Analisi di malware

ANALISI DÌ MALWARE
E
SOLUZIONI DÌ DIFESA
Tesina di Matteo Neri
A.S. 2008-2009
Sommario
- Introduzione
- Analisi di malware
- Soluzioni di difesa
- Previsioni sul futuro del malware
Prima Parte
Introduzione
Che cos’è il malware
“ una sequenza di codice progettata per danneggiare
intenzionalmente un sistema, i dati che contiene o
comunque alterare il suo normale funzionamento,
all'insaputa dell'utente.”
MALWARE
“ MALICIOUS SOFTWARE ”
Principali tipologie di malware
-
Virus
Worm
Trojan Horse (Backdoor)
Rootkit
Spyware / Keylogger
Dialer
Nuove tipologie di malware
Nel corso degli ultimi anni sono nate nuove tipologie di malware
che sfruttano alcune delle caratteristiche delle tipologie dette in
precedenza
• Trojan-Downloader Æ ha la funzione di installarsi nel PC vittima per poi
scaricare tramite web altri software maligni all’insaputa
dell’utente.
• Net-Worm Æ ha caratteristiche evolute rispetto a un worm, sfrutta vulnerabilità
dei protocolli e dei servizi di rete per velocizzare il processo di
infezione verso altri PC.
Esempio: Conficker (chiamato anche Downadup/Kido)
Il business del malware
o Chi produce malware?
Gli autori di software maligni sono programmatori esperti o
comunque persone esperte nel campo della sicurezza
informatica
o Chi sono gli acquirenti?
Spesso gli acquirenti sono grosse organizzazioni criminali a
livello internazionale
o Perché acquistare malware?
- Gestire BotNET (insieme di PC infetti da malware)
BotNET
Insieme di PC infetti da malware (detti anche PC zombie) con la possibilità di
essere controllati da colui che gestisce l’intera rete (detto Bot Master)
Una BotNET ha una struttura ad albero
Attività che normalmente vengono svolte da
una BotNET:
9
9
9
9
9
Attacchi informatici (es: DDOS)
Invio SPAM
Attività di Phishing
Distribuzione di altri software maligni
Scambio di file illegali
I numeri del business
Ecco una tabella riassuntiva
Seconda Parte
Analisi di malware
“ L’analisi è l’operazione che consente di comprendere e capire il
funzionamento e i meccanismi che vengono svolti dal software
maligno ”
Virtualizzazione
I software di virtualizzazione permettono di creare e gestire macchine/reti “virtuali”
senza il bisogno di servirsi di altro hardware o spazio fisico
Vantaggi di un ambiente virtualizzato
- Assenza di componenti hardware aggiuntivi (cavi di rete, switch, ..)
- Minor tempo di configurazione dell’ambiente per i test di analisi
- Facilità e rapidità delle operazioni di Backup-Restore
Principali svantaggi
- Il PC fisico deve disporre di una buona quantità di RAM
- E’ facile per i software maligni capire se si trovano in ambienti virtualizzati
Aziende Leader nel settore della virtualizzazione
- Microsoft (VirtualPC, Virtual Server..)
- Citrix Systems (XenServer, XenApp, XenDesktop..)
- Vmware (Workstation, Server..)
Tipologie di Analisi
Non esiste uno standard mondiale che definisca gli strumenti e i
metodi da adottare per svolgere l’analisi di malware
- Analisi statica
- Analisi dinamica
- Analisi automatizzata
ANALISI COMPLETA = ANALISI STATICA + ANALISI DINAMICA
Analisi Statica
-
Si analizza il malware in modo statico senza quindi eseguirlo, in questo
modo l’ambiente d’analisi non viene infettato.
-
Tramite l’arte del Reverse Engineering è possibile scoprire le funzioni di
sistema (API di Windows) e i meccanismi adottati dal malware
Svantaggi
- Serve a poco l’analisi statica se il malware adotta software per la
compressione dell’eseguibile (detto packer) o se il codice eseguibile è
stato offuscato, poiché se il packer non è conosciuto, o è complesso, il
ricercatore è obbligato a svolgere il “manual unpacking” utilizzando
quindi l’analisi dinamica.
Strumenti per l’analisi statica
Disassemblatore: Consente di visualizzare il codice assembler dell’eseguibile
e quindi è lo strumento principale per
poter analizzare il codice del software
maligno.
Il software più noto è IDA PRO
della società Hex-Reys
PEID: è un software che fornisce informazioni
utili riguardo al file sotto esame
ExplorerSuite: Ottimo insieme di software utili per ricavare più informazioni
possibili sul file eseguibile.
Analisi Dinamica
-
Si esegue il malware, e quindi l’ambiente viene infettato
-
L’analisi dinamica è utile per capire come agisce il malware
quando è in esecuzione
-
Grazie a strumenti in grado di monitorare tutto ciò che
avviene nell’ambiente di analisi è possibile studiare i
cambiamenti che avvengono dopo l’infezione del malware
-
Molti software maligni cercano di complicare l’analisi dinamica
del codice sfruttando metodi o funzioni di Anti-Debugging
Strumenti utili
-
OllyDbg: Eccellente debugger, vanta molti plug-in aggiuntivi
-
Wireshark: Analizzatore di pacchetti di rete
-
FileMon: Segnala ciò che avviene nel file system
-
ProcMon: Ricava informazioni sui processi in esecuzione
-
RegMon: Segnala i cambiamenti che avvengono nel Registro di Sistema
di Windows
-
ApiMonitor: Eccellente software in grado di visualizzare le funzioni di
sistema che vengono richiamate
Wireshark
RegMon
OllyDbg
Analisi Automatizzata
-
Consiste nell’utilizzo di software che compiono autonomamente l’analisi
senza quindi adottare l’intelligenza umana
-
I risultati dell’analisi automatizzata sono ancora poco affidabili
-
Questi software hanno il compito di analizzare il comportamento del file
sospetto quando è in esecuzione
-
Il vantaggio è la rapidità con cui viene fatta l’analisi, dovuta al fatto che
il processo è automatizzato
Terza Parte
Soluzioni di difesa
Antivirus
-
Riconoscimento tramite signature
-
Monitoraggio real time
-
Individuazione di nuovi malware
-
Metodi di rimozione ed isolamento del malware
Firewall
-
Sistema prevalentemente software che ha il compito di far filtrare
determinati pacchetti tra due o più reti sfruttando le regole imposte
dall’amministratore di rete
-
Iptables è il software firewall incluso nelle distribuzioni linux
(Debian, Gentoo, Fedora..) è un ottima alternativa ai firewall
commerciali
-
Metodi principali di filtraggio:
ƒ Filtro di pacchetti tradizionali
ƒ Filtro di pacchetti con memoria di stato
DMZ (Demilitarized Zone)
-
Implementare una DMZ è un ottimo metodo per isolare la parte
di rete destinata agli utenti (LAN) dalla parte dei server (DMZ)
-
Domande da porsi per progettare una buona LAN + DMZ
-
Quali e quanti host devono far parte della DMZ
Quali regole impostare nel firewall affinché la DMZ sia sicura e riesca a
svolgere i compiti richiesti
IDS/NIDS
-
Software complessi con il compito di monitorare e avvisare se
vi sono anomalie o intrusioni non autorizzate all’interno della
rete
-
Molto utili nelle reti di medie-grandi dimensioni
-
Questi software aiutano l’amministratore a tenere sotto
controllo l’infrastruttura informatica
-
Tra i principali software IDS spunta SNORT un interessante
progetto open source con a seguito un ottima community
L’utente: il punto debole a favore
del malware
-
La maggior parte degli utenti non si cura della sicurezza del
proprio PC (stesso discorso per le aziende)
-
Gli utenti sono i soggetti che più aiutano a distribuire malware
senza esserne a conoscenza
-
L’utente è chiamato in causa durante le attività di
9 Phishing
9 Social Engineering
9 Spam
Quarta Parte
Previsioni sul futuro del malware
Previsioni future
-
Esplosione del malware nel settore “mobile” (smartphone, cellulari)
-
I siti di social network (Facebook, MySpace, ..) saranno presi di mira
dagli autori di malware
-
La distribuzione di malware tramite e-mail sarà ridotta, verranno
sfruttati nuovi canali (Instant Messaging, reti P2P, Web)
La guerra in rete
-
Il conflitto in rete tra Occidente e Oriente è già iniziato
-
Cina, Russia, Turchia e paesi orientali hanno dato segnali di
forza
-
Gli Stati Uniti e altri paesi occidentali si stanno preparando a
difendere la propria infrastruttura di rete
-
Si attende nei prossimi anni una vera guerra informatica
Grazie per l’attenzione
DOWNLOAD E CONTATTI
Tesina: http://mn90.altervista.org/tesina.pdf
Presentazione: http://mn90.altervista.org/presentazione_tesina.pdf
E-Mail: [email protected]