Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
1
Počítačové vírusy a červy
BIS Vladimír Zárik, 2008
2
Vírus vs. Červ Vírus Šírenie hlavne v rámci PC, cieľom aplikácie, spustiteľné súbory Historicky staršie Málo využívaný sieťový subsystém Typický payload: ničenie, šifrovanie dát; odstavenie AV, inštalácia backdooru, vizualne/zvukové prejavy Virus vs cerv – virus – parazitujuci kod vlozeny do tela aplikacie schopny replikacie v ramci PC, hlavnym cielom su aplikacie, spustitelne subory, historicky starsia podoba, malo vyuziva sietovy subsystem (kopirovanie na sietovy disk, infikovana priloha u), typicky payload – nicenie dat, instalacia backdooru, odstavenie funkcie antiviroveho programu, vizualne/zvukove prejavy
3
Vírus vs. Červ #2 Červ Nepotrebuje hostiteľskú aplikáciu, na spustenie využíva chyby v aplikáciach, OS Po spustení scanuje sieť na napadnuteľné hosty Používa rôzne bežné komunikačné kanály: , irc, udp pakety Payload: backdoory, spam boty, proxy servery Cerv- nepotrebuje hostitelsku aplikaciu, na spustenie vyuziva chyby v aplikaciach, OS, po spusteni scanuje siet pre napadnutelne chyby v app, pouziva tradicne komunikacne kanaly – , irc, udp pakety na rozne sluzby; payload – instalacie backdoorov, vytvaranie spam botov, proxy serverov
4
Spôsob infiltrácie - vírus
Vo väčšine prípadov social engineering + nenápadnosť v existujúcej užitočnej aplikácii Po spustení a) inheď vyhľadá a infikuje súbory a predá riadenie aplikácii b) načíta sa do pamäte, hookne volania OS,infikuje otvárané aplikácie, pripojené externé média (boot sektory) Zabezpečí opätovné spustenie (zápis do registrov, MBR disku) Sposob infiltracie – virus – ihned po spusteni vyhlada spustitelne subory a infikuje ich (nerezidentny), preda riadenie aplikacii ; nacita sa do pamete, zavesi sa na volania OS, infikuje otvarane aplikacie, pripadne pripojene externe medium, zapisuju sa do bootovacich sekcii, MBR disku
5
Možnosti detekcie vs stealth
Viditeľná zmena súboru (dátum,dĺžka, entry point) Zápis do prázdnej sekcie, spätná úprava dátumu Sekvencia kódu identifikujúca vírus Polymorfizmus, šifrovanie kódu, zablokovanie čítania, podsunutie čistej kópie Pokus o deaktiváciu AV, hooknutie volaní OS, handlerov prerušení Moznosti detekcie vs stealth -Viditelna zmena suboru – dlzka, cas,zmena entry pointu => zapisanie sa do prazdnej sekcie/ prepisanie existujuceho kodu, uprava datumu ð crc - po analyze vírusu je mozne ho identifikovat podla jednoznacnej sekvencie kodu v subore => polymorfizmus, sifrovanie kodu, zablokovanie pristupu k suboru, podsunutie cistej kopie => heurystika, hladanie hook funkcii - pokus o deaktivaciu antiviroveho programu
6
Spôsob infiltrácie - červ
Využitím dier v programoch nad komunikačnými kanálmi; v sieťových OS Napr: slammer, nimda,I love u, code red, storm sposob inf – cerv – vyuzitim chyb v programoch spravujucich komunikacne kanaly, chyb sietovych OS, napr : slammer – buffer overflow v SQL server 2000, stacilo poslat 1 UDP paket na danu adresu nimda – bug v outlook express (.eml) I love you – vbs (worm/makro virus) code red – http request;buffer overflow, cez nepatchovany IIS webserver storm – cez nepatchovany IIS, skopiruje sa,nastavi sa na automaticke spustanie; botnet – proxy,spam, dos (worm/backdoor/multipartitny virus?)
7
Ochrana pred červami Firewall Paketové filtre
ACL listy na sieťových komponentoch Antivírový program ochrana –cerv- firewall, paketove filtre, ACL na sietovych komponentoch, AV
8
Zhrnutie Vírusy a červy nás budú sprevádzať pokiaľ budú existovať nezabezpečené aplikácie Existujú na každej rozšírenej platforme -Windows, unix, alebo mac OS; (crossplatform) Aj pre moderné aplikácie (donut; java virus) zhrnutie – bezpecnostny boom vdaka nastupu cervov, trend - $$;V a C existuju na kazdej rozsirenej platforme, ci uz Windows, unix, mac OS, väcsinou cisto platformovo specificke, crossplatforomove verzie tiez existuju, nie su take vyznamne; virusy existuju aj pre moderne aplikacie (donut – zamerany na .NET app; java virus - prepisujuci .class)
9
Február ’08 top W32/netsky W32/mytob
Oba mass mailing virus/worm,vlastny smtp engine, hlada adresy na disku, skopcenie do windir, zapis do registrov Mytob –DoS, vypinanie AV, backdoor – pripojenie na irc kanal => prikazy; hlada exploity na inych strojoch Netsky – priloha .pif
10
Zdroje http://en.wikipedia.org/wiki/Computer_virus
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.