Kártékony programok Flashcards
Mi az a kártékony program?
Malicious software = malware
Olyan program, mely valamely rendszerbe beépülve áldozat adatainak, szoftvereinek bizalmasságát, integritását, rendelkezésre állását veszélyezteti vagy erkölcsi károkat okoznak, mert időt, pénzt, embert kötnek le.
Lehet módja szerint:
-terjedés: vírus, féreg, trójai
-bűntető: botnet, adathalász, kémprogram, gyökércsomag
Csoportosítsd a kártékony programokat!
Terjedés módja szerint lehet:
- fertőzött fájl futtatásával (vírus)
- szoftver sérülékenységét kiaknázva (féreg)
- pszichológiai támadás (adathalász email, spam, trójai)
Gazdaprogram szükségessége szerint:
- szükséges (vírus)
- nem szükséges (féreg)
Sokszorosítás szerint:
- nem képes önmagát megsokszorosítani (trójai, spam email)
- megsokszorozódik (vírus, féreg)
Büntető rutin:
- rendszer- és adatfájlok megrongálása
- szolgáltatás eltulajdonítása (botnet támadás esetén zombi gépek szerzése)
- információ ellopása
Jellemezd a támadói eszközrendszert!
Régen egy bűntető rutinnal, most terjedési módon és bűntető rutinok széles skálája.
Kevert támadások: fertőzés sebességének maximalizálása célja. Többségük update mechanizmusokat is támogat, mely lehetővé teszi aktiválásuk után, hogy megváltoztassák terjedési módjukat és bűntető rutinjukat.
Az eszközrendszer, vagy crimeware többféle terjedési módot és bűntetési rutint is tartalmaz, melyet akár egy nem szakember is képes telepíteni és használni.
Jellemezd a fejlett perzisztens fenyegetést (APT)!
Üzleti és politikai célpontok.
Támadók számos eszközt használnak fel. Céljuk, hogy elkerüljék a az áldozat körüli védelmi rendszereket.
Támadók jól meghatározott céllal tevékenykednek. Alapos felderítőmunka után lépnek akcióba. Amíg célt nem érnek nem hagyják el a rendszert. Hozzáférésük fenntartható.
Célzott és irányított akció.
Céljaik: szellemi termék, szerzői tulajdon ellopása
Védekezés nem kivitelezhető hatékonyan, csupán hagyományosan: többféle technikai védintézkedés kombinációja, oktatás
Sorold fel az APT technikáit!
Pszichológiai támadás
Célzott adathalász emial
Drive by downloads: fertőzött websiteon lévő kóddal kiaknázza a böngésző sérülékenységét
Nulladik napi támadás: számitógépes alkalmazások nem publikus sebezhetőségét aknázza ki.
Jellemezd a vírusokat!
Saját másolatát helyezi el más programokban, dokumentumokban. Script kód formában gyakoriak, Microsoft Word dokumentumok, Excel táblák, Adobe PDF dokumentumok aktív tartalmát adják.
Futtatása kárt okoz.
Részei:
Fertőző mechanizmus: mechanizmus mellyel a vírus terjed, sokszorozódik
Indíték: esemény ami alapján aktiválódik a bűntető rutin, logikai bomba
Bűntető rutin: kárt okozó tevékenység
Osztályozd a vírusokat célpontjuk szerint!
Boot vírusok: merevlemez boot szektorába ágyazódik, összes meghajtóba helyezett lemezt megfertőzi
Alkalmazásvírusok: állományokba beírják saját kódjukat, lehet hozzáfűző: a kód végére íródnak és a futtatás elején ők futnak le, vagy lehet felülíró: felülírott állomány adatot veszít, nem állítható helyre
Macrovírusok: makrókat támadó dokumentumszerkesztő programokat támadnak meg. Dokumentum megnyitása során betöltődnek a memóriába.
Összetett vírus: többféle módon, többféle állományt képesek megfertőzni
Osztályozd a vírusokat rejtezkedési stratégiájuk szerint!
Titkosított vírus: egyik víruszrész véletlen titkosító kulcsot generál és titkosítja a vírust
Lopakodó vírus: antivírus és operációs rendszert megkerülve gép memóriájában marad. Tiszta állapotról szóló jelentést képesek mutatni, pl. fertőzött állományok hossza az eredeti. Használhat gyökércsomag technikákat. (eszközök, melyeket a támadók a legmagasabb jogosultság megszerzése után használnak)
Polimorf vírus: képesek megjelenési formájukat változtatni, megnehezíti a bitminta alapú felismerést. Titkosító/visszafejtő víruszrés mutációs motor, ez is minden használat után módosul.
Metamorfózisra képes vírus: minden alkalommal felülírják magukat.
Jellemezd a férgek terjedési technikáit!
Kliens és szerver oldali szoftver sebezhetőségek kiaknázása.
Hálózati kapcsolatokkal terjednek rendszerről rendszerre.
Megosztott médián keresztül is terjedhetnek.
Emailekkel is terjedhetnek.
Önsokszorosítóak, nincs szükség gazdaprogramra.
Sorold fel a férgek hálózati címek keresési stratégiáit!
Véletlen: fertőzött gazdagépek véletlen IP címet használnak, hatalmas internet forgalom, lebuktat
Hit-lista: listába rendezi a lehetséges sebezhető gépek címeit. Nehéz észrevenni.
Topológiai: fertőző gép információi alapján talált további hostokat.
Helyi alhálózat: tűzfal mögötti host próbál megfertőzni további hostokat a helyi hálózatban
Jellemezd a modern férgeket!
Multiplatform: többféle paltformot is támadnak, főleg a UNIX variánsokat és a dokumentumok makró és szkript kódjait
Multi-kihasználás: többféle módú behatolási rendszer
Ultragyors terjedés: optimalizálják a terjedésüket, hogy rövid idő alatt minél nagyobb valószínűséggel minél több sebezhető gépet próbáljanak
Polimorf: vírusok polimorf technikáit használja
Metamorf: megváltoztatja a viselkedését
Szállítási eszközök: ideális többféle büntetési rutin terjesztésére
Nulladik napi támadás: maximális meglepetés érdekében, többiek számára még ismeretlen sebezhetőséget használnak ki
Jellemezd a kliens oldali sebezhetőséget!
Malvertising: támadó fizet, hogy kártékony programot tartalmazó hirdetések jelenjenek meg a weblapokon
Email kliens bug kihasználása
PDF-olvasó bug kihasználása: kiegészító modulok révén kártékony programot telepít mikor PDF dokumentumot nézünk
Jellemezd a kattintáseltérítéses támadást (Clickjacking)!
Összegyűji a fertőzött felhasználó klikkjeit.
Álcázott like gombok által felhasználók üzenőfalára kikerülnek az üzenetek. Felhasználók kártékony tartalmat likeolnak így a rosszindulatú kódok elterjednek az ismerősei között
Átlátszó rétegek alkalmazásával, ráveszik a felhasználüt, hogy kattintson egy linkre vagy gombra.
Billentyű lenyomásokat is megszerezhetik.
Jellemezd a spam emaileket!
Átveri és ráveszi a felhasználót, hogy saját rendszerüket veszélyeztessék vagy kiadjanak személyes információkat.
A felhasználó megnéz vagy válaszol egy spam emailre, felinstallálódik vagy lefut egy trójai vagy script kód
Az email forgalom 90%a spam, kis részük legális mail szerverekről küldődnek ki, nagy részük botneten keresztül, felhasználva zombi gépeket
Nagy részük csak reklám
Kártékony programot hordozhatnak
Adathalászatra is használják
Jellemezd a trójai lovakat!
Magukat hasznos programnak álcázzák. Nem sokszorozódnak. Tartalmaz hátsó kapu telepítését ami fertőzés után biztosítja a hozzáférést a célszámítógéphez. Büntető rutinok: valamely más kártékony program telepítése, kémprogramok, botnet.
Milyen modelljei vannak a trójai lovaknak?
Program tovább folyatja eredeti funkcióját, de rajta kívül valamilyen büntető rutin is fut.
Program tovább folyatja eredeti funkcióját, de módosítja annak működését.
Teljes mértékben lecseréli az eredeti program funkcióját.
Jellemezd a büntető rutinokat!
Tevékenység mely fertőzött rendszeren hajtódik végre.
Lehet:
- Rendszer károsító: adat megsemmisítése, fizikai károkozás, logikai bomba
- Támadó ügynökök: botok, zombik
- Információ lopó: billentyűzetfigyelő, adathalász, kémprogram
- Lopakodó: hátsóajtó, gyökércsomag
Jellemezd a rendszer károsító büntető rutint!
Törölheti az adatokat
K lez mass levelező féreg: emailen keresztül küld egy másolatot önmagáról és a merevlemezen lévő anitvírus programot törli
Ransomware: lezárja a felhasználó fileait, visszaállításáért váltságdíjat követel
Fájltitkosító: ransomware változat, trójai vírusok, email mellékletek, népszerű programok
Nem titkosító ransomware: teljes rendszert lezárja, bűnüldöző hatóság üzenetének adja ki magát
Böngészőlezáró ransomware: JavaScript által blokkolja a böngészőket.
Jellemezd a fizikai sérülés büntető rutint!
Fizikai eszközöket károsít meg. Csernobil vírus nem csak adatokat károsít, de újraírja a BIOS kódot.
Stuxnet: az eredeti ipari rendszer kódját módosítja, a berendezés használhatatlanná válik
Jellemezd a logikai bomba büntető rutinokat!
Adott feltétel teljesülésekor “robbannak”.
Bizonyos fájlok megléte vagy hiánya egy adott időpontban.
“Robbanás” adatok módosítása vagy törlése, rendszer leállása.
Jellemezd a támadó ügynökök büntető rutinokat!
Módosítja a rendszert úgy, hogy irányítása alá veszi azt, így zombi lesz belőle. Hálózatba kötik őket.
Mire használják a zombikat?
Elosztott szolgáltatásmegtagadással járó támadás (DDOS) - megbénítja az áldozatot
Spamek küldése
Forgalomfigyelés - figyelik a rajtuk átmenő érdekes üzeneteket
Billentyűzetfigyelés - figyelik és kinyerik a billentyűzethasználatból származó adatokat
Kártékony programok terjesztése - új botok terjesztése
Reklámok elhelyezése -
Online szavazások, játékok manipulálása - minden botnak saját IP címe van
Jellemezd az információszerzés büntető rutint!
Fertőzött gépen tárolt adatokat gyűjti össze. Adatok bizalmasságát támadják.
Kategóriák:
- hitelesítő adatok ellopása, billentyűzetfigyelés, kémprogramok
- adathalászat és személyazonosság ellopása
- felderítés, kémkedés
Jellemezd a hitelesítő adatok ellopását, billentyűzetfigyelést, kémprogramokat!
Összegyűjtik a billentyűzetlenyomásokat, hogy érzékeny adatokat szerezzenek be. Szükséges egy beépített szűrő. Bank alkalmazások átálltak a grafikus appletek alkalmazására.
A támadók általánosabb kémprogram büntető rutint használnak, böngésző előzmények figyelése, web oldalak eltérítése.
Személyes adatok megszerzésére irányulnak.
Jellemezd az adathalászatot és személyazonosság ellopását!
Belépési adatok megszerzésére irányuló megoldás, támadó által kontrollált web oldalra mutató link elhelyezése kéretlen emailben.
Sürgős üzenetben jelenik meg.
Adathalászat: kihasználják a felhasználók bizalmát, valamilyen megbízható félnek adják ki maguk.
Jellemezd a felderítést és kémkedést!
Bizonyos típusú információt szeretne megtudni.
Jellemezd a célzott adathalászatot!
Levelet küldenek olyan cég nevében amiben megbíznak. Testre szabott levelet írnak. Érzékeny információkat próbálnak kinyerni.
Jellemezd a hátsóajtó lopakodó büntető rutint!
Egy program egy titkos belépési pontja, mely lehetővé teszi, hogy a támadó hitelesítés nélkül kapjon hozzáférést. Tesztelésre szokták használni.
Jellemezd a gyökércsomag lopakodó büntető rutint!
Egy programcsomag, mely installálása után fedett hozzáférést biztosít, a már fertőzött géphez adminisztrátori jogosultságokkal. Hátsóajtó hozzáférést biztosítanak a trójaiak számára, úgy, hogy fontos rendszer fájlokat módosítanak.
Oprendszer valamennyi funkciójához ad hozzáférést. Támadónak teljes kontrollja van a rendszer felett.
A gyökércsomag elrejti ezeket a mechanizmusokat.
Lehet:
- Perzisztens: A gyökércsomag perzisztens helyen tárol kódot.
- Memória alapú: csak a memóriában van
Lehet:
- felhasználói módú: felhasználói szinten működik
- kernel módú: gyökércsomag módosítja a kernelt
Jellemezd a megelőzéses biztonsági intézkedést!
Antivírus mechanizmus. Ne engedjük, hogy a kártékony program a rendszerbe jusson. Ha bejutott ne engedjük, hogy módosítsa a rendszert.
Sorolj fel további biztonsági intézkedéseket!
Külső adatmentés, szalagos mentés, külső offline mentéseket nem képes titkosítani
Folyamatos frissítések
Többrétegű védelem
Szabályozás kialakítása és betarttatása
Oktatás, tudatosítás
Jellemezd a technikai mechanizmusokat!
Detektálás: határozzuk meg a kártékony kód helyét
Azonosítás: azonosítsuk be a kártékony kódot
Eltávolítás: távolítsuk el a kódot
Ha nem sikerült azonosítani és eltávolítani, akkor töltsünk be tiszta backup verziót
Jellemezd az antivírusokat!
Négy generáció:
- egyszerű szkennerek: bitmintát keres
- heurisztikus szkennerek: kártékony kódhoz kapcsolható programkód részleteket keres
- aktivitás figyelők: tevékenységet figyel
- teljes védelem: többféle antivírus megoldást alkalmaznak