Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Windows exploity. Co je to Exploit ? Využívá chybu / bezpečnostní díru (vulnerability) Většinou jde o skupinu programů, které využívají určitou slabinu.

ZveřejnilRostislav Pravec

Podobné prezentace

Prezentace na téma: "Windows exploity. Co je to Exploit ? Využívá chybu / bezpečnostní díru (vulnerability) Většinou jde o skupinu programů, které využívají určitou slabinu."— Transkript prezentace:

1 Windows exploity

2 Co je to Exploit ? Využívá chybu / bezpečnostní díru (vulnerability) Většinou jde o skupinu programů, které využívají určitou slabinu

3 Chyba systemové služby Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability Risk - High Date Discovered: 07-16-2003 Description A buffer overrun vulnerability has been reported in Microsoft Windows that can be exploited remotely via a DCOM RPC interface that listens on TCP/UDP port 135. The issue is due to insufficient bounds checking of client DCOM object activation requests. Exploitation of this issue could result in execution of malicious instructions with Local System privileges on an affected system. Update 7-31-2003: Exploit development is continuing, but at this time there is no evidence that successful worms have been developed. Discovered: 8-11-2003 W32/Blaster Also Known As: W32/Lovsan.worm.a [McAfee], Win32.Poza.A [CA], Lovsan [F- Secure],

4 Sasser LSASS vulnerability 13.4.2004 Sasser – start 30.4.2004 8.7.2005 vyplacena odměna za dopadení autora.-)

5

6 MyDoom 12.11.2004 – nová verze MyDoomu, která využívá bezpečnostní díru zveřejněnou o dva dny dříve

7

8 Zero Day 8.8.2005 MS Honeynet Project našel 287 stránek zneužívajících chybu zveřejněnou později Microsoft Security Bulletin MS05-037 –Vulnerability in JView Profiler Could Allow Remote Code Execution (903235)

9 Zero-day exploit: Countdown to darkness Červenec 2004 – první vydání

10 Proč takový vývoj Mohou být nalezeny náhodou Cíleným úsilím bezpečnostní firmy Exploity se hledají a zneužívají pro komerční účely –Cílené útoky – krádeže informací –Vybudováné sítě „poslušných“ počítačů - spam

11 Někdy prakticky nevyužitý Následné patche – není prostor k šíření Snadná detekce Mediální „masáž“

12 JPEG Už o dva roky dříve pokus o zneužití - Perrun Polovina zaří 2004 pokus druhý, tentokrát úspěšnější –Aka GDI exploit (gdiplus.dll) Snadná generická detekce

13 WMF exploit „vánoční dárek“ 2005 Zneužit m.j. k phisingu Na chvíli se objevil na stránkach AMD

14 WMF exploit Aktualizované AV –Přelom 2005/2006 První pomoc –Odregistrovat postiženou knihovnu –Neoficiální patch MS patch 5.1.2006 (čtvrtek !)

15 Word exploit V polovině května 2006 –První útok Nesouvisí s makroviry Zavislý na verzi Windows a Office První pomoc –Použít alternativní programy WordView nebo WordPad

16 Excel exploit Následoval cca o týden později Využívá jinou bezpečnostní díru na obdobném principu Dropper vypouští kód, který se snaží integrovat do IE Spustil lavinu obdobných exploitů

17 PowerPoint exploit 20. června –Instaluje keylogger –Instaluje backdoor –Původní infikovanou prezentaci nahradí falešnou MS záplata 8. července

18 Word/Excel/PPT Poměrně složité vyrobit –Modifikace připraveného dokumentu Obtížné infikování

19 Pravidelné záplaty (patch) Každé druhé úterý –Nový exploit den poté

20 Office exploity PoC Shell code Škodlivý kód připojený k dokumentu –Vložený vs. připojený Škodlivý kód se stahuje z internetu –Vyšší variabilita –Možnost administrativně zrušit

21 PoC – Proof of Concept V minimální verzi způsobí „pouze“ pád aplikace – 4 byte Neškodný důkaz – např. spustí jinou legální aplikaci (Calc)

22

23 PoC – Proof of Concept V minimální verzi způsobí „pouze“ pád aplikace – 4 byte Neškodný důkaz – např. spustí jinou legální aplikaci (Calc) Sporná detekce –Genericky ne zcela bezpečné –Jak hlásit ?

24 Shell code Co to je Jak je veliký

25

26 Office exploity PoC Shell code Škodlivý kód připojený k dokumentu –Vložený vs. připojený Škodlivý kód se stahuje z internetu –Vyšší variabilita –Možnost administrativně zrušit

27 VML V HTML stránce –Stačí navštívit WEB, netřeba nic spouštět Součást e-mailu

28 VML Opraven 26.9.06 (mimo pořadí) Dříve alternativní řešení –Odregistrovat postiženou knihovnu regsvr32 -u "%ProgramFiles%\Common Files\Microsoft Shared\VGX\vgx.dllTest –Disable Binary and Script Behaviors in the Internet and Local Intranet security –Alternativní patch http://zert.isotf.org/testvml.htm http://zert.isotf.org/testvml.htm

29

30 Nástroje na generování exploitů

31

32

33

34 Informace o exploitech Microsoft Security Response Center (MSRC) http://www.microsoft.com/technet/security/Bulletin Common Vulnerabilities and Exposures (CVE) http://www.cve.mitre.org http://isotf.org/zert/ http://secunia.com/advisories

Stáhnout ppt "Windows exploity. Co je to Exploit ? Využívá chybu / bezpečnostní díru (vulnerability) Většinou jde o skupinu programů, které využívají určitou slabinu."

Podobné prezentace

Okrádání na internetu A co s tím Patrick Zandl.

Okrádání na internetu A co s tím Patrick Zandl.
Úvod Roviny bezpečnosti Softwarová bezpečnost AntiviryFirewall Bezpečnost na internetu PhishingSpam Datová komunikace Soutěž Bezpečně na netu 2014.

Úvod Roviny bezpečnosti Softwarová bezpečnost AntiviryFirewall Bezpečnost na internetu PhishingSpam Datová komunikace Soutěž Bezpečně na netu 2014.
Počítačové viry.

Počítačové viry.
Počítačové viry.

Počítačové viry.
AJAX fenomén současného internetu Dalibor Kačmář Academic Developer Evangelist Microsoft ČR host Vítek Karas Senior Software Development Engineer Microsoft.

AJAX fenomén současného internetu Dalibor Kačmář Academic Developer Evangelist Microsoft ČR host Vítek Karas Senior Software Development Engineer Microsoft.
Anglicky jsem se rozhodl učit před půl rokem. I took up English six months ago (decided to learn).

Anglicky jsem se rozhodl učit před půl rokem. I took up English six months ago (decided to learn).
Internetový (webový) prohlížeč. Druhy prohlížečů 1. byl v roce 1993 NCSA Mosaic Následovaly další … Netscape 1.0 Netscape 2.0 Netscape 3 Gold Zdroj:

Internetový (webový) prohlížeč. Druhy prohlížečů 1. byl v roce 1993 NCSA Mosaic Následovaly další … Netscape 1.0 Netscape 2.0 Netscape 3 Gold Zdroj:
Škodlivé kódy Bezpečnost informačních systémů - referát

Škodlivé kódy Bezpečnost informačních systémů - referát
Techniky síťového útoku

Techniky síťového útoku
Střední průmyslová škola strojnická Olomouc, tř.17. listopadu 49 Výukový materiál zpracovaný v rámci projektu „Učíme moderně“ Registrační číslo projektu:

Střední průmyslová škola strojnická Olomouc, tř.17. listopadu 49 Výukový materiál zpracovaný v rámci projektu „Učíme moderně“ Registrační číslo projektu:
ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.

ESET - Chytré řešení bezpečnosti dat Filip Navrátil, Sales Engineer, ESET Software spol. s r.o.
Kybergauneři, kyberzloději a kyberpodvodníci

Kybergauneři, kyberzloději a kyberpodvodníci
Počítačová bezpečnost

Počítačová bezpečnost
Bezpečnostní pravidla při používání počítače a internetu

Bezpečnostní pravidla při používání počítače a internetu
Počítačové viry a jak se proti nim chránit

Počítačové viry a jak se proti nim chránit
DIGITÁLNÍ UČEBNÍ MATERIÁL Číslo projektuCZ.1.07/1.5.00/34.0232 Název projektuEU peníze středním školám Masarykova OA Jičín Název školyMASARYKOVA OBCHODNÍ.

DIGITÁLNÍ UČEBNÍ MATERIÁL Číslo projektuCZ.1.07/1.5.00/ Název projektuEU peníze středním školám Masarykova OA Jičín Název školyMASARYKOVA OBCHODNÍ.
Počítačové Viry a antivir

Počítačové Viry a antivir
Střední průmyslová škola strojnická Olomouc, tř.17. listopadu 49 Výukový materiál zpracovaný v rámci projektu „Učíme moderně“ Registrační číslo projektu:

Střední průmyslová škola strojnická Olomouc, tř.17. listopadu 49 Výukový materiál zpracovaný v rámci projektu „Učíme moderně“ Registrační číslo projektu:
Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009.

Bezpečnostní požadavky pro výběr a implementaci webové aplikace Daniel Kefer II. konference ČIMIB 20. května 2009.
ICQ. Co je ICQ? ICQ je nejpoužívanější a nejpopulárnější komunikační program. ICQ je zkratka slangového výrazu „I seek you“ (hledám tě). Slouží ke komunikaci.

ICQ. Co je ICQ? ICQ je nejpoužívanější a nejpopulárnější komunikační program. ICQ je zkratka slangového výrazu „I seek you“ (hledám tě). Slouží ke komunikaci.

Podobné prezentace

Reklamy Google