Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst
description
Transcript of Bezpečnostní IT hrozby 2012/2013 Filip Chytrý Malware Analyst
Bezpečnostní IT hrozby
2012/2013
Filip ChytrýMalware Analyst
• BYOD/Mobilní útoky• Embedded zařízení• Windows malware• Exploit• Sociální inženýrství• Cílené útoky• Ztráta dat
Agenda
• Antivirus je mrtvá technologie• Nejlepší AV je žádný AV• *nix/Mac je bezpečný• Brouzdání po bezpečném internetu• Elvis žije!
Lidová tvořivost
• Mobilní boom pokračuje– 1.000.000.000 Android zařízení v roce 2013– iOS, Windows Mobile
• Nízké povědomí uživatelů– Výkon a technická složitost zařízení– Rizika připojení do internetu– Rizika využívání marketů• play.google.com není výjimkou http://goo.gl/oUaXX
– Soukromí
Mobilní svět
Android Malware
0
2000
4000
6000
8000
10000
12000
14000
0
20000
40000
60000
80000
100000
120000
140000
160000
Daily samplesPolynomial (Daily samples)Cumulative samplesPolynomial (Cumulative samples)
• Zdrojem nejčastěji alternativní markety• Podvodné aplikace a prémiové SMS– Zneužívající populární aplikace
• Nabídka (i)legálních Spyware aplikací• Očekávaný rozvoj exploit balíčků
Android Malware #2
• Na PC známý model FakeAV– Aplikace vydávající se za antivirus, vyžadující
platbu pro odstranění neexistující infekce• Android Security Suite Premium– Ve skutečnosti Spyware– Odesílající SMS na Zeus servery– Namířeno proti španělským uživatelům
Android Zitmo
• Narušena integrita sítě a její bezpečnost– Zaměstnanci dostávají nebo si nosí vlastní– Téměř nemožná kontrola vlastních zařízení
• Náhodné ztráty dat• Cílené útoky– Odposlechy v místnosti– Krádeže dat– Odcizení přístupových údajů
• Avast Mobile Security
Bring Your Own Device
• Zařízení připojená do sítě, k internetu– Plnohodnotné počítače zneužitelné pro distribuci
malware• Útoky proti tiskárnám• Modemy, směrovače, …• Zařízení využívající libupnp od Intelu– http://goo.gl/rIcGJ
• Odhalení často velmi složité• Ochrana koncových uživatelů
Embedded zařízení
• Nejčastěji cílená platforma• Převládá finanční motivace• Výpočetní síla a její zneužití– Krádeže a prodej citlivých dat– Bankovní malware
• Nárůst informačně motivovaných útoků– Cílené útoky proti organizacím– Státní špionáž
Windows malware
1.9 Miliardy virových hlášení
0.0
500000000.0
1000000000.0
1500000000.0
2000000000.0
2500000000.0
3000000000.0
1,447,066,229.081,257,155,494.941,275,559,989.211,328,287,377.451,299,178,303.911,239,866,472.35
1,107,541,505.33948,894,579.231,001,646,791.08
916,715,977.791,070,208,575.25
1,354,476,792.111,483,093,773.75
2,382,936,761.622,497,042,445.60
1,997,490,331.501,833,049,760.691,778,448,669.90
1,652,147,512.271,633,356,330.96
1,957,921,630.35
2,180,798,393.302,253,587,427.92
1,918,410,688.401,811,707,335.57
Zablokované útokyV miliardách / měsíc
Web – hlavní kanál šíření malware
37%
63%
Lokální X síťové incidenty
Local incidents
Network incidents
Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec0.0
50,000.0
100,000.0
150,000.0
200,000.0
250,000.0
300,000.0
350,000.0
Infikované webové stránky
2011 2012 2013
• Nárůst popularity exploit balíčků– Infikování jako služba
• Útoky využívající vysoce prevalenční aplikace– Adobe Flash (91%)– Adobe Reader (75%)– Java (60%)– Prohlížeče (IE, Firefox, …)
• Neexistuje prototyp bezpečného chování
Exploit packs
Právě využívané exploity (web)
20042005
20062007
20082009
20102011
20122013
02468
10121416
Rok objevení chyb využívaných při aktuálních útocích z webu
OtherJavaAdobeIE
• Exploit pro aktuální verzi produktu– Bez možnosti zabezpečit systém aktualizací– Řešení často jen přídavnými produkty
• 2012 – raketový nástup • 2013 – pokračující trend• Autoři malware aktivně nakupují– Cool Exploit Kit & CVE-2013-0422– 5.000$– Milióny nechráněných zařízení
0-day útoky
• Rychlá aktualizační politika– V případě 0-day téměř nemožné– Jednorázové záplaty• Poskytnuté výrobcem software před jeho aktualizací
• Ochrana koncových stanic– AVAST Antivirus– NSS Labs Comparatives: http://goo.gl/POVT6
• Analýza logů– Příliš pozdě, k infiltraci již došlo
Ochrana před exploity
Jak vypadá skutečnost?
Adobe Flash Oracle Java Adobe Reader
0%10%20%30%40%50%60%70%80%90%
100%
Bez aplikaceAktuální verzeŠpatná verze
Alespoň jedna z cest?
• Korporátní sféra bohužel není vyjímkou
35%
22%
14%
7%
15%
6%
Score = b_Java*3 + b_Flash*2 + b_Reader*2
• Ani plně záplatovaný počítač není odolný obsluhuje-li jej člověk
• Scareware– Vyvolání pocitu strachu, zahnání do kouta– Uvěří-li, postupuje podle pokynů útočníků
• Falešné antivirové programy– Webová stránka zobrazující infekci, nabízí léčení– Uživatel sám instaluje malware v domnění, že
dělá správnou věc
Sociální inženýrství
• Ransomware – Pokročilejší a stále oblíbenější forma zisku
• Výkupné nebo ztráta cenných dat?– Data na napadeném stroji znehodnocena– Blokován internet (Policejní)
• Uživatel často zaplatí– Doufá v navrácení dat– Strach z trestního stíhání
Sociální inženýrství #2
• Na nevládní organizace, korporace, …– Wateringhole útok: http://goo.gl/CWq1H
• Národní/politické zájmy– Red October reportovaný začátkem ledna
• Spojení sociálního inženýrství a exploitů– Podvržené dokumenty– PDF – DOC, XLS, RTF (CVE-2010-3333, CVE-2012-0158)
• Rostoucí trend i v roce 2013
Cílené útoky
• V první řadě jsou nutná školení zaměstnanců– Prototypy vhodného chování– Řešení krizových situací
• BYOD, nastavená pravidla– Vše souvisí se vším
• Ochrana koncových stanic• Analýza logů– Post mortem
Efektivní obrana?
• Data v ohrožení– Finančního charakteru– Špionáž – Odcizení, znehodnocení
• Přístupové údaje v rukou útočníků• Zneužití infrastruktury– Distribuce malware– Výpočetní síla
Následky infiltrace
• Zneužití značky, jména firmy• Cílené útoky na obchodní partnery– Zneužití ukradených dokumentů/kontaktů
• Útoky na zaměstnance– Využívající firemní infrastrukturu k soukromým
účelům– Infikování jejich zařízení
• Útoky na zákazníky– Platební informace
Následky infiltrace #2
• Nárůst mobilních zařízení– Nezvyšující se povědomí o nebezpečí– Nástup vzdálených útoků
• Útoky proti embedded zařízení• Mnoho nových 0-day exploitů– Kupované autory malware
• Nárůst cílených útoků• Nárůst útoků zaměřených na krádeže dat či
na jejich znehodnocení
Očekávání v roce 2013
Q&AQuestions & (maybe) Answers
www.avast.com