Vírusok, férgek szerepe Vírusok, férgek szerepe az informatikai az informatikai hadviselésbenhadviselésben

Készítette: Adamkó Péter Készítette: Adamkó Péter AndrásAndrás

Miről is beszélünk?Miről is beszélünk?

VírusVírus

FéregFéreg

TrójaiTrójai

RootkitekRootkitek

Vagy az egész együtt egy alkalmazásban?Vagy az egész együtt egy alkalmazásban?

Informatikai hadviselés?Informatikai hadviselés?

Trójai programok számának Trójai programok számának növekedése 2003-2005 közöttnövekedése 2003-2005 között

Vírusok, férgek számának Vírusok, férgek számának csökkenése 2003-2005 közöttcsökkenése 2003-2005 között

• 2003: Slammer, Sobig, Lovesan, Welchia, Witty• 2004: Mydoom, Zafi, Bagle, Netsky, Sasser• 2005: Mytob, Zotob

Informatikai hadviselés!Informatikai hadviselés!

Bankok elleni információ szerző támadások: Bank Bankok elleni információ szerző támadások: Bank of America, Sumitomo Bank, MasterCard, Visa, of America, Sumitomo Bank, MasterCard, Visa, Card Systems Solutions.Card Systems Solutions.

Országos szintű kémkedési ügyek: Hotworld, Országos szintű kémkedési ügyek: Hotworld, Titan RainTitan Rain

Valójában máig nem tudjuk pontosan hány másik Valójában máig nem tudjuk pontosan hány másik eset történt meg, s melyik milyen szabású volt. A eset történt meg, s melyik milyen szabású volt. A bankok számára ez presztízs kérdés lehet... bankok számára ez presztízs kérdés lehet...

CélokCélok

Idáig: Idáig: spam, majd trójai proxy-k révén még több spamspam, majd trójai proxy-k révén még több spam terjesztési műveletekterjesztési műveletek botnetek létrehozása.botnetek létrehozása. Komoly destruktív töltete nem volt, csak az Komoly destruktív töltete nem volt, csak az

erőforrásfelhasználás mértéke miatt.erőforrásfelhasználás mértéke miatt.

Most:Most: információszerzés -> identitáslopás, információszerzés -> identitáslopás,

pénzműveletek, gazdasági haszonszerzés. A pénzműveletek, gazdasági haszonszerzés. A botneteket már pénzért adják bérbe…botneteket már pénzért adják bérbe…

Fizetős rootkitek elérhetőekFizetős rootkitek elérhetőek

Mi helyzet most?Mi helyzet most? Az általános védelmi szoftverek a nagyszabású Az általános védelmi szoftverek a nagyszabású

támadásokra specializálódtak:Zero-hour Virus támadásokra specializálódtak:Zero-hour Virus Outbreak Protection, IPSOutbreak Protection, IPS

Polimorfizmus és metamorfizmus egyelőre nem Polimorfizmus és metamorfizmus egyelőre nem jelentkezik bonyolultan ezekben a férgekben.jelentkezik bonyolultan ezekben a férgekben.

Elsősorban mintaalapú felismerés -> naponta Elsősorban mintaalapú felismerés -> naponta többszöri frissítés révén már csak a férgek többszöri frissítés révén már csak a férgek megjelenésének ideje kritikus. Egyszerű esetben megjelenésének ideje kritikus. Egyszerű esetben ezek heurisztikák, kódemulációk révén szűrhetők.ezek heurisztikák, kódemulációk révén szűrhetők.

Kellően gyors algoritmusok: Warhol, Flash, Curios Kellően gyors algoritmusok: Warhol, Flash, Curios YellowYellow

Mi a helyzet az egyedi szoftverekkel?Mi a helyzet az egyedi szoftverekkel?

Néhány nagyobb rootkitekkel Néhány nagyobb rootkitekkel kapcsolatos esemény 2005-benkapcsolatos esemény 2005-ben

Golden hacker defender rootkit, mely mintaalapú Golden hacker defender rootkit, mely mintaalapú keresést végez, s a felismert védelmi keresést végez, s a felismert védelmi szoftvereknek korrupt információt juttat el.szoftvereknek korrupt információt juttat el.

Sony DRM szoftvere: megoldás a szerzői jogok Sony DRM szoftvere: megoldás a szerzői jogok védelmére? Mindazonáltal eltávolíthatatlan, és védelmére? Mindazonáltal eltávolíthatatlan, és jelentős rendszer stabilitási gondokat okozhat…jelentős rendszer stabilitási gondokat okozhat…

Az Sdbot.add AIM féreg már rootkit technológiát Az Sdbot.add AIM féreg már rootkit technológiát használ.használ.

(Oracle Database rootkit koncepció)(Oracle Database rootkit koncepció)

Rootkit tevékenység méréseRootkit tevékenység mérése

Koncepció: Olyan rootkit-hátsókapu hibridKoncepció: Olyan rootkit-hátsókapu hibrid

alkalmazás szimulációja, melyek a jelenlegi védelmi alkalmazás szimulációja, melyek a jelenlegi védelmi szoftverekkel nem észlelhetőek (IDS, vírusirtók).szoftverekkel nem észlelhetőek (IDS, vírusirtók).

Hátsó kapu (port knocking) : SadoorHátsó kapu (port knocking) : Sadoor Rootkit: Fu, Vanquish, Hacker DefenderRootkit: Fu, Vanquish, Hacker Defender Vírusírtó szoftverek: F-secure Internet Security Vírusírtó szoftverek: F-secure Internet Security

2006, AVG, NOD322006, AVG, NOD32 Rootkit detetektáló szoftver: Rootkit revealer, Rootkit detetektáló szoftver: Rootkit revealer,

BlacklightBlacklight Vírusok: Mytob, Bagle, MyDoom, Netsky variánsokVírusok: Mytob, Bagle, MyDoom, Netsky variánsok

Mérés hely és architektúraMérés hely és architektúra

Általános hálózati Általános hálózati infrastruktúrainfrastruktúra

Windows alapú gépek: Windows alapú gépek: 2000, XP, XP,SP1, SP22000, XP, XP,SP1, SP2

VmWare-re telepített VmWare-re telepített operációs rendszerek, operációs rendszerek, NOD32, AVG, FIS2006 NOD32, AVG, FIS2006 védelmi szoftverekkelvédelmi szoftverekkel

Hálózati forgalom Hálózati forgalom generálása: Suse 9.3generálása: Suse 9.3

Mérés 1Mérés 1

Fu : DKOM rootkit, folyamatok kernel driverek Fu : DKOM rootkit, folyamatok kernel driverek elrejtése privilégiumok állításaelrejtése privilégiumok állítása

Vanquish : felhasználói módú „kampókat” Vanquish : felhasználói módú „kampókat” létrehozó rootkit, fájlok elrejtéselétrehozó rootkit, fájlok elrejtése

Hacker Defender: felhasználói módú rootkit, Hacker Defender: felhasználói módú rootkit, fáljok, folyamatok, portok elrejtésére fáljok, folyamatok, portok elrejtésére

Vírusok indítása, rejtése, illetve fedezetlenül Vírusok indítása, rejtése, illetve fedezetlenül hagyásahagyása

Tesztelés 1Tesztelés 1

Tesztelés 2Tesztelés 2

Tesztelés 3Tesztelés 3

Mérés 2Mérés 2

Sadoor(Windows server- Linux kliens 1.1): Sadoor(Windows server- Linux kliens 1.1): portknocking, távoli utasítások végrehajtása, csak portknocking, távoli utasítások végrehajtása, csak csomagok alapján!csomagok alapján!

Jelenleg könnyű hálózati nyomon követés, de Jelenleg könnyű hálózati nyomon követés, de módosítással és hálózati konfigurációval ez módosítással és hálózati konfigurációval ez nehezebbé tehető.nehezebbé tehető.

Teszt 1Teszt 1

Teszt 2Teszt 2

KonklúzióKonklúzió Hálózati forgalom nagy mennyiségű adatforgalom Hálózati forgalom nagy mennyiségű adatforgalom

esetén figyelemfelkeltő, egyszerű utasítások esetén figyelemfelkeltő, egyszerű utasítások esetén nem lehet detektálni!esetén nem lehet detektálni!

Csak rootkit detektáló program segítségével sem Csak rootkit detektáló program segítségével sem mindig lehet kimutatni jelenlétüket. Valamint ez mindig lehet kimutatni jelenlétüket. Valamint ez meglehetős szaktudást igényel, mivel nem csak a meglehetős szaktudást igényel, mivel nem csak a káros programok használják ezt a technológiát.káros programok használják ezt a technológiát.

Detektálás és eltávolítás veszélyes: létezik olyan Detektálás és eltávolítás veszélyes: létezik olyan kernel módú rootkit, mely tönkreteszi a gép kernel módú rootkit, mely tönkreteszi a gép drivereit eltávolítása esetén(lásd Mark drivereit eltávolítása esetén(lásd Mark Russinovich blogját).Russinovich blogját).

Védelmi szoftverek továbbra is erősen kötődnek a Védelmi szoftverek továbbra is erősen kötődnek a mintaalapú felismeréshez -> egy alkalmazás mintaalapú felismeréshez -> egy alkalmazás futásához rendelt, s annak fájljaiban adatot tároló futásához rendelt, s annak fájljaiban adatot tároló rootkit detektálása hogyan történhet meg?rootkit detektálása hogyan történhet meg?

Köszönöm a figyelmet!Köszönöm a figyelmet!

Néhány érdekesebb link:Néhány érdekesebb link:

httphttp://www.sysinternals.com/Blog/://www.sysinternals.com/Blog/ http://www.f-secure.com/weblog/http://www.f-secure.com/weblog/