Malware

Malicious software, eller skadlig mjukvara som har för syfte att utföra intrång på datorer utan datoranvändarens samtycke. I denna grupp inkluderas datorvirus, maskar, trojaner, rootkits, bakdörr, spioner, tangentbordsskanner (keyloggers) mm.

Bild 1: Malware

Datorvirus/datavirus

Ett datavirus är en skadlig kod som är kopplad till legitima program eller körbara filer. De flesta datavirus kräver aktivering genom en association till annat program. Ett datavirus kan lägga sig vilande under en längre period och sedan kan det aktiveras vid en viss tidpunkt eller datum. När ett datavirus har aktiverats kan till exempel skanna hårddisken och söka andra körbara filer för att infektera de.

Worms eller maskar

Till skillnad från datavirus är maskar fristående program som inte behöver infektera filer eller program för att existera. Precis som naturens maskar kan dator-maskar krypa sig överallt, vissa kan kopiera sig över ett nätverk, andra lägger sig på USB-minne eller själva lägger sig som bifogat fil i ett mejl.

En mask exekverar själv godtycklig kod och installerar kopior av sig själv i minnet av den infekterade datorn. Därefter skannar masken nätverket och söker öppna utgångar så att den kan sprida sig vidare.

Bild 2: SQL Slammer

Maskar är ansvariga för några av de mest förödande attackerna mot Internet. Till exempel SQL Slammer från januari 2003 saktade den globala Internettrafiken till följd av Denial of Service. Över 250.000 servrar påverkades inom 30 minuter efter dess release.

Masken utnyttjade ett fel i Microsoft SQL Servers buffert minne. Trots att en patch för denna sårbarhet släpptes i mitten av 2002. Detta är ett bra exempel på varför viktiga uppdateringar och patchar för operativsystem och applikationer ska regleras via nätverkssäkerhetspolicy.

De flesta maskangrepp har tre huvudkomponenter:

    • Självaktivering – En mask installerar sig själv med hjälp av en funktion (e-postbilaga, körbar fil, trojansk häst) på en sårbar systemet.
    • Förökningsmekanism – Efter att ha fått tillgång till en enhet replikerar masken sig själv och lokaliserar nya mål.
    • Payload – Resulterande koder i infektionsprocesser återanvänds.

Maskars arbetsfaser

I flera år har man studerat hur olika maskar och datavirus fungerar, Deras gemensamma arbetsmetoder har uppdelats i fem faser:

    • Probe fas – Utsatta mål identifieras. Målet är att hitta datorer som kan undermineras. Internet Control Message Protocol (ICMP) ping användes för att kartlägga nätverk. Operativsystem ska identifieras därmed sårbara applikationer. Hackare kan få lösenord med sociala luriga metoder (social engineering), dictionary attack, brute-force, eller nätverks sniffning.
    • Penetrate fas – Hackares kod överförs till utsatta mål. Målet är att få den hackade datorn exekvera koden genom en attack vektor, såsom en buffer overflow, ActiveX eller Common Gateway Interface (CGI) sårbarheter, eller ett e-postvirus.
    • Persist fas – Efter attacken har framgångsrikt startat från minnet, försöker koden befästa sig på målsystemet, så att koden är tillgänglig för angriparen även om systemet startas om. Detta uppnås genom att modifiera systemfiler, vilket gör ändringar i registret och installerar ny kod.
    • Propagate fas – Angriparen skannar efter fler sårbarheter i andra angränsade maskiner. Målet är att fortplanta sig genom att skicka kopior av skadlig kod via e-post, nedladdning av filer eller FTP-tjänster, aktiva webbanslutningar.
    • Paralyze fas – Verklig skada sker i systemet. Filer kan raderas, system kan krascha, informationen kan bli stulen, och distribuerade DoS (DDoS) attacker kan startas.

Morris masken

pic24-robert-morris
Bild 3: 1988 Robert Morris

2 november 1988 Robert Morris skapade den första Internet masken med 99 rader kod. När Morris mask släpptes infekterades 10 % av alla datorer på Internet. Även om masken inte var destruktiv överbelastades många datorer uppkopplade till Internet med onödiga processhanteringar.

Robert Morris förklarade att han var nyfiken över antal anslutna datorer till Internet. Han fick tre års skyddstillsyn, 400 timmars samhällstjänst och böter på US $ 10 000

Trojan Horse

Till skillnad från datorvirus kan existera trojaner helt för sig själva. Att programmera trojaner har visat sig vara lättare än att programmera datorvirus. När en trojan har fått fäste på ens dator kan den användas för en hel del. Till exempel kan den avlyssna det du skriver på tangentbordet så att man kan komma åt lösenord, kontokortsnummer eller andra känsliga information.

En annan vanlig funktion är att en infekterad dator kan kapas och fjärrstyras. Det kallas ofta att den ingår i ett botnät, ett stort nät som består av många andra kapade datorer med syfte att utföra synkroniserade attacker.

Bild 4: Trojan horse

Trojanska hästar brukar klassificeras efter de skador de orsakar eller det sätt på vilket de bryter mot ett system:

      • Remote-access Trojan Horse – möjliggör obehörig fjärråtkomst
      • Data sändare Trojan Horse – ger angriparen känsliga uppgifter såsom lösenord
      • Destruktiva Trojan Horse – korrumperar eller raderar filer
      • Proxy Trojan Horse – användarens dator fungerar som en proxyserver
      • FTP Trojan Horse Öppnar port 21
      • Säkerhetsprogram Trojan Horse  – stoppar antivirusprogram eller brandväggar
      • Denial of Service Trojan Horse – bromsar eller stoppar nätverksaktivitet

 Melissa datorvirus

26 mars 1999 – den första makrovirus, Melissa datorviruset spred sig över Internet och överbelastade epost servrar. Datorviruset skannade datorer och skickade ut 50 nya meddelanden till e-postadresser tagna ur Microsoft Outlooks adresslista.

pic25a-melissa-virus
Bild 5: 1999 Melissa datorvirus
  1. Avändaren identifierades som J. R. Whipple (John Rapper, en av de första telefon phreak)
  2. Meddelandena hade då texten “Important message from Bob Smith” i ärenderaden
  3. Meddelandet “Here is that document you asked for …. don´t show anyone else :-)”
  4. Datorviruset spreds främst genom bifogade infekterade Word dokument

När en användare öppnade bilagan, satts igång datorviruset och kontrollerade Windows register efter en nyckel som talade om systemet redan var smittat (för att minska risken för upptäckt).

Hans skapare, David Smith, dömdes till 20 månader i fängelse och 5 000 USD i böter.

Code Red

I juli 2001 angreps webbservrar på Internet av Code Red masken som lyckades infektera över 350 000 servrar.

pic17-code-red
Bild 6: 2001 Code Red masken

Masken förhindrade åtkomst till servrarna genom att hålla de upptagna. Code Red även påverkade nätverk i vilka de infekterade servrarna fanns.

Om yrkesverksamma säkerhetsansvariga hade förebyggt lämpliga säkerhetsåtgärder (säkerhetspolicy) skulle Code Red masken kunnat stoppas.

Datorvirushistorik med Mikko Hyppönen

Det känns som en riktigt stor uppdrag att sammanfatta utvecklingen av diverse datavirus/datorvirus genom alla åren. Det är en lång lista, spännande men för långt för en enkel kurs som denna. Här ovan nämndes några exempel av malware och med hjälp av en internationell säkerhetsspecialist från Finland, Mikko Hyppönen, har vi möjlighet att resa i 50 minuter från den enkla och ofarliga BRAIN till den avancerade Stuxnet. En mask son troligen utvecklades för att angripa Irans kärnanläggningar och med det höjdes upp troligen cyberkriget:

Stuxnet

Stuxtnet masken upptäcktes sommaren 2010, men den hade då troligen redan funnits ett år. Stuxnet skiljer sig från vanliga malware eftersom den var designad för att styra speciella maskiner i en kärnanläggning. Stuxnet söker efter maskiner från Siemmens avsett för tung industri så att de kan styras. Här nedan en video på 26 minuter med Ben Hammersley från BBC News, säkerhetsspecialister Mikko Hyppönen och Eugene Kaspersky som analyserar hur Stuxnet har designats och vad blev konsekvenserna:

Obs! Definitioner jag använder i denna sida hämtar jag från en Internet-guide från Daniel Goldberg och Linus Larsson.