Vírusok, férgek szerepe az informatikai hadviselésben Készítette: Adamkó Péter András
Miről is beszélünk? Vírus Féreg Trójai Rootkitek Vagy az egész együtt egy alkalmazásban? Vírus: olyan program mely valamilyen hoszt fájlhoz kapcsolódik és annak végrehajtásától függ futása. Féreg önálló működsére képes, nem szükséges bármilyen másik szülő porgram. Trójai: nem terjeszti magát, valamiylen más alkalamzásnak álcázza magát, s végrehajtási shellt biztosít a hoszthoz. Rootkit: technológia, mely alkalmas különböző 30 éve jelen vannak, de az Internet elötörésével lett kimondottan jelentős hatásuk.
Informatikai hadviselés? Trójai programok számának növekedése 2003-2005 között Vírusok, férgek számának csökkenése 2003-2005 között A levelező és spammelő férgektől eljutottunk az igazi hálózati férgekig. Az előbbiek kezdetben a levelező klienseket, majd végül saját SMTP motort is felhasználva küldték magukat tovább a következő rendszerekbe. Lényegében a felhasználók segítségére számítva továbbterjedésükben. Hamarosan azonban a legnépszerűbb levelező szoftverekben megtalálható hibákat kihasználva is terjedtek. 2003: Slammer, Sobig, Lovesan, Welchia, Witty 2004: Mydoom, Zafi, Bagle, Netsky, Sasser 2005: Mytob, Zotob
Informatikai hadviselés! Bankok elleni információ szerző támadások: Bank of America, Sumitomo Bank, MasterCard, Visa, Card Systems Solutions. Országos szintű kémkedési ügyek: Hotworld, Titan Rain Valójában máig nem tudjuk pontosan hány másik eset történt meg, s melyik milyen szabású volt. A bankok számára ez presztízs kérdés lehet... Minden esetben valamiféle trójait használtak fel a kémkedéshez, természetesen számunkra, kívülállóknak nehéz meghatározni az incidensek pontos menetét, azonban a hírekből lehet tájékozódni. Titan Rain: kínai hacker csoport, mely USA-beli szerver támadásával szerzett igen érzékeny információkat: Redstone Arsenal katonai támaszpont, NASA, World Bank. Egy illető nyomon követte cselekedeteiket az interneten és következő adatokat találta:légügyi dokumentumok, részletes meghajtási tervek, a napelem és üzemanyagtartály tervek a Mars Resonnaince Orbiter számára, a katonai támaszpont dokumentumai, köztük részletes repülési terveket, s magukat a tervező szoftvert (Falconview 3.2) Nagyon gyorsan dolgoztak, körülbelül 10-30 perc alatt. Az értékésenek tűnő fájlokat összetömörítették és különböző állomásokon keresztül továbbították.
Célok Idáig: Most: spam, majd trójai proxy-k révén még több spam terjesztési műveletek botnetek létrehozása. Komoly destruktív töltete nem volt, csak az erőforrásfelhasználás mértéke miatt. Most: információszerzés -> identitáslopás, pénzműveletek, gazdasági haszonszerzés. A botneteket már pénzért adják bérbe… Fizetős rootkitek elérhetőek
Mi helyzet most? Az általános védelmi szoftverek a nagyszabású támadásokra specializálódtak:Zero-hour Virus Outbreak Protection, IPS Polimorfizmus és metamorfizmus egyelőre nem jelentkezik bonyolultan ezekben a férgekben. Elsősorban mintaalapú felismerés -> naponta többszöri frissítés révén már csak a férgek megjelenésének ideje kritikus. Egyszerű esetben ezek heurisztikák, kódemulációk révén szűrhetők. Kellően gyors algoritmusok: Warhol, Flash, Curios Yellow Mi a helyzet az egyedi szoftverekkel? Tűzfal, víruskereső -> rootkitek ellen nem véd, azonban a nagyszabású féreg támadások, sérülékenységek ellen igen.
Néhány nagyobb rootkitekkel kapcsolatos esemény 2005-ben Golden hacker defender rootkit, mely mintaalapú keresést végez, s a felismert védelmi szoftvereknek korrupt információt juttat el. Sony DRM szoftvere: megoldás a szerzői jogok védelmére? Mindazonáltal eltávolíthatatlan, és jelentős rendszer stabilitási gondokat okozhat… Az Sdbot.add AIM féreg már rootkit technológiát használ. (Oracle Database rootkit koncepció)
Rootkit tevékenység mérése Koncepció: Olyan rootkit-hátsókapu hibrid alkalmazás szimulációja, melyek a jelenlegi védelmi szoftverekkel nem észlelhetőek (IDS, vírusirtók). Hátsó kapu (port knocking) : Sadoor Rootkit: Fu, Vanquish, Hacker Defender Vírusírtó szoftverek: F-secure Internet Security 2006, AVG, NOD32 Rootkit detetektáló szoftver: Rootkit revealer, Blacklight Vírusok: Mytob, Bagle, MyDoom, Netsky variánsok Vírusirtok- külöbnöző verzióinak, illetve különböző dátumú adatbázisainak telepítésével, illetve különböző dátumú vírusok , külöbnöző verizóinak felhasználásával, előzetes tesztelés, viselkedés vizsgálat előzte meg
Mérés hely és architektúra Általános hálózati infrastruktúra Windows alapú gépek: 2000, XP, XP,SP1, SP2 VmWare-re telepített operációs rendszerek, NOD32, AVG, FIS2006 védelmi szoftverekkel Hálózati forgalom generálása: Suse 9.3 Erőforráshiány: mindent virtuális gépekkel, kivéve linuxot, éppen ezért nem lehetett magának a CPU-nak és memóriaigényeknek tesztelését elvégezni
Mérés 1 Fu : DKOM rootkit, folyamatok kernel driverek elrejtése privilégiumok állítása Vanquish : felhasználói módú „kampókat” létrehozó rootkit, fájlok elrejtése Hacker Defender: felhasználói módú rootkit, fáljok, folyamatok, portok elrejtésére Vírusok indítása, rejtése, illetve fedezetlenül hagyása
Tesztelés 1
Tesztelés 2
Tesztelés 3
Mérés 2 Sadoor(Windows server- Linux kliens 1.1): portknocking, távoli utasítások végrehajtása, csak csomagok alapján! Jelenleg könnyű hálózati nyomon követés, de módosítással és hálózati konfigurációval ez nehezebbé tehető.
Teszt 1
Teszt 2
Konklúzió Hálózati forgalom nagy mennyiségű adatforgalom esetén figyelemfelkeltő, egyszerű utasítások esetén nem lehet detektálni! Csak rootkit detektáló program segítségével sem mindig lehet kimutatni jelenlétüket. Valamint ez meglehetős szaktudást igényel, mivel nem csak a káros programok használják ezt a technológiát. Detektálás és eltávolítás veszélyes: létezik olyan kernel módú rootkit, mely tönkreteszi a gép drivereit eltávolítása esetén(lásd Mark Russinovich blogját). Védelmi szoftverek továbbra is erősen kötődnek a mintaalapú felismeréshez -> egy alkalmazás futásához rendelt, s annak fájljaiban adatot tároló rootkit detektálása hogyan történhet meg?
Köszönöm a figyelmet! Néhány érdekesebb link: http://www.sysinternals.com/Blog/ http://www.f-secure.com/weblog/