Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Malware: descrizione e proprietà, Appunti di Sicurezza delle reti

Generalità sui malware e le loro proprietà

Tipologia: Appunti

2022/2023

Caricato il 13/09/2023

alban-bixheku
alban-bixheku 🇮🇹

1 documento

1 / 6

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Malware Codice malevolo si comporta in modo inaspettato, grazie all’iniziativa di un programmatore
malizioso.
Cause: installazione di un software corrotto, java applet or ActiveX control
Classificazione
Sulla base della propagazione
oLegati a un altro sw
oIndipendenti
oIn rete
oSu social engineering
Azioni di payload
oCorruzione di dati/file di sistema
oFurto di dati
Trojan horse programma con un effetto evidente e un effetto nascosto
Appare normale
L’effetto nascosto viola la politica di sicurezza
Gli utenti devono essere indotti all’esecuzione del trojan, dove aspetta e osserva il comportamento
evidente e l’effetto nascosto viene condotto senza autorizzazione
Virus codice informatico che può replicarsi modificando altri file o programmi per inserire codice in
grado di essere replicato, l’autoreplicazione è ciò che distingue i virus informatici da altri tipi di malware,
altera il codice normale con una versione infetta. Un’altra proprietà è che la replica richiede un certo tipo di
assistenza da parte dell’utente ad esempio facendo clic su un allegato e-mail o condividendo un’unità USB.
Composti da tre parti
Meccanismo di infezione
Trigger
Payload
Inoltre vanno attraverso 4 fasi
Dormiente
Propagazione
Triggering
Execution
Struttura di un virus eseguibile
pf3
pf4
pf5

Anteprima parziale del testo

Scarica Malware: descrizione e proprietà e più Appunti in PDF di Sicurezza delle reti solo su Docsity!

Malware  Codice malevolo si comporta in modo inaspettato, grazie all’iniziativa di un programmatore malizioso. Cause: installazione di un software corrotto, java applet or ActiveX control Classificazione  Sulla base della propagazione o Legati a un altro sw o Indipendenti o In rete o Su social engineering  Azioni di payload o Corruzione di dati/file di sistema o Furto di dati Trojan horse  programma con un effetto evidente e un effetto nascosto  Appare normale  L’effetto nascosto viola la politica di sicurezza Gli utenti devono essere indotti all’esecuzione del trojan, dove aspetta e osserva il comportamento evidente e l’effetto nascosto viene condotto senza autorizzazione Virus  codice informatico che può replicarsi modificando altri file o programmi per inserire codice in grado di essere replicato, l’autoreplicazione è ciò che distingue i virus informatici da altri tipi di malware, altera il codice normale con una versione infetta. Un’altra proprietà è che la replica richiede un certo tipo di assistenza da parte dell’utente ad esempio facendo clic su un allegato e-mail o condividendo un’unità USB. Composti da tre parti  Meccanismo di infezione  Trigger  Payload Inoltre vanno attraverso 4 fasi  Dormiente  Propagazione  Triggering  Execution Struttura di un virus eseguibile

Boot sector  Il settore di avvio è la parte di un disco utilizzata per avviare il sistema o montare un disco. Il codice in quel settore viene eseguito quando il sistema "vede" il disco per la prima volta. Macro virus  virus che si attacca ai documenti e utilizza le capacità di programmazione macro dell'applicazione del documento per eseguire e propagarsi. Tipi di virus  Terminati e resistenti  sta attivo in memoria dopo che l’applicazione viene completata e permette l’infezione di file non noti Classificazione  Encrypted virus  una pare del virus crea una chiave di crittografia casuale e crittografa il resto del virus. o La chiave è memorizzata con il virus. o Quando viene richiamato un programma infetto, il virus utilizza la chiave casuale memorizzata per decrittografare il virus. o Quando il virus si replica, viene selezionata una chiave casuale diversa -> nessun modello di bit costante da osservare.  Stealth virus  progettato per nascondersi dal rilevamento da parte del software  antivirus. o Può utilizzare tecniche di mutazione del codice, compressione o rootkit  Polymorphic virus  virus che crea copie durante la replica che sono funzionalmente equivalenti ma hanno modelli di bit nettamente diversi  Metamorphic virus  si riscrive completamente ad ogni iterazione, utilizzando più tecniche di trasformazione, aumentando la difficoltà di rilevamento.

Il virus ha la caratteristica di terminare e rimanere in memoria per infettare altri file.

CI sono dei virus che cifrano il codice del virus e memorizzano la chiave accanto per

sfuggire ai controlli degli antivirus. Altri virus invece fanno compressione programma

vittima per sfuggire ai controlli in modo che la versione non infetta abbia stessa

dimensione della infetta.

Trapdoor Secret entry point in un sistema che supera le normali procedure di

sicurezza.

Logic Bomb. Si attiva quando specifiche condizioni vengono soddisfatte

(presenza/assenza di un file). Quando scatta, danneggia il sistema (cancellazione di

files)

Zero day exploit. Un attacker scopre una vulnerabilità prima non conosciuta. E’ un

attacco disponibile prima della presenza della contromisura. Qualcuno sviluppa il

codice (proof of concept) per dimostrare la vulnerabilità in un ambiente controllato

e azienda sviluppa patch.

WORM programma eseguito in maniera indipendente, non richiede un programma

host. Propaga una versione completamente funzionante su una nuova

macchina Porta con sè un payload che esegue dei task nascosti ◦ Backdoors,

spam relays, DDoS agents; …

◦ sovvertendo i meccanismi che monitorano e riferiscono su processi, file e registri ◦

Altera le funzionalità standard dell'host in modo dannoso e furtivo ◦ un utente

malintenzionato ha il controllo completo del sistema.

Simple rootkits: ◦ Modify user programs (ls, ps)

Sophisticated rootkits: ◦ Modify the kernel itself.

Esistono anche dei rootkit che attaccano gli hypervisor e il processo di

virtualizzazione.

Caratteristiche rootkit:

Persistent: si attiva ogni volta che il sistema si avvia

Memory based: : non ha codice persistente

User mode: : intercetta le chiamate alle API Kernel mode: può intercettare le

chiamate alle API native in modalità kernel

Virtual machine based: installa un monitor leggero nella macchina virtuale, in moda

da intercettare e modificare in modo trasparente stati ed eventi nel sistema

virtualizzato

External mode: il malware è al di fuori della normale modalità operativa del sistema

di destinazione, nel BIOS o nella modalità di gestione del sistema, da dove accede

all'hw

Spyware

Malware che raccoglie piccole informazioni alla volta sugli utenti a loro insaputa

Keylogger: Può anche monitorare le abitudini di navigazione

Può anche reindirizzare la navigazione e visualizzare gli annunci.

Scareware

Virus che visualizzano annunci per spaventare. (Attenzione hai visualizzato questo

sito, se non paghi lo metto su internet.)

Ransomware

Tiene in ostaggio un sistema informatico, o i dati in esso contenuti, contro il suo

utente chiedendo un riscatto.

◦ Disattiva un servizio di sistema essenziale o blocca il display all'avvio del sistema

◦ Crittografa i file dell'utente

◦ La vittima deve inserire un codice ottenibile solo dopo aver fatto pagamento

all'attaccante ◦ acquistare uno strumento di decrittazione o rimozione

Spear Phishing

A differenza del normale phishing dove ci sono grandi quantità di mail, si prende di

mira una sola persona o una organizzazione e si crea una mail fingendosi

esattamente una certa persona. Si fa un fitto lavoro di ingegneria sociale

Advanced Persistent Threats (Attacchi svolti da organizzazioni militari)

Advanced: utilizzo degli attaccanti di varietà di tecnologie di intrusione e malware

Persistent: attacchi per un tempo prolungato per massimizzare probabilità successo.

Threats: attaccanti organizzati, abili e dotati di risorse sufficienti, a compromettere i

target.

Chain per portare a termine un attacco:

Ricognizione Ricerca, identificazione e selezione dei target. Crawling relazioni sociali

Weaponization Accoppiare trojan e exploit in payload consegnabile con strumento

automat

Consegna Trasmissione dell'arma all'ambiente preso di mira (allegati e-mail, siti Web

e USB)

Sfruttamento Attiva il codice degli intrusi ◦ sfruttare vulnerabilità o gli utenti stessi

Command And Control Si fanno delle azioni compromettendo degli oggetti

Hide Activity

Approcci alle contromisure per i malware  assicurarsi che tutti i sistemi siano il più possibile aggiornati,  tutte le patch installate  ridurre il numero di vulnerabilità potenzialmente sfruttabili nel sistema.  impostare adeguati controlli di accesso alle applicazioni e ai dati memorizzati nel sistema  per limitare il numero di file a cui ogni utente può accedere, e di conseguenza che può infettare o corrompere a seguito dell’esecuzione di qualche codice malware Azioni di mitigazione  Rilevamento  accertarsi della sua esistenza e rilevare il malware, avviene in diverse locazioni o sul sistema infetto, dove sono in esecuzione alcuni programmi “anti virus” host based o può costituire una parte dei meccanismi di sicurezza perimetrale utilizzati nei firewall e negli intrusion detection system (IDS) di un’organizzazione. o può utilizzare meccanismi distribuiti che raccolgono dati sia da sensori host based che da sensori perimetrali  Identificazione  individuare lo specifico malware responsabile dell’infezione del sistema.  Rimozione  rimuovere tutte le tracce del malware da tutti i sistemi infetti in modo che non possa diffondersi ulteriormente Host-based scanner  Prima generazione  scanner semplici  Seconda generazione  scanner euristici  Terza generazione  trap di attività  Quarta generazione  protezione completa