�ݺ�ߣ

Malware
Maliciozni softver
Aleksandar Kostadinović
Oktobar 2015. Beograd

Oktobar 2015. BeogradMalware/Aleksandar Kostadinović
Tipovi
 Virusi
 Worms (crvi)
 Trojanski konji
 Rootkits
 Hoax

Maliciozni programi
Virus
Worm
Trojanski
konj - Rootkit

„Posebni“
 Chameleon familija virusa (prvi polimorfni
virusi)
 CIH (prvi virus koji uslovno rečeno
„oštećuje“ hardver)
 Melissa (prvi makro virus)
 Kakworm (javascript)
 Kenzero (kopira porno istoriju i ucenjuje)

„Posebni“
 Nimda (višestruko širenje, i kroz mrežne
diskove, kroz rupe koje su napravili drugi
virusi)
 ExploreZip (smanjuje veličinu fajlova na 0)
 Leap-A/Oompa-A (prvi moderni Mac virus)
 Crypto-locker malware

Stuxnet
 Virusi
 Worms (crvi)
 Trojanski konji
 Rootkits
Stuxnet

Šta se dogodilo
 Pojavio se najmanje godinu dana pre nego
što je javno otkriven (jun 2010.)
 Postoje najmanje 3 varijante (jun 2009.,
mart 2010. i april 2010.)
 Postao je prvo oružje za prvi pravi Cyber rat
 Sabotirao je iranski nuklearni program i po
proceni vratio ga 2 do 3 godine unazad

Napadani segmenti
 Windows OS
 Siemens PCS 7, WinCC and STEP7
industrijski softver koji radi pod Windows
OS
 Siemens S7 PLCs.

Komponente - Rootkit
 Zadužena za ulazak u Windows sisteme i
preuzimanje kontrole
 Koristi 20 zero-days propusta
 Koristi originalne bezbednosne sertifikate
(ukradene npr. od Realtek-a)
 Koristi stvarne administrativne privilegije a
ne lažne

Komponente – Virus i crv
 zadužene za širenje i traženje ciljnog računara
 širenje putem zaraženih fajlova
 zaraženog USB flash-a (MS10-046)
 mrežnih deljenih diskova
 štampača (MS10-061)
 MS10-073 kernel drajver, MS10-092 task
scheduler, CVE-2010-2772 standardna lozinka,
MS08-067 server servis

Komponente – Trojanski konj
 neutralisanje antivirus servisa
 ažuriranje „Stuxnet“-a
 ispitivanje cilja
 preuzimanje kontrole nad PLC kontrolerom
i reprogramiranje
 preuzimanje kontrole nad senzorima i
dojavljivačima
 kraj širenja 24.6.2012.

Širenje
 Prvi korak - inficiranje (najveći broj inicijalnih
infekcija je bio preko USB flash drive
korišćenjem ukradenih pravih digitalno
potpisanih drajvera)
 Drugi korak – upoznavanje okruženja (Stuxnet
istražuje da li je inficirani računar vezan za
odgovarajuće kontrolere, da li je na mreži, da li
je na pravoj lokaciji, nakon toga odlučuje da li
deluje, širi se dalje ili se briše sa računara)

Širenje
 Treći korak – ažuriranje (ukoliko je računar
onaj na kome će Stuxnet delovati, pokušava
da se zakači na internet u pozadini i skine
noviju verziju sebe)
 Četvrti korak – kompromitovanje (ukoliko je
na pravoj mreži, prepoznaje računare sa
kontrolerima, Stuxnet se širi koristeći zero
days vulnerabilities, usb, lan, štampači)

Širenje
 Peti korak – osmatranje i kontrola (na računaru
koji upravlja kontrolerom, Stuxnet prvo prikuplja
podatke i analizira ih, ukoliko može pošalje ih
preko interneta ukoliko ne odlučuje kako da
deluje)
 Šesti korak – maskiranje i uništenje (pošto je
analizirao podatke, naizgled ispravne podatke
šalje ljudima koji kontrolišu sistem da ih zavara,
u pozadini na potpuno drugačiji način upravlja
sistemom i uništava ga)

Algoritam širenja

Ciljane teritorije
0
10
20
30
40
50
60
58.31
17.38
9.96
3.4
1.4 1.16 0.89 0.71 0.61 0.57
5.15
Broj inficiranih računara po zemljama procentualno

Ciljane teritorije
0
10
20
30
40
50
60
70
Iran Indonezija Indija Azerbejdžan Pakistan Malezija SAD Uzbekistan
67.6
8.1
4.98
2.18 2.18 1.56 1.25
12.15
Broj inficiranih računara koji imaju vezu
sa PLC kontrolerima po zemljama

Autori
 Ne postoji potvrda ko su autori, sumnja se:
 Stuxnet grupa USA
 Equation grupa USA
 Unit 8200 Israel
 Myrtus (mirta, Hadaša- Hadassah ili Esther)
 "b:myrtussrcobjfre_w2k_x86i386guava.pdb" ili "My-
RTUs„ (RTU – remote terminal unit)
 Registry key "19790509" infection marker
 09/05/1979 datum pogubljenja Habiba Elghaniana u Iranu

Хвала на пажњи
Aleksandar Kostadinović
aleksandar.kostadinovic@rnids.rs
rnids.rs
рнидс.срб
domen.rs
домен.срб

�ݺ�ߣ

Malware - Малициозни софтвер

More Related Content

Malware - Малициозни софтвер