WebBit, 10 Maggio 2003 Padova Infected Andrea Gradella Anti-Virus Security Division Symbolic WebBit, Padova 2003 • Terminologia • Caratteristiche delle infezioni che hanno caratterizzato il 2002 • Alcune Best Practices • Soluzione F-Secure WebBit, Padova 2003 “Malware” = Malicious Software Termine generico che comprende tutto il software dannoso: • Virus • Worms • Trojans • RATs • DoS Tools • etc… WebBit, Padova 2003 • Le precedenti definizioni sono fortemente generalizzate: è frequente incontrare malware che appartiene a più di una di queste categorie – Es. Melissa: è un macro-virus che usa come vettore i documenti di MS Word, ma è anche un worm dell’e-mail. – Code Red è un worm che agisce come DoS Tool WebBit, Padova 2003 • Una delle esigenze di chi scrive un worm dell’e-mail è indurre l’utente ad aprire il messaggio o cliccare sull’allegato • Importanza dell’ingegneria sociale: LoveLetter • Alcuni utenti dimostrano un’assoluta acriticità nei confronti di quello che arriva via mail e cliccano su qualunque file Esiste un “punto zero” dell’autolesionismo? THIS_IS_A_VIRUS.EXE Variante “magrittiana” THIS_IS_NOT_A_VIRUS.EXE WebBit, Padova 2003 Uso estensivo delle MAIUSCOLE e dei punti esclamativi!!! Il "virus" arriva sempre e solo via email e si attiva quando si apre il messaggio Il "virus" causa sempre danni irreparabili Gli utenti sono invitati a propagare l'allarme Viene sempre citata una fonte autorevole (MS, IBM, FBI…), ma senza nominare un portavoce Il "virus" viene sempre Uso di gergo tecnico per nascondere descritto come "più l'infondatezza distruttivo" di un altro, o dell'argomento "il più pericoloso" Inesattezza dei termini: Si suppone che il "virus" Spesso AOL è descritta come vittima del "virus" si parla spesso di "trojan arrivi sempre in un horse virus" messaggio con lo stesso subject Si può rimuovere il "virus" solo cancellando il messaggio Aggiunte apocrife: "Mi ha detto mio cugino che…" WebBit, Padova 2003 ! • Componenti virali: Worm, Virus • Caratteristiche: Win PE EXE (57 - 65 KB) • Metodi di propagazione: E-Mail (allegato, vulnerabilità MS 01-020) • Payload Nessun Payload distruttivo WebBit, Padova 2003 ! • Si propaga su piattaforma Windows • Exploit sfruttato non recente • Invia file riservati • Il mittente dell’email non è il mittente reale WebBit, Padova 2003 ! Routine di propagazione Email • Utilizza un proprio motore SMTP • Soggetto e messaggio casuale • Nome dell’allegato infetto casuale • Presenza di un allegato non infetto selezionato tra i file presenti su disco con estensione definita (informazioni riservate) • Utilizzo di ingegneria sociale • Presenza della vulnerabilità MS 01-020 WebBit, Padova 2003 "# $ %&' Viene utilizzato codice HTML contenenti file MIME encoded Il tipo di MIME viene definito dal campo “Content Type” presente nel codice Il “Content Type” viene associato ad un’applicazione eseguita in automatico da Internet Explorer E’ possibile eseguire codice arbitrario sfruttando questa vulnerabilità. Questa vulnerabilità può essere sfruttata sia per le E-Mail che per le pagine WEB Vulnerabilità presente nelle versioni 5.5 e precedenti di MS Internet Explorer WebBit, Padova 2003 ! Routine di propagazione LAN • Verifica delle risorse locali e di rete con diritti in scrittura • Copia se stesso nelle risorse trovare con nome casuale e doppia estensione (ad es. nomefile.ext.exe). • Il worm può corrompere file di sistema (VXD, DLL) WebBit, Padova 2003 ! Routine di infezione • Ricerca la presenza di un Anti-Virus sul sistema da un suo elenco. Se ne rileva la presenza uccide il processo. • Crea una copia di se stesso all’interno della directory di sistema. • Aggiunge alla chiave Run del registro di configurazione una chiave che gli permette di caricarsi ad ogni riavvio del host • Sempre nel registro di configurazione verifica le applicazioni installate e cerca di infettarne gli eseguibili WebBit, Padova 2003 ' (( ) ! • Componenti virali: Worm, Backdoor Trojan • Caratteristiche: Linux • Metodi di propagazione: Internet (BufferOverflow) • Payload DDoS tool WebBit, Padova 2003 ' (( ) • Si propaga su server Linux con Apache/SSL • Exploit sfruttato non recente • Il Buffer Overflow sfruttato rende Slapper specifico per determinate distribuzioni di Linux • Le istanze del worm comunicano fra di loro • Mediante “Rete-Slapper” è possibile eseguire comandi di shell sulle macchine infette ! WebBit, Padova 2003 ' (( ) ! Routine di propagazione WEB • Scansione su un set di indirizzamenti di Classe A inviando una richiesta di connessione su Server httpd sulla porta 80 • Se la connessione viene accettata, il worm controlla il contenuto del header di risposta • Se l’header contiene la voce “Apache” il worm tenta di connettersi a SSL Server sulla porta 443 • Se la vulnerabilità di OpenSSL è presente il worm riesce ad infettare l’host WebBit, Padova 2003 "# *( $ % ''+ • Vulnerabilità è presente in versioni di OpenSSL precedenti alla 0.9.6.g • Viene inviata una richiesta dal host attaccante non corretta verso indirizzi di classe A • L’host vittima risponde con HTTP/1.1 400 Bad Request Date: Tue, 17 Sep 2002 00:25:57 GMT Server: Apache/1.3.26 (Unix) mod_perl/1.27 Connection: close • Il worm tenta di connettersi sulla porta 443 a SSL Server • Se la connessione viene aperta il worm invia al Server il codice che consente di generare il buffer overflow presente nella libreria OpenSSL WebBit, Padova 2003 ' (( ) ! Routine di infezione • Il worm crea una copia di se stesso in /tmp/.uubugtraq estrae il file tmp/.bugtraq.c e lo compila con il compilatore gcc • Con la compilazione viene creata ed eseguito il worm in /tmp/.bugtraq WebBit, Padova 2003 ' (( ) ! Backdoor • Rimane in ascolto sulla porta 2002 UDP che puo'essere controllata da remoto • Possibilità di effettuare upload e di eseguire arbitrariamente programmi sul host infetto • Possibilità si essere utilizzata per effettuare attacchi di tipo DDoS 1° Gen 2° Gen 3° Gen WebBit, Padova 2003 , -# $ . ) ! • Componenti virali: Worm, Backdoor, Keylogger • Caratteristiche: Win PE EXE (49 KB) • Metodi di propagazione: E-Mail, Windows Sharing • Payload Stampe di caratteri alfanumerici casuali WebBit, Padova 2003 , -# $ . • Si propaga su piattaforma Windows • Anche in questo caso Exploit sfruttato non recente • La backdoor rende possibile gestire da remoto ed in modo grafico l’host infetto • Così come per Klez, il mittente dell’email non è il mittente reale ) ! WebBit, Padova 2003 , -# $ . ) ! Routine di propagazione Email • Utilizza un proprio motore SMTP • Soggetto e messaggio casuale • Utilizzo di allegati con nomi casuali e doppia estensione • Presenza della vulnerabilità MS 01-020 LAN • Verifica delle risorse locali e di rete con diritti in scrittura • Tenta di copiate se stesso nella directory \Start Menu\Programs\Startup\ WebBit, Padova 2003 , -# $ . ) ! Routine di infezione • Ricerca la presenza di un Anti-Virus sul sistema da un suo elenco. Se ne rileva la presenza uccide il processo. • Crea una copia di se stesso all’interno della directory di sistema. • Aggiunge alla chiave RunOnce del registro di configurazione una chiave che gli permette di caricarsi ad ogni riavvio del host • Inoltre il Worm crea nella directory di sistema una DLL contenente il componente di Keylogging WebBit, Padova 2003 , -# $ . ) ! Componente Backdoor • Apre una connessione sulla porta 36794 • Consente l’accesso al host infetto attraverso un’interfaccia Web • Viene creata un’interfaccia HTML attraverso la quale è possibile sfogliare le directory del PC infetto. • E’ possibile avere informazioni quali sistema operativo, tipo di processore, fix e driver di rete WebBit, Padova 2003 , -# $ . ) ! Componente Keylogger • In fase di infezione il Worm crea nella directory di sistema una DLL con nome generico contenente il componente di Keylogging • Le informazioni vengono salvate all’interno di un file ed inviate ad alcuni indirizzi email • Indirizzi email e server SMTP sono contenuti all’interno di un file crittato dal worm WebBit, Padova 2003 *( *( / ! • Componenti virali: Worm, Backdoor Trojan • Caratteristiche: Win PE EXE (28 KB) • Metodi di propagazione: Servizi Microsoft Windows NETBIOS WebBit, Padova 2003 *( ! Routine di propagazione Scansione, sulla porta NETBIOS 137, della rete. Le subnet scandite sono: aa:bb:cc:?? (subnet del PC infetto) aa:bb:cc + 1:?? aa:bb:cc - 1:?? aa:bb:cc:dd (random) Replay Data File and Print Sharing OPEN WebBit, Padova 2003 "# $ %&' Problema legato alla verifica delle password nei S.O. Win 9.x/Me Tale verifica viene effettuata su di un numero di caratteri fornito dal Client. Viene spedita una password di 1-byte che viene confrontata con il primo carattere della password reale Questo consente ad un attacker di by-passare il controllo sul accesso agli share WebBit, Padova 2003 *( ! Routine di infezione Setta la connessione con \\Nomehost\C Se l’host è protetto da password effettua un “brute-force” attack Trasmette all’host il suo file eseguibile (scrsvr.exe) File and Print Sharing OPEN Pacchetto SMB Porta 139 Lettura del file Win.ini e creazione del file C:\TMP.INI Modifica del TMP.INI sostituendolo al WIN.INI WebBit, Padova 2003 *( ! Backdoor Http://www.opasoft.com Download ed esecuzione di file script presenti sul sito { Non è possibile avere ulteriori informazioni inerenti a questa Backdoor in quanto il sito è stato chiuso Download ed esecuzione degli aggiornamenti del Worm Scrupd.exe WebBit, Padova 2003 0 ( / 1 • Gli analisti antivirus sono esseri umani, quindi i loro tempi di reazione non sono immediati • Date le premesse, è chiaro che sarebbe difficile contrastare la diffusione di un ipotetico “super-worm” a qualche ora dalla diffusione • Occorre spostare l’attenzione sulla prevenzione • La connettività universale implica che ognuno di noi è un anello della catena I-Tem, Verona 2003 # !- 2 • Un utente informato tende a essere prudente • Sui server: non limitarsi mai all’installazione “out of the box” • Utilizzo di client sicuri e dotati delle patch più recenti • Informarsi costantemente sulle vulnerabilità per le proprie piattaforme • No ai modem non autorizzati • No alle applicazioni non necessarie • Anti-Virus per tutti i client, nessuna eccezione • Se possibile, usare personal firewalls e IDS • Controllo costante dei log • Configurare correttamente il firewall WebBit, Padova 2003 2 3 " # 4 # • Le impronte vengono rese disponibile rapidamente, molto spesso però i Worm sono in grado di diffondersi ancor più rapidamente • La scansione euristica degli Anti-Virus può non riconoscere Malware di nuova generazione • Gli Anti-Virus possono non essere in grado di rilevare i Worm caricati in memoria • La presenza di vulnerabilità nelle applicazioni può by-passare la presenza di un Anti-Virus Come proteggersi? Utilizzo di Personal Firewall ed Anti-Virus 1 I-Tem, Verona 2003 + 5' # # 0 5' # $# 5 6 • F-Secure Distributed Firewall consente di proteggere le informazioni riservate presenti sugli host contro l’accesso non autorizzato (hackers) • F-Secure Distributed Firewall include: – Intrusion Prevention – Application Control – Security Alerts – Interfaccia semplice da utilizzare • Gestibile e configurabile attraverso F-Secure Policy Manager Console (Console di Management dei prodotti F-Secure) I-Tem, Verona 2003 + 5' # # 0 5' # $# 5 6 I-Tem, Verona 2003 + 5' # # 0 5' # $# 5 6 Corporate Network Administrator I-Tem, Verona 2003 + # 5' # 5' # " # • Installazione da remoto, attraverso F-Secure Policy Manager Console • Aggiornamento automatico ed incrementale delle impronte virali • Configurabile da remoto • Completamente trasparente per l’utente finale • Pianificazione di scansioni manuali I-Tem, Verona 2003 + # 5' # 5' # " # • Anti-Virus multi-engine: – F-Prot: rilelevazione e disinfezione di Macro, file e boot sector virus – AVP: rilelevazione e disinfezione di virus polimorfici e macro virus – Orion: motore euristico per la rilevazione dei malware sconosciuti I-Tem, Verona 2003 + # & • Comunicazione tra Console ed host attraverso protocollo HTTP • Possibilità di creare regole e/o restrizioni per gli host • Operazioni automatiche e trasparenti per gli utenti • Monitoraggio dei prodotti F-Secure installati sugli host • Avvio da remoto di operazioni predefinite 5' # 7 ( I-Tem, Verona 2003 + # & • Possibilità di creare report personalizzati che possono essere visualizzati attraverso F-Secure Policy Manager Console, attraverso un browser, oppure esportati in formato Microsoft Excel • Report degli Alert • Verifica dell’aggiornamento delle impronte virali sugli host 5' # 7 ( I-Tem, Verona 2003 + # 5' # Desktops e laptops Handhelds F-Secure Anti-Virus per Workstations F-Secure Anti-Virus per PocketPC F-Secure Distributed Firewall F-Secure Anti-Virus per Nokia 9200 Communicator Server di posta F-Secure Anti-Virus per Microsoft Exchange F-Secure Anti-Virus per Internet Mail (SMTP) F-Secure Anti-Virus per MIMEsweeper Servers F-Secure Anti-Virus per File Servers (Windows + Linux) Scansione del traffico Web ed e-mail F-Secure Anti-Virus for Firewalls (CVP) I-Tem, Verona 2003 + # ' 5' # F-Secure Policy Manager Server F-Secure Policy Manager Console FSAV + FSDFW FSAV FSAV + FSDFW LAN FSAV + FSDFW FSAV per IM I-Tem, Verona 2003 + # ' 5' # F-Secure Policy Manager Server F-Secure Policy Manager Console FSAV + FSDFW FSAV Proxy FSAV + FSDFW LAN FSAV per IM Remote Office Domande? Grazie