Baixe o app para aproveitar ainda mais
Prévia do material em texto
19/03/2018 Segurança da Informação 1 Bacharelado em Sistemas de Informação Segurança da Informação SOFTWARE MALICIOSO 2018/1 José Viterbo Filho viterbo@ic.uff.br 19/03/2018 Segurança da Informação 2 ©COPYRIGHT Esta apresentação é baseada nos slides previamente elaborados por Lawrie Brown para o livro Computer Security: Principles and Practice. 19/03/2018 Segurança da Informação 3 AGENDA • Tipos de software malicioso • Tipos de virus e contramedidas • Tipos de vermes e contramedidas • Bots • Rootkits 19/03/2018 Segurança da Informação 4 MALWARE (SOFTWARE MALICIOSO) • Programas que exploram vulnerabilidades do sistema • Conhecido como software malicioso ou malware – Fragmentos de programas que precisam de um programa host • ex. virus, bombas lógicas, e backdoors – Programas autônomos independentes • ex. vermes, bots – Se replicam ou não • Ameaças sofisticadas aos sistemas computacionais 19/03/2018 Segurança da Informação 5 TERMINOLOGIA • Virus • Verme • Bomba lógica • Cavalo de Tróia • Backdoor (trapdoor) • Código móvel • Kit Auto-rooter (gerador de vírus) • Programas Spammer e Flooder • Keyloggers • Rootkit • Zombie, bot 19/03/2018 Segurança da Informação 6 KITS DE ATAQUE • Inicialmente, o desenvolvimento e a implantação de malwares requeriam habilidades técnicas consideráveis. • No início da década de 1990 foram desenvolvidas ferramentas de criação de vírus • Em 2000 surgiram os kits de ataque mais gerais, que ajudaram muito no desenvolvimento e implantação de malware. – Conjuntos de ferramentas também conhecidos como crimeware – Incluem diversos mecanismos de propagação e módulos de carga útil, que facilitam a combinação, seleção e implantação. 19/03/2018 Segurança da Informação 7 KITS DE ATAQUE • [Symantec] Toolkit that is readily available on underground marketplaces used by online criminals. There are different versions available, from free ones (often back doored themselves) to those an attacker must pay up to $700 USD for in order to use. 19/03/2018 Segurança da Informação 8 KITS DE ATAQUE • [Softpedia News, 2010] Researchers from security giant Symantec are announcing that a new botnet toolkit is threatening the infamous Zeus trojan. Dubbed SpyEye and priced at $500, the crimeware comes with a "Zeus killer" feature. 19/03/2018 Segurança da Informação 9 CLASSIFICAÇÃO DE MALWARES • Uma abordagem útil classifica o malware em duas grandes categorias: – Propagação: como se espalha ou se propaga para alcançar os alvos desejados • Conteúdo infectado • Exploração de vulnerabilidades • Engenharia Social – Carga útil: ações que executa uma vez atingido o alvo. • Corrupção do sistema • Agente de ataque • Roubo de informações • Camuflagem 19/03/2018 Segurança da Informação 10 PROPAGAÇÃO POR CONTEÚDO INFECTADO Vírus Malware que, quando executado, tenta replicar-se em outra máquina executável ou código de script; quando é bem- sucedido, o código é dito estar infectado. Quando o código infectado é executado, o vírus também é executado. 19/03/2018 Segurança da Informação 11 VÍRUS • Trecho de software que infecta programas – Modificam programas para incluir uma cópia do vírus – São executados secretamente junto com o programa hospedeiro • Específico para sistema operacional e hardware – Se aproveitando de seus detalhes e fraquezas • Os vírus biológicos são pequenos fragmentos de código genético que podem assumir o controle de uma célula viva e para fazer milhares de réplicas suas. • O vírus de computador carrega em seu código instruções para fazer cópias perfeitas de si mesmo 19/03/2018 Segurança da Informação 12 VÍRUS • Um vírus de computador tem três componentes: – Mecanismo de infecção: o meio pelo qual um vírus se espalha ou se propaga, permitindo sua replicação. O mecanismo também é denominado vetor de infecção. – Carga útil: o que o vírus faz, além de se espalhar. Pode envolver danos ou pode envolver atividade benigna, mas notável. – Mecanismo de ativação: o evento ou condição que determina quando a carga útil é ativada ou entregue, às vezes conhecida como uma bomba lógica. • Muitos tipos contemporâneos de malware também incluem uma ou mais variantes de cada um desses componentes 19/03/2018 Segurança da Informação 13 VÍRUS • Um vírus típico passa por fases de: – Dormência - o vírus está ocioso. • Ativado por algum evento, como uma data, a presença de outro programa ou arquivo, ou a capacidade do disco excedendo algum limite. Nem todos os vírus têm esse estágio. – Propagação - o vírus coloca uma cópia de si mesmo em outros programas ou em determinadas áreas do sistema no disco. • Geralmente se transformam para evadir a detecção. Programas infectados conterão clones do vírus. – Ativação - o vírus está ativado para executar sua função • Pode ser causada por uma variedade de eventos do sistema, incluindo uma contagem do número de vezes que essa cópia do vírus fez cópias. – Execução - a função é executada. • Pode ser inofensiva, como uma mensagem na tela, ou prejudicial, como a destruição de programas e arquivos de dados. 19/03/2018 Segurança da Informação 14 ESTRUTURA DO VÍRUS • O código do vírus pode ser anexado antes, depois ou embutido no programa hospedeiro • Quando o programa infectado é invocado, executa código de vírus e então o código de programa original • Pode-se bloquear a infecção inicial (difícil) • Pode-se evitar a propagação (com controles de acesso) 19/03/2018 Segurança da Informação 15 ESTRUTURA DO VÍRUS 19/03/2018 Segurança da Informação 16 VÍRUS DE COMPRESSÃO 19/03/2018 Segurança da Informação 17 CLASSIFICAÇÃO DE VÍRUS Por alvo • Vírus de infectante de setor de inicialização (boot sector) • Vírus de infectante de arquivo • Vírus de macro • Vírus multipartido 19/03/2018 Segurança da Informação 18 VÍRUS DE MACRO • Tornou-se muito comum em meados da década de 1990 – Independentes de plataforma – infectam documentos – Se espalham facilmente • Exploram a função macro de aplicativos de escritório – programa executável incorporado em documentos de escritório – muitas vezes uma forma de Basic • Os lançamentos mais recentes incluem proteção • Reconhecido por muitos programas anti-vírus 19/03/2018 Segurança da Informação 19 CLASSIFICAÇÃO DE VÍRUS Por estratégia de ocultação • vírus cifrado • vírus camuflado • vírus polimórfico • vírus metamórfico 19/03/2018 Segurança da Informação 20 VÍRUS DE E-MAIL • Desenvolvimento mais recente • Exemplo: Melissa (1998) – explora a macro MS Word no documento anexado – se o anexo for aberto, a macro é ativada – envia e-mail para todos na lista de endereços dos usuários – e faz danos locais • Propagação muito mais rápida • Características de verme 19/03/2018 Segurança da Informação 21 PROPAGAÇÃO POR EXPLORAÇÃO DE VULNERABILIDADE Verme Um programa de computador que pode ser executado de forma independente e pode propagar uma versão de trabalho completa de si mesmo em outros hosts em uma rede, geralmente explorando vulnerabilidades de software no sistema de destino. 19/03/2018 Segurança da Informação 22 VERMES • Programa de replicação que se propaga sobre a rede – Usando email, execução remota, login remoto • Tem fases como um vírus: – Dormência, propagação, ativação, execução – Fase de propagação: busca outros sistemas, se conecta a eles, se copia e executa • Pode disfarçar-se como um processo do sistema • Conceito visto em “Shockwave Rider” de John Brunner • Implementado pelos laboratórios Xerox Palo Altoem 1980 19/03/2018 Segurança da Informação 23 REPLICAÇÃO DE VERMES • Meios para se replicar e acessar sistemas remotos: – Correio eletrônico ou mensagens instantâneas – Compartilhamento de arquivos – Capacidade de execução remota – Acesso remoto ao arquivo ou capacidade de transferência – Capacidade de login remoto 19/03/2018 Segurança da Informação 24 REPLICAÇÃO DE VERMES • Correio eletrônico ou mensagens instantâneas – Envia uma cópia de si mesmo para outros sistemas ou se envia como anexo através de um serviço de mensagens instantâneas, de modo que seu código seja executado quando o e-mail ou anexo for recebido ou visualizado. • Compartilhamento de arquivos – Como um vírus, cria uma cópia de si mesmo ou infecta outros arquivos adequados em mídia removível; depois é executado automaticamente quando a unidade está conectada a outro sistema usando o mecanismo de execução automática, explorando alguma vulnerabilidade do software ou quando um usuário abre o arquivo infectado no sistema de destino. 19/03/2018 Segurança da Informação 25 REPLICAÇÃO DE VERMES • Capacidade de execução remota – Executa uma cópia de si mesmo em outro sistema, usando uma instalação de execução remota explícita ou explorando uma falha de programa em um serviço de rede. • Acesso remoto ao arquivo ou capacidade de transferência – Usa um acesso de arquivo remoto ou um serviço de transferência para outro sistema para se copiar de um sistema para o outro. • Capacidade de login remoto – Faz login em um sistema remoto como usuário e, em seguida, usa comandos para copiar-se de um sistema para o outro. 19/03/2018 Segurança da Informação 26 PROPAGAÇÃO DE VERMES • A primeira função na fase de propagação é que procurar outros sistemas para infectar, no processo chamado escaneamento ou impressão digital. – Deve identificar potenciais sistemas que executam o serviço vulnerável e depois infectá-los – O verme depois de instalado nas máquinas infectadas repete o mesmo processo até que uma grande rede distribuída de máquinas infectadas seja criada. 19/03/2018 Segurança da Informação 27 PROPAGAÇÃO DE VERMES • As estratégias de escaneamento de endereços de rede podem ser: – Aleatório – Lista de execução – Topológico – Sub-rede local 19/03/2018 Segurança da Informação 28 PROPAGAÇÃO DE VERMES • Escaneamento Aleatório – Cada host comprometido examina endereços aleatórios no espaço de endereço IP, usando uma semente diferente. – Esta técnica produz um alto volume de tráfego na Internet, o que pode causar perturbações generalizadas mesmo antes do lançamento do ataque real. 19/03/2018 Segurança da Informação 29 PROPAGAÇÃO DE VERMES • Escaneamento por Lista de Execução – O atacante primeiro compila uma longa lista de potenciais máquinas vulneráveis. – Este pode ser um processo lento feito durante um longo período para evitar a detecção de que um ataque está em andamento. – Uma vez compilada a lista, o atacante começa a infectar máquinas na lista. Cada máquina infectada possui uma parte da lista a ser digitalizada. – Esta estratégia resulta em um período de varredura muito curto, o que pode dificultar a detecção de que a infecção esteja ocorrendo. 19/03/2018 Segurança da Informação 30 PROPAGAÇÃO DE VERMES • Escaneamento Topológico – Este método usa informações sobre a topologia da rede contidas em uma máquina vítima infectada para encontrar mais hosts para digitalizar. 19/03/2018 Segurança da Informação 31 PROPAGAÇÃO DE VERMES • Escaneamento de Sub-rede Local – Se um host pode ser infectado por trás de um firewall, esse host então procura por destinos em sua própria rede local. – O host usa a estrutura de endereços da sub-rede para encontrar outros hosts que de outra forma seriam protegidos pelo firewall. 19/03/2018 Segurança da Informação 32 MODELO DE PROPAGAÇÃO DE VERMES 19/03/2018 Segurança da Informação 33 O VERME DE MORRIS • Um dos vermes mais conhecidos • Lançado por Robert Morris (1988) • Vários ataques em sistemas UNIX – arquivo de senha prováveis para usar login/senha e se logar em outros sistemas – explorando um bug no sendmail • Quando bem sucedido obtinha acesso remoto ao shell – enviava programa de bootstrap para copiar o verme 19/03/2018 Segurança da Informação 34 ATAQUES RECENTES DE VERMES • Code Red (julho de 2001) – explorando o bug do MS IIS – identifica o endereço IP aleatório, realiza ataque DDoS – consome capacidade significativa quando ativo • Code Red II (agosto de 2001) – variante que inclui backdoor • SQL Slammer (2003) – ataca MS SQL Server – distribuição compacta e muito rápida • Mydoom (2004) – verme que envia e-mails em massa – instala backdoors de acesso remoto em sistemas infectados 19/03/2018 Segurança da Informação 35 VERMES EM SMARTPHONES • Podem desativar completamente o telefone, excluir dados no telefone ou forçar o dispositivo a enviar mensagens dispendiosas para números com preço premium. • Cabir (2004), Lasco e CommWarrior (2005), CommWarrior (2007) – Sistema operacional Symbian – Se replicam por meio de Bluetooth para outros telefones na área de recepção. – Também se enviam como um arquivo MMS para números no catálogo de endereços do telefone e em respostas automáticas para mensagens de texto – Se copiam no cartão de memória removível e insere-se nos arquivos de instalação do programa no telefone. • Mais recentes visam sistemas Android e iPhone • A grande maioria dos malwares de telefones celulares observados usam aplicativos cavalos de Tróia para se instalarem. 19/03/2018 Segurança da Informação 36 TECNOLOGIAS DE VERMES • Multiplataforma • Multiexploração • Disseminação ultrarrápida • Polimórfico • Metamórfico • Veículos de transporte • Exploit (Exploração) de dia zero 19/03/2018 Segurança da Informação 37 CÓDIGO MÓVEL Código Móvel Softwares (por exemplo, script, macro, etc.) que podem ser enviados sem alterações para uma coleção heterogênea de plataformas e executar com semântica idêntica. 19/03/2018 Segurança da Informação 38 • Geralmente age como um mecanismo para que um vírus, verme ou cavalo de Tróia seja transmitido para a estação de trabalho do usuário. • Pode aproveita vulnerabilidades para executar suas próprias explorações, como o acesso a dados não autorizados ou o comprometimento da raiz. • Veículos populares para código móvel incluem applets Java, ActiveX, JavaScript e VBScript. • Os métodos mais comuns são scripts entre sites, sites interativos e dinâmicos, anexos de e-mail e downloads de sites não confiáveis ou de software não confiável. CÓDIGO MÓVEL 19/03/2018 Segurança da Informação 39 • Técnica comum que explora as vulnerabilidades do navegador • Quando o usuário visualiza uma página da Web controlada pelo invasor, esta contém código que explora o erro do navegador para baixar e instalar malware no sistema sem o conhecimento ou o consentimento do usuário. • Na maioria dos casos, este malware não se propaga ativamente como um verme, mas espera que os usuários desavisados visitem a página da Web mal-intencionada para se espalharem para seus sistemas. DOWNLOADS NÃO AUTORIZADOS 19/03/2018 Segurança da Informação 40 PROPAGAÇÃO POR ENGENHARIA SOCIAL • Envolve engenharia social, "enganando" os usuários para ajudar no comprometimento de seus próprios sistemas ou informações pessoais. • Isso pode ocorrer quando um usuário visualiza e responde a algum e-mail de spam, ou permite a instalação e execução de algum programa de cavalo de Tróia ou código de script. 19/03/2018 Segurança da Informação 41SPAM POR E-MAIL • Era enviado a partir de servidores de correio legítimos • Mais recentemente é enviado por botnets usando sistemas de usuários comprometidos • Parte significativa é apenas publicidade, tentando convencer o destinatário a comprar algum produto • Pode ser usado em golpes do tipo scam – oferta inacreditável para enganar o usuário e obter dinheiro • Também é um importante suporte de malware. 19/03/2018 Segurança da Informação 42 SPAM POR E-MAIL • Pode ter um documento em anexo, que, se aberto, explora vulnerabilidades para instalar malwares • Pode ter um programa anexado (cavalo de Tróia, código de script) que, se executado, instala malware no sistema – Alguns cavalos de Tróia evitam a necessidade do aprovação do usuário para se instalarem 19/03/2018 Segurança da Informação 43 SPAM POR E-MAIL • Pode ser usado em um ataque do tipo hoax – Pede para completar algum formulário com detalhes pessoais suficientes para permitir que o invasor se faça representar o usuário em um roubo de identidade. • Pode ser usado em um ataque de phishing – Dirige o usuário para um site falso que espelha algum serviço legítimo, como um site bancário online, onde tenta capturar os detalhes de login e senha do usuário; 19/03/2018 Segurança da Informação 44 CAVALOS DE TROIA • Programa aparentemente útil com código oculto que executa funções indesejadas ou prejudiciais • Pode ser usado para desempenhar indiretamente funções que o invasor não conseguiu realizar diretamente – Para obter acesso a informações pessoais e confidenciais armazenadas nos arquivos de um usuário • Os autores estimulam os usuários a executar o programa, incorporando-o em um jogo ou programa de utilidade, e tornando-o disponível através de um site de distribuição conhecido. 19/03/2018 Segurança da Informação 45 CAVALOS DE TROIA • Alguns cavalos de troia exploram vulnerabilidades do software para permitir a sua instalação e execução automática. – Compartilham característica de um verme, mas ao contrário, eles não se replicam. • Hydraq (2009) usado na Operação Aurora. – Explorou uma vulnerabilidade no Internet Explorer para instalar- se e direcionou várias empresas de alto perfil. – Geralmente, ele era distribuído usando e-mail de spam ou através de um site comprometido usando um ataque de download não-autorizado. 19/03/2018 Segurança da Informação 46 CAVALOS DE TROIA EM SMARTPHONES • Os primeiros atacavam aparelhos Symbian - Skuller (2004) • Mais recentemente, detectaram-se números significativos que visam telefones Android e iPhones, distribuídos pelos sites de aplicativos respectivos. • Em 2011, o Google removeu uma série de aplicativos que continham o malware DroidDream. – Poderoso agente zumbi que explorou vulnerabilidades para obter acesso total ao sistema, monitorar dados e instalar código extra. • Em 2012 um estudo identificou 49 famílias de malware para o Android. – 90% são agentes zumbis com suporte para acessar serviços premium ou para colher informações do usuário. – Nenhum dos antivírus móveis testados foi capaz de detectar todas essas famílias. 19/03/2018 Segurança da Informação 47 CARGA ÚTIL – CORRUPÇÃO DO SISTEMA • Inicialmente, vários vírus e vermes resultavam na destruição de dados no sistema infectado quando certas condições de disparo eram atendidas. – Chernobyl [1998], Klez [2001] – Alternativamente, malware podem criptografar os dados do usuário e exigir pagamento para acessar a chave necessária para recuperar essa informação. Ransomware • Uma carga útil relacionada é aquela que exibe mensagens indesejadas ou conteúdo no sistema do usuário quando acionado. • Uma variante mais grave tenta infligir danos no mundo real – Chernobyl tenta reescrever o código BIOS tornando o sistema é inutilizável até o chip da BIOS ser reprogramado ou substituído – Stuxnet visa softwares específicos de sistemas de controle industrial da Siemens 19/03/2018 Segurança da Informação 48 BOMBA LÓGICA • Componente-chave do malware de corrupção de dados • Código incorporado ao malware que está configurado para “explodir” quando determinadas condições são atendidas. – A presença ou ausência de determinados arquivos ou dispositivos no sistema, – Um determinado dia da semana ou data, – Uma versão específica ou configuração de algum software – Um usuário específico executado a aplicação. 19/03/2018 Segurança da Informação 49 CARGA ÚTIL – AGENTE DE ATAQUE • Conhecido como um bot, zumbi ou drone – Secretamente assume outro computador conectado à Internet – Usa esse computador para iniciar ou gerenciar ataques que são difíceis de rastrear até o criador do bot. • O bot é tipicamente plantado em centenas ou milhares de computadores pertencentes a terceiros desavisados. – O conjunto de bots muitas vezes é capaz de atuar de forma coordenada ⇒ botnet • Este tipo de carga útil ataca a integridade e a disponibilidade do sistema infectado. 19/03/2018 Segurança da Informação 50 BOTS • Características: – facilidade de controle remoto • via IRC/HTTP etc – mecanismo de propagação • software de ataque, vulnerabilidade, estratégia de digitalização • Várias contramedidas aplicáveis 19/03/2018 Segurança da Informação 51 CARGA ÚTIL – ROUBO DE INFORMAÇÕES • Malware reúne dados armazenados no sistema infectado para uso pelo atacante • Um alvo comum são as credenciais de login e senha do usuário para bancos, jogos e sites relacionados – Invasor usa esses dados para se passar pelo o usuário, acessar esses sites e obter ganhos. • Menos comumente, pode ter como alvo documentos ou detalhes de configuração do sistema com o objetivo de reconhecimento ou espionagem 19/03/2018 Segurança da Informação 52 KEYLOGGER • Captura as teclas pressionadas na máquina infectada para permitir que um invasor monitore essas informações sensíveis. – Geralmente implementam alguma forma de mecanismo de filtragem que apenas retorna informações próximas às palavras- chave desejadas (“login”, “senha”, “paypal.com”, etc). • Alguns bancos e outros sites passaram a usar um applet gráfico para inserir informações críticas, como senhas. – Como estes não utilizam texto inserido através do teclado, os keyloggers tradicionais não capturam essas informações. 19/03/2018 Segurança da Informação 53 SPYWARE • Subvertem a máquina comprometida para permitir o monitoramento de uma ampla gama de atividades no sistema – Monitoramento do histórico e do conteúdo da atividade de navegação, – Redirecionamento de determinados pedidos de páginas da Web para sites falsos controlados pelo invasor – Modificação dinâmica de dados trocados entre o navegador e determinados sites de interesse. • Estas ações podem resultar em comprometimento significativo das informações pessoais do usuário. 19/03/2018 Segurança da Informação 54 PHISHING E ROUBO DE IDENTIDADE • Abordagem usada para capturar as credenciais de login e senha de um usuário • Consiste em incluir um URL em um e-mail de spam que leva a um site falso, que imita a página login bem conhecida, mas é controlado pelo atacante. – Associado a mensagem sugerindo que uma ação urgente é necessária pelo usuário para autenticar sua conta, para evitar que ela seja bloqueada. – Se o usuário é descuidado, não percebe que é uma fraude, e fornece os detalhes solicitados, resulta em invasores explorando sua conta usando as credenciais capturadas. 19/03/2018 Segurança da Informação 55 SPEAR-PHISHING • Uma variante mais perigosa do phishing • Também é um e-mail afirmando ser de uma fonte confiável – Destinatários são cuidadosamente pesquisados pelo atacante – Cada e-mail é cuidadosamente elaborado para seadequar ao seu destinatário especificamente – Cita informações reais para convencer de sua autenticidade. – Aumenta consideravelmente a probabilidade de o destinatário responder conforme desejado pelo atacante. • Este tipo de ataque é particularmente usado em formas industriais e outras formas de espionagem por grandes organizações. 19/03/2018 Segurança da Informação 56 RECONHECIMENTO DE TERRENO, ESPIONAGEM E EXTRAÇÃO DE DADOS • Roubo de credencial e roubo de identidade são casos especiais de uma carga útil de reconhecimento mais geral, que visa obter certos tipos de informações desejadas e devolver isso ao atacante. • Estes casos especiais são certamente os mais comuns, mas há outros alvos conhecidos. – Obter acesso e modificar repositórios de código fonte em uma variedade de grandes empresas - Operação Aurora [2009] – Capturar detalhes de configuração de hardware e software para determinar se comprometeu os sistemas alvo específicos desejados - Stuxnet [2010] 19/03/2018 Segurança da Informação 57 CARGA ÚTIL – CAMUFLAGEM • Diz respeito às técnicas utilizadas pelo malware para ocultar sua presença no sistema infectado e para fornecer acesso secreto a esse sistema – Backdoors e Rootkits • Este tipo de carga útil também ataca a integridade do sistema infectado. 19/03/2018 Segurança da Informação 58 BACKDOORS • Ponto de entrada secreto em um programa que permite que alguém obtenha acesso sem passar pelos procedimentos habituais de acesso à segurança. – Também conhecidas como trapdoors • Usada legitimamente por muitos anos para que programadores pudessem depurar e testar programas • Tornam-se ameaças quando programadores sem escrúpulos as utilizam para obter acesso não autorizado. 19/03/2018 Segurança da Informação 59 ROOTKITS • Conjunto de programas instalados para acesso de administrador • Pode esconder sua existência – subvertendo mecanismos de relatório em processos, arquivos, registros, etc. • Talvez: – persisitente ou baseado na memória – usuário ou kernel • Instalado pelo usuário através de cavalo de Troia ou intruso no sistema • Gama de contramedidas necessárias 19/03/2018 Segurança da Informação 60 ROOTKITS • Há três técnicas que podem ser usadas para mudar as chamadas do sistema: – Modificar a tabela de chamadas do sistema • o invasor modifica os endereços syscall selecionados armazenados na tabela de chamadas do sistema. Permite que o rootkit direcione uma chamada do sistema para longe da rotina legítima para a substituição do rootkit. – Modificar alvos da tabela de chamada do sistema • o invasor substitui as rotinas de chamada de sistema legítimas selecionadas por código malicioso. A tabela de chamadas do sistema não é alterada. – Redirecionar a tabela de chamadas do sistema • o invasor redireciona as referências para toda a tabela de chamadas do sistema para uma nova tabela em uma nova localização da memória do kernel. 19/03/2018 Segurança da Informação 61 MODIFICAÇÕES DAS TABELAS DO SISTEMA POR ROOTKIT 19/03/2018 Segurança da Informação 62 CONTRAMEDIDAS PARA MALWARE • Prevenção - solução ideal, mas difícil • Elementos da prevenção: – Política – Conscientização – Mitigação de vulnerabilidades – Mitigação de ameaças 19/03/2018 Segurança da Informação 63 CONTRAMEDIDAS PARA MALWARE • Política adequada em relação à prevenção oferece uma base para implementar contramedidas preventivas – Sistemas em sua versão mais atualizada – Controles de acesso adequados às aplicações e dados – Visam prevenir contra vírus, vermes e cavalos de Troia • Propagação por engenharia social pode ser combatida com treinamento e concientização 19/03/2018 Segurança da Informação 64 CONTRAMEDIDAS PARA MALWARE • Se a prevenção falhar, mecanismos técnicos podem dar suporte às seguintes opções de mitigação das ameaças: – detecção – identificação – remoção • Se for detectado, mas não é possível identificar ou remover, deve-se descartar e substituir os arquivos ou programas infectados ou maliciosos • Infecções perniciosas podem exigir limpeza completa dos dispositivos de armazenamento 19/03/2018 Segurança da Informação 65 CONTRAMEDIDAS PARA MALWARE • Requisitos: – Generalidade – Ação imediata – Resiliência – Custos mínimos de negação de serviço – Transparência – Abrangência global e local 19/03/2018 Segurança da Informação 66 CONTRAMEDIDAS PARA MALWARE • A detecção pode ocorrer – No sistema infectado, por programas antivírus que monitoram dados importados para dentro do sistema e a execução e o comportamento de programas – No perímetro do sistema, com o uso de firewalls e sistemas de detecção de intrusão (IDS) – De forma distribuída, por mecanismos que coletam dados de sensores em estações e no perímetor 19/03/2018 Segurança da Informação 67 EVOLUÇÃO DOS ANTIVÍRUS • Vírus e tecnologia antivírus ambos evoluíram • Código simples dos primeiros vírus, facilmente removido • Como se tornam mais complexas, também devem as contramedidas • Gerações – primeira - escaneadores simples (de assinatura) – segunda - escaneadores heurísticos – terceira - armadilhas de atividade – quarta - proteção total 19/03/2018 Segurança da Informação 68 DECODIFICAÇÃO GENÉRICA • Executa arquivos executáveis através da tecnologia de decifração genérica: – Emulador de CPU para interpretar instruções – Scanner de vírus para verificar assinaturas de vírus conhecidas – Módulo de controle de emulação para gerenciar o processo • Permite que o vírus se decodifique no interpretador • Verifica periodicamente as assinaturas de vírus • O problema é longo para interpretar e digitalizar – detecção x tempo 19/03/2018 Segurança da Informação 69 SOFTWARE DE BLOQUEIO DE COMPORTAMENTO • Monitora os seguintes comportamentos – Tentativas de abrir, acessar, remover e/ou modificar arquivos – Tentativa de formatar drives de disco e outras operações irreversíveis de disco – Modificações na lógica de arquivos ou macros executáveis – Modificações de configurações críticas dos sistema, como as de inicialização – Exploração de scripts de clientes de e-mail e de mensagens instantâneas para enviar conteúdo executável – Iniciação de comunicações em rede 19/03/2018 Segurança da Informação 70 SOFTWARE DE BLOQUEIO DE COMPORTAMENTO 19/03/2018 Segurança da Informação 71 ABORDAGENS DE ESCANEAMENTO DE PERÍMETRO • Usado no firewall ou IDS de uma organização • Está limitada a escanear o conteúdo do malware, já que não fornece acesso ao comportamento de execução • Firewalls externos ou honeypots • Monitores de entrada – Localizados na borda entre a rede organizacional e a Internet • Monitores de saída – Localizados nos pontos de saída de LANs 19/03/2018 Segurança da Informação 72 CONTRAMEDIDAS DE VERMES • Sobrepõe-se a técnicas antivírus (A/V) • Uma vez que o verme está no sistema, A/V pode detectar • Os vermes também causam atividade significativa na rede • As abordagens de defesa de vermes incluem: – filtragem de verificação de vermes baseada em assinatura – contenção de vermes baseada em filtro – contenção de vermes baseada na classificação da carga útil – detecção de varredura de caminhada aleatória – limitação de taxa e parada de taxa 19/03/2018 Segurança da Informação 73 CONTENÇÃO PROATIVA DE VERMES 19/03/2018 Segurança da Informação 74 ABORDAGENS DE COLETA DE INFORMAÇÃO DISTRIBUÍDA • Sistema de análise central que recebe dados de sensores baseados em estação e de perímetro distribuídos • Sistema imunológico digital – Abordagem abrangente de proteção desenvolvida pela IBM – Em 2010: 240 mil sensores 133 milhõesde sistemas clientes 19/03/2018 Segurança da Informação 75 SISTEMA IMUNOLÓGICO DIGITAL 19/03/2018 Segurança da Informação 76 DEFESA DE VERMES BASEADA EM REDE 19/03/2018 Segurança da Informação 77 TAREFAS • Ler o Capítulo 6 de “Segurança de Computadores: Princípios e Práticas”, de Stallings e Brown. – Resolver as Perguntas de Revisão 6.1 a 6.15 (pág. 200) – Resolver os Problemas 6.1 a 6.13 (pág. 201) 19/03/2018 Segurança da Informação 78 REFERÊNCIAS • William Stallings and Lawrie Brown. Segurança de Computadores: Princípios e Práticas, 2ª Ed. Editora Elsevier.
Compartilhar