,7HP0DJJLR 9HURQD /DVROX]LRQH)6HFXUH XQDSLDWWDIRUPDGLVHFXULW\D SURWH]LRQHGHOODUHWHFRQWUR KDFNHUH0DOLFLRXV&RGH Andrea Gradella Anti-Virus Security Division Symbolic ,7HP9HURQD Agenda • Terminologia • Caratteristiche di alcune infezioni che hanno caratterizzato il 2002 • Alcune Best Practices • Soluzione F-Secure ,7HP9HURQD Co s a s t i a m o t r a t t a n d o “Malware” = Malicious Software Termine generico che comprende tutto il software dannoso: • Virus • Worms • Trojans • RATs • DoS Tools • etc… ,7HP9HURQD Cl a s s i f i c a zi o n i • Le precedenti definizioni sono fortemente generalizzate: è frequente incontrare malware che appartiene a più di una di queste categorie – Es. Melissa: è un macro-virus che usa come vettore i documenti di MS Word, ma è anche un worm dell’e-mail. – Code Red è un worm che agisce come DoS Tool ,7HP9HURQD E-m a i l e i n g e g n e r i a s o c i a l e Hoax Uso estensivo delle MAIUSCOLE e dei punti esclamativi!!! Il "virus" arriva sempre e solo via email e si attiva quando si apre il messaggio Il "virus" causa sempre danni irreparabili Gli utenti sono invitati a propagare l'allarme Viene sempre citata una fonte autorevole (MS, IBM, FBI…), ma senza nominare un portavoce Il "virus" viene sempre Uso di gergo tecnico per nascondere descritto come "più l'infondatezza distruttivo" di un altro, o dell'argomento "il più pericoloso" Inesattezza dei termini: Si suppone che il "virus" Spesso AOL è descritta come vittima del "virus" si parla spesso di "trojan arrivi sempre in un horse virus" messaggio con lo stesso subject Si può rimuovere il "virus" solo cancellando il messaggio Aggiunte apocrife: "Mi ha detto mio cugino che…" ,7HP9HURQD Sl a p p e r (1 4 /0 9 /2 0 0 2 ) Routine di propagazione Sfrutta una vulenrabilità nota della libreria OpenSSL (Buffer Overflow) 1° Gen Le istanze del worm comunicano tra loro: possibilità di propagare istruzioni E in grado di effettuare upload e di eseguire arbitrariamente programmi sul host infetto Può essere utilizzata per effettuare attacchi di tipo DDoS 2° Gen 3° Gen ,7HP9HURQD Tanat os alias Bugbear (3 0 /0 9 /2 0 0 2 ) :RUPLQJUDGRGLGLIIRQGHUVL PROWRUDSLGDPHQWHYLDHPDLO SUHVHQ]DGHOODYXOQHUDELOLWj 06 3URSDJD]LRQHDWWUDYHUVROD /$1 ,QJUDGRGL³UXEDUH´8VHUQDPH H3DVVZRUG &RPSRQHQWH%DFNGRRU ,7HP9HURQD Tanat os alias Bugbear (3 0 /0 9 /2 0 0 2 ) Componente Backdoor • Apre una connessione sulla porta 36794 • Consente l’accesso al host infetto attraverso un’interfaccia Web • Viene creata un’interfaccia HTML attraverso la quale è possibile sfogliare le directory del PC infetto. • E’ possibile avere informazioni quali sistema operativo, tipo di processore, fix e driver di rete ,7HP9HURQD Op a s o f t (0 1 /1 0 /2 0 0 2 ) Routine di propagazione Scansione, sulla porta NETBIOS 137, della rete (sfrutta vulnerabilità MS 00072) Una volta infettato, l’host inizia la routine di propagazione all’interno della LAN e con scansioni su Internet alla ricerca di un nuovo host da infettare Apre una Backdoor in grado di effettuare l’upload del Worm e di eseguire script arbitrari. La connessione di questa backdoor viene fatta verso il link http://www.opasoft.com Replay Data )LOHDQG 3ULQW 6KDULQJ 23(1 ,7HP9HURQD Di f e s a o p r e v e n zi o n e ? • Gli analisti antivirus sono esseri umani, quindi i loro tempi di reazione non sono immediati • Date le premesse, è chiaro che sarebbe difficile contrastare la diffusione di un ipotetico “super-worm” a qualche ora dalla diffusione • Occorre spostare l’attenzione sulla prevenzione • La connettività universale implica che ognuno di noi è un anello della catena ,7HP9HURQD (A l c u n e ) B e s t Pr a c t i c e s • Un utente informato tende a essere prudente • Sui server: non limitarsi mai all’installazione “out of the box” • Utilizzo di client sicuri e dotati delle patch più recenti • • No ai modem non autorizzati Informarsi costantemente sulle vulnerabilità per le proprie piattaforme • No alle applicazioni non necessarie • Controllo costante dei log • Configurare correttamente il firewall • Anti-Virus per tutti i client, nessuna eccezione • Se possibile, usare personal firewalls e IDS ,7HP9HURQD Pr o t e g g e r e c o n l ’A n t i -V i r u s i c l i e n t della m ia ret e è suffic ient e? • • • • Le impronte vengono rese disponibile rapidamente, molto spesso però i Worm sono in grado di diffondersi ancor più rapidamente La scansione euristica degli Anti-Virus può non riconoscere Malware di nuova generazione Gli Anti-Virus possono non essere in grado di rilevare i Worm caricati in memoria La presenza di vulnerabilità nelle applicazioni può by-passare la presenza di un Anti-Virus Come proteggersi? Utilizzo di Personal Firewall ed Anti-Virus ,7HP9HURQD L e s o l u zi o n i F-Se c u r e 'HVNWRSVHODSWRSV +DQGKHOGV F-Secure Anti-Virus per Workstations F-Secure Anti-Virus per PocketPC F-Secure Distributed Firewall F-Secure Anti-Virus per Nokia 9200 Communicator 6HUYHUGLSRVWD F-Secure Anti-Virus per Microsoft Exchange F-Secure Anti-Virus per Internet Mail (SMTP) F-Secure Anti-Virus per MIMEsweeper 6HUYHUV F-Secure Anti-Virus per File Servers (Windows + Linux) 6FDQVLRQHGHOWUDIILFR:HE HGHPDLO F-Secure Anti-Virus for Firewalls (CVP) ,7HP9HURQD L e s o l u zi o n i F-Se c u r e M a n a g e m e n t e Re p o r t i n g c e n t r a l i zza t o • Comunicazione tra Console ed host attraverso protocollo HTTP • Possibilità di creare regole e/o restrizioni per gli host • Operazioni automatiche e trasparenti per gli utenti • Monitoraggio dei prodotti F-Secure installati sugli host • Avvio da remoto di operazioni predefinite ,7HP9HURQD L e s o l u zi o n i F-Se c u r e M a n a g e m e n t e Re p o r t i n g c e n t r a l i zza t o • Possibilità di creare report personalizzati che possono essere visualizzati attraverso F-Secure Policy Manager Console, attraverso un browser, oppure esportati in formato Microsoft Excel • Report degli Alert • Verifica dell’aggiornamento delle impronte virali sugli host ,7HP9HURQD L e s o l u zi o n i F-Se c u r e F-Se c u r e Di s t r i b u t e d Fi r e w a l l • • • F-Secure Distributed Firewall consente di proteggere le informazioni riservate presenti sugli host contro l’accesso non autorizzato (hackers) F-Secure Distributed Firewall include: – Intrusion Prevention – Application Control – Security Alerts – Interfaccia semplice da utilizzare Gestibile e configurabile attraverso F-Secure Policy Manager Console ,7HP9HURQD L e s o l u zi o n i F-Se c u r e F-Se c u r e Di s t r i b u t e d Fi r e w a l l ,7HP9HURQD L e s o l u zi o n i F-Se c u r e F-Se c u r e Di s t r i b u t e d Fi r e w a l l &RUSRUDWH1HWZRUN$GPLQLVWUDWRU ,7HP9HURQD L e s o l u zi o n i F-Se c u r e F-Se c u r e A n t i -V i r u s • Installazione da remoto, attraverso F-Secure Policy Manager Console • Aggiornamento automatico ed incrementale delle impronte virali • Configurabile da remoto • Completamente trasparente per l’utente finale • Pianificazione di scansioni manuali ,7HP9HURQD L e s o l u zi o n i F-Se c u r e F-Se c u r e A n t i -V i r u s • Anti-Virus multi-engine: – F-Prot: rilelevazione e disinfezione di Macro, file e boot sector virus – AVP: rilelevazione e disinfezione di virus polimorfici e macro virus – Orion: motore euristico per la rilevazione dei malware sconosciuti ,7HP9HURQD L e s o l u zi o n i F-Se c u r e Sc e n a r i o 1 F-Secure Policy Manager Server Virus Research Laboratory F-Secure Policy Manager Console FSAV + FSDFW FSAV FSAV + FSDFW /$1 FSAV + FSDFW FSAV per IM ,7HP9HURQD L e s o l u zi o n i F-Se c u r e Sc e n a r i o 2 F-Secure Policy Manager Server Virus Research Laboratory F-Secure Policy Manager Console FSAV + FSDFW FSAV Proxy FSAV + FSDFW /$1 FSAV per IM 5HPRWH2IILFH Domande? Grazie