A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Worms Daniel Arraes Pereira Eduardo Lourenço Apolinário {dap,

PublicouJuliana Montijo Alterado mais de 9 anos atrás

Apresentações semelhantes

Apresentação em tema: "Worms Daniel Arraes Pereira Eduardo Lourenço Apolinário {dap,"— Transcrição da apresentação:

1 Worms Daniel Arraes Pereira Eduardo Lourenço Apolinário {dap, ela}@cin.ufpe.br

2 Worms - Introdução É um programa que se auto propaga através de uma rede de computadores explorando falhas de segurança em serviços muito solicitados. O primeiro registro do termo worm foi em 1978 e se referia a um programa que procurava outros hosts e se copiava para lá. Posteriormente esse programa se auto-destruia. Inventado por dois pesquisadores da Xerox PARC. O primeiro worm a atrair atenção foi o morris worm, o qual foi escrito em 1988 propagando-se rapidamente pela internet e infectando, rapidamente, um grande número de computadores. Esse worm atacava o desempenho das máquinas.

3 Worms x Vírus Um worm é similar a um vírus em seu design chegando a ser considerado uma subclasse de vírus. A grande diferença é que um worm, diferentemente do vírus, possui a habilidade de se propagar sem ajuda de uma pessoa.

4 Worms A fim de entender os Worms, será apresentada uma taxonomia baseada em 5 critérios: Target Discovery – representa o mecanismo pelo qual o worm descobre novos alvos para infectar. Carrier – mecanismo pelo qual o worm se transmite para o alvo. Activation – mecanismo pelo qual o código do worm começa a operar no alvo. Payloads – são as rotinas de não-propagação que o worm usa para atingir o objetivo do autor. Attackers – os diferentes atacantes com seus diferentes objetivos e seus conseqüentes payloads. Eventualmente, os worms não precisam se prender a um único tipo de mecanismo para cada categoria. Os worms de maior sucesso são multi- modal.

5 Worms – Target Discovery Para um worm infectar uma máquina, primeiro ele precisa descobrir que a máquina existe. Existem várias técnicas para descobrimento de alvos: Scanning Pré-generated target lists. Externally generated target lists Internal target Lists

6 Worms – Target Discovery (scanning) Se resume a testar um conjunto de endereços a fim de achar hosts vulneráveis. Existem duas formas de scanear em um conjunto de endereços: Seqüencial Randômica Devido a essa simplicidade, esta é uma técnica muito usada. Se propagam lentamente, comparados a worms que utilizam outros mecanismos, mas associados a mecanismos de ativação automática, são rápidos em termos absolutos. Existem algumas otimizações: Preferência a endereços locais (permite explorar falhas em um único firewall. Scanning cooperativo / distribuído. Scanning que limitam a largura de banda.

7 Worms – Target Discovery (Pre-generated target lists) Um atacante pode obter, previamente, uma lista de possíveis hosts alvos e criar uma lista de possíveis vítimas. Um lista pequena pode ser usada para auxiliar um scanning worm enquanto uma lista grande pode criar um worm capaz de infectar várias estações rapidamente. O grande gargalo seria montar essa lista.

8 Worms – Target Discovery (Externally Generated Target list) Uma lista de alvos externa é aquela que é mantida por um servidor separado, como por exemplo um servidor para marcar partidas de jogos on-line. O Worm primeiramente pergunta ao metaservidor pelos endereços dos outros servidores para montar sua lista de alvos. A partir dessa lista adquirida, ele começa a procurar por falhas de segurança para se propagar.

9 Worms – Target Discovery (Internal target lists) Várias aplicações contêm informações sobre hosts, que podem, por sua vez, prover serviços vulneráveis. Essas listas podem ser usadas para criar os chamados topological worms. O Morris worm usava essa técnica pois naquela época a internet ainda era muito esparça.

10 Worms – Target Discovery (Passive) Não procura por novas máquinas vitimas. Ao invés disso, eles esperam por vitimas em potencial contactar o worm ou confiam no comportamento do usuário para descobrir novos alvos.

11 Worms – Carrier Os meios pelos quais ocorre a propagação podem afetar a velocidade e a integridade do worm. Esse pode tanto se propagar ativamente como pode se propagar fazendo parte da comunicação normal. Existem basicamente 3 mecanismos de propagação: Self-Carried Embedded Second Channel

12 Worms – Carrier (Self-Carried) Ativamente se transmite como parte do processo infeccioso. Utilização de backdoor O worm Borm foi o primeiro a utilizar isso. Ele utilizava o Back orifice para se propagar. Inicialmente procurava sistemas comprometidos como back orifice mandando msgs de ping. Quando essas msg eram respondidas ele instruia o BO a criar um servidor http virtual para fazer seu proprio upload. Depois, ele envia ao BO uma msg para iniciar o processo do worm na máquina agora infectada. Geralmente utilizado com worms que se auto-ativam

13 Worms – Carrier (Embedded) Se envia como parte da comunicação normal, tanto em anexo como substituindo uma mensagem de resposta.

14 Worms – Carrier (Embedded) Alguns worms simplesmente se copiam para pastas compartilhadas em redes P2P chegando até a criar tais pastas caso o usuário não compartilhe arquivos (só faça download). Esse ataque é similar a infecção de um Trojan.

15 Worms – Carrier (Embedded) Um outro tipo de worm, bem comum, são os que se propagam utilizando sistemas de mensagem instantâneas, como o mIRC. Nesse caso os worm enviavam mensagens DCC para usuários conectados em um determinado canal. (Essa mensagem é de transferência de arquivos). Implementações antigas alteravam arquivos de script (script.ini) para instruir o cliente de msg instantânea a um destinatário toda vez que alguém entrar na conversa. Atualmente worms podem se conectar dinamicamente a um cliente IRC e enviar msgs que induzem usuários a executar um link ou um anexo. OBS: O W32/Choke se enviava via msn como um jogo.

16 Worms – Carrier (Embedded) Entretanto, a maneira mais comum de um worm se propagar é através de anexos maliciosos em email´s. Isso causa um das maiores problemas de segurança: Como protejer os usuários deles mesmo? Algum worms chegam a inserir msgs dentro das caixas de email do cliente, fazendo com que o próprio usuário envie o worm. Outra técnica comum é interceptar os email´s antes deles serem enviados para o Servidor SMTP e acrescentar anexos aquele. Isso pode ser feito trocando o IP do servidor SMTP para localhost nos arquivos de configuração. O worm escuta a porta 25 (local).

17 Worms – Carrier (Second Channel) Alguns worms precisam de um canal secundário de transmissão para completar a infecção. O worm faz com que a máquina vítima se conecte com a que reside o worm para fazer download do mesmo. Utilização de RPC com TFTP.

18 Ativação O modo como um worm é ativado num hospedeiro afeta diretamente a rapidez de infecção Tempo de ativação variando de poucos minutos até algumas semanas Modos de ativação: Ativação humana Baseada em atividade humana Agendada Auto-ativação

19 Modos de Ativação Ativação humana: A mais lenta por necessitar Usuário rodar um programa ou explorar um bug de algum programa Melissa Iloveyou Benjamim Klez

20 Modos de Ativação Baseada em atividade humana: Ainda um pouco lenta Atividades (aparentemente) não relacionadas com worms são executadas para início do processo de infecção Logar Reiniciar a máquina Colocar um disquete no drive

21 Modos de Ativação Agendada: Com o advento da internet, esse modo de ativação ficou sendo muito mais usado Usam processos sistemas agendados do sistema Auto-updaters Programas infectados diretamente nos mirrors (openSSH) Depende do design e da implementação dos programas

22 Modos de Ativação Auto-ativação: O modo mais rápido de ativação Exploram brechas em programas que necessariamente devem estar sempre rodando Também em bibliotecas que esses programas usem Dois modos em geral: Incluem-se no final desses serviços Executam com as permissões desses serviços

23 Payloads Código carregado pelo worm, além da rotina de propagação Diferem nos objetivos dos atacantes Categorias: Não-funcional Controle remoto da internet Espalhadores de spam Proxies HTML DOS na internet Coleta de dados Acesso a venda Dano a dados Controle de uma máquina física DOS no mundo físico Dano no mundo físico Manutenção do worm

24 Payloads Não-funcional: O mais comum Bugs no código de payload não necessariamente inutilizam o worm Tráfico e máquinas carregados Morris worm Slammer Controle remoto da internet Backdoors instaladas nos sistemas infectados Code Red II

25 Payloads Espalhadores de spam: Mandam email (spam) de endereços desconhecidos Sobig Proxies HTML: Disbribuição de web-proxy Redirecionam web requests para máquinas aleatórias Prática de phishing Difícil de detectar a fonte Sobig

26 Payloads DOS na internet: Code Red e Yaha têm ferramentas para executar um DOS Ferramentas de DDOS como o Stacheldraht tem canais de comunicação encriptados Ataques simultâneos de 100.000 a 1.000.000 zumbis para derrubar o serviço de nomes de um site Coleta de dados: Cartões de crédito, etc Uma vez descoberta a informação, encripta-se para poder mandar para um único lugar SirCam anexava aleatoriamente pedaços de arquivos a emails Identidade do roubado, em geral, é o que interessa

27 Payloads Acesso a venda: Categoria descoberta há pouco tempo (2003) Quatro propriedades: Uma vez lançado, espalha-se de sistema em sistema sem ajuda do criador Atribui um identificador único (USID) para cada máquina infectada Uma vez dentro de um sistema, cria uma backdoor para acesso remoto e que só abre via ticket contendo o USID. Somente os autores sabem criar os tickets

28 Payloads Dano a dados Podem começar a apagar ou manipular dados assim que instalados Dados podem ser encriptados para esquemas de extorção Informações confidenciais podem ser distribuídas para gerar confusão Time-delayed erasers: Chernobyl Klez

29 Payloads Controle de uma máquina física Computadores controlam elementos físicos (equipamentos, etc) Computadores podem influenciar as ações dos humanos: Payload coercivo: você não mexe comigo que eu não danifico a máquina DOS no mundo físico Anexam-se a modems para: Discar para serviços emergenciais Mailboxes de um grande número de alvos

30 Payloads Dano a uma máquina física O objeto de maior dano é o computador infectado Flash de ROM Algumas máquinas não conseguem reverter o processo Chernobyl Manutenção do worm Consulta a sites para atualizar o código do worm Atualização de módulos para aproveitar novas falhas e bugs do próprio worm (!!!!) Ferramentas de DDOS tambêm mantêm códigos de atualização para seus zumbis

31 Motivação e atacantes Importante entender motivação Para possível identificação dos atacantes Lista de motivações (não-exaustiva): Curiosidade experimental Poder e orgulho Vantagem comercial Extorsão Protesto aleatório Protesto político Terrorismo Guerra cibernética

32 Motivação e atacantes Curiosidade experimental: Experimentação Morris Worm IloveYou foi uma tese de graduação Poder e orgulho: Motivados por um desejo de adquirir um poder Mostrar-se mais habilidosos Mostrar capacidade infligir dano a outros Mais comum em indivíduos desorganizados ou grupos esparsos

33 Motivação e atacantes Vantagem comercial: Dependência alta de transações na internet Um ataque a um site específico pode derrubar uma companhia Companhias internacionais e/ou grupos organizados podem participar desse tipo de ataque Alvos: De companhias específicas a infraestrutura econômica Extorsão: DOS a menos que se pague uma quantia Worm que procura por informações de cartão de crédito

34 Motivação e atacantes Protesto aleatório: Pessoas como o Unabomber Zero-day exploit numa aplicação para possível contrução de um worm topológico. Protesto político: Mensagens específicas Indivíduos e organizações em nível nacional ou internacional Yaha worm: DOS sobre o governo do Paquistão

35 Motivação e atacantes Terrorismo: Armas econômicas Al-Qaeda Grupos anti-globalização: ELF ALF Guerra cibernética: Dependência da infraestrutura para fins econômicos e governamentais Em conjunção com um ataque físico poderia ser destrutivo para uma grande nação como os EUA Uma nova guerra fria

36 Futuro Worm Wars: Worm anulando efeito de worm CodeRed anulado pelo CodeGreen W32Blaster anulado pelo W32/Welchia Protocolo de comunicação único: Atacantes investindo em técnicas cooperativas SWCP levaria a criação de plugins (ou genes) Swap de payloads “Reprodução sexual” Wireless mobile worms Nova era na criação de worms

37 Referências - Szor, P., 2003, The Art of Computer Virus Research and Defense, Addison-Wesley Professional, ISBN: 0-321-30454-3 - Wikipedia, 2005, Computer worm, disponível em: http://en.wikipedia.org/wiki/Computer_worm - Weaver, et. al., A taxonomy of Computer worms, 2003. 11, no primeiro Workshop da ACM sobre código malicioso rápidos

Carregar ppt "Worms Daniel Arraes Pereira Eduardo Lourenço Apolinário {dap,"

Apresentações semelhantes

Vírus.

Vírus.
Módulo II – Domine a Internet Introdução a Informática DCC - UFMG.

Módulo II – Domine a Internet Introdução a Informática DCC - UFMG.
Sistemas distribuídos Metas de Projeto Prof. Diovani Milhorim

Sistemas distribuídos Metas de Projeto Prof. Diovani Milhorim
Exploits Nome:Arlindo Leal Boiça NetoRA: 03019213 Clarice C. Calil MarafiottiRA: 03109485 Rafael Santos RibeiroRA: 03103637 Thiago Y.I.TakahashiRA: 03113800.

Exploits Nome:Arlindo Leal Boiça NetoRA: Clarice C. Calil MarafiottiRA: Rafael Santos RibeiroRA: Thiago Y.I.TakahashiRA:
Prof. Carlos Roberto das Virgens

Prof. Carlos Roberto das Virgens
Configuração de um servidor FTP

Configuração de um servidor FTP
Vírus.

Vírus.
DISCIPLINA: Introdução à Computação

DISCIPLINA: Introdução à Computação
Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.

Autarquia Educacional do Vale do São Francisco – AEVSF Faculdade de Ciências Sociais e Aplicadas de Petrolina – FACAPE Curso de Ciências da Computação.
CPU – based DoS Attacks Against SIP Servers

CPU – based DoS Attacks Against SIP Servers
Interação Cliente Servidor

Interação Cliente Servidor
Esdras Degaspari Leite

Esdras Degaspari Leite
1 Sistemas Distribuídos - SDI Caracterização de Sistemas Distribuídos. Introdução. Exemplos de Sistemas Distribuídos. Desafios.

1 Sistemas Distribuídos - SDI Caracterização de Sistemas Distribuídos. Introdução. Exemplos de Sistemas Distribuídos. Desafios.
GERENCIAMENTO DE REDES

GERENCIAMENTO DE REDES
ESTRUTURA DE COMUNICAÇÃO DE DADOS

ESTRUTURA DE COMUNICAÇÃO DE DADOS
GERENCIAMENTO DE REDES

GERENCIAMENTO DE REDES
Curso Técnico em Manutenção e Suporte em Informática

Curso Técnico em Manutenção e Suporte em Informática
Threads.

Threads.
A Internet, também conhecida como web, é uma rede de comunicação de milhões de computadores conectados, que oferece inúmeros serviços. São bilhões de.

A Internet, também conhecida como web, é uma rede de comunicação de milhões de computadores conectados, que oferece inúmeros serviços. São bilhões de.
Aula 12:Segurança na rede.

Aula 12:Segurança na rede.

Apresentações semelhantes

Anúncios Google