Analisi di malware
Transcript
Analisi di malware
ANALISI DÌ MALWARE E SOLUZIONI DÌ DIFESA Tesina di Matteo Neri A.S. 2008-2009 Sommario - Introduzione - Analisi di malware - Soluzioni di difesa - Previsioni sul futuro del malware Prima Parte Introduzione Che cos’è il malware “ una sequenza di codice progettata per danneggiare intenzionalmente un sistema, i dati che contiene o comunque alterare il suo normale funzionamento, all'insaputa dell'utente.” MALWARE “ MALICIOUS SOFTWARE ” Principali tipologie di malware - Virus Worm Trojan Horse (Backdoor) Rootkit Spyware / Keylogger Dialer Nuove tipologie di malware Nel corso degli ultimi anni sono nate nuove tipologie di malware che sfruttano alcune delle caratteristiche delle tipologie dette in precedenza • Trojan-Downloader Æ ha la funzione di installarsi nel PC vittima per poi scaricare tramite web altri software maligni all’insaputa dell’utente. • Net-Worm Æ ha caratteristiche evolute rispetto a un worm, sfrutta vulnerabilità dei protocolli e dei servizi di rete per velocizzare il processo di infezione verso altri PC. Esempio: Conficker (chiamato anche Downadup/Kido) Il business del malware o Chi produce malware? Gli autori di software maligni sono programmatori esperti o comunque persone esperte nel campo della sicurezza informatica o Chi sono gli acquirenti? Spesso gli acquirenti sono grosse organizzazioni criminali a livello internazionale o Perché acquistare malware? - Gestire BotNET (insieme di PC infetti da malware) BotNET Insieme di PC infetti da malware (detti anche PC zombie) con la possibilità di essere controllati da colui che gestisce l’intera rete (detto Bot Master) Una BotNET ha una struttura ad albero Attività che normalmente vengono svolte da una BotNET: 9 9 9 9 9 Attacchi informatici (es: DDOS) Invio SPAM Attività di Phishing Distribuzione di altri software maligni Scambio di file illegali I numeri del business Ecco una tabella riassuntiva Seconda Parte Analisi di malware “ L’analisi è l’operazione che consente di comprendere e capire il funzionamento e i meccanismi che vengono svolti dal software maligno ” Virtualizzazione I software di virtualizzazione permettono di creare e gestire macchine/reti “virtuali” senza il bisogno di servirsi di altro hardware o spazio fisico Vantaggi di un ambiente virtualizzato - Assenza di componenti hardware aggiuntivi (cavi di rete, switch, ..) - Minor tempo di configurazione dell’ambiente per i test di analisi - Facilità e rapidità delle operazioni di Backup-Restore Principali svantaggi - Il PC fisico deve disporre di una buona quantità di RAM - E’ facile per i software maligni capire se si trovano in ambienti virtualizzati Aziende Leader nel settore della virtualizzazione - Microsoft (VirtualPC, Virtual Server..) - Citrix Systems (XenServer, XenApp, XenDesktop..) - Vmware (Workstation, Server..) Tipologie di Analisi Non esiste uno standard mondiale che definisca gli strumenti e i metodi da adottare per svolgere l’analisi di malware - Analisi statica - Analisi dinamica - Analisi automatizzata ANALISI COMPLETA = ANALISI STATICA + ANALISI DINAMICA Analisi Statica - Si analizza il malware in modo statico senza quindi eseguirlo, in questo modo l’ambiente d’analisi non viene infettato. - Tramite l’arte del Reverse Engineering è possibile scoprire le funzioni di sistema (API di Windows) e i meccanismi adottati dal malware Svantaggi - Serve a poco l’analisi statica se il malware adotta software per la compressione dell’eseguibile (detto packer) o se il codice eseguibile è stato offuscato, poiché se il packer non è conosciuto, o è complesso, il ricercatore è obbligato a svolgere il “manual unpacking” utilizzando quindi l’analisi dinamica. Strumenti per l’analisi statica Disassemblatore: Consente di visualizzare il codice assembler dell’eseguibile e quindi è lo strumento principale per poter analizzare il codice del software maligno. Il software più noto è IDA PRO della società Hex-Reys PEID: è un software che fornisce informazioni utili riguardo al file sotto esame ExplorerSuite: Ottimo insieme di software utili per ricavare più informazioni possibili sul file eseguibile. Analisi Dinamica - Si esegue il malware, e quindi l’ambiente viene infettato - L’analisi dinamica è utile per capire come agisce il malware quando è in esecuzione - Grazie a strumenti in grado di monitorare tutto ciò che avviene nell’ambiente di analisi è possibile studiare i cambiamenti che avvengono dopo l’infezione del malware - Molti software maligni cercano di complicare l’analisi dinamica del codice sfruttando metodi o funzioni di Anti-Debugging Strumenti utili - OllyDbg: Eccellente debugger, vanta molti plug-in aggiuntivi - Wireshark: Analizzatore di pacchetti di rete - FileMon: Segnala ciò che avviene nel file system - ProcMon: Ricava informazioni sui processi in esecuzione - RegMon: Segnala i cambiamenti che avvengono nel Registro di Sistema di Windows - ApiMonitor: Eccellente software in grado di visualizzare le funzioni di sistema che vengono richiamate Wireshark RegMon OllyDbg Analisi Automatizzata - Consiste nell’utilizzo di software che compiono autonomamente l’analisi senza quindi adottare l’intelligenza umana - I risultati dell’analisi automatizzata sono ancora poco affidabili - Questi software hanno il compito di analizzare il comportamento del file sospetto quando è in esecuzione - Il vantaggio è la rapidità con cui viene fatta l’analisi, dovuta al fatto che il processo è automatizzato Terza Parte Soluzioni di difesa Antivirus - Riconoscimento tramite signature - Monitoraggio real time - Individuazione di nuovi malware - Metodi di rimozione ed isolamento del malware Firewall - Sistema prevalentemente software che ha il compito di far filtrare determinati pacchetti tra due o più reti sfruttando le regole imposte dall’amministratore di rete - Iptables è il software firewall incluso nelle distribuzioni linux (Debian, Gentoo, Fedora..) è un ottima alternativa ai firewall commerciali - Metodi principali di filtraggio: Filtro di pacchetti tradizionali Filtro di pacchetti con memoria di stato DMZ (Demilitarized Zone) - Implementare una DMZ è un ottimo metodo per isolare la parte di rete destinata agli utenti (LAN) dalla parte dei server (DMZ) - Domande da porsi per progettare una buona LAN + DMZ - Quali e quanti host devono far parte della DMZ Quali regole impostare nel firewall affinché la DMZ sia sicura e riesca a svolgere i compiti richiesti IDS/NIDS - Software complessi con il compito di monitorare e avvisare se vi sono anomalie o intrusioni non autorizzate all’interno della rete - Molto utili nelle reti di medie-grandi dimensioni - Questi software aiutano l’amministratore a tenere sotto controllo l’infrastruttura informatica - Tra i principali software IDS spunta SNORT un interessante progetto open source con a seguito un ottima community L’utente: il punto debole a favore del malware - La maggior parte degli utenti non si cura della sicurezza del proprio PC (stesso discorso per le aziende) - Gli utenti sono i soggetti che più aiutano a distribuire malware senza esserne a conoscenza - L’utente è chiamato in causa durante le attività di 9 Phishing 9 Social Engineering 9 Spam Quarta Parte Previsioni sul futuro del malware Previsioni future - Esplosione del malware nel settore “mobile” (smartphone, cellulari) - I siti di social network (Facebook, MySpace, ..) saranno presi di mira dagli autori di malware - La distribuzione di malware tramite e-mail sarà ridotta, verranno sfruttati nuovi canali (Instant Messaging, reti P2P, Web) La guerra in rete - Il conflitto in rete tra Occidente e Oriente è già iniziato - Cina, Russia, Turchia e paesi orientali hanno dato segnali di forza - Gli Stati Uniti e altri paesi occidentali si stanno preparando a difendere la propria infrastruttura di rete - Si attende nei prossimi anni una vera guerra informatica Grazie per l’attenzione DOWNLOAD E CONTATTI Tesina: http://mn90.altervista.org/tesina.pdf Presentazione: http://mn90.altervista.org/presentazione_tesina.pdf E-Mail: [email protected]