Академический Документы
Профессиональный Документы
Культура Документы
(http://www.security.org.br/)
(http://www.intruders.com.br/)
1/33
Agenda
Definies:
Malwares.
Vrus.
Worms
Spywares.
Keyloggers.
Rootkits
Antivrus:
Definio.
Como funciona?
Rootkit Hooking:
Exemplo de Processos Ocultos.
Exemplo de deteco.
Dicas.
Dvidas?
Links.
Assinaturas malfeitas.
Packers, Binders, Encryptao, etc.
Antivrus Killer.
Wendel Guglielmetti Henrique - Intruders Tiger Team Security (http://www.intruders.com.br/)
2/33
Nota
Esta palestra e todos os seus exemplos (Proof Of Concept) foram criados em 2006
para o Unsecurity Day.
A ausncia de atualizaes na palestra e nos exemplos proposital para demonstrar
como os POCs (Proof Of Concept) criados e compilados a mais de 1 ano se mostram
efetivos contra os antivrus atuais (com todas as suas atualizaes).
Durante o H2HC 2007 todos os exemplos foram demonstrados ao vivo e com diversos
antivrus com as ltimas atualizaes.
As tcnicas apresentadas nesta palestra so efetivas contra vrios antivrus e no
apenas contra os antivrus apresentados nos vdeos.
3/33
Definies:
4/33
Definies: Malwares
5/33
Definies: Vrus
6/33
Definies: Vrus
- Em 1982 foi encontrado em ambiente real (in the wild) o primeiro vrus de
computador, que foi criado por Rich Skrenta e nomeado de Elk Cloner, o mesmo
infectava o sistema operacional DOS 3.3 do Apple II e se proliferava atravs de
disquetes.
- Fred Cohen em 1984 escreveu um artigo entitulado Experiments with Computer
Viruses, que pela primeira vez utilizou computacionalmente o termo vrus em um
artigo.
- Exemplos de vrus que ficaram mundialmente conhecidos so Mydoom, Ninda,
Zmist, ILOVEYOU, etc.
7/33
Definies: Worms
- Worms se replicam de forma similar aos vrus, as duas principais caractersticas
de um Worm so:
No necessita infectar arquivos (executvel, script, documento, etc) como os vrus
para se proliferam.
- Robert Tappan Morris em 1988 criou o primeiro Worm que se proliferava pela
Internet, explorando vulnerabilidades (Sendmail, Finger e logins/senhas fracas em
rsh/rexec) em sistemas Unix BSD, afetando cerca de 6,000 mquinas
(aproximadamente 10% da Internet da poca).
Wendel Guglielmetti Henrique - Intruders Tiger Team Security (http://www.intruders.com.br/)
8/33
Definies: Spywares
9/33
Definies: Spywares
10/33
Definies: Keyloggers
- Keyloggers tambm chamados de Keystroke logging so programas que capturam
as teclas pressionadas (incluindo senhas).
- Keyloggers podem ser utilizados para vrios fins como espionagem, fraudes
eletrnicas, monitoramento permitido de usurios, etc.
- Existem Keyloggers em hardware (como eu mostrei no Secomp 2005) e software.
- Existe uma variao chamada de ScreenLoggers que captura (screenshot) as telas
ao invs das teclas, geralmente utilizado para obter dados de teclados virtuais
(como os utilizados em bancos).
Wendel Guglielmetti Henrique - Intruders Tiger Team Security (http://www.intruders.com.br/)
11/33
Definies: Rootkits
12/33
Definies: Rootkits
- Existem basicamente 3 tipos de Rootkits:
Aplicativos = modifica o prprio aplicativo por exemplo ps, ls, netstat, etc.
13/33
Antivrus: definio
14/33
15/33
FileType o tipo do arquivo (pode ser nulo), exemplos PE, ELF, HTLM, VBS, etc.
16/33
17/33
DEMONSTRAO
(Veja o vdeo acessando o arquivo Videos\BadSignature\index.htm)
18/33
19/33
DEMONSTRAO
(Veja o vdeo acessando o arquivo Videos\HowToDetectAVSignatures\index.htm)
20/33
21/33
Passo 2 (Scrambing)
22/33
23/33
24/33
25/33
DEMONSTRAO
(Veja o vdeo acessando o arquivo Videos\Kill&Launch\index.htm)
26/33
27/33
28/33
29/30
30/33
Dicas de segurana.
31/33
Dvidas?
?
Wendel Guglielmetti Henrique - Intruders Tiger Team Security (http://www.intruders.com.br/)
32/33
Links
http://en.wikipedia.org/
http://www.intruders.com.br/
http://www.security.org.br/
http://www.h2hc.org.br/
http://www.hackaholic.org/
http://ws.hackaholic.org/
33/33