Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali. Malware. Roberto Paleari <roberto@security.dico.unimi.

Transcript

1 Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Malware Roberto Paleari <roberto@security.dico.unimi.it> Gennaio 2008 Roberto Paleari Malware Gennaio / 54

2 Sommario 1 Introduzione 2 Virus 3 Worm 4 Anti-virus 5 Anti-anti-malware 6 Bibliografia Roberto Paleari Malware Gennaio / 54

3 Malware sequenza di codice progettata per danneggiare intenzionalmente un sistema, i dati che contiene o comunque alterare il suo normale funzionamento, all insaputa dell utente Roberto Paleari Malware Gennaio / 54

4 Tipologie di malware replicazione no replicazione replicazione autonoma Virus Rootkit Trojan horse Worm Dialer Spyware Keylogger necessita ospite nessun ospite dipendenza da ospite Roberto Paleari Malware Gennaio / 54

5 Tipologie di malware Virus & worm Virus replicazione autonoma necessitano di un ospite in cui inserirsi propagazione attraverso la diffusione dell ospite Worm non necessitano di un ospite propagazione autonoma attraverso la rete capacità di propagarsi in sistemi altrui sfruttando delle vulnerabilità Roberto Paleari Malware Gennaio / 54

6 Tipologie di malware Trojan horse & backdoor Trojan horse funzionalità maligne cammuffate tra altre benigne propagazione manuale: diffusione di applicazioni con funzionalità secondarie o inserimento di nuove funzionalità in applicazioni esistenti rientrano in questa categoria adware e spyware Backdoor codice in grado di garantire l accesso ad un sistema evitando le normali procedure di autenticazione rientrano in questa categoria i RAT (Remote Access Trojan) Roberto Paleari Malware Gennaio / 54

7 Tipologie di malware Rootkit Rootkit strumenti utilizzati per mantenere l accesso ad un sistema compromesso senza fare nascere sospetti utilizzati per nascondere file, processi, connessioni di rete,... sia a livello kernel che a livello utente Roberto Paleari Malware Gennaio / 54

8 Tipologie di payload non distruttivo accidentalmente distruttivo distruttivo DoS (Denial of Service) sottrazione di informazioni Roberto Paleari Malware Gennaio / 54

9 Storia 1981 virus Elk Cloner (Apple II) 1983 Fred Cohen pubblica Computer Viruses, Theory and Experiments 1986 Brain è il primo virus per PC 1988 Robert Morris libera l Internet Worm 1990 primi virus polimorfici 1995 primi macro virus 1999 Melissa infetta migliaia di PC tramite Kernel rootkit: Knark 2001 Code Red infetta fino a macchine 2003 Slammer: macchine in 10 minuti 2004 botnet 2007 Storm: tra 1 e 50 milioni di macchine Roberto Paleari Malware Gennaio / 54

10 Diffusione Quali fattori contribuiscono al successo del malware? omogeneità (e.g. Windows) connettività scarse competenze profitto Roberto Paleari Malware Gennaio / 54

11 Convenzioni per la scelta dei nomi CARO naming convention: [malware_type://][platform/]family_name[.group_name] [.infective_lenght][.variant[devolution]][modifiers] Alcuni esempi: Trojan-Downloader.Win32.Banload Backdoor.Win32.Breplibot.o Virus.Multi.Etapux Net-Worm.Win32.Slammer SymbOS.Doomboot.P Roberto Paleari Malware Gennaio / 54

12 Virus Definizione porzione di codice in grado di infettare altri programmi, modificandoli includendo una versione (eventualmente evoluta) di se stesso [1]. virus spesso usato come sinonimo di malware i virus classici rappresentano 3% del malware in circolazione Roberto Paleari Malware Gennaio / 54

13 Virus Ciclo di vita riproduzione payload infezione Roberto Paleari Malware Gennaio / 54

14 Virus Tecniche di infezione: boot sector, MBR e file Boot sector o MBR virus inserito nel boot sector (hd/fd) o nel MBR (hd) virus eseguito durante la sequenza di avvio virus può rimanere in memoria anche dopo la fase di boot tecniche piuttosto datate, ma rivisitate negli ultimi tempi (e.g. SubVirt) File virus inserito in un ospite quando l ospite viene eseguito, viene eseguito anche il virus durante l esecuzione il virus individua nuovi programmi li infetta (evitando di infettare più volte lo stesso file) Roberto Paleari Malware Gennaio / 54

15 Virus Tecniche di infezione: memoria Memoria virus inserito all interno dello spazio di indirizzamento di un processo virus può rimanere attivo solo fino a quando il processo non termina virus può essere inserito in memoria kernel Roberto Paleari Malware Gennaio / 54

16 Virus Tecniche per l infezione dei file Companion sfruttare la precedenza dei.com sui.exe sfruttare l ordine con cui un eseguibile viene cercato nel path rinominare il file originale e sostituirlo con il virus (es. notepad.exe notepad.ex ) utilizzare gli stream NTFS (es. Win2k.Stream) Esempio: NTFS Alternate Data Streams C:\>echo visibile > prova.txt C:\>echo nascosto > prova.txt:data.txt C:\>dir *.txt... Directory di C:\ 05/01/ prova.txt 1 File 11 byte... C:\>type prova.txt visibile C:\>notepad prova.txt:data.txt Roberto Paleari Malware Gennaio / 54

17 Virus Tecniche per l infezione dei file Sovrascrittura parte del codice dell ospite è sostituito con quello del virus l ospite non funzionerà più correttamente ( rimozione impossibile) Parasitic virus: inserimento in testa entry virus entry programma infezione...gramma pro... Roberto Paleari Malware Gennaio / 54

18 Virus Tecniche per l infezione dei file Parasitic virus: inserimento in coda entry programma infezione programma virus entry modifica delle prime istruzioni dell host o dell entry point nel caso di eseguibili complessi (e.g. PE, ELF,... ) è necessario aggiornarne le strutture Roberto Paleari Malware Gennaio / 54

19 Virus Tecniche per l infezione dei file Cavity virus entry jmp <virus> entry programma infezione...rogramma cavità virus p... alcuni virus (e.g. W95/CIH) sono in grado di ripartire il proprio codice tra più cavità (fractionated cavity virus) Roberto Paleari Malware Gennaio / 54

20 Virus Entry Point Obscuring (EPO) adattamento dell ospite per mascherare l attivazione del virus (e.g. no modifiche dirette all entry point o al codice dell ospite nelle immediate vicinanze dell entry point) inserimento di salti all interno dell ospite manipolazione dei salti o delle chiamate a funzione (es. ExitProcess()) manipolazione delle sezioni dinamiche (e.g. import table) dispersione del codice del virus in quello dell ospite Roberto Paleari Malware Gennaio / 54

21 Virus Macro virus molte applicazioni sono programmabili con un proprio linguaggio di scripting macro per Microsoft Office, script Visual Basic, script mirc,... il virus richiede la presenza di un applicazione che contenga l interprete a volte tali linguaggi consentono anche la scrittura di virus multi-piattaforma Roberto Paleari Malware Gennaio / 54

22 Virus Macro virus nei prodotti Microsoft Office il virus è incluso nei documenti (o nei template) gestiti dalle applicazioni virus multi-piattaforma (a meno di language dependency o altri problemi di platform dependency) difficile rimuovere completamente il virus senza toccare le macro utenti: macro corruption macro conversion evoluzioni e devoluzioni del codice... migliaia di esemplari: Melissa (1999), Laroux (Excel ),... Roberto Paleari Malware Gennaio / 54

23 Virus Conclusioni I virus sono ancora una minaccia? oramai scarsamente diffusi altre tipologie di malware (e.g. worm, bot, trojan) sono ben più problematiche... però... macro virus sono semplici da realizzare virus toolkit semplice per script-kiddie diventare virus writer Roberto Paleari Malware Gennaio / 54

24 Worm Caratteristiche fondamentali A differenza dei virus, gli worm: si propagano via rete non necessitano di un host da infettare distinguiamo [2]: active worms non richiedono l intervento dell utente per la propagazione (exploit) worms richiedono una qualche azione dell utente (propagazione più lenta) Roberto Paleari Malware Gennaio / 54

25 Worm Struttura [3] Componenti essenziali target locator: individuazione di nuovi bersagli (indirizzi , IP vulnerabili,... ) infection propagator: trasferimento del worm e infezione (e.g. exploiting) Componenti opzionali remote control and update interface payload: e.g. DoS/DDoS, patch per la protezione da altri worm,... self-tracking: tracciamento degli host infetti Roberto Paleari Malware Gennaio / 54

26 Worm Target locator Indirizzi Possibili fonti di indirizzi: rubrica (e.g. W32/Melissa) messaggi in uscita file su disco (inbox, IE cache,... ) newsgroup Network share Windows offre utili servizi per trovare altre macchine facilitato da: trust relationship fra sistemi diversi password deboli (o assenti!) molti host collegati con servizi di condivisione accessibili da chiunque (... quando il firewall è un problema... ) Roberto Paleari Malware Gennaio / 54

27 Worm Target locator Network scanning & fingerprinting[2] random scanning: IP target scelto casualmente; problema: un target può essere provato più volte hit-list scanning: worm distribuito con una lista di n target potenzialmente vulnerabili; ad ogni infezione, passa metà lista al nuovo worm permutation scanning: permutazione pseudo casuale dell IP address space; ogni esemplare parte da un punto casuale e se trova una macchina infetta, sceglie un nuovo punto di partenza warhol worm = hit-list + permutation Roberto Paleari Malware Gennaio / 54

28 Worm Infection propagator Tecniche di propagazione: 1 (social engineering, sender spoofing,... ) 2 backdoor preesistenti (es. W32/Nimda CodeRed ii, W32/Borm Back Orifice) (no intervento utente!) 3 propagazione tramite reti P2P (aggiunta ai file in sharing o infezione di file condivisi) 4 diffusione tramite instant messaging (es. mirc /DCC, MSN,... ) 5 bluetooth 6 file server 7 vulnerabilità in applicazioni (no intervento utente!) Roberto Paleari Malware Gennaio / 54

29 Worm Propagazione di Code Red (exploit-based worm) Roberto Paleari Malware Gennaio / 54

30 Worm Payload backdoor DDoS zombie raccolta informazioni sensibili zombie generico Roberto Paleari Malware Gennaio / 54

31 Worm Blaster (Agosto 2003) SO: Microsoft c Windows 2000, XP Metodo di propagazione: vulnerabilità nel servizio RPC (buffer overflow; riavvio di Windows XP dopo la chiusura della shell) Payload: DoS contro windowsupdate.com, apertura shell remota nascosta Target locator: 60% IP casuale, 40% stessa rete di classe B dell host infetto Roberto Paleari Malware Gennaio / 54

32 Worm Slammer (Gennaio 2003) 376 bytes SO: Microsoft c Windows Metodo di propagazione: vulnerabilità Microsoft c SQL Server 2000 (stack-based overflow; attacco verso porta UDP 1434, con source IP probabilmente spoofato) Payload: nessuno Target locator: 100% random in loop infinito CPU al 100% e paralisi della rete Host infettati: almeno Roberto Paleari Malware Gennaio / 54

33 Worm Slammer Diffusione dopo 30 minuti Roberto Paleari Malware Gennaio / 54

34 Worm Code Red (Luglio 2001) SO: Microsoft c Windows 2000 Metodo di propagazione: vulnerabilità in IIS (buffer overflow) anti worm Code Green Host infettati: nelle prime 24 ore Roberto Paleari Malware Gennaio / 54

35 Worm Sobig (Gennaio 2003) SO: Microsoft Windows Metodo di propagazione: (allegato.pif o.scr) Payload: infezione altri sistemi della stessa lan, aggiornamento automatico e possibilità di esecuzione di codice da remoto Conseguenze: congestione server SMTP Roberto Paleari Malware Gennaio / 54

36 Anti-virus Tipologie host-based on-demand scanning on-access scanning (e.g. apertura di un file, ricezione di una mail,... ) network-based analisi traffico in ingresso/uscita antivirus installato su un gateway Componenti motore di scansione signature (pattern da utilizzare per l identificazione dei virus) Roberto Paleari Malware Gennaio / 54

37 Anti-virus Metodologie di ricerca: pattern matching String scanning signature: stringa di byte che identifica un particolare malware se un file (o la memoria) contiene una signature, allora è infetto dal malware corrispondente quanto dev essere lunga la signature? ( falsi positivi) dove cercare la signature? (performance) una signature potrebbe identificare varianti diverse dello stesso malware o addirittura malware diversi (svantaggio: quale metodo di rimozione applicare?) Roberto Paleari Malware Gennaio / 54

38 Anti-virus Metodologie di ricerca: pattern matching Wildcards variante dello string scanning wildcard o espressioni regolari problema: performance Velocizzare la scansione top-and-tail scanning entry-point scanning Roberto Paleari Malware Gennaio / 54

39 Anti-virus Metodologie di ricerca: pattern matching Smart pattern matching evitare byte inutili durante scansione e creazione signature e.g. nop in codice binario, spazi,... Skeleton detection utile per macro virus scartati spazi e istruzioni inutili per un macro virus rimane lo scheletro del virus Roberto Paleari Malware Gennaio / 54

40 Anti-virus Metodologie di ricerca: pattern matching Nearly Exact Identification combinazione di più criteri di matching (e.g. signature multiple, checksum di parti del codice,... ) se solo alcuni sono soddifatti, si potrebbe aver identificato una variante evitare rimozione Exact Identification per distinguere varianti di uno stesso malware checksum delle sole parti costanti del codice del malware Roberto Paleari Malware Gennaio / 54

41 Anti-virus Metodologie di ricerca: algorithmic scanning Cos è? algoritmi per il rilevamento di particolari malware, non gestibili con l algoritmo standard Implementazione moduli compilati, linkati dinamicamente (efficiente ma poco portabile) moduli compilati in qualche forma di bytecode (lento ma portabile) Roberto Paleari Malware Gennaio / 54

42 Anti-virus Metodologie di ricerca: algorithmic scanning Filtering le routing specifiche sono spesso pesanti definiti filtri per esaminare solo oggetti sospetti esempi di filtri: tipo dell oggetto presenza di una stringa nell header nomi di sezioni sospette... Roberto Paleari Malware Gennaio / 54

43 Anti-virus Metodologie di ricerca: algorithmic scanning Disassembling per trovare una instruzione sospetta, spesso non basta cercare la stringa che la rappresenta esempio: cmp ax,0x5a4d 66 3D 4D 5A BF 66 3D 4D 5A nop; nop; mov edi,0x5a4d3d66 soluzione: disassembling (da dove partire? che tecnica utilizzare? come gestire anti-disassembing?) Roberto Paleari Malware Gennaio / 54

44 Anti-virus Metodologie di ricerca: code emulation Cos è? malware è eseguito in una virtual machine componente essenziale in anti-virus moderni Considerazioni emulazione routine di decifratura quando terminare l emulazione? (e.g. alla prima chiamata API,... ) tecniche di anti-emulation, junk code,... possono aumentare in modo inaccettabile l overhead Roberto Paleari Malware Gennaio / 54

45 Anti-virus Metodologie di ricerca: analisi euristica Cos è? ricerca di anomalie nella struttura dei file, sequenze di istruzioni sospette,... Esempi analisi dinamica di un applicazione alla ricerca di fenomeni riconducibili a comportamenti maligni noti 1 entry point fuori dalla code section 2 sezioni con attributi sospetti (e.g..text RWX) 3 jmp in prossimità dell entry point, con target esterno alla code section (EPO virus) 4 esecuzione di codice in sezioni con nome atipico (e.g..reloc,.debug,... ) Roberto Paleari Malware Gennaio / 54

46 Sandboxing esecuzione di applicazioni untrusted in ambiente controllato finalità: analisi del comportamento dell applicazione ambiente usa e getta per applicazioni particolarmente esposte (e.g. web browser) semplice variante: non lavorare come Administrator ;-) Roberto Paleari Malware Gennaio / 54

47 Malware Tecniche di self-defense Encryption il corpo del malware è cifrato/decifrato dinamicamente chiave statica, dinamica, bruteforcing,... possibili anche più layer di cifratura Cascade l e a s i, c o r p o v i r u s mov sp, 0682 h c i c l o : xor [ s i ], s i xor [ s i ], sp i n c s i dec sp j n z c i c l o c o r p o v i r u s :... primo (?) esempio di virus cifrato XOR stessa procedura per cifrare e decifrare Roberto Paleari Malware Gennaio / 54

48 Malware Tecniche di self-defense Polimorfismo Esempio ancora corpo cifrato il malware è in grado di mutare la routine di cifratura l e a s i, c o r p o v i r u s nop mov sp, 0682 h sub ax, bx c i c l o : xor [ s i ], s i inc cx xor [ s i ], sp i n c s i add bx, cx dec sp j n z c i c l o c o r p o v i r u s :... le istruzioni evidenziate sono junk code possibile anche instruction reordering, instruction substitution, register replacement,... elevato numero di mutazioni possibili difficile individuare una signature costante Roberto Paleari Malware Gennaio / 54

49 Malware Tecniche di self-defense Metamorfismo metamorphics are body-polymorphics (Igor Muttik) W95/Regswap 5A pop edx BF mov edi, 0004 h 8BF5 mov e s i, ebp B80C mov eax, Ch 81C add edx, 0088 h 8B1A mov ebx, [ edx ] 58 pop eax BB mov ebx, 0004 h 8BD5 mov edx, ebp BF0C mov edi, Ch 81C add eax, 0088 h 8B30 mov e s i, [ eax ] W32/Evol BF0F mov edi, Fh 893E mov [ e s i ], e d i 5F pop e d i 52 push edx B640 mov dh, 4 0 BA8BEC5151 mov edx, EC8Bh 53 push ebx 8BDA mov ebx, edx 895 E04 mov [ e s i +0004], ebx BB0F mov ebx, Fh 891E mov [ e s i ], ebx 5B pop ebx 51 push ecx B9CB00C05F mov ecx, 5 FC000CBh 81C1C0EB91F1 add ecx, F191EBC0h 894 E04 mov [ e s i +0004], ecx Roberto Paleari Malware Gennaio / 54

50 Malware Tecniche di self-defense Polimorfismo e metamorfismo Polimorfismo Metamorfismo dopo la decifratura il malware appare in chiaro non esiste una versione in chiaro del malware adottano tecniche abbastanza semplici possono arrivare anche alla code integration (W95/Zmist) implemetazione relativamente semplice implementazione complessa Roberto Paleari Malware Gennaio / 54

51 Malware Tecniche di self-defense Altre tecniche anti-debugging anti-emulation anti-disassembling offuscamento da analisi statica Roberto Paleari Malware Gennaio / 54

52 Malware & Microsoft Windows Autostart entry point Come può il malware sopravvivere al riavvio del sistema? Alcuni esempi: hook nel registro: in {HKLM,HKCU}\SOFTWARE\Microsoft\Windows\CurrentVersion\, chiavi Run, RunOnce, RunServices, RunServicesOnce HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options injection come DLL in altri processi, es. HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon application-specific, come HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar hook nel file system: %USERPROFILE%\Menu Avvio\Programmi\Esecuzione Automatica %WINDIR%\win.ini %WINDIR%\system.ini... Roberto Paleari Malware Gennaio / 54

53 Malware & Microsoft Windows Strumenti Alcuni strumenti utili (Sysinternals): regmon, filemon: chiavi di registro/file a cui un processo accede autoruns: applicazioni eseguite al boot tcpview: connessioni TCP in corso e porte in ascolto procexp... Roberto Paleari Malware Gennaio / 54

54 Bibliografia I F. Cohen. Computer Viruses, Theory and Experiments. Computers & Security, 6:22 35, S. Staniford, V. Paxson, and N. Weaver. How to 0wn the Internet in Your Spare Time. May P. Szor. The Art of Computer Virus Research and Defense. Addison-Wesley Professional, Roberto Paleari Malware Gennaio / 54