'

Компьютерные угрозы – классификация, история возникновения

Понравилась презентация – покажи это...





Слайд 0

Сергей Новиков Руководитель российского центра исследований Компьютерные угрозы – классификация, история возникновения


Слайд 1

План лекции История возникновения вредоносных программ Современные интернет-угрозы Путь зловреда к аналитикам Классификация ЛК Будущее


Слайд 2

Дела давно минувших дней Ранняя история вирусов


Слайд 3

Вирус может распространяться (копировать себя) Вирус – компьютерная программа, которая может распространяться (копировать себя) Дополнительно, вирус может заражать системные ресурсы (CodeRed.A), портить данные (I-Worm.Klez), компроментировать секретную информацию (I-Worm.Sircam) и стирать flash-BIOS (Win95.CIH). Что такое вирус ?


Слайд 4

Вредоносные программы Я, компьютерная программа, специально разработанная для проведения неавторизованных действий, таких как аномальное поведение компьютера, модификация, уничтожение или кража данных


Слайд 5

Археологические раскопки 1836 1951 Charles Babbadge John von Neumann Теория самораз-множающихся механизмов 1959 L.S. Penrose Двумерная модель самораз-множающихся механизмов (“Scientific American”) F.G. Stahl Практическая реализация модели на IBM 650 1962 Bell Labs V.Vissotsky, G.MacIlroy, R.Morris Создают игру «Дарвин»


Слайд 6

Дальше - больше 1970 1974 “Rabbit” на майнфреймах 1975 Игра “Pervading animal” UNIVAC 1108 Fred Kohen “Elk Cloner” На Apple 2 1983 10.11.1983 Лехайский университет Дано определение “Вирус” Creeper/ Reaper в ARPAnet 1981 1986 “Brain”: Первый бут вирус для IBM PC Basit Farooq Alvi


Слайд 7

Детство Первый PC вирус – бутовый вирус Boot.Brain заражал загрузочные сектора дискет и MBR на HDD Бутовые вирусы были очень «популярны» до наступления эры Internet, когда флоппи диски были единственным средством обмена файлами Сейчас, загрузочные вирусы больше не проблема, однако появились «внуки» – буткиты.


Слайд 8

Средние века 1986 1987 1988 Червь Морриса в ARPAnet Эпидемия вируса «Jerusalem» RCE-1813 1990 Полиморфный вирус (Chameleon) Вирус-невидимка (Frodo, Whale) “Virdem”: COM - вирус 1989 1992 “Win.Vir_1_4” – первый вирус для Windows Ralf Burger Касперский начал заниматься антивирусами


Слайд 9

После загрузочных вирусов появились вирусы, заражающие исполняемые файлы (для MS-DOS это были .COM, .EXE и .SYS файлы) Файлово-загрузочные вирусы тоже появились – Tequila.2468, OneHalf.3544 Такие вирусы наиболее быстро распространялись и наносили наибольший вред Эволюция вирусов для PC


Слайд 10

1995 1996 1997 “Bliss” Первый вирус для Linux “AEP” первый OS/2 вирус “Laroux” первый Excel вирус 1999 Начало эры червей: “Happy99”, “Melissa” “Concept” Первый макро вирус 1998 2000 “AccessiV” Первый вирус для Access “Triplicate” первый вирус для MS Office “Rabbit” Первый скрипт вирус “ILoveYou” Атака на Palm OS – “Liberty” Malware. История: «Новая история»


Слайд 11

Следующий в цепочке Макро вирусы – первый был обнаружен в 1995 (WM/Concept.A, хотя говорят, что был написан в 1994) Был разрушен миф о том, что документы не могут быть заражены вирусами Быстро стали «головной болью» для всех. Макро вирусы написаны для всех популярных VBA приложений 26 марта 1999 – впервые применена новая технология распространения, которая с успехом используется и в наши дни


Слайд 12

Mass mailing Macro.Word97.Melissa был первым вирусом, который распространился по всему миру за один день Технология была перенесена на скрипт язык VBS, сделав скрипт вирусы №1 по популярности на многие годы Наиболее известными скрипт вирусами были VBS.LoveLetter, VBS.VBSWG (Курникова)


Слайд 13

Увеличение количества Win32 вирусов Улучшившая защищенность приложений MS Office и VBS, свела на нет «популярность» таких вирусов в 2001-2002 годах Win32 mass mailers стали очень «популярны» в 2000 (Win32.Ska, Win32.MyPics или Win32.ExploreZip)


Слайд 14

Сетевые черви Один из самых первых «современных» интернет червей – червь Морриса, заражавший Sun и VAX компьютеры. 1988 год Идея распространения программ по сети (не почта!) была переоткрыта в 2000 – червь VBS.Netlog Черви для локальных сетей (в дополнение к Internet-червям) также были разработаны (Win32.ExploreZip)


Слайд 15

2001 2002 2003 Большое количество атак червей “Codered” – бестелесный червь Глобальная эпидемия Worm.SQL.Slammer и Worm.Win32.Lovesan История: «Новейшая история»


Слайд 16

* 14 августа 2003 Worm.Win32.Lovesan


Слайд 17

Глобальная эпидемия Worm.Win32.Mydoom, Bagle, Netsky 2001 2002 2003 Большое количество атак червей “Codered” – бестелесный червь 2004 Глобальная эпидемия Worm.SQL.Slammer и Worm.Win32.Lovesan Переход к Malware 2.0 2005 Malware. История: «Новейшая история»


Слайд 18

Настоящее время Malware 2.0


Слайд 19

Malware Malicious software Вирусы Заражают файлы Черви Распространяются с компьютера на компьютер Троянцы Не могут сами распространяться Вредоносные утилиты Используются авторами вирусов e.g. Упаковщики, конструкторы, эксплоиты


Слайд 20

Malware 2.0 2004 - Bagle 2006 – Warezov 2007 – Zhelatin aka Storm Worm 2008 – Буткит Sinowal 2009 - Kido aka Conficker


Слайд 21

Malware 2.0 Что это? Отказ от массовых рассылок Отказ от распространения через порты Использование скрипт-языков Новое использование старых технологий Zero-minute DDoS Phishing


Слайд 22

Malware 2.0 Что это? PHP внедрения SQL injections DNS poisoning/pharming Атаки на социальные сети


Слайд 23

Атаки на социальные сети Фишинг изменился в сторону нацеленности на пользователей социальных сетей. Учетные данные абонентов Facebook, Вконтакте, Livejournal, Одноклассники и др., пользуются повышенным спросом у злоумышленников. XSS\PHP\SQL-атаки. Цель – приватные данные и создание баз \ списков для проведения последующих атак при помощи «традиционных» способов.


Слайд 24

Статистика Trojans Viruses & worms Malicious tools 91% 6% 3%


Слайд 25

Путь зловреда к аналитикам Newvirus, collection exchange, облака


Слайд 26

Все мы плывем в одной лодке… Newvirus@kaspersky.com 24 часа/7 дней в неделю/365 дней в году Тысячи писем в сутки с In-the-Wild зловредами от людей со всего мира


Слайд 27

Все мы плывем в одной лодке… Главная задача – защитить пользователя! Collection exchange Участники: AVG, ClamAV, Comodo, ESET, F-secure, Frisk, Kaspersky, Kingsoft, McAffee, Sophos, Symantec, TrendMicro… ~10 Терабайт вредоносных файлов в квартал


Слайд 28

Все мы плывем в одной лодке… KSN [Kaspersky Security Network] - новая технология защиты >60 Миллионов участников Real-time система расчета репутации файлов Известны источники вредоносных и подозрительных файлов


Слайд 29

История классификации В поисках подходов к классификации


Слайд 30

Разные классификации Схема именования Н.Н. Безрукова (1990 год) Схема именования «CARO» V. Bontchev (1991/2002 год) CME (Common malware Enumeration) –уникальный ID для одинаково детектируемых объектов Классификации антивирусных компаний


Слайд 31

Что получилось…


Слайд 32

Подход Лаборатории Касперского Дерево, именование, альтернативы


Слайд 33

Дерево вредоносных программ? Нужно детектировать только вредоносные программы?


Слайд 34

Дерево детектируемых объектов - Malware Malware (Malicious software) Вирусы и Черви [Способ распространения] Вирусы по локальным ресурсам не используя сеть Черви размножаются используя сеть Троянские программы [Совершаемые действия] различные вредоносные действия, но никакого самораспространения Вредоносные утилиты [Совершаемые действия Используются авторами вредоносов Например: пакеры, конструкторы, флудеры и т.п.


Слайд 35

Malware


Слайд 36

Дерево детектируемых объектов - PUPs PUPs (Potentially unwanted programs) Adware (рекламное ПО) Pornware «Насильственная» реклама платных сервисов для «взрослых» Riskware Легальное ПО, которое, тем не менее, в руках злоумышленника способны причинить вред пользователю


Слайд 37

Именование


Слайд 38

Правила поглощения Threat Level


Слайд 39

Задание Вредоносная программа, распространяется через локальную сеть и при помощи съемных носителей информации. Программа является динамической библиотекой Windows (PE DLL-файл). Встречается впервые. Похожих вредоносных объектов не найдено. В программе встречаются ссылки : http://www.getmyip.org http://getmyip.co.uk http://checkip.dyndns.org Net-Worm.Win32.Kido.a


Слайд 40

Задание Программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и запускает его на исполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 79360 байт. Написана на С++. Есть две аналогичные разновидности этой вредоносной программы Trojan-Downloader.Win32.Braidupdate.c


Слайд 41

Задание Программа для смартфонов, работающих под управлением ОС Symbian. Представляет собой установочный SIS-архив. Размер вирусного файла составляет 121723 байта. Основной деструктивный функционал вредоносной программы — отправка SMS-сообщений на специальные платные номера. SMS посылаются без ведома пользователя и через установленные промежутки времени. Собственной процедуры распространения не имеет. Есть одна аналогичная разновидность этой вредоносной программы Trojan-SMS.SymbOS.Viver.b


Слайд 42

Будущее ? Завтра начинается сегодня


Слайд 43

Автоклассификация. Что мешает? Anti-Virtual Machine Anti-Emulation, Неполная эмуляция Работает на специфической ОС (Windows XP c испанским интерфейсом) Действия пользователя Один маршрут исполнения


Слайд 44

Графическое представление Trojan-Downloader.Win32.Dila Trojan-Clicker.Win32.Quicken


Слайд 45

Заключение Нужна ли классификация? – Да! Что дает нам классификация?- Новые знания! Авто классификация – хорошее подспорье в работе аналитика Есть над чем работать? Разработка Коммуникации, создание единого подхода


Слайд 46

Спасибо! Вопросы?


×

HTML:





Ссылка: