vírusok, férgek szerepe az informatikai hadviselésben
DESCRIPTION
Vírusok, férgek szerepe az informatikai hadviselésben. Készítette: Adamkó Péter András. Miről is beszélünk?. Vírus Féreg Trójai Rootkitek Vagy az egész együtt egy alkalmazásban?. Trójai programok számának növekedése 2003-2005 között. Vírusok, férgek számának csökkenése 2003-2005 között. - PowerPoint PPT PresentationTRANSCRIPT
Vírusok, férgek szerepe Vírusok, férgek szerepe az informatikai az informatikai hadviselésbenhadviselésben
Készítette: Adamkó Péter Készítette: Adamkó Péter AndrásAndrás
Miről is beszélünk?Miről is beszélünk?
VírusVírus
FéregFéreg
TrójaiTrójai
RootkitekRootkitek
Vagy az egész együtt egy alkalmazásban?Vagy az egész együtt egy alkalmazásban?
Informatikai hadviselés?Informatikai hadviselés?
Trójai programok számának Trójai programok számának növekedése 2003-2005 közöttnövekedése 2003-2005 között
Vírusok, férgek számának Vírusok, férgek számának csökkenése 2003-2005 közöttcsökkenése 2003-2005 között
• 2003: Slammer, Sobig, Lovesan, Welchia, Witty• 2004: Mydoom, Zafi, Bagle, Netsky, Sasser• 2005: Mytob, Zotob
Informatikai hadviselés!Informatikai hadviselés!
Bankok elleni információ szerző támadások: Bank Bankok elleni információ szerző támadások: Bank of America, Sumitomo Bank, MasterCard, Visa, of America, Sumitomo Bank, MasterCard, Visa, Card Systems Solutions.Card Systems Solutions.
Országos szintű kémkedési ügyek: Hotworld, Országos szintű kémkedési ügyek: Hotworld, Titan RainTitan Rain
Valójában máig nem tudjuk pontosan hány másik Valójában máig nem tudjuk pontosan hány másik eset történt meg, s melyik milyen szabású volt. A eset történt meg, s melyik milyen szabású volt. A bankok számára ez presztízs kérdés lehet... bankok számára ez presztízs kérdés lehet...
CélokCélok
Idáig: Idáig: spam, majd trójai proxy-k révén még több spamspam, majd trójai proxy-k révén még több spam terjesztési műveletekterjesztési műveletek botnetek létrehozása.botnetek létrehozása. Komoly destruktív töltete nem volt, csak az Komoly destruktív töltete nem volt, csak az
erőforrásfelhasználás mértéke miatt.erőforrásfelhasználás mértéke miatt.
Most:Most: információszerzés -> identitáslopás, információszerzés -> identitáslopás,
pénzműveletek, gazdasági haszonszerzés. A pénzműveletek, gazdasági haszonszerzés. A botneteket már pénzért adják bérbe…botneteket már pénzért adják bérbe…
Fizetős rootkitek elérhetőekFizetős rootkitek elérhetőek
Mi helyzet most?Mi helyzet most? Az általános védelmi szoftverek a nagyszabású Az általános védelmi szoftverek a nagyszabású
támadásokra specializálódtak:Zero-hour Virus támadásokra specializálódtak:Zero-hour Virus Outbreak Protection, IPSOutbreak Protection, IPS
Polimorfizmus és metamorfizmus egyelőre nem Polimorfizmus és metamorfizmus egyelőre nem jelentkezik bonyolultan ezekben a férgekben.jelentkezik bonyolultan ezekben a férgekben.
Elsősorban mintaalapú felismerés -> naponta Elsősorban mintaalapú felismerés -> naponta többszöri frissítés révén már csak a férgek többszöri frissítés révén már csak a férgek megjelenésének ideje kritikus. Egyszerű esetben megjelenésének ideje kritikus. Egyszerű esetben ezek heurisztikák, kódemulációk révén szűrhetők.ezek heurisztikák, kódemulációk révén szűrhetők.
Kellően gyors algoritmusok: Warhol, Flash, Curios Kellően gyors algoritmusok: Warhol, Flash, Curios YellowYellow
Mi a helyzet az egyedi szoftverekkel?Mi a helyzet az egyedi szoftverekkel?
Néhány nagyobb rootkitekkel Néhány nagyobb rootkitekkel kapcsolatos esemény 2005-benkapcsolatos esemény 2005-ben
Golden hacker defender rootkit, mely mintaalapú Golden hacker defender rootkit, mely mintaalapú keresést végez, s a felismert védelmi keresést végez, s a felismert védelmi szoftvereknek korrupt információt juttat el.szoftvereknek korrupt információt juttat el.
Sony DRM szoftvere: megoldás a szerzői jogok Sony DRM szoftvere: megoldás a szerzői jogok védelmére? Mindazonáltal eltávolíthatatlan, és védelmére? Mindazonáltal eltávolíthatatlan, és jelentős rendszer stabilitási gondokat okozhat…jelentős rendszer stabilitási gondokat okozhat…
Az Sdbot.add AIM féreg már rootkit technológiát Az Sdbot.add AIM féreg már rootkit technológiát használ.használ.
(Oracle Database rootkit koncepció)(Oracle Database rootkit koncepció)
Rootkit tevékenység méréseRootkit tevékenység mérése
Koncepció: Olyan rootkit-hátsókapu hibridKoncepció: Olyan rootkit-hátsókapu hibrid
alkalmazás szimulációja, melyek a jelenlegi védelmi alkalmazás szimulációja, melyek a jelenlegi védelmi szoftverekkel nem észlelhetőek (IDS, vírusirtók).szoftverekkel nem észlelhetőek (IDS, vírusirtók).
Hátsó kapu (port knocking) : SadoorHátsó kapu (port knocking) : Sadoor Rootkit: Fu, Vanquish, Hacker DefenderRootkit: Fu, Vanquish, Hacker Defender Vírusírtó szoftverek: F-secure Internet Security Vírusírtó szoftverek: F-secure Internet Security
2006, AVG, NOD322006, AVG, NOD32 Rootkit detetektáló szoftver: Rootkit revealer, Rootkit detetektáló szoftver: Rootkit revealer,
BlacklightBlacklight Vírusok: Mytob, Bagle, MyDoom, Netsky variánsokVírusok: Mytob, Bagle, MyDoom, Netsky variánsok
Mérés hely és architektúraMérés hely és architektúra
Általános hálózati Általános hálózati infrastruktúrainfrastruktúra
Windows alapú gépek: Windows alapú gépek: 2000, XP, XP,SP1, SP22000, XP, XP,SP1, SP2
VmWare-re telepített VmWare-re telepített operációs rendszerek, operációs rendszerek, NOD32, AVG, FIS2006 NOD32, AVG, FIS2006 védelmi szoftverekkelvédelmi szoftverekkel
Hálózati forgalom Hálózati forgalom generálása: Suse 9.3generálása: Suse 9.3
Mérés 1Mérés 1
Fu : DKOM rootkit, folyamatok kernel driverek Fu : DKOM rootkit, folyamatok kernel driverek elrejtése privilégiumok állításaelrejtése privilégiumok állítása
Vanquish : felhasználói módú „kampókat” Vanquish : felhasználói módú „kampókat” létrehozó rootkit, fájlok elrejtéselétrehozó rootkit, fájlok elrejtése
Hacker Defender: felhasználói módú rootkit, Hacker Defender: felhasználói módú rootkit, fáljok, folyamatok, portok elrejtésére fáljok, folyamatok, portok elrejtésére
Vírusok indítása, rejtése, illetve fedezetlenül Vírusok indítása, rejtése, illetve fedezetlenül hagyásahagyása
Tesztelés 1Tesztelés 1
Tesztelés 2Tesztelés 2
Tesztelés 3Tesztelés 3
Mérés 2Mérés 2
Sadoor(Windows server- Linux kliens 1.1): Sadoor(Windows server- Linux kliens 1.1): portknocking, távoli utasítások végrehajtása, csak portknocking, távoli utasítások végrehajtása, csak csomagok alapján!csomagok alapján!
Jelenleg könnyű hálózati nyomon követés, de Jelenleg könnyű hálózati nyomon követés, de módosítással és hálózati konfigurációval ez módosítással és hálózati konfigurációval ez nehezebbé tehető.nehezebbé tehető.
Teszt 1Teszt 1
Teszt 2Teszt 2
KonklúzióKonklúzió Hálózati forgalom nagy mennyiségű adatforgalom Hálózati forgalom nagy mennyiségű adatforgalom
esetén figyelemfelkeltő, egyszerű utasítások esetén figyelemfelkeltő, egyszerű utasítások esetén nem lehet detektálni!esetén nem lehet detektálni!
Csak rootkit detektáló program segítségével sem Csak rootkit detektáló program segítségével sem mindig lehet kimutatni jelenlétüket. Valamint ez mindig lehet kimutatni jelenlétüket. Valamint ez meglehetős szaktudást igényel, mivel nem csak a meglehetős szaktudást igényel, mivel nem csak a káros programok használják ezt a technológiát.káros programok használják ezt a technológiát.
Detektálás és eltávolítás veszélyes: létezik olyan Detektálás és eltávolítás veszélyes: létezik olyan kernel módú rootkit, mely tönkreteszi a gép kernel módú rootkit, mely tönkreteszi a gép drivereit eltávolítása esetén(lásd Mark drivereit eltávolítása esetén(lásd Mark Russinovich blogját).Russinovich blogját).
Védelmi szoftverek továbbra is erősen kötődnek a Védelmi szoftverek továbbra is erősen kötődnek a mintaalapú felismeréshez -> egy alkalmazás mintaalapú felismeréshez -> egy alkalmazás futásához rendelt, s annak fájljaiban adatot tároló futásához rendelt, s annak fájljaiban adatot tároló rootkit detektálása hogyan történhet meg?rootkit detektálása hogyan történhet meg?
Köszönöm a figyelmet!Köszönöm a figyelmet!
Néhány érdekesebb link:Néhány érdekesebb link:
httphttp://www.sysinternals.com/Blog/://www.sysinternals.com/Blog/ http://www.f-secure.com/weblog/http://www.f-secure.com/weblog/