Università degli Studi di Milano. Malware. Aristide Fattori

Transcript

1 Università degli Studi di Milano Malware Aristide Fattori

2 Introduzione

3 Malware Sequenza di codice progettata per danneggiare intenzionalmente un sistema, i dati che contiene o comunque alterare il suo normale funzionamento, all insaputa dell utente A. Fattori Malware 3

4 Tipologie di malware replicazione no replicazione replicazione autonoma Virus Root-kit Trojan horse Worm Dialer Spyware Keylogger necessita ospite nessun ospite dipendenza da ospite A. Fattori Malware 4

5 Virus

6 Virus replicazione autonoma necessitano di un ospite in cui inserirsi riproduzione attraverso la diffusione dell ospite riproduzione payload infezione A. Fattori Malware 6

7 Virus replicazione autonoma necessitano di un ospite in cui inserirsi riproduzione attraverso la diffusione dell ospite riproduzione File eseguibili Boot sector Script Documenti payload infezione A. Fattori Malware 6

8 Virus replicazione autonoma necessitano di un ospite in cui inserirsi riproduzione attraverso la diffusione dell ospite La parte non relativa all infezione C: /AUTOTEST) riproduzione File eseguibili Boot sector Script Documenti payload infezione A. Fattori Malware 6

9 Virus Esempio alto livello DEMO A. Fattori Malware 7

10 Tecniche di infezione File infection File infection companion sovrascrittura inserimento in testa/coda/cavity entry point obfuscation (EPO) A. Fattori Malware 8

11 Tecniche di infezione File infection Companion Virus sfruttare la precedenza dei.com sui.exe (es, notepad.com e notepad.exe) sfruttare l ordine con cui un eseguibile viene cercato nel path (es, $PATH=/usr/local/bin:/usr/bin:/bin:...) meno efficace quando si usa la GUI A. Fattori Malware 8

12 Tecniche di infezione File infection Sovrascrittura parte del codice dell ospite è sostituito con quello del virus l ospite non funzionerà più correttamente ( rimozione impossibile) A. Fattori Malware 8

13 Tecniche di infezione File infection Parasitic virus: inserimento in testa entry virus entry programma infezione...gramma pro... A. Fattori Malware 8

14 Tecniche di infezione File infection Parasitic virus: inserimento in coda entry programma infezione programma virus entry modifica delle prime istruzioni dell ospite o dell entry point nel caso di eseguibili complessi (es, PE, ELF,... ) è necessario aggiornarne le strutture A. Fattori Malware 8

15 Tecniche di infezione File infection Cavity virus entry jmp <virus> entry programma infezione...rogramma cavità virus p... alcuni virus (e.g. W95/CIH) sono in grado di ripartire il proprio codice tra più cavità (fractionated cavity virus) A. Fattori Malware 8

16 Tecniche di infezione EPO: Entry Point Obfuscation & Code Integration EPO Modifiche all entry point originale di un programma sono facilmente identificabili: A. Fattori Malware 9

17 Tecniche di infezione EPO: Entry Point Obfuscation & Code Integration EPO Modifiche all entry point originale di un programma sono facilmente identificabili: readelf -h /bin/ls ELF Header: Class: ELF64... Entry point address: 0x4046d4 A. Fattori Malware 9

18 Tecniche di infezione EPO: Entry Point Obfuscation & Code Integration EPO Modifiche all entry point originale di un programma sono facilmente identificabili: il virus ritarda il passaggio del controllo al suo codice sovrascrive una chiamata a funzione modifica la import table A. Fattori Malware 9

19 Tecniche di infezione EPO: Entry Point Obfuscation & Code Integration EPO Modifiche all entry point originale di un programma sono facilmente identificabili: il virus ritarda il passaggio del controllo al suo codice sovrascrive una chiamata a funzione modifica la import table Code Integration Disassembla il codice eseguibile del file vittima, si inserisce nel codice e lo ri-assembla. (W95/Zmist) A. Fattori Malware 9

20 Tecniche di infezione Device infection Infezione di device removibili File autorun.inf [autorun] open=knight.exe open icon=knight.exe,0 shellexecute=knight.exe open shell=auto action=disk Knight(Protection Against Mobile Disk Viruses) shell\auto=&auto shell\auto\command=knight.exe open shell\open=&open shell\open\command=knight.exe open shell\explore=e&xplore shell\explore\command=knight.exe open shell\find=s&earch... shell\find\command=knight.exe open... A. Fattori Malware 10

21 Tecniche di infezione MBR Infection MBR Porzione dell hard disk che contiene il codice responsabile dell avvio del sistema operativo. un virus può modificarlo per venire eseguito prima del sistema operativo stesso molto difficile da individuare tecnica vecchia (1986-: (c)brain, Stoned, Michelangelo, Junkie, Tequila,... ) sta tornando di moda (2007: Rustock bootkit, 2008: Trojan.Mebroot, 2010: TDL 1-4) A. Fattori Malware 11

22 Worm

23 Worm non necessitano di un ospite propagazione autonoma attraverso la rete capacità di propagarsi in sistemi altrui sfruttando delle vulnerabilità capacità di propagarsi via mail A. Fattori Malware 13

24 Worm Componenti locator: identifica nuove potenziali vittime propagator: ottiene controllo della vittima e ci si trasferisce life-cycle manager: controlla attività worm payload: DoS, furto credenziali, spam,... A. Fattori Malware 14

25 Worm Locator Indirizzi mail parsing rubrica outlook pattern matching su file cache internet explorer Network share Condivisione file e directory senza protezione: identifica gli share nella rete locale e ci si copia uno dei vettori più sfruttati Login remoto RSH, SSH, telnet,... attacchi bruteforce A. Fattori Malware 15

26 Worm Locator (2) Scanning Ricerca di nuove vittime nella rete locale o su internet: scansione della rete locale target ricerca servizi vulnerabili lista di target pre-compilata (e.g., router con vuln note) uso di motori di ricerca per trovare macchine vuln (google-dorking) A. Fattori Malware 16

27 Worm Propagation: -based Propagator Dopo il recupero di indirizzi mail, il worm invia copie del suo body agli indirizzi recuperati. Tecniche di social engineering: uso di temi hot (e.g., partite di calcio, catastrofi, reality) contraffazione indirizzi mittente pornografia... Tecniche di hiding: nascondere l estensione (.exe.jpeg) URL che punta all eseguibile... Vulnerabilità nel motore HTML del mail client Queste tecniche hanno impatto significante sui provider di posta (molto traffico) ma non sono molto efficaci. Perché? A. Fattori Malware 17

28 Worm Propagation: exploit-based Caratteristiche sfrutta vulnerabilità dei target (note o meno) non richiede interazione propagazione molto veloce Anatomia di un attacco 1. exploit remote code execution 2. download da origine o da web del body 3. nuova installazione A. Fattori Malware 18

29 Morris Worm Robert Morris Jr Primo worm in grado di causare problemi seri. Sfrutta 3 vulnerabilità per propagarsi: 1. RCE in sendmail 2. buffer overflow in fingerd 3. bruteforce su RSH Tramite la vuln esegue un piccolo snippet di codice che trasferisce il corpo del worm sulla vittima. The Internet Worm - Eugene H. Spafford spafford89_crisis.pdf A. Fattori Malware 19

30 Slammer Worm??? Sfrutta vulnerabilità nota di MSSQL Servers. Non contiene payload dannoso ma la sua velocità di propagazione causa gravi problemi. 1. SW bersaglio permette ai client di inviare una req per trovare un db 2. richiesta pacchetto udp max 17 byte null terminated 3. buffer overflow, 376 byte per shellcode 4. shellcode: (1) genera IP (2) prova a attaccarlo (3) goto 1 Macchina infetta con 100Mbps di banda scan/s Inside the Slammer Worm - Moore et al. 1 Microsoft SQL A. Fattori Malware 20

31 Stuxnet??? Primo malware che attacca sistemi industriali (SCADA). 1. Infetta sistemi Windows tramite 4 0-day + removable device 2. infetta software di controllo degli SCADA 3. infetta il device stesso e ne compromette il funzionamento Riflessioni: 4 0-day diversi == $$$ A. Fattori Malware 21

32 Stuxnet??? Primo malware che attacca sistemi industriali (SCADA). 1. Infetta sistemi Windows tramite 4 0-day + removable device 2. infetta software di controllo degli SCADA 3. infetta il device stesso e ne compromette il funzionamento Riflessioni: 4 0-day diversi == $$$ molto targettizzato A. Fattori Malware 21

33 Stuxnet??? Primo malware che attacca sistemi industriali (SCADA). 1. Infetta sistemi Windows tramite 4 0-day + removable device 2. infetta software di controllo degli SCADA 3. infetta il device stesso e ne compromette il funzionamento Riflessioni: 4 0-day diversi == $$$ molto targettizzato firmato con certificato compromesso W32.Stuxnet Dossier - Symantec A. Fattori Malware 21

34 Worm - Tecniche di propagazione alternative

35 Tecniche di propagazione Rogue Antivirus A. Fattori Malware 23

36 Tecniche di propagazione Rogue Antivirus A. Fattori Malware 23

37 Tecniche di propagazione Rogue Antivirus A. Fattori Malware 23

38 Tecniche di propagazione Drive-by-download Osservazioni: 1. Lo scenario è cambiato, la maggior parte delle attività sono su web. 2. Molte vulnerabilità trovate nei browser. 3. (1) + (2) == worm che si diffondono via web A. Fattori Malware 24

39 Tecniche di propagazione Drive-by-download Osservazioni: 1. Lo scenario è cambiato, la maggior parte delle attività sono su web. 2. Molte vulnerabilità trovate nei browser. 3. (1) + (2) == worm che si diffondono via web Come? 1. crea (o compromette) un sito per ospitare exploit 2. exploita i browser vulnerabili che visitano il sito 3. scarica il codice del worm sulla vittima A. Fattori Malware 24

40 Tecniche di propagazione Remote exploit + drive-by-download A. Fattori Malware 25

41 Tecniche di propagazione Remote exploit + drive-by-download link a JS maligno nel sito exploit MS MS download keylogger/backdoor 3 giorni prima del Super Bowl! A. Fattori Malware 25

42 Malware Generators A. Fattori Malware 26

43 Contromisure

44 Contromisure Detection signature-based Come funziona? Database di signature Un applicazione che contiene una signature nota viene considerate infetta A. Fattori Malware 28

45 Contromisure Detection signature-based Come funziona? Database di signature Un applicazione che contiene una signature nota viene considerate infetta Codice applicazione A. Fattori Malware 28

46 Contromisure Detection signature-based Come funziona? Database di signature Un applicazione che contiene una signature nota viene considerate infetta Signature A. Fattori Malware 28

47 Contromisure Detection signature-based Come funziona? Database di signature Un applicazione che contiene una signature nota viene considerate infetta + + A. Fattori Malware 28

48 Contromisure Detection signature-based Come funziona? Database di signature Un applicazione che contiene una signature nota viene considerate infetta A. Fattori Malware 28

49 Contromisure Detection signature-based Come funziona? Database di signature Un applicazione che contiene una signature nota viene considerate infetta A. Fattori Malware 28

50 Tecniche di self-defense Packing Codice maligno nascosto da 1 + layer di compressione/cifratura Decompressione/decrifratura a run-time A. Fattori Malware 29

51 Tecniche di self-defense Packing Codice maligno nascosto da 1 + layer di compressione/cifratura Decompressione/decrifratura a run-time Malicious code A. Fattori Malware 29

52 Tecniche di self-defense Packing Codice maligno nascosto da 1 + layer di compressione/cifratura Decompressione/decrifratura a run-time Unpacking routine Malicious code A. Fattori Malware 29

53 Tecniche di self-defense Packing Codice maligno nascosto da 1 + layer di compressione/cifratura Decompressione/decrifratura a run-time Unpacking routine Unpacking routine Malicious code A. Fattori Malware 29

54 Tecniche di self-defense Packing Codice maligno nascosto da 1 + layer di compressione/cifratura Decompressione/decrifratura a run-time Unpacking routine Unpacking routine Malicious code Problema 80% del malware è packed 200 famiglie di packer, 2000 varianti Backlog di 90 famiglie Fonte: Symantec, 2008 A. Fattori Malware 29

55 Tecniche di self-defense Polimorfismo Mutazione #1 Mutazione #2 Mutazione #3 Problema: la routine di packing può essere rilevata A. Fattori Malware 30

56 Tecniche di self-defense Polimorfismo Mutazione #1 Mutazione #2 Mutazione #3 Problema: la routine di packing può essere rilevata Idea: variare la routine di packing ad ogni infezione A. Fattori Malware 30

57 Tecniche di self-defense Polimorfismo Mutazione #1 Mutazione #2 Mutazione #3 Problema: la routine di packing può essere rilevata Idea: variare la routine di packing ad ogni infezione La semantica della routine rimane sempre la stessa A. Fattori Malware 30

58 Tecniche di self-defense Polimorfismo Mutazione #1 Mutazione #2 Mutazione #3 Problema: la routine di packing può essere rilevata Idea: variare la routine di packing ad ogni infezione La semantica della routine rimane sempre la stessa Contromisure Emulazione Algorithmic detection A. Fattori Malware 30

59 Tecniche di self-defense Metamorfismo Metamorphics are body-polymorphics (Igor Muttik) A ogni infezione muta l intero corpo del malware Mutazione #1 Mutazione #2 Mutazione #3 A. Fattori Malware 31

60 Tecniche di self-defense Metamorfismo Metamorphics are body-polymorphics (Igor Muttik) A ogni infezione muta l intero corpo del malware Come funziona? 1. Analizza il proprio codice 2. Identifica dei blocchi 3. Applica mutazioni Codice malware A. Fattori Malware 31

61 Tecniche di self-defense Metamorfismo Metamorphics are body-polymorphics (Igor Muttik) A ogni infezione muta l intero corpo del malware blocco 1 Come funziona? 1. Analizza il proprio codice 2. Identifica dei blocchi 3. Applica mutazioni blocco 2 blocco 3 blocco 4 blocco 5 blocco 6 blocco 7 blocco 8 A. Fattori Malware 31

62 Tecniche di self-defense Metamorfismo Metamorphics are body-polymorphics (Igor Muttik) A ogni infezione muta l intero corpo del malware blocco 1 Come funziona? 1. Analizza il proprio codice 2. Identifica dei blocchi 3. Applica mutazioni blocco 2 blocco 3 blocco 4 blocco 5 blocco 6 blocco 7 blocco 8 A. Fattori Malware 31

63 Tecniche di self-defense Metamorfismo Metamorphics are body-polymorphics (Igor Muttik) A ogni infezione muta l intero corpo del malware blocco 1 Come funziona? 1. Analizza il proprio codice 2. Identifica dei blocchi 3. Applica mutazioni blocco 6 blocco 3 blocco 9 blocco 5 blocco 2 blocco 10 blocco 8 A. Fattori Malware 31

64 Tecniche di self-defense Metamorfismo Metamorphics are body-polymorphics (Igor Muttik) A ogni infezione muta l intero corpo del malware Problema Analizzatore di codice particolarmente complesso Sviluppare un motore metamorfico è molto difficile A. Fattori Malware 31

65 Tecniche di self-defense Malware emulators mov %ax, $0xcafe; xor %ebx, %ebx; inc %ecx; int $0x2e; Programma originale inst 37 %r 6, $0xcafe; inst 15 %r 2, %r 2 ; inst 24 %r 11 ; inst 4 $0x2e; VM Programma offuscato 1. Codice del malware trasformato in bytecode 2. Bytecode interpretato a run-time da una VM 3. Bytecode mutato ad ogni infezione A. Fattori Malware 32

66 Tecniche di self-defense Malware emulators mov %ax, $0xcafe; xor %ebx, %ebx; inc %ecx; int $0x2e; Programma originale inst 37 %r 6, $0xcafe; inst 15 %r 2, %r 2 ; inst 24 %r 11 ; inst 4 $0x2e; VM Programma offuscato 1. Codice del malware trasformato in bytecode 2. Bytecode interpretato a run-time da una VM 3. Bytecode mutato ad ogni infezione Sembra complicato? A. Fattori Malware 32

67 Tecniche di self-defense Malware emulators A. Fattori Malware 32

68 Tecniche di self-defense Contromisure Signature-based detection è troppo debole Verso tecniche più semantiche A. Fattori Malware 33

69 Tecniche di self-defense Contromisure Signature-based detection è troppo debole Verso tecniche più semantiche Soluzioni Analisi dinamica Granularità a livello di system call Panda TruPrevent, AVG Identity Protection, NovaShield, ThreatFire,... Problemi Performance Falsi positivi Information leakage A. Fattori Malware 33

70 Strumenti anti-malware di nuova generazione Analisi statica impraticabile o troppo onerosa Analisi dinamica in ambienti emulati A. Fattori Malware 34

71 Strumenti anti-malware di nuova generazione Analisi statica impraticabile o troppo onerosa Analisi dinamica in ambienti emulati Esempi Anubis CWSandbox BitBlaze A. Fattori Malware 34

72 Strumenti anti-malware di nuova generazione Analisi statica impraticabile o troppo onerosa Analisi dinamica in ambienti emulati Esempi Anubis CWSandbox BitBlaze Come funzionano? 1. Esecuzione dell applicazione sospetta in un emulatore 2. Monitoring dell esecuzione (VM introspection) 3. Rilevamento di comportamenti maligni A. Fattori Malware 34

73 Rilevamento VM Red-pill Programma in grado di rilevare se eseguito all interno di un emulatore (o virtualizzatore) CPU EMU Fonte: A fistful of red-pills (R. Paleari, L. Martignoni, G. Fresi Roglia, D. Bruschi) A. Fattori Malware 35

74 Rilevamento VM Red-pill Programma in grado di rilevare se eseguito all interno di un emulatore (o virtualizzatore) void main() { redpill = \x08\x7c\xe3\x04... ; if (((void (*)())redpill)()) { // Eseguito su CPU fisica return CPU; } else { // Eseguito su CPU emulata return EMU; } } Fonte: A fistful of red-pills (R. Paleari, L. Martignoni, G. Fresi Roglia, D. Bruschi) A. Fattori Malware 35

75 Malware Domande? Aristide Fattori Università degli Studi di Milano A. Fattori Malware 36