was sind viren ? herausforderung aktuelle entwicklungen · sql-slammer worm bugbear worm jän feb...
Post on 26-Sep-2020
1 Views
Preview:
TRANSCRIPT
Was ist Virus? - Ein Überblick !
• Was sind Viren ?
• Herausforderung
• Aktuelle Entwicklungen
• Malware (Malicious Code)Per Definition schädliche Software. Durch Medienberichte von der
Öffentlichkeit oft mit „Viren“ gleichgesetzt
• Viren sind sich selbst replizierende, infizierendeDateien, In Relation zur Malware kaum noch verbreitetgeschätzte 3 % des Gesamtaufkommens
• Würmer verbreiten sich über Netzwerke und infizieren alle erreichbaren SystemeWir unterscheiden in User-Interaktions- und Prozessinteraktions
Basierenden Würmer. (Doppel-Klick-Viren versus Exploit-Based)
Prozess-Interaktionsbasierend
User-Interaktionsbasierend
Angriffsformen von Viren – Replikations-Orientiert
DirectUser-involvment
Attack
IndirectUser-involvment
AttackExploit-Based
AttackRegular Service
Based Attack
Mischformen
NIMDA, BAGLE.Q, Netsky.P,Sowohl User als auchProzess basierte ReplikationSowohl Exploit als auch RegularService
Blaster, Slammer, WittyNutzt einen bestehendenExploit von Systemen
Jede Form von DDOS wo das Ziel auf Grund „regulärer“Requestversenkt wird.Mydoom.A-F, Bagle.M
User wird via eMail auf Seite gelockt wo erst die eigentliche Attacke passiertBaqle-Q (Carrier eMail) transportiert nur den Link
User deaktiviert Sicherung/Hemmnis„Britney-Spears“–Wurm,IRC-Bots,
Mischformen
zB: URL-Redirection AttackSpam-Mails, Fishing,....
„Doppelklick“ eMail Viren, Tanatos, NetSky, Bagle, Sobig.F etc.....setzen Aktion des User´s voraus
„Klassischer Wurm“Ein Start ist ausreichendMoris CodeRedSlammer Blaster,
Bot – Bot-Netze
Als Bot´s werden “Viren” welche eine Kombination aus Backdoor und Wurm beinhalten von potentiellen Angreifern “übernommen” und “kontrolliert”. Die Kommunikation zwischen MasterConsole und Boterfolgt zumeist über IRC-Netzwerke (Internet Relay Chat)
Trojaner/Backdoors sind Programme mit versteckter(schädlicher) Zweitfunktion
Streng genommen zählen Sie, ebenso wie Backdoors NICHT zu den Viren, da sie selbst über keine Replikationsmechanismen verfügen.Der potentiellen Angreifer kann defakto “alles” was auch der User des betroffenen Systems kann.
Adware, Spyware, Dialer, …
• Signaturdatenbanken von Virenscannern wachsen “unangenehm” schnell:
– Es gibt heute ca. 125.000 verschiedene Schadprogramme (inklusiver vieler „Altlasten“ aus MS DOS-Zeiten)
– Typisches Wachstumsbeispiel (Trend Micro):• August 2001: 4,0 MB• Januar 2004: 7,5 MB• Januar 2005: 11,8 MB• April 2005: 14,7 MB
– 10 Jahre hat es gebraucht (1991 bis 2001), damit die Datenbank 4 MB groß wird, aber nur wenige Monate, bis sich ihre Größe mehr als verdoppelt und verdreifacht hat
– Allein in den letzten 4 Monaten ganze 3 MB WachstumQuelle: Andreas Marx/Universität Magdeburg
5 Major Outbreaks 2003
SwenWorm
BlasterWorm
SobigWorm
Year of the Worm - Anzahl bekannter Viren erreicht über 90 000
SQL-SlammerWorm
BugbearWorm
DezNovOktSeptAugJulJunMaiAprMär FebJän
60
50
40
30
20
10
5
3
1
Mio
5 Major Outbreaks Q1/2004 - Österreich
Mydoom.A
Sober.CNetSky.B
31. März
15. März
1März
15. Feb
1. Feb
15.Jän
1. Jän
20
15
12
10
7
5
3
1
0
Mio
Bagle.B
Netsky.D
Quo Quo vadisvadis ??Virensituation in Österreich 2004
2004 bescherte uns eine Reihe an durchaus „verzichtbaren“ neuen Rekorden.Die Zahl der eindeutig als Viren indentifizierten Programme durchbrach von 1986 an gerechnet das erste Mal die 100.000er Marke, und brachte zudem einen neuen „Monatsrekord“ mit über 1.800 neuen Viren/MaliciousCodes im Spitzenmonat März.Je nach Spammer-Aktivität werden zwischen 62% und 74% aller erhaltenen Emails in Österreich als Spam-Mails klassifiziert. Im Spitzenfeld liegen dabei Unternehmen mit über 200.000 erhaltenen Spam-Mails pro Tag. Diese Werte schwemmen Tag für Tag konstant „Müll“ in die User-Mailboxen. Im Vergleich dazu liegt das Viren-Aufkommen bei 14-16% an „ruhigen“ Tagen. An Tagen mit High-Outbreak-Phasen verschiebt sich die Relation „infiziertes eMail“ versus „virenfreies eMail“ kurzfristig mit Spitzen bis zum Verhältnis 1:7 (nur mehr jedes 7 Mail ist ein Viren-Freies eMail). Etwa beim Sober.F oder im Verhältnis 1:4,5 beim Sobig.I !
TrojanTrojan -- GeneratorGeneratorTrojanerschreiben fTrojanerschreiben füür r DummiesDummies
DIRECT USER INVOLVEMENT ATTACK
DIRECT USER INVOLVEMENT ATTACK
INDIRECT USER INVOLVEMENT ATTACK
http://www.microsoft.com&item=q209354@hardware.no/nyheter/feb01/Q209354%20-@20HOWTO.htm
URL-Redirection Attack
Url Redirection using DNS spoofing
Url Redirection using DNS cache injection
Url Redirection using the @ Symbol
„undotted“ IP Adress AttackIE Trusted Sites can be facked
http://3244527687/livesex.html
Using „undotted“ IP Adresses (e.g. 3244527687 = 193.99.144.71)
►„undotted“ IP Adresses override „IE Trusted Site Settings“
► Local Security restrictions apply – insecure web surfing
Newsgroups verbreiten Viren
www.RIAA.comwww.RIAA.com
Konsequenz der MyDoom.F Attacke für RIAA WebServer
Mi 24 Mar
Di 23 Mar
Mo 22 Mar
So 21 Mar
Sa 20Mar
Fr 19Mar
Do 18 Mar
00:0012:0000:0012:0000:0012:0000:0012:0000:0012:0000:0012:0000:00
Ti
me
in
Seconds
Quelle: www.netcraft.com
Total time from Amsterdamm/Cee-kay to www.riaa.com
Failures
8
6
4
2
0
Konsequenz der MyDoom.F Attacke für RIAA WebServer
Social Engineering - I.Worm.SWEN.A
Return- Adressist nicht von Microsoft
Social Engineering - I.Worm.SWEN.A
Social Engineering - I.Netsky.P
Email-Worm.Win32.Sober.P
Über 2 Millionen infizierte eMails wurdenin Österreich registriert !!
aktuell…
Email-Worm.Win32.Sober.P
Enterprise
Privat
Email-Worm.Win32.Sober.Q
Kein Virus – Jedoch Mails Mit rechtsradikalen InhaltenTageshöchstwert: 800 000
© 2002 IKARUS Software
Targeted system processInitializing Attacker corrupted system process
ScanScan forfor IP IP AdressesAdresses
Buffer OverflowBuffer OverflowAttackAttack
192.168.56.45192.168.56.45192.168.56.49192.168.56.49192.168.56.72192.168.56.72192.168.56.91192.168.56.91
W32.SQLSlammer.Worm – processinteraction based attack
Sobig-F Analyse - IST-File
2.433
3.094
7.934
7.321
5.461 5.453
0
1.000
2.000
3.000
4.000
5.000
6.000
7.000
8.000
9.000
19.Di
20.Mi
21.Do
22.Fr
23.Sa
24.So
25.Mo
26.Di
27.Mi
28.Do
29.Fr
30.Sa
31.So
01.Mo
02.Di
03.Mi
04.Do
05.Fr
06.Sa
07So
08.Mo
09.Di
10.Mi
11.Do
12.Fr
Taus
ende
Messzeitraum 19. 08 - 10.09
Tage
swer
t inf
izie
rter
eM
ails
Reihe1
Registrierter Stunden – Spitzenwert2.487.882 infizierte eMails
SOBIG.F55 Millionen Infizierte eMails in Österreich
Sobig.F Hourly Outbreak Stats 19th August 03
0200000400000600000800000
100000012000001400000
0:001:002:003:00 4:005:006:007:008:0
09:0010:0011:0012:0013:0014:0015:0016:0017:0018:0019
:0020:0021:0022:0023:00
0:00
time
regi
ster
ed in
fect
ed e
mai
ls
rising critical mass
0
200
400
600
800
1000
1200
10:00 11:00 12:00 13:00 14:00 15:00
thou
sand
time
reg.
infe
cted
em
ails
Wesentlicher Response Faktor: Z E I T
C I R C A -Virus Early Warning System
„Loveletter“ with Early Warning System
Activity:
„Loveletter“ first sight in Austria
Early Warning System allows appraisal of the danger
05:30
07:30
07:35
08:05
08:05
10:00
Providers and AV companies are informed
First Analyse and Updates from the AV-Companys
Specific warning in and about media
Point of No Return
00:00
02:00
02:05
02:35
02:35
04:30
Hours:
Sensors Early Warning System
Logs
From the algorithms / scanner - log files in VIX hosted Ikarus Scan centre . As well as appearing"patterns" in case of virus activity .
1,8 Mio eMails per week
Transmission
„Harvest " from Honeypots complementary to the behavior of the log from of the transmission area - Secondary activity .
During "quiet" days about 2,000 Virus/Bots/Spyware per day with an average size of 25-50 kb (about 70 MB per Day)
During "worried" days clearly about a gigabyte!
Bait-sample
Incident
50
40
30
20
1050
First-Infections
in
Thousand
Quelle: www.ikarus.atISC to early warning system
Virus activityRising Critical Mass
Majority-PhaseDecreasing-Phase
Initial Outbreak
171615141312111009080706 21201918 22 23t
1st Day - Outbreak-Characteristicsbased on Sober-I
Virus-Start
0
20
40
60
80
100
120
140
160
180
1st Threshold
09
:28
55
1st HOUR - Outbreak-Characteristicsbased on Sober-I
09:3
0
09:3
2
09:3
4
09:3
6
09:3
8
09:4
0
Watch
09
:14
09:1
6
09:1
8
09:2
0
09:2
2
09:2
4
09:2
6
31
117674
6
022
401
Honeypot-First Samples
09:4
4
09:4
6
09:4
8
09:5
0
09:5
2
09:5
4
09:5
6
09:5
8
10:0
0
10:0
2
10:0
4
10:0
6
10:0
8
10:1
0
10:1
2
10
:14
Initialer Outbreak
09
:42
2nd Threshold
x+28 min+14min x+60 min+14minx
in
Thousand
Quelle: www.ikarus.atISC to early warning system
1st Week - Outbreak-Characteristicsbased on Sober-I Timeline
Rising Critical Mass
Outbreak Major-Outbreak
Majority-Phase Decreasing-Phase
Virus-Start
Initial Outbreak
100
80
60
40
20100
24.Mi
23.Di
22.Mo
21.So
20Sa
19.Fr
26.Fr
25.Dot
First-InfectionsAustria
in
Thousand
Quelle: Ikarus/TelekomISC to early warning system
Total Period - Outbreak-Characteristicsbased on Sober-I 9.11.2004 – 06.01.2005 Timeline
Virus-Start
350
300
250
200
150
10080
5020100
t19.Fr
26Fr
3.Fr
10.Fr
17Fr
24.Fr
31.Fr
7.Fr
with Telekom Austria Figures
Majority-PhaseDecreasing-Phase
Initial Outbreak
0
20
40
60
80
100
120
140
Quelle: www.ikarus.atISC to early warning system
15:55
1st HOUR - Outbreak-Characteristicsbased on Zafi.D
15:59
16:03
16:07
15:07
15:11
15:15
15:19
15:23
15:27
15:31
15:35
15:39
15:43
15:47
15:51
x +48min
Honeypot-First Samples
x+60 min
Initial Outbreak
x+48 min
1st Threshold
0
20
40
60
80
100
120
140
Quelle: www.ikarus.atISC to early warning system
15:55
1st HOUR - Outbreak-Characteristicsbased on Zafi.D
+48min x+60 minx+48 min
15:59
16:03
16:07
15:07
15:11
15:15
15:19
15:23
15:27
15:31
15:35
15:39
15:43
15:47
15:51
x
Honeypot-First Samples
Initial Outbreak
1st Threshold
with Telekom Austria Figures
14:59
15:03
x - 8min
15:11
x+19min
0
10.000
20.000
30.000
40.000
50.000
60.000
70.000
80.000
90.000
100.000
20 21 22 23 00 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 00 1 2 3 4 5 6
December
Timeline
13. 15.14.
W32/Zafi.D-mm – Outbreak Timeline
F-Secure14 Dec 04 10:31
Norman14 Dec 04 09:51
Kaspersky14 Dec 04 10:02
Data courtesy of AV-Test /MessageLabs/Ikarus
13hrs 17mins
Other Non-Beta Signatures:14/12:04 - 15/04:31
Number
of
V i r uses
StoPped
Consequences of the preventive measures?
IKARUSMessageLabsBitdefenderQuickheal
13 Dec 04 20:34
4 manufactures discover Zafi.D
with heuristic procedures~32 hrs
Timeline Data courtesy of AV-Test /MessageLabs/Ikarus
Number
of
V i r uses
StoPped
0
10.000
20.000
30.000
40.000
50.000
60.000
70.000
80.000
90.000
100.000
13.Mo
15.Mi
14.Di
16.Do
17.Fr
18.Sa
19.So
1. day 2. day 4. day 5. day3. day 6. day 7. day
Influence of the preventive measures ?
~32 hrs
Influence of the preventive measures
250.000
500.000
1.000.000
2.000.000
3.000.000
4.000.000
5.000.000
6.000.000
7.000.000
8.000.000
Timeline
100.000
50.000
0
1. day 2. day 4. day 5. day3. day 6. day 7. day
Sober.I
Sobig.F
Conclusion
•Factor Time
•Communicationstructures
•Responsemanner
•Sensors-Diversity
•Sensors-Density
Gründe für die Misere
45 Patches von Microsoft
374Updates von AV-Software
3780 Vulnerabilities von CERT registriert
102 dringliche CERT Advisories
2004 – Security Anforderungen
2580 verschiedene Security-Notes publiziert
315 / Monat
215 / Monat
31 / Monat
8 / Monat
3 / Monat
Ergibt: 20 erforderliche Reaktionen pro TAG
222 Updates von AV-Software 1Q 2005 74 / Monat
20 erforderliche Reaktionen pro TAG
- Sie verfügen über entsprechendesKnow-how in allen betroffenen Bereichen
vorausgesetzt:
- Sie verfügen über die erforderliche Infra-strukturen
- Sie verfügen über die erforderlichen Mitarbeiter
Denken Sie nach:Wieviele Aufgaben hat ein Administrator neben Security pro Tag ?
Ressourcen versusBedrohungsbild
00h 02h 04h 06h 08h 10h 12h 14h 16h 18h 20h 22h
Anzahl von Attacken
Präsenz vonAttacken
Präsenz vonIT-Personalin KMU´s
Mangelnde
AwarenessAnwender interessiert Security (zu Recht) nur mässig bis gar nicht
Mangelnde
SicherheitskonzeptionAnwender sind NICHT in der Lage Ihre Systeme zu verstehen
Geschweige denn auch Up-to-date und damit „sicherer“ zu halten
„virenscanner kämpfen nur gegen symptomeeiner viel tieferen strukturellen ursache.
solange nicht letzteres in angriff genommen wird, werden wir weiterhin jede woche über
neue große virenausbrüche lesen. „
Posting in der ORF-FuturezoneAnlässlich des I.Worm.Bagle.U Berichts März 04.
atr0x
Providerbasierende Virenfilterwww.uta.at/virenschutz
http://securemail.telekom.at
Hosted Security Serviceshttp://business.telekom.at/produkte/itsolutions/security_service
„Sicherere“ BetriebssystemeOS-Hardening
Paladium
AwarenessSicherheitsdenken muss Bestand der Ausbildung werden
Klare Kommunikationsschnittstellen
Inter/Nationale VirenabwehrnetzeISC-SANS, CIRCA
Konzentration der Abwehrmaßnahmen
D A N K E
top related