Počítačové vírusy a červy BIS Vladimír Zárik, 2008

Vírus vs. Červ Vírus Šírenie hlavne v rámci PC, cieľom aplikácie, spustiteľné súbory Historicky staršie Málo využívaný sieťový subsystém Typický payload: ničenie, šifrovanie dát; odstavenie AV, inštalácia backdooru, vizualne/zvukové prejavy Virus vs cerv – virus – parazitujuci kod vlozeny do tela aplikacie schopny replikacie v ramci PC, hlavnym cielom su aplikacie, spustitelne subory, historicky starsia podoba, malo vyuziva sietovy subsystem (kopirovanie na sietovy disk, infikovana priloha e-mailu), typicky payload – nicenie dat, instalacia backdooru, odstavenie funkcie antiviroveho programu, vizualne/zvukove prejavy

Vírus vs. Červ #2 Červ Nepotrebuje hostiteľskú aplikáciu, na spustenie využíva chyby v aplikáciach, OS Po spustení scanuje sieť na napadnuteľné hosty Používa rôzne bežné komunikačné kanály: e-mail, irc, udp pakety Payload: backdoory, spam boty, proxy servery Cerv- nepotrebuje hostitelsku aplikaciu, na spustenie vyuziva chyby v aplikaciach, OS, po spusteni scanuje siet pre napadnutelne chyby v app, pouziva tradicne komunikacne kanaly – e-mail, irc, udp pakety na rozne sluzby; payload – instalacie backdoorov, vytvaranie spam botov, proxy serverov

Spôsob infiltrácie - vírus Vo väčšine prípadov social engineering + nenápadnosť v existujúcej užitočnej aplikácii Po spustení a) inheď vyhľadá a infikuje súbory a predá riadenie aplikácii b) načíta sa do pamäte, hookne volania OS,infikuje otvárané aplikácie, pripojené externé média (boot sektory) Zabezpečí opätovné spustenie (zápis do registrov, MBR disku) Sposob infiltracie – virus – ihned po spusteni vyhlada spustitelne subory a infikuje ich (nerezidentny), preda riadenie aplikacii ; nacita sa do pamete, zavesi sa na volania OS, infikuje otvarane aplikacie, pripadne pripojene externe medium, zapisuju sa do bootovacich sekcii, MBR disku

Možnosti detekcie vs stealth Viditeľná zmena súboru (dátum,dĺžka, entry point) Zápis do prázdnej sekcie, spätná úprava dátumu Sekvencia kódu identifikujúca vírus Polymorfizmus, šifrovanie kódu, zablokovanie čítania, podsunutie čistej kópie Pokus o deaktiváciu AV, hooknutie volaní OS, handlerov prerušení Moznosti detekcie vs stealth -Viditelna zmena suboru – dlzka, cas,zmena entry pointu => zapisanie sa do prazdnej sekcie/ prepisanie existujuceho kodu, uprava datumu ð     crc - po analyze vírusu je mozne ho identifikovat podla jednoznacnej sekvencie kodu v subore => polymorfizmus, sifrovanie kodu, zablokovanie pristupu k suboru, podsunutie cistej kopie => heurystika, hladanie hook funkcii - pokus o deaktivaciu antiviroveho programu

Spôsob infiltrácie - červ Využitím dier v programoch nad komunikačnými kanálmi; v sieťových OS Napr: slammer, nimda,I love u, code red, storm sposob inf – cerv – vyuzitim chyb v programoch spravujucich komunikacne kanaly, chyb sietovych OS, napr : slammer – buffer overflow v SQL server 2000, stacilo poslat 1 UDP paket na danu adresu nimda – bug v outlook express (.eml) I love you – vbs (worm/makro virus) code red – http request;buffer overflow, cez nepatchovany IIS webserver storm – cez nepatchovany IIS, skopiruje sa,nastavi sa na automaticke spustanie; botnet – proxy,spam, dos (worm/backdoor/multipartitny virus?)

Ochrana pred červami Firewall Paketové filtre ACL listy na sieťových komponentoch Antivírový program ochrana –cerv- firewall, paketove filtre, ACL na sietovych komponentoch, AV

Zhrnutie Vírusy a červy nás budú sprevádzať pokiaľ budú existovať nezabezpečené aplikácie Existujú na každej rozšírenej platforme -Windows, unix, alebo mac OS; (crossplatform) Aj pre moderné aplikácie (donut; java virus) zhrnutie – bezpecnostny boom vdaka nastupu cervov, trend - $$;V a C existuju na kazdej rozsirenej platforme, ci uz Windows, unix, mac OS, väcsinou cisto platformovo specificke, crossplatforomove verzie tiez existuju, nie su take vyznamne; virusy existuju aj pre moderne aplikacie (donut – zamerany na .NET app; java virus - prepisujuci .class)

Február ’08 top W32/netsky W32/mytob Oba mass mailing virus/worm,vlastny smtp engine, hlada adresy na disku, skopcenie do windir, zapis do registrov Mytob –DoS, vypinanie AV, backdoor – pripojenie na irc kanal => prikazy; hlada exploity na inych strojoch Netsky – priloha .pif

Zdroje http://en.wikipedia.org/wiki/Computer_virus http://www.drweb.sk/tutorial_1.htm http://www.symantec.com/security_response/writeup.jsp?docid=2001-060615-1534-99&tabid=2 http://www.wired.com/wired/archive/11.07/slammer.html