Zlonameran softver ili ti Malicious software a moze i Malware

[Zak]

Rekoh da izbacim nesto na ovu temu jer vidim da se mnogi frljaju s padezi na ovu temu.
Po definiciji u nekim udzbenicima u maliciozan softver spadaju svi programi koji su napravljeni u nameri da otezaju rad ili ostete neki umrezen/neumrezen racunar.
Sama distribucija zlonamernih programa moze se izvrsiti na razlicite nacine. Na primer: elektronskom postom (preko attachmenta), putem P2P mreza, IM servisa, preko serovanih direktorijuma na netu, preko otvorenih UDP i TCP portova gde postoji mogucnost izvrsenja koda kod samog udaljenog hosta - jedan od najpoznatijih slucaj Sasser crva, kao i drugih zlonamernih programa koji ce pokupiti zlonameran kod s neta i instalirati ga hostu. Postoji zilion varijanti distribucija zlonamernog koda.
Sama podela zlonamernih programa se vrsi u osnovi na dva nacina.
Prvi nacin je podela na programe kojima je potreban/neophodan nosilac (virusi, trojanci) i one samostalne(raznorazni "spijunski" programi, crvi).
Druga podela je na one zlonamerne programe koji se repliciraju (crvi, virusi) i one koji se ne repliciraju (logicke bombe, trojanci).

[Zak]

Virusi

Virusi znaju biti veoma nezgodni. Cesce se manifestuju brisanjem vaznih sistemskih datoteka kao i dovodjenjem operativnog sistema u stanje u kom se racunar ne moze normalno koristiti. Ono sto ih karakterise je to da za razliku od recimo crva virusima nisu potrebni mrezni resursi zarad sirenja ali mogu se siriti preko mreze ako su u sastavu nekog crva.
Neka opsta podela se moze izvrsiti prema okruzenju u kome virus moze da inficira druge objekte kao i prema tehnikama ubacivanja virusa u neki objekat.
Virusi koji napadaju sistemske datoteke, najcesce izvrsne datoteke, shodno nacinu inficiranja mogu se podeliti na viruse koji prepisuju postojeci kod tzv. overwriting, na pridruzujuce viruse, viruse boot sectora i na parazitske viruse.
Kod virusa sa prepisujucim kodom virus overwrajtuje deo koda inficirane datoteke sa svojim kodom. Njih je lako detektovati, najcesce. Ali rekonstrukcija inficiranih, zapravo unistenih datoteka, zapravo njihovog koda nije bas moguca. Povremen bekap svih izvrsnih datoteka na sigurnu lokaciju je prevencija za ostecenja koju nanose virusi ovog tipa.
Pridruzujuci virusi zamenjuju ime inficirane datoteke sa svojim imenom. Oni ne menjaju sadrzaj datoteke vec prave novu datoteku sa originalnim imenom u kojoj je sadrzan virus.
Virusi boot sectora zapisuju svoj kod u startni zapis.
Parazitski virusi upisuju svoj kod u datoteku tako da ona ostaje funkcionalna ili delimicno funkcionalna. Postoji vise lokacija gde virus moze upisati svoj kod u datoteku. Na pocetak, unutar koda i na kraju. U ovu grupaciju virusa imamo posebnu grupu virusa EPO.

Makro virusi
Ovi virusi najcesce znaju biti napisani i umetnuti u fajlove koji se otvaraju nekom aplikacijom iz MS Office paketa. Ove aplikacije rade na principu povezivanja i ugradjivanja objekata tzv OLE2 (Object linking and embedding). Od poznatijih primera ovog virusa imamo Melissa, koja se najcesce siri putem mejlova i to najcesce preko wordovih dokumenata.

[Zak]

Crvi
Ovo su samostalni programi koji se sire s jednog racunara na drugi. Dva najcesca nacina prenosa crva su preko internet servisa (http i ftp) i elektronske poste. Ovde se vec zalazi u drustveni inzenjering (social engineering) kada se prica o funkcionisanju crva. Crvotachina se moze klasifikovati prema nacinu pokretanja i instaliranja, prema nacinima sirenja kao i prema karakteristikama koje opisuju ovaj malware.
Prema nacinu prenosa imamo e-mail crve, internet crve, fajl shering crve, IM (instant messeging) crve.

E-mail crvi se sire elektronskom postom, inficiranim porukama preko attachmenta ili linkova ka inficiranim stranama na internetu. Kreatori ovog tipa crva koriste metode drustvenog inzenjeringa kako bi naterali korisnika da pokrene crva preko attachmenta ili hiperveze. Poznati primeri crva ovog tipa su MyDoom, Sasser, Gibe, Liba, Netsky...

Internet crvi traze slabe tacke na racunarima koji su povezani na globalnu mrezu. Racunare koji nemaju firewall, racunare koji nemaju instalirane sigurnosne zakrpe kao i otvorene portove koje crv moze da iskoristi.

Fajl shering crvi egzistiraju u P2P mrezama. Ovde crv ce pokusati da se zapati u sherovanom direktorijumu oponasajuci neku usluznu aplikaciju cekajuci usera da ga pokrene kako bi se instalirao na zrtvin racunar i zarazio ga svojim kodom.
P2P crvi preko P2P serovanih foldera i P2P mreze se kopiraju i propagiraju zarad daljeg sirenja. Imamo i neke slozenije tipove P2P crva koji znaju da se ponasaju kao neki protokoli P2P mreza. Poznatiji primerak iz ove porodice crva imamo Benjamina koji je koristio jednu od mojih omiljenih P2P mreza Kazza.

IM crvi koriste servise za poruke kao sto su MSN, Skype, AOL, AIM, Yahoo messenger, ICQ... Nacin pokretanja ovog crva vrlo je jednostavan. Kada user klikne na link koji mu je poslat, crv se instalira u pozadini racunara. Onda proverava listu kontakata istog i salje svim korisnicima salje slicnu poruku ili istu sa linkom na koji treba kliknuti da bi se pokrenuo. Ovde imamo crve kao sto su Funner, JS/coolnow...

[Zak]

Sasser crv
Ovde imamo dva crva Saser.a i Sasser.b koji su napisani sredinom 2004. Prvi nije nesto bio zapazen iako se sirio putem e-maila. Sasser.b je znatno slozeniji crv i koristio je odredjene propuste (LSASS RPC propust kod nekih verzija operativnih sistema 2000 i xp). LSASS (LocalSecurity Authority Subsystem Service) - ovde se radilo o prekoracenju bafera (buffer overflow - ovde haker cilja da prepuni bafer argumentom preko lsasrv.dll funkcije ). Sasser.b nije bio nesto preterano destruktivan ali je imao veliki potencijal distribucije. Sasser.b ima slicnosti Blaster crvu (koji je lovio prepunjene bafere u windowsovim sistemima... TCP port 135). Blaster je vec izazvao vecu halabuku na internetu. On je zapravo modifikovana verzija Netsky crva.

[Zak]

Trojanci
Vrsta zlonamernih programa koji su lepo ushuskani unutar nekog drugog programa. Zovu se trojanci jer nacin napada je isti kao i kod trojanskog konja u grka u istoriji.
Trojanci najesce inficiraju racunar ali ne i datoteke pa ih relativno lako indentifikovati i ukloniti. Najcesce prave zapise u bazi registara. Trojanac moze biti i crv u vidu programa zarad instalacije manjeg programa preko datoteke setup.exe, na primer. Ovo je alternativna metoda sirenja trojanaca preko crva kao nosioca. Primer je crv Bagle koji metodom laznog polja "form" u samom zaglavlju paketa instalira backdoor na zrtvi. To se najcesce radi preko porta 8866.
Neka precizna klasifikacija ne postoji kod trojanaca ali mogu se svrstati u tri grupe.
-Backdoor trojanac koji kao program omogucava napadacu da pristupi udaljenom racunaru. Ovde od poznatijih imamo Back Office 2K (BO2K).
-Password trojanac kome su cilj, kada se zapati na zrtvinom racunaru da iskopa poverljive informacije kao sto su passwordi, javni i privatni kljucevi, raznorazni sertifikati kao i recimo podaci sa kreditnih kartica. Ovde imamo kao primer jedan od mojih omiljenih keyloggere. Keyloggeri prate sve zapise sa tastature, sta god se otipka snima se i biva prosledjeno napadacu. Milina za passworde recimo od vasih poslovnih saradnika, supruga, zena, devojaka...
Sto se tice passworda ovakve informacije mogu se pribaviti i drugom vrstom napada kao sto je phishing al o tome neki drugi put...
-Proksi trojanac on jednostavno zarazeni racunar pretvara u proksi server. Ovde se omogucava pristup napadacu gde on dalje moze da nastavi sa svojom delatnoscu, recimo u jednom vidu za dalje moze biti DOS napad (denial of service).
Ima ih jos ali ovo su neki osnovni.

[Zak]

Logicke bombe
Logicke bombe su definitivno jedan od najstarijih zlonamernih programa. To je zapravo kod koji je ubacen u neki program i koji ceka da se ispune odredjeni uslovi kako bi se aktivirao. Zato budite pazljivi i dobri prema svojim programerima koje zelite da otpustite ili nemate nameru da ih platite. Inicijalna kapisla ovog koda moze biti odredjeni datum, pojava odredjene datoteke na racunaru, pojava odredjenog korisnika... ima zilion upaljaca za ovaj tip mehanizma.
Ovde od poznatijih javnosti imamo Mikelandjalo logicku bombu koja se aktivirala na Mikelandjelov rodjendan 6. marta.

[Zak]

Rootkit

Kada kazemo rootkit (root-koren; kit-alat) mislimo na korisnika sa najvisim nivoom pristupa u Linux i Unix okruzenju. To je zapravo skup alata koji omogucavaju napadacu najvisi nivo i potpunu kontrolu napadnutog racunara/sistema. Postoji nekoliko faza napada pri koriscenju rootkit alata.
Prva faza je priklupljanja sto vise informacija o targetovanom racunaru/sistemu.
Druga faza je prosirivanje prava, zapravo sticanje administratorskih prava zarad mogucnosti instalacije...
Treca faza je sama instalacija rootkit alatljika.
Cetvrta faza je uspostava kontrole nad samim targetovanim racunarom/sistemom.
Rotkit alati se mogu podeliti u dve grupe prema mestu gde se nalaze u sistemu kao i prema nacinu prikrivanja svog prisustva u sistemu (ovo je vrlo bitno jer jedna od stavki uspesnog napada je da se i ne primeti da je sistem napadnut kao i to da napadac treba da ostavi/obezbedi sebi backdoor ( sshd, paswd, chfn, chsh)):
- Rootkit alati koji rade na nivou jezgra (tzv. kernel mode) ili jos kako se zovu LKM rootkit alati (Loadable kernel mode-LKM) i oni su integrisani unutar samog jezgra. Ovi alati se teze detektuju jer su integrisani u samom kernelu(jezgru). Kernel linux sistema je modularno. To znaci da root korisnik moze ucitati u jezgru neki modul i na taj nacin dovesti do prosirivanja funcionalnosti samog sistema...
- Aplikacioni rootkit alati koji imaju za cilj da rade u neprivilegovanom korisnickom rezimu (tzv. user mode). Rad ovih alata se zasniva na zameni legitimnih aplikacija zlonamernim datotekama. Kao sto je vec pomenuto vrlo je bitno da napadac sakrije svoje prisustvo u sistemu. To se radi preko podmetnutih datoteka... U grupu programa koje napadac menja da bi sakrio svoje prisustvo su:
programi koji prikrivaju aktivnost napadaca na mrezi (mrezne veze / ipconfig/ netstat/...... otvoreni portovi);
programi koji onemogucavaju vidljivost zapisa u datoteci o vezama koje napadac ostvaruje sa udaljenim sistemom (syslogd);
programi koji skrivaju zlonamerne datoteke (find, ls, du);
programi koji prikrivaju procese koje napadac pokrenuo;
programi koji sprecavaju ubijanje procesa koje je napadac pokrenuo (kill, killall);