Malware przegląd zagrożeń i środków zaradczych Tomasz Gierszewski Politechnika Gdańska Energa-Operator S.A.
Plan prezentacji Definicje malware Motywacja napastników Klasyfikacja malware Cykl życia Wykrywanie malware Techniki unikania detekcji Podsumowanie
Definicje malware Definicje szerokie pojęciowo dowolny rodzaj złośliwego kodu zaprojektowany aby zakłócić normalne działanie systemu lub usług malware ogólne określenie wirusów, koni trojańskich, opr. szpiegowskiego i innego rodzaju inwazyjnego kodu zestaw instrukcji, które uruchomione na komputerze wykonają cel zamierzony przez napastnika
Definicje malware Definicje specyficzne kod, który bez zgody użytkownika zmienia zachowanie jądra systemu lub jego komponentów w sposób uniemożliwiający wykrycie tych zmian udokumentowanymi narzędziami systemu operacyjnego oprogramowanie zaprojektowane do infiltracji systemu komputerowego bez zgody właściciela
Motywacja napastników Podziemny rynek dane osobowe dane kart kredytowych dane paszportowe dane polis konta gier on-line konta pocztowe konta dostępu zdalnego konta bankowości on- ubezpieczeniowych Niekoniecznie konkretna osoba staje się celem ataki niecelowane Stacja robocza (adres IP) jest dobrem (!) ataki DDoS SPAM pozycjonowanie serwisów
straty (USD) miliardy Straty na skutek ataku i złożoność malware w czasie miliony Ataki.celowane.(APT). Cyberwojna. setki tysięcy tysiące Cyberprzestępczość. setki Cyberwandalizm. czas
Popularna klasyfikacja wirusy robaki (ang. worms) konie trojańskie (ang. Trojans) tylne wejścia (ang. backdoors) rootkity oprogramowanie szpiegowskie (ang. spyware) oprogramowanie żądające okupu (ang. ransomware)
Klasyfikacja propozycja kryterium Właściwość Malware niecelowane Malware typu APT liczba etapów infekcji pojedynczy większa liczba etapów zdolność przetrwania pojedyncza podatność wiele podatności ponowne wykorzystanie kodu złożoność wysokie niska niskie wysoka
Przykłady malware związane z systemami sterowania Stuxnet długofalowe działanie pozostające w ukryciu (dywersja) DuQu (czasami nazywany Stuxnetem 2.0) ponowne wykorzystanie kodu malware stworzone do rekonesansu i przygotowania dalszego ataku gromadzenie m. in. kluczy uwierzytelniających w komunikacji M2M Sandworm Dragonfly
Cykl życia Nowe malware ponowne wykorzystanie kodu nowe koncepcje Detekcja manualna dystrybucja sygnatur Przygotowanie wektora infekcji bazującego na sieci bazującego na innym medium Działanie eksfiltracja danych nadużycie stacji Infekcja ofiar pionowa pozioma Utrzymanie dostępu model hierarchiczny model rozproszony (P2P)
Kluczowe pytania do ofiary ataku Kto jest zainteresowany danym użytkownikiem/ przedsiębiorstwem? Jakie są cele napastników na co przypuszczany jest atak? Od kiedy trwa proces? Skąd rozpoczął się atak, dokąd zmierza? Jaki jest powód ataku? W jakim stopniu napastnicy są zaspokojeni?
Cele zwalczania malware który z komputerów jest zainfekowany analiza systemu/sieciowa czy dany system jest zainfekowany określenie sposobu, w jaki doszło do infekcji usunięcie malware z systemu aktualizacja sygnatur/przygotowanie szczepionki dzielenie się informacją zapobieżenie przyszłym infekcjom
Wykrywanie malware Środowiska zautomatyzowane vs. detekcja manualna Wykrywanie sygnaturowe vs. detekcja anomalii wykrywanie na podstawie odstępstwa od typowego zachowania systemu wydajność detekcji vs. kompletność/dokładność Analiza systemu vs. analiza ruchu sieciowego Analiza statyczna vs. analiza dynamiczna
Minimalizacja zagrożeń na przykładzie OSD eksploatującego AMI Energa Operator S.A. Wieloetapowa inspekcja ruchu IP Sygnaturowe rozpoznawanie zagrożeń przez rozwiązania pochodzące od różnych dostawców Odrębne mechanizmy ochronne sieci LAN, DMZ i TAN Nakładkowy model ochrony systemów o długim czasie życia i modelu pracy 24/7/365 Narzędzia obsługi incydentów oparte o systemy SIEM
Malware w kontekście obsługi incydentów bezpieczeństwa IT Uwspólnianie wiedzy na temat infekcji malware Warstwa'5W/wywiad' szerszy'kontekst'infekcji' 'pla4orma,'warunki'ataku,' łatwość'wykorzystania'podatności' 'IODEF,'STIX,'YARA' Wskaźniki' sygnatury' 'SNORT,'ClamAV,'PEiD' Warstwa'sesji/transportu' protokoły' 'RID,'ROLIE,'TAXII'
Techniki unikania detekcji Kod odporny na debuggowanie osadzanie kodu Omijanie wykrywania ataku Detekcja maszyny wirtualnej opóźnienie wykonania czekanie na aktywność użytkownika Wielowątkowość wątek-strażnik
Techniki unikania detekcji Zapobieganie analizie wstecznej Zaawansowana, wieloskładnikowa kompresja kodu wykonywalnego Manipulacja znacznikami czasowymi Zaciemnianie kodu jedna z bardziej rozbudowanych technik, istnieje cała masa środków zaciemniających kod w sposób bardziej lub mniej wyrafinowany, co w dużym stopniu utrudnia analizę manualną
Najnowsze trendy w malware Malware wieloprocesowe Wykorzystanie sieci TOR do ukrywania informacji w ruchu sieciowym Malware działające ponad systemem operacyjnym dzięki mechanizmom wirtualizacji (malware typu II wg taksonomii J. Rutkowskiej) Zaciemnianie kodu z wykorzystaniem architektury pamięci podręcznej
Podsumowanie Malware stanowi istotne zagrożenie dla bezpieczeństwa IT, w szczególności OSD Sygnaturowa detekcja statyczna posiada istotne ograniczenia konieczne jest stosowanie szeregu innych metod Budowa SOC, wieloetapowe analizowanie ruchu oraz korelacja zdarzeń są niezbędne do wykrywania nowych zagrożeń