Remote Shell Identifier

1. מציג: צביקה ון-סטרטן מנחה: מר יצחק נודלר Malicious Graphic Remote ShellIdentifier

2. בשנים האחרונות ישנו גידול רב במספר ההתקפות כמו WORMS, PHISHING, BOTNETS, ROOTKITS, TROJAN, SPYWARE וכו'... ומשפחות רבות של מזיקים מסוגים חדשים ומתוחכמים יותר, נוספות למרחב הקודים הזדוניים. התקפות אלו מאיימות על נגישות האינטרנט, שלמות השרתים ופרטיות המשתמשים. הגידול ממשיך לאתגר את תעשיית ה Anti Malware בתחומים כגון גילוי, הסרה, קלסיפיקציה, ניתוח וכו'... תפיסת ההגנה של מרכיב עיקרי הנקרא Anti Virus אשר מגלה, מסיר ומאפיין את האיומים הללו, השתנתה לתפיסה רב שכבתית המאופשרת ממספר של כלים רבים המגנים מפני איומים שונים בו זמנית, על מנת להגן על מערכת. ABSTRACT

3. תוקף מתחיל מנצל Vulnerability ידוע ופורץ לשרת WEB. הפורץ מעלה לשרת כלי תקיפה (קובץ סקריפט) מוכן המאפשר לו להתחבר למערכת מרחוק. כלי התקיפה נראה כקובץ סקריפט רגיל (ייתכן ויישב עם קבצים אחרים דומים המפעילים את המערכת)‏ בעזרת הכלי הוא יכול לגשת למערכת ההפעלה מסדי הנתונים ושרותי התקשורת אשר על השרת ולהסב נזק רב, למרות היותו פורץ מתחיל. מנהל האתר מגלה שהאתר נפרץ ונגרם נזק, הוא משחזר את התוכן ומאחה את המערכת ע”י סתימת פרצות האבטחה, ניקוי וירוסים וכו'... הסריקה לא מגלה שום דבר חשוד ומאשרת שהמערכת נקייה. האתר חוזר לפעילות ולאחר מכן נפרץ שוב ורק לאחר בדיקת מומחה של הרשומות ו - forensics analyse מעמיק, מתגלה הכלי שבו נעזר הפורץ המתחיל, הוא מוסר מהמערכת, והשרת חוזר לתפקד כרגיל. Case Study

4. בהמשך להקדמה אפשר לראות שקיימת משפחה נוספת של קוד זדוני, משפחה זו מאופיינת כקוד סקריפט המציג ממשק GUI המאפשר לתוקף לבצע פעולות זדוניות על המחשב בו יושב הסקריפט, בשליטה מרחוק. מאחר והקוד עצמו אינו תוקף, אלא מאפשר כממשק לתקיפה בלבד, אין למשפחה זו הגדרה זדונית חד משמעית ולכן מרבית הכלים כמו AV אינם מתמודדים עמה. מאחר ומדובר בממשק משתמש כל פורץ מתחיל יכול להשתמש בה ולכן היא נפוצה יותר ויותר. אין כלים לגילוי/מניעה/הסרה. אין מאגר מידע המתאר את המופעים שלה. המחקר המתייחס אליה עדיין בחיתוליו. הבעיה

5. Viruses ,worms and Trojan Horses – Anti virus p/d/r rootkits – anti rootkits backdoors, botnets – IDS, Firewalls, vulnerability assesments p/d spyware, adware, keystroke loggers, and dialers - anti spyware, adware remover p/d/r Malicious GUI's code – d/r – by smart sysAdmin פתרונות קיימים

6. זיהוי קוד ע”י חתימת הקובץ זיהוי קוד ע”י מציאת היוריסטיקות היוריסטיקות רבות קיימות למציאת המשפחות הנ”ל אין היוריסטיקות התומכות במציאת ממשקי קוד זדוני פתרונות קיימים - רלוונטים

7. לימוד התחום אפיון והגדרת המשפחה הזדונית מציאת היוריסטיקות המאפיינות אותה הסבת מנוע סריקה היוריסטי קיים בAV לתמיכה בהיוריסטיקות שאופיינו ניסוי ושיפור המערכת הצגת  הפתרון – קונספט התיכון.

8. ניתוח מערכות קיימות הבנת הארכיטקטורה של המערכות הקיימות חלוקה למודולים, קלסיפיקציה. הכנסת השינויים לארכיטקטורה הקיימת ע”י עיצוב מחדש. שימוש ב UML לתיאור הפרוייקט. שימוש בהנדסת תוכנה:

9. הכרת מרחב הבעיה התקפה והגנה, משפחות הקודים הזדוניים הפתרונות הקיימים (הסוג ושיטת הפעולה)‏ הגדרה ואפיון המשפחה הקיימת מציאת היוריסטיקות לתפיסתה בעתיד: הארכיטקטורה לשילוב הפתרון במוצר קיים קידוד הפתרון סטאטוס התקדמות והישגים עד כה.

10. References: מאמרים: Web Hacking – Attaks & Defense - Stuart McClure, Saumil Shah and Shreeraj Shah AN AUTOMATED VIRUS CLASSIFICATION SYSTEM – Marious Gheorghescu, Microsoft Corp, Secutiry business and technology Unit Behavioral Classification - Tony Lee & Jigar J. Mody, Microsoft Corp. Beyond Signature-Based Anti virus: New Threat Vectors Drive Need for Proactive Antimalw are Protection - Adapted from Worldwide Antivirus 2006–2010 Forecast Update and 2005 Vendor Analysis by Brian E. Burke,July 2007 Automatic Vulnerability Assessment - Noam Rathaus CTO & Co-founder Beyond Security Attacking Malicious Code - Gary McGraw (Reliable Software Technologies) and Greg Morrisett (Cornell University) May 1, 2000Insider Threat Detector, an From AntiVirus to AntiMalware Software and Beyond: Another Approach to the Protection of Customers from Dysfunctional System Behaviour - Dr. Klaus Brunnsteinת Professor for Appplication of Informatics ,Faculty for Informatics, University of Hamburg, Germany Combating Malicious Mobile Code - Websense, Inc. X-Force® Research and Development Newsletter - www.iss.net September 2006 Proactive Malware Defense in diverse networks - Andrew Lee CISSP CTO Eset Software Identifying Attack Code through an Ontology-Based Multiagent Tool: FROID - Salvador Mandujano 6 JUNE 2005 The Future of Malware - Stephen Trilling and Carey Nachenberg, Symantec Corporation – 1999 Anti-Virus Heuristics - Drew Copley תזות: Automated Classification and Analysis of Internet Malware - Michael Bailey, Jon Oberheide, Jon Andersen, Z. Morley Mao, Farnam Jahanian, Jose Nazario University of Michigan April 26, 2007 Classification and identification of malicious code based on heuristic techniques utilizing Meta languages - Markus Schmall, Hamburg 2003 Insider Threat Detector, an integral approach to discover malicious source code Automated scanning tool for MS Access applications - Andrés Auslender 2004 Detecting Malicious Code by Model Checking - Johannes Kinder, Stefan Katzenbeisser, Christian Schallhart, Helmut Veithת Technische Universit ̈t M ̈nchen TTAnalyze: A Tool for Analyzing Malware - Ulrich Bayer & Christopher Kruegel & Engin Kirda Ikarus Software & Technical University of Vienna 2006 Server-based Virus-protection On Unix/Linux - Rainer Link University of Applied Sciences Furtwangen, Germany Static Analysis of Executables to Detect Malicious Patterns - Mihai Christodorescu & Somesh Jha Computer Sciences Department University of Wisconsin, Madison Basic Steps in Forensic Analysis of Unix Systems http://staff.washington.edu/dittrich/misc/forensics/ Network Forensics Analysis http://www.sandstorm.net/support/netintercept/downloads/ni-ieee.pdf Defeating Forensic Analysis http://www.stachliu.com/files/CEIC2006-Defeating_Forensic_Analysis.pdf File Marshal: Automatic extraction of peer-to-peer data http://dfrws.org/2007/proceedings/p43-adelstein.pdf Tools and algorithms for finding plagiarism in source code http://www.ddj.com/architect/184405734 Classification and identification of malicious code based on heuristic techniques utilizing Meta languages http://deposit.ddb.de/cgi-bin/dokserv?idn=968845746&dok_var=d1&dok_ext=pdf&filename=968845746.pdf Detecting Malicious Java Code Using Virtual Machine Auditing http://cs.ucsb.edu/~ckrintz/papers/usenix03.pdf Case Studies: Know Your Enemy: A Forensic Analysis http://www.honeynet.org/papers/forensics/ A Cyber-terrorism Attack, Analysis and Response http://www.beyondsecurity.com/besirt/advisories/team-evil-incident.pdf The return of SIMBAR - Cyber-t errorism methodology http://www.beyondsecurity.com/besirt/advisories/teamevil-incident2.pdf סוף