1 / 24

הגנה במערכות מתוכנתות

הגנה במערכות מתוכנתות. תרגול 9 - Storm Worm. Storm. החלה לפעול בינואר 2007 בעצם סוס טרויאני ולא תולעת היקפה לא ידוע במדויק 250,000 – 50,000,000 מחשבים בספטמבר 2007 8% מה- malware יוחס לה בשיאה עפ"י הסברה המקובלת, הגוף שעומד מאחוריה הוא RBN עושה שימוש ב- botnet. botnet.

burton
Download Presentation

הגנה במערכות מתוכנתות

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. הגנה במערכות מתוכנתות תרגול 9 - Storm Worm

  2. Storm • החלה לפעול בינואר 2007 • בעצם סוס טרויאני ולא תולעת • היקפה לא ידוע במדויק • 250,000 – 50,000,000 מחשבים בספטמבר 2007 • 8% מה-malware יוחס לה בשיאה • עפ"י הסברה המקובלת, הגוף שעומד מאחוריה הוא RBN • עושה שימוש ב-botnet הגנה במערכות מתוכנתות - תרגול 9

  3. botnet • רשת מחשבים "זומביים" המחכים לפקודות מהמפעיל • כח מחשוב רב • כלי אידיאלי לביצוע התקפות DDoS או משלוח spam הגנה במערכות מתוכנתות - תרגול 9

  4. שלבי פעולת הקוד הזדוני הדבקה ראשונית התחברות לרשת P2P וקבלת פקודות ביצוע התקפות התחמקות מגילוי הגנה במערכות מתוכנתות - תרגול 9

  5. הדבקה ראשונית הקרבן מקבל דוא"ל הנושא כותרת מעניינת ומכיל קישור לאתר הגנה במערכות מתוכנתות - תרגול 9 February 2008 Storm Worm 5

  6. הדבקה ראשונית – הנדסה חברתית • האתר אליו מופנה הקורבן מכיל את התולעת ומדביק את הקורבן • מתמרן את הקרבן להוריד ולהתקין את התולעת • מנצל חורי אבטחה בדפדפן ובמערכת ההפעלה הגנה במערכות מתוכנתות - תרגול 9

  7. הדבקה ראשונית (המשך...) תשובה: רשתות fast-flux הקרבן שמתפתה להכנס לאתר, להוריד ולהתקין תכנה מודבק בקוד הזדוני בנוסף הוא מקבל גם קובץ המכיל רשימת "חברים" (peers) לרשת P2P שאלה: מדוע לא ניתן להתחקות אחר הלינק בדוא"ל המדביק ולהשבית את האתר הזדוני? הגנה במערכות מתוכנתות - תרגול 9

  8. תזכורת – מציאת IP עפ"י שם root nameserver 198.41.0.4 2 3 Try 207.74.112.1 4 Local DNS org nameserver 207.74.112.1 Try 207.142.131.234 6 5 8 It’s at xxx.xx.xx.xxx Wikipedia.org nameserver 207.142.131.234 1 7 Where’s www.wikipedia.org ? 9 Wikipedia webserver xxx.xx.xx.xxx תזכורת: מחשבים ברשת מזוהים על פי כתובת ה-IP שלהם, מספר בן 32 סיביות שרתי DNS מתרגמים שמות לכתובות IP הגנה במערכות מתוכנתות - תרגול 9

  9. רשתות fast-flux ברשתות fast-flux, כאשר המשתמש גולש לאתר לפי שם האתר, הוא יגיע בכל פעם לכתובת IP שונה קוד התולעת נמצא על שרת, "ספינת האם" כאשר הקרבן מקליק על הקישור הוא מופנה למחשב proxy שמקשר בינו לבין "ספינת האם" בידי התוקפים מספר רב של מחשבי proxy שביניהם מתבצע סבב הגנה במערכות מתוכנתות - תרגול 9

  10. רשתות fast-flux (המשך...) מפעילי ה-botnet מחזיקים domain משלהם שרת ה-DNS שלהם דואג להחזיר בכל פעם כתובת IP של מחשב proxy אחר הגנה במערכות מתוכנתות - תרגול 9

  11. התחברות לרשת P2P (הדבקה משנית) קובץ ההרצה הראשוני מנסה להתחבר לחברים (peers) ברשת P2P (windir/system32/wincom32.ini) המחשב הנגוע מקבל דרך רשת ה-P2P כתובות URL מהן הוא מוריד עדכונים וכלים לביצוע התקפות הגנה במערכות מתוכנתות - תרגול 9

  12. P2P בשירות Storm • בד"כ שליטה ברשתות botnet נעשית ע"י פרוטוקול שרת-לקוח (http, IRC, ...) • כל מחשב ב-botnet צריך להחזיק מידע על השרת, דבר המקל על זיהוי השרת • אם מנתקים את השרת או פוגעים בו, השליט מאבד שליטה על ה-botnet. • מסיבות אלו בחרו יוצרי Storm להשתמש ברשת P2P הגנה במערכות מתוכנתות - תרגול 9

  13. P2P בשירות Storm • תהליך קבלת הפקודה של מחשב נגוע נראה כך: • המחשב הנגוע מגריל מחרוזות מבין 32 מחרוזות חיפוש אפשריות לאותו יום ומבקש למצוא אותן ברשת (subscribe) • שליטי ה-botnet מפיצים הודעות (publish) עבור אותן 32 מחרוזות אפשריות. כל הודעה כוללת: מפתח חיפוש (מחרוזת) וכתובת URL מוצפנת • המחשב הנגוע מפענח את כתובת ה-URL ומוריד ממנה קבצי פקודה (game0.exe – game5.exe) הגנה במערכות מתוכנתות - תרגול 9

  14. P2P בשירות Storm publish: (“e4x$po”,192.68.14.15) search for: “e4x$po” (“e4x$po”,192.68.14.15) 192.68.14.15 הגנה במערכות מתוכנתות - תרגול 9

  15. קבלת פקודות • ה"פקודות" בגרסת Peacom.c: • game0.exe – backdoor / מוריד קבצים • game1.exe – SMTP Relay • game2.exe – כלי לגניבת כתובות דוא"ל • game3.exe – כלי להפצת התולעת בדוא"ל • game4.exe – כלי לביצוע התקפות DDoS • game5.exe – גרסה מעודכנת של ה-Storm Worm Dropper הגנה במערכות מתוכנתות - תרגול 9

  16. ביצוע התקפות בידי מפעילי ה-Storm botnet כח מחשוב רב בו הם יכולים לעשות שימוש כרצונם ההתקפות הנפוצות ביותר הן DDoS (Distributed Denial of Service) ומשלוח spam הגנה במערכות מתוכנתות - תרגול 9

  17. ביצוע התקפת DDoS • בהתקפת DDoS פונים הרבה מחשבים בו-זמנית לשרת המותקף ע"מ להציף אותו בהודעות ולגרום לקריסתו • ב-Storm, game4.exe משמש לביצוע התקפת DDoS • יעד וסוג ההתקפה מתקבלים בקובץ קונפיגורציה שנמצא באתר שכתובתו מקודדת בגוף game4.exe • הקורבנות – שונים ומגוונים: • ספקי שירותים תמימים (capitalcollect.com) • חברות anti-malware • קבוצות ספאם מתחרות • ... הגנה במערכות מתוכנתות - תרגול 9

  18. הסתתרות מגילוי – התחמקות מאנטי-וירוסים • לאורך הזמן, מנהלים כותבי האנטי-וירוסים וכותבי הוירוסים משחקי חתול-עכבר: • אנטי-וירוסים מזהים וירוסים עפ"י "חתימה אישית" • וירוסים מצפינים את עצמם • אנטי-וירוסים מזהים את ה"חתימה האישית" של החבילות הקריפטוגרפיות (packers) • Storm – מצפין גם את ה-packer שבו הוא משתמש הגנה במערכות מתוכנתות - תרגול 9

  19. התחמקות מאנטי-וירוסים (המשך...) • כלי נוסף של אנטי-וירוסים: "ארגז חול" (sandbox) • סביבה מוגנת שבה האנטי-וירוס יכול להריץ את הקובץ החשוד בלי לאפשר לו לפגוע במערכת • התהליך רץ באזור מבודד בזיכרון • הגישה למשאבים מוגבלת ביותר • "ארגז החול" מאפשר ללמוד על הקוד הזדוני מתוך אופן פעולתו הגנה במערכות מתוכנתות - תרגול 9

  20. התחמקות מאנטי-וירוסים – Storm vs. Sandbox Storm משתמש בערך (קבוע) המוחזר מקריאת מערכת ע"מ לחשב את מפתח הפענוח של ה-packer קריאות המערכת בהן Storm עושה שימוש הן קריאות מערכת ישנות שאינן בשימוש בפועל (Legacy) רוב תוכנות האנטי-וירוס אינן מסמלצות את קריאות המערכת הללו ולכן נגרמת חריגה כאשר הן מנסות להריץ את Storm ב"ארגז החול" הגנה במערכות מתוכנתות - תרגול 9

  21. התחמקות מאנטי-וירוסים – Storm vs. Sandbox )מתוך Antirootkit.com) הגנה במערכות מתוכנתות - תרגול 9

  22. הסתתרות מגילוי • עוד שיטות ש-Storm משתמש בהן: • הורג תהליכים שמפריעים לו (אפילו malware אחרים) • משתק תהליכים – נראים כאילו הם רצים כרגיל כאשר בעצם אינם עושים דבר • תוקף חברות anti-malware וחוקרים • מצפין את התקשורת ברשת ה-P2P הגנה במערכות מתוכנתות - תרגול 9

  23. סיכום • Storm הציג לעולם ה-malware טכניקות חדשות ומשוכללות • המוטיבציה מאחורי Storm – כסף! • משלוח spam • התקפות על מתחרים עסקיים • חלוקת הרשת לסגמנטים והשכרתם תמורת כסף • בעקבות עדכונים בכלי להסרת תכניות זדוניות של מיקרוסופט הצטמצם היקפה בצורה ניכרת • 47,000 מחשבים עפ"י דיווחים באוקטובר 2008 הגנה במערכות מתוכנתות - תרגול 9

  24. סיכום (2) • בספטמבר 2008 – השתתקות פתאומית • הפסיקה לנסות להדביק משתמשים חדשים • התקשורת ברשת ה-P2P השתתקה • חוקרים חדרו לרשת והשתלטו עליה? • יוצרי הקוד הזדוני החליטו להקפיא אותו ולהכניס שינויים העקבות המידע שנצבר אצל קהילת אבטחת המידע? הגנה במערכות מתוכנתות - תרגול 9

More Related