Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Vírusok, férgek szerepe az informatikai hadviselésben

Hasonló előadás


Az előadások a következő témára: "Vírusok, férgek szerepe az informatikai hadviselésben"— Előadás másolata:

1 Vírusok, férgek szerepe az informatikai hadviselésben
Készítette: Adamkó Péter András

2 Miről is beszélünk? Vírus Féreg Trójai Rootkitek
Vagy az egész együtt egy alkalmazásban? Vírus: olyan program mely valamilyen hoszt fájlhoz kapcsolódik és annak végrehajtásától függ futása. Féreg önálló működsére képes, nem szükséges bármilyen másik szülő porgram. Trójai: nem terjeszti magát, valamiylen más alkalamzásnak álcázza magát, s végrehajtási shellt biztosít a hoszthoz. Rootkit: technológia, mely alkalmas különböző 30 éve jelen vannak, de az Internet elötörésével lett kimondottan jelentős hatásuk.

3 Informatikai hadviselés?
Trójai programok számának növekedése között Vírusok, férgek számának csökkenése között A levelező és spammelő férgektől eljutottunk az igazi hálózati férgekig. Az előbbiek kezdetben a levelező klienseket, majd végül saját SMTP motort is felhasználva küldték magukat tovább a következő rendszerekbe. Lényegében a felhasználók segítségére számítva továbbterjedésükben. Hamarosan azonban a legnépszerűbb levelező szoftverekben megtalálható hibákat kihasználva is terjedtek. 2003: Slammer, Sobig, Lovesan, Welchia, Witty 2004: Mydoom, Zafi, Bagle, Netsky, Sasser 2005: Mytob, Zotob

4 Informatikai hadviselés!
Bankok elleni információ szerző támadások: Bank of America, Sumitomo Bank, MasterCard, Visa, Card Systems Solutions. Országos szintű kémkedési ügyek: Hotworld, Titan Rain Valójában máig nem tudjuk pontosan hány másik eset történt meg, s melyik milyen szabású volt. A bankok számára ez presztízs kérdés lehet... Minden esetben valamiféle trójait használtak fel a kémkedéshez, természetesen számunkra, kívülállóknak nehéz meghatározni az incidensek pontos menetét, azonban a hírekből lehet tájékozódni. Titan Rain: kínai hacker csoport, mely USA-beli szerver támadásával szerzett igen érzékeny információkat: Redstone Arsenal katonai támaszpont, NASA, World Bank. Egy illető nyomon követte cselekedeteiket az interneten és következő adatokat találta:légügyi dokumentumok, részletes meghajtási tervek, a napelem és üzemanyagtartály tervek a Mars Resonnaince Orbiter számára, a katonai támaszpont dokumentumai, köztük részletes repülési terveket, s magukat a tervező szoftvert (Falconview 3.2) Nagyon gyorsan dolgoztak, körülbelül perc alatt. Az értékésenek tűnő fájlokat összetömörítették és különböző állomásokon keresztül továbbították.

5 Célok Idáig: Most: spam, majd trójai proxy-k révén még több spam
terjesztési műveletek botnetek létrehozása. Komoly destruktív töltete nem volt, csak az erőforrásfelhasználás mértéke miatt. Most: információszerzés -> identitáslopás, pénzműveletek, gazdasági haszonszerzés. A botneteket már pénzért adják bérbe… Fizetős rootkitek elérhetőek

6 Mi helyzet most? Az általános védelmi szoftverek a nagyszabású támadásokra specializálódtak:Zero-hour Virus Outbreak Protection, IPS Polimorfizmus és metamorfizmus egyelőre nem jelentkezik bonyolultan ezekben a férgekben. Elsősorban mintaalapú felismerés -> naponta többszöri frissítés révén már csak a férgek megjelenésének ideje kritikus. Egyszerű esetben ezek heurisztikák, kódemulációk révén szűrhetők. Kellően gyors algoritmusok: Warhol, Flash, Curios Yellow Mi a helyzet az egyedi szoftverekkel? Tűzfal, víruskereső -> rootkitek ellen nem véd, azonban a nagyszabású féreg támadások, sérülékenységek ellen igen.

7 Néhány nagyobb rootkitekkel kapcsolatos esemény 2005-ben
Golden hacker defender rootkit, mely mintaalapú keresést végez, s a felismert védelmi szoftvereknek korrupt információt juttat el. Sony DRM szoftvere: megoldás a szerzői jogok védelmére? Mindazonáltal eltávolíthatatlan, és jelentős rendszer stabilitási gondokat okozhat… Az Sdbot.add AIM féreg már rootkit technológiát használ. (Oracle Database rootkit koncepció)

8 Rootkit tevékenység mérése
Koncepció: Olyan rootkit-hátsókapu hibrid alkalmazás szimulációja, melyek a jelenlegi védelmi szoftverekkel nem észlelhetőek (IDS, vírusirtók). Hátsó kapu (port knocking) : Sadoor Rootkit: Fu, Vanquish, Hacker Defender Vírusírtó szoftverek: F-secure Internet Security 2006, AVG, NOD32 Rootkit detetektáló szoftver: Rootkit revealer, Blacklight Vírusok: Mytob, Bagle, MyDoom, Netsky variánsok Vírusirtok- külöbnöző verzióinak, illetve különböző dátumú adatbázisainak telepítésével, illetve különböző dátumú vírusok , külöbnöző verizóinak felhasználásával, előzetes tesztelés, viselkedés vizsgálat előzte meg

9 Mérés hely és architektúra
Általános hálózati infrastruktúra Windows alapú gépek: 2000, XP, XP,SP1, SP2 VmWare-re telepített operációs rendszerek, NOD32, AVG, FIS2006 védelmi szoftverekkel Hálózati forgalom generálása: Suse 9.3 Erőforráshiány: mindent virtuális gépekkel, kivéve linuxot, éppen ezért nem lehetett magának a CPU-nak és memóriaigényeknek tesztelését elvégezni

10 Mérés 1 Fu : DKOM rootkit, folyamatok kernel driverek elrejtése privilégiumok állítása Vanquish : felhasználói módú „kampókat” létrehozó rootkit, fájlok elrejtése Hacker Defender: felhasználói módú rootkit, fáljok, folyamatok, portok elrejtésére Vírusok indítása, rejtése, illetve fedezetlenül hagyása

11 Tesztelés 1

12 Tesztelés 2

13 Tesztelés 3

14 Mérés 2 Sadoor(Windows server- Linux kliens 1.1): portknocking, távoli utasítások végrehajtása, csak csomagok alapján! Jelenleg könnyű hálózati nyomon követés, de módosítással és hálózati konfigurációval ez nehezebbé tehető.

15 Teszt 1

16 Teszt 2

17 Konklúzió Hálózati forgalom nagy mennyiségű adatforgalom esetén figyelemfelkeltő, egyszerű utasítások esetén nem lehet detektálni! Csak rootkit detektáló program segítségével sem mindig lehet kimutatni jelenlétüket. Valamint ez meglehetős szaktudást igényel, mivel nem csak a káros programok használják ezt a technológiát. Detektálás és eltávolítás veszélyes: létezik olyan kernel módú rootkit, mely tönkreteszi a gép drivereit eltávolítása esetén(lásd Mark Russinovich blogját). Védelmi szoftverek továbbra is erősen kötődnek a mintaalapú felismeréshez -> egy alkalmazás futásához rendelt, s annak fájljaiban adatot tároló rootkit detektálása hogyan történhet meg?

18 Köszönöm a figyelmet! Néhány érdekesebb link:


Letölteni ppt "Vírusok, férgek szerepe az informatikai hadviselésben"

Hasonló előadás


Google Hirdetések