d vrox]lrqh ) 6hfxuh

,7HP0DJJLR
9HURQD
/DVROX]LRQH)6HFXUH
XQDSLDWWDIRUPDGLVHFXULW\D
SURWH]LRQHGHOODUHWHFRQWUR
KDFNHUH0DOLFLRXV&RGH
Andrea Gradella
Anti-Virus Security Division
Symbolic
,7HP9HURQD
Agenda
• Terminologia
• Caratteristiche di alcune infezioni
che hanno caratterizzato il 2002
• Alcune Best Practices
• Soluzione F-Secure
,7HP9HURQD
Co s a s t i a m o t r a t t a n d o
“Malware” = Malicious Software
Termine generico che comprende
tutto il software dannoso:
• Virus
• Worms
• Trojans
• RATs
• DoS Tools
• etc…
,7HP9HURQD
Cl a s s i f i c a zi o n i
• Le precedenti definizioni sono fortemente
generalizzate: è frequente incontrare
malware che appartiene a più di una di
queste categorie
– Es. Melissa: è un macro-virus che usa come
vettore i documenti di MS Word, ma è anche un
worm dell’e-mail.
– Code Red è un worm che agisce come DoS Tool
,7HP9HURQD
E-m a i l e i n g e g n e r i a s o c i a l e
Hoax
Uso estensivo delle
MAIUSCOLE e dei
punti esclamativi!!!
Il "virus" arriva sempre
e solo via email e si
attiva quando si apre il
messaggio
Il "virus" causa sempre
danni irreparabili
Gli utenti sono invitati a
propagare l'allarme
Viene sempre citata una
fonte autorevole (MS,
IBM, FBI…), ma senza
nominare un portavoce
Il "virus" viene sempre Uso di gergo tecnico per
nascondere
descritto come "più
l'infondatezza
distruttivo" di un altro, o
dell'argomento
"il più pericoloso"
Inesattezza dei termini: Si suppone che il "virus" Spesso AOL è descritta
come vittima del "virus"
si parla spesso di "trojan
arrivi sempre in un
horse virus"
messaggio con lo stesso
subject
Si può rimuovere il
"virus" solo cancellando
il messaggio
Aggiunte apocrife: "Mi
ha detto mio cugino
che…"
,7HP9HURQD
Sl a p p e r
(1 4 /0 9 /2 0 0 2 )
Routine di propagazione
Sfrutta una vulenrabilità nota della
libreria OpenSSL (Buffer Overflow)
1° Gen
Le istanze del worm comunicano tra
loro: possibilità di propagare
istruzioni
E in grado di effettuare upload e di
eseguire arbitrariamente programmi
sul host infetto
Può essere utilizzata per effettuare
attacchi di tipo DDoS
2° Gen
3° Gen
,7HP9HURQD
Tanat os alias Bugbear
(3 0 /0 9 /2 0 0 2 )
:RUPLQJUDGRGLGLIIRQGHUVL
PROWRUDSLGDPHQWHYLDHPDLO
SUHVHQ]DGHOODYXOQHUDELOLWj
06
3URSDJD]LRQHDWWUDYHUVROD
/$1
,QJUDGRGL³UXEDUH´8VHUQDPH
H3DVVZRUG
&RPSRQHQWH%DFNGRRU
,7HP9HURQD
Tanat os alias Bugbear
(3 0 /0 9 /2 0 0 2 )
Componente Backdoor
• Apre una connessione sulla porta 36794
• Consente l’accesso al host infetto attraverso un’interfaccia Web
• Viene creata un’interfaccia HTML attraverso la quale è
possibile sfogliare le directory del PC infetto.
• E’ possibile avere informazioni quali sistema operativo, tipo
di processore, fix e driver di rete
,7HP9HURQD
Op a s o f t
(0 1 /1 0 /2 0 0 2 )
Routine di propagazione
Scansione, sulla porta NETBIOS 137,
della rete (sfrutta vulnerabilità MS 00072)
Una volta infettato, l’host inizia la
routine di propagazione all’interno
della LAN e con scansioni su Internet
alla ricerca di un nuovo host da
infettare
Apre una Backdoor in grado di
effettuare l’upload del Worm e di
eseguire script arbitrari. La
connessione di questa backdoor viene
fatta verso il link
http://www.opasoft.com
Replay Data
)LOHDQG
3ULQW
6KDULQJ
23(1
,7HP9HURQD
Di f e s a o p r e v e n zi o n e ?
• Gli analisti antivirus sono esseri umani, quindi i loro
tempi di reazione non sono immediati
• Date le premesse, è chiaro che sarebbe difficile
contrastare la diffusione di un ipotetico “super-worm”
a qualche ora dalla diffusione
• Occorre spostare l’attenzione sulla prevenzione
• La connettività universale implica che ognuno di noi è
un anello della catena
,7HP9HURQD
(A l c u n e ) B e s t Pr a c t i c e s
•
Un utente informato tende a
essere prudente
•
Sui server: non limitarsi mai
all’installazione “out of the box”
•
Utilizzo di client sicuri e dotati
delle patch più recenti
•
•
No ai modem non autorizzati
Informarsi costantemente sulle
vulnerabilità per le proprie
piattaforme
•
No alle applicazioni non
necessarie
•
Controllo costante dei log
•
Configurare correttamente il
firewall
•
Anti-Virus per tutti i client,
nessuna eccezione
•
Se possibile, usare personal
firewalls e IDS
,7HP9HURQD
Pr o t e g g e r e c o n l ’A n t i -V i r u s i c l i e n t
della m ia ret e è suffic ient e?
•
•
•
•
Le impronte vengono rese disponibile
rapidamente, molto spesso però i Worm sono
in grado di diffondersi ancor più rapidamente
La scansione euristica degli Anti-Virus può non
riconoscere Malware di nuova generazione
Gli Anti-Virus possono non essere in grado di
rilevare i Worm caricati in memoria
La presenza di vulnerabilità nelle applicazioni
può by-passare la presenza di un Anti-Virus
Come proteggersi?
Utilizzo di Personal Firewall ed Anti-Virus
,7HP9HURQD
L e s o l u zi o n i F-Se c u r e
'HVNWRSVHODSWRSV
+DQGKHOGV
F-Secure Anti-Virus per
Workstations
F-Secure Anti-Virus per
PocketPC
F-Secure Distributed Firewall
F-Secure Anti-Virus per
Nokia 9200 Communicator
6HUYHUGLSRVWD
F-Secure Anti-Virus per
Microsoft Exchange
F-Secure Anti-Virus per
Internet Mail (SMTP)
F-Secure Anti-Virus per
MIMEsweeper
6HUYHUV
F-Secure Anti-Virus per File
Servers (Windows + Linux)
6FDQVLRQHGHOWUDIILFR:HE
HGHPDLO
F-Secure Anti-Virus for
Firewalls (CVP)
,7HP9HURQD
L e s o l u zi o n i F-Se c u r e
M a n a g e m e n t e Re p o r t i n g
c e n t r a l i zza t o
• Comunicazione tra Console ed
host attraverso protocollo HTTP
• Possibilità di creare regole e/o
restrizioni per gli host
• Operazioni automatiche e
trasparenti per gli utenti
• Monitoraggio dei prodotti F-Secure
installati sugli host
• Avvio da remoto di operazioni
predefinite
,7HP9HURQD
L e s o l u zi o n i F-Se c u r e
M a n a g e m e n t e Re p o r t i n g
c e n t r a l i zza t o
• Possibilità di creare report
personalizzati che possono essere
visualizzati attraverso F-Secure
Policy Manager Console,
attraverso un browser, oppure
esportati in formato Microsoft
Excel
• Report degli Alert
• Verifica dell’aggiornamento delle
impronte virali sugli host
,7HP9HURQD
L e s o l u zi o n i F-Se c u r e
F-Se c u r e Di s t r i b u t e d Fi r e w a l l
•
•
•
F-Secure Distributed Firewall consente di
proteggere le informazioni riservate presenti sugli
host contro l’accesso non autorizzato (hackers)
F-Secure Distributed Firewall include:
– Intrusion Prevention
– Application Control
– Security Alerts
– Interfaccia semplice da utilizzare
Gestibile e configurabile attraverso F-Secure
Policy Manager Console
,7HP9HURQD
L e s o l u zi o n i F-Se c u r e
F-Se c u r e Di s t r i b u t e d Fi r e w a l l
,7HP9HURQD
L e s o l u zi o n i F-Se c u r e
F-Se c u r e Di s t r i b u t e d Fi r e w a l l
&RUSRUDWH1HWZRUN$GPLQLVWUDWRU
,7HP9HURQD
L e s o l u zi o n i F-Se c u r e
F-Se c u r e A n t i -V i r u s
•
Installazione da remoto, attraverso F-Secure
Policy Manager Console
•
Aggiornamento automatico ed incrementale
delle impronte virali
•
Configurabile da remoto
•
Completamente trasparente per l’utente finale
•
Pianificazione di scansioni manuali
,7HP9HURQD
L e s o l u zi o n i F-Se c u r e
F-Se c u r e A n t i -V i r u s
•
Anti-Virus multi-engine:
– F-Prot: rilelevazione e disinfezione di Macro,
file e boot sector virus
– AVP: rilelevazione e disinfezione di virus
polimorfici e macro virus
– Orion: motore euristico per la rilevazione dei
malware sconosciuti
,7HP9HURQD
L e s o l u zi o n i F-Se c u r e
Sc e n a r i o 1
F-Secure Policy
Manager Server
Virus Research
Laboratory
F-Secure Policy
Manager
Console
FSAV + FSDFW
FSAV
FSAV + FSDFW
/$1
FSAV + FSDFW
FSAV per IM
,7HP9HURQD
L e s o l u zi o n i F-Se c u r e
Sc e n a r i o 2
F-Secure Policy
Manager Server
Virus Research
Laboratory
F-Secure Policy
Manager
Console
FSAV + FSDFW
FSAV
Proxy
FSAV + FSDFW
/$1
FSAV per IM
5HPRWH2IILFH
Domande?
Grazie