La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

SEMINARIO DI SICUREZZA INFORMATICA COMPUTER VIRUS E WORM STUDENTE: BENEDETTO VOLTATTORNI DOCENTE: STEFANO BISTARELLI.

PubblicatoGloria Linda Vigano Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "SEMINARIO DI SICUREZZA INFORMATICA COMPUTER VIRUS E WORM STUDENTE: BENEDETTO VOLTATTORNI DOCENTE: STEFANO BISTARELLI."— Transcript della presentazione:

1 SEMINARIO DI SICUREZZA INFORMATICA COMPUTER VIRUS E WORM STUDENTE: BENEDETTO VOLTATTORNI DOCENTE: STEFANO BISTARELLI

2 INDICE ● INTRODUZIONE Terminologia Introduttiva Dipendenze per la diffusione ● VIRUS Boot Virus File Infector Tecniche di evoluzione del codice virale ● WORM Struttura generica Target locator Tecniche di trasporto

3 INTRODUZIONE: Terminologia introduttiva VIRUS 1984, Fred Cohen “Un virus informatico è un programma in grado di infettare altri programmi modificandoli e inserendo una copia possibilmente evoluta di se stesso.” 2005, Peter Szor “Un virus informatico è un programma che ricorsivamente ed esplicitamente copia una forma possibilmente più evoluta di se stesso.”

4 INTRODUZIONE: Terminologia introduttiva WORM Un worm può essere considerato come un virus il cui vettore di infezione è rappresentato dalla rete. Sono applicazioni in grado di eseguirsi automaticamente in una macchina remota senza intervento da parte dell'utente. Generalmente si tratta di applicazioni standalone che non necessitano quindi di infettare altri file.

5 INTRODUZIONE: Terminologia introduttiva ALTRE TIPOLOGIE DI MALWARE Trojan Horse: programma con funzionalità apparentemente utili per l'utente, ma che nasconde in sé altre funzionalità dannose e nascoste alla vittima (es. funzioni di backdoor e rootkit). Backdoor: utilizzata da parte dell'attaccante per oltrepassare le misure di autenticazione di un sistema informatico, garantendo il controllo remoto del computer vittima. Si può presentare come un programma a se stante o come modifica di un programma già esistente. Spyware: malware che spia le abitudini dell'utente raccogliendo informazioni come ad esempio la cronologia del browser, per poi spedirle verso l'esterno. Rootkit: malware il cui scopo principale è quello di nascondere il fatto che il sistema è stato compromesso.

6 INTRODUZIONE: Dipendenze per la diffusione DIPENDENZA DALLA CPU Durante la compilazione viene generato codice macchina Il codice macchina dipende dal'ISA della CPU ES: Istruzione NOP (Assembly) POWERPC X86 OPCODE: 0x600000000 OPCODE: 0x90

7 INTRODUZIONE: Dipendenze per la diffusione DIPENDENZA DAL SISTEMA OPERATIVO In particolare parliamo di dipendenza dal particolare formato di file:.dll.sys.obj.exe PORTABLE EXECUTABLE (PE) ELF

8 INTRODUZIONE: Dipendenze per la diffusione EXE aperto con editor Esadecimale

9 VIRUS Boot Virus File Infector

10 VIRUS: Boot Virus Boot Virus: infezione del Master Boot Record (primo settore disco) MBR PT

11 VIRUS: Boot Virus BOOT VIRUS STONED

12 VIRUS: File Infector File Infector: codice copiato all'interno di altri file

13 VIRUS: File Infector File Infector: codice copiato all'interno di altri file I virus criptati cercano di aggirare scansioni di antivirus basate su ricerca di FIRME VIRALI Cavity Virus

14 VIRUS: Tecniche di evoluzione del codice virale CRITTOGRAFIA DEL CODICE: No algoritmi di crittografia complessi (DES …), in quanto aumenterebbero la grandezza del file ma utilizzo di semplici operazioni assembly per modificare il codice come ADD, SUB, XOR … Le operazioni di cifratura godono tutte della seguente proprietà: C' = C op K C = C' (op^) K C = codice in chiaro C' = codice cifrato op = operatore op^ = operatore inverso K = chiave

15 VIRUS: Tecniche di evoluzione del codice virale ESEMPIO CRITTOGRAFIA CON OPERATORE XOR Siano C e K espressi in esadecimale C = 0x50 K = 0x99 da cui calcoliamo C' = 0x50 XOR 0x99 = 0XC9 e per effettuare il procedimento inverso C = 0XC9 XOR 0X99 = 0x50 Nel caso dello XOR, op = op^, se avessimo usato come op l'ADD, avremmo avuto op^ = SUB e così via.

16 VIRUS: Tecniche di evoluzione del codice virale NB: Ad ogni nuova infezione il virus utilizza una chiave diversa

17 VIRUS: Tecniche di evoluzione del codice virale POLIMORFISMO DEL CODICE: Possono essere considerati un'evoluzione dei virus crittografati. Il decryptor viene cambiato ad ogni nuova infezione grazie a un mutation engine. 1 – Il virus viene attivato 2 – Il decryptor decifra il mutation engine e il corpo del virus di un file A 3 – Il virus infetta il file B inserendo al suo interno il corpo del virus decifrato e un nuovo decryptor generato dal mutation engine. Quest'ultimo viene inserito all'interno del file B ed infine vengono cifrati sia il mutation engine che il corpo del virus.

18 VIRUS: Tecniche di evoluzione del codice virale COME BLOCCARE UN VIRUS POLIMORFO? Una possibile tecnica consiste nel far eseguire il virus all'interno di un'ambiente virtuale e approfittare della fase di decrypting per effettuare un controllo basato su firma virale.

19 VIRUS: Tecniche di evoluzione del codice virale COME BLOCCARE UN VIRUS POLIMORFO? Una possibile tecnica consiste nel far eseguire il virus all'interno di un'ambiente virtuale e approfittare della fase di decrypting per effettuare un controllo basato su firma virale.

20 VIRUS: Tecniche di evoluzione del codice virale COME BLOCCARE UN VIRUS POLIMORFO? Una possibile tecnica consiste nel far eseguire il virus all'interno di un'ambiente virtuale e approfittare della fase di decrypting per effettuare un controllo basato su firma virale.

21 VIRUS: Tecniche di evoluzione del codice virale COME BLOCCARE UN VIRUS POLIMORFO? Una possibile tecnica consiste nel far eseguire il virus all'interno di un'ambiente virtuale e approfittare della fase di decrypting per effettuare un controllo basato su firma virale.

22 VIRUS: Tecniche di evoluzione del codice virale COME BLOCCARE UN VIRUS POLIMORFO? Una possibile tecnica consiste nel far eseguire il virus all'interno di un'ambiente virtuale e approfittare della fase di decrypting per effettuare un controllo basato su firma virale.

23 WORM: Definizione A differenza di un virus, un worm: - Si propaga attraverso la RETE - Non necessitano di un file host da infettare (necessariamente...) Esistono due tipologie di worm: 1 – active worms, non richiedono l'intervento dell'utente per la propagazione. 2 – e-mail worms, richiedono l'intervento dell'utente per la propagazione

24 WORM: Struttura generica COMPONENTI ESSENZIALI TARGET LOCATOR : Individuazione di nuovi bersagli (indirizzi e-mail, IP vulnerabili ecc.) INFECTION PROPAGATOR : Trasferimento del worm e infezione COMPONENTI FACOLTATIVE REMOTE CONTROL AND UPDATE INTERFACE PAYLOAD : DoS, backdoor, raccolta informazioni sensibili SELF-TRACKING : tracciamento degli host infetti.

25 WORM: Target Locator Ricerca di indirizzi e-mail: ● Address Book (Outlook) ● Scansione di file (TXT, PHP, HTML ecc. ecc.) ● Controllo runtime di servizi SMTP Network Scanning: ● Random Scanning: IP target scelto in maniera casuale con l'inconveniente che un target può essere scelto più volte. ● Hit-list scanning: worm distribuito con una lista di n target potenzialmente vulnerabili; a ogni infezione passa metà lista al nuovo worm

26 WORM: Propagazione dell'infezione ● E-MAIL : (social engineering) ● BACKDOOR preesistenti ● Utilizzo di reti P2P ● Messagistica Istantanea (MSN, ICQ ecc. ecc.) Es. FREE PORN: http://free:porn@192.168.0.1:8180porn@192.168.0.1 ● Vulnerabilità di applicazioni (quindi niente intervento del'utente) ESEMPIO: Worm SLAMMER (Gennaio 2003) - 376 Bytes - SO Windows - Propagazione tramite Stack Overflow (Microsoft Sql Server 2000), porta UDP 1434 con IP possibilmente spoofato - Payload: nessuno - Effetti : Targhet locator con random in loop infinito, CPU 100% e rete congestionata

27 WORM: Propagazione dell'infezione Propagazione di Slammer nel giro di 30 minuti, circa 75000 host infettati.

28 GRAZIE PER L'ATTENZIONE

Scaricare ppt "SEMINARIO DI SICUREZZA INFORMATICA COMPUTER VIRUS E WORM STUDENTE: BENEDETTO VOLTATTORNI DOCENTE: STEFANO BISTARELLI."

Presentazioni simili

Virus Informatici.

Virus Informatici.
SICUREZZA INFORMATICA

SICUREZZA INFORMATICA
Virus & Antivirus.

Virus & Antivirus.
UNITA’ 02 Malware.

UNITA’ 02 Malware.
IT SECURITY Malware.

IT SECURITY Malware.
SICUREZZA DEI SISTEMI INFORMATICI ATTACCHI AI SISTEMI INFORMATICI PROF. GIUSEPPE MASTRONARDI POLITECNICO DI BARI DIPARTIMENTO DI ELETTROTECNICA ED ELETTRONICA.

SICUREZZA DEI SISTEMI INFORMATICI ATTACCHI AI SISTEMI INFORMATICI PROF. GIUSEPPE MASTRONARDI POLITECNICO DI BARI DIPARTIMENTO DI ELETTROTECNICA ED ELETTRONICA.
UNIVERSITA' DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea Magistrale in Informatica Anno Accademico 2010 -

UNIVERSITA' DEGLI STUDI DI PERUGIA Facoltà di Scienze Matematiche, Fisiche e Naturali Corso di Laurea Magistrale in Informatica Anno Accademico
Università degli Studi di Perugia, LS in Informatica Seminario per il corso di Sicurezza Informatica (Prof. S. Bistarelli) Valentina Franzoni I nuovi paradigmi.

Università degli Studi di Perugia, LS in Informatica Seminario per il corso di Sicurezza Informatica (Prof. S. Bistarelli) Valentina Franzoni I nuovi paradigmi.
Giuditta Cantoni, 4 E S.I.A I DATABASE. Definizione databese In informatica, il termine database, banca dati o base di dati (a volte abbreviato con il.

Giuditta Cantoni, 4 E S.I.A I DATABASE. Definizione databese In informatica, il termine database, banca dati o base di dati (a volte abbreviato con il.
Corso di Alta formazione in TL&OS Modulo 1.3 Reti e Servizi - lezione 1 Modulo 1.3 Reti e servizi 1. Introduzione al Networking Connettere il PC in rete;

Corso di Alta formazione in TL&OS Modulo 1.3 Reti e Servizi - lezione 1 Modulo 1.3 Reti e servizi 1. Introduzione al Networking Connettere il PC in rete;
1 14 marzo 2006 sommaruga andrea Fondazione Ordine Ingegneri di Milano VPN: Reti Private Virtuali VPN: RETI PRIVATE VIRTUALI LE POSSIBILITA' DI ACCESSO.

1 14 marzo 2006 sommaruga andrea Fondazione Ordine Ingegneri di Milano VPN: Reti Private Virtuali VPN: RETI PRIVATE VIRTUALI LE POSSIBILITA' DI ACCESSO.
Fabrizio Felici Linux e Windows a confronto, perché passare a Linux 27 ottobre 2007.

Fabrizio Felici Linux e Windows a confronto, perché passare a Linux 27 ottobre 2007.
Corso gratuito di Linux. Linux User Group Mantova

Corso gratuito di Linux. Linux User Group Mantova
Window Mobile Antivirus Perché abbiamo bisogno di antivirus per Windows Mobile?

Window Mobile Antivirus Perché abbiamo bisogno di antivirus per Windows Mobile?
Università degli Studi - “ G. d'Annunzio ” Chieti - Pescara FACOLTÀ DI ECONOMIA Corso di laurea in Economia Informatica/s Seminario di: Giovanni Placentino.

Università degli Studi - “ G. d'Annunzio ” Chieti - Pescara FACOLTÀ DI ECONOMIA Corso di laurea in Economia Informatica/s Seminario di: Giovanni Placentino.
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Trusted Computing: Ecco il tuo Futuro Antonio Angelotti.

Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Trusted Computing: Ecco il tuo Futuro Antonio Angelotti.
Protocolli per la sicurezza. Le tre AAA Ai livelli più bassi del protocollo ISO/OSI i meccanismi di sicurezza garantiscono le tre AAA Autenticazione Autorità.

Protocolli per la sicurezza. Le tre AAA Ai livelli più bassi del protocollo ISO/OSI i meccanismi di sicurezza garantiscono le tre AAA Autenticazione Autorità.
User Group Riccardo Righi Analista Titulus e titulus organi.

User Group Riccardo Righi Analista Titulus e titulus organi.
Virtual Private Networks

Virtual Private Networks
Sistemi e Applicazioni per l’Amministrazione Digitale

Sistemi e Applicazioni per l’Amministrazione Digitale

Presentazioni simili

Annunci Google