ANALISI DÌ MALWAREE

SOLUZIONI DÌ DIFESA

Tesina di Matteo NeriA.S. 2008-2009

Sommario

- Introduzione

- Analisi di malware

- Soluzioni di difesa

- Previsioni sul futuro del malware

Prima Parte

Introduzione

Che cos’è il malware

“ una sequenza di codice progettata per danneggiare intenzionalmente un sistema, i dati che contiene o comunque alterare il suo normale funzionamento, all'insaputa dell'utente.”

MALWARE

“ MALICIOUS SOFTWARE ”

Principali tipologie di malware

- Virus- Worm- Trojan Horse (Backdoor)- Rootkit- Spyware / Keylogger- Dialer

Nuove tipologie di malwareNel corso degli ultimi anni sono nate nuove tipologie di malware che sfruttano alcune delle caratteristiche delle tipologie dette in precedenza

• Trojan-Downloader ha la funzione di installarsi nel PC vittima per poi scaricare tramite web altri software maligni all’insaputa dell’utente.

• Net-Worm ha caratteristiche evolute rispetto a un worm, sfrutta vulnerabilità dei protocolli e dei servizi di rete per velocizzare il processo di infezione verso altri PC.Esempio: Conficker (chiamato anche Downadup/Kido)

Il business del malwareo Chi produce malware?

Gli autori di software maligni sono programmatori esperti o comunque persone esperte nel campo della sicurezza informatica

o Chi sono gli acquirenti?Spesso gli acquirenti sono grosse organizzazioni criminali a livello internazionale

o Perché acquistare malware?- Gestire BotNET (insieme di PC infetti da malware)

BotNETInsieme di PC infetti da malware (detti anche PC zombie) con la possibilità di essere controllati da colui che gestisce l’intera rete (detto Bot Master)

Una BotNET ha una struttura ad albero

Attività che normalmente vengono svolte da una BotNET:

Attacchi informatici (es: DDOS)Invio SPAMAttività di PhishingDistribuzione di altri software maligniScambio di file illegali

I numeri del businessEcco una tabella riassuntiva

Seconda Parte

Analisi di malware

“ L’analisi è l’operazione che consente di comprendere e capire il funzionamento e i meccanismi che vengono svolti dal software maligno ”

Virtualizzazione

Vantaggi di un ambiente virtualizzato- Assenza di componenti hardware aggiuntivi (cavi di rete, switch, ..)- Minor tempo di configurazione dell’ambiente per i test di analisi- Facilità e rapidità delle operazioni di Backup-Restore

Principali svantaggi- Il PC fisico deve disporre di una buona quantità di RAM- E’ facile per i software maligni capire se si trovano in ambienti virtualizzati

Aziende Leader nel settore della virtualizzazione- Microsoft (VirtualPC, Virtual Server..)- Citrix Systems (XenServer, XenApp, XenDesktop..)- Vmware (Workstation, Server..)

I software di virtualizzazione permettono di creare e gestire macchine/reti “virtuali” senza il bisogno di servirsi di altro hardware o spazio fisico

Tipologie di Analisi

- Analisi statica- Analisi dinamica- Analisi automatizzata

ANALISI COMPLETA = ANALISI STATICA + ANALISI DINAMICA

Non esiste uno standard mondiale che definisca gli strumenti e i metodi da adottare per svolgere l’analisi di malware

Analisi Statica- Si analizza il malware in modo statico senza quindi eseguirlo, in questo

modo l’ambiente d’analisi non viene infettato.

- Tramite l’arte del Reverse Engineering è possibile scoprire le funzioni di sistema (API di Windows) e i meccanismi adottati dal malware

Svantaggi- Serve a poco l’analisi statica se il malware adotta software per la

compressione dell’eseguibile (detto packer) o se il codice eseguibile è stato offuscato, poiché se il packer non è conosciuto, o è complesso, il ricercatore è obbligato a svolgere il “manual unpacking” utilizzando quindi l’analisi dinamica.

Strumenti per l’analisi staticaDisassemblatore: Consente di visualizzare il codice assembler dell’eseguibile e quindi è lo strumento principale per poter analizzare il codice del softwaremaligno.Il software più noto è IDA PRO della società Hex-Reys

PEID: è un software che fornisce informazioni utili riguardo al file sotto esame

ExplorerSuite: Ottimo insieme di software utili per ricavare più informazioni possibili sul file eseguibile.

Analisi Dinamica- Si esegue il malware, e quindi l’ambiente viene infettato

- L’analisi dinamica è utile per capire come agisce il malware quando è in esecuzione

- Grazie a strumenti in grado di monitorare tutto ciò che avviene nell’ambiente di analisi è possibile studiare i cambiamenti che avvengono dopo l’infezione del malware

- Molti software maligni cercano di complicare l’analisi dinamica del codice sfruttando metodi o funzioni di Anti-Debugging

Strumenti utili

- OllyDbg: Eccellente debugger, vanta molti plug-in aggiuntivi

- Wireshark: Analizzatore di pacchetti di rete

- FileMon: Segnala ciò che avviene nel file system

- ProcMon: Ricava informazioni sui processi in esecuzione

- RegMon: Segnala i cambiamenti che avvengono nel Registro di Sistema di Windows

- ApiMonitor: Eccellente software in grado di visualizzare le funzioni di sistema che vengono richiamate

Wireshark

OllyDbg

RegMon

Analisi Automatizzata

- Consiste nell’utilizzo di software che compiono autonomamente l’analisi senza quindi adottare l’intelligenza umana

- I risultati dell’analisi automatizzata sono ancora poco affidabili

- Questi software hanno il compito di analizzare il comportamento del file sospetto quando è in esecuzione

- Il vantaggio è la rapidità con cui viene fatta l’analisi, dovuta al fatto che il processo è automatizzato

Terza Parte

Soluzioni di difesa

Antivirus- Riconoscimento tramite signature

- Monitoraggio real time

- Individuazione di nuovi malware

- Metodi di rimozione ed isolamento del malware

Firewall- Sistema prevalentemente software che ha il compito di far filtrare

determinati pacchetti tra due o più reti sfruttando le regole imposte dall’amministratore di rete

- Iptables è il software firewall incluso nelle distribuzioni linux (Debian, Gentoo, Fedora..) è un ottima alternativa ai firewall commerciali

- Metodi principali di filtraggio:Filtro di pacchetti tradizionaliFiltro di pacchetti con memoria di stato

DMZ (Demilitarized Zone)- Implementare una DMZ è un ottimo metodo per isolare la parte

di rete destinata agli utenti (LAN) dalla parte dei server (DMZ)

- Domande da porsi per progettare una buona LAN + DMZ- Quali e quanti host devono far parte della DMZ- Quali regole impostare nel firewall affinché la DMZ sia sicura e riesca a

svolgere i compiti richiesti

IDS/NIDS

- Software complessi con il compito di monitorare e avvisare se vi sono anomalie o intrusioni non autorizzate all’interno della rete

- Molto utili nelle reti di medie-grandi dimensioni

- Questi software aiutano l’amministratore a tenere sotto controllo l’infrastruttura informatica

- Tra i principali software IDS spunta SNORT un interessante progetto open source con a seguito un ottima community

L’utente: il punto debole a favore del malware

- La maggior parte degli utenti non si cura della sicurezza del proprio PC (stesso discorso per le aziende)

- Gli utenti sono i soggetti che più aiutano a distribuire malware senza esserne a conoscenza

- L’utente è chiamato in causa durante le attività diPhishingSocial EngineeringSpam

Quarta Parte

Previsioni sul futuro del malware

Previsioni future

- Esplosione del malware nel settore “mobile” (smartphone, cellulari)

- I siti di social network (Facebook, MySpace, ..) saranno presi di mira dagli autori di malware

- La distribuzione di malware tramite e-mail sarà ridotta, verranno sfruttati nuovi canali (Instant Messaging, reti P2P, Web)

La guerra in rete

- Il conflitto in rete tra Occidente e Oriente è già iniziato

- Cina, Russia, Turchia e paesi orientali hanno dato segnali di forza

- Gli Stati Uniti e altri paesi occidentali si stanno preparando a difendere la propria infrastruttura di rete

- Si attende nei prossimi anni una vera guerra informatica

Grazie per l’attenzione

DOWNLOAD E CONTATTITesina: http://mn90.altervista.org/tesina.pdfPresentazione: http://mn90.altervista.org/presentazione_tesina.pdf

E-Mail: mn90@msn.com