Transcript Slide 1

Miha Pihler
MCSA, MCSE, MCT, CISSP
Microsoft MVP –
Enterprise Security
www.krneki.net/blog
www.slowug.si
Soavtor tečaja Microsoft
TMG
Okužba računalnika - Simptomi
“Čudno obnašanje” računalnika
Nenavadna količina prometa
Opazno na požarnem zidu
Spremenjena konfiguracija računalnika
Nedelovanje servisov
Zlonamerna koda zaseda TCP vrata legitimnih
servisov – npr. RDP
Načini okužbe
Na hitro…
Načini okužbe so omejeni samo z našo
domišljijo
Nameščeni popravki?
0-day napadi
Socialni inženiring
Slabo zaščiteni ali nezaščiteni servisi
Slaba gesla, ki vodijo v notranjost omrežja
1. koraki
Pregled strežnika
Pregled servisov, ki tečejo na strežniku
1. koraki
Pregled strežnika
Pregled servisov, ki tečejo na strežniku
Pregled sumljivih servisov
1. koraki
Pregled strežnika
Pregled servisov, ki tečejo na strežniku
Pregled sumljivih servisov
Pregled TCP vrat v primeru, da servisi ne
delujejo
1. koraki
Pregled strežnika
Pregled servisov, ki tečejo na strežniku
Pregled sumljivih servisov
Pregled TCP vrat v primeru, da servisi ne
delujejo
Če smo identificirali proces, ki povzroča
težave, si ga lahko pogledamo od bližje
Packers
Pregled strežnika
Najbolj popularen je UPX
Na voljo tudi drugi
Peid orodje pove s čim je bilo zapakirano
Packers
Pregled strežnika
Omogočajo združevanje več exe datotek
Omogočajo enkripcijo
“False positive” programi
1. koraki
Pregled strežnika
Datoteke na disku…
1. koraki
Pregled strežnika
Datoteke na disku…
Drugi zlonamerni procesi
Večina (!) Microsoft kode je podpisana
Večina (!) zlonamerne kode (zaenkrat) ni
Pogosto (!) niso podpisani vsi “3rd party”
gonilniki
Novi problemi
Podpisi kode
V zadnjem času precej razvpiti primeri:
Komodo CA
Spletna aplikacija, ki je imela v .dll “hard coded”
uporabniško ime in geslo…
DigiNotar CA
Prepoved izdajanja certifikatov
Preklicani iz npr. Windows OS preko “Windows
Update”
Kaj pa drugi OS? Kaj pa npr. Firefox?, …
Bankrot
1. koraki
Pregled strežnika
Podpisi …
Sigcheck
1. koraki
Pregled strežnika
Podpisi …
Sigcheck
Strings…
Odstranitev s strežnika
Lahko si zlonamerno kodo shranimo za
poznejšo analizo
Odstranimo servise, ki smo jih identificirali
kot zlonamerne
Odstranjevanje s strežnika
V opisanem primeru je bila zlonamerna
koda preprost za odstranitev
Verjetno napadalci niso želeli biti odkriti
Običajno ne bo tako preprosto
Glavni problem je ta, da nikoli ne vemo ali
smo res odstranili vso zlonamerno kodo
Odstranjevanje s strežnika
Priporoča se ponovna postavitev strežnika
(format)
Pazite na to, ali so okuženi vaše varnostne
kopije (backupi)
Primer:
Nedavano so napadli strani linux.com on
kernel.org. Administratorji so izvedli celotni
reinstall strežnikov (večkrat)
Nadaljnja analiza
PeView
PeView
winspool.drv -- tiskanje
advapi32.dll – registri, varnostne funkcije
shlwapi.dll -- UNC in URL poti
wsock32.dll – aplikacije, ki uporabljajo
mrežo
VirusTotal
MD 5 hash exe programa lahko oddamo
preko VirusTotal
Večja verjetno, da najdemo MD5 hash kot
kakšen drug (SHA1)
Če ga VirusTotal ne najde, lahko hash
Googlamo
Problem
Vidimo, da ne najdejo vsi AV programi
naše zlonamerne kode oz. je nebi
identificirali kot zlonamerno
AV proizvajalci dobivajo ogromno sumljivih
datotek, ki jih preprosto ne uspejo predelati
Primer: RSA… 3. marca je bil RSA tarča
napada. 19. marca je bil oddano originalno
sporočilo na VirusTotal. Najdejo je bilo šele
konec avgusta – več kot 5 mesecev
pozneje…
Naslednji koraki…
… bi lahko bili
Okužba sistema in spremljanje…
Dostopov do datotek (Process Monitor)
Dostopov do registra (Process Monitor)
Spremljanje DNS poizvedb, da odkrijemo
kam se CCproxy poskuša povezati
Naslednji koraki…
… bi lahko bili
Nastavimo lasten DNS strežnik tako, da
zmeraj vrača IP naslov našega strežnika
Z Wiresharkom spremljamo mrežne
aktivnosti
Na našem strežniku postavimo npr. NC
(Net Cat), da posluša na TCP vratih, ki
smo jih identificirali z Wiresharkom
Spremljamo, kakšen promet dobi NC
Naslednji koraki…
… bi lahko bili
Pozor:
CCProxy uporablja nastavljen RootDNS
strežnike (v konfiguracijski datoteki)
Zlonamerna koda bi namesto DNSov lahko
uporabljala tudi IP naslove
…
Naslednji koraki…
… bi lahko bili
Disassembler
Debugger
Prihodnost
Bo zelo “pestra”…
Pred nekaj leti sem na NTK napovedal
zlonamerno kodo, ki se bo skrivala v
BIOSu. Sedaj je to postalo realnost
Trojan.Mebromi – “in the wild”
Sledijo?
Mrežne kartice, grafične kartice, …
Prihodnost
Bo zelo pestra…
Kje in kako vse lahko zlonamerna koda
skriva svoje podatke?
Enkripcija
ADS (Alternative Data Stream)
Steganography
Trojan:Win32/Alureon.FE – “in the wild”
How We Found the File That Was Used to Hack RSA
http://www.f-secure.com/weblog/archives/00002226.html
Malware burrows deep into computer BIOS to escape AV
http://www.theregister.co.uk/2011/09/14/bios_rootkit_discovered/
A tale of grannies, Chinese herbs, Tom Cruise, Alureon and
steganography
http://blogs.technet.com/b/mmpc/archive/2011/09/25/a-tale-ofgrannies-chinese-herbs-tom-cruise-alureon-andsteganography.aspx
InstantSSL.it named as source of Comodo breach by attacker
http://www.thetechherald.com/article.php/201113/6975/InstantSSLit-named-as-source-of-Comodo-breach-by-attacker
Independent Iranian hacker claims responsibility for Comodo hack
http://arstechnica.com/security/news/2011/03/independent-iranianhacker-claims-responsibility-for-comodo-hack.ars
Comodo hacker: I hacked DigiNotar too; other CAs breached
http://arstechnica.com/security/news/2011/09/comodo-hacker-ihacked-diginotar-too-other-cas-breached.ars
Comodo Hacker Claims Credit for DigiNotar Attack
http://threatpost.com/en_us/blogs/comodo-hacker-claims-creditdiginotar-attack-090611
HVALA