WebBit, 10 Maggio 2003
Padova
Infected
Andrea Gradella
Anti-Virus Security Division
Symbolic
WebBit, Padova 2003
• Terminologia
• Caratteristiche delle infezioni che
hanno caratterizzato il 2002
• Alcune Best Practices
• Soluzione F-Secure
WebBit, Padova 2003
“Malware” = Malicious Software
Termine generico che comprende
tutto il software dannoso:
• Virus
• Worms
• Trojans
• RATs
• DoS Tools
• etc…
WebBit, Padova 2003
• Le precedenti definizioni sono fortemente
generalizzate: è frequente incontrare
malware che appartiene a più di una di
queste categorie
– Es. Melissa: è un macro-virus che usa come
vettore i documenti di MS Word, ma è anche un
worm dell’e-mail.
– Code Red è un worm che agisce come DoS Tool
WebBit, Padova 2003
• Una delle esigenze di chi scrive un worm dell’e-mail è
indurre l’utente ad aprire il messaggio o cliccare
sull’allegato
• Importanza dell’ingegneria sociale: LoveLetter
• Alcuni utenti dimostrano un’assoluta acriticità nei
confronti di quello che arriva via mail e cliccano su
qualunque file
Esiste un “punto zero” dell’autolesionismo?
THIS_IS_A_VIRUS.EXE
Variante “magrittiana”
THIS_IS_NOT_A_VIRUS.EXE
WebBit, Padova 2003
Uso estensivo delle
MAIUSCOLE e dei
punti esclamativi!!!
Il "virus" arriva sempre
e solo via email e si
attiva quando si apre il
messaggio
Il "virus" causa sempre
danni irreparabili
Gli utenti sono invitati a
propagare l'allarme
Viene sempre citata una
fonte autorevole (MS,
IBM, FBI…), ma senza
nominare un portavoce
Il "virus" viene sempre Uso di gergo tecnico per
nascondere
descritto come "più
l'infondatezza
distruttivo" di un altro, o
dell'argomento
"il più pericoloso"
Inesattezza dei termini: Si suppone che il "virus" Spesso AOL è descritta
come vittima del "virus"
si parla spesso di "trojan
arrivi sempre in un
horse virus"
messaggio con lo stesso
subject
Si può rimuovere il
"virus" solo cancellando
il messaggio
Aggiunte apocrife: "Mi
ha detto mio cugino
che…"
WebBit, Padova 2003
!
• Componenti virali:
Worm, Virus
• Caratteristiche:
Win PE EXE (57 - 65 KB)
• Metodi di propagazione:
E-Mail (allegato, vulnerabilità
MS 01-020)
• Payload
Nessun Payload distruttivo
WebBit, Padova 2003
!
• Si propaga su piattaforma
Windows
• Exploit sfruttato non recente
• Invia file riservati
• Il mittente dell’email non è il
mittente reale
WebBit, Padova 2003
!
Routine di propagazione
Email
• Utilizza un proprio motore SMTP
• Soggetto e messaggio casuale
• Nome dell’allegato infetto casuale
• Presenza di un allegato non infetto
selezionato tra i file presenti su disco con
estensione definita (informazioni riservate)
• Utilizzo di ingegneria sociale
• Presenza della vulnerabilità MS 01-020
WebBit, Padova 2003
"#
$
%&'
Viene utilizzato codice HTML contenenti file MIME encoded
Il tipo di MIME viene definito dal campo “Content Type” presente
nel codice
Il “Content Type” viene associato ad un’applicazione eseguita in
automatico da Internet Explorer
E’ possibile eseguire codice arbitrario sfruttando questa
vulnerabilità.
Questa vulnerabilità può essere sfruttata sia per le E-Mail che per
le pagine WEB
Vulnerabilità presente nelle versioni 5.5 e precedenti di MS Internet
Explorer
WebBit, Padova 2003
!
Routine di propagazione
LAN
• Verifica delle risorse locali e di rete con
diritti in scrittura
• Copia se stesso nelle risorse trovare con
nome casuale e doppia estensione (ad es.
nomefile.ext.exe).
• Il worm può corrompere file di sistema
(VXD, DLL)
WebBit, Padova 2003
!
Routine di infezione
• Ricerca la presenza di un Anti-Virus sul
sistema da un suo elenco. Se ne rileva la
presenza uccide il processo.
• Crea una copia di se stesso all’interno
della directory di sistema.
• Aggiunge alla chiave Run del registro di
configurazione una chiave che gli permette
di caricarsi ad ogni riavvio del host
• Sempre nel registro di configurazione
verifica le applicazioni installate e cerca di
infettarne gli eseguibili
WebBit, Padova 2003
' ((
)
!
• Componenti virali:
Worm, Backdoor Trojan
• Caratteristiche:
Linux
• Metodi di propagazione:
Internet (BufferOverflow)
• Payload
DDoS tool
WebBit, Padova 2003
' ((
)
• Si propaga su server Linux con
Apache/SSL
• Exploit sfruttato non recente
• Il Buffer Overflow sfruttato rende
Slapper specifico per determinate
distribuzioni di Linux
• Le istanze del worm comunicano
fra di loro
• Mediante “Rete-Slapper” è
possibile eseguire comandi di shell
sulle macchine infette
!
WebBit, Padova 2003
' ((
)
!
Routine di propagazione
WEB
• Scansione su un set di
indirizzamenti di Classe A inviando
una richiesta di connessione su
Server httpd sulla porta 80
• Se la connessione viene accettata,
il worm controlla il contenuto del
header di risposta
• Se l’header contiene la voce
“Apache” il worm tenta di connettersi
a SSL Server sulla porta 443
• Se la vulnerabilità di OpenSSL è
presente il worm riesce ad infettare
l’host
WebBit, Padova 2003
"#
*(
$ %
''+
• Vulnerabilità è presente in versioni di OpenSSL precedenti alla 0.9.6.g
• Viene inviata una richiesta dal host attaccante non corretta verso
indirizzi di classe A
• L’host vittima risponde con
HTTP/1.1 400 Bad Request
Date: Tue, 17 Sep 2002 00:25:57 GMT
Server: Apache/1.3.26 (Unix) mod_perl/1.27
Connection: close
• Il worm tenta di connettersi sulla porta 443 a SSL Server
• Se la connessione viene aperta il worm invia al Server il codice che
consente di generare il buffer overflow presente nella libreria OpenSSL
WebBit, Padova 2003
' ((
)
!
Routine di infezione
• Il worm crea una copia di se
stesso in /tmp/.uubugtraq estrae il
file tmp/.bugtraq.c e lo compila con
il compilatore gcc
• Con la compilazione viene creata
ed eseguito il worm in
/tmp/.bugtraq
WebBit, Padova 2003
' ((
)
!
Backdoor
• Rimane in ascolto sulla porta 2002
UDP che puo'essere controllata da
remoto
• Possibilità di effettuare upload e di
eseguire arbitrariamente programmi
sul host infetto
• Possibilità si essere utilizzata per
effettuare attacchi di tipo DDoS
1° Gen
2° Gen
3° Gen
WebBit, Padova 2003
,
-# $
.
)
!
• Componenti virali:
Worm, Backdoor, Keylogger
• Caratteristiche:
Win PE EXE (49 KB)
• Metodi di propagazione:
E-Mail, Windows Sharing
• Payload
Stampe di caratteri
alfanumerici casuali
WebBit, Padova 2003
,
-# $
.
• Si propaga su piattaforma
Windows
• Anche in questo caso Exploit
sfruttato non recente
• La backdoor rende possibile
gestire da remoto ed in modo
grafico l’host infetto
• Così come per Klez, il mittente
dell’email non è il mittente reale
)
!
WebBit, Padova 2003
,
-# $
.
)
!
Routine di propagazione
Email
• Utilizza un proprio motore SMTP
• Soggetto e messaggio casuale
• Utilizzo di allegati con nomi casuali e
doppia estensione
• Presenza della vulnerabilità MS 01-020
LAN
• Verifica delle risorse locali e di rete con
diritti in scrittura
• Tenta di copiate se stesso nella directory
\Start Menu\Programs\Startup\
WebBit, Padova 2003
,
-# $
.
)
!
Routine di infezione
• Ricerca la presenza di un Anti-Virus sul
sistema da un suo elenco. Se ne rileva la
presenza uccide il processo.
• Crea una copia di se stesso all’interno della
directory di sistema.
• Aggiunge alla chiave RunOnce del registro di
configurazione una chiave che gli permette di
caricarsi ad ogni riavvio del host
• Inoltre il Worm crea nella directory di sistema
una DLL contenente il componente di
Keylogging
WebBit, Padova 2003
,
-# $
.
)
!
Componente Backdoor
• Apre una connessione sulla porta 36794
• Consente l’accesso al host infetto attraverso un’interfaccia Web
• Viene creata un’interfaccia HTML attraverso la quale è
possibile sfogliare le directory del PC infetto.
• E’ possibile avere informazioni quali sistema operativo, tipo
di processore, fix e driver di rete
WebBit, Padova 2003
,
-# $
.
)
!
Componente Keylogger
• In fase di infezione il Worm crea nella directory di
sistema una DLL con nome generico contenente il
componente di Keylogging
• Le informazioni vengono salvate all’interno di un file ed
inviate ad alcuni indirizzi email
• Indirizzi email e server SMTP sono contenuti all’interno
di un file crittato dal worm
WebBit, Padova 2003
*(
*(
/
!
• Componenti virali:
Worm, Backdoor Trojan
• Caratteristiche:
Win PE EXE (28 KB)
• Metodi di propagazione:
Servizi Microsoft Windows
NETBIOS
WebBit, Padova 2003
*(
!
Routine di propagazione
Scansione, sulla porta NETBIOS 137, della
rete. Le subnet scandite sono:
aa:bb:cc:?? (subnet del PC infetto)
aa:bb:cc + 1:??
aa:bb:cc - 1:??
aa:bb:cc:dd (random)
Replay Data
File and
Print
Sharing
OPEN
WebBit, Padova 2003
"#
$
%&'
Problema legato alla verifica delle password nei S.O. Win 9.x/Me
Tale verifica viene effettuata su di un numero di caratteri fornito dal
Client.
Viene spedita una password di 1-byte che viene confrontata con il
primo carattere della password reale
Questo consente ad un attacker di by-passare il controllo sul
accesso agli share
WebBit, Padova 2003
*(
!
Routine di infezione
Setta la connessione con
\\Nomehost\C
Se l’host è protetto da
password effettua un
“brute-force” attack
Trasmette all’host il suo file
eseguibile (scrsvr.exe)
File and Print
Sharing
OPEN
Pacchetto
SMB
Porta 139
Lettura del file Win.ini e
creazione del file
C:\TMP.INI
Modifica del TMP.INI
sostituendolo al WIN.INI
WebBit, Padova 2003
*(
!
Backdoor
Http://www.opasoft.com
Download ed
esecuzione di file
script presenti sul
sito
{
Non è possibile
avere ulteriori
informazioni inerenti
a questa Backdoor in
quanto il sito è stato
chiuso
Download ed
esecuzione degli
aggiornamenti del
Worm
Scrupd.exe
WebBit, Padova 2003
0
(
/
1
• Gli analisti antivirus sono esseri umani, quindi i loro
tempi di reazione non sono immediati
• Date le premesse, è chiaro che sarebbe difficile
contrastare la diffusione di un ipotetico “super-worm”
a qualche ora dalla diffusione
• Occorre spostare l’attenzione sulla prevenzione
• La connettività universale implica che ognuno di noi è
un anello della catena
I-Tem, Verona 2003
#
!-
2
• Un utente informato tende a
essere prudente
• Sui server: non limitarsi mai
all’installazione “out of the box”
• Utilizzo di client sicuri e dotati
delle patch più recenti
• Informarsi costantemente sulle
vulnerabilità per le proprie
piattaforme
• No ai modem non autorizzati
• No alle applicazioni non
necessarie
• Anti-Virus per tutti i client,
nessuna eccezione
• Se possibile, usare personal
firewalls e IDS
• Controllo costante dei log
• Configurare correttamente il
firewall
WebBit, Padova 2003
2
3
" #
4 #
• Le impronte vengono rese disponibile
rapidamente, molto spesso però i Worm sono
in grado di diffondersi ancor più rapidamente
• La scansione euristica degli Anti-Virus può non
riconoscere Malware di nuova generazione
• Gli Anti-Virus possono non essere in grado di
rilevare i Worm caricati in memoria
• La presenza di vulnerabilità nelle applicazioni
può by-passare la presenza di un Anti-Virus
Come proteggersi?
Utilizzo di Personal Firewall ed Anti-Virus
1
I-Tem, Verona 2003
+
5'
#
#
0
5' #
$#
5 6
• F-Secure Distributed Firewall consente di proteggere le
informazioni riservate presenti sugli host contro
l’accesso non autorizzato (hackers)
• F-Secure Distributed Firewall include:
– Intrusion Prevention
– Application Control
– Security Alerts
– Interfaccia semplice da utilizzare
• Gestibile e configurabile attraverso F-Secure Policy
Manager Console (Console di Management dei prodotti
F-Secure)
I-Tem, Verona 2003
+
5'
#
#
0
5' #
$#
5 6
I-Tem, Verona 2003
+
5'
#
#
0
5' #
$#
5 6
Corporate Network Administrator
I-Tem, Verona 2003
+
#
5' #
5' #
" #
• Installazione da remoto, attraverso F-Secure
Policy Manager Console
• Aggiornamento automatico ed incrementale
delle impronte virali
• Configurabile da remoto
• Completamente trasparente per l’utente finale
• Pianificazione di scansioni manuali
I-Tem, Verona 2003
+
#
5' #
5' #
" #
• Anti-Virus multi-engine:
– F-Prot: rilelevazione e disinfezione di Macro,
file e boot sector virus
– AVP: rilelevazione e disinfezione di virus
polimorfici e macro virus
– Orion: motore euristico per la rilevazione dei
malware sconosciuti
I-Tem, Verona 2003
+
#
&
• Comunicazione tra Console ed
host attraverso protocollo HTTP
• Possibilità di creare regole e/o
restrizioni per gli host
• Operazioni automatiche e
trasparenti per gli utenti
• Monitoraggio dei prodotti F-Secure
installati sugli host
• Avvio da remoto di operazioni
predefinite
5' #
7 (
I-Tem, Verona 2003
+
#
&
• Possibilità di creare report
personalizzati che possono essere
visualizzati attraverso F-Secure
Policy Manager Console,
attraverso un browser, oppure
esportati in formato Microsoft
Excel
• Report degli Alert
• Verifica dell’aggiornamento delle
impronte virali sugli host
5' #
7 (
I-Tem, Verona 2003
+
#
5'
#
Desktops e laptops
Handhelds
F-Secure Anti-Virus per
Workstations
F-Secure Anti-Virus per
PocketPC
F-Secure Distributed Firewall
F-Secure Anti-Virus per
Nokia 9200 Communicator
Server di posta
F-Secure Anti-Virus per
Microsoft Exchange
F-Secure Anti-Virus per
Internet Mail (SMTP)
F-Secure Anti-Virus per
MIMEsweeper
Servers
F-Secure Anti-Virus per File
Servers (Windows + Linux)
Scansione del traffico Web
ed e-mail
F-Secure Anti-Virus for
Firewalls (CVP)
I-Tem, Verona 2003
+
#
'
5'
#
F-Secure Policy
Manager Server
F-Secure Policy
Manager
Console
FSAV + FSDFW
FSAV
FSAV + FSDFW
LAN
FSAV + FSDFW
FSAV per IM
I-Tem, Verona 2003
+
#
'
5'
#
F-Secure Policy
Manager Server
F-Secure Policy
Manager
Console
FSAV + FSDFW
FSAV
Proxy
FSAV + FSDFW
LAN
FSAV per IM
Remote Office
Domande?
Grazie