Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Vírusok, férgek szerepe az informatikai hadviselésben Készítette: Adamkó Péter András.

Hasonló előadás


Az előadások a következő témára: "Vírusok, férgek szerepe az informatikai hadviselésben Készítette: Adamkó Péter András."— Előadás másolata:

1 Vírusok, férgek szerepe az informatikai hadviselésben Készítette: Adamkó Péter András

2 Miről is beszélünk? Vírus Vírus Féreg Féreg Trójai Trójai Rootkitek Rootkitek Vagy az egész együtt egy alkalmazásban? Vagy az egész együtt egy alkalmazásban?

3 Informatikai hadviselés? Trójai programok számának növekedése között Vírusok, férgek számának csökkenése között 2003: Slammer, Sobig, Lovesan, Welchia, Witty 2004: Mydoom, Zafi, Bagle, Netsky, Sasser 2005: Mytob, Zotob

4 Informatikai hadviselés! Bankok elleni információ szerző támadások: Bank of America, Sumitomo Bank, MasterCard, Visa, Card Systems Solutions. Bankok elleni információ szerző támadások: Bank of America, Sumitomo Bank, MasterCard, Visa, Card Systems Solutions. Országos szintű kémkedési ügyek: Hotworld, Titan Rain Országos szintű kémkedési ügyek: Hotworld, Titan Rain Valójában máig nem tudjuk pontosan hány másik eset történt meg, s melyik milyen szabású volt. A bankok számára ez presztízs kérdés lehet... Valójában máig nem tudjuk pontosan hány másik eset történt meg, s melyik milyen szabású volt. A bankok számára ez presztízs kérdés lehet...

5 Célok Idáig: Idáig: spam, majd trójai proxy-k révén még több spam spam, majd trójai proxy-k révén még több spam terjesztési műveletek terjesztési műveletek botnetek létrehozása. botnetek létrehozása. Komoly destruktív töltete nem volt, csak az erőforrásfelhasználás mértéke miatt. Komoly destruktív töltete nem volt, csak az erőforrásfelhasználás mértéke miatt. Most: Most: információszerzés -> identitáslopás, pénzműveletek, gazdasági haszonszerzés. A botneteket már pénzért adják bérbe… információszerzés -> identitáslopás, pénzműveletek, gazdasági haszonszerzés. A botneteket már pénzért adják bérbe… Fizetős rootkitek elérhetőek Fizetős rootkitek elérhetőek

6 Mi helyzet most? Az általános védelmi szoftverek a nagyszabású támadásokra specializálódtak:Zero-hour Virus Outbreak Protection, IPS Az általános védelmi szoftverek a nagyszabású támadásokra specializálódtak:Zero-hour Virus Outbreak Protection, IPS Polimorfizmus és metamorfizmus egyelőre nem jelentkezik bonyolultan ezekben a férgekben. Polimorfizmus és metamorfizmus egyelőre nem jelentkezik bonyolultan ezekben a férgekben. Elsősorban mintaalapú felismerés -> naponta többszöri frissítés révén már csak a férgek megjelenésének ideje kritikus. Egyszerű esetben ezek heurisztikák, kódemulációk révén szűrhetők. Elsősorban mintaalapú felismerés -> naponta többszöri frissítés révén már csak a férgek megjelenésének ideje kritikus. Egyszerű esetben ezek heurisztikák, kódemulációk révén szűrhetők. Kellően gyors algoritmusok: Warhol, Flash, Curios Yellow Kellően gyors algoritmusok: Warhol, Flash, Curios Yellow Mi a helyzet az egyedi szoftverekkel? Mi a helyzet az egyedi szoftverekkel?

7 Néhány nagyobb rootkitekkel kapcsolatos esemény 2005-ben Golden hacker defender rootkit, mely mintaalapú keresést végez, s a felismert védelmi szoftvereknek korrupt információt juttat el. Golden hacker defender rootkit, mely mintaalapú keresést végez, s a felismert védelmi szoftvereknek korrupt információt juttat el. Sony DRM szoftvere: megoldás a szerzői jogok védelmére? Mindazonáltal eltávolíthatatlan, és jelentős rendszer stabilitási gondokat okozhat… Sony DRM szoftvere: megoldás a szerzői jogok védelmére? Mindazonáltal eltávolíthatatlan, és jelentős rendszer stabilitási gondokat okozhat… Az Sdbot.add AIM féreg már rootkit technológiát használ. Az Sdbot.add AIM féreg már rootkit technológiát használ. (Oracle Database rootkit koncepció) (Oracle Database rootkit koncepció)

8 Rootkit tevékenység mérése Koncepció: Olyan rootkit-hátsókapu hibrid Koncepció: Olyan rootkit-hátsókapu hibrid alkalmazás szimulációja, melyek a jelenlegi védelmi szoftverekkel nem észlelhetőek (IDS, vírusirtók). Hátsó kapu (port knocking) : Sadoor Hátsó kapu (port knocking) : Sadoor Rootkit: Fu, Vanquish, Hacker Defender Rootkit: Fu, Vanquish, Hacker Defender Vírusírtó szoftverek: F-secure Internet Security 2006, AVG, NOD32 Vírusírtó szoftverek: F-secure Internet Security 2006, AVG, NOD32 Rootkit detetektáló szoftver: Rootkit revealer, Blacklight Rootkit detetektáló szoftver: Rootkit revealer, Blacklight Vírusok: Mytob, Bagle, MyDoom, Netsky variánsok Vírusok: Mytob, Bagle, MyDoom, Netsky variánsok

9 Mérés hely és architektúra Általános hálózati infrastruktúra Általános hálózati infrastruktúra Windows alapú gépek: 2000, XP, XP,SP1, SP2 Windows alapú gépek: 2000, XP, XP,SP1, SP2 VmWare-re telepített operációs rendszerek, NOD32, AVG, FIS2006 védelmi szoftverekkel VmWare-re telepített operációs rendszerek, NOD32, AVG, FIS2006 védelmi szoftverekkel Hálózati forgalom generálása: Suse 9.3 Hálózati forgalom generálása: Suse 9.3

10 Mérés 1 Fu : DKOM rootkit, folyamatok kernel driverek elrejtése privilégiumok állítása Fu : DKOM rootkit, folyamatok kernel driverek elrejtése privilégiumok állítása Vanquish : felhasználói módú „kampókat” létrehozó rootkit, fájlok elrejtése Vanquish : felhasználói módú „kampókat” létrehozó rootkit, fájlok elrejtése Hacker Defender: felhasználói módú rootkit, fáljok, folyamatok, portok elrejtésére Hacker Defender: felhasználói módú rootkit, fáljok, folyamatok, portok elrejtésére Vírusok indítása, rejtése, illetve fedezetlenül hagyása Vírusok indítása, rejtése, illetve fedezetlenül hagyása

11 Tesztelés 1

12 Tesztelés 2

13 Tesztelés 3

14 Mérés 2 Sadoor(Windows server- Linux kliens 1.1): portknocking, távoli utasítások végrehajtása, csak csomagok alapján! Sadoor(Windows server- Linux kliens 1.1): portknocking, távoli utasítások végrehajtása, csak csomagok alapján! Jelenleg könnyű hálózati nyomon követés, de módosítással és hálózati konfigurációval ez nehezebbé tehető. Jelenleg könnyű hálózati nyomon követés, de módosítással és hálózati konfigurációval ez nehezebbé tehető.

15 Teszt 1

16 Teszt 2

17 Konklúzió Hálózati forgalom nagy mennyiségű adatforgalom esetén figyelemfelkeltő, egyszerű utasítások esetén nem lehet detektálni! Hálózati forgalom nagy mennyiségű adatforgalom esetén figyelemfelkeltő, egyszerű utasítások esetén nem lehet detektálni! Csak rootkit detektáló program segítségével sem mindig lehet kimutatni jelenlétüket. Valamint ez meglehetős szaktudást igényel, mivel nem csak a káros programok használják ezt a technológiát. Csak rootkit detektáló program segítségével sem mindig lehet kimutatni jelenlétüket. Valamint ez meglehetős szaktudást igényel, mivel nem csak a káros programok használják ezt a technológiát. Detektálás és eltávolítás veszélyes: létezik olyan kernel módú rootkit, mely tönkreteszi a gép drivereit eltávolítása esetén(lásd Mark Russinovich blogját). Detektálás és eltávolítás veszélyes: létezik olyan kernel módú rootkit, mely tönkreteszi a gép drivereit eltávolítása esetén(lásd Mark Russinovich blogját). Védelmi szoftverek továbbra is erősen kötődnek a mintaalapú felismeréshez -> egy alkalmazás futásához rendelt, s annak fájljaiban adatot tároló rootkit detektálása hogyan történhet meg? Védelmi szoftverek továbbra is erősen kötődnek a mintaalapú felismeréshez -> egy alkalmazás futásához rendelt, s annak fájljaiban adatot tároló rootkit detektálása hogyan történhet meg?

18 Köszönöm a figyelmet! Néhány érdekesebb link:


Letölteni ppt "Vírusok, férgek szerepe az informatikai hadviselésben Készítette: Adamkó Péter András."

Hasonló előadás


Google Hirdetések