1 / 121

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 20 1 1-2012 Εξάμηνο: Δ ’

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 20 1 1-2012 Εξάμηνο: Δ ’. Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα E : Κακόβουλο Λογισμικό ( Computer Malware. Εμμανουήλ Μάγκος. 0 . Motivation & Definitions.

nevin
Download Presentation

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 20 1 1-2012 Εξάμηνο: Δ ’

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Ιόνιο ΠανεπιστήμιοΤμήμα ΠληροφορικήςΑκαδημαϊκό Έτος 2011-2012Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα E: Κακόβουλο Λογισμικό (Computer Malware Εμμανουήλ Μάγκος

  2. 0. Motivation & Definitions

  3. Κακόβουλο λογισμικό (Malicious Software – Malware)1. Ορισμοί & Ταξινομία • Κώδικας που δημιουργήθηκε με σκοπό την πραγματοποίηση ενός η περισσοτέρων εκ των παρακάτω: • αλλοίωση δεδομένων ή προγραμμάτων • υποκλοπή δεδομένων • διαγραφή δεδομένων ή προγραμμάτων • παρεμπόδιση λειτουργίας ή υποβάθμιση συστήματος • Γενικά, επιθέσεις εναντίον • Εμπιστευτικότητας (C) • Ακεραιότητας (I) • Διαθεσιμότητας (A) CIA

  4. Ιοί (Viruses) Μολυσματικό λογισμικό με ικανότητα αυτό-αναπαραγωγής «Σκουλήκια» (Worms) Μολυσματικό λογισμικό. Αυτo-μεταδίδεται μέσω δικτύων Δούρειοι Ίπποι(Trojan Horses): Μη μολυσματικό λογισμικό. Εκτελεί κάτι «άλλο» αντί (ή, παράλληλα) αυτό για το οποίο προορίζεται Bots - zombies Χρήση ξενιστή για κατανεμημένες επιθέσεις (π.χ. DDOS, spam, phishing) … Κακόβουλο λογισμικό - Ταξινομία • Άλλες κατηγορίες – συχνά συνδυάζονται με προηγούμενες • Spyware & Adware • Υποκλοπή στοιχείων και χρηστών • Αποστολή μη ζητηθεισών διαφημίσεων • Rootkits – backdoors • Χαρακτηριστικά stealth, • «Κερκόπορτες» για σύνδεση με προνόμια διαχειριστή • …

  5. Κακόβουλο λογισμικό Κύκλος Ζωής (1) • Δημιουργία • Περιέχει ένα σύνολο εντολών προς τον Η/Υ • Δεν απαιτούνται ιδιαίτερες τεχνικές γνώσεις • Αρχική Μόλυνση • Εκμετάλλευση ευπαθειών προγραμμάτων ή ανθρώπινου παράγοντα • Εγκατάσταση ώστε το φορτίο να εκτελείται συχνά ή πάντα π.χ. : ΗKLM\Software\Microsoft\Windows\CurrentVersion\Run • Εγκατάσταση ώστε η ανίχνευση & η αφαίρεση να είναι δύσκολες • Ενεργοποίηση (έκρηξη) του φορτίου (payload) - Παρενέργειες • Επιθέσεις Υποκλοπής, Διακοπής, Αλλοίωσης ή Εισαγωγής • Δεδομένα, προγράμματα, αρχεία συστήματος, τομείς εκκίνησης • Δημιουργία «κερκόπορτας» • Επιθέσεις εναντίον της διαθεσιμότητας (μνήμη, bandwidth, DDOS)

  6. Κακόβουλο λογισμικό Κύκλος Ζωής (2) • Αναπαραγωγή & Μετάδοση • Kατά την εκτέλεση του φορτίου γίνεταιπροσπάθεια να μολυνθούν άλλα υποκείμενα (προγράμματα ή Η/Υ)… • Ανίχνευση (detect) • Ανίχνευση βλαβερού κώδικα/συμπεριφοράς • Εξάλειψη – Μετάλλαξη (π.χ. πολυμορφικοί ιοί) • Το κακόβουλο λογισμικό εξαλείφεται. • Σε αρκετές περιπτώσεις, μια επανέκδοση παραλλαγμένη

  7. Κακόβουλο Λογισμικό – Aναπαραγωγή & Μετάδοση • Μέσω ηλεκτρονικής αλληλογραφίας • π.χ. Εκτέλεση συνημμένων αρχείων • Μέσω Web (κακόβουλος κώδικας ενσωματωμένος σε σελίδες html) • π.χ. Drive-by downloads, ενεργός κώδικας, ασφάλεια browsers και web servers, .. • Μέσω άλλων διαδικτυακών υπηρεσιών • Chat (IRC, Instant Messengers - IM), newsgroups … • Δίκτυα ανταλλαγής αρχείων (P2Pfile sharing) • Μέσω αφαιρούμενων αποθηκευτικών μέσων • USB, optical, floppy, zip,.. • Μέσω Δικτύων Μεταγωγής • Σάρωση δικτύου για εντοπισμό ευπαθειών εφαρμογών & υπηρεσιών • LAN, WLANs: κοινή χρήση αρχείων, μετάδοση μέσω Bluetooth,… • …

  8. Symantec Internet Security Threat Report - 2010

  9. 1. Old times

  10. Κακόβουλο λογισμικό2. Ιστορικά στοιχεία F. Cohen, “Computer Viruses”, ASP Press, 1985 …. «program that can 'infect' other programs by modifying them to include a ... version of itself»… • 1986: Brain • 1987: Christmas Card, Jerusalem • 1988: The Internet Worm • 1992: Michelangelo • 1994: Good times (hoax) • 1995: Μακρο-ιοί • 1999: Melissa • 1998: Chernobyl • 2000: ILOVEYOU • 2003: Slammer, Blaster,… • … 2006: Botnets, Wikipedia attack, Myspace/XSS, Storm worm http://www.f-secure.com/weblog/archives/maldal.jpg

  11. «Κλασσικοί» Ιοί (Viruses) • Κακόβουλο – παρασιτικό λογισμικό που αποτελείται από: • Το “Φορτίο” (payload): κώδικας που όταν εκτελείται έχει παρενέργειες: π.χ. Παραβίαση της εμπιστευτικότητας ή/και ακεραιότητας ή/και διαθεσιμότητας των δεδομένων-συστημάτων • Το Μηχανισμό Αναπαραγωγής (propagation, replication): κώδικας για την αντιγραφή σε άλλα προγράμματα (αναπαραγωγή) στον Η/Υ • Αναπαραγωγή: Οι ιοί (συνήθως) σχεδιάζονται ώστε να αναπαράγονται μόνοι τους σε έναν Η/Υ • Π.χ. Μολύνοντας διαδοχικά τα εκτελέσιμα αρχεία του Η/Υ • Μετάδοση (σε άλλον-ους Η/Υ): απαιτείται (σε μικρό ή μεγάλο βαθμό) η συμμετοχή του ανθρώπινου παράγοντα

  12. «Κλασσικοί Ιοί»Παρασιτικοί Ιοί (parasitic, file-infecting) Δημοφιλείς μέχρι την έλευση των Win 3.1 • Οι ιοί αυτής της κατηγορίας «μολύνουν»άλλα προγράμματα • Μόλυνση: Εκτέλεση του προγράμματος που «περιέχει» τον Ιό • Αναπαραγωγή: Όταν εκτελεστεί o «ξενιστής», ο ιός συχνά παραμένει στην κύρια μνήμη καιμολύνει άλλα προγράμματα που εκτελούνται • Εισαγωγή του κώδικα του ιού στον κώδικα εκτελέσιμων προγραμμάτων (..EXE, .COM, .BAT, .SYS, .BIN, .PIF,...) • Μετάδοση: μέσω αποσπώμενων αποθηκευτικών μέσων ή μέσω δικτύου • Memory-resident • Μελέτη Περίπτωσης: Jerusalem (1987) • Non-resident (direct action) • Μελέτη Περίπτωσης: ο ιός Vienna

  13. Παρασιτικοί Ιοί (parasitic, file-infecting)H διαδικασία της Αναπαραγωγής http://oncampus.richmond.edu/~dszajda/classes/cs395_computer_security/Fall_2004/slides/MaliciousLogic.ppt integrate A V A V A V A V A Pre-pend Append Overwrite

  14. Μελέτη περίπτωσης: Jerusalem(memory resident) Ανακαλύφθηκε: 10-1-1987 • Όταν εκτελεστεί το μολυσμένο αρχείο, ο ιός παραμένει στην κύρια μνήμη του Η/Υ • Φορτίο (payload) • Παρασκευή και 13: ο ιός σβήνει όλα τα προγράμματα που θα εκτελέσει ο χρήστης • Αναπαραγωγή • Μολύνει εκτελέσιμα αρχεία με επέκταση (COM, .EXE, .SYS, .BIN, .PIF, .OVL) όταν αυτά εκτελούνται

  15. Ιός - Ψευδοκώδικας http://oncampus.richmond.edu/~dszajda/classes/cs395_computer_security/Fall_2004/slides/MaliciousLogic.ppt

  16. «Κλασσικοί Ιοί»Ιοί Boot sector Δημοφιλείς μέχρι την έλευση των Win 95 • Ο ιός «μολύνει» εκτελέσιμο κώδικα συστήματος που εντοπίζει σε συσκευές βοηθητικής μνήμης (π.χ. δίσκος, δισκέτα,..) • π.χ. Τομέας Εκκίνησης (boot sector)ή MBR (Master Boot Record). • Ως αποτέλεσμα, o ιός φορτώνεται στη μνήμη κατά την εκκίνηση (boot) του συστήματος • Αναπαραγωγή: ο ιός μολύνει κάθε δίσκο ή δισκέτα που θα χρησιμοποιηθεί τοπικά στον Η/Υ. • Μετάδοση: Ένας Η/Υ μολύνεται με τον ιό όταν προσπαθεί να εκκινήσει το σύστημα π.χ. με «μολυσμένη» δισκέτα • Μελέτη Περίπτωσης: Michelangelo (1992), Brain (1986)

  17. Κλασσικοί ιοί – Υβριδικοί Ιοί (Multi-partite, ή Hybrid) • Συνδυάζουν χαρακτηριστικά δύο κατηγοριών • Περίπτωση: ιοί “Bootandfile” • Mολύνουν τομείς εκκίνησης (π.χ. MBR) & εκτελέσιμα αρχεία (.exe) • Ο ιός Ghostball (1989) ο πρώτος multipartite ιός • Περίπτωση: ο ιός Melissa (1999) • Συνδυάζει χαρακτηριστικά Μακρο-ιού και Worm • Σύγχρονο κακόβουλο λογισμικό • Σύνοψη χαρακτηριστικών δύο ή περισσότερων κατηγοριών • π.χ. Virus και trojan, trojanwormsκ.λ.π

  18. Άλλοι «Κλασσικοί Ιοί»Ιοί Companion • Εκμεταλλεύονται μια ευπάθεια του DOS • Αν υπάρχουν δύο προγράμματα με το ίδιο όνομα σε έναν κατάλογο, το Λ.Σ. θα εκτελέσει πρώτα το αρχείο .com • Ο ιός δεν μολύνει το αρχείο .exe, αλλά δημιουργεί ένα αντίγραφο με την κατάληξη .com το οποίο περιέχει το «φορτίο» του ιού • Συχνά το αρχείο αυτό μπορεί να είναι «κρυφό» (hidden) • Ομοιότητα με τους ιούς file system: δε μολύνουν τα αρχεία καθ’ αυτά • Τρόποι Μετάδοσης • Με αποθηκευτικά μέσα (μαγνητικά-οπτικά) ή μέσω δικτύου

  19. Άλλοι «Κλασσικοί Ιοί»Ιοί Συστήματος Αρχείωνκαι Flash Bios • Ιοί Συστήματος Αρχείων (filesystemvirus). Τροποποίηση του Πίνακα Καταχώρησης Αρχείων (FAT -FileAllocationTable) • Γνωστοί και ως (linkvirus), (clustervirus), (FAT virus) • Αλλαγή του συνδέσμου που «δείχνει» προς ένα πρόγραμμα, ώστε να «δείχνει» στη συστοιχία (cluster) όπου αρχίζει ο κώδικας του ιού • Εκτελείται ο ιός αντί για το πρόγραμμα • Δεν μολύνεται το πρόγραμμα καθ’ αυτό • Πρόδρομοι των σημερινών ιών τύπου rootkit - stealth • Μελέτη περίπτωσης: DIR-II • FlashBios. Αντικατάσταση (ovewriting) του BIOS • Απρόβλεπτες συνέπειες ή/και αδυναμία εκκίνησης του Η/Υ • Μελέτη Περίπτωσης: CIH/Chernobyl (1999)

  20. Μακρό - Ιοί (Macro viruses) • Δημιουργούνται με γλώσσες σεναρίων (scriptinglanguages) • Χρήση διερμηνέα (interpreter) αντί για μεταγλωττιστή (compiler) • Ανεξαρτησία από πλατφόρμα (platformindependent) • Τα σενάρια (scripts) συχνά ονομάζονται μακρο-εντολές (macros) • Αυτοματοποίηση ενεργειών & αποθήκευση με τα αρχεία • Αφορούν: Επεξεργαστές κειμένου, DBMS, υπολογιστικά φύλλα • Μολύνουν αρχεία δεδομένων (και όχι προγράμματα) • Μεταδίδονται πιο εύκολα, αφού τα έγγραφα ανταλλάσσονται συχνότερα σε σχέση με τα προγράμματα • Μελέτη περίπτωσης: Melissa (1999)

  21. O ιός Melissa (1999) http://www.heise.de/ct/99/08/017/bild.gif

  22. Mακρο-ιόςμε στοιχεία Worm. Όταν το θύμα ανοίγει το .doc ο ιός μολύνει το πρότυπο normal.dot Μόλυνση μελλοντικών εγγράφων word. OMelissa στέλνει τον εαυτό του (e-mail) στις πρώτες 50 διευθύνσεις του address book. Ο ιός είχε ως στόχο επίθεση άρνησης εξυπηρέτησης (DOS) στους mail servers. O ιός δε μόλυνε προγράμματα (όπως οι file-infecting ιοί) αλλά μόνο έγγραφα κειμένου O ιός Melissa (1999)

  23. 2. Worms & Bots

  24. Αυτό-μεταδιδόμενος κώδικας (συνήθως μικρού μεγέθους) με σκοπό τη γρήγορη εξάπλωση Μικρή ή μηδενική ανάμειξη ανθρώπινου παράγοντα κατά τη μετάδοση Αρχική Μόλυνση Εκμετάλλευση ανθρώπινου παράγο-ντα ή ευπαθειών προγραμμάτων Εξάπλωση & Μετάδοση Συνήθως αυτόματα, μέσω δικτύου Mail worms, Scanning Worms,.. 1. «Σκουλήκια» (Worms) -Γενικά

  25. Ένα πρόγραμμα που προσκολλάται σε άλλα προγράμματα, θεωρείται ιός. Όταν ταξιδεύει μόνο του, θεωρείται σκουλήκι.. «Σκουλήκια» (Worms) • Διαφορές με ιούς • Ένα worm είναι αυτόνομος κώδικας (stand-alone app), • Δεν προσκολλάται σε άλλα προγράμματα (ξενιστές) για να επιβιώσει • Δεν μολύνει προγράμματα ή αρχεία, αλλά Η/Υ • Στέλνει αντίγραφα του εαυτού του για να εκτελεστεί σε άλλους Η/Υ • Διαθέτει ικανότητες αυτομετάδοσης από Η/Υ σε Η/Υ • Οι ιοί αυτό-αναπαράγονται από πρόγραμμα σε πρόγραμμα, ωστόσο για τη μετάδοση τους σε άλλους Η/Υ απαιτείται ανθρώπινη παρέμβαση • Κυρίως επιθέσεις στη Διαθεσιμότητα των συστημάτων • The Internet Worm (1988) • ILOVEYOU (2000), ANNAKOURNIKOVA.JPG.VBS (2001), • Code Red (2001), Blaster, Slammer (2003),MyDoom (2004)

  26. Φορτίο Άρνηση εξυπηρέτησης (π,χ, bandwidth, υπολογιστικών πόρων φόρτος σε mail servers) Δημιουργία κερκόπορτας με σκοπό την εξ’ αποστάσεως διαχείριση Δημιουργία δικτύων Botnets Κακόβουλο φορτίο (π.χ. αλλοίωση, διαγραφή) Περίπτωση: Witty, Nyxem,… «Σκουλήκια» (Worms)Φορτίο (Payload) Ψευδοκώδικας του Witty worm http://www.usenix.org/events/imc05/tech/full_papers/kumar/kumar_html/index.html

  27. «Σκουλήκια» (Worms)Μετάδοση • Αυτό-μεταδιδόμενα (self-replicating) προγράμματα • π.χ. στέλνοντας e-mail σε όσους βρίσκουν στο βιβλίο επαφών • Επιτίθενται σε ευπαθείς δικτυακές εφαρμογές ή ευπαθείς υπηρεσίες & πρωτόκολλα Λειτουργικών Συστημάτων • Επιθέσεις σε hosts στο LAN ή σε απομακρυσμένους Η/Υ στο Internet • Π.χ. Επιθέσεις Υπερχείλισης - bufferoverflow(Περιπτώσεις blaster, Slammer, Codered…) • Χρήση κοινόχρηστων αρχείων και φακέλων στο LAN • Χρήση λειτουργιών προγραμμάτων συνομιλίας (IRC ή IΜ) • Χρήση προγραμμάτων ανταλλαγής αρχείων P2P

  28. 2. E-Mail Worms mail server Μολυσμένος Η/Υ Από x προς a Από x προς b Από x προς c Χρήστης: Ανοίγει συνημμένο αρχείο infected computer infected computer c Μολυσμένοι Η/Υ b a

  29. ANNAKOURNIKOVA.JPG.VBS (2001), http://www.f-secure.co.jp/v-descs/v-descs2/onthefly.htm

  30. Τοπολογία Δικτύου Εξάπλωσης: Οι γείτονες του δικτύου είναι οι «διευθύνσεις» ηλεκτρονικής αλληλογραφίας στο βιβλίο διευθύνσεων του θύματος… http://www.acims.arizona.edu/PUBLICATIONS/Presentations/VirusProp.ppt

  31. Μελέτη Περίπτωσης: «Σκουλήκι» ILOVEYOU • Μόλυνση: εκτέλεση συν. αρχείου • Αναπαραγωγή: • Εντοπίζει αρχεία .JPG, JPEG, MP3, MP2, VBS, JS, και τα αντικαθιστά με αντίγραφο του, με κατάληξη .vbs www.caj.co.jp/tec/ tec_n/f_il0005iloveyou.htm • Προσθέτει την ακόλουθη εγγραφή στο Μητρώο του συστήματος • HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\Win32DLL=WINDOWS\Win32DLL.vbs • Μετάδοση • Το worm στέλνει τον εαυτό του στις επαφές του βιβλίου διευθύνσεων • Επίσης χρησιμοποιεί λογισμικό IRC client (εάν είναι εγκατεστημένο) • Εξάπλωση: 45 εκ. χρήστες έλαβαν το email σε μία ημέρα (2000)

  32. 3. Scanning Worms • Random Scanning • Το σκουλήκι επιλέγει τυχαία μια διεύθυνση IP από το εύρος των πιθανών διευθύνσεων • Περιπτώσεις: Slammer, Code Red Ι,… • Local Preference • Το σκουλήκι επιλέγει με μεγαλύτερη πιθανότητα μια διεύθυνση από το ίδιο δίκτυο (π.χ. /16 ή /32) • Περιπτώσεις: Blaster, Code Red II,… IPv4 space • Ένα «Μελλοντικό» worm • Εφοδιασμένο με λίστα (hitlist) από «γνωστές» διευθύνσεις κόμβων με ευπαθές λογισμικό • FlashWorm[Stanifordetal 2002]

  33. Μελέτη Περίπτωσης: The Internet Worm (1988) • Μόλυνση & Μετάδοση: Εκμετάλλευση ευπάθειας των προγραμμάτων fingerd& sendmailσε συστήματα UNIX • Π.χ. Επίθεση στο fingerd • Επίθεση υπερχείλισης καταχωρητή (buffer overflow) στο σύστημα που «τρέχει» το fingerd • Το worm εκτελείται ως root και εγκαθίσταται στο σύστημα • Στη συνέχεια επιτίθεται σε άλλα συστήματα • Από λάθος, το worm επιτιθόταν σε Η/Υ που είχαν ήδη μολυνθεί! • 6.000 υπολογιστές (10% του Internet) κατέρρευσαν

  34. Μόλυνση Υπερχείλιση καταχωρητή (IIS Web server 4.0) Μετάδοση Δημιουργία λίστας τυχαίων IP διευθύνσεων και απόπειρα μόλυνσης Φορτίο Επίθεση στο whitehouse.gov (Code Red I) Μελέτη Περίπτωσης:Code Red I και ΙΙ (2001) www.ciac.org/ciac/ bulletins/l-117.shtml www.ciac.org/ciac/ bulletins/l-117.shtml • 359.000 μολύνσεις- 14 ώρες ( CERT)

  35. Slammer (Sapphire) Worm- January 25, 2003 74855 μολυσμένοι κόμβοιμέσα σε 30 λεπτά !! – Το πλέον «γρήγορο» σκουλήκι μέχρι σήμερα http://www.caida.org/analysis/security/sapphire/

  36. Ταχύτατη εξάπλωση 55.000.000 ανιχνεύσεις το δευτερόλεπτο !! Ο μολυσμένος πληθυσμός διπλασιάζεται κάθε 8.5 ’’ 90% των ευπαθών συστημάτων μολύνθηκαν σε 10’ από την εμφάνιση του worm Slammer Worm • Μόλυνση • Υπερχείλιση (SQL server) • Μετάδοση • Δημιουργία λίστας τυχαίων IP διευθύνσεων • Αποστολή ενός πακέτου 376-bytes στην θύρα UDP/1434 για κάθε διεύθυνση IP της λίστας • Χρήση πρωτοκόλλου UDP στο επίπεδο μεταφοράς • Φορτίο • Όχι κακόβουλο

  37. Blaster (worm) – Αύγουστος 2003 http://www.upenn.edu/computing/virus/03/w32.blaster.worm.html

  38. Μελέτη Περίπτωσης: Blaster (worm) • Μόλυνση & Μετάδοση: Αυτόματη (μέσω δικτύου) • Λ.Σ.: Windows 2000 & Windows XP • Ευπάθεια: υπηρεσία RPC (135 TCP) • Υπερχείλιση καταχωρητή (bufferoverflow) • Λήψη και εκτέλεση του worm (msblast.exe) • Υπηρεσία tftp – (69 UDP) • Φορτίο (Payload) • Αλλαγή του Μητρώου.. • Λογική Βόμβα: Επίθεση (DDOS) στο windowsupdate.com στις 16–08-2003 • Μήνυμα σφάλματος στην υπηρεσία RPC  Επανεκκίνηση • Αντιμετώπιση • Απαιτείται και ενημέρωση του Λ.Σ. (patch) • Ωστόσο το ευπαθές σύστημα που συνδέεται στο δίκτυο υφίσταται (από γειτονικούς, μολυσμένους κόμβους) επιθέσεις υπερχείλισης  επανεκκίνηση

  39. MyDoom (worm) - 2004 vil.nai.com/vil/ content/v_131868.htm

  40. Μελέτη Περίπτωσης: MyDoom (worm) - 2004 • Μόλυνση: λήψη παραπλανητικού e-mail και εκτέλεση συν. αρχείου • Μετάδοση: μέσω e-mail ΚΑΙ μέσω δικτύων P2P • Αποστολή e-mail στις επαφές του βιβλίου διευθύνσεων • Αντιγραφή του worm στο διαμοιραζόμενο φάκελο του KAZAA • Φορτίο (Payload) • Αλλαγή στο Μητρώο… • «Κερκόπορτα» (backdoor) – στη θύρα 3127 (TCP) • Επίθεση (DDOS) στον δικτυακό τόπο www.sco.com (στις 1 ΦΕΒ 2004) • Παραλλαγές του worm: Επίθεση σε μηχανές αναζήτησης (26 ΙΟΥΛ)

  41. Περίπτωση: Το Σκουλήκι Nimda (2001)

  42. Κατηγορία: XSS (Cross-Site Scripting) Το σκουλήκι εκμεταλλεύεται Ευπάθεια στην εφαρμογή QuickTime Ευπάθεια στην εφαρμογή Web (MySpace) Αρχική Μόλυνση: Αναπαραγωγή του «κακόβουλου» αρχείου video Φορτίο: Αλλαγή προφίλ χρήστη Οι σύνδεσμοι στη σελίδα του παραπέμπουν στο phishing site Αντίγραφο κακόβουλου αρχείου video ενσωματώνεται στη σελίδα του χρήστη To ΣκουλήκιQuickTime - XSS

  43. «Κλασσική» εξάπλωση Μετά την αρχική μόλυνση, στέλνει τον εαυτό του σε χρήστες του address book Μετάλλαξη: Συνδέεται σε απομακρυσμένο server και «κατεβάζει» μια ενημέρωση του κώδικά του Πολυμορφικές Ιδιότητες ! Server-side polymorphism Ανήκει στη λεγόμενη «νέα γενιά» To ΣκουλήκιWarezov (2006) http://www.f-secure.com/weblog/archives/archive-092006.html

  44. * * (Bailey et al, 2009) (Feily et al, 2009) * * Bots & BotnetsIntroduction (Liu et al, 2009) (Giu et al, 2007) Bots • Self-propagating application that infects hosts through direct exploitation or Trojans… What makes them special? • Establish Command & Control cha-nnel (C&C) for updates & direction • Bots then run as an automated task over the Internet (“robot”) • Infected hosts: “zombies” Botnets • Many bots under control of a C&C server form a botnet • Difference with worms: bots coo-perate towards a common purpose Initial Infection: How? • Similar to other malware classes • Scanning for vulnerabilities (like scanning worms) • Send E-mail with attachments (like mail worms) • File sharing, P2P networks, IM,… • Drive-by downloads, • Social engineering,… • Combination of the above ! Other features • Some bots try to evade detection • like rootkits • Thousands of variants * *

  45. Bots & BotnetsHow it works: (Case) A Spamming Botnet * • A botnet operator unleashes some malware (viruses, worms or trojans) • The bot is their payload ! • The bot logs into a particular C&C server (e.g., IRC or Web server). • A spammer purchases the services of the botnet from the operator & provides spam messages to operator • Operator instructs compromised machines via the control panel on C&C server, to send out spam msgs

  46. Economics Collection of slave computing to be sold for illicit activities Spamming: About 70%-90% of spam today is due to botnets Phishing: Zombies may be used as web hosts for phishing attacks Mounting DDOS attacks: TCP SYN, UDP flooding,… Information leakage: retrieve (& sell) usernames & passwords Click Fraud:promote CTR (clickthrough rate) artificially Botnet Attacks * (Liu et al, 2009) * € € * * *, * *

  47. Bots & BotnetsLife cycle of a Bot * (Giu et al, 2007) Cycle • Target scanning • infection exploit • binary egg download & exec • C&C channel establishment • outbound scanning

  48. Bots & BotnetsLife cycle of a Bot * (Giu et al, 2007) Cycle • Target scanning • infection exploit • binary egg download & exec • C&C channel establishment • outbound scanning

  49. Bots & BotnetsLife cycle * (Liu et al, 2009)

More Related