La complessità del malware: analisi strutturale ed ambienti di sviluppo
ANALISI DÌ MALWARE E SOLUZIONI DÌ DIFESAmn90.it/presentazione_tesina.pdf · - La maggior parte...
Transcript of ANALISI DÌ MALWARE E SOLUZIONI DÌ DIFESAmn90.it/presentazione_tesina.pdf · - La maggior parte...
Sommario
- Introduzione
- Analisi di malware
- Soluzioni di difesa
- Previsioni sul futuro del malware
Che cos’è il malware
“ una sequenza di codice progettata per danneggiare intenzionalmente un sistema, i dati che contiene o comunque alterare il suo normale funzionamento, all'insaputa dell'utente.”
MALWARE
“ MALICIOUS SOFTWARE ”
Principali tipologie di malware
- Virus- Worm- Trojan Horse (Backdoor)- Rootkit- Spyware / Keylogger- Dialer
Nuove tipologie di malwareNel corso degli ultimi anni sono nate nuove tipologie di malware che sfruttano alcune delle caratteristiche delle tipologie dette in precedenza
• Trojan-Downloader ha la funzione di installarsi nel PC vittima per poi scaricare tramite web altri software maligni all’insaputa dell’utente.
• Net-Worm ha caratteristiche evolute rispetto a un worm, sfrutta vulnerabilità dei protocolli e dei servizi di rete per velocizzare il processo di infezione verso altri PC.Esempio: Conficker (chiamato anche Downadup/Kido)
Il business del malwareo Chi produce malware?
Gli autori di software maligni sono programmatori esperti o comunque persone esperte nel campo della sicurezza informatica
o Chi sono gli acquirenti?Spesso gli acquirenti sono grosse organizzazioni criminali a livello internazionale
o Perché acquistare malware?- Gestire BotNET (insieme di PC infetti da malware)
BotNETInsieme di PC infetti da malware (detti anche PC zombie) con la possibilità di essere controllati da colui che gestisce l’intera rete (detto Bot Master)
Una BotNET ha una struttura ad albero
Attività che normalmente vengono svolte da una BotNET:
Attacchi informatici (es: DDOS)Invio SPAMAttività di PhishingDistribuzione di altri software maligniScambio di file illegali
Seconda Parte
Analisi di malware
“ L’analisi è l’operazione che consente di comprendere e capire il funzionamento e i meccanismi che vengono svolti dal software maligno ”
Virtualizzazione
Vantaggi di un ambiente virtualizzato- Assenza di componenti hardware aggiuntivi (cavi di rete, switch, ..)- Minor tempo di configurazione dell’ambiente per i test di analisi- Facilità e rapidità delle operazioni di Backup-Restore
Principali svantaggi- Il PC fisico deve disporre di una buona quantità di RAM- E’ facile per i software maligni capire se si trovano in ambienti virtualizzati
Aziende Leader nel settore della virtualizzazione- Microsoft (VirtualPC, Virtual Server..)- Citrix Systems (XenServer, XenApp, XenDesktop..)- Vmware (Workstation, Server..)
I software di virtualizzazione permettono di creare e gestire macchine/reti “virtuali” senza il bisogno di servirsi di altro hardware o spazio fisico
Tipologie di Analisi
- Analisi statica- Analisi dinamica- Analisi automatizzata
ANALISI COMPLETA = ANALISI STATICA + ANALISI DINAMICA
Non esiste uno standard mondiale che definisca gli strumenti e i metodi da adottare per svolgere l’analisi di malware
Analisi Statica- Si analizza il malware in modo statico senza quindi eseguirlo, in questo
modo l’ambiente d’analisi non viene infettato.
- Tramite l’arte del Reverse Engineering è possibile scoprire le funzioni di sistema (API di Windows) e i meccanismi adottati dal malware
Svantaggi- Serve a poco l’analisi statica se il malware adotta software per la
compressione dell’eseguibile (detto packer) o se il codice eseguibile è stato offuscato, poiché se il packer non è conosciuto, o è complesso, il ricercatore è obbligato a svolgere il “manual unpacking” utilizzando quindi l’analisi dinamica.
Strumenti per l’analisi staticaDisassemblatore: Consente di visualizzare il codice assembler dell’eseguibile e quindi è lo strumento principale per poter analizzare il codice del softwaremaligno.Il software più noto è IDA PRO della società Hex-Reys
PEID: è un software che fornisce informazioni utili riguardo al file sotto esame
ExplorerSuite: Ottimo insieme di software utili per ricavare più informazioni possibili sul file eseguibile.
Analisi Dinamica- Si esegue il malware, e quindi l’ambiente viene infettato
- L’analisi dinamica è utile per capire come agisce il malware quando è in esecuzione
- Grazie a strumenti in grado di monitorare tutto ciò che avviene nell’ambiente di analisi è possibile studiare i cambiamenti che avvengono dopo l’infezione del malware
- Molti software maligni cercano di complicare l’analisi dinamica del codice sfruttando metodi o funzioni di Anti-Debugging
Strumenti utili
- OllyDbg: Eccellente debugger, vanta molti plug-in aggiuntivi
- Wireshark: Analizzatore di pacchetti di rete
- FileMon: Segnala ciò che avviene nel file system
- ProcMon: Ricava informazioni sui processi in esecuzione
- RegMon: Segnala i cambiamenti che avvengono nel Registro di Sistema di Windows
- ApiMonitor: Eccellente software in grado di visualizzare le funzioni di sistema che vengono richiamate
Analisi Automatizzata
- Consiste nell’utilizzo di software che compiono autonomamente l’analisi senza quindi adottare l’intelligenza umana
- I risultati dell’analisi automatizzata sono ancora poco affidabili
- Questi software hanno il compito di analizzare il comportamento del file sospetto quando è in esecuzione
- Il vantaggio è la rapidità con cui viene fatta l’analisi, dovuta al fatto che il processo è automatizzato
Antivirus- Riconoscimento tramite signature
- Monitoraggio real time
- Individuazione di nuovi malware
- Metodi di rimozione ed isolamento del malware
Firewall- Sistema prevalentemente software che ha il compito di far filtrare
determinati pacchetti tra due o più reti sfruttando le regole imposte dall’amministratore di rete
- Iptables è il software firewall incluso nelle distribuzioni linux (Debian, Gentoo, Fedora..) è un ottima alternativa ai firewall commerciali
- Metodi principali di filtraggio:Filtro di pacchetti tradizionaliFiltro di pacchetti con memoria di stato
DMZ (Demilitarized Zone)- Implementare una DMZ è un ottimo metodo per isolare la parte
di rete destinata agli utenti (LAN) dalla parte dei server (DMZ)
- Domande da porsi per progettare una buona LAN + DMZ- Quali e quanti host devono far parte della DMZ- Quali regole impostare nel firewall affinché la DMZ sia sicura e riesca a
svolgere i compiti richiesti
IDS/NIDS
- Software complessi con il compito di monitorare e avvisare se vi sono anomalie o intrusioni non autorizzate all’interno della rete
- Molto utili nelle reti di medie-grandi dimensioni
- Questi software aiutano l’amministratore a tenere sotto controllo l’infrastruttura informatica
- Tra i principali software IDS spunta SNORT un interessante progetto open source con a seguito un ottima community
L’utente: il punto debole a favore del malware
- La maggior parte degli utenti non si cura della sicurezza del proprio PC (stesso discorso per le aziende)
- Gli utenti sono i soggetti che più aiutano a distribuire malware senza esserne a conoscenza
- L’utente è chiamato in causa durante le attività diPhishingSocial EngineeringSpam
Previsioni future
- Esplosione del malware nel settore “mobile” (smartphone, cellulari)
- I siti di social network (Facebook, MySpace, ..) saranno presi di mira dagli autori di malware
- La distribuzione di malware tramite e-mail sarà ridotta, verranno sfruttati nuovi canali (Instant Messaging, reti P2P, Web)
La guerra in rete
- Il conflitto in rete tra Occidente e Oriente è già iniziato
- Cina, Russia, Turchia e paesi orientali hanno dato segnali di forza
- Gli Stati Uniti e altri paesi occidentali si stanno preparando a difendere la propria infrastruttura di rete
- Si attende nei prossimi anni una vera guerra informatica
Grazie per l’attenzione
DOWNLOAD E CONTATTITesina: http://mn90.altervista.org/tesina.pdfPresentazione: http://mn90.altervista.org/presentazione_tesina.pdf
E-Mail: [email protected]