: złośliwe oprogramowanie Marek Zachara http://marek.zachara.name 1/18
Czym jest : Malicious Software 'Wirusy' komputerowe Analogia biologiczna Tradycyjnie rozpowszechniane przez doklejanie do plików oraz 'infekcję' nośników danych Kluczowy moment: Internet Nowe metody dystrybucji Możliwość sterowania Komunikacja zwrotna do właściciela Armia 'agentów/niewolników' 2/18
3/18
Klasyfikacja Modyfikowalne Sterowane Backdoor / attack vector Autonomiczne Payload Robaki (ang. worms) Dystrybucja z oprogramowaniem Namówienie użytkownika Metoda infekcji Nośniki danych Inne... 4/18
Wybrane metody działania: Podsłuchanie poufnych danych keyloggers, screenloggers itp. Podmiana informacji 'w locie' i konfiguracji M t B, local proxy, routing, DNS Wykorzystanie zasobów / rozproszenia click stealers, spam senders, DdoS Wykorzystanie mocy obliczeniowej BitCoin mining, łamanie haseł Ransomware Rogue Anti Illegal content containers 5/18
'Sławne' I Love You (2000) Wykorzystywał social engineering, infekcja do 10% populacji PC Zeus (2008) Jeden z pierwszych specjalizowanych botów 'password stealer' StuxNet (2005 2009?) Skala nakładów, cztery 0 day exploits 6/18
) es Zeus Eksport certyfikatów prywatnych Odczyt haseł w lokalnym kontenerze Windows Protected Storage Monitorowanie i wyłapywanie haseł w typowych protokołach (POP3, FTP itd.) Keylogger, screenlogger Podmiana HTML Odczyt SID i tokenów autoryzacyjnych Routing ruchu Poszukiwanie ofiar w lokalnej sieci itd... Source: FBI / Wikimedia Commons 7/18
Policja przyjmuje 'dobrowolne datki' Source: http://www.komputerswiat.pl, http://usunwirusa.pl 8/18
Cryptolocker zapłać za swoje dane Source: http://cdn.arstechnica.net 9/18
Bot nety: kolejny poziom Zorganizowane sieci 'zombie' Specjalizowane, choć z możliwością aktualizacji Srizbi (2008) 60 mld wiadomości dziennie (60 70% spamu) ZeroAccess (2011) 2 mln PCs, click fraud / Bitcoin zużycie energii jak 100 000 domów Conflicker (2009) 15 mln zainfekowanych, 3 4 mln w szczycie Zeus (2014) 0,5 1 mln PCs, nastawienie na konta bankowe 10/18
Source: http://docs.apwg.org/reports/ Source: https://www.av test.org/ Source: http://www.hackmageddon.com/ 11/18
Geograficzny rozkład infekcji Source: http://www.virusbtn.com/ 12/18
na platformy Większość ataków skierowana na użytkownika Szkodliwe oprogramowanie podpinane do aplikacji Pierwszy wirus (Symbian/ARM) 2004 Pierwsze Malnets (Botnets) aktywne od 2012 ZEUS i inne aplikacje nastawione na przejęcie dostępu do serwisów finans. 13/18
go Source: http://forbes.com/ Source: https//securelist.com/ 14/18
Choć ilość na Android a jest relatywnie duża, nie oznacza to jednak że przeciętny użytkownik jest specjalnie zagrożony. Ryzyko wiąże się przede wszystkim z użyciem aplikacji 'czarnego rynku' tzw. warez Source: http://forbes.com/ 15/18
i antywirusy Tzw. antywirusy z reguły opierają się na sygnaturach wzorcach określających charakterystyczną cechę / fragment kodu Niejako z definicji, sygnatury powstają po zidentyfikowaniu nowej wersji wirusa Ergo: praktycznie brak przed 'zero day' exploit 16/18
Przeciwdziałania Techniczne (heurystyczne) Analiza ruchu Analiza zachowań Wyłączenia serwerów C&C botnetów Socjologiczne Budowanie jednolitych wzorców zachowań, najlepiej dla całej branży Ograniczenie zmian Informacje / szkolenia Wrzesień 2013 Symantec 'atakuje' ZeroAccess Atak poprzez podatność w protokole Rezultat odłączenie ok. 0,5mln 'botów' 17/18
Dziękuję za uwagę. Pytania? Dokument udostępniany na licencji Creative Commons Attribution Share Alike Wykorzystane materiały które nie miały wcześniej podanego źródła: Clipart openclipart.org Elementy licencjonowane (royalty free), nie mogą być wykorzystywane oddzielnie: Tło prezentacji, awatary postaci więcej informacji: http://marek.zachara.name 18/18