הגנה במערכות מתוכנתות
DESCRIPTION
הגנה במערכות מתוכנתות. תרגול 2 - Storm Worm. הערה: שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה בלבד. Storm. החלה לפעול בינואר 2007 בעצם סוס טרויאני ולא תולעת היקפה לא ידוע במדויק 250,000 – 50,000,000 מחשבים בספטמבר 2007 - PowerPoint PPT PresentationTRANSCRIPT
הגנה במערכות מתוכנתות
Storm Worm - 2תרגול
הערה:
שקפים אלה אינם מהווים תחליף לחומר התרגולים המפורסם באתר הקורס, ומשמשים כעזר הוראה
בלבד.
Storm
2007החלה לפעול בינוארבעצם סוס טרויאני ולא תולעתהיקפה לא ידוע במדויק
250,000 – 50,000,000 מחשבים בספטמבר 2007
8%-מה malwareיוחס לה בשיאה עפ"י הסברה המקובלת, הגוף שעומד מאחוריה
RBNהוא -עושה שימוש בbotnet 2הגנה במערכות מתוכנתות - תרגול 2(c אורי אברהם )2009
botnet
רשת מחשבים "זומביים" המחכים לפקודותמהמפעיל
כח מחשוב רב כלי אידיאלי לביצוע התקפותDDoS או משלוח
spam
2הגנה במערכות מתוכנתות - תרגול 3(c אורי אברהם )2009
שלבי פעולת הקוד הזדוני
הדבקה ראשונית1.
וקבלת פקודותP2Pהתחברות לרשת 2.
ביצוע התקפות3.
התחמקות מגילוי4.
2הגנה במערכות מתוכנתות - תרגול 4(c אורי אברהם )2009
הדבקה ראשונית
הקרבן מקבל דוא"ל הנושא כותרת מעניינתומכיל קישור לאתר
2הגנה במערכות מתוכנתות - תרגול 5(c אורי אברהם )2009
הדבקה ראשונית – הנדסה חברתית
האתר אליו מופנה הקורבן מכיל את התולעת ומדביקאת הקורבן
מתמרן את הקרבן להוריד ולהתקין את התולעתמנצל חורי אבטחה בדפדפן ובמערכת ההפעלה
2הגנה במערכות מתוכנתות - תרגול 6(c אורי אברהם )2009
הדבקה ראשונית )המשך...(
הקרבן שמתפתה להכנס לאתר, להורידולהתקין תכנה מודבק בקוד הזדוני
בנוסף הוא מקבל גם קובץ המכיל רשימתP2P( לרשת peers"חברים" )
שאלה: מדוע לא ניתן להתחקות אחר הלינקבדוא"ל המדביק ולהשבית את האתר הזדוני?
2הגנה במערכות מתוכנתות - תרגול 7(c אורי אברהם )2009
תשובה: רשתות fast-flux
עפ"י שםIPמציאת
-מחשבים ברשת מזוהים על פי כתובת הIP סיביות32שלהם, מספר בן
שרתיDNS מתרגמים שמות לכתובות IP
2הגנה במערכות מתוכנתות - תרגול 8(c אורי אברהם )2009
Local DNS
Where’s www.wikipedia.org ?
root nameserver198.41.0.4
org nameserver207.74.112.1
Wikipedia.org nameserver207.142.131.234
1
2 3
4
56
7
8
9
Try 207.74.112.1
Try 207.142.131.234
It’s at xxx.xx.xx.xxx
Wikipedia webserverxxx.xx.xx.xxx
fast-fluxרשתות
ברשתותfast-flux כאשר המשתמש גולש ,לאתר לפי שם האתר, הוא יגיע בכל פעם
שונהIPלכתובת "קוד התולעת נמצא על שרת, "ספינת האם כאשר הקרבן מקליק על הקישור הוא מופנה
שמקשר בינו לבין "ספינת האם"proxyלמחשב בידי התוקפים מספר רב של מחשביproxy
שביניהם מתבצע סבב2הגנה במערכות מתוכנתות - תרגול 9(c אורי אברהם )2009
)המשך...(fast-fluxרשתות
-מפעילי הbotnet מחזיקים domainמשלהם בכל כמה דקות הם מבצעים רישום של מחשב
proxyאחר שישוייך עם האתר הזדוני 2הגנה במערכות מתוכנתות - תרגול 10(c אורי אברהם )2009
)הדבקה P2Pהתחברות לרשת משנית(
קובץ ההרצה הראשוני מנסה להתחבר לחברים(peers ברשת )P2P
)windir/system32/wincom32.ini(-המחשב הנגוע מקבל דרך רשת הP2P כתובות URL
מהן הוא מוריד עדכונים וכלים לביצוע התקפות
2הגנה במערכות מתוכנתות - תרגול 11(c אורי אברהם )2009
P2P בשירות Storm
בד"כ שליטה ברשתותbotnet נעשית ע"י , ...(http, IRCפרוטוקול שרת-לקוח )
צריך להחזיק מידע על botnetכל מחשב ב-1.השרת, דבר המקל על זיהוי השרת
אם מנתקים את השרת או פוגעים בו, השליט 2..botnetמאבד שליטה על ה-
מסיבות אלו בחרו יוצריStorm להשתמש P2Pברשת
2הגנה במערכות מתוכנתות - תרגול 12(c אורי אברהם )2009
P2P בשירות Storm
תהליך קבלת הפקודה של מחשב נגוע נראהכך:
מחרוזות 32המחשב הנגוע מגריל מחרוזות מבין 1.חיפוש אפשריות לאותו יום ומבקש למצוא אותן
(subscribeברשת )
( עבור publish מפיצים הודעות )botnetשליטי ה-2. מחרוזות אפשריות. כל הודעה כוללת: 32אותן
מוצפנתURLמפתח חיפוש )מחרוזת( וכתובת
ומוריד URLהמחשב הנגוע מפענח את כתובת ה-3.(game0.exe – game5.exeממנה קבצי פקודה ) 2הגנה במערכות מתוכנתות - תרגול 13(c אורי אברהם )2009
P2P בשירות Storm
2הגנה במערכות מתוכנתות - תרגול 14(c אורי אברהם )2009
Search for: “e4x$po”
publish: )“e4x$po”,192.68.14.15(
“(e4x$po”,192.68.14.15)
192.68.14.15
קבלת פקודות
ה"פקודות" בגרסתPeacom.c:game0.exe – backdoorמוריד קבצים / game1.exe – SMTP Relaygame2.exeכלי לגניבת כתובות דוא"ל – game3.exeכלי להפצת התולעת בדוא"ל – game4.exe כלי לביצוע התקפות – DDoSgame5.exe-גרסה מעודכנת של ה – Storm Worm
Dropper
2הגנה במערכות מתוכנתות - תרגול 15(c אורי אברהם )2009
ביצוע התקפות
-בידי מפעילי הStorm botnet כח מחשוב רב בו הם יכולים לעשות שימוש כרצונם
ההתקפות הנפוצות ביותר הןDDoS )Distributed Denial of Service( ומשלוח
spam
2הגנה במערכות מתוכנתות - תרגול 16(c אורי אברהם )2009
DDoSביצוע התקפת בהתקפתDDoS פונים הרבה מחשבים בו-זמנית
לשרת המותקף ע"מ להציף אותו בהודעות ולגרום לקריסתו
-בStorm, game4.exe משמש לביצוע התקפת DDoS יעד וסוג ההתקפה מתקבלים בקובץ קונפיגורציה
game4.exeשנמצא באתר שכתובתו מקודדת בגוף :הקורבנות – שונים ומגוונים
( ספקי שירותים תמימיםcapitalcollect.com) חברותanti-malwareקבוצות ספאם מתחרות... 2הגנה במערכות מתוכנתות - תרגול 17(c אורי אברהם )2009
הסתתרות מגילוי – התחמקות מאנטי-וירוסים
לאורך הזמן, מנהלים כותבי האנטי-וירוסיםוכותבי הוירוסים משחקי חתול-עכבר:
"אנטי-וירוסים מזהים וירוסים עפ"י "חתימה אישיתוירוסים מצפינים את עצמם אנטי-וירוסים מזהים את ה"חתימה האישית" של
(packersהחבילות הקריפטוגרפיות )Storm-מצפין גם את ה – packer שבו הוא
משתמש
2הגנה במערכות מתוכנתות - תרגול 18(c אורי אברהם )2009
התחמקות מאנטי-וירוסים )המשך...(
"כלי נוסף של אנטי-וירוסים: "ארגז חול(sandbox)
סביבה מוגנת שבה האנטי-וירוס יכול להריץ אתהקובץ החשוד בלי לאפשר לו לפגוע במערכת
התהליך רץ באזור מבודד בזיכרוןהגישה למשאבים מוגבלת ביותר
ארגז החול" מאפשר ללמוד על הקוד הזדוני"מתוך אופן פעולתו
2הגנה במערכות מתוכנתות - תרגול 19(c אורי אברהם )2009
התחמקות מאנטי-וירוסים – Storm vs. Sandbox
Storm משתמש בערך )קבוע( המוחזר מקריאת packerמערכת ע"מ לחשב את מפתח הפענוח של ה-
קריאות המערכת בהןStorm עושה שימוש הן קריאות (Legacyמערכת ישנות שאינן בשימוש בפועל )
רוב תוכנות האנטי-וירוס אינן מסמלצות את קריאותהמערכת הללו ולכן נגרמת חריגה כאשר הן מנסות
ב"ארגז החול"Stormלהריץ את
2הגנה במערכות מתוכנתות - תרגול 20(c אורי אברהם )2009
התחמקות מאנטי-וירוסים – Storm vs. Sandbox
(Antirootkit.comמתוך (
2הגנה במערכות מתוכנתות - תרגול 21(c אורי אברהם )2009
הסתתרות מגילוי
-עוד שיטות שStorm:משתמש בהן הורג תהליכים שמפריעים לו )אפילוmalware
אחרים( משתק תהליכים – נראים כאילו הם רצים כרגיל
כאשר בעצם אינם עושים דבר תוקף חברותanti-malwareוחוקרים -מצפין את התקשורת ברשת הP2P
2הגנה במערכות מתוכנתות - תרגול 22(c אורי אברהם )2009
סיכום
Storm-הציג לעולם ה malware טכניקות חדשות ומשוכללות
המוטיבציה מאחוריStorm!כסף – משלוחspamהתקפות על מתחרים עסקייםחלוקת הרשת לסגמנטים והשכרתם תמורת כסף
בעקבות עדכונים בכלי להסרת תכניות זדוניות שלמיקרוסופט הצטמצם היקפה בצורה ניכרת
47,000 2008 מחשבים עפ"י דיווחים באוקטובר
2הגנה במערכות מתוכנתות - תרגול 23(c אורי אברהם )2009
(2סיכום )
השתתקות פתאומית2008בספטמבר – הפסיקה לנסות להדביק משתמשים חדשים-התקשורת ברשת הP2Pהשתתקה ?חוקרים חדרו לרשת והשתלטו עליה יוצרי הקוד הזדוני החליטו להקפיא אותו ולהכניס
שינויים בעקבות המידע שנצבר אצל קהילת אבטחת המידע?
2הגנה במערכות מתוכנתות - תרגול 24(c אורי אברהם )2009