malware - Малициозни софтвер

MalwareMaliciozni softver

Aleksandar KostadinovićOktobar 2015. Beograd

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

Tipovi

Virusi Worms (crvi) Trojanski konji Rootkits Hoax

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

Maliciozni programi

Virus

Worm

Trojanski konj - Rootkit

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

„Posebni“

Chameleon familija virusa (prvi polimorfni virusi)

CIH (prvi virus koji uslovno rečeno „oštećuje“ hardver)

Melissa (prvi makro virus) Kakworm (javascript) Kenzero (kopira porno istoriju i

ucenjuje)

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

„Posebni“

Nimda (višestruko širenje, i kroz mrežne diskove, kroz rupe koje su napravili drugi virusi)

ExploreZip (smanjuje veličinu fajlova na 0)

Leap-A/Oompa-A (prvi moderni Mac virus)

Crypto-locker malware

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

Stuxnet

Virusi Worms (crvi) Trojanski konji Rootkits

Stuxnet

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

Šta se dogodilo

Pojavio se najmanje godinu dana pre nego što je javno otkriven (jun 2010.)

Postoje najmanje 3 varijante (jun 2009., mart 2010. i april 2010.)

Postao je prvo oružje za prvi pravi Cyber rat

Sabotirao je iranski nuklearni program i po proceni vratio ga 2 do 3 godine unazad

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

Napadani segmenti

Windows OS Siemens PCS 7, WinCC and STEP7

industrijski softver koji radi pod Windows OS

Siemens S7 PLCs.

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

Komponente - Rootkit

Zadužena za ulazak u Windows sisteme i preuzimanje kontrole

Koristi 20 zero-days propusta Koristi originalne bezbednosne

sertifikate (ukradene npr. od Realtek-a)

Koristi stvarne administrativne privilegije a ne lažne

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

Komponente – Virus i crv

zadužene za širenje i traženje ciljnog računara

širenje putem zaraženih fajlova zaraženog USB flash-a (MS10-046) mrežnih deljenih diskova štampača (MS10-061) MS10-073 kernel drajver, MS10-092

task scheduler, CVE-2010-2772 standardna lozinka, MS08-067 server servis

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

Komponente – Trojanski konj

neutralisanje antivirus servisa ažuriranje „Stuxnet“-a ispitivanje cilja preuzimanje kontrole nad PLC

kontrolerom i reprogramiranje preuzimanje kontrole nad senzorima i

dojavljivačima kraj širenja 24.6.2012.

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

Širenje

Prvi korak - inficiranje (najveći broj inicijalnih infekcija je bio preko USB flash drive korišćenjem ukradenih pravih digitalno potpisanih drajvera)

Drugi korak – upoznavanje okruženja (Stuxnet istražuje da li je inficirani računar vezan za odgovarajuće kontrolere, da li je na mreži, da li je na pravoj lokaciji, nakon toga odlučuje da li deluje, širi se dalje ili se briše sa računara)

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

Širenje

Treći korak – ažuriranje (ukoliko je računar onaj na kome će Stuxnet delovati, pokušava da se zakači na internet u pozadini i skine noviju verziju sebe)

Četvrti korak – kompromitovanje (ukoliko je na pravoj mreži, prepoznaje računare sa kontrolerima, Stuxnet se širi koristeći zero days vulnerabilities, usb, lan, štampači)

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

Širenje

Peti korak – osmatranje i kontrola (na računaru koji upravlja kontrolerom, Stuxnet prvo prikuplja podatke i analizira ih, ukoliko može pošalje ih preko interneta ukoliko ne odlučuje kako da deluje)

Šesti korak – maskiranje i uništenje (pošto je analizirao podatke, naizgled ispravne podatke šalje ljudima koji kontrolišu sistem da ih zavara, u pozadini na potpuno drugačiji način upravlja sistemom i uništava ga)

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

Algoritam širenja

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

Ciljane teritorije

Iran

Indonezija Indija

Azerbejdžan

Pakistan

Malezija

SAD

Uzbekistan

Rusija

Velika Brit

anija

Ostale ze

mlje0

10

20

30

40

50

6058.31

17.38

9.963.4 1.4 1.16 0.89 0.71 0.61 0.57

5.15

Broj inficiranih računara po zemljama procentualno

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

Ciljane teritorije

Iran

Indonezija Indija

Azerbejdžan

Pakistan

Malezija

SAD

Uzbekistan

Rusija

Velika Brit

anija

Ostale ze

mlje0

10

20

30

40

50

60

7067.6

8.1 4.98 2.18 2.18 1.56 1.25

12.15

Broj inficiranih računara koji imaju vezu sa PLC kontrolerima po zemljama

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

Autori

Ne postoji potvrda ko su autori, sumnja se: Stuxnet grupa USA Equation grupa USA Unit 8200 Israel

Myrtus (mirta, Hadaša- Hadassah ili Esther) "b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb" ili

"My-RTUs„ (RTU – remote terminal unit) Registry key "19790509" infection marker 09/05/1979 datum pogubljenja Habiba Elghaniana

u Iranu

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović

Хвала на пажњи

Aleksandar Kostadinovićaleksandar.kostadinovic@rnids.rs

rnids.rsрнидс.срб

domen.rsдомен.срб