Códigos Maliciosos Ativos (Cont.)

Transcrição

Introdução

TOCI08–Segurança em Redes de Computadores
Aula 11: Malware
Prof. Rafael R. Obelheiro
(com slides elaborados pelo prof. Charles Miers)


Uma das principais ameaças de segurança é a lógica
maliciosa ou malware
 software que executa instruções indevidas com o propósito
de violar a política de segurança
Existem diferentes tipos de malware
 vírus, vermes, cavalos de Tróia, phishing, ...
Nosso objetivo é conhecer os principais tipos e entender as
defesas existentes contra eles
TOCI08 Segurança em Redes de Computadores
Surgimento de um conceito



Nascimento dos Vermes (WORM)
1972: David Gerrold descreve no
seu livro "When Harlie Was One",
um programa que se replicava
sozinho, chamado de vírus que
infectava computadores


1988: Robert T. Morris estudante de
graduação da Universidade de Cornell
(EUA)
Uma dúvida o atormentava:

1975: John Brunner menciona em
sua mini-série "The Shockwave
Rider", um “programa verme“ que
move-se pelas máquinas

3
“O quão grande a Internet é?”
A forma de descobrir a resposta:

1982: Na Xerox PARC, Schoch e
Hupp experimentam um código
móvel e chamam e denominam
esse tipo de programa de verme
2
Um pequeno código móvel que buscasse
descobrir quantos computadores estavam
interconectados
4
Evolução: Incômodo...
Propagação do verme criado por Morris
Incômodo / Dano técnico
Brain:
Vírus de
Boot






17:00 Primeira execução
18:00 MIT
18:30 U.Pittsburgh
21:00 Stanford
21:30 U.Minnesota
22:04 Berkeley






22:34 Princeton
22:40 U.North Carolina
22:52 CMU (sem sucesso)
22:54 U.Maryland
22:59 U.Penn (sem sucesso)
...
1/1987
Morris:
Verme Internet
1/1988
1/1989
1/1990
Michelangelo
1/1991
1/1992
Conceito
Vírus de
Macro
Junkie
1/1993
1/1994
1/1995
1/1986
1/1996
Laroux
1/1997
Wazzu
Lehigh:
Vírus de Arquivo
12/1997
Ripper
Cascade
Aproximadamente 6.000 servidores Unix infectados
5
Evolução: …Espionagem em rede
Incômodo /
Dano técnico
Classe de
vírus macro

sadmind

VBSWG (Anna K.)
Melissa
Marker
DDoS
1/1999
1/1998
Back
Orifice
1/2000
ExploreZip
Exploração
Remota
Goner
Code
Red
LoveLetter
Kak
Bubbleboy
Hybris
Palm
Virus

Perrun
Indicação que um computador / host teve o seu sistema de
alguma forma comprometido por um código malicioso
Também referenciado como comprometido ou contaminado
Para afirmar que algo está infectado:

Coolnow

1/2001
Lion
1/2002
12/2002
SirCam
BadTrans
6
Conceito de Infecção
Zumbis, Remetentes e Atacantes
Subseven
CIH
Sharp
NIMDA
Comprovar através de uma ferramenta específica, como
antivírus por exemplo. Válido para vírus já conhecidos
Empregar outros meios / ferramentas e correlacionar os
resultados obtidos com ações características de vírus.
 Neste caso pode-se identificar tanto vírus conhecidos como
identificar novos tipos.
 Sujeito a falsos positivos e falsos negativos
Klez
Impacto na Rede
7
8
Algumas estatísticas sobre vírus
Conceito de Epidemia








Identificada pela ocorrência de uma determinada quantidade
de infecções dentro de um determinado intervalo de tempo
Também referenciado como Outbreak
O conceito de epidemia é variável e pode ser diferente
conforme o escopo:


Rede Local (LAN)
Área Geográfica / organização
Internet / País / Continente
Mas...
Não há um valor (infecções/tempo) pré-determinado de
consenso para determinar o que é uma epidemia, sendo que
em alguns casos as empresas ou órgãos definem os seus
próprios valores para determinar se existe uma epidemia
9
Porque não foi suficiente…?





95% das infecções de vírus são provocadas por vírus conhecidos
A maioria dos produtos estão certificados para detectar 100% dos
vírus mais populares
Mais de 90% das empresas já implementaram um sistema antivírus
Principais Epidemias
Muitas empresas não protegem seus servidores/serviços de
Internet
Muitas organizações não podem monitorar seus sistemas de
proteção 24x7
Muitos instituições não podem reagir rapidamente frente
novas ameaças
Muitas organizações não têm pessoal qualificado para
implementar e administrar uma defesa adequada
As atualizações se distribuem muito mais devagar que a
própria velocidade de distribuição dos vírus

Melissa – Março/1999







Explora uma vulnerabilidade de estouro de buffer
(BufferOverflow) do servidor web IIS da Microsoft
Infectou 250.000 sistemas em 9 horas
Planificava um ataque de DoS contra www.whitehouse.gov
Nimda – Setembro/2001

11
Primeiro caso maior de verme atacando redes MS-Windows
Propaga-se através de envio de e-mails em massa que infectam
documentos do MS-Word com um vírus de macro
Code Red – Julho/2001

10
12 mecanismos de propagação diferentes
O mais rápido e eficaz verme até o momento
12
Gerenciamento de Correções: o grande desafio
Principais Epidemias (Cont.)

Slapper – Setembro/2002



SQL Slammer – Janeiro/2003




Explora uma falha de BufferOverflow no MS SQL Server
Causa congestionamento/inundação da rede
Imediato até 8 semanas
Explora uma falha de BufferOverflow no DCOM RPC
Executa um ataque de DoS contra Windowsupdate.com
Zotob – Agosto/2005

Explora as seguintes vulnerabilidades do Microsoft Windows:
 BufferOverflow do “Plug and Play”, BufferOverflow remoto do
“Message Queuing”, BufferOverflow de serviços de acesso
remoto de estação, ASN.1 Library Bit String Processing Variant
Heap Corruption
MS03-026 / 16 Julho 2003
MS02-039 / 24 Julho 2002
MS00-078
17 Outubro 2000
Zotob
Sasser

Aproximadamente 4000 vulnerabilidades identificadas no último
ano, muitas correções. Implicações:
 Problema
gerencial para os administradores de sistemas
 Correções
possuem um histórico de poderem causar
problemas, necessitando serem testados antes de aplicados
nos sistemas
Códigos
Maliciosos
Ativos
Passivos
2 Maio 2004
20 dias
11 Agosto 2003
26 dias
SQL Slammer
25 Janeiro 2003
185 dias
14
Classificação dos Códigos Maliciosos
14 Agosto 2005
5 dias
MS Blaster
Nimda
4 a 12 meses
Alguns sistemas levam mais de um ano até terem as correções /
patches aplicadas
Os desenvolvedores de códigos maliciosos estão cada vez
mais velozes em explorar as vulnerabilidades de sistema já
publicadas
MS05-039 / 09 Ago 2005
MS04-011 / 22 Abril 2004
Tempo T3
a empresa
aplica o
patch

13
Janela de Tempo do Patch a Epidemia

Tempo T2
vendedor
libera um
patch
Tempo T1
vulnerabilidade
descoberta
Blaster – Agosto/2003


Injeção de código para causar um BufferOverflow no Apache SSL
Constrói uma rede P2P para um ataque massivo de DoS

Alguns autores e empresas também empregam uma classe
chamada de grayware. Por grayware entende-se:

18 Setembro 2001
335 dias
15

Um programa que pode, ou não ser malicioso, que monitora ou
varre o sistema por informações pessoais e manda o material
coletado para terceiros
Fornece acesso direto de terceiros ao equipamento sem o
conhecimento / autorização do proprietário
16
Códigos Maliciosos Ativos
Código Malicioso Ativo
Precisam de Hospedeiro
TrapDoors
Cavalo de
Tróia /
Trojanos
Bomba
Lógica

Independentes
Vírus
Bactérias
Vermes
(worms)
Macro
Script
Java
Active-X
S.O.
(MS-Windows,
GNU/Linux,
Palm, etc)
Boot
Joke
Program
17




18
fase de inserção
fase de execução (pode ser uma ação vazia)

Verme (worm): programa que se replica de um computador
para outro, usualmente através da rede
Bactéria: programa que esgota algum recurso da máquina
(CPU, memória, disco)
 while (1) { fork(); }
um jogo que rouba arquivos ou captura senhas
Bomba lógica: programa que executa uma ação maliciosa
quando algum evento externo ocorre



Cavalo de Tróia: programa com uma funcionalidade explícita
(conhecida do usuário) e outra implícita (desconhecida)

Vírus: programa que insere a si mesmo em um ou mais
arquivos e executa alguma ação

Definições:
 Os códigos maliciosos ativos são assim denominados por seu
ataque ao sistema envolver a modificação não autorizada de
informações contidas neste sistema ou modificações em seu
estado ou operação e, a negação de serviço, dificultando seu
funcionamento normal
 Caracterizados como sendo todo aquele código malicioso que
torna indisponível tecnicamente um computador ou rede de
computadores
 Os computadores ou redes somente voltam a tornar-se
operacionais após intervenção técnica corretiva nos mesmos
 A criação envolve algum tipo de programação de computador
zera a folha de pagamento se um funcionário X for demitido
Trapdoor: porta de entrada deixada por um programador para
acesso posterior ao sistema

senha mestre
19
20
Postura dos Códigos Maliciosos

Arquivo
infectado é
executado
Procura por
arquivos para
infectar
Escreve o
código
malicioso no
arquivo
Assegurar-se que o código malicioso seja executado antes do
código original
Pre-pend
Anexar
PE Infector
Sobrescrever
Fim
Exemplo de funcionamento
de um código malicioso
ativo simples
21
22
Códigos Maliciosos Ativos (Cont.):
Criptografia
Código malicioso
sem cifragem
Rotina
legível
Arquivo infectado
é executado
Carregar na
memória
Código malicioso
cifrado
CABEÇALHO
CABEÇALHO
Código Fonte do
Código
Malicioso
DECODIFICADOR
- Procurar .exe
- Infectar
- Checar gatilho
- Ativar carga
destrutiva
- Fim
Verifica condições para
ativar carga destrutiva
Decifrar código
malicioso
Sim
Procura arquivos para
infectar
Ativa carga
destrutiva
Sim
Código Fonte do
Código Malicioso
Arquivos
encontrados?
Não
Retorna o controle ao
programa de origem
BSBSBSBSBSJKLSO
ASDFJLDKSFNASDFA
SDFJASDLKFJASDSF
DGDFDFDFDFD
FGFGFGFCCCDSDFD
CKDCKDCKKDKD
ASDFASKDFJASDLCK
FLLLOCCELLMD
Não
Não
Código malicioso
está residente na
memória?
Rotina
ilegível
Condições
encontradas?
Sim
Fim
Verifica a existência de
código malicioso
Escreve o código
malicioso para o arquivo
23
Cifrar o código
Exemplo de funcionamento
malicioso
de um código malicioso
ativo complexo
Código
malicioso
encontrado?
Sim
Não
24
Polimorfismo
1a Geração
Arquivos
infectados
com código
malicioso
cifrado
Arquivos
infectados com
código malicioso
polimórfico
2a Geração
3a Geração
Oligomorfismo
4a Geração
Programa
Hospedeiro
Programa
Hospedeiro
Programa
Hospedeiro
Programa
Hospedeiro
Rotina fonte do
código malicioso
Rotina fonte do
código malicioso
Rotina fonte do
código malicioso
Rotina fonte do
código malicioso
BSDBSDBJS
KSDKSODS
DRHUS
BSDBSDBJS
KSDKSODS
DRHUS
BSDBSDBJS
KSDKSODS
DRHUS
Programa
Hospedeiro
Programa
Hospedeiro
Programa
Hospedeiro
Rotina fonte do
código malicioso
Rotina fonte do
código malicioso
Rotina fonte do
código malicioso
Rotina fonte do
código malicioso
BSDBSDBJS
KSDKSODS
DRHUS
PSDOPSKWA
JKOSDWCK
MSKDSWWY
&^&^&^&^)
@*#=$%!?
%&%&%&@$
DECODIFICADOR
Código Fonte do
Código Malicioso
BSDBSDBJS
KSDKSODS
DRHUS
Programa
Hospedeiro
CHARBUFF =Readchar ( );
Decrypt_Char = CHARBUFF *
20 + (Random_Seed/23) +
100;
Newchar =Decrypt_char
Write Newchar
CABEÇALHO
BSBSBSBSBSJKLSO
ASDFJLDKSFNASDFAS
DFJASDLKFJASDSFDG
DFDFDFDFD
FGFGFGFCCCDSDFDC
KDCKDCKKDKD
ASDFASKDFJASDLCKF
LLLOCCELLMD
19058473618
95827361866
66856893
Mesma função,
mas com nome de
variável diferente
CABEÇALHO
DECODIFICADOR
USYDUS = Readchar ( );
SJDSKDAJDS = USYDUS *
20 + (SDSDSDXCS/23) +
100;
QWERTQ = SJDSKDAJDS
Write QWERTQ
Exemplo 1
Código do Código
Malicioso
BSEMRLKGDFAOM
UUQREWRMNOIEQIUR
OQIWEROMMSE
LLKJSDFPLAKSFNE
RIUEROPIWQMSIOQLS
LSLSLSLOIELSW
EODPRIXYXASDFA
DDDSOECCKKLGU
Exemplo 2
25
Códigos Maliciosos Passivos (Cont.)
Códigos Maliciosos Passivos
Códigos
Maliciosos
Passivos

Hoax: mensagem falsa, que circula espalhando
algum boato

Anexos
Hoaxes
SPAM
Spyware
Adware
Phishing




26
Os códigos maliciosos passivos são aqueles que não
indisponibilizam tecnicamente um computador ou rede de
computadores
Sua construção geralmente não envolve nenhum tipo de
programação de computador, apenas engenharia social,
conduta e aspectos humanos
SPAM: emails não solicitados com o objetivo de
vender algum produto ou serviço
Spyware: programas que monitoram e armazenam o
comportamento do usuário



27
correntes
programas de captura de teclado
Adware: programas que exibem anúncios
Phishing: uso de métodos fraudulentos para obter
informações sensíveis, como senhas de bancos
28

Este tipo de código pode ter ação pessoal e/ou profissional
sobre o usuário:



A ação pessoal consiste no envio de mensagens apelativas ao
usuário que poderão afetar sua estrutura emocional
 Um exemplo deste tipo de mensagem é o apelo para que o
usuário faça doações em dinheiro para ajudar determinada
pessoa que tem alguma doença grave
A ação profissional consiste no envio de mensagens ao usuário,
induzindo-o a executar alguma ação indevida, que poderá fazer
com que ele perca, por exemplo, arquivos ou informações
importantes do sistema

29
Conexão entre SPAM e Spywares
A engenharia social é um método não-técnico de ataque aos
sistema por meio do qual são enviadas mensagens
fraudulentas para o usuário, que podem ser utilizadas para
persuadi-lo ou enganá-lo, fazendo com que, ao responder à
mensagem, ele execute alguma ação indevida e perigosa ou
revele alguma informação para o atacante com a qual ele
obterá acesso ao sistema
As conseqüências resultantes do ataque ao sistema por um
código malicioso passivo não afetam diretamente o sistema,
sua operação ou seu estado, mas ameaçam a
confidencialidade dos dados, pois eles podem difundir a
informação, interceptar, monitorar ou fazer análise de tráfego
das informações (origem, destino, tamanho, freqüência)
Key Loggers



Spyware pode transformar o computador
em um Zumbi e fonte de SPAM

Através de spywares, spammers podem ter
acesso a informações de endereços de
e-mail do usuário contaminado

Objetivam capturar dados dos dispositivos de entrada
Normalmente empregados para obter senhas e outros tipos
de dados relevantes, como dados bancários (Exemplo:
agência, conta e senha)
Exemplo de hardware para key loggers:
KeyGhost
30
31
KeyKatcher
32
Novas Gerações de Key Loggers





Ratware ou Botnets
Implementação em software
Incorporar características stealth, similar aos RootKits para
evitar sua detecção
Capturar mais do quê foi teclado, como posição de cliques e
arquivos acessados
Uso de Screen shots para obter dados de teclados virtuais
Capturar as URL das páginas acessadas




33
Mapa das Botnets
Um software de e-mail usado por
spammers, especificamente desenhado
para enviar grande volume de e-mails em
pouco tempo
Muito frequentemente instalado em um
computador Zumbi através de um
malware
Permite que ataques sofisticados de
spams sejam gerados automaticamente
Podem representar um ataque de DDOS
34
SPAM: Estatísticas
Fonte: http://nepenthes.sourceforge.net/visualisation
35
Fonte: http://www.cert.br/stats/spam/
36
Phishing


Método do Phishing: Engenharia Social
O usuário recebe uma mensagem
de correio eletrônico com
aparência legítima solicitando
informações pessoais sensíveis,
tais como: números de cartão de
crédito ou senhas
Banco BBVA Bancomer, Banco
Banorte (México), Telemar, Banco
do Brasil, Serasa, Varig (Brasil) e
Banco Credit Uruguay (Uruguai)
são alguns dos afetados por
ataques de Phishing na América
Latina
e-mails enganosos:
•
•
•
37
38
Programas de Captura de Senhas Digitas no Teclado (Key Logger)
Parecem originais e legítimos
Depois de clicar no link, o
usuário é direcionado a um sítio
fraudulento
Esta página pode pedir ao
usuário nome, senha e, em
alguns casos, informações
pessoais (incluindo números de
cartões de crédito e acesso a
contas bancárias)
39
IM (Instant Messaging)
• Similar aos e-mails falsos,
disponibilizam um link
através de uma mensagem
instantânea,que solicita
informações privadas
• Método bem eficiente,
pois, da mesma forma, a
mensagem parece vir de
um contato conhecido
40
Estado das Ameaças de Phishing
Fonte: TrendMicro
Active Reported Phishing January 2006
Fonte: Anti-Phishing Working Group.
41

Principais portas (TCP) empregadas para hospedar servidores
de coleta de dados do Phishing:
Fonte: Anti-Phishing Working Group
Fonte: Anti-Phishing Working Group.
42
43
44

Principais setores alvos empregados para o Phishing:
45
46
47
48
Phishing
Phishing

Exemplo do Banco do Brasil
49
Phishing
50
Phishing

Verificação de detalhes da página acessada:


Maiores informações deste caso:



51
http://www.trendmicro.com/en/security/phishing/overview/phish050416
Sobre Phishing:

Resultado DIG (sucessor do Nslookup):
Name: xante.com.mx
Address: 216.40.203.3
http://www.trendmicro.com/en/security/phishing/overview.htm
http://www.antiphishing.org
52
Pharming

Pharming
Os servidores de resolução de nomes (DNS, arquivos hosts
e/ou WINS) do usuário/rede são modificados para que
apontem para endereços falsos criados para o roubo de
informação ou outros fins



•
Um ataque de Pharming pode ser um dos efeitos danosos
gerados por um malware ativo
Fazem com que o usuário ingresse em endereços falsos sem
notar e de modo quase imperceptível
Caso seja um servidor DNS comprometido, grandes quantidades
de computadores poderão ser vítimas com um golpe apenas
53
Pharming



54
Novas Ameaças

WORM_MYTOB.AN

•
Redirecionamento por
envenenamento de DNS
levando o usuário a uma
página falsa, pedindo o login e
senha para acesso a
informações (financeiras, etc.)
Algumas vezes a página falsa
automaticamente instala
spywares, como Key Loggers
na máquina da vítima,
aumentando as possibilidades
de roubar informações digitais
É um vírus com diferentes técnicas de propagação
automática
Modifica o arquivo “hosts” do PC infectado para
impedir o acesso a sites de fabricantes de Antivírus
http://www.trendmicro.com/vinfo/virusencyclo/default5.
asp?VName=WORM%5FMYTOB%2EAN&VSect=T








55
Novos meios de comunicação: e-mail, P2P, web, Dispositivos
Móveis, IM (Instant Messaging), etc.
Diversas plataformas para troca de informação: celular/PDA’s,
estações, notebooks, servidores, etc.
Novas vulnerabilidades em sistemas operacionais
Novas ameaças são descobertas diariamente
Variantes de malwares ativas por anos
Programação/atuação/técnicas alto nível
Rapidez de disseminação
Dificuldade para remoção / limpeza
Ataques que buscam resultado financeiro / fraudes
56
Evolução: Geração 2
Meio década de 80
Infecção
Disquetes
OutbreakTOCI08
/Epidemia:
Infectando
Segurança em Redes
de Computadores estações
Infecção
Rede LAN
57
Final da década de 90
Infecção
e-mail
Outbreak/Epidemia:
estações e 59
TOCI08 Segurança emInfectando
Redes de Computadores
Meio da década de 90
Outbreak/Epidemia:
estações e 58
TOCI08 Segurança emInfectando
Redes de Computadores
servidores
2001-2003
Outbreak
/Epidemia:
Rede
TOCI08 Segurança
em Redes de Computadores
60
Evolução das Ameaças
1988: Verme Morris
Achar nomes de
hosts nos arquivos
host, senha de
BufferOverflow sobre
convidado
o fingerd (apenas em
VAX ), Sendmail
DEBUG, rsh e rexec
Geração 5
‘P2P, Malware+Spam,
Infra-estrutura de rede,
wireless’
Geração 4
‘Ameaças Combinadas’
Testar
Invadir
Alvos
Geração 3
‘Era e-mail em Massa’
Compilar com o nome “sh”
Esconder informações do comando “ps”,
Prevenir um core dump
Persistir
Propagar
Paralizar
Geração 2
‘Era LAN’
Encontrar hosts confiáveis
Encontrar nomes de usuários
Adicionar na lista de alvos
Geração 1
‘Era dos Disquetes’
1986-1995
Executar um Fork child a cada 3 min,
Múltiplos processos infectados
paralisam o sistema
1995-1999 1999-2001 2001-2003 2004 em diante
61
2000: I LOVE YOU
2001: NIMDA
Vírus utiliza o livro
de endereços de
e-mail do Outlook
para buscar alvos
Vírus utiliza o livro
de endereços de
e-mail do Outlook
para buscar alvos
Anexo de Correio
Conexão de IRC
Testar
Invadir
Alvos
A carga destrutiva finge ser
"audio/x-wav" e é executada
automaticamente
Cria arquivos VBS
Cria arquivos HTML
Adiciona na Registry chaves de Autorun
Persistir
62
Propagar
Paralizar
Testar
Invadir
Alvos
Introduz um Cavalo de Tróia nos
arquivos executáveis, LOAD.EXE
no diretório do sistema; começos
LOAD.EXE do SYSTEM.INI;
esconde seus arquivos; adiciona
conta de administrador
Persistir
Propagar
Paralizar
Envia cópia das
conexões web atacadas
através do IRC
Copia os compartilhamentos remotos;
envia por e-mail para os endereços de e-mail conhecidos;
efetua varredura bucando encontrar mais servidores web
Exclui arquivos
Excluir arquivos
Roubar senhas
63
64
2003: Slammer
2005: Zotob.A
Envia pacotes à
porta UDP/1433
Realiza um BufferOverflow no
Microsoft MSDE/SQL Server 2000
Testar
Invadir
Alvos
Faz um ataque de injeção de
código no processo em execução
Persistir
Propagar
Paralizar
Envia pacotes UDP/1433 para outros sistemas/
computadores o mais rápido que conseguir
A rede possui seu tráfego
sobrecarregado, congestionando a
rede e interrompedo a
comunicação
65
66
Como funcionam os antivírus ???

Códigos Maliciosos: Proteção

Normalmente implementados para interceptar as requisições
de processos do S.O. através do redirecionamento do fluxo
empregando interrupções
Classificação básica:


Baseados em listas de assinatura
 Mecanismo de busca emprega uma lista com as definições de
códigos maliciosos já conhecidos
Baseados em Heurística / Análise Comportamental
 Mecanismo de busca emprega um conjunto de definições que
devem possibilitar identificar qualquer código malicioso, novo
ou não
68
Exemplo: Detecção baseada em assinaturas
1.
2.
3.
Filtro intercepta o processo de abertura de arquivo da
aplicação
Para a operação de E/S e executa o serviço de verificação
Caso o arquivo contenha código malicioso que não possa
ser eliminado, coloca o arquivo em quarentena e bloqueia a
abertura
modo
usuário
modo
núcleo
Aplicação
Serviço
Antivirus
Driver do Filtro
Antivirus
Híbrido: Listas de Assinaturas e
Análise Comportamental
Listas de
Assinaturas
Proteção Ataques
conhecidos

Lista / BD
Assinaturas


Driver Sistema
de Arquivos
69
Mais precisos em parar
códigos maliciosos
conhecidos
Descrições detalhas e não
ambíguas das ameaças
Redução significativa de
falsos positivos
Proteção Ataques
“Zero-day”




Não requer atualizações, a priori
Reduz o impacto da aplicação de
patches
Alta taxa de falsos positivos,
porém mais eficaz contra novas
ameaças
Dificuldade de elaborar o conjunto
de definições e métricas
Ambos os métodos de detecção são necessários para maximizar a
proteção
e precisão
TOCI08 Segurança
em Redes
de Computadores
70
Desafio: Múltiplas Ameaças
Ambiente de trabalho computacional:

 Worms de e-mail

 Trojans

 Spyware/Adware
?
 Ataques diretos
?
 Exploração de Vulnerabilidades ?
 Malware de rede
?

+
Análise
Comportamental
71
Vírus/Malwares
Antivírus
Tradicional
Outros softs
Personal
Firewall
IDS ???
Múltiplas ameaças
= Múltiplas
soluções necessárias
TOCI08 Segurança
em Redes de Computadores
72
Desafios da proteção


Desafios da proteção (Cont.)
Ataques não possuem mais uma frente única – são
360 graus e objetivam/iniciam de dentro e fora das
instituições
Tradicionalmente os códigos maliciosos fazem uso
extensivo de engenharia social para que o usuário
intervenha para iniciar o ataque /comprometimento


73
Prevenindo-se de Códigos Maliciosos


74
Soluções Tradicionais
Antivírus, Firewall,
, Gerênci,aCorreções, ,
etc.
Antivírus é dependente de listas de assinaturas


A partir do ano de 2004 os desenvolvedores de
códigos maliciosos exploram vulnerabilidades do
S.O. / aplicativos sem que seja necessária a
intervenção / interação do usuário para iniciar o
ataque /comprometimento
Conhecimento necessário para explorar falhas está
sendo cada vez menor em decorrência de
ferramentas automatizadas (Virus Factory)
Pequenas epidemias podem não dispor de assinatura
Janela de tempo de exposição a ameaça entre a
epidemia e atualização da lista de assinaturas
Métodos / mecanismos adicionais são necessários



Firewalls e IPS/IDS
Restrições sobre a execução de código
Prevenção de Buffer Overflow e correlacionados
Reativo
75
Não efetivo
contra novas
ameaças
TCO alto para
responder a
uma epidemia
76
Localizar uma infecção consome muito tempo
Os sistemas de firewalls protegem as redes de
acessos não autorizados.
Internet
Firewall
Internet Gateway
Servidor de Arquivos
Servidor Correio
Cliente
77
78
Distribuição de Código Malicioso
Detectando antes que ingressem na rede
Internet
Internet
Detectar os códigos
maliciosos aqui!
Internet Gateway
Firewall
1. Um
Um código
Internet Gateway
malicioso chega
chega como
arqu
ivo
anexo
a
uma
ma
arquivo
u
2. A mensagem é aceita, então
mensagem
mensa
o gem
código malicioso pode
ingressar na rede através do
firewall.
firewall.
Servidor de Correio
Cliente
Servidor de Correio
Cliente
79
80
Prevenir infecções por e-mail
Solução
Bloquear os
códigos maliciosos
antes de sua
distribuição!
Internet
Agregar um “VirusWall” na rede
Internet
Antivírus
de Serviço
Firewall
VirusWall
Servidor de
Correio
Antivírus
de Serviço
Internet Gateway
Servidor de Correio
Cliente
81
Consideração sobre Firewalls e Antivírus




Ataques “Zero day” e “near zero-day”
DoS – Negação de Serviço
Buffer Overflow
SQL Injection
82
Estratégias de Proteção
Firewalls e antivírus sozinhos não podem proteger
contra os ataques sofisticados



83
Uso de proteção em camadas:
 Camada para estações de trabalho
 Camada para servidores
 Camada de serviços Internet
As camadas devem possuir um meio de gerenciamento
centralizado
 Evitar ações redundantes (downloads repetidos)
 Otimizar tempo de resposta através de ações
coordenadas
84
Estratégias de Proteção (Cont.)


Ciclo de vida de uma epidemia
Ações para contenção/identificação não devem restrigirse a apenas listas de assinaturas. Empregar
conjuntamente:
 Uso de regras de contenção em proxies de www e
correio
 Uso de regras de firewalls pessoais e corporativo
O gerenciamento da solução deve visar a análise da
situação e não implementar o funcionamento dos
mecanismos empregados
Ataques Misturados
Informação
da ameaça
$
Política de filtragem de conteúdo
e arquivo de assinatura para
prevenção e detecção
$$
$
TCO para empresa e
perda da produtividade
afeta a empresa em
todos os estágios do
ciclo de vida
$$
$$
Avaliar e
Limpar
Restaurar e
Post-
mortem
$$$$
$
“Estima-se que 80% do custo de uma
epidemia é relacionado a limpeza.” -Computer Economics
86
Estratégia de proteção pró-ativa
Limpeza sistemática de sistemas
Gerenciamento do Ciclo de Vida da Epidemia
Cria entrada no arquivo
ini. Executa toda vez que
o sistema é iniciado.
Prevenção de Epidemia
Informação
da ameaça
 Nimda entra via e-mail.
Carrega o worm e
mecanismo SMTP
Notificação Arquivo de Verificar e
e
Eliminar
assinatura
Verificação
Prevenção
de ataque
85
Técnicas de prevenção necessárias: Nimda
Força o IIS a fazer o
download de
arquivos infectados
do desktop via TFTP
Política – Restrições no servidor
Apenas
assinaturas de
vírus não é
suficiente
Procura drives de rede com
acesso autorizado. Copia o
worm.
$
Política –restrição de compartilhamento
Esconde o worm como
serviço no win 9x
Resposta a infecção
Prevenção
de ataque
$$
Notificação
e
Verificação
$
Arquivo de
assinatura
$$
Verificar e
Eliminar
$$
Avaliação e Recuperação
Avaliar e
Limpar
$$$$
Restaurar e
Post-
mortem
$
Serviço de Prevenção de Epidemias Serviço de resposta a Infecção Serviço de correção de danos
Atualização
contra ataques
pró-ativa
Políticas de
Prevenção de
Epidemias
Análise e
Relatórios
Varredura
Baseada em
Ameaças
Resposta a
infecções por
SLA
Agentes para
limpeza/
correção
Limpeza de
Servidores e
Estações
Avaliação e limpeza sistemáticas da infecção;
Assegurar atualização de assinaturas através de gerência centralizada
87
88
Medindo a efetividade da segurança
Questões Éticas
Assinatura Distribuída

Poderiam os desenvolvedores de software poder
incluir bombas lógicas para garantir o pagamento
de seus produtos/serviços ?


Número de
Infecções
De acordo com o governo: não
Mas quantos fazem isso ? Provavelmente vários
Limpeza
Assinatura lançada
Esforço e custo
durante a epidemia
Tempo
89
90
Leitura Recomendada:
91

Cert.Br:
 http://www.cert.br/docs/seg-adm-redes/
 http://cartilha.cert.br/malware/

Norma NBR-ISO/IEC 17799. Versão 1.0

SANS.org:
 http://www.sans.org/resources/malwarefaq/

Schweitzer, Douglas. Securing the Network from Malicious Code: A
Complete Guide to Defending Against Viruses, Worms, and Trojans.
Editora Wiley. 2002.

Skoudis, Ed & Zeltser, Lenny. Fighting Malicious Code.
2ª Edição. Editora Prentice Hall. 2003.

Stallings, Willian. Network Security Essentials. 2a Edição. Editora
Prentice-Hall. 2003.
 Capítulos 5 e 10

TrendMicro:
 http://www.trendmicro.com/br/security/overview.htm
92

Códigos Maliciosos Ativos (Cont.)

Transcrição

Documentos relacionados

AS AMEAÇAS VIRTUAIS: Uma abordagem relevante

Aula 6 - SEGURANÇA E INTEGRIDADE

Características, Descrições e Benefícios

LISTA - Códigos Maliciosos

Diferenças entre antivírus gratuito e pago.

Ataque Phishing Scam

VER +

Proteger o Dinheiro

Aula 05 - Segurança na Internet (Versão PDF)

Motivação, Fundamentos de Segurança e Malware