Malware: złośliwe oprogramowanie. Marek Zachara. 1/18

Transkrypt

1 : złośliwe oprogramowanie Marek Zachara 1/18

2 Czym jest : Malicious Software 'Wirusy' komputerowe Analogia biologiczna Tradycyjnie rozpowszechniane przez doklejanie do plików oraz 'infekcję' nośników danych Kluczowy moment: Internet Nowe metody dystrybucji Możliwość sterowania Komunikacja zwrotna do właściciela Armia 'agentów/niewolników' 2/18

3 3/18

4 Klasyfikacja Modyfikowalne Sterowane Backdoor / attack vector Autonomiczne Payload Robaki (ang. worms) Dystrybucja z oprogramowaniem Namówienie użytkownika Metoda infekcji Nośniki danych Inne... 4/18

5 Wybrane metody działania: Podsłuchanie poufnych danych keyloggers, screenloggers itp. Podmiana informacji 'w locie' i konfiguracji M t B, local proxy, routing, DNS Wykorzystanie zasobów / rozproszenia click stealers, spam senders, DdoS Wykorzystanie mocy obliczeniowej BitCoin mining, łamanie haseł Ransomware Rogue Anti Illegal content containers 5/18

6 'Sławne' I Love You (2000) Wykorzystywał social engineering, infekcja do 10% populacji PC Zeus (2008) Jeden z pierwszych specjalizowanych botów 'password stealer' StuxNet ( ?) Skala nakładów, cztery 0 day exploits 6/18

7 ) es Zeus Eksport certyfikatów prywatnych Odczyt haseł w lokalnym kontenerze Windows Protected Storage Monitorowanie i wyłapywanie haseł w typowych protokołach (POP3, FTP itd.) Keylogger, screenlogger Podmiana HTML Odczyt SID i tokenów autoryzacyjnych Routing ruchu Poszukiwanie ofiar w lokalnej sieci itd... Source: FBI / Wikimedia Commons 7/18

8 Policja przyjmuje 'dobrowolne datki' Source: 8/18

9 Cryptolocker zapłać za swoje dane Source: 9/18

10 Bot nety: kolejny poziom Zorganizowane sieci 'zombie' Specjalizowane, choć z możliwością aktualizacji Srizbi (2008) 60 mld wiadomości dziennie (60 70% spamu) ZeroAccess (2011) 2 mln PCs, click fraud / Bitcoin zużycie energii jak domów Conflicker (2009) 15 mln zainfekowanych, 3 4 mln w szczycie Zeus (2014) 0,5 1 mln PCs, nastawienie na konta bankowe 10/18

11 Source: Source: test.org/ Source: 11/18

12 Geograficzny rozkład infekcji Source: 12/18

13 na platformy Większość ataków skierowana na użytkownika Szkodliwe oprogramowanie podpinane do aplikacji Pierwszy wirus (Symbian/ARM) 2004 Pierwsze Malnets (Botnets) aktywne od 2012 ZEUS i inne aplikacje nastawione na przejęcie dostępu do serwisów finans. 13/18

14 go Source: Source: https//securelist.com/ 14/18

15 Choć ilość na Android a jest relatywnie duża, nie oznacza to jednak że przeciętny użytkownik jest specjalnie zagrożony. Ryzyko wiąże się przede wszystkim z użyciem aplikacji 'czarnego rynku' tzw. warez Source: 15/18

16 i antywirusy Tzw. antywirusy z reguły opierają się na sygnaturach wzorcach określających charakterystyczną cechę / fragment kodu Niejako z definicji, sygnatury powstają po zidentyfikowaniu nowej wersji wirusa Ergo: praktycznie brak przed 'zero day' exploit 16/18

17 Przeciwdziałania Techniczne (heurystyczne) Analiza ruchu Analiza zachowań Wyłączenia serwerów C&C botnetów Socjologiczne Budowanie jednolitych wzorców zachowań, najlepiej dla całej branży Ograniczenie zmian Informacje / szkolenia Wrzesień 2013 Symantec 'atakuje' ZeroAccess Atak poprzez podatność w protokole Rezultat odłączenie ok. 0,5mln 'botów' 17/18

18 Dziękuję za uwagę. Pytania? Dokument udostępniany na licencji Creative Commons Attribution Share Alike Wykorzystane materiały które nie miały wcześniej podanego źródła: Clipart openclipart.org Elementy licencjonowane (royalty free), nie mogą być wykorzystywane oddzielnie: Tło prezentacji, awatary postaci więcej informacji: 18/18