Aula 03 - Unisinos

Propaganda
Aula 03
Malware (Parte 01)
Visão Geral
Prof. Paulo A. Neukamp
Mallware (Parte 01)
Objetivo: Descrever de maneira
introdutória o funcionamento de
códigos maliciosos e os seus
respectivos impactos.
Agenda
 Revisão: Aula 02
 Malware: Visão Geral
 Tipos de Códigos Maliciosos
 Atividade 03
 Conclusões
 Referências Bibliográficas
Revisão: Aula 02
 Ataques:
 Estatísticas (Cert.BR)
 Definições (hacker, cracker, script kiddies, phreaker)
 Tipos de Ataques
 Anatomia de um Ataque
 Estágios
 Leitura Complementar
 Atividade 02
Malware: Visão Geral
 Definição de Malware
 O termo Malware se refere a programas desenvolvidos
especificamente
para
executar
ações
danosas
em
um
computador (códigos maliciosos).
 Exemplos de malcode: vírus, cavalos de tróia, backdoors,
spywares, keylogger, worms, rootkits e bots
Tipos de Códigos Maliciosos
 Vírus de Computador
 É um programa ou parte de um programa de computador,
normalmente malicioso, que se propaga infectando, isto é,
inserindo cópias de si mesmo e se tornando parte de outros
programas e arquivos de um computador. O vírus depende da
execução do programa ou arquivo hospedeiro para que
possa se tornar ativo e dar continuidade ao processo de
infecção.
Tipos de Códigos Maliciosos
 Cavalo de Tróia
 É um programa, normalmente recebido como um "presente" (por
exemplo, cartão virtual, álbum de fotos, protetor de tela, jogo,
etc), que além de executar funções para as quais foi
aparentemente projetado, também executa outras funções
normalmente danosas e sem o conhecimento do usuário.
Tipos de Códigos Maliciosos
 Cavalo de Tróia (continuação)
 Algumas das funções maliciosas que podem ser executadas por
um
cavalo
de
tróia
são:
instalação
de
keyloggers
ou
screenloggers, furto de senhas e outras informações sensíveis,
como números de cartões de crédito, inclusão de backdoors,
para permitir que um atacante tenha total controle sobre o
computador.
Tipos de Códigos Maliciosos
 Backdoors
 Normalmente um atacante procura garantir uma forma de
retornar a um computador comprometido, sem precisar recorrer
aos métodos utilizados na realização da invasão. A esses
programas que permitem o retorno de um invasor a um
computador comprometido, utilizando serviços criados ou
modificados para este fim, dá-se o nome de backdoor.
Tipos de Códigos Maliciosos
 Spyware
 Software que tem o objetivo de monitorar atividades de um
sistema e enviar as informações coletadas para terceiros.
Atividades realizadas por esse tipo de malware:
 Monitoramento de URLs acessadas enquanto o usuário
navega na Internet;
 varredura dos arquivos armazenados no disco rígido do
computador;
 monitoramento e captura de informações inseridas em
outros programas, como IRC ou processadores de texto;
cavalo de tróia -> spyware (keyloggers ou screenloggers)
Tipos de Códigos Maliciosos
 Keylogger / Screenlogger
 É um programa capaz de capturar e armazenar as teclas
digitadas pelo usuário. Dentre as informações capturadas podem
estar o texto de um e-mail, dados digitados na declaração de
Imposto de Renda e outras informações sensíveis, como senhas
bancárias e números de cartões de crédito.
Tipos de Códigos Maliciosos
 Worms
 Código capaz de propagar-se automaticamente através de
redes, enviando cópias de si mesmo de computador para
computador. Diferente do vírus, o worm não embute cópias de si
mesmo em outros programas ou arquivos e não necessita ser
explicitamente executado para se propagar.
Tipos de Códigos Maliciosos
 Worms (continuação)
 Sua
propagação
se
dá
através
da
exploração
de
vulnerabilidades existentes ou falhas na configuração de
softwares
instalados
em
computadores.
Worms
são
responsáveis por consumir muitos recursos.
 Detectar a presença de um worm em um computador não é uma
tarefa fácil. Muitas vezes os worms realizam uma série de
atividades, incluindo sua propagação, sem que o usuário tenha
conhecimento.
Tipos de Códigos Maliciosos
Tipos de Códigos Maliciosos
 Rootkits
 Um invasor, ao realizar uma invasão, pode utilizar mecanismos
para esconder e assegurar a sua presença no computador
comprometido. O conjunto de programas que fornece estes
mecanismos são conhecidos como rootkit.
Tipos de Códigos Maliciosos
 Rootkits (continuação)
 Fornecem programas com as mais diversas funcionalidades. Dentre
eles, podem ser citados:
 programas para esconder atividades e informações deixadas
pelo invasor, tais como arquivos, diretórios, processos, conexões
de rede;
 programas para remoção de evidências em arquivos de logs;
 Sniffers;
 Backdoors e scanners;
 Cavalos de tróia;
 Keyloggers;
 Ferramentas de ataque de negação de serviço.
Tipos de Códigos Maliciosos
Trojan.Mebroot
Tipos de Códigos Maliciosos
 Bots
 Programas capazes se propagar automaticamente, explorando
vulnerabilidades existentes ou falhas na configuração de
softwares
instalados
em
um
computador.
Dispõem
de
mecanismos de comunicação com o invasor, permitindo
que o bot seja controlado remotamente.
Tipos de Códigos Maliciosos
 Bots (continuação)
 O bot se conecta a um servidor de IRC (Internet Relay Chat) e
entra em um canal (sala) determinado. Então, aguarda por
instruções do invasor, monitorando as mensagens que estão
sendo enviadas para este canal. O invasor, ao se conectar ao
mesmo servidor e no mesmo canal, envia mensagens
compostas por seqüências especiais de caracteres, que são
interpretadas pelo bot.
Tipos de Códigos Maliciosos
 Bots (continuação)
 Botnets são redes formadas por computadores infectados com
bots. Estas redes podem ser compostas por centenas ou
milhares de computadores. Um invasor que tenha controle sobre
uma botnet pode utilizá-la para aumentar a potência de seus
ataques, por exemplo, para enviar centenas de milhares de emails de phishing ou spam, desferir ataques de negação de
serviço, etc.
Tipos de Códigos Maliciosos
 Botnets
Tipos de Códigos Maliciosos
 Leitura Complementar
 Texto: IBM Internet Security Systems X-Force® 2008 Mid-Year Trend
Statistics (pages 65-75)
 Link:
 www-935.ibm.com/services/us/iss/xforce/midyearreport/xforcemidyear-report-2008.pdf
Atividade 03
 Responda as seguintes questões:
 Acesse Threat Explorer no site da Symantec e faça um resumo
sobre as 3 primeiras ameaças e vulnerabilidades reportadas. Link:
http://www.symantec.com/business/security_response/index.jsp.
 Verifique a descrição de malwares do tipo backddors e trojan
através do site http://viruslist.com/
Atividade 03
 Responda as seguintes questões:
 Um aspecto que não podemos negligenciar é a conscientização
dos usuários sobre como se proteger de códigos maliciosos. Sobre
esse assunto o Cert.br produziu alguns vídeos muito interessantes
que recomendo a todos. Acessem em
http://www.antispam.br/videos/ e utilizem esse material dentro das
empresas em que vocês trabalham.
Atividade 03
 Responda as seguintes questões:
 Assista o vídeo sobre SPAM produzido pelo Cert.br e descreva os
tipos de spam existentes.
 Pesquise sobre vetores de propagação de spam. Não esqueça de
que se trata de uma pesquisa e, portanto, as fontes devem ser
referenciadas.
Conclusões e Resultados
 Código maliciosos são responsáveis por um número significativo de
incidentes de segurança;
 A identificação de determinados tipos de malware é uma tarefa
complexa;

Os worms, rootkits e bots são ameaças cujo funcionamento e
detecção são alvos de muitas pesquisas, tanto no meio acadêmico
quanto na indústria de software de detecção de códigos maliciosos.
Dica
http://www.microsoftvirtualacademy.com/Home.aspx
Conclusões e Resultados
 Ao término dessa aula o aluno esta apto para:
 Descrever o funcionamento dos principais tipos de malcode;
 Refletir sobre a detecção dos códigos maliciosos;
 Comunicar os usuários sobre os riscos referentes aos códigos
maliciosos vistos nessa aula.
Referências Bibliográficas
 Cert.br. Cartilha de Segurança para Internet. Centro de Estudos,
Resposta e Tratamento de Incidentes de Segurança no Brasil.
Disponível em: http://cartilha.cert.br/fraudes/sec2.html
 Symantec. Security Response. Disponível em:
http://www.symantec.com/business/security_response/index.jsp
 Viruslist. Information about Viruses. Disponível em:
http://www.viruslist.com/
Download