Was sind Viren ? Herausforderung Aktuelle Entwicklungen · SQL-Slammer Worm Bugbear Worm Jän Feb...

Was ist Virus? - Ein Überblick !

• Was sind Viren ?

• Herausforderung

• Aktuelle Entwicklungen

• Malware (Malicious Code)Per Definition schädliche Software. Durch Medienberichte von der

Öffentlichkeit oft mit „Viren“ gleichgesetzt

• Viren sind sich selbst replizierende, infizierendeDateien, In Relation zur Malware kaum noch verbreitetgeschätzte 3 % des Gesamtaufkommens

• Würmer verbreiten sich über Netzwerke und infizieren alle erreichbaren SystemeWir unterscheiden in User-Interaktions- und Prozessinteraktions

Basierenden Würmer. (Doppel-Klick-Viren versus Exploit-Based)

Prozess-Interaktionsbasierend

User-Interaktionsbasierend

Angriffsformen von Viren – Replikations-Orientiert

DirectUser-involvment

Attack

IndirectUser-involvment

AttackExploit-Based

AttackRegular Service

Based Attack

Mischformen

NIMDA, BAGLE.Q, Netsky.P,Sowohl User als auchProzess basierte ReplikationSowohl Exploit als auch RegularService

Blaster, Slammer, WittyNutzt einen bestehendenExploit von Systemen

Jede Form von DDOS wo das Ziel auf Grund „regulärer“Requestversenkt wird.Mydoom.A-F, Bagle.M

User wird via eMail auf Seite gelockt wo erst die eigentliche Attacke passiertBaqle-Q (Carrier eMail) transportiert nur den Link

User deaktiviert Sicherung/Hemmnis„Britney-Spears“–Wurm,IRC-Bots,

Mischformen

zB: URL-Redirection AttackSpam-Mails, Fishing,....

„Doppelklick“ eMail Viren, Tanatos, NetSky, Bagle, Sobig.F etc.....setzen Aktion des User´s voraus

„Klassischer Wurm“Ein Start ist ausreichendMoris CodeRedSlammer Blaster,

Bot – Bot-Netze

Als Bot´s werden “Viren” welche eine Kombination aus Backdoor und Wurm beinhalten von potentiellen Angreifern “übernommen” und “kontrolliert”. Die Kommunikation zwischen MasterConsole und Boterfolgt zumeist über IRC-Netzwerke (Internet Relay Chat)

Trojaner/Backdoors sind Programme mit versteckter(schädlicher) Zweitfunktion

Streng genommen zählen Sie, ebenso wie Backdoors NICHT zu den Viren, da sie selbst über keine Replikationsmechanismen verfügen.Der potentiellen Angreifer kann defakto “alles” was auch der User des betroffenen Systems kann.

Adware, Spyware, Dialer, …

• Signaturdatenbanken von Virenscannern wachsen “unangenehm” schnell:

– Es gibt heute ca. 125.000 verschiedene Schadprogramme (inklusiver vieler „Altlasten“ aus MS DOS-Zeiten)

– Typisches Wachstumsbeispiel (Trend Micro):• August 2001: 4,0 MB• Januar 2004: 7,5 MB• Januar 2005: 11,8 MB• April 2005: 14,7 MB

– 10 Jahre hat es gebraucht (1991 bis 2001), damit die Datenbank 4 MB groß wird, aber nur wenige Monate, bis sich ihre Größe mehr als verdoppelt und verdreifacht hat

– Allein in den letzten 4 Monaten ganze 3 MB WachstumQuelle: Andreas Marx/Universität Magdeburg

5 Major Outbreaks 2003

SwenWorm

BlasterWorm

SobigWorm

Year of the Worm - Anzahl bekannter Viren erreicht über 90 000

SQL-SlammerWorm

BugbearWorm

DezNovOktSeptAugJulJunMaiAprMär FebJän

60

50

40

30

20

10

5

3

1

Mio

5 Major Outbreaks Q1/2004 - Österreich

Mydoom.A

Sober.CNetSky.B

31. März

15. März

1März

15. Feb

1. Feb

15.Jän

1. Jän

20

15

12

10

7

5

3

1

0

Mio

Bagle.B

Netsky.D

Quo Quo vadisvadis ??Virensituation in Österreich 2004

2004 bescherte uns eine Reihe an durchaus „verzichtbaren“ neuen Rekorden.Die Zahl der eindeutig als Viren indentifizierten Programme durchbrach von 1986 an gerechnet das erste Mal die 100.000er Marke, und brachte zudem einen neuen „Monatsrekord“ mit über 1.800 neuen Viren/MaliciousCodes im Spitzenmonat März.Je nach Spammer-Aktivität werden zwischen 62% und 74% aller erhaltenen Emails in Österreich als Spam-Mails klassifiziert. Im Spitzenfeld liegen dabei Unternehmen mit über 200.000 erhaltenen Spam-Mails pro Tag. Diese Werte schwemmen Tag für Tag konstant „Müll“ in die User-Mailboxen. Im Vergleich dazu liegt das Viren-Aufkommen bei 14-16% an „ruhigen“ Tagen. An Tagen mit High-Outbreak-Phasen verschiebt sich die Relation „infiziertes eMail“ versus „virenfreies eMail“ kurzfristig mit Spitzen bis zum Verhältnis 1:7 (nur mehr jedes 7 Mail ist ein Viren-Freies eMail). Etwa beim Sober.F oder im Verhältnis 1:4,5 beim Sobig.I !

TrojanTrojan -- GeneratorGeneratorTrojanerschreiben fTrojanerschreiben füür r DummiesDummies

DIRECT USER INVOLVEMENT ATTACK

INDIRECT USER INVOLVEMENT ATTACK

http://www.microsoft.com&[email protected]/nyheter/feb01/Q209354%[email protected]

URL-Redirection Attack

Url Redirection using DNS spoofing

Url Redirection using DNS cache injection

Url Redirection using the @ Symbol

„undotted“ IP Adress AttackIE Trusted Sites can be facked

http://3244527687/livesex.html

Using „undotted“ IP Adresses (e.g. 3244527687 = 193.99.144.71)

►„undotted“ IP Adresses override „IE Trusted Site Settings“

► Local Security restrictions apply – insecure web surfing

Newsgroups verbreiten Viren

www.RIAA.comwww.RIAA.com

Konsequenz der MyDoom.F Attacke für RIAA WebServer

Mi 24 Mar

Di 23 Mar

Mo 22 Mar

So 21 Mar

Sa 20Mar

Fr 19Mar

Do 18 Mar

00:0012:0000:0012:0000:0012:0000:0012:0000:0012:0000:0012:0000:00

Ti

me

in

Seconds

Quelle: www.netcraft.com

Total time from Amsterdamm/Cee-kay to www.riaa.com

Failures

8

6

4

2

0

Konsequenz der MyDoom.F Attacke für RIAA WebServer

Social Engineering - I.Worm.SWEN.A

Return- Adressist nicht von Microsoft

Social Engineering - I.Worm.SWEN.A

Social Engineering - I.Netsky.P

Email-Worm.Win32.Sober.P

Über 2 Millionen infizierte eMails wurdenin Österreich registriert !!

aktuell…

Email-Worm.Win32.Sober.P

Enterprise

Privat

Email-Worm.Win32.Sober.Q

Kein Virus – Jedoch Mails Mit rechtsradikalen InhaltenTageshöchstwert: 800 000

© 2002 IKARUS Software

Targeted system processInitializing Attacker corrupted system process

ScanScan forfor IP IP AdressesAdresses

Buffer OverflowBuffer OverflowAttackAttack

192.168.56.45192.168.56.45192.168.56.49192.168.56.49192.168.56.72192.168.56.72192.168.56.91192.168.56.91

W32.SQLSlammer.Worm – processinteraction based attack

Sobig-F Analyse - IST-File

2.433

3.094

7.934

7.321

5.461 5.453

0

1.000

2.000

3.000

4.000

5.000

6.000

7.000

8.000

9.000

19.Di

20.Mi

21.Do

22.Fr

23.Sa

24.So

25.Mo

26.Di

27.Mi

28.Do

29.Fr

30.Sa

31.So

01.Mo

02.Di

03.Mi

04.Do

05.Fr

06.Sa

07So

08.Mo

09.Di

10.Mi

11.Do

12.Fr

Taus

ende

Messzeitraum 19. 08 - 10.09

Tage

swer

t inf

izie

rter

eM

ails

Reihe1

Registrierter Stunden – Spitzenwert2.487.882 infizierte eMails

SOBIG.F55 Millionen Infizierte eMails in Österreich

Sobig.F Hourly Outbreak Stats 19th August 03

0200000400000600000800000

100000012000001400000

0:001:002:003:00 4:005:006:007:008:0

09:0010:0011:0012:0013:0014:0015:0016:0017:0018:0019

:0020:0021:0022:0023:00

0:00

time

regi

ster

ed in

fect

ed e

mai

ls

rising critical mass

0

200

400

600

800

1000

1200

10:00 11:00 12:00 13:00 14:00 15:00

thou

sand

time

reg.

infe

cted

em

ails

Wesentlicher Response Faktor: Z E I T

C I R C A -Virus Early Warning System

„Loveletter“ with Early Warning System

Activity:

„Loveletter“ first sight in Austria

Early Warning System allows appraisal of the danger

05:30

07:30

07:35

08:05

08:05

10:00

Providers and AV companies are informed

First Analyse and Updates from the AV-Companys

Specific warning in and about media

Point of No Return

00:00

02:00

02:05

02:35

02:35

04:30

Hours:

Sensors Early Warning System

Logs

From the algorithms / scanner - log files in VIX hosted Ikarus Scan centre . As well as appearing"patterns" in case of virus activity .

1,8 Mio eMails per week

Transmission

„Harvest " from Honeypots complementary to the behavior of the log from of the transmission area - Secondary activity .

During "quiet" days about 2,000 Virus/Bots/Spyware per day with an average size of 25-50 kb (about 70 MB per Day)

During "worried" days clearly about a gigabyte!

Bait-sample

Incident

50

40

30

20

1050

First-Infections

in

Thousand

Quelle: www.ikarus.atISC to early warning system

Virus activityRising Critical Mass

Majority-PhaseDecreasing-Phase

Initial Outbreak

171615141312111009080706 21201918 22 23t

1st Day - Outbreak-Characteristicsbased on Sober-I

Virus-Start

0

20

40

60

80

100

120

140

160

180

1st Threshold

09

:28

55

1st HOUR - Outbreak-Characteristicsbased on Sober-I

09:3

0

09:3

2

09:3

4

09:3

6

09:3

8

09:4

0

Watch

09

:14

09:1

6

09:1

8

09:2

0

09:2

2

09:2

4

09:2

6

31

117674

6

022

401

Honeypot-First Samples

09:4

4

09:4

6

09:4

8

09:5

0

09:5

2

09:5

4

09:5

6

09:5

8

10:0

0

10:0

2

10:0

4

10:0

6

10:0

8

10:1

0

10:1

2

10

:14

Initialer Outbreak

09

:42

2nd Threshold

x+28 min+14min x+60 min+14minx

in

Thousand


1st Week - Outbreak-Characteristicsbased on Sober-I Timeline

Rising Critical Mass

Outbreak Major-Outbreak

Majority-Phase Decreasing-Phase

Virus-Start

Initial Outbreak

100

80

60

40

20100

24.Mi

23.Di

22.Mo

21.So

20Sa

19.Fr

26.Fr

25.Dot

First-InfectionsAustria

in

Thousand

Quelle: Ikarus/TelekomISC to early warning system

Total Period - Outbreak-Characteristicsbased on Sober-I 9.11.2004 – 06.01.2005 Timeline

Virus-Start

350

300

250

200

150

10080

5020100

t19.Fr

26Fr

3.Fr

10.Fr

17Fr

24.Fr

31.Fr

7.Fr

with Telekom Austria Figures

Majority-PhaseDecreasing-Phase

Initial Outbreak

0

20

40

60

80

100

120

140


15:55

1st HOUR - Outbreak-Characteristicsbased on Zafi.D

15:59

16:03

16:07

15:07

15:11

15:15

15:19

15:23

15:27

15:31

15:35

15:39

15:43

15:47

15:51

x +48min


x+60 min

Initial Outbreak

x+48 min

1st Threshold

0

20

40

60

80

100

120

140


15:55

1st HOUR - Outbreak-Characteristicsbased on Zafi.D

+48min x+60 minx+48 min

15:59

16:03

16:07

15:07

15:11

15:15

15:19

15:23

15:27

15:31

15:35

15:39

15:43

15:47

15:51

x


Initial Outbreak

1st Threshold

with Telekom Austria Figures

14:59

15:03

x - 8min

15:11

x+19min

0

10.000

20.000

30.000

40.000

50.000

60.000

70.000

80.000

90.000

100.000

20 21 22 23 00 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 00 1 2 3 4 5 6

December

Timeline

13. 15.14.

W32/Zafi.D-mm – Outbreak Timeline

F-Secure14 Dec 04 10:31

Norman14 Dec 04 09:51

Kaspersky14 Dec 04 10:02

Data courtesy of AV-Test /MessageLabs/Ikarus

13hrs 17mins

Other Non-Beta Signatures:14/12:04 - 15/04:31

Number

of

V i r uses

StoPped

Consequences of the preventive measures?

IKARUSMessageLabsBitdefenderQuickheal

13 Dec 04 20:34

4 manufactures discover Zafi.D

with heuristic procedures~32 hrs

Timeline Data courtesy of AV-Test /MessageLabs/Ikarus

Number

of

V i r uses

StoPped

0

10.000

20.000

30.000

40.000

50.000

60.000

70.000

80.000

90.000

100.000

13.Mo

15.Mi

14.Di

16.Do

17.Fr

18.Sa

19.So

1. day 2. day 4. day 5. day3. day 6. day 7. day

Influence of the preventive measures ?

~32 hrs

Influence of the preventive measures

250.000

500.000

1.000.000

2.000.000

3.000.000

4.000.000

5.000.000

6.000.000

7.000.000

8.000.000

Timeline

100.000

50.000

0

1. day 2. day 4. day 5. day3. day 6. day 7. day

Sober.I

Sobig.F

Conclusion

•Factor Time

•Communicationstructures

•Responsemanner

•Sensors-Diversity

•Sensors-Density

Gründe für die Misere

45 Patches von Microsoft

374Updates von AV-Software

3780 Vulnerabilities von CERT registriert

102 dringliche CERT Advisories

2004 – Security Anforderungen

2580 verschiedene Security-Notes publiziert

315 / Monat

215 / Monat

31 / Monat

8 / Monat

3 / Monat

Ergibt: 20 erforderliche Reaktionen pro TAG

222 Updates von AV-Software 1Q 2005 74 / Monat

20 erforderliche Reaktionen pro TAG

- Sie verfügen über entsprechendesKnow-how in allen betroffenen Bereichen

vorausgesetzt:

- Sie verfügen über die erforderliche Infra-strukturen

- Sie verfügen über die erforderlichen Mitarbeiter

Denken Sie nach:Wieviele Aufgaben hat ein Administrator neben Security pro Tag ?

Ressourcen versusBedrohungsbild

00h 02h 04h 06h 08h 10h 12h 14h 16h 18h 20h 22h

Anzahl von Attacken

Präsenz vonAttacken

Präsenz vonIT-Personalin KMU´s

Mangelnde

AwarenessAnwender interessiert Security (zu Recht) nur mässig bis gar nicht

Mangelnde

SicherheitskonzeptionAnwender sind NICHT in der Lage Ihre Systeme zu verstehen

Geschweige denn auch Up-to-date und damit „sicherer“ zu halten

„virenscanner kämpfen nur gegen symptomeeiner viel tieferen strukturellen ursache.

solange nicht letzteres in angriff genommen wird, werden wir weiterhin jede woche über

neue große virenausbrüche lesen. „

Posting in der ORF-FuturezoneAnlässlich des I.Worm.Bagle.U Berichts März 04.

atr0x

Providerbasierende Virenfilterwww.uta.at/virenschutz

http://securemail.telekom.at

Hosted Security Serviceshttp://business.telekom.at/produkte/itsolutions/security_service

„Sicherere“ BetriebssystemeOS-Hardening

Paladium

AwarenessSicherheitsdenken muss Bestand der Ausbildung werden

Klare Kommunikationsschnittstellen

Inter/Nationale VirenabwehrnetzeISC-SANS, CIRCA

Konzentration der Abwehrmaßnahmen

D A N K E

Was sind Viren ? Herausforderung Aktuelle Entwicklungen · SQL-Slammer Worm Bugbear Worm Jän Feb...

Documents

Transcript of Was sind Viren ? Herausforderung Aktuelle Entwicklungen · SQL-Slammer Worm Bugbear Worm Jän Feb...