I Malware. Alfredo De Santis. Maggio Dipartimento di Informatica Università di Salerno.

55 pages
0 views
of 55
All materials on our website are shared by users. If you have any questions about copyright issues, please report us to resolve them. We are always happy to assist you.
Share
Description
I Malware Alfredo De Santis Dipartimento di Informatica Università di Salerno Maggio Sommario Ø Definizione Ø Ciclo di Vita Ø Tipologie di Malware
Transcript
I Malware Alfredo De Santis Dipartimento di Informatica Università di Salerno Maggio Sommario Ø Definizione Ø Ciclo di Vita Ø Tipologie di Malware Ø Casi di Studio Ø Il Worm di Morris Ø Backdoor ed il caso dell iphone di San Bernardino Ø Malware su Mobile: Le vulnerabilità di Stagefright (Android) Definizione 1/2 Ø Un malware (malicious software) è una sequenza di codice (o programma) nocivo Ø Progettato per provocare intenzionalmente danni o alterare il normale comportamento di un sistema informatico e i dati in esso contenuti Ø Un malware agisce in modo subdolo Ø Viene eseguito all insaputa dell utente Definizione 2/2 Ø L esecuzione del codice malevolo contenuto in un malware è possibile grazie a vari fattori Ø Utenti inesperti Ø Infrastrutture di rete deboli Ø Misure di sicurezza inadeguate/non sufficienti Ø Falle nel sistema informatico Ø Etc. Ciclo di Vita 1/ Infezione Quiescenza Replicazione e Propagazione 4 Azioni Malevole Ciclo di Vita 2/5 Ø Infezione Ø Fase nella quale il malware penetra e si installa nel sistema, superando eventuali barriere Ø I canali principali attraverso i quali avviene l infezione sono ØWeb ØDevice Esterni (Penne USB, HDD esterni, SD Card) Ø ØEtc. Ciclo di Vita 3/5 Ø Quiescenza Ø Il codice malevolo è memorizzato all interno del sistema (ad es., su memorie di massa, etc.), ma non è attivo Ø Per attivarsi attende che si verifichi una determinata condizione Ø Durante questa fase il malware è vulnerabile ad eventuali controlli anti-malware Ø Tuttavia, i malware si sono sempre più specializzati per rendersi difficilmente individuabili anche durante questa fase Ciclo di Vita 4/5 Ø Replicazione e Propagazione Ø Il malware, al verificarsi di determinati eventi o condizioni, si replica e seleziona i bersagli su cui replicarsi ØAltri sistemi, etc. Ø Questa fase è tipica della maggior parte dei software malevoli Ciclo di Vita 5/5 Ø Azioni Malevole Ø Non si limitano ad una specifica o singola operazione Ø Sono caratterizzate dalla combinazione di numerose problematiche (ad es. furto di dati/file, etc.) ØChe tendono a generarsi in cascata Ø Vengono eseguite al verificarsi di determinati eventi o condizioni Tipologie di Malware Ø Malware a Diffusione Ø Virus, Worm, Rabbit, Ø Malware Strumentali Ø Trojan, Backdoor, Spyware,... Ø Malware per il Controllo e l Attacco Ø Rootkit, Ransomware, Botnet, Tipologie di Malware Ø Malware a Diffusione Ø Virus, Worm, Rabbit, Ø Malware Strumentali Ø Trojan, Backdoor, Spyware,... Ø Malware per il Controllo e l Attacco Ø Rootkit, Ransomware, Botnet, Malware a Diffusione Virus 1/2 ØIl virus è una delle tipologie più note di malware ØLo scopo del virus è di danneggiare file/parti del Sistema Operativo Ø È solitamente replicarsi in grado di Malware a Diffusione Virus 2/2 ØUn virus necessita di un software ospite, in cui inserirsi e tramite il quale iniziare l infezione Ø Da qui l analogia con i virus in ambito biologico ØProbabilmente i virus sono stati la prima forma di malware Malware a Diffusione Worm ØUn worm non necessita di un software ospite ØÈ in grado di auto-propagarsi ØSfrutta le vulnerabilità di software installati o del Sistema Operativo ØIl primo Worm diffuso via Internet è stato il Worm di Morris ØMaggiori dettagli in seguito Malware a Diffusione Rabbit ØI malware di tipo rabbit sono caratterizzati da una rapidissima auto-propagazione ØDa qui l analogia con i conigli ØL obiettivo è quello di rendere inutilizzabili le risorse ØMemoria ØCPU ØEtc. Tipologie di Malware Ø Malware a Diffusione Ø Virus, Worm, Rabbit, Ø Malware Strumentali Ø Trojan, Backdoor, Spyware,... Ø Malware per il Controllo e l Attacco Ø Rootkit, Ransomware, Botnet, Malware Strumentali Trojan ØI trojan, noti anche come Cavalli di Troia, celano la loro identità ØAppaiono all utente come software utili o comunque non nocivi ØPossono avere molteplici obiettivi malevoli ØAd esempio l esecuzione di ulteriori malware più dannosi ØNon presentano però obiettivi di auto-propagazione Malware Strumentali Backdoor ØUna backdoor può nascondersi in un software, similmente ad un trojan ØLe backdoor vengono solitamente usate per fornire accessi non convenzionali e privilegiati a determinate parti del software Ø Talvolta vengono anche utilizzate dai programmatori, per poter ottenere accessi al sistema in casi di emergenza o di manutenzione ordinaria/straordinaria ØPotrebbero anche essere utilizzare durante casi giudiziari Ø Maggiori dettagli in seguito Malware Strumentali Spyware ØL obiettivo principale di uno spyware è quello di ottenere informazioni e dati sensibili all insaputa dell utente ØUna volta infettato il sistema, lo spyware registra e trasmette informazioni riguardanti l attività online dell utente ØNon ha obiettivi di auto-propagazione Tipologie di Malware Ø Malware a Diffusione Ø Virus, Worm, Rabbit, Ø Malware Strumentali Ø Trojan, Backdoor, Spyware,... Ø Malware per il Controllo e l Attacco Ø Rootkit, Ransomware, Botnet, Malware per il Controllo e l Attacco Rootkit ØL obiettivo di un rootkit è di permettere l accesso ed il controllo di un sistema ØIl controllo può essere ottenuto da locale o da remoto ØI rootkit non si auto-propagano Malware per il Controllo e l Attacco Ransomware ØUn ransomware è una tipologia di malware in grado di Ø Cifrare, mediante una chiave complessa, i dati contenuti nel sistema infettato Ø Talvolta può essere cifrato il contenuto dell intero hard disk ØDi solito, è richiesto il pagamento di un riscatto per poter decifrare i dati Malware per il Controllo e l Attacco Ransomware Esempio 1 Malware per il Controllo e l Attacco Ransomware Esempio 2 Malware per il Controllo e l Attacco Ransomware Esempio 3 Malware per il Controllo e l Attacco Ransomware Esempio 4 ØNel gennaio 2017 l hotel austriaco Romantik Seehotel Jägerwir ha subito un attacco ØOperato da un gruppo di hacker mediante un ransomware ØTale attacco ha impedito il normale funzionamento della struttura, bloccando tra l altro Ø Chiusura/Apertura delle Stanze ØCheck in/check Out ØLa direzione dell hotel è stata costretta al pagamento di un riscatto pari a 1500 ØEffettuato tramite BitCoin Fonte Malware per il Controllo e l Attacco Botnet 1/2 ØUna botnet è costituita da un insieme di host compromessi ØDetti anche zombie ØTali host sono controllati da un server centrale ØDetto Botnet Controller Malware per il Controllo e l Attacco Botnet 2/2 ØL obiettivo principale di una botnet è di quello di creare una rete di zombie che sia il più vasta possibile, al fine di ØDiffondere su larga scala software malevolo Ø Realizzare attacchi di Distributed Denial of Service (DDoS) Ø Per rendere inutilizzabili servizi di rete ØEtc. Malware e Diffusione 1/4 ØNel 2015 sono stati identificati mediamente nuovi malware al giorno Tipologia Percentuale Nuovi Malware Creati nel 2015 Trojan 51,45% Virus 22,79% Worm 13,22% Adware/Spyware 1,83% Potentially Unwanted Programs (PUPs) 10,71% Trojan Virus Worm Adware/Spyware PUPs ØDati provenienti dal Rapporto Annuale del 2015 di PandaLab Ø Malware e Diffusione 2/4 ØLa percentuale dei PC infetti è pari al 32,13% e le infezioni sono distribuite come segue Percentuale Infezioni per Tipo di Malware nel ,00% 60,00% 50,00% 40,00% 30,00% 20,00% 10,00% 0,00% Tipologia Percentuale Trojan 60,30% Virus 2,55% Worm 2,98% Adware/Spyware 5,19% Potentially Unwanted Programs (PUPs) 28,98% ØDati provenienti dal Rapporto Annuale del 2015 di PandaLab Ø Malware e Diffusione 2/4 ØLa percentuale dei PC infetti è pari al 32,13% e le infezioni sono distribuite come segue Percentuale Infezioni per Tipo di Malware nel ,00% 60,00% 50,00% 40,00% 30,00% 20,00% È possibile osservare che i trojan hanno la Tipologia maggiore percentuale di infezione Percentuale Trojan 60,30% Virus 2,55% Worm 2,98% 10,00% 0,00% Adware/Spyware 5,19% Potentially Unwanted Programs (PUPs) 28,98% ØDati provenienti dal Rapporto Annuale del 2015 di PandaLab Ø Malware e Diffusione 3/4 31,84% ØDati provenienti dal Rapporto Annuale del 2015 di PandaLab Ø Malware e Diffusione 3/4 31,84% Tasso al di sotto della media globale ØDati provenienti dal Rapporto Annuale del 2015 di PandaLab Ø Malware e Diffusione 4/4 (Pandalab - Rapporto Annuale 2015) ØIl Rapporto Annuale 2015 di PandaLab mette in evidenza i seguenti punti ØLa percentuale di attacchi è cresciuta come mai registrato prima ØÈ necessario investire maggiori risorse per migliorare la protezione da malware Ø Soprattutto in ambito business ØDati provenienti dal Rapporto Annuale del 2015 di PandaLab Ø Malware e Diffusione 4/4 ØIn futuro sarà necessario prestare grande attenzione ØAi dispositivi dell Internet of Things (IoT) Ø Sempre connessi ad Internet e quindi potenziali bersagli ØAl mondo dell industria e della sanità Ø Potrebbero essere il prossimo obiettivo dei ransomware Ø Come evidenziato alla RSA Conference 2017 (Febbraio 2017), le infrastrutture di tali enti spesso non godono di sistemi di sicurezza adeguati ØFonti Ø Ø Caso di Studio 1 Il Worm di Morris (Morris Worm) 1/4 ØIl worm di Morris è stato scritto da Robert Morris ØRilasciato il 2 Novembre 1988 ØÈ stato uno dei primi worm ad essere distribuiti via Internet ØÈ stato lanciato da un elaboratore del Massachusetts Institute of Technology (MIT) Robert Morris Caso di Studio 1 Il Worm di Morris (Morris Worm) 2/4 ØLe finalità del worm di Morris non erano dannose ØL obiettivo principale era quello di individuare la dimensione di Internet ØA tal fine il worm sfruttava diverse vulnerabilità di Ø Unix Ø Comando sendmail Ø Comando password Ø Etc. Codice Sorgente del Worm Morris Caso di Studio 1 Il Worm di Morris (Morris Worm) 3/4 ØIl Worm di Morris è costituito da poche centinaia di linee di codice ØScritto in C ØIl codice sorgente si articola in 9 file Ø7 file.c (C source-file) Ø2 file.h (C header-file) Ø1 makefile (direttive di compilazione) ØIl codice sorgente del worm è disponibile al link seguente Ø File del codice sorgente Caso di Studio 1 Il Worm di Morris (Morris Worm) 4/4 Funzione main del Worm di Morris (file: worm.c) Caso di Studio 2 Backdoor e il caso dell iphone nella Strage di San Bernardino 1/6 La Strage (Sintesi) Ø2 Dicembre 2015, Inland Regional Center, Centro Sociale per Disabili, San Bernardino (California, USA) Ø Syed Farook e Tashfeen Malik (marito e moglie) hanno compiuto una strage di stampo terroristico dove hanno perso la vita 14 persone e 24 sono rimaste ferite Caso di Studio 2 Backdoor e il caso dell iphone nella Strage di San Bernardino 2/6 Il coinvolgimento di Apple ØFarook era possessore di un iphone 5C ØTale dispositivo non presenta il TouchID di Apple Ø Sensore biometrico per impronte digitali ØÈ possibile accedere al dispositivo solo mediante un codice numerico ØL FBI aveva necessità di accedere al dispositivo, al fine di procedere con l indagine Ø Per carpire eventuali informazioni su cellule terroristiche, etc. Caso di Studio 2 Backdoor e il caso dell iphone nella Strage di San Bernardino 3/6 ØRisultò però impossibile per l FBI accedere al dispositivo ØA causa del codice di protezione ØGli attacchi a forza bruta (brute force) furono scartati ØAvrebbero potuto compromettere l indagine Ø ios, il Sistema Operativo dell iphone, ha un opzione di sicurezza Ø Auto-cancella i dati presenti sul device dopo un certo numero (10) di fallimenti nell inserimento del codice di protezione Ø Tale opzione era attiva nell iphone in questione Caso di Studio 2 Backdoor e il caso dell iphone nella Strage di San Bernardino 4/6 ØUn ordinanza del Giudice Federale di Los Angeles (California) richiese ad Apple di aggiungere in ios le seguenti funzionalità (esclusivamente sul dispositivo oggetto di indagine) ØPermettere di disabilitare (o di bypassare) la funzione di auto-cancellazione a seguito dei 10 tentativi errati ØConsentire all FBI di inserire il codice di protezione tramite una porta fisica del dispositivo ØEliminare eventuali ritardi tra l inserimento di un codice di protezione errato ed un altro codice Caso di Studio 2 Backdoor e il caso dell iphone nella Strage di San Bernardino 4/6 Stralcio dell ordinanza emessa nel Febbraio 2016 Caso di Studio 2 Backdoor e il caso dell iphone nella Strage di San Bernardino 5/6 ØNonostante l ordinanza, il CEO di Apple, Tim Cook, dispose di non voler forzare il codice di sblocco, poiché ciò avrebbe creato un precedente pericoloso ØL eventuale tecnica di sblocco sarebbe potuta essere applicata su altre unità di iphone Ø Creando, di fatto, una sorta di backdoor ØL FBI dichiarò in seguito di essere riuscita a sbloccare l iphone senza l aiuto di Apple ØSecondo indiscrezioni, il costo complessivo di tale sblocco fu di circa 1,3 milioni di dollari Caso di Studio 2 Backdoor e il caso dell iphone nella Strage di San Bernardino 6/6 ØQuesto caso è stato emblematico ØHa messo in luce le criticità ed i vantaggi delle backdoor, in relazione al loro utilizzo ØHa anche suscitato diverse polemiche e scontri mediatici fra FBI, Governo USA, Apple e aziende terze ØChe si sono schierate a favore (ad es., Microsoft) o contro Caso di Studio 2 Backdoor e il caso dell iphone nella Strage di San Bernardino 6/6 Maggio 2016 Fonte e_di_uno_degli_indagati / Caso di Studio 2 Backdoor e il caso dell iphone nella Strage di San Bernardino 6/6 Febbraio 2017 Fonte uicidio html Caso di Studio 3 Malware su Mobile: Le vulnerabilità di Stagefright (Android) 1/5 ØLetteralmente strage fright significa Panico da Palcoscenico ØÈ un insieme di librerie relativo alla gestione dei contenuti multimediali in Android ØSi occupa di file video e file audio ØPermette di estrarre metadati da tali file ØEtc. Caso di Studio 3 Malware su Mobile: Le vulnerabilità di Stagefright (Android) 2/5 ØSono state rilevate delle vulnerabilità in Stagefright ØIndividuate da Joshua Drake, vice presidente di Platform Research and Exploitation, Agosto 2015 ØQueste vulnerabilità espongono milioni di dispositivi al rischio di attacchi Ø Alcuni attachi possono infettare il device senza alcun intervento da parte dell utente Caso di Studio 3 Malware su Mobile: Le vulnerabilità di Stagefright (Android) 3/5 ØÈ stato mostrato come infettare un dispositivo ØCon il semplice invio, tramite MMS, di un breve video contenente il codice malevolo ØAl momento della ricezione dell MMS, il dispositivo processa il video ed attiva il codice malevolo ØSpesso automaticamente e senza intervento dell utente ØEsponendo tale dispositivo al possibile accesso remoto dei dati ØOperazioni di copia/cancellazione, etc. Caso di Studio 3 Malware su Mobile: Le vulnerabilità di Stagefright (Android) 4/5 ØAl momento dell individuazione della vulnerabilità, circa il 95% dei dispositivi basati su Android era esposto a tali attacchi ØGoogle ha prontamente preparato una patch correttiva Ø Tuttavia, non tutti i produttori hanno rilasciato aggiornamenti per i propri dispositivi Caso di Studio 3 Malware su Mobile: Le vulnerabilità di Stagefright (Android) 5/5 ØRSA Conference 2017 ØAdrian Ludwig, direttore della sicurezza Android in Google ØHa sottolineato che non ci sono casi confermati di infezione tramite questo bug Sitografia San Bernardino Ø nt-review-of-the-san-bernardino-terrorist- Shooting.html?_r=0 Ø e_di_san_bernardino_storie_vittime / Ø ews/iphone_e_sicurezza_la_chiave_e_ios_un_sistema_blindato / Ø Ordinanza Ø -Shooter-Order-Compelling-Apple-Asst-iPhone.pdf Sitografia Vulnerabilità Stagefright Ø Stagefright-Scary-Code-In-The-Heart-Of-Android.pdf Ø _android_bug_zero_success/
Related Search
Similar documents
View more...
We Need Your Support
Thank you for visiting our website and your interest in our free products and services. We are nonprofit website to share and download documents. To the running of this website, we need your help to support us.

Thanks to everyone for your continued support.

No, Thanks