malware - Малициозни софтвер
TRANSCRIPT
MalwareMaliciozni softver
Aleksandar KostadinovićOktobar 2015. Beograd
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Tipovi
Virusi Worms (crvi) Trojanski konji Rootkits Hoax
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Maliciozni programi
Virus
Worm
Trojanski konj - Rootkit
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
„Posebni“
Chameleon familija virusa (prvi polimorfni virusi)
CIH (prvi virus koji uslovno rečeno „oštećuje“ hardver)
Melissa (prvi makro virus) Kakworm (javascript) Kenzero (kopira porno istoriju i
ucenjuje)
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
„Posebni“
Nimda (višestruko širenje, i kroz mrežne diskove, kroz rupe koje su napravili drugi virusi)
ExploreZip (smanjuje veličinu fajlova na 0)
Leap-A/Oompa-A (prvi moderni Mac virus)
Crypto-locker malware
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Stuxnet
Virusi Worms (crvi) Trojanski konji Rootkits
Stuxnet
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Šta se dogodilo
Pojavio se najmanje godinu dana pre nego što je javno otkriven (jun 2010.)
Postoje najmanje 3 varijante (jun 2009., mart 2010. i april 2010.)
Postao je prvo oružje za prvi pravi Cyber rat
Sabotirao je iranski nuklearni program i po proceni vratio ga 2 do 3 godine unazad
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Napadani segmenti
Windows OS Siemens PCS 7, WinCC and STEP7
industrijski softver koji radi pod Windows OS
Siemens S7 PLCs.
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Komponente - Rootkit
Zadužena za ulazak u Windows sisteme i preuzimanje kontrole
Koristi 20 zero-days propusta Koristi originalne bezbednosne
sertifikate (ukradene npr. od Realtek-a)
Koristi stvarne administrativne privilegije a ne lažne
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Komponente – Virus i crv
zadužene za širenje i traženje ciljnog računara
širenje putem zaraženih fajlova zaraženog USB flash-a (MS10-046) mrežnih deljenih diskova štampača (MS10-061) MS10-073 kernel drajver, MS10-092
task scheduler, CVE-2010-2772 standardna lozinka, MS08-067 server servis
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Komponente – Trojanski konj
neutralisanje antivirus servisa ažuriranje „Stuxnet“-a ispitivanje cilja preuzimanje kontrole nad PLC
kontrolerom i reprogramiranje preuzimanje kontrole nad senzorima i
dojavljivačima kraj širenja 24.6.2012.
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Širenje
Prvi korak - inficiranje (najveći broj inicijalnih infekcija je bio preko USB flash drive korišćenjem ukradenih pravih digitalno potpisanih drajvera)
Drugi korak – upoznavanje okruženja (Stuxnet istražuje da li je inficirani računar vezan za odgovarajuće kontrolere, da li je na mreži, da li je na pravoj lokaciji, nakon toga odlučuje da li deluje, širi se dalje ili se briše sa računara)
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Širenje
Treći korak – ažuriranje (ukoliko je računar onaj na kome će Stuxnet delovati, pokušava da se zakači na internet u pozadini i skine noviju verziju sebe)
Četvrti korak – kompromitovanje (ukoliko je na pravoj mreži, prepoznaje računare sa kontrolerima, Stuxnet se širi koristeći zero days vulnerabilities, usb, lan, štampači)
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Širenje
Peti korak – osmatranje i kontrola (na računaru koji upravlja kontrolerom, Stuxnet prvo prikuplja podatke i analizira ih, ukoliko može pošalje ih preko interneta ukoliko ne odlučuje kako da deluje)
Šesti korak – maskiranje i uništenje (pošto je analizirao podatke, naizgled ispravne podatke šalje ljudima koji kontrolišu sistem da ih zavara, u pozadini na potpuno drugačiji način upravlja sistemom i uništava ga)
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Algoritam širenja
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Ciljane teritorije
Iran
Indonezija Indija
Azerbejdžan
Pakistan
Malezija
SAD
Uzbekistan
Rusija
Velika Brit
anija
Ostale ze
mlje0
10
20
30
40
50
6058.31
17.38
9.963.4 1.4 1.16 0.89 0.71 0.61 0.57
5.15
Broj inficiranih računara po zemljama procentualno
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Ciljane teritorije
Iran
Indonezija Indija
Azerbejdžan
Pakistan
Malezija
SAD
Uzbekistan
Rusija
Velika Brit
anija
Ostale ze
mlje0
10
20
30
40
50
60
7067.6
8.1 4.98 2.18 2.18 1.56 1.25
12.15
Broj inficiranih računara koji imaju vezu sa PLC kontrolerima po zemljama
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Autori
Ne postoji potvrda ko su autori, sumnja se: Stuxnet grupa USA Equation grupa USA Unit 8200 Israel
Myrtus (mirta, Hadaša- Hadassah ili Esther) "b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb" ili
"My-RTUs„ (RTU – remote terminal unit) Registry key "19790509" infection marker 09/05/1979 datum pogubljenja Habiba Elghaniana
u Iranu
Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Хвала на пажњи
Aleksandar Kostadinović[email protected]
rnids.rsрнидс.срб
domen.rsдомен.срб