Компьютерные угрозы – классификация,история возникновения

Содержание

Слайд 2

План лекции

История возникновения вредоносных программ
Современные интернет-угрозы
Путь зловреда к аналитикам
Классификация ЛК
Будущее

План лекции История возникновения вредоносных программ Современные интернет-угрозы Путь зловреда к аналитикам Классификация ЛК Будущее

Слайд 3

Дела давно минувших дней

Ранняя история вирусов

Дела давно минувших дней Ранняя история вирусов

Слайд 4

Вирус может распространяться (копировать себя)
Вирус – компьютерная программа, которая может распространяться

Вирус может распространяться (копировать себя) Вирус – компьютерная программа, которая может распространяться
(копировать себя)
Дополнительно, вирус может заражать системные ресурсы (CodeRed.A), портить данные (I-Worm.Klez), компроментировать секретную информацию (I-Worm.Sircam) и стирать flash-BIOS (Win95.CIH).

Что такое вирус ?

Слайд 5

Вредоносные программы

Я, компьютерная программа, специально разработанная для проведения неавторизованных действий, таких как

Вредоносные программы Я, компьютерная программа, специально разработанная для проведения неавторизованных действий, таких
аномальное поведение компьютера, модификация, уничтожение или кража данных

Слайд 6

Археологические раскопки

1836

1951

Charles
Babbadge

John von
Neumann

Теория самораз-множающихся механизмов

1959

L.S. Penrose

Двумерная модель самораз-множающихся механизмов
(“Scientific American”)

F.G. Stahl

Практическая

Археологические раскопки 1836 1951 Charles Babbadge John von Neumann Теория самораз-множающихся механизмов
реализация модели на IBM 650

1962

Bell Labs

V.Vissotsky, G.MacIlroy, R.Morris
Создают игру «Дарвин»

Слайд 7

Дальше - больше

1970

1974

“Rabbit” на майнфреймах

1975

Игра “Pervading animal” UNIVAC 1108

Fred Kohen

“Elk Cloner”
На Apple

Дальше - больше 1970 1974 “Rabbit” на майнфреймах 1975 Игра “Pervading animal”
2

1983

10.11.1983
Лехайский университет
Дано определение “Вирус”

Creeper/
Reaper
в ARPAnet

1981

1986

“Brain”: Первый бут вирус для IBM PC

Basit Farooq Alvi

Слайд 8

Детство

Первый PC вирус – бутовый вирус
Boot.Brain заражал загрузочные сектора дискет и MBR

Детство Первый PC вирус – бутовый вирус Boot.Brain заражал загрузочные сектора дискет
на HDD
Бутовые вирусы были очень «популярны» до наступления эры Internet, когда флоппи диски были единственным средством обмена файлами
Сейчас, загрузочные вирусы больше не проблема, однако появились «внуки» – буткиты.

Слайд 9

Средние века

1986

1987

1988

Червь Морриса в ARPAnet

Эпидемия вируса «Jerusalem» RCE-1813

1990

Полиморфный вирус (Chameleon)
Вирус-невидимка (Frodo, Whale)

“Virdem”:
COM

Средние века 1986 1987 1988 Червь Морриса в ARPAnet Эпидемия вируса «Jerusalem»
- вирус

1989

1992

“Win.Vir_1_4” – первый вирус для Windows

Ralf Burger

Касперский начал заниматься антивирусами

Слайд 10

После загрузочных вирусов появились вирусы, заражающие исполняемые файлы (для MS-DOS это были

После загрузочных вирусов появились вирусы, заражающие исполняемые файлы (для MS-DOS это были
.COM, .EXE и .SYS файлы)
Файлово-загрузочные вирусы тоже появились – Tequila.2468, OneHalf.3544
Такие вирусы наиболее быстро распространялись и наносили наибольший вред

Эволюция вирусов для PC

Слайд 11

1995

1996

1997

“Bliss”
Первый вирус для Linux

“AEP” первый OS/2 вирус
“Laroux” первый Excel вирус

1999

Начало эры червей:

1995 1996 1997 “Bliss” Первый вирус для Linux “AEP” первый OS/2 вирус
“Happy99”, “Melissa”

“Concept”
Первый макро вирус

1998

2000

“AccessiV”
Первый вирус для Access
“Triplicate” первый вирус для MS Office
“Rabbit” Первый скрипт вирус

“ILoveYou”
Атака на Palm OS – “Liberty”

Malware. История: «Новая история»

Слайд 12

Следующий в цепочке

Макро вирусы – первый был обнаружен в 1995 (WM/Concept.A, хотя

Следующий в цепочке Макро вирусы – первый был обнаружен в 1995 (WM/Concept.A,
говорят, что был написан в 1994)
Был разрушен миф о том, что документы не могут быть заражены вирусами
Быстро стали «головной болью» для всех.
Макро вирусы написаны для всех популярных VBA приложений
26 марта 1999 – впервые применена новая технология распространения, которая с успехом используется и в наши дни

Слайд 13

Mass mailing

Macro.Word97.Melissa был первым вирусом, который распространился по всему миру за один

Mass mailing Macro.Word97.Melissa был первым вирусом, который распространился по всему миру за
день
Технология была перенесена на скрипт язык VBS, сделав скрипт вирусы №1 по популярности на многие годы
Наиболее известными скрипт вирусами были VBS.LoveLetter, VBS.VBSWG (Курникова)

Слайд 14

Увеличение количества Win32 вирусов

Улучшившая защищенность приложений MS Office и VBS, свела на

Увеличение количества Win32 вирусов Улучшившая защищенность приложений MS Office и VBS, свела
нет «популярность» таких вирусов в 2001-2002 годах
Win32 mass mailers стали очень «популярны» в 2000 (Win32.Ska, Win32.MyPics или Win32.ExploreZip)

Слайд 15

Сетевые черви

Один из самых первых «современных» интернет червей – червь Морриса, заражавший

Сетевые черви Один из самых первых «современных» интернет червей – червь Морриса,
Sun и VAX компьютеры. 1988 год
Идея распространения программ по сети (не почта!) была переоткрыта в 2000 – червь VBS.Netlog
Черви для локальных сетей (в дополнение к Internet-червям) также были разработаны (Win32.ExploreZip)

Слайд 16

2001

2002

2003

Большое количество атак червей

“Codered” – бестелесный червь

Глобальная эпидемия Worm.SQL.Slammer и Worm.Win32.Lovesan

История: «Новейшая

2001 2002 2003 Большое количество атак червей “Codered” – бестелесный червь Глобальная
история»

Слайд 17

* 14 августа 2003

Worm.Win32.Lovesan

* 14 августа 2003 Worm.Win32.Lovesan

Слайд 18

Глобальная эпидемия Worm.Win32.Mydoom,
Bagle,
Netsky

2001

2002

2003

Большое количество атак червей

“Codered” – бестелесный червь

2004

Глобальная эпидемия Worm.SQL.Slammer и

Глобальная эпидемия Worm.Win32.Mydoom, Bagle, Netsky 2001 2002 2003 Большое количество атак червей
Worm.Win32.Lovesan

Переход к Malware 2.0

2005

Malware. История: «Новейшая история»

Слайд 19

Настоящее время

Malware 2.0

Настоящее время Malware 2.0

Слайд 20

Malware

Malicious software
Вирусы
Заражают файлы
Черви
Распространяются с компьютера на компьютер
Троянцы
Не могут сами распространяться
Вредоносные утилиты
Используются авторами

Malware Malicious software Вирусы Заражают файлы Черви Распространяются с компьютера на компьютер
вирусов
e.g. Упаковщики, конструкторы, эксплоиты

Слайд 21

Malware 2.0

2004 - Bagle
2006 – Warezov
2007 – Zhelatin aka Storm Worm
2008 –

Malware 2.0 2004 - Bagle 2006 – Warezov 2007 – Zhelatin aka
Буткит Sinowal
2009 - Kido aka Conficker

Слайд 22

Malware 2.0 Что это?

Отказ от массовых рассылок
Отказ от распространения через порты
Использование

Malware 2.0 Что это? Отказ от массовых рассылок Отказ от распространения через
скрипт-языков
Новое использование старых технологий
Zero-minute
DDoS
Phishing

Слайд 23

Malware 2.0 Что это?

PHP внедрения
SQL injections
DNS poisoning/pharming
Атаки на социальные сети

Malware 2.0 Что это? PHP внедрения SQL injections DNS poisoning/pharming Атаки на социальные сети

Слайд 24

Атаки на социальные сети

Фишинг изменился в сторону нацеленности на пользователей социальных сетей.

Атаки на социальные сети Фишинг изменился в сторону нацеленности на пользователей социальных

Учетные данные абонентов Facebook, Вконтакте, Livejournal, Одноклассники и др., пользуются повышенным спросом у злоумышленников.
XSS\PHP\SQL-атаки.
Цель – приватные данные и создание баз \ списков для проведения последующих атак при помощи «традиционных» способов.

Слайд 25

Статистика

Trojans

Viruses & worms

Malicious tools

91%

6%

3%

Статистика Trojans Viruses & worms Malicious tools 91% 6% 3%

Слайд 26

Путь зловреда к аналитикам

Newvirus, collection exchange, облака

Путь зловреда к аналитикам Newvirus, collection exchange, облака

Слайд 27

Все мы плывем в одной лодке…

[email protected]
24 часа/7 дней в неделю/365 дней в

Все мы плывем в одной лодке… Newvirus@kaspersky.com 24 часа/7 дней в неделю/365
году
Тысячи писем в сутки с In-the-Wild зловредами от людей со всего мира

Слайд 28

Все мы плывем в одной лодке…

Главная задача – защитить пользователя!
Collection exchange
Участники:
AVG,

Все мы плывем в одной лодке… Главная задача – защитить пользователя! Collection
ClamAV, Comodo, ESET, F-secure, Frisk, Kaspersky, Kingsoft, McAffee, Sophos, Symantec, TrendMicro…
~10 Терабайт вредоносных файлов в квартал

Слайд 29

Все мы плывем в одной лодке…

KSN [Kaspersky Security Network] - новая технология

Все мы плывем в одной лодке… KSN [Kaspersky Security Network] - новая
защиты
>60 Миллионов участников
Real-time система расчета репутации файлов
Известны источники вредоносных и подозрительных файлов

Слайд 30

История классификации

В поисках подходов к классификации

История классификации В поисках подходов к классификации

Слайд 31

Разные классификации

Схема именования Н.Н. Безрукова (1990 год)
Схема именования «CARO» V.

Разные классификации Схема именования Н.Н. Безрукова (1990 год) Схема именования «CARO» V.
Bontchev (1991/2002 год)
CME (Common malware Enumeration) –уникальный ID для одинаково детектируемых объектов
Классификации антивирусных компаний

Слайд 32

Что получилось…

Различные классификации AV-компаний
Различные классификации тестеров
Много тяжело-воспринимаемых или неинформативных классификаций
Найти пересечения названий

Что получилось… Различные классификации AV-компаний Различные классификации тестеров Много тяжело-воспринимаемых или неинформативных
очень тяжело

Слайд 33

Подход Лаборатории Касперского

Дерево, именование, альтернативы

Подход Лаборатории Касперского Дерево, именование, альтернативы

Слайд 34

Дерево вредоносных программ?

Нужно детектировать только вредоносные программы?

Дерево вредоносных программ? Нужно детектировать только вредоносные программы?

Слайд 35

Дерево детектируемых объектов - Malware

Malware (Malicious software)
Вирусы и Черви [Способ распространения]
Вирусы

Дерево детектируемых объектов - Malware Malware (Malicious software) Вирусы и Черви [Способ
по локальным ресурсам не используя сеть
Черви размножаются используя сеть
Троянские программы [Совершаемые действия]
различные вредоносные действия, но никакого самораспространения
Вредоносные утилиты [Совершаемые действия
Используются авторами вредоносов
Например: пакеры, конструкторы, флудеры и т.п.

Слайд 37

Дерево детектируемых объектов - PUPs

PUPs (Potentially unwanted programs)
Adware (рекламное ПО)
Pornware
«Насильственная»

Дерево детектируемых объектов - PUPs PUPs (Potentially unwanted programs) Adware (рекламное ПО)
реклама платных сервисов для «взрослых»
Riskware
Легальное ПО, которое, тем не менее, в руках злоумышленника способны причинить вред пользователю

Слайд 38

Именование

Prefix
Behaviour
Platform
Name
Variant
Email-worm
Win32
Zhelatin
a

Именование Prefix Behaviour Platform Name Variant Email-worm Win32 Zhelatin a

Слайд 39

Правила поглощения

Viruses and Worms
Trojan Programs
Malicious Tools

Threat Level

Правила поглощения Viruses and Worms Trojan Programs Malicious Tools Threat Level

Слайд 40

Задание

Вредоносная программа, распространяется через локальную сеть и при помощи съемных носителей информации.

Задание Вредоносная программа, распространяется через локальную сеть и при помощи съемных носителей
Программа является динамической библиотекой Windows (PE DLL-файл).
Встречается впервые. Похожих вредоносных объектов не найдено.
В программе встречаются ссылки :
http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org

Net-Worm.Win32.Kido.a

Слайд 41

Задание

Программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение и

Задание Программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение
запускает его на исполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 79360 байт. Написана на С++.
Есть две аналогичные разновидности этой вредоносной программы

Trojan-Downloader.Win32.Braidupdate.c

Слайд 42

Задание

Программа для смартфонов, работающих под управлением ОС Symbian. Представляет собой установочный SIS-архив.

Задание Программа для смартфонов, работающих под управлением ОС Symbian. Представляет собой установочный
Размер вирусного файла составляет 121723 байта.
Основной деструктивный функционал вредоносной программы — отправка SMS-сообщений на специальные платные номера.
SMS посылаются без ведома пользователя и через установленные промежутки времени.
Собственной процедуры распространения не имеет.
Есть одна аналогичная разновидность этой вредоносной программы

Trojan-SMS.SymbOS.Viver.b

Слайд 43

Будущее ?

Завтра начинается сегодня

Будущее ? Завтра начинается сегодня

Слайд 44

Автоклассификация. Что мешает?

Anti-Virtual Machine
Anti-Emulation, Неполная эмуляция
Работает на специфической ОС

Автоклассификация. Что мешает? Anti-Virtual Machine Anti-Emulation, Неполная эмуляция Работает на специфической ОС
(Windows XP c испанским интерфейсом)
Действия пользователя
Один маршрут исполнения

Слайд 45

Графическое представление

Trojan-Downloader.Win32.Dila

Trojan-Clicker.Win32.Quicken

Графическое представление Trojan-Downloader.Win32.Dila Trojan-Clicker.Win32.Quicken

Слайд 46

Заключение

Нужна ли классификация? – Да!
Что дает нам классификация?- Новые знания!
Авто классификация –

Заключение Нужна ли классификация? – Да! Что дает нам классификация?- Новые знания!
хорошее подспорье в работе аналитика
Есть над чем работать?
Разработка
Коммуникации, создание единого подхода
Имя файла: Компьютерные-угрозы-–-классификация,история-возникновения.pptx
Количество просмотров: 142
Количество скачиваний: 0