KL On-Boarding. Moscow Сергей Новиков Руководитель российского центра исследований Компьютерные угрозы – классификация, история возникновения
KL On-Boarding. Moscow План лекции История возникновения вредоносных программ Современные интернет-угрозы Путь зловреда к аналитикам Классификация ЛК Будущее
KL On-Boarding. Moscow Дела давно минувших дней Ранняя история вирусов
KL On-Boarding. Moscow Вирус может распространяться (копировать себя) Вирус – компьютерная программа, которая может распространяться (копировать себя) Дополнительно, вирус может заражать системные ресурсы (CodeRed.A), портить данные (I-Worm.Klez), компроментировать секретную информацию (I-Worm.Sircam) и стирать flash- BIOS (Win95.CIH). Что такое вирус ?
KL On-Boarding. Moscow Вредоносные программы Я, компьютерная программа, специально разработанная для проведения неавторизованных действий, таких как аномальное поведение компьютера, модификация, уничтожение или кража данных
KL On-Boarding. Moscow Археологические раскопки Charles Babbadge John von Neumann Теория самораз- множающихся механизмов 1959 L.S. Penrose Двумерная модель самораз- множающихся механизмов (Scientific American) F.G. Stahl Практическая реализация модели на IBM Bell Labs V.Vissotsky, G.MacIlroy, R.Morris Создают игру «Дарвин»
KL On-Boarding. Moscow Дальше - больше Rabbit на майнфреймах 1975 Игра Pervading animal UNIVAC 1108 Fred Kohen Elk Cloner На Apple Лехайский университет Дано определениеВирус Creeper/ Reaper в ARPAnet Brain: Первый бут вирус для IBM PC Basit Farooq Alvi
KL On-Boarding. Moscow Детство Первый PC вирус – бутовый вирус Boot.Brain заражал загрузочные сектора дискет и MBR на HDD Бутовые вирусы были очень «популярны» до наступления эры Internet, когда флоппи диски были единственным средством обмена файлами Сейчас, загрузочные вирусы больше не проблема, однако появились «внуки» – буткиты.
KL On-Boarding. Moscow Средние века Червь Морриса в ARPAnet Эпидемия вируса «Jerusalem» RCE Полиморфный вирус (Chameleon) Вирус- невидимка (Frodo, Whale) Virdem: COM - вирус Win.Vir_1_4 – первый вирус для Windows Ralf Burger Касперский начал заниматься антивирусами
KL On-Boarding. Moscow После загрузочных вирусов появились вирусы, заражающие исполняемые файлы (для MS-DOS это были.COM,.EXE и.SYS файлы) Файлово-загрузочные вирусы тоже появились – Tequila.2468, OneHalf.3544 Такие вирусы наиболее быстро распространялись и наносили наибольший вред Эволюция вирусов для PC
KL On-Boarding. Moscow Bliss Первый вирус для Linux AEP первый OS/2 вирус Laroux первый Excel вирус 1999 Начало эры червей: Happy99, Melissa Concept Первый макро вирус AccessiV Первый вирус для Access Triplicate первый вирус для MS Office Rabbit Первый скрипт вирус ILoveYou Атака на Palm OS – Liberty Malware. История: «Новая история»
KL On-Boarding. Moscow Следующий в цепочке Макро вирусы – первый был обнаружен в 1995 (WM/Concept.A, хотя говорят, что был написан в 1994) Был разрушен миф о том, что документы не могут быть заражены вирусами Быстро стали «головной болью» для всех. Макро вирусы написаны для всех популярных VBA приложений 26 марта 1999 – впервые применена новая технология распространения, которая с успехом используется и в наши дни
KL On-Boarding. Moscow Mass mailing Macro.Word97.Melissa был первым вирусом, который распространился по всему миру за один день Технология была перенесена на скрипт язык VBS, сделав скрипт вирусы 1 по популярности на многие годы Наиболее известными скрипт вирусами были VBS.LoveLetter, VBS.VBSWG (Курникова)
KL On-Boarding. Moscow Увеличение количества Win32 вирусов Улучшившая защищенность приложений MS Office и VBS, свела на нет «популярность» таких вирусов в годах Win32 mass mailers стали очень «популярны» в 2000 (Win32.Ska, Win32.MyPics или Win32.ExploreZip)
KL On-Boarding. Moscow Сетевые черви Один из самых первых «современных» интернет червей – червь Морриса, заражавший Sun и VAX компьютеры год Идея распространения программ по сети (не почта!) была переоткрыта в 2000 – червь VBS.Netlog Черви для локальных сетей (в дополнение к Internet-червям) также были разработаны (Win32.ExploreZip)
KL On-Boarding. Moscow Большое количество атак червей Codered – бестелесный червь Глобальная эпидемия Worm.SQL.Sla mmer и Worm.Win32. Lovesan История: «Новейшая история»
KL On-Boarding. Moscow * 14 августа 2003 Worm.Win32.Lovesan
KL On-Boarding. Moscow Глобальная эпидемия Worm.Win32. Mydoom, Bagle, Netsky Большое количество атак червей Codered – бестелесный червь 2004 Глобальная эпидемия Worm.SQL.Sla mmer и Worm.Win32. Lovesan Переход к Malware Malware. История: «Новейшая история»
KL On-Boarding. Moscow Настоящее время Malware 2.0
KL On-Boarding. Moscow Malware Malicious software Вирусы Заражают файлы Черви Распространяются с компьютера на компьютер Троянцы Не могут сами распространяться Вредоносные утилиты Используются авторами вирусов e.g. Упаковщики, конструкторы, эксплоиты
KL On-Boarding. Moscow Malware Bagle 2006 – Warezov 2007 – Zhelatin aka Storm Worm 2008 – Буткит Sinowal Kido aka Conficker
KL On-Boarding. Moscow Malware 2.0 Что это? Отказ от массовых рассылок Отказ от распространения через порты Использование скрипт-языков Новое использование старых технологий Zero-minute DDoS Phishing
KL On-Boarding. Moscow Malware 2.0 Что это? PHP внедрения SQL injections DNS poisoning/pharming Атаки на социальные сети
KL On-Boarding. Moscow Атаки на социальные сети Фишинг изменился в сторону нацеленности на пользователей социальных сетей. Учетные данные абонентов Facebook, Вконтакте, Livejournal, Одноклассники и др., пользуются повышенным спросом у злоумышленников. XSS\PHP\SQL-атаки. Цель – приватные данные и создание баз \ списков для проведения последующих атак при помощи «традиционных» способов.
KL On-Boarding. Moscow Статистика Trojans Viruses & worms Malicious tools 91 % 6%6% 3%3%
KL On-Boarding. Moscow Путь зловреда к аналитикам Newvirus, collection exchange, облака
KL On-Boarding. Moscow Все мы плывем в одной лодке… 24 часа/7 дней в неделю/365 дней в году Тысячи писем в сутки с In-the-Wild зловредами от людей со всего мира
KL On-Boarding. Moscow Все мы плывем в одной лодке… Главная задача – защитить пользователя! Collection exchange Участники: AVG, ClamAV, Comodo, ESET, F-secure, Frisk, Kaspersky, Kingsoft, McAffee, Sophos, Symantec, TrendMicro… ~10 Терабайт вредоносных файлов в квартал
KL On-Boarding. Moscow Все мы плывем в одной лодке… KSN [Kaspersky Security Network] - новая технология защиты >60 Миллионов участников Real-time система расчета репутации файлов Известны источники вредоносных и подозрительных файлов
KL On-Boarding. Moscow История классификации В поисках подходов к классификации
KL On-Boarding. Moscow Разные классификации Схема именования Н.Н. Безрукова (1990 год) Схема именования «CARO» V. Bontchev (1991/2002 год) CME (Common malware Enumeration) –уникальный ID для одинаково детектируемых объектов Классификации антивирусных компаний
KL On-Boarding. Moscow Что получилось… Различные классификации AV- компаний Различные классификации тестеров Много тяжело-воспринимаемых или неинформативных классификаций Найти пересечения названий очень тяжело
KL On-Boarding. Moscow Подход Лаборатории Касперского Дерево, именование, альтернативы
KL On-Boarding. Moscow Дерево вредоносных программ? Нужно детектировать только вредоносные программы?
KL On-Boarding. Moscow Дерево детектируемых объектов - Malware Malware (Malicious software) Вирусы и Черви [Способ распространения] –Вирусы по локальным ресурсам не используя сеть –Черви размножаются используя сеть Троянские программы [Совершаемые действия] –различные вредоносные действия, но никакого самораспространения Вредоносные утилиты [Совершаемые действия –Используются авторами вредоносов –Например: пакеры, конструкторы, флудеры и т.п.
KL On-Boarding. Moscow Malware
KL On-Boarding. Moscow Дерево детектируемых объектов - PUPs PUPs (Potentially unwanted programs) Adware (рекламное ПО) Pornware –«Насильственная» реклама платных сервисов для «взрослых» Riskware – Легальное ПО, которое, тем не менее, в руках злоумышленника способны причинить вред пользователю
KL On-Boarding. Moscow Именование
KL On-Boarding. Moscow Правила поглощения Viruses and Worms Trojan ProgramsMalicious Tools Threat Level
KL On-Boarding. Moscow Задание Вредоносная программа, распространяется через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Встречается впервые. Похожих вредоносных объектов не найдено. В программе встречаются ссылки : Net-Worm.Win32.Kido.a
KL On-Boarding. Moscow Задание Программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер байт. Написана на С++. Есть две аналогичные разновидности этой вредоносной программы Trojan-Downloader.Win32.Braidupdate.c
KL On-Boarding. Moscow Задание Программа для смартфонов, работающих под управлением ОС Symbian. Представляет собой установочный SIS-архив. Размер вирусного файла составляет байта. Основной деструктивный функционал вредоносной программы отправка SMS-сообщений на специальные платные номера. SMS посылаются без ведома пользователя и через установленные промежутки времени. Собственной процедуры распространения не имеет. Есть одна аналогичная разновидность этой вредоносной программы Trojan-SMS.SymbOS.Viver.b
KL On-Boarding. Moscow Будущее ? Завтра начинается сегодня
KL On-Boarding. Moscow Автоклассификация. Что мешает? Anti-Virtual Machine Anti-Emulation, Неполная эмуляция Работает на специфической ОС (Windows XP c испанским интерфейсом) Действия пользователя Один маршрут исполнения
KL On-Boarding. Moscow Графическое представление Trojan-Downloader.Win32.Dila Trojan-Clicker.Win32.Quicken
KL On-Boarding. Moscow Заключение Нужна ли классификация? – Да! Что дает нам классификация?- Новые знания! Авто классификация – хорошее подспорье в работе аналитика Есть над чем работать? –Разработка –Коммуникации, создание единого подхода
KL On-Boarding. Moscow Спасибо! Вопросы?