|
Poslao: 21 Avg 2006 22:29
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Proslo je prilicno vremena od zadnjeg clanka... izvinjavam se onima koji su mozda cekali da procitaju jos po koju zanimljivost iz sveta malwarea.
Ranije sam uporno ispravljao ljude koji su govorili "dobio sam virus sa interneta" jer se virus ne siri putem neta... barem bi tako trebalo da bude.
Ovde podrazumevamo da je virus file-infector koji se siri iskljucivo ukoliko se zarazeni program pokrene.
Naravno, uvek postoji teoretska mogucnost da je neko iskoristi trojan-dropper da bi vam uvalio virus, ali se to u praksi ne desava iz prostog razloga sto se na internetu sve vrti oko novca i zarade, a od virusa jos niko nije ostvario zaradu.
Svi gledaju da uvale trojanca, adware, spyware...
Medjutim, vreme je da se odreknem stava da se virusi ne sire putem interneta.
Oni koji prate rad MC AV tima znaju da bukvalno lovimo napasti.
Koristimo pri tome najrazlicitije metode:
- jedan komp je non-stop prikljucen na net i ceka da neko "upadne" i zarazi ga (honeypot)
- svaki malware koji upadne u honeypot startujemo u nadi da ce da dovuce jos koju napast na sistem
- saradnja sa drugima koji se bave istim poslom
Jedan honeypot, po svojoj prirodi ne moze da navuce adware ili spyware, jer se isti sire uglavnom putem sajtova, ili putem startovanih botova (ovo cu da razjasnim), kao ni viruse jer se na honeypot masini ni jedan program ne startuje (tako je uradjen sistem) vec se svaki fajl koji je ubacen spolja iskopira u poseban folder.
Ono sto u honeypot upada su crvi (net-worm tacnije, posto postoje i drugi oblici) i botovi (koji spadaju u kategoriju backdoor-ova).
Kako se siri crv?
Standardan protok podataka preko IP protokola se odvija preko UDP i TCP layera. Dok vas kompjuter moze da odluci da li da prihvati ili odbije TCP paket, paket sa UDP-a vas kompjuter mora da prihvati (takav je standard, da uprostimo objasnjenje).
E sada, dao Bog pa Windows nema rupa, slanje odredjenog paketa preko UDP protokola moze u Windowsu izazivati takvu gresku koja dovodi do pokretanja odredjenih akcija, sto je dalje neko iskoristio da time na sistem ubaci crva i da ga nakon toga pokrene. Da ne bude zabune, nije u pitanju samo jedna rupa, vec vise razlicitih.
Znaci, da bi nesto upalo na sistem potrebno je da postoji rupa, i da neko napravi takav program koji ce iskoristiti tu rupu za ubacivanje necega na sistem. Strucno se rupa zove Vulnerability, a kod (code) koji iskoriscava tu rupu se zove Exploit.
Dok se crv siri sam i nasumicno, i nad njim ne postoji kontrola, bot sluzi da se prosiri mrezom da bi nekome pruzio kontrolu nad vasim sistemom.
Kada je kompjuter vec zarazen botom, tada vlasnik bota moze da iskoristi bot da vam ubaci i ostale napasti na sitem.
Citao sam price o tipu koji sa 8000 zarazenih sistema zaradjuje vise nego dovoljno od ubacivanja adwarea i spywarea na te zarazene sisteme (firme mu placaju da ubacuje adware zbog reklama).
Jasno je da ni vlasnik bota nema interesa da vam ubaci virus i unakazi vam sistem jer gubi od zarade.
Kako se onda najcesce dobija virus cisto pasivnim prisustvom na netu?
Zamislite da je bot u svom putesestviju internetom upao na neki komp koji je zarazen virusom, i da i sam bot bude zarazen (bude zrtva virusa sa tog kompa). Taj bot kasnije upadne i na drugi komp pa zarazi i njega (osim sto ubaci sebe, on sa sobom nosi i virus)...
Scenario kome se nisu nadali ni pisci botova, kao ni pisci virusa.
Za ilustraciju, danas sam uradio jedan test.
Uzeo sam 3918 fajlova zarazenih virusima pisanim za 32-bitne Windowse (Xp i 2k) i resio da ih dezinfikujem da bih video sta ostaje posle dezinfekcije (ocekujem da posle otklanjanja virusa iz fajla, u fajlu nadjem bota ili crva).
448 fajlova su posle dezinfekcije ostali cisti programi.
Ostatak od 3470 fajlova su svi redom sadrzali jos neku infekciju 
Od tih 3470, 1123 su bili botovi. To znaci da su skoro 29% virusa sa testa bili prenoseni botovima sa kompa na komp.
Od tih 3470, 746 su bili crvi (net-worm). To znaci da su 19% virusa sa testa bili prenoseni crvima sa kompa na komp.
Od 3470, 18 su bili P2P crvi. To su neznatnih 0.004%
Ukoliko saberemo ove viruse koji su nasli nacina da preko mreze zaraze i druge kompove, dolazimo do 48%.
Vratimo se na naslov ("Kada ne vazi 1 = 1...") - time sam mislio "Kada ne vazi 1 inficiran fajl = 1 infekcija"
Kratkim testom smo stigli do saznanja da se skoro polovina aktuelnih virusa prenose sa kompa na komp putem interneta, cak iako sam virus nema mogucnost sirenja putem mreze.
Pod ovom konstatacijom nisam uzeo u obzir skidanje zarazenih programa sa sumnjivih sajtova.
Suma-sumarum, moram da zakljucim da internet nije vise leglo samo adwarea, spyware, crva, botova i trojanaca. Toj grupi danas moram da prikljucim i viruse kao ravnopravnog clana.
Veliki pozdrav do sledeceg clanka.
|
|
|
|
|
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
|
|
|
Poslao: 21 Avg 2006 22:42
|
offline
- Pridružio: 09 Dec 2004
- Poruke: 6488
- Gde živiš: Nis -> ***Durlan City***
|
@bobby
sve pohvale za clanak, lak je razumljiv za citanje, i neke svtari si lepo objasnio.
Samo mi reci ovo
Citat:bot sluzi da se prosiri mrezom da bi nekome pruzio kontrolu nad vasim sistemom.
Znaci, to je isto kao virus(program) jel? E, da li Kav, ili bilo koji drugi AV prepoznaje botove?
Posto si rekao da i oni ulaze u kompjutere, odnosno da ih neko ubaci tu.
|
|
|
|
|
|
|
Poslao: 21 Avg 2006 22:58
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Virus je takav program kome je potreban sasvim legitiman program koji ce biti "domacin".
Domacin moze biti bilo koji program.
Ukoliko je virus dobro napisan (sto ne mora da bude pravilo), domacin ce da funkcionise cak i ako je zarazen (recimo vas omiljeni program za pregled slika).
Kada startujete domacina, prvo ce biti startovan virus, koji ce u tom momentu da zarazi jos nekog domacina, a nakon toga ce virus da prepusti kontrolu programu koji ste visi ustvari zeleli da startujete (domacinu).
Bot je program za sebe, i njemu nije potreban domacin.
Bot se siri na sledeci nacin:
Bot pokusava nasumicno da nadje na internetu kompjuter ciji Windows nije zakrpljen, i na kome postoji rupa.
Bot ce iskoristiti rupu da bi se prekopirao i na taj komp i da se i na tom kompu startuje.
Sve ovo do sada vazi i za net-worm.
Od momenta kada se bot startuje na nekom kompu, on nadalje vrsi dve funkcije:
- pokusava dalje da se prosiri
- ceka na naredbe svog gazde (upload i download fajlova, startovanje fajlova, DDoS napad na neki server itd.)
Za razliku od bota, kada se net-worm startuje na nekom kompu, on nadalje vrsi sledece funkcije:
- pokusava dalje da se prosiri
- izvirsice naredbu koja mu je isprogramirana onda kada je napravljen (pre nego sto je pusten u divljinu da se siri)
Poenta je da i bot i net-worm mogu biti domacini za virus (da budu zarazeni).
U putesestviju svog sirenja po netu, recimo da bot upadne na komp koji je leglo virusa - on i sam bude zarazen.
Kada se odatle bot (ili crv) prosiri dalje, on sa sobom nosi i virus kojim je zarazen.
Dopuna: 21 Avg 2006 23:58
Zaboravih da ti odgovorim:
Naravno, botovi su isto prepoznati od strane AV programa, i botovi se mogu po funkcionalnosti opisati kao crv+trojanac (ili trojanac+crv).
AV kompanije ih klasifikuju ili kao crve ili kao trojance (ne znam koji je kriterijum po kome odlucuju gde ce koji bot biti klasifikovan).
|
|
|
|
|
|
|
Poslao: 21 Avg 2006 23:00
|
offline
- Pridružio: 09 Dec 2004
- Poruke: 6488
- Gde živiš: Nis -> ***Durlan City***
|
Ok, jos sam razjasnio neke stvari, ali izvini sto insistiram
Citat:ot je program za sebe, i njemu nije potreban domacin.
Citat:recimo da bot upadne na komp koji je leglo virusa - on i sam bude zarazen.
Ok tad... kad je inficiran bot sa nekim wormom, pri detekciji AV ce prepoznati/ocistiti file.
A ako bot upadne na komp [ koji nije zakrpljen ] a nema virusa... [ koliko god to sansa bila mala
da li samog bota, kao posebnog programa Av detektuje, i da li je on opasan/koliko?
|
|
|
|
|
|
|
Poslao: 21 Avg 2006 23:09
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Cek, cek.
Bot ne moze biti inficiran wormom
Jedini malware koji moze bilo sta da inficira je virus. Samo se virus siri sa programa na program. Virus sebe bukvalno doda na pocetak najobicnijeg programa (ugradjuje se u program koji je pre toga bio cist).
Dezinfekcija podrazumevanja otklanjanja virusa iz programa tako da program bude u istom stanju kao pre infekcije. Virus moze da stigne sa kompa na komp samo ako od drugara uzmes CD sa inficiranim programom i taj program instaliras kod sebe.
Botovi i crvi su programi koji se sire sa kompa na komp putem mreze, ne putem programa. Objasnio sam gore koja je razlika izmedju bota i crva.
Posto su i bot i crv programi, moze doci do toga da virus i njih inficira (ugradi se u njih), tako da sada virus moze i preko mreze da stigne sa kompa na komp, ne mora vise da uzmes CD sa zarazenim programom od drugara.
AV programi prepoznaju i viruse, i crve i botove.
Kada je virus u pitanju, AV program ce pokusati dezinfekciju (da otkloni virus iz legitimnog programa).
Botovi i crvi se brisu.
Kada naidje bot ili crv zarazen virusom, AV program prvo vidi virus (jer je on na pocetku fajla), pa pocne dezinfekciju.
Kada zavrsi dezinfekciju, AV program primeti da je fajl koji je upravo dezinfikovao ustvari isto stetan (crv ili bot) pa ga obrise.
|
|
|
|
|
|
|
Poslao: 21 Avg 2006 23:23
|
offline
- Pridružio: 09 Dec 2004
- Poruke: 6488
- Gde živiš: Nis -> ***Durlan City***
|
Veoma hvala na objasnjenju, i uveren sam da ce mnogim znaciti (ako ga procitaju)
hvala bobby 
|
|
|
|
|
|
|
|
|
|
|
Poslao: 22 Avg 2006 23:26
|
offline
- bobby
- Administrator
- Pridružio: 04 Sep 2003
- Poruke: 24135
- Gde živiš: Wien
|
Spomenuo sam gore da lovimo malware. Sada zelim da sa vama podelim i jednu radost - pre sat vremena sam zavrsio rad na programu "watcher" i obavio prve testove.
Evo jedan screenshot:
https://www.mycity.rs/must-login.png
Program koji se nalazi u prvom planu se zove "starter" i on startuje malware, a program koji se nalazi u pozadini je spomenuti "watcher" i on posmatra sva desavanja na sistemu, belezi gde su se pojavili novi fajlovi, koji su od starih fajlova modifikovani, i naravno pravi kopije svega toga u poseban folder.
Programi koje "starter" pokrece su trojan-downloaderi, cija je svrha da kada jednom stignu na sistem, sa neta dovuku jos malwarea.
Kada "starter" pokrene trojan-downloadera, "watcher" lovi fajlove koje downloaderi dovuku na sistem.
Watcher je uspeo u prethodnih petnaestak minuta da nalovi 25 fajlova dovucenih sa neta na komp Pregledao sam ih na brzinu i medju njima nasao i jedan dialer kog KAV i Bitdefender ne prepoznaju (samo sam sa njima na brzaka proverio).
Na slici je prototip sitema, na programu treba jos dosta da se radi dok ne bude u potpunosti funkcionalan.
Sto se fajlova tice, sada treba uraditi spisak fajlova koje ne treba da posmatra (sistemski logovi i jos par fajlova koji se menjaju maltene svake sekunde)
Kada se to zavrsi, sledi rad na modulu za posmatranje promena u reg. bazi, i rad na modulu za pravljenje izvestaja.
Za jedno mesec dana ce "watcher" biti kompletan
|
|
|
|
|
|
|
Poslao: 23 Avg 2006 00:53
|
offline
- Pridružio: 26 Jul 2006
- Poruke: 48
- Gde živiš: Novi Sad
|
@bobby
Ako bih mogao samo nesto da dodam, mislim da je mozda i ovo pojasnje potrebno...
Ali prvo da se i ja zahvalim na postu/temi i da zamolim ako moze malo konkretnijih informacija,
da li je bilo na honeypot-u nekog malicioznog programa koji se vise puta pojavljivao, mislim
bio "omiljen" bilo u bilo kojoj klasi?
Hteo sam da pojasnim koja je razlika izmedju trojanca i bota odnosno trojanca-bota. Trojanac
kad se nadje i izvrsi na nekom racunaru on otvara odredjeni port i ceka, dok covek koji je
napravio/poslao trojanca treba da zna IP adresu racunara na kom se trojanac nalazi ili da
skenira citave nizove IP adresa radi pronalazenja otvorenog porta, onog porta koji je otvorio
trojan(server). Onda se samo napravi clijent-server veza i ostalo je sve jasno.
Dok je kod trojanca-bota(trojanca sa botom) obratna situacija, on svog "gazdu" moze da obavesti o svom
prisustvu na odaljenom racunaru putem meil-a,ICQ-a ili irc kanala ali moze i da se prijavi na odredjen
irc kanal sa svojim user-om(random generisanim da se slucajno ne desi da se dva bota "gloze" za isti nick )
i pass-om, i da odatle ceka na naredbe svog "gazde". Tako da je u ovom slucaju mnogo pogodnija situacija za "gazdu"
ne mora da "peca" svoje trojance, jer budimo realni ako je dosta radio na "distribuiranju" svog materijala
ovo bi bio mukotrpan posao da ne kazem i veoma ocigledan jer se uporno skeniraju nizovi IP adresa za odredjenim portom,
dakle on samo treba da se pojavi u odredjenoj irc sobi/kanalu i da napravi "prozivku" svojih botova.
Dalje moze da radi sa jednim odnosno sa svima u isto vreme koju god radnju hoce. Sto je klasican
primer za sprovodjenje DDos napada, sa svima u isto vreme a samo jedna komanda unesena, koja vazi sa sve
prisutne botove na kanalu.
P.S. zasto ja nemam pravo da pogledam sliku iz tvog poslednjeg posta, to je nesto interno? Ili je nesto drugo u pitanju?
|
|
|
|
|
|
