Códigos Maliciosos Ativos (Cont.)
Transcrição
Códigos Maliciosos Ativos (Cont.)
Introdução TOCI08–Segurança em Redes de Computadores Aula 11: Malware Prof. Rafael R. Obelheiro (com slides elaborados pelo prof. Charles Miers) Uma das principais ameaças de segurança é a lógica maliciosa ou malware software que executa instruções indevidas com o propósito de violar a política de segurança Existem diferentes tipos de malware vírus, vermes, cavalos de Tróia, phishing, ... Nosso objetivo é conhecer os principais tipos e entender as defesas existentes contra eles TOCI08 Segurança em Redes de Computadores Surgimento de um conceito Nascimento dos Vermes (WORM) 1972: David Gerrold descreve no seu livro "When Harlie Was One", um programa que se replicava sozinho, chamado de vírus que infectava computadores 1988: Robert T. Morris estudante de graduação da Universidade de Cornell (EUA) Uma dúvida o atormentava: 1975: John Brunner menciona em sua mini-série "The Shockwave Rider", um “programa verme“ que move-se pelas máquinas 3 “O quão grande a Internet é?” A forma de descobrir a resposta: 1982: Na Xerox PARC, Schoch e Hupp experimentam um código móvel e chamam e denominam esse tipo de programa de verme TOCI08 Segurança em Redes de Computadores 2 Um pequeno código móvel que buscasse descobrir quantos computadores estavam interconectados TOCI08 Segurança em Redes de Computadores 4 Evolução: Incômodo... Propagação do verme criado por Morris Incômodo / Dano técnico Brain: Vírus de Boot 17:00 Primeira execução 18:00 MIT 18:30 U.Pittsburgh 21:00 Stanford 21:30 U.Minnesota 22:04 Berkeley 22:34 Princeton 22:40 U.North Carolina 22:52 CMU (sem sucesso) 22:54 U.Maryland 22:59 U.Penn (sem sucesso) ... 1/1987 Morris: Verme Internet 1/1988 1/1989 1/1990 Michelangelo 1/1991 1/1992 Conceito Vírus de Macro Junkie 1/1993 1/1994 1/1995 1/1986 1/1996 Laroux 1/1997 Wazzu Lehigh: Vírus de Arquivo 12/1997 Ripper Cascade Aproximadamente 6.000 servidores Unix infectados TOCI08 Segurança em Redes de Computadores 5 Evolução: …Espionagem em rede Incômodo / Dano técnico Classe de vírus macro sadmind VBSWG (Anna K.) Melissa Marker DDoS 1/1999 1/1998 Back Orifice 1/2000 ExploreZip Exploração Remota Goner Code Red LoveLetter Kak Bubbleboy Hybris Palm Virus Perrun Indicação que um computador / host teve o seu sistema de alguma forma comprometido por um código malicioso Também referenciado como comprometido ou contaminado Para afirmar que algo está infectado: Coolnow 1/2001 Lion 1/2002 12/2002 SirCam BadTrans 6 Conceito de Infecção Zumbis, Remetentes e Atacantes Subseven CIH TOCI08 Segurança em Redes de Computadores Sharp NIMDA Comprovar através de uma ferramenta específica, como antivírus por exemplo. Válido para vírus já conhecidos Empregar outros meios / ferramentas e correlacionar os resultados obtidos com ações características de vírus. Neste caso pode-se identificar tanto vírus conhecidos como identificar novos tipos. Sujeito a falsos positivos e falsos negativos Klez Impacto na Rede TOCI08 Segurança em Redes de Computadores 7 TOCI08 Segurança em Redes de Computadores 8 Algumas estatísticas sobre vírus Conceito de Epidemia Identificada pela ocorrência de uma determinada quantidade de infecções dentro de um determinado intervalo de tempo Também referenciado como Outbreak O conceito de epidemia é variável e pode ser diferente conforme o escopo: Rede Local (LAN) Área Geográfica / organização Internet / País / Continente Mas... Não há um valor (infecções/tempo) pré-determinado de consenso para determinar o que é uma epidemia, sendo que em alguns casos as empresas ou órgãos definem os seus próprios valores para determinar se existe uma epidemia TOCI08 Segurança em Redes de Computadores 9 Porque não foi suficiente…? 95% das infecções de vírus são provocadas por vírus conhecidos A maioria dos produtos estão certificados para detectar 100% dos vírus mais populares Mais de 90% das empresas já implementaram um sistema antivírus TOCI08 Segurança em Redes de Computadores Principais Epidemias Muitas empresas não protegem seus servidores/serviços de Internet Muitas organizações não podem monitorar seus sistemas de proteção 24x7 Muitos instituições não podem reagir rapidamente frente novas ameaças Muitas organizações não têm pessoal qualificado para implementar e administrar uma defesa adequada As atualizações se distribuem muito mais devagar que a própria velocidade de distribuição dos vírus Melissa – Março/1999 Explora uma vulnerabilidade de estouro de buffer (BufferOverflow) do servidor web IIS da Microsoft Infectou 250.000 sistemas em 9 horas Planificava um ataque de DoS contra www.whitehouse.gov Nimda – Setembro/2001 11 Primeiro caso maior de verme atacando redes MS-Windows Propaga-se através de envio de e-mails em massa que infectam documentos do MS-Word com um vírus de macro Code Red – Julho/2001 TOCI08 Segurança em Redes de Computadores 10 12 mecanismos de propagação diferentes O mais rápido e eficaz verme até o momento TOCI08 Segurança em Redes de Computadores 12 Gerenciamento de Correções: o grande desafio Principais Epidemias (Cont.) Slapper – Setembro/2002 SQL Slammer – Janeiro/2003 Explora uma falha de BufferOverflow no MS SQL Server Causa congestionamento/inundação da rede Imediato até 8 semanas Explora uma falha de BufferOverflow no DCOM RPC Executa um ataque de DoS contra Windowsupdate.com Zotob – Agosto/2005 Explora as seguintes vulnerabilidades do Microsoft Windows: BufferOverflow do “Plug and Play”, BufferOverflow remoto do “Message Queuing”, BufferOverflow de serviços de acesso remoto de estação, ASN.1 Library Bit String Processing Variant Heap Corruption TOCI08 Segurança em Redes de Computadores MS03-026 / 16 Julho 2003 MS02-039 / 24 Julho 2002 MS00-078 17 Outubro 2000 Zotob Sasser Aproximadamente 4000 vulnerabilidades identificadas no último ano, muitas correções. Implicações: Problema gerencial para os administradores de sistemas Correções possuem um histórico de poderem causar problemas, necessitando serem testados antes de aplicados nos sistemas TOCI08 Segurança em Redes de Computadores Códigos Maliciosos Ativos Passivos 2 Maio 2004 20 dias 11 Agosto 2003 26 dias SQL Slammer 25 Janeiro 2003 185 dias TOCI08 Segurança em Redes de Computadores 14 Classificação dos Códigos Maliciosos 14 Agosto 2005 5 dias MS Blaster Nimda 4 a 12 meses Alguns sistemas levam mais de um ano até terem as correções / patches aplicadas Os desenvolvedores de códigos maliciosos estão cada vez mais velozes em explorar as vulnerabilidades de sistema já publicadas MS05-039 / 09 Ago 2005 MS04-011 / 22 Abril 2004 Tempo T3 a empresa aplica o patch 13 Janela de Tempo do Patch a Epidemia Tempo T2 vendedor libera um patch Tempo T1 vulnerabilidade descoberta Blaster – Agosto/2003 Injeção de código para causar um BufferOverflow no Apache SSL Constrói uma rede P2P para um ataque massivo de DoS Alguns autores e empresas também empregam uma classe chamada de grayware. Por grayware entende-se: 18 Setembro 2001 335 dias 15 Um programa que pode, ou não ser malicioso, que monitora ou varre o sistema por informações pessoais e manda o material coletado para terceiros Fornece acesso direto de terceiros ao equipamento sem o conhecimento / autorização do proprietário TOCI08 Segurança em Redes de Computadores 16 Códigos Maliciosos Ativos Códigos Maliciosos Ativos (Cont.) Código Malicioso Ativo Precisam de Hospedeiro TrapDoors Cavalo de Tróia / Trojanos Bomba Lógica Independentes Vírus Bactérias Vermes (worms) Macro Script Java Active-X S.O. (MS-Windows, GNU/Linux, Palm, etc) Boot Joke Program TOCI08 Segurança em Redes de Computadores 17 Códigos Maliciosos Ativos (Cont.) 18 fase de inserção fase de execução (pode ser uma ação vazia) Verme (worm): programa que se replica de um computador para outro, usualmente através da rede Bactéria: programa que esgota algum recurso da máquina (CPU, memória, disco) while (1) { fork(); } um jogo que rouba arquivos ou captura senhas Bomba lógica: programa que executa uma ação maliciosa quando algum evento externo ocorre Cavalo de Tróia: programa com uma funcionalidade explícita (conhecida do usuário) e outra implícita (desconhecida) TOCI08 Segurança em Redes de Computadores Códigos Maliciosos Ativos (Cont.) Vírus: programa que insere a si mesmo em um ou mais arquivos e executa alguma ação Definições: Os códigos maliciosos ativos são assim denominados por seu ataque ao sistema envolver a modificação não autorizada de informações contidas neste sistema ou modificações em seu estado ou operação e, a negação de serviço, dificultando seu funcionamento normal Caracterizados como sendo todo aquele código malicioso que torna indisponível tecnicamente um computador ou rede de computadores Os computadores ou redes somente voltam a tornar-se operacionais após intervenção técnica corretiva nos mesmos A criação envolve algum tipo de programação de computador zera a folha de pagamento se um funcionário X for demitido Trapdoor: porta de entrada deixada por um programador para acesso posterior ao sistema senha mestre TOCI08 Segurança em Redes de Computadores 19 TOCI08 Segurança em Redes de Computadores 20 Códigos Maliciosos Ativos (Cont.) Postura dos Códigos Maliciosos Arquivo infectado é executado Procura por arquivos para infectar Escreve o código malicioso no arquivo Assegurar-se que o código malicioso seja executado antes do código original Pre-pend Anexar PE Infector Sobrescrever Fim Exemplo de funcionamento de um código malicioso ativo simples TOCI08 Segurança em Redes de Computadores 21 TOCI08 Segurança em Redes de Computadores 22 Códigos Maliciosos Ativos (Cont.) Códigos Maliciosos Ativos (Cont.): Criptografia Código malicioso sem cifragem Rotina legível Arquivo infectado é executado Carregar na memória Código malicioso cifrado CABEÇALHO CABEÇALHO Código Fonte do Código Malicioso DECODIFICADOR - Procurar .exe - Infectar - Checar gatilho - Ativar carga destrutiva - Fim Verifica condições para ativar carga destrutiva Decifrar código malicioso Sim Procura arquivos para infectar Ativa carga destrutiva Sim Código Fonte do Código Malicioso Arquivos encontrados? Não Retorna o controle ao programa de origem BSBSBSBSBSJKLSO ASDFJLDKSFNASDFA SDFJASDLKFJASDSF DGDFDFDFDFD FGFGFGFCCCDSDFD CKDCKDCKKDKD ASDFASKDFJASDLCK FLLLOCCELLMD TOCI08 Segurança em Redes de Computadores Não Não Código malicioso está residente na memória? Rotina ilegível Condições encontradas? Sim Fim Verifica a existência de código malicioso Escreve o código malicioso para o arquivo 23 Cifrar o código Exemplo de funcionamento malicioso de um código malicioso ativo complexo TOCI08 Segurança em Redes de Computadores Código malicioso encontrado? Sim Não 24 Códigos Maliciosos Ativos (Cont.): Polimorfismo 1a Geração Arquivos infectados com código malicioso cifrado Arquivos infectados com código malicioso polimórfico 2a Geração 3a Geração Códigos Maliciosos Ativos (Cont.): Oligomorfismo 4a Geração Programa Hospedeiro Programa Hospedeiro Programa Hospedeiro Programa Hospedeiro Rotina fonte do código malicioso Rotina fonte do código malicioso Rotina fonte do código malicioso Rotina fonte do código malicioso BSDBSDBJS KSDKSODS DRHUS BSDBSDBJS KSDKSODS DRHUS BSDBSDBJS KSDKSODS DRHUS Programa Hospedeiro Programa Hospedeiro Programa Hospedeiro Rotina fonte do código malicioso Rotina fonte do código malicioso Rotina fonte do código malicioso Rotina fonte do código malicioso BSDBSDBJS KSDKSODS DRHUS PSDOPSKWA JKOSDWCK MSKDSWWY &^&^&^&^) @*#=$%!? %&%&%&@$ DECODIFICADOR Código Fonte do Código Malicioso BSDBSDBJS KSDKSODS DRHUS Programa Hospedeiro CHARBUFF =Readchar ( ); Decrypt_Char = CHARBUFF * 20 + (Random_Seed/23) + 100; Newchar =Decrypt_char Write Newchar CABEÇALHO BSBSBSBSBSJKLSO ASDFJLDKSFNASDFAS DFJASDLKFJASDSFDG DFDFDFDFD FGFGFGFCCCDSDFDC KDCKDCKKDKD ASDFASKDFJASDLCKF LLLOCCELLMD 19058473618 95827361866 66856893 Mesma função, mas com nome de variável diferente CABEÇALHO DECODIFICADOR USYDUS = Readchar ( ); SJDSKDAJDS = USYDUS * 20 + (SDSDSDXCS/23) + 100; QWERTQ = SJDSKDAJDS Write QWERTQ Exemplo 1 Código do Código Malicioso BSEMRLKGDFAOM UUQREWRMNOIEQIUR OQIWEROMMSE LLKJSDFPLAKSFNE RIUEROPIWQMSIOQLS LSLSLSLOIELSW EODPRIXYXASDFA DDDSOECCKKLGU Exemplo 2 TOCI08 Segurança em Redes de Computadores 25 TOCI08 Segurança em Redes de Computadores Códigos Maliciosos Passivos (Cont.) Códigos Maliciosos Passivos Códigos Maliciosos Passivos Hoax: mensagem falsa, que circula espalhando algum boato Anexos Hoaxes SPAM Spyware Adware Phishing 26 Os códigos maliciosos passivos são aqueles que não indisponibilizam tecnicamente um computador ou rede de computadores Sua construção geralmente não envolve nenhum tipo de programação de computador, apenas engenharia social, conduta e aspectos humanos TOCI08 Segurança em Redes de Computadores SPAM: emails não solicitados com o objetivo de vender algum produto ou serviço Spyware: programas que monitoram e armazenam o comportamento do usuário 27 correntes programas de captura de teclado Adware: programas que exibem anúncios Phishing: uso de métodos fraudulentos para obter informações sensíveis, como senhas de bancos TOCI08 Segurança em Redes de Computadores 28 Códigos Maliciosos Passivos (Cont.) Códigos Maliciosos Passivos (Cont.) Este tipo de código pode ter ação pessoal e/ou profissional sobre o usuário: A ação pessoal consiste no envio de mensagens apelativas ao usuário que poderão afetar sua estrutura emocional Um exemplo deste tipo de mensagem é o apelo para que o usuário faça doações em dinheiro para ajudar determinada pessoa que tem alguma doença grave A ação profissional consiste no envio de mensagens ao usuário, induzindo-o a executar alguma ação indevida, que poderá fazer com que ele perca, por exemplo, arquivos ou informações importantes do sistema TOCI08 Segurança em Redes de Computadores 29 Conexão entre SPAM e Spywares A engenharia social é um método não-técnico de ataque aos sistema por meio do qual são enviadas mensagens fraudulentas para o usuário, que podem ser utilizadas para persuadi-lo ou enganá-lo, fazendo com que, ao responder à mensagem, ele execute alguma ação indevida e perigosa ou revele alguma informação para o atacante com a qual ele obterá acesso ao sistema As conseqüências resultantes do ataque ao sistema por um código malicioso passivo não afetam diretamente o sistema, sua operação ou seu estado, mas ameaçam a confidencialidade dos dados, pois eles podem difundir a informação, interceptar, monitorar ou fazer análise de tráfego das informações (origem, destino, tamanho, freqüência) TOCI08 Segurança em Redes de Computadores Key Loggers Spyware pode transformar o computador em um Zumbi e fonte de SPAM Através de spywares, spammers podem ter acesso a informações de endereços de e-mail do usuário contaminado Objetivam capturar dados dos dispositivos de entrada Normalmente empregados para obter senhas e outros tipos de dados relevantes, como dados bancários (Exemplo: agência, conta e senha) Exemplo de hardware para key loggers: KeyGhost TOCI08 Segurança em Redes de Computadores 30 31 KeyKatcher TOCI08 Segurança em Redes de Computadores 32 Novas Gerações de Key Loggers Ratware ou Botnets Implementação em software Incorporar características stealth, similar aos RootKits para evitar sua detecção Capturar mais do quê foi teclado, como posição de cliques e arquivos acessados Uso de Screen shots para obter dados de teclados virtuais Capturar as URL das páginas acessadas TOCI08 Segurança em Redes de Computadores 33 Mapa das Botnets Um software de e-mail usado por spammers, especificamente desenhado para enviar grande volume de e-mails em pouco tempo Muito frequentemente instalado em um computador Zumbi através de um malware Permite que ataques sofisticados de spams sejam gerados automaticamente Podem representar um ataque de DDOS TOCI08 Segurança em Redes de Computadores 34 SPAM: Estatísticas Fonte: http://nepenthes.sourceforge.net/visualisation TOCI08 Segurança em Redes de Computadores 35 Fonte: http://www.cert.br/stats/spam/ TOCI08 Segurança em Redes de Computadores 36 Phishing Método do Phishing: Engenharia Social O usuário recebe uma mensagem de correio eletrônico com aparência legítima solicitando informações pessoais sensíveis, tais como: números de cartão de crédito ou senhas Banco BBVA Bancomer, Banco Banorte (México), Telemar, Banco do Brasil, Serasa, Varig (Brasil) e Banco Credit Uruguay (Uruguai) são alguns dos afetados por ataques de Phishing na América Latina TOCI08 Segurança em Redes de Computadores e-mails enganosos: • • • 37 Método do Phishing: Engenharia Social TOCI08 Segurança em Redes de Computadores 38 Método do Phishing: Engenharia Social Programas de Captura de Senhas Digitas no Teclado (Key Logger) TOCI08 Segurança em Redes de Computadores Parecem originais e legítimos Depois de clicar no link, o usuário é direcionado a um sítio fraudulento Esta página pode pedir ao usuário nome, senha e, em alguns casos, informações pessoais (incluindo números de cartões de crédito e acesso a contas bancárias) 39 IM (Instant Messaging) • Similar aos e-mails falsos, disponibilizam um link através de uma mensagem instantânea,que solicita informações privadas • Método bem eficiente, pois, da mesma forma, a mensagem parece vir de um contato conhecido TOCI08 Segurança em Redes de Computadores 40 Estado das Ameaças de Phishing Estado das Ameaças de Phishing Fonte: TrendMicro Active Reported Phishing January 2006 Fonte: Anti-Phishing Working Group. TOCI08 Segurança em Redes de Computadores 41 Estado das Ameaças de Phishing TOCI08 Segurança em Redes de Computadores Estado das Ameaças de Phishing Principais portas (TCP) empregadas para hospedar servidores de coleta de dados do Phishing: Active Reported Phishing January 2006 Active Reported Phishing January 2006 Fonte: Anti-Phishing Working Group Fonte: Anti-Phishing Working Group. TOCI08 Segurança em Redes de Computadores 42 43 TOCI08 Segurança em Redes de Computadores 44 Estado das Ameaças de Phishing Estado das Ameaças de Phishing Principais setores alvos empregados para o Phishing: Active Reported Phishing January 2006 Fonte: Anti-Phishing Working Group TOCI08 Segurança em Redes de Computadores 45 Estado das Ameaças de Phishing Active Reported Phishing January 2006 Fonte: Anti-Phishing Working Group TOCI08 Segurança em Redes de Computadores Estado das Ameaças de Phishing Active Reported Phishing January 2006 Active Reported Phishing January 2006 Fonte: Anti-Phishing Working Group Fonte: Anti-Phishing Working Group TOCI08 Segurança em Redes de Computadores 46 47 TOCI08 Segurança em Redes de Computadores 48 Phishing Phishing Exemplo do Banco do Brasil TOCI08 Segurança em Redes de Computadores 49 Phishing TOCI08 Segurança em Redes de Computadores 50 Phishing Verificação de detalhes da página acessada: Maiores informações deste caso: 51 http://www.trendmicro.com/en/security/phishing/overview/phish050416 Sobre Phishing: TOCI08 Segurança em Redes de Computadores Resultado DIG (sucessor do Nslookup): Name: xante.com.mx Address: 216.40.203.3 http://www.trendmicro.com/en/security/phishing/overview.htm http://www.antiphishing.org TOCI08 Segurança em Redes de Computadores 52 Pharming Pharming Os servidores de resolução de nomes (DNS, arquivos hosts e/ou WINS) do usuário/rede são modificados para que apontem para endereços falsos criados para o roubo de informação ou outros fins • Um ataque de Pharming pode ser um dos efeitos danosos gerados por um malware ativo Fazem com que o usuário ingresse em endereços falsos sem notar e de modo quase imperceptível Caso seja um servidor DNS comprometido, grandes quantidades de computadores poderão ser vítimas com um golpe apenas TOCI08 Segurança em Redes de Computadores 53 Pharming TOCI08 Segurança em Redes de Computadores 54 Novas Ameaças WORM_MYTOB.AN • Redirecionamento por envenenamento de DNS levando o usuário a uma página falsa, pedindo o login e senha para acesso a informações (financeiras, etc.) Algumas vezes a página falsa automaticamente instala spywares, como Key Loggers na máquina da vítima, aumentando as possibilidades de roubar informações digitais É um vírus com diferentes técnicas de propagação automática Modifica o arquivo “hosts” do PC infectado para impedir o acesso a sites de fabricantes de Antivírus http://www.trendmicro.com/vinfo/virusencyclo/default5. asp?VName=WORM%5FMYTOB%2EAN&VSect=T TOCI08 Segurança em Redes de Computadores 55 Novos meios de comunicação: e-mail, P2P, web, Dispositivos Móveis, IM (Instant Messaging), etc. Diversas plataformas para troca de informação: celular/PDA’s, estações, notebooks, servidores, etc. Novas vulnerabilidades em sistemas operacionais Novas ameaças são descobertas diariamente Variantes de malwares ativas por anos Programação/atuação/técnicas alto nível Rapidez de disseminação Dificuldade para remoção / limpeza Ataques que buscam resultado financeiro / fraudes TOCI08 Segurança em Redes de Computadores 56 Evolução: Geração 2 Meio década de 80 Infecção Disquetes OutbreakTOCI08 /Epidemia: Infectando Segurança em Redes de Computadores estações Infecção Rede LAN 57 Evolução: Geração 3 Final da década de 90 Infecção e-mail Outbreak/Epidemia: estações e 59 TOCI08 Segurança emInfectando Redes de Computadores Meio da década de 90 Evolução: Geração 1 Outbreak/Epidemia: estações e 58 TOCI08 Segurança emInfectando Redes de Computadores servidores Evolução: Geração 4 2001-2003 Outbreak /Epidemia: Rede TOCI08 Segurança em Redes de Computadores 60 Evolução das Ameaças 1988: Verme Morris Achar nomes de hosts nos arquivos host, senha de BufferOverflow sobre convidado o fingerd (apenas em VAX ), Sendmail DEBUG, rsh e rexec Geração 5 ‘P2P, Malware+Spam, Infra-estrutura de rede, wireless’ Geração 4 ‘Ameaças Combinadas’ Testar Invadir Alvos Geração 3 ‘Era e-mail em Massa’ Compilar com o nome “sh” Esconder informações do comando “ps”, Prevenir um core dump Persistir Propagar Paralizar Geração 2 ‘Era LAN’ Encontrar hosts confiáveis Encontrar nomes de usuários Adicionar na lista de alvos Geração 1 ‘Era dos Disquetes’ 1986-1995 Executar um Fork child a cada 3 min, Múltiplos processos infectados paralisam o sistema 1995-1999 1999-2001 2001-2003 2004 em diante TOCI08 Segurança em Redes de Computadores 61 2000: I LOVE YOU TOCI08 Segurança em Redes de Computadores 2001: NIMDA Vírus utiliza o livro de endereços de e-mail do Outlook para buscar alvos Vírus utiliza o livro de endereços de e-mail do Outlook para buscar alvos Anexo de Correio Conexão de IRC Testar Invadir Alvos A carga destrutiva finge ser "audio/x-wav" e é executada automaticamente Cria arquivos VBS Cria arquivos HTML Adiciona na Registry chaves de Autorun Persistir 62 Propagar Paralizar Testar Invadir Alvos Introduz um Cavalo de Tróia nos arquivos executáveis, LOAD.EXE no diretório do sistema; começos LOAD.EXE do SYSTEM.INI; esconde seus arquivos; adiciona conta de administrador Persistir Propagar Paralizar Envia cópia das conexões web atacadas através do IRC Copia os compartilhamentos remotos; envia por e-mail para os endereços de e-mail conhecidos; efetua varredura bucando encontrar mais servidores web Exclui arquivos Excluir arquivos Roubar senhas TOCI08 Segurança em Redes de Computadores 63 TOCI08 Segurança em Redes de Computadores 64 2003: Slammer 2005: Zotob.A Envia pacotes à porta UDP/1433 Realiza um BufferOverflow no Microsoft MSDE/SQL Server 2000 Testar Invadir Alvos Faz um ataque de injeção de código no processo em execução Persistir Propagar Paralizar Envia pacotes UDP/1433 para outros sistemas/ computadores o mais rápido que conseguir A rede possui seu tráfego sobrecarregado, congestionando a rede e interrompedo a comunicação TOCI08 Segurança em Redes de Computadores 65 66 Como funcionam os antivírus ??? Códigos Maliciosos: Proteção Normalmente implementados para interceptar as requisições de processos do S.O. através do redirecionamento do fluxo empregando interrupções Classificação básica: Baseados em listas de assinatura Mecanismo de busca emprega uma lista com as definições de códigos maliciosos já conhecidos Baseados em Heurística / Análise Comportamental Mecanismo de busca emprega um conjunto de definições que devem possibilitar identificar qualquer código malicioso, novo ou não TOCI08 Segurança em Redes de Computadores 68 Exemplo: Detecção baseada em assinaturas 1. 2. 3. Filtro intercepta o processo de abertura de arquivo da aplicação Para a operação de E/S e executa o serviço de verificação Caso o arquivo contenha código malicioso que não possa ser eliminado, coloca o arquivo em quarentena e bloqueia a abertura modo usuário modo núcleo Aplicação Serviço Antivirus Driver do Filtro Antivirus Híbrido: Listas de Assinaturas e Análise Comportamental Listas de Assinaturas Proteção Ataques conhecidos Lista / BD Assinaturas Driver Sistema de Arquivos TOCI08 Segurança em Redes de Computadores 69 Mais precisos em parar códigos maliciosos conhecidos Descrições detalhas e não ambíguas das ameaças Redução significativa de falsos positivos Proteção Ataques “Zero-day” Não requer atualizações, a priori Reduz o impacto da aplicação de patches Alta taxa de falsos positivos, porém mais eficaz contra novas ameaças Dificuldade de elaborar o conjunto de definições e métricas Ambos os métodos de detecção são necessários para maximizar a proteção e precisão TOCI08 Segurança em Redes de Computadores 70 Desafio: Múltiplas Ameaças Ambiente de trabalho computacional: Worms de e-mail Trojans Spyware/Adware ? Ataques diretos ? Exploração de Vulnerabilidades ? Malware de rede ? TOCI08 Segurança em Redes de Computadores + Análise Comportamental 71 Vírus/Malwares Antivírus Tradicional Outros softs Personal Firewall IDS ??? Múltiplas ameaças = Múltiplas soluções necessárias TOCI08 Segurança em Redes de Computadores 72 Desafios da proteção Desafios da proteção (Cont.) Ataques não possuem mais uma frente única – são 360 graus e objetivam/iniciam de dentro e fora das instituições Tradicionalmente os códigos maliciosos fazem uso extensivo de engenharia social para que o usuário intervenha para iniciar o ataque /comprometimento TOCI08 Segurança em Redes de Computadores 73 Prevenindo-se de Códigos Maliciosos TOCI08 Segurança em Redes de Computadores 74 Soluções Tradicionais Antivírus, Firewall, , Gerênci,aCorreções, , etc. Antivírus é dependente de listas de assinaturas A partir do ano de 2004 os desenvolvedores de códigos maliciosos exploram vulnerabilidades do S.O. / aplicativos sem que seja necessária a intervenção / interação do usuário para iniciar o ataque /comprometimento Conhecimento necessário para explorar falhas está sendo cada vez menor em decorrência de ferramentas automatizadas (Virus Factory) Pequenas epidemias podem não dispor de assinatura Janela de tempo de exposição a ameaça entre a epidemia e atualização da lista de assinaturas Métodos / mecanismos adicionais são necessários Firewalls e IPS/IDS Restrições sobre a execução de código Prevenção de Buffer Overflow e correlacionados Reativo TOCI08 Segurança em Redes de Computadores 75 Não efetivo contra novas ameaças TOCI08 Segurança em Redes de Computadores TCO alto para responder a uma epidemia 76 Localizar uma infecção consome muito tempo Os sistemas de firewalls protegem as redes de acessos não autorizados. Internet Firewall Internet Gateway Servidor de Arquivos Servidor Correio Cliente TOCI08 Segurança em Redes de Computadores 77 TOCI08 Segurança em Redes de Computadores 78 Distribuição de Código Malicioso Detectando antes que ingressem na rede Internet Internet Detectar os códigos maliciosos aqui! Internet Gateway Firewall 1. Um Um código Internet Gateway malicioso chega chega como arqu ivo anexo a uma ma arquivo u 2. A mensagem é aceita, então mensagem mensa o gem código malicioso pode Servidor de Arquivos ingressar na rede através do firewall. firewall. Servidor de Correio Cliente TOCI08 Segurança em Redes de Computadores Servidor de Arquivos Servidor de Correio Cliente 79 80 Prevenir infecções por e-mail Solução Bloquear os códigos maliciosos antes de sua distribuição! Internet Agregar um “VirusWall” na rede Internet Antivírus de Serviço Firewall VirusWall Servidor de Correio Antivírus de Serviço Internet Gateway Servidor de Arquivos Servidor de Correio Cliente TOCI08 Segurança em Redes de Computadores 81 Consideração sobre Firewalls e Antivírus Ataques “Zero day” e “near zero-day” DoS – Negação de Serviço Buffer Overflow SQL Injection TOCI08 Segurança em Redes de Computadores 82 Estratégias de Proteção Firewalls e antivírus sozinhos não podem proteger contra os ataques sofisticados TOCI08 Segurança em Redes de Computadores 83 Uso de proteção em camadas: Camada para estações de trabalho Camada para servidores Camada de serviços Internet As camadas devem possuir um meio de gerenciamento centralizado Evitar ações redundantes (downloads repetidos) Otimizar tempo de resposta através de ações coordenadas TOCI08 Segurança em Redes de Computadores 84 Estratégias de Proteção (Cont.) Ciclo de vida de uma epidemia Ações para contenção/identificação não devem restrigirse a apenas listas de assinaturas. Empregar conjuntamente: Uso de regras de contenção em proxies de www e correio Uso de regras de firewalls pessoais e corporativo O gerenciamento da solução deve visar a análise da situação e não implementar o funcionamento dos mecanismos empregados TOCI08 Segurança em Redes de Computadores Ataques Misturados Informação da ameaça $ Política de filtragem de conteúdo e arquivo de assinatura para prevenção e detecção $$ $ TCO para empresa e perda da produtividade afeta a empresa em todos os estágios do ciclo de vida $$ $$ Avaliar e Limpar Restaurar e Post- mortem $$$$ $ “Estima-se que 80% do custo de uma epidemia é relacionado a limpeza.” -Computer Economics TOCI08 Segurança em Redes de Computadores 86 Estratégia de proteção pró-ativa Limpeza sistemática de sistemas Gerenciamento do Ciclo de Vida da Epidemia Cria entrada no arquivo ini. Executa toda vez que o sistema é iniciado. Prevenção de Epidemia Informação da ameaça Nimda entra via e-mail. Carrega o worm e mecanismo SMTP Notificação Arquivo de Verificar e e Eliminar assinatura Verificação Prevenção de ataque 85 Técnicas de prevenção necessárias: Nimda Força o IIS a fazer o download de arquivos infectados do desktop via TFTP Política – Restrições no servidor Apenas assinaturas de vírus não é suficiente Procura drives de rede com acesso autorizado. Copia o worm. $ Política –restrição de compartilhamento Esconde o worm como serviço no win 9x Resposta a infecção Prevenção de ataque $$ Notificação e Verificação $ Arquivo de assinatura $$ Verificar e Eliminar $$ Avaliação e Recuperação Avaliar e Limpar $$$$ Restaurar e Post- mortem $ Serviço de Prevenção de Epidemias Serviço de resposta a Infecção Serviço de correção de danos Atualização contra ataques pró-ativa Políticas de Prevenção de Epidemias Análise e Relatórios Varredura Baseada em Ameaças Resposta a infecções por SLA Agentes para limpeza/ correção Limpeza de Servidores e Estações Avaliação e limpeza sistemáticas da infecção; Assegurar atualização de assinaturas através de gerência centralizada TOCI08 Segurança em Redes de Computadores 87 TOCI08 Segurança em Redes de Computadores 88 Medindo a efetividade da segurança Questões Éticas Assinatura Distribuída Poderiam os desenvolvedores de software poder incluir bombas lógicas para garantir o pagamento de seus produtos/serviços ? Número de Infecções De acordo com o governo: não Mas quantos fazem isso ? Provavelmente vários Limpeza Assinatura lançada Esforço e custo durante a epidemia Tempo TOCI08 Segurança em Redes de Computadores 89 TOCI08 Segurança em Redes de Computadores 90 Leitura Recomendada: TOCI08 Segurança em Redes de Computadores 91 Cert.Br: http://www.cert.br/docs/seg-adm-redes/ http://cartilha.cert.br/malware/ Norma NBR-ISO/IEC 17799. Versão 1.0 SANS.org: http://www.sans.org/resources/malwarefaq/ Schweitzer, Douglas. Securing the Network from Malicious Code: A Complete Guide to Defending Against Viruses, Worms, and Trojans. Editora Wiley. 2002. Skoudis, Ed & Zeltser, Lenny. Fighting Malicious Code. 2ª Edição. Editora Prentice Hall. 2003. Stallings, Willian. Network Security Essentials. 2a Edição. Editora Prentice-Hall. 2003. Capítulos 5 e 10 TrendMicro: http://www.trendmicro.com/br/security/overview.htm TOCI08 Segurança em Redes de Computadores 92