1 / 18

Vírusok, férgek szerepe az informatikai hadviselésben

Vírusok, férgek szerepe az informatikai hadviselésben. Készítette: Adamkó Péter András. Miről is beszélünk?. Vírus Féreg Trójai Rootkitek Vagy az egész együtt egy alkalmazásban?. Trójai programok számának növekedése 2003-2005 között. Vírusok, férgek számának csökkenése 2003-2005 között.

liora
Download Presentation

Vírusok, férgek szerepe az informatikai hadviselésben

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Vírusok, férgek szerepe az informatikai hadviselésben Készítette: Adamkó Péter András

  2. Miről is beszélünk? • Vírus • Féreg • Trójai • Rootkitek • Vagy az egész együtt egy alkalmazásban?

  3. Trójai programok számának növekedése 2003-2005 között Vírusok, férgek számának csökkenése 2003-2005 között Informatikai hadviselés? • 2003: Slammer, Sobig, Lovesan, Welchia, Witty • 2004: Mydoom, Zafi, Bagle, Netsky, Sasser • 2005: Mytob, Zotob

  4. Informatikai hadviselés! • Bankok elleni információ szerző támadások: Bank of America, Sumitomo Bank, MasterCard, Visa, Card Systems Solutions. • Országos szintű kémkedési ügyek: Hotworld, Titan Rain • Valójában máig nem tudjuk pontosan hány másik eset történt meg, s melyik milyen szabású volt. A bankok számára ez presztízs kérdés lehet...

  5. Célok • Idáig: • spam, majd trójai proxy-k révén még több spam • terjesztési műveletek • botnetek létrehozása. • Komoly destruktív töltete nem volt, csak az erőforrásfelhasználás mértéke miatt. • Most: • információszerzés -> identitáslopás, pénzműveletek, gazdasági haszonszerzés. A botneteket már pénzért adják bérbe… • Fizetős rootkitek elérhetőek

  6. Mi helyzet most? • Az általános védelmi szoftverek a nagyszabású támadásokra specializálódtak:Zero-hour Virus Outbreak Protection, IPS • Polimorfizmus és metamorfizmus egyelőre nem jelentkezik bonyolultan ezekben a férgekben. • Elsősorban mintaalapú felismerés -> naponta többszöri frissítés révén már csak a férgek megjelenésének ideje kritikus. Egyszerű esetben ezek heurisztikák, kódemulációk révén szűrhetők. • Kellően gyors algoritmusok: Warhol, Flash, Curios Yellow • Mi a helyzet az egyedi szoftverekkel?

  7. Néhány nagyobb rootkitekkel kapcsolatos esemény 2005-ben • Golden hacker defender rootkit, mely mintaalapú keresést végez, s a felismert védelmi szoftvereknek korrupt információt juttat el. • Sony DRM szoftvere: megoldás a szerzői jogok védelmére? Mindazonáltal eltávolíthatatlan, és jelentős rendszer stabilitási gondokat okozhat… • Az Sdbot.add AIM féreg már rootkit technológiát használ. • (Oracle Database rootkit koncepció)

  8. Rootkit tevékenység mérése • Koncepció: Olyan rootkit-hátsókapu hibrid alkalmazás szimulációja, melyek a jelenlegi védelmi szoftverekkel nem észlelhetőek (IDS, vírusirtók). • Hátsó kapu (port knocking) : Sadoor • Rootkit: Fu, Vanquish, Hacker Defender • Vírusírtó szoftverek: F-secure Internet Security 2006, AVG, NOD32 • Rootkit detetektáló szoftver: Rootkit revealer, Blacklight • Vírusok: Mytob, Bagle, MyDoom, Netsky variánsok

  9. Mérés hely és architektúra • Általános hálózati infrastruktúra • Windows alapú gépek: 2000, XP, XP,SP1, SP2 • VmWare-re telepített operációs rendszerek, NOD32, AVG, FIS2006 védelmi szoftverekkel • Hálózati forgalom generálása: Suse 9.3

  10. Mérés 1 • Fu : DKOM rootkit, folyamatok kernel driverek elrejtése privilégiumok állítása • Vanquish : felhasználói módú „kampókat” létrehozó rootkit, fájlok elrejtése • Hacker Defender: felhasználói módú rootkit, fáljok, folyamatok, portok elrejtésére • Vírusok indítása, rejtése, illetve fedezetlenül hagyása

  11. Tesztelés 1

  12. Tesztelés 2

  13. Tesztelés 3

  14. Mérés 2 • Sadoor(Windows server- Linux kliens 1.1): portknocking, távoli utasítások végrehajtása, csak csomagok alapján! • Jelenleg könnyű hálózati nyomon követés, de módosítással és hálózati konfigurációval ez nehezebbé tehető.

  15. Teszt 1

  16. Teszt 2

  17. Konklúzió • Hálózati forgalom nagy mennyiségű adatforgalom esetén figyelemfelkeltő, egyszerű utasítások esetén nem lehet detektálni! • Csak rootkit detektáló program segítségével sem mindig lehet kimutatni jelenlétüket. Valamint ez meglehetős szaktudást igényel, mivel nem csak a káros programok használják ezt a technológiát. • Detektálás és eltávolítás veszélyes: létezik olyan kernel módú rootkit, mely tönkreteszi a gép drivereit eltávolítása esetén(lásd Mark Russinovich blogját). • Védelmi szoftverek továbbra is erősen kötődnek a mintaalapú felismeréshez -> egy alkalmazás futásához rendelt, s annak fájljaiban adatot tároló rootkit detektálása hogyan történhet meg?

  18. Köszönöm a figyelmet! Néhány érdekesebb link: • http://www.sysinternals.com/Blog/ • http://www.f-secure.com/weblog/

More Related