aula 03 malware (parte 01) visão geral -...

Aula 03

Malware (Parte 01)

Visão Geral

Prof. Paulo A. Neukamp

Mallware (Parte 01)

Objetivo: Descrever de maneira

introdutória o funcionamento de

códigos maliciosos e os seus

respectivos impactos.

Revisão: Aula 02

Malware: Visão Geral

Tipos de Códigos Maliciosos

Atividade 03

Conclusões

Referências Bibliográficas

Agenda

Ataques:

Estatísticas (Cert.BR)

Definições (hacker, cracker, script kiddies, phreaker)

Tipos de Ataques

Anatomia de um Ataque

Estágios

Leitura Complementar

Atividade 02

Revisão: Aula 02

Definição de Malware

O termo Malware se refere a programas desenvolvidos

especificamente para executar ações danosas em um

computador (códigos maliciosos).

Exemplos de malcode: vírus, cavalos de tróia, backdoors,

spywares, keylogger, worms, rootkits e bots

Malware: Visão Geral

Vírus de Computador

É um programa ou parte de um programa de computador,

normalmente malicioso, que se propaga infectando, isto é,

inserindo cópias de si mesmo e se tornando parte de outros

programas e arquivos de um computador. O vírus depende da

execução do programa ou arquivo hospedeiro para que

possa se tornar ativo e dar continuidade ao processo de

infecção.


Cavalo de Tróia

É um programa, normalmente recebido como um "presente" (por

exemplo, cartão virtual, álbum de fotos, protetor de tela, jogo,

etc), que além de executar funções para as quais foi

aparentemente projetado, também executa outras funções

normalmente danosas e sem o conhecimento do usuário.


Cavalo de Tróia (continuação)

Algumas das funções maliciosas que podem ser executadas por

um cavalo de tróia são: instalação de keyloggers ou

screenloggers, furto de senhas e outras informações sensíveis,

como números de cartões de crédito, inclusão de backdoors,

para permitir que um atacante tenha total controle sobre o

computador.


Backdoors

Normalmente um atacante procura garantir uma forma de

retornar a um computador comprometido, sem precisar recorrer

aos métodos utilizados na realização da invasão. A esses

programas que permitem o retorno de um invasor a um

computador comprometido, utilizando serviços criados ou

modificados para este fim, dá-se o nome de backdoor.


Spyware

Software que tem o objetivo de monitorar atividades de um

sistema e enviar as informações coletadas para terceiros.

Atividades realizadas por esse tipo de malware:

Monitoramento de URLs acessadas enquanto o usuário

navega na Internet;

varredura dos arquivos armazenados no disco rígido do

computador;

monitoramento e captura de informações inseridas em

outros programas, como IRC ou processadores de texto;

cavalo de tróia -> spyware (keyloggers ou screenloggers)


Keylogger / Screenlogger

É um programa capaz de capturar e armazenar as teclas

digitadas pelo usuário. Dentre as informações capturadas podem

estar o texto de um e-mail, dados digitados na declaração de

Imposto de Renda e outras informações sensíveis, como senhas

bancárias e números de cartões de crédito.


Worms

Código capaz de propagar-se automaticamente através de

redes, enviando cópias de si mesmo de computador para

computador. Diferente do vírus, o worm não embute cópias de si

mesmo em outros programas ou arquivos e não necessita ser

explicitamente executado para se propagar.


Worms (continuação)

Sua propagação se dá através da exploração de

vulnerabilidades existentes ou falhas na configuração de

softwares instalados em computadores. Worms são

responsáveis por consumir muitos recursos.

Detectar a presença de um worm em um computador não é uma

tarefa fácil. Muitas vezes os worms realizam uma série de

atividades, incluindo sua propagação, sem que o usuário tenha

conhecimento.


Rootkits

Um invasor, ao realizar uma invasão, pode utilizar mecanismos

para esconder e assegurar a sua presença no computador

comprometido. O conjunto de programas que fornece estes

mecanismos são conhecidos como rootkit.


Rootkits (continuação)

Fornecem programas com as mais diversas funcionalidades. Dentre

eles, podem ser citados:

programas para esconder atividades e informações deixadas

pelo invasor, tais como arquivos, diretórios, processos, conexões

de rede;

programas para remoção de evidências em arquivos de logs;

Sniffers;

Backdoors e scanners;

Cavalos de tróia;

Keyloggers;

Ferramentas de ataque de negação de serviço.



Trojan.Mebroot

Bots

Programas capazes se propagar automaticamente, explorando

vulnerabilidades existentes ou falhas na configuração de

softwares instalados em um computador. Dispõem de

mecanismos de comunicação com o invasor, permitindo

que o bot seja controlado remotamente.


Bots (continuação)

O bot se conecta a um servidor de IRC (Internet Relay Chat) e

entra em um canal (sala) determinado. Então, aguarda por

instruções do invasor, monitorando as mensagens que estão

sendo enviadas para este canal. O invasor, ao se conectar ao

mesmo servidor e no mesmo canal, envia mensagens

compostas por seqüências especiais de caracteres, que são

interpretadas pelo bot.


Bots (continuação)

Botnets são redes formadas por computadores infectados com

bots. Estas redes podem ser compostas por centenas ou

milhares de computadores. Um invasor que tenha controle sobre

uma botnet pode utilizá-la para aumentar a potência de seus

ataques, por exemplo, para enviar centenas de milhares de e-

mails de phishing ou spam, desferir ataques de negação de

serviço, etc.


Botnets


Leitura Complementar

Texto: IBM Internet Security Systems X-Force® 2008 Mid-Year Trend

Statistics (pages 65-75)

Link:

www-935.ibm.com/services/us/iss/xforce/midyearreport/xforce-

midyear-report-2008.pdf


Responda as seguintes questões:

Acesse Threat Explorer no site da Symantec e faça um resumo

sobre as 3 primeiras ameaças e vulnerabilidades reportadas. Link:

http://www.symantec.com/business/security_response/index.jsp.

Verifique a descrição de malwares do tipo backddors e trojan

através do site http://viruslist.com/

Atividade 03

http://www.symantec.com/business/security_response/index.jsp









http://viruslist.com/






Um aspecto que não podemos negligenciar é a conscientização

dos usuários sobre como se proteger de códigos maliciosos. Sobre

esse assunto o Cert.br produziu alguns vídeos muito interessantes

que recomendo a todos. Acessem em

http://www.antispam.br/videos/ e utilizem esse material dentro das

empresas em que vocês trabalham.

Atividade 03

http://www.antispam.br/videos/


Assista o vídeo sobre SPAM produzido pelo Cert.br e descreva os

tipos de spam existentes.

Pesquise sobre vetores de propagação de spam. Não esqueça de

que se trata de uma pesquisa e, portanto, as fontes devem ser

referenciadas.

Atividade 03

Código maliciosos são responsáveis por um número significativo de

incidentes de segurança;

A identificação de determinados tipos de malware é uma tarefa

complexa;

Os worms, rootkits e bots são ameaças cujo funcionamento e

detecção são alvos de muitas pesquisas, tanto no meio acadêmico

quanto na indústria de software de detecção de códigos maliciosos.

Conclusões e Resultados

http://www.microsoftvirtualacademy.com/Home.aspx

Dica

http://www.microsoftvirtualacademy.com/Home.aspx

Ao término dessa aula o aluno esta apto para:

Descrever o funcionamento dos principais tipos de malcode;

Refletir sobre a detecção dos códigos maliciosos;

Comunicar os usuários sobre os riscos referentes aos códigos

maliciosos vistos nessa aula.

Conclusões e Resultados

Cert.br. Cartilha de Segurança para Internet. Centro de Estudos,

Resposta e Tratamento de Incidentes de Segurança no Brasil.

Disponível em: http://cartilha.cert.br/fraudes/sec2.html

Symantec. Security Response. Disponível em:


Viruslist. Information about Viruses. Disponível em:

http://www.viruslist.com/

Referências Bibliográficas

http://cartilha.cert.br/fraudes/sec2.html



http://www.viruslist.com/

aula 03 malware (parte 01) visão geral -...

Documents