Aula 03 Malware (Parte 01) Visão Geral Prof. Paulo A. Neukamp
Mallware (Parte 01) Objetivo: Descrever de maneira introdutória o funcionamento de códigos maliciosos e os seus respectivos impactos.
Agenda Revisão: Aula 02 Malware: Visão Geral Tipos de Códigos Maliciosos Atividade 03 Conclusões Referências Bibliográficas
Revisão: Aula 02 Ataques: Estatísticas (Cert.BR) Definições (hacker, cracker, script kiddies, phreaker) Tipos de Ataques Anatomia de um Ataque Estágios Leitura Complementar Atividade 02
Malware: Visão Geral Definição de Malware O termo Malware se refere a programas desenvolvidos especificamente para executar ações danosas em um computador (códigos maliciosos). Exemplos de malcode: vírus, cavalos de tróia, backdoors, spywares, keylogger, worms, rootkits e bots
Vírus de Computador É um programa ou parte de um programa de computador, normalmente malicioso, que se propaga infectando, isto é, inserindo cópias de si mesmo e se tornando parte de outros programas e arquivos de um computador. O vírus depende da execução do programa ou arquivo hospedeiro para que possa se tornar ativo e dar continuidade ao processo de infecção.
Cavalo de Tróia É um programa, normalmente recebido como um "presente" (por exemplo, cartão virtual, álbum de fotos, protetor de tela, jogo, etc), que além de executar funções para as quais foi aparentemente projetado, também executa outras funções normalmente danosas e sem o conhecimento do usuário.
Cavalo de Tróia (continuação) Algumas das funções maliciosas que podem ser executadas por um cavalo de tróia são: instalação de keyloggers ou screenloggers, furto de senhas e outras informações sensíveis, como números de cartões de crédito, inclusão de backdoors, para permitir que um atacante tenha total controle sobre o computador.
Backdoors Normalmente um atacante procura garantir uma forma de retornar a um computador comprometido, sem precisar recorrer aos métodos utilizados na realização da invasão. A esses programas que permitem o retorno de um invasor a um computador comprometido, utilizando serviços criados ou modificados para este fim, dá-se o nome de backdoor.
Spyware Software que tem o objetivo de monitorar atividades de um sistema e enviar as informações coletadas para terceiros. Atividades realizadas por esse tipo de malware: Monitoramento de URLs acessadas enquanto o usuário navega na Internet; varredura dos arquivos armazenados no disco rígido do computador; monitoramento e captura de informações inseridas em outros programas, como IRC ou processadores de texto; cavalo de tróia -> spyware (keyloggers ou screenloggers)
Keylogger / Screenlogger É um programa capaz de capturar e armazenar as teclas digitadas pelo usuário. Dentre as informações capturadas podem estar o texto de um e-mail, dados digitados na declaração de Imposto de Renda e outras informações sensíveis, como senhas bancárias e números de cartões de crédito.
Worms Código capaz de propagar-se automaticamente através de redes, enviando cópias de si mesmo de computador para computador. Diferente do vírus, o worm não embute cópias de si mesmo em outros programas ou arquivos e não necessita ser explicitamente executado para se propagar.
Worms (continuação) Sua propagação se dá através da exploração de vulnerabilidades existentes ou falhas na configuração de softwares instalados em computadores. Worms são responsáveis por consumir muitos recursos. Detectar a presença de um worm em um computador não é uma tarefa fácil. Muitas vezes os worms realizam uma série de atividades, incluindo sua propagação, sem que o usuário tenha conhecimento.
Rootkits Um invasor, ao realizar uma invasão, pode utilizar mecanismos para esconder e assegurar a sua presença no computador comprometido. O conjunto de programas que fornece estes mecanismos são conhecidos como rootkit.
Rootkits (continuação) Fornecem programas com as mais diversas funcionalidades. Dentre eles, podem ser citados: programas para esconder atividades e informações deixadas pelo invasor, tais como arquivos, diretórios, processos, conexões de rede; programas para remoção de evidências em arquivos de logs; Sniffers; Backdoors e scanners; Cavalos de tróia; Keyloggers; Ferramentas de ataque de negação de serviço.
Trojan.Mebroot Tipos de Códigos Maliciosos
Bots Programas capazes se propagar automaticamente, explorando vulnerabilidades existentes ou falhas na configuração de softwares instalados em um computador. Dispõem de mecanismos de comunicação com o invasor, permitindo que o bot seja controlado remotamente.
Bots (continuação) O bot se conecta a um servidor de IRC (Internet Relay Chat) e entra em um canal (sala) determinado. Então, aguarda por instruções do invasor, monitorando as mensagens que estão sendo enviadas para este canal. O invasor, ao se conectar ao mesmo servidor e no mesmo canal, envia mensagens compostas por seqüências especiais de caracteres, que são interpretadas pelo bot.
Bots (continuação) Botnets são redes formadas por computadores infectados com bots. Estas redes podem ser compostas por centenas ou milhares de computadores. Um invasor que tenha controle sobre uma botnet pode utilizá-la para aumentar a potência de seus ataques, por exemplo, para enviar centenas de milhares de e- mails de phishing ou spam, desferir ataques de negação de serviço, etc.
Botnets Tipos de Códigos Maliciosos
Leitura Complementar Texto: IBM Internet Security Systems X-Force 2008 Mid-Year Trend Statistics (pages 65-75) Link: www-935.ibm.com/services/us/iss/xforce/midyearreport/xforcemidyear-report-2008.pdf
Atividade 03 Responda as seguintes questões: Acesse Threat Explorer no site da Symantec e faça um resumo sobre as 3 primeiras ameaças e vulnerabilidades reportadas. Link: http://www.symantec.com/business/security_response/index.jsp. Verifique a descrição de malwares do tipo backddors e trojan através do site http://viruslist.com/
Atividade 03 Responda as seguintes questões: Um aspecto que não podemos negligenciar é a conscientização dos usuários sobre como se proteger de códigos maliciosos. Sobre esse assunto o Cert.br produziu alguns vídeos muito interessantes que recomendo a todos. Acessem em http://www.antispam.br/videos/ e utilizem esse material dentro das empresas em que vocês trabalham.
Atividade 03 Responda as seguintes questões: Assista o vídeo sobre SPAM produzido pelo Cert.br e descreva os tipos de spam existentes. Pesquise sobre vetores de propagação de spam. Não esqueça de que se trata de uma pesquisa e, portanto, as fontes devem ser referenciadas.
Conclusões e Resultados Código maliciosos são responsáveis por um número significativo de incidentes de segurança; A identificação de determinados tipos de malware é uma tarefa complexa; Os worms, rootkits e bots são ameaças cujo funcionamento e detecção são alvos de muitas pesquisas, tanto no meio acadêmico quanto na indústria de software de detecção de códigos maliciosos.
http://www.microsoftvirtualacademy.com/home.aspx Dica
Conclusões e Resultados Ao término dessa aula o aluno esta apto para: Descrever o funcionamento dos principais tipos de malcode; Refletir sobre a detecção dos códigos maliciosos; Comunicar os usuários sobre os riscos referentes aos códigos maliciosos vistos nessa aula.
Referências Bibliográficas Cert.br. Cartilha de Segurança para Internet. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Disponível em: http://cartilha.cert.br/fraudes/sec2.html Symantec. Security Response. Disponível em: http://www.symantec.com/business/security_response/index.jsp Viruslist. Information about Viruses. Disponível em: http://www.viruslist.com/