CURS 2 (Tipuri de aplicatii malware)

Primii virusi – inceputul anilor ’80.

John von Neumann – punct de vedere theoretic primii virusi in anii ‘40
Aplicatii malware: virusi, viermi, troieni, rootkit-uri, spyware, adware, dialere,
scareware, retele botnet si zombies, phishing si social engineering, APT, crypto-
ransomware.
Virus informatic:
 program care se replică fără știința utilizatorului și infectează sistem după
sistem
 transmiterea de la un sistem la altul făcându-se print intermediul unui vector
de transmitere (medii de stocare, floppy disk-uri etc.)
 presupune interventia userului pt executie – introducerea dischetei in pc,
executia unui fisier, deschiderea unui atasament
 Are nevoie de gazda
 Infecteaza un fisier!
Viermii:
 Exploateaza procese server vulnerabile
 Infecteaza un system (nu un fisier)
 Codul sau este prezente in unul sau mai multe fisiere.
 Se multiplica fara interventia userului
Troieni:
 Aplicatii care pretend ca fac ceva dar de fapt fac altceva
 Exemple: aplicatii de tip keygen (folosite pt inregistrare softurilor piratate)
 Recomandare: rulare keygen intr-o masina virtuala.
Rootkit:
 Folosite de atacatori pt a-si ascunde urmele in cadrul unui system atacat
(conectari, fisiere, procese)
 Folosite ca portite pt a prelua controlul asupra sistemului atacat - backdoor
 Se integreaza in cadrul unui system prin 2 moduri:
o In user-space – la nivel de aplicatie – suprascrie comenzi uzuale ale
SO, gen : ls,ps, netstat
 o In kernel-space – la nivelul nucleului SO –redirecteaza anumite
apeluri system oferite de SO
Spyware si Adware:
 Se instaleaza fara acordul explicit al userului
 Urmaresc activitatea userului pt a-I crea un profil
 Afiseaza reclame sub forma unor ferestre pop-up
 Incarca si incetineste sistemul
 Incalca confidentialitatea datelor
Dialere:
 Au fost la moda in anii 90-2000 (cand lumea folosea modem)
 Pc-urile infectatea sunau prin intermediul unui modem la un nr cu suprataxa
 Motivatie financiara
 Au revenit la moda sub forma de aplicatii ce trimit sms-uri la nr cu suprataxa
Retele botnet si PC zombie:
 Botnet: pc infectate (pot fi milioane) cu diferite aplicatii malware aflate sub
controlul aceleiasi organizatii sau individ (bot herder sau bot master)
 Zombie – pc infectat ce face parte dintr-un botnet
 Scopuri financiare – trimitere de spam(miliarde), furt de date bancare,
culegere de date confidentiale etc.
 Exemple – Mirai, Chameleon, Bredolab, Mariposa, Conficker, Cutwail,
Grum, Srizbi, Rustock
Phising si Social Engineering:
 Manipularea si inducerea in eroare a utilizatorilor mai putini avizati
 Phishing – de obicei clone a site-urilor bancare. Uneori nu putem deosebi
clona de original
 Diferente: lipsa HTTPS, url din browser, extensii diferite etc.
Scareware:
 Se bazeaza pe lipsa de cunostinte a userului (ex: telefonul dvs e virusat)
 Prezente sip e dispozitive mobile
 Motivatie financiara
APT – Advanced Persistent Threat:
 Cea mai avansata forma de malware
 Folosita pt spionaj, culegere de informatii etc.
 Nu infecteaza toate sistemele la rand, targeteaza un anumit system sau retea
 Greu de detectat – scopul lor fiind sa ramana ascunsi cat mai mult timp pt a
culege mai multe info
 Exemplu – Stuxnet
Crypto-ransomware:
 Cripteaza fisierele userului
 Descopera vulnerabilitati
 abilitati pt a se propaga prin diverse canale (prin e-mail, link-uri spre site-uri
gazduite/sparte)
 Cer bani pt decriptarea fisierelor
 In spate de obicei sunt grupari de crima organizata
Virusi macro pt fisiere Microsoft Office:
 Limbaj macro - care permite customizarea sau automatizarea anumitor
actiuni intreprinse in cadrul aplicatiei de user
 M. Office permite scrierea de instructiuni macro
 Virusii macro exploateaza o noua gazda. Userii transmit documente infectate
 Macrovirusii pot infecta atata Windows cat si MacOS
 Primult macrovirus in 1995

CURS 3(Evolutia aplicatiilor malware)

Arhitectura unui virus classic (2 module):
 Cod de multiplicare
 Cod daunator
Ciclu de viata (2 sau 3 perioade):
 Perioada de incubatie (executia codului de multiplicare)
 Perioada de activare (executia codului daunator)
 Auto shutdown (la unii virusi)
Activare se face:
 La scurgerea unui interval fix de la infectarea sistemului
 La o data fixa
 La date cu un anumit patern (ex vineri 13)
 In cazul viermilor dupa detectarea infectarii a unui anumit nr de alte sisteme
 In cazul pc zombie din botnet la primirea unei comenzi de la botmaster
 In cazul ransomware – dupa criptarea unui anumit nr de fisiere
Actiunile codului daunator:
 Inofensive – afisare de mesaje
 Distructive software – stergere de fisiere, criptare, distrugere tabela de
partitii
 Consumatoare de resure – incetinirea sistemului, atacuri de tip DDOS
 Destructive hardware – distrugerea BIOS-ului, uzare de sectoare ale hardisk-
ului prin scrieri repetate si continue ale acelorasi sectoare
Mutatii ale virusilor:
 Virusi polimorfi
o Infecteaza fisierul cu copie criptata a virusului
o Cheia de decriptare e alta de fiecare data si aleasa aleator
o Codul virusului se schimba, detectia fiind mai dificila
o Virusul contine un modul de decriptare a codului sau
 Virusi metamorfici
o Se rescriu de fiecare data folosind noi instructiuni
o Pastreaza algoritmul de baza implementat
o Mecanisme de rescriere
o Code integration – imbricarea aleatoare a instructiunilor virusului cu
instructiunile sistemului infectat
 Variante ale unui virus rescrise de terti

Sisteme antivirus:
  1988 – se discutau despre metode de dezinfectare
 Primii antivirusi doar scanau
 In SO monotasking – antivirusi TSR(Terminate and Stay Resident)
 In SO multitasking – antivirusi ca procese separate
 In present – antivirus, antimalware, antispyware, antiadware, firewall,
linkscanner, antiphishing
Tipuri de antivirusi:
 Standalone – pc personale
 Pt servere, mailservere, routere etc.
Metode de scanare:
 Bazate pe semnatura – compararea semnaturii fisierului infectat cu
semnaturi ale virusilor memorate in baza de date
 Euristice – nu recunoaste secvente din cod ale virusului, dar detecteaza
sabloane de comportament in cadrul fisierului infectat
Primii virusi:
 ELK Cloner 1981 – virus de boot infecta pc Apple II
 Brain 1986 – afecta pc-urile IBM-PC, scris initial pt detectarea versiunilor
de software piratat
 Whale 1990 – primul virus polimorfic
Virusi celebri:
1. CIH 1998
a. Defectiuni de BIOS
b. Creat in Taiwan si programat sa se activeze cu un an mai tarziu
c. Autor Chen Ing Hau – nu a fost pedepsit (practic nu a incalcat legea)
d. A fost angajat Gigabyte fiind principalul producator de placi de baza
Dual BIOS
2. Morris worm 1998
a. Primul vierme cu replicare automata
b. Infecta sisteme UNIX bazandu-se pe vulnerabilitati
c. Scris de Robert Tappan Morris – condamnat la 400 de ore in folosul
comunitatii si 10 000 dolari amenda
 d. A fost cofondator la Viaweb (vanduta cu 48 mil dolari, devenita mai
tarziu Yahoo)
3. Melisa 1999
a. Primul macrovirus
b. Se dorea inofensiv dar a blocat serverele de mail datorita
supraincarcarii
c. Raspandit prin intermediul unui fisier cu parole de la site-uri de adulti
d. Creat de David Smith – 10 ani inchisoare, dar a stat 20 de luni si a
primit amenda de 5000 dolari, ajuntant FBI la localizarea altor
criminali cibernetici
4. I Love You 2000
a. Trimis prin e-mail
b. In 9 zile 50 mil de pc infectate
c. Daune de 5.5 miliarde dolari
d. A afectat pentagonul CIA
e. A fost creat de 2 studenti filipinezi, neacuzati in lipsa legii
5. Nimda 2001
a. Infecta toate versiunile de windows
b. Se propaga prin e-mail, directoare neprotejate partajate in retea
c. Navigare pe site-uri compromise
d. Exploata vulnerabilitati IIS 4.0 Si 5.0
e. Prin intermediul unor backdoor-uri
Alti virusi celebri – MyDoom, Santy, RavMonE, Conficker, CryptoLocker,
Mirai, WannaCry.
Virusi pt dispositive mobile:
 Primul a fost creat in 2004 de realizatorii unui joc Mosquito pt a raporta prin
SMS copiile piratate ale jocului
 Cabir – 2004 – ataca telefoane cu Symbian Seria 60, se multiplica prin
Bluetooth
 Commwarrior-A 2005 – se raspandea prin MMS
 Trojan-SMS.AndoidOS.FakePlayer.a – trimit mesaje la nr cu suprataxa
 Hummingbad 2016 – afisa 20 mil de reclame lunar si genera venit de
300 000 dolari
 In prezente telefoanele pot contine aceleasi tipuri de virusi ca si pc-urile
 Cauza principale – OS neactualizat, lipsa support etc.
 CURS 4 (Tehnici de raspandire, tipuri de atacuri web, Securitate SO)
Principala cauza de raspandire a virusilor este factorul uman.
Cu cat o specie este mai dezvoltata genetic cu atat rezistenta in fata infectiilor este
mai mare. Cu cat diversitatea platformelor este mai mica, cu atat mai mult apare
riscul infectarii a mai multor echipamente. (majoritatea Windows)
Formele progr. Malware propagate cu ajutorul userilor:
 Rularea de fisiere executabile nesigure
 Plasare de troieni in fisiere descarcate de user
 Malware trimise prin e-mail sau link-uri
 Prin instrumente software – toolbar-uri, pluginuri etc.
 Tehnici de social engineering – fake virus, scareware etc.
Clasificare malware (dupa character daunator):
 Malware propriu-zis
 Privacy-invasive software
o Necesesita acceptare de la user
o Culeg date mai putin confidentiale (date folosite ulterior de addware)
si confidentiale – nume de user, parole, date bancare
o Userii nu citesc license agreement
 Software legitim
Vulnerabilitati:
 Client-side
o Prezente in aplicatii desktop si mobile
o Vulnerabilitati ale browser, clienti e-mail, clienti mesagerie instant,
client p2p (torrent)
o Poate fi nu numai client propriu-zis ci si un viewer de fisiere
 Server-side
o Prezente in procese server care expun servicii accesibile in Internet
(server web, server de e-mail etc.)
 o Sunt exploatate de viermi cu transmisie automata sau de cineva care
ataca in special sistemul respective
Mecanisme de protectie:
 Folosire antivirus, atispyware etc
 Update-uri periodice ale SO si aplicatii
 Firewall complet la diverse nivele ale stivei TCP/IP
 Instalarea si executia de software din surse de incredere
Zero-day attacks se bazeaza pe vulnerabilitati le unei aplicatii necunoscute pt care
nu exista patch (update, fix). Vulnerability window > 0
Atacuri bazate pe vulnerabilitati cunoscute – din forumuri (soft open-source),
atacatorul dezvolta un exploit facand reverse la engineering la update-urile din
Securitate (softul proprietar). Vulnerability window < 0
Tipuri de atac:
 Atacuri remote – din motive de Securitate procesele server sunt rulate de pe
un user fictive cu privilegii obisnuite; dupa atacarea cu success atacatorul
ruleaza pe system un cod cu priviilegiile userului care ruleaza serviciul:
o individual – sistemul X este ales ca tinta. Se cauta vulnerabilitati
o Scanare automata – infectie cu viermi – tinta este
portul/serviciul/procesul server vulnerabil. Scopul este de infecta mai
multe sisteme.
 Atacuri locale:
o Atacatorul poate rula cod cu privilegiile unui anumit user pe system
o Exploatare cu success duce la obtinerea de privilegii mai ridicate
o In unele cazuri atacul local nu mai e necesar
Migrarea atacurilor spre web:
 Folosirea motoarelor de cautare pt localizarea sistemelor vulnerabile
 Tehnica poate fi exploatata si de viermi
 Riscuri datorita folosirii pe scara larga a aplicatiilor web – WordePress,
Joomla, Drupal etc.
Securitate la nivel SO server in Internet:
 Utilizarea unor distributii LTS (Long time suport) pt SO
  Inchiderea porturilor si serviciilor inutile
 Folosirea aplicatiilor de verificare a accesului la produse server (firewall,
WAF, TCP wrapers)
 Adrese IP false pt sisteme ce exporta servicii in internet
 Rularea proceselor server/serviciilor sub utilizatori fictivi (nu ca super-useri)
 Programe suid-ate : se executa cu drepturile userului proprietar pe fisierul
executabil (cu root), nu cu dreptul userului ce executa programul (user
obisnuit)
Exploit-uri celebre:
 WUFTP exploit (remote) – atacatorul obtinea accesul la root daca serverul
FTP accepta conexiuni anonime
 Ptrace (local) – afecta versiunile de kernel, permitea escaladarea de privilegii
 Shellshock (cred ca e remote) – permite executia arbitrara a unor comenzi
specificate in cadrul valorii unei variabile de mediu malformed.
 EternalBlue – dezvoltat de NSA (National Security Agency) si s-a scurt in
net. A fost folosit de WannaCry pt a se propaga. Microsoft a dezvoltat
update-uri sip t cele mai vechi versiuni de windows.
 Heartbleed
 Meltdown, Spectre

CURS 5 (html cum sa implementam un virus pe 16 biti)

 Se face pe 16 biti
 Nu infecteaza sistemele cu 32 si 64 biti
 Cobaiul va fi un fisier cu extensia .com
 Facem un back-up al fisierului
 Injectam la finalul codului sursa a fisierului – codul virusului
 La inceputul codului fisierului folosim jmp pt a se executa prima data codul
virusului si nu al sursei
 Fisierul este infectat cu success.
CURS 6
 Call functie = push ip & jmp functie
 Functia este salvata pe stiva
 Ret = pop + jmp = scoate de pe stiva o valoare si sari cu executia la valoarea
tocmai scoasa
 Sp – indica spre varful stivei
 Bp (base pointer) – folosit ca index in cadrul stivei
