Malware Flashcards
Elencare le differenze tra un virus e un worm, facendo riferimento ad esempi di malware noti in letteratura
Un virus è un codice malevolo che può replicarsi modificando altri file e programmi, in quanto dispone della proprietà di autoreplicazione. Solitamente i virus si diffondono sfruttando un vettore di infezione, come può essere ad esempio il settore di boot di un disco, andando a sostituire le istruzioni classiche con altre malevole che vanno poi a lanciare altri comandi dell’attaccante. Un esempio di virus, può essere considerato il compression virus, che va a comprimere lo spazio occupato da un programma, per inserire una porzione di codice malevolo: così facendo la dimensione di un file è la stessa, andando a bypassare i controlli di un antivirus. Un esempio nella letteratura è: il Brain è anche il primo componente della famiglia dei virus “nascosti”, ossia che cercano di nascondere la loro presenza all’interno del sistema. Il Brain intercettava infatti le chiamate all’INT 13, l’interrupt che nei sistemi MS-DOS gestiva gli accessi al disco, controllando che non fossero eseguite richieste di lettura del boot sector. In caso affermativo, forniva al software chiamante (ad esempio il DEBUG, un editor esadecimale usato per scrivere programmi in linguaggio macchina) il boot sector “pulito” leggendolo direttamente dai settori in cui lo aveva spostato.
Un worm è un attacco simile a quello di un virus, con la differenza principale che è progettato per diffondersi a grande velocità e soprattutto si diffonde autonomamente, senza bisogno di un programma host a differenza dei virus. Un esempio di worm è quello della famiglia Nimda, che prese di mira i sistemi operativi Microsoft Windows sfruttando una vulnerabilità contenuta in un avviso Microsoft al fine di diffondersi infettando documenti del Web e allegandosi alle email. Il worm si diffonde infettando anche gli eseguibili e copiandosi nelle cartelle locali, condivisioni di rete e computer remoti tramite backdoors
Elencare le differenze tra un virus polimorfico e un virus metamorfico
Un virus polimorfico crea copie durante la replicazione che sono funzionalmente equivalenti ma hanno diverse forme, sfruttando anche encryption. Il funzionamento è scritto in modo diverso ma è equivalente.
Un virus metamorfico invece riscrive sé stesso completamente per ogni iterazione, usando tecniche di trasformazioni multiple, per rendere difficile la difesa e il rilevamento dello stesso.
. Discutere se le seguenti tecniche sono meccanismi di rilevamento utili rispettivamente per i virus polimorfici e metamorfici:
i. Static pattern matching
ii. Pattern matching during emulation
iii. Suspicious behaviour detection
i. Static pattern matching
Per virus polimorfici
ii. Pattern matching during emulation
Per virus metamorfici
iii. Suspicious behaviour detection
Per virus polimorfici (il comportamento è sempre uguale)
Dare una definizione per i seguenti tipi di malware:
Zero day exploit
Worm, discutere in dettaglio un esempio noto
Botnet
Zero day exploit
I NIDS basati su signature sono capaci di rilevare eventuali attacchi ad una rete applicando dei modelli di riconoscimento basati su stringhe, che di fatto rappresentano i possibili attacchi conosciuti che sfruttano particolari vulnerabilità̀ di un sistema o di un protocollo. Tuttavia, attacchi Zero Day, basandosi su vulnerabilità non ancora note, spesso risultano non rilevabili da NIDS o altri strumenti di difesa. L’intervallo temporale in cui la vulnerabilità̀ è nota all’attaccante, ma non al difensore è nota come finestra di vulnerabilità.
Worm, discutere in dettaglio un esempio noto
È un malware che non necessita di un ospite ma che è in grado di replicarsi autonomamente e può essere impiegato come vettore per una o più̀ azioni malevole predisposte dall’attaccante: alterare funzionalità o dati, aprire backdoors, furto di credenziali, phishing, attacchi DDos, etc etc. Un famoso esempio di worm è il Morris Worm (Internet Worm), creato inizialmente con il semplice scopo di valutare la grandezza della topologia di internet, che sfruttava vulnerabilità in sendmail, fingerd e rexec/rsh su Unix per autoreplicarsi. Esso si trasformò in worm per via di una falla nel sistema di controllo che avrebbe dovuto evitare che un nodo fosse infettato più volte: esso si ritrovò ad infettare per tante volte gli stessi nodi, creando così problemi ai nodi stessi.
Botnet
infrastruttura di rete composta di macchine compromesse e controllabili remotamente, presumibilmente attraverso malware; questa infrastruttura è gestita da uno o più master server, tuttavia può esser organizzata su più livelli: * bot master (controller dei bot) * master server (macchine tramite le quali vengono controllati i bot) * proxy bots (macchine compromesse il cui scopo è mascherare l’utilizzo dei master servers) * worker bots (macchine compromesse a cui viene affidato il lavoro). Le botnet possono esser composte da tantissimi worker bots distribuiti geograficamente, rendendo difficile rintracciare il bot master, e possono essere utilizzate per gli scopi più vari: da attacchi di qualsiasi natura distribuiti, a click frauds, ad elaborazioni distribuite.
