Slide 09

Curso: Tecnologias de Informação
3º Ano, 1º Semestre
Cadeira: Segurança de Redes
Docente: Sandro Monteiro, M.IT
E-mail: sandro.monteiro@hotmail.com
Data: 07/05/2021
Slide: 09
Ataques baseados em software
2
Software malicioso, ou malware, é um software que entra em um
sistema de computador sem o conhecimento ou consentimento do
proprietário.
Malware é um termo geral que se refere a uma ampla variedade de
software prejudicial ou irritante. Uma maneira de classificar malware é
por objetivo principal.
Os três principais objetivos do malware são:
a) Infectar um sistema de computador;
b) Ocultar as ações mal-intencionadas do malware; ou
c) Tirar proveito das ações que ele executa.
3
Infecting Malware
4
a) Infecting Malware
Os dois tipos de malware que têm o objetivo principal de infectar um
sistema de computador são vírus e worms. Estes também são alguns
dos primeiros tipos de malware para impactar sistemas de
computadores pessoais.
i. Vírus
Um vírus de computador é um programa que se anexa secretamente a
um "carrier" legítimo, como um documento ou programa e, em
seguida, executa quando esse documento é aberto ou o programa é
iniciado.
5
i. Vírus (continuação)
Uma vez que um vírus infecta um computador, ele executa duas
tarefas separadas:
✓Primeira tarefa: ele procura um meio para replicar-se, espalhando
para outros computadores. Ele faz isso anexando-se a um
programa ou document carrier e, em seguida, tenta enviar o
infected carrier para outro computador. Por exemplo, um vírus
pode copiar o infected carrier para mídia removível, como uma
unidade flash USB.
6
Os vírus sofisticados criam suas próprias mensagens de e-mail que
parecem vir do usuário e, em seguida, adicionam o infected carrier
como um anexo e enviam-no aos contatos da lista de endereços de
email do usuário.
Os destinatários, vendo que receberam uma mensagem de um amigo
de confiança ou contacto de negócio (business contact), sem dúvida
abrem o anexo e infectam o seu próprio computador, e o processo de
replicação recomeça.
7
Alguns vírus são projetados para se espalhar através de computadores
conectados a uma rede local (LAN) que compartilham recursos como
um disco rígido ou pasta compartilhada.
Quando o vírus infecta um computador conectado a uma LAN, ele é
replicado através da rede para outros computadores.
Os vírus também podem ser transmitidos através de mensagens
instantâneas. A mensagem instantânea (IM) é outro método de
comunicação on-line como o e-mail, excepto pelo facto de ser realizado
em tempo real.
8
Como vírus de e-mail, os vírus de IM são programas maliciosos ou
irritantes que viajam através de mensagens instantâneas. Na maioria
dos casos, os vírus de IM são transmitidos quando um usuário abre um
arquivo infectado que foi enviado em uma mensagem instantânea
como um anexo.
✓Segunda tarefa: depois que um vírus foi replicado por espalhar
para outros computadores, ele executa sua segunda tarefa, que é
activar sua carga maliciosa.
9
Um vírus pode fazer algo tão simples quanto exibir uma mensagem
irritante, como o visto na Figura 2-1. No entanto, a maioria dos vírus
são muito mais prejudiciais.
10
Os vírus têm desempenhado as seguintes funções:
✓Fazer com que um computador falhe (crash) repetidamente;
✓Apagar ficheiros de um disco rígido;
✓Instala programas ocultos, como software para roubo, que é
depois distribuído secretamente a partir desse computador; e
✓Fez várias cópias de si mesmo e consome todo o espaço livre em
um disco rígido;
11
Os vírus têm desempenhado as seguintes funções (continuação):
✓Enfraquece as configurações de segurança para que intrusos
sejam permitidos para aceder remotamente o computador; e
✓ Reformata a unidade de disco rígido.
Existem vários tipos de vírus de computador. Esses incluem:
1. File infector virus: infecta ficheiros executáveis do programa
(ficheiros com uma extensão .EXE ou .COM). Quando o
programa é lançado, o vírus é ativado. Um exemplo de um file
infector vírus é o vírus Cascade.
12
1. Resident vírus: é carregado em memória de acesso aleatório
(RAM) cada vez que o computador é ligado e permanece lá. um
vírus residente pode interromper quase qualquer função
executada pelo sistema operacional do computador e alterá-lo
para seus próprios fins maliciosos. Por exemplo, um vírus
residente pode danificar um documento ou programa que é
aberto, copiado ou renomeado através de RAM. Alguns
exemplos de vírus residentes são Randex, Meve e MrKlunky.
13
3. Boot vírus: infecta o Master Boot Record de uma unidade de
disco rígido. O Boot Master Record (MBR) contém o programa
necessário para o computador iniciar e uma descrição de como
o disco rígido está organizado (a tabela de partições). Ao invés
de danificar ficheiros individuais, um boot vírus destina-se a
danificar a própria unidade de disco rígido. Alguns exemplos de
boot vírus são Polyboot.B e AntiEXE.
14
4. Companion vírus: adiciona um programa ao sistema operacional
que é uma versão copycat (imitação) maliciosa para um
programa legítimo. Por exemplo, um vírus companion pode
adicionar o programa malicioso NOTEPAD.COM como um
complemento do autêntico programa Microsoft NOTEPAD.EXE.
Se o usuário tentasse iniciar o programa a partir do comand
prompt digitando "NOTEPAD" (sem a extensão de ficheiro de
três caracteres), o Windows executaria o malicioso
NOTEPAD.COM em vez do autêntico NOTEPAD.EXE por causa da
forma do Windows lidar com programas. Alguns exemplos de
companion vírus são Stator e Asimov.1539. 15
4. Companion vírus (continuação): como os programas do
Windows são mais comumente executados através do click do
Ícone em vez de digitar o nome do programa, os vírus
companion não são tão comuns como eram antes.
5. Macro vírus: é escrito em um script conhecido como macro.
Uma macro é uma série de comandos e instruções que podem
ser agrupadas como um único comando.
16
5. Macro vírus (continuação): geralmente, os macros são usadas
para automatizar um conjunto complexo de tarefas ou uma série
repetida de tarefas. As macros podem ser escritas usando uma
linguagem de macro, como Visual Basic for Applications (VBA) e
são armazenadas no documento do usuário (como em uma
planilha do Excel .XLSX). Um vírus de macro tira proveito da
relação de "confiança" entre o aplicativo (Excel) e o sistema
operacional (Microsoft Windows).
17
5. Macro vírus (continuação): Uma vez que o documento do
usuário é aberto, as instruções de vírus de macro são executadas
e infectam o computador. Alguns exemplos de vírus de macro
são Melissa.A e Bablas.PC. Devido ao risco do macro vírus, os
usuários devem ser cautelosos com os anexos de e-mail porque
isso poderia lançar um macro virus. Se você não está esperando
um documento com um anexo ou não conhece o remetente, é
melhor não abrir o anexo; Em vez disso, primeiro Envie um e-
mail para o remetente para verificar a confiabilidade do arquivo.
18
A fim de evitar a sua detecção, alguns vírus podem alterar a forma
como eles aparecem. Estes são conhecidos como metamorphic viruses
(vírus metamórficos).
Um polymorphic virus (vírus polimórfico) não só muda a forma como
aparece mas também encripta o seu conteúdo de forma diferente cada
vez, tornando-o ainda mais difícil de detectar.
19
ii. Worms
O segundo grande tipo de malware é um worm. Um worm é um
programa projetado para aproveitar uma vulnerabilidade em um
aplicativo ou sistema operacional para entrar em um sistema.
Uma vez que o worm tenha explorado a vulnerabilidade em um
sistema, ele imediatamente procura por outro computador que tenha a
mesma vulnerabilidade.
Um worm usa uma rede para enviar cópias de si mesmo para outros
dispositivos conectados à rede.
20
ii. Worms (continuação)
Embora muitas vezes seja confundido com vírus, worms são
significativamente diferentes. Vide em seguida as diferenças:
✓Virus:
✓Deve anexar-se a um programa ou documento e é transmitido ao viajar
com o transportador (o carrier);
✓Precisa que o usuário execute uma acção, como iniciar um programa ou
abrir um anexo de e-mail para iniciar a infecção;
✓Worm:
✓Pode viajar sozinho, isto é, não precisa de um carrier;
✓Worm não exige nenhuma acção do usuário para iniciar a execução.
21
ii. Worms (continuação)
Os worms primários eram benignos e projetados simplesmente para
espalhar rapidamente e não corromper os sistemas infectados. Esses
worms só abrandavam (slowed down) a rede através da qual eles eram
transmitidos por replicação rápida que consumia todos os recursos de
rede.
Os worms mais recentes podem deixar uma carga (payload) nos
sistemas que infectam e causam danos, bem como um vírus. As ações
que os worms executam incluem exclusão de ficheiros no computador
ou permitir que o computador seja controlado remotamente por um
invasor.
22
Ocultação de Malware (Concealing Malware)
23
b) Ocultação de Malware
Vários tipos de malware têm o objetivo principal de esconder sua
presença para o usuário, em oposição a infectar e danificar o sistema
como um vírus ou worm.
Ocultação de malware inclui:
i. Trojan horses;
ii. Rootkits;
iii. Logic bombs; e
iv. Privilege escalation.
24
i. Trojan Horses
Um Trojan Horses é um programa anunciado estar executando uma
atividade, quando na verdade faz mais outra coisa (ou pode executar
tanto as atividades anunciadas quanto as maliciosas).
Por exemplo, um usuário pode fazer o download do que é anunciado
como um free calendar program, mas quando é executado, além de
instalar o free calendar program, ele também verifica o sistema para
colectar números de cartão de crédito e senhas, se conecta através da
rede a um sistema remoto e então transmite essa informação.
25
i. Trojan Horses (continuação)
Ao contrário de um vírus que infecta um sistema sem o conhecimento
ou consentimento do usuário, um programa Trojan horse pode ser
instalado no sistema de computador com pleno conhecimento do
usuário. O Trojan horse apenas esconde sua carga maliciosa.
Uma técnica usada pelos Trojan horse é fazer com que o programa
apareça como se não fosse nem mesmo um programa executável, mas
que apenas contém dados ou informações.
26
i. Trojan Horses (continuação)
Por exemplo, o ficheiro FREE-COUPONS.DOCX.EXE à primeira vista pode
parecer ser apenas um documento não-executável do Microsoft Word
(porque parece que sua extensão de arquivo é .DOCX), mas é um
programa executável (porque seu arquivo real tem a extensão .EXE)
que rouba a senha do usuário.
Uma vez que o Microsoft Windows por predefinição não mostra
extensões de ficheiro comuns, o programa só aparecerá como FREE-
COUPONS.DOCX. Recomenda-se que todas as extensões de ficheiro
sejam exibidas.
27
ii. Rootkits
Nos finais de 2005, a Sony BMG Music Entertainment chocou o mundo
pelo facto de secretamente instalar hidden software (software oculto)
em qualquer computador que tocava CDs de música Sony em
particular. O software instalado pela Sony destinava-se a impedir que
os CDs de música fossem copiados.
Esses CDs criavam um diretório oculto e instalavam o seu próprio
device driver software no computador. Outro software da Sony
reencaminhava as funções normais do Microsoft Windows para as
próprias rotinas da Sony.
28
ii. Rootkits (continuação)
Os atacantes rapidamente determinaram como explorar esse recurso e
em seguida, comportamento nefasto foi exposto que a Sony foi forçada
a retroceder e retirar os CDs do mercado.
O que a Sony fez foi instalar um rootkit em computadores nos quais o
CD foi instalado.
Um rootkit é um conjunto de ferramentas de software usado por um
intruso para se intrometer em um computador, obter privilégios
especiais para executar funções não autorizadas e, em seguida,
esconder todos os vestígios de sua existência.
29
Até essa altura os rootkits eram uma área cinzenta e que poucas
pessoas sabiam muito sobre o assunto.
As acções da Sony não apenas instalaram seu rootkit em milhões de
computadores, mas também expuseram esses computadores a ataques
porque os atacantes podiam usar o rootkit da Sony para instalar seu
próprio software malicioso.
Um "rootkit" descreve programas que um invasor usa para obter
privilégios de root e para ocultar o software malicioso.
30
Em quase todos os casos, o objetivo do rootkit não é danificar um
computador diretamente como um vírus faz; Em vez disso, sua função é
ocultar a presença de outros tipos de softwares mal-intencionados,
como Trojan horses, vírus ou worms.
Os rootkits fazem isso ocultando ou removendo:
✓ Registos de log-in (log-in records);
✓ Log entries (entradas de log); e
✓ Processos relacionados.
31
No entanto, remover um rootkit de um computador infectado é
extremamente difícil. Isso ocorre porque a remoção de rootkits
envolve duas etapas:
✓Primeira: o rootkit em si deve ser apagado ou ele vai voltar a
reinfectar o computador.
✓Segunda: as partes dos programas do sistema operacional e
ficheiros que foram alterados devem ser substituídos pelos
arquivos originais.
32
Como os rootkits alteram o sistema operacional, é improvável que os
programas do sistema operacional corrompidos possam ser removidos
sem que o computador se torne instável e pare de funcionar.
Em última análise, a única maneira segura e infalível de lidar com uma
infecção por rootkits é reformatar o disco rígido e reinstalar o sistema
operacional.
33
iii. Logic Bombs
Uma bomba lógica é um programa de computador ou parte de um
programa que está dormente até ser desencadeada por um evento
lógico específico, como uma determinada data alcançada no calendário
do sistema ou a classificação de uma pessoa em uma organização
decresce para um nível inferir, por exemplo.
Uma vez desencadeado, o programa (bomba logica) pode executar
qualquer número de atividades maliciosas. Por exemplo, uma bomba
lógica poderia ser plantada no sistema de folha de pagamento de uma
empresa por um empregado.
34
iii. Logic Bombs (continuação)
O programa poderia ser projetado de modo que se o nome do
empregado fosse removido da folha de pagamento, após três meses a
bomba lógica corromperia o sistema de contabilidade inteiro e apagaria
o software e os ficheiros de folha de pagamento ou de cliente que
residem no computador.
Bombas lógicas têm sido usadas com frequência para garantir o
pagamento de software. Se um pagamento não for feito até a data de
vencimento, a bomba lógica ativará e impedirá que o software seja
usado novamente.
35
iii. Logic Bombs (continuação)
As bombas lógicas são extremamente difíceis de detectar antes de
serem acionadas. Isso ocorre porque as bombas lógicas são
frequentemente incorporadas em grandes programas de computador,
alguns contendo dezenas de milhares de linhas de código.
Um invasor pode inserir facilmente três ou quatro linhas de código de
computador em um programa longo sem que ninguém detecte a
inserção.
36
iv. Privilege Escalation (escalação de privilégios)
Os sistemas operacionais e muitas aplicações têm a capacidade de
restringir os privilégios de um usuário no acesso às suas funções
específicas.
Privilege Escalation explora vulnerabilidade no software para obter
acesso aos recursos que o usuário em condições normais estaria
restrito de obter.
37
iv. Privilege Escalation (continuação)
Existem dois tipos de escalonamento de privilégios:
✓O primeiro: é quando um usuário com um privilégio menor usa o
escalonamento de privilégios para acessar funções reservadas
para usuários de privilégios mais altos;
✓O segundo: é quando um usuário com privilégios restritos acessa
as diferentes funções restritas de um usuário semelhante, ou seja,
o usuário A não tem privilégios para acessar o payroll program,
mas usa a escalação de privilégios para acessar a conta do usuário
B que possui esses privilégios.
38
Malware for Profit (Malware para lucro)
39
Uma terceira categoria de malware é a que se destina a trazer lucro
para os atacantes.
A categoria inclui:
i. Spam;
ii. Spyware; e
iii. Botnets.
40
i. Spam
A quantidade de spam, ou e-mail não solicitado, que passa pela
Internet continua a aumentar.
O spam reduz significativamente a produtividade do trabalho: mais de
11% dos trabalhadores recebem 50 mensagens de spam por dia e
gastam mais de meia hora a eliminá-las.
A razão pela qual muitas mensagens de spam que anunciam drogas,
taxas de hipoteca barata ou itens para venda são enviadas é porque o
envio de spam é um negócio lucrativo.
41
i. Spam (continuação)
Aos spammers custa quase nada para enviar milhões de spam
mensagens de e-mail. Mesmo se eles recebessem apenas uma
percentagem muito pequena de respostas, os spammers fazem um
enorme lucro.
Considere os seguintes custos envolvidos para o envio de spam:
a) Endereços de e-mail: os spammers muitas vezes constroem suas
próprias listas de endereços de e-mail usando software especial
que gera rapidamente milhões de random e-mail addresses de
ISPs conhecidos e, em seguida, envia mensagens Endereços.
42
a) Endereços de e-mail (continuação): como uma conta de e-mail
inválida retorna a mensagem ao remetente, o software pode
excluir automaticamente as contas inválidas, deixando uma lista
de e-mails válidos endereços para enviar o spam real. Se um
spammer quer economizar tempo pode comprar uma lista de
endereços de e-mail válidos para spam, o custo é relativamente
barato (US $ 100 por 10 milhões de endereços).
43
b) Equipamento e conexão à Internet: os spammers geralmente
compram um Laptop barato (US $ 500) e alugam um quarto de
motel com uma high-speed Internet connection ($ 85 por o dia)
como uma base para lançar ataques. Às vezes, os spammers
alugam tempo de outros atacantes (US $ 40 por hora) para usar
uma rede de 10.000 a 100.000 computadores infectados para
lançar um ataque.
44
Mensagens de spam baseadas em texto que incluem palavras como
"Viagra" ou "investimentos" podem facilmente retidos por filtros
especiais que procuram estas palavras.
Devido ao aumento do uso desses filtros, os spammers voltaram-se
para outra abordagem para envio de seu spam. Conhecido como image
spam (spam de imagem) ele usa imagens gráficas de texto, a fim de
contornar os filtros de texto.
A Figura 2-2 mostra um exemplo de spam de imagem.
45
46
Além de enviar uma única imagem gráfica, os spammers também
usam outras técnicas. Elas incluem:
a) GIF layering: é um spam de imagem que é dividido em várias
imagens. Cada parte da mensagem é dividida e, em seguida, em
camadas para criar uma mensagem completa e legível, de modo
que um e-mail de spam pode ser composto de uma dúzia de
imagens em camadas GIF, como ilustrado na Figura 2-3.
47
48
Além de enviar uma única imagem gráfica, os spammers também
usam outras técnicas. Elas incluem (continuação):
b) Word splitting (divisão de palavras): envolve a separação
horizontal de palavras, embora ainda legível ao Olho humano. A
divisão de palavras é ilustrada na Figura 2-4.
49
Além de enviar uma única imagem gráfica, os
spammers também usam outras técnicas.
Elas incluem (continuação):
c) Geometric variance (variância
geométrica): usa “mancha" e cores
diferentes para que não haja dois e-
mail de spam pareçam ser o mesmo. A
variância geométrica é observada na
Figura 2-5.
50
ii. Spyware
O spyware é um termo geral usado para descrever um software que
viola a segurança pessoal de um usuário.
Este software é implementado de maneiras que prejudicam o
controle de um usuário sobre:
✓O uso de recursos do sistema, incluindo quais programas são
instalados nos seus computadores;
✓A colecta, uso e distribuição de informações pessoais ou sensíveis;
✓Alterações que afectam a experiência do usuário, a privacidade ou
a segurança do sistema;
51
ii. Spyware (continuação)
O spyware normalmente executa uma das seguintes funções no
computador de um usuário:
✓Publicidade;
✓Colecta de informações pessoais; ou
✓Alteração das configurações do computador.
Embora os atacantes usem várias ferramentas de spyware diferentes,
os dois mais comuns são adware e keyloggers. A Tabela 2-2 lista alguns
dos efeitos que o spyware pode ter em um computador.
52
ii. Spyware (continuação)
53
iii. Adware
Adware é um programa que oferece conteúdo publicitário de uma
maneira inesperada e não desejado pelo usuário.
O Adware geralmente exibe banners de publicidade, anúncios pop-up
ou abre novas janelas de navegador da Web enquanto o usuário está
acessando a Internet.
Quase todos os usuários resistem ao adware porque:
✓O Adware pode exibir conteúdo censurável, como sites de jogos
de azar ou pornografia.
54
iii. Adware (continuação)
Quase todos os usuários resistem ao adware porque (continuação):
✓ Anúncios pop-up frequentes podem interferir na produtividade
de um usuário;
✓ Anúncios pop-up podem retardar um computador ou mesmo
causar falhas e a perda de dados; e
✓ Anúncios indesejados podem ser um incômodo.
Adware também pode ser um risco de segurança.
55
iii. Adware (continuação)
Muitos programas adware executam uma função de rastreamento, que
monitora e rastreia as atividades on-line de um usuário e, em seguida,
envia um log dessas atividades para terceiros sem a autorização do
usuário ou conhecimento.
Por exemplo, um usuário que visita sites on-line de automóveis para
ver tipos específicos de carros pode ser rastreado por adware e
classificado como alguém interessado na compra de um carro novo.
Com base na ordem dos sites visitados e dos tipos de sites da Web, o
adware também pode determinar se o comportamento dos surfistas
sugere que eles estão prestes a fazer uma compra.
56
iv. Keyloggers
Um keylogger é um pequeno dispositivo de hardware ou um programa
que monitora cada tecla que um usuário digita no teclado do
computador.
À medida que o usuário digita, os toques de teclas são coletadas e
salvos como texto. Essas informações podem ser recuperadas
posteriormente pelo invasor ou secretamente transmitidas para um
local remoto.
O atacante então procura por qualquer informação útil no texto
capturado, como senhas, números de cartão de crédito ou informações
pessoais.
57
iv. Keyloggers
Como um dispositivo
de hardware, um
keylogger é um
pequeno dispositivo
inserido entre o
conector do teclado e a
porta do teclado do
computador, como
mostrado na Figura 2-6.
58
iv. Keyloggers (continuação)
Como o dispositivo se assemelha a um plugue de teclado comum e
porque a porta do teclado do computador está na parte de trás do
computador, um keylogger de hardware é praticamente indetectável.
O dispositivo colecta cada toque de tecla e o atacante que instalou o
keylogger retorna mais tarde e remove fisicamente o dispositivo para
acessar as informações coletadas.
Software keyloggers são programas que captam silenciosamente todas
as batidas de tecla, incluindo senhas e informações confidenciais, como
mostrado na Figura 2-7.
59
iv. Keyloggers (continuação)
Software Keyloggers não requerem
acesso físico ao computador do
usuário, mas muitas vezes são
baixados e instalados sem saber
como um Trojan ou por um virus.
Trojan ou virus também se
escondem para que eles não
possam ser facilmente detectados,
mesmo se um usuário está
procurando por eles.
60
v. Botnets
Uma das cargas populares de malware hoje que é transportado por
Trojan horses, Worms e vírus é um programa que permitirá que o
computador infectado seja colocado sob o controle remoto de um
invasor.
Este computador "robô" infectado é conhecido como um zumbi.
Quando centenas, milhares ou mesmo dezenas de milhares de
computadores zumbis estão sob o controle de um invasor, isso cria uma
botnet.
61
v. Botnets (continuação)
Os atacantes usam Internet Relay Chat (IRC) para controlar
remotamente os zumbis. O IRC é um protocolo de comunicação aberto
que é usado para "conversar" em tempo real com outros usuários do
IRC pela Internet.
Bootnet é projetado principalmente para uma comunicação de um-
para-muitos em fóruns de discussão chamados canais. Os usuários
acessam redes IRC conectando um cliente IRC local a um servidor IRC
remoto e vários servidores IRC podem se conectar a outros servidores
IRC para criar grandes redes IRC.
62
v. Botnets (continuação)
Muitas vezes um invasor irá ocultar uma instalação de servidor IRC em
um site educacional ou corporativo, onde conexões de alta velocidade
podem suportar um grande número de outros bots.
Uma vez que um computador está infectado, é ligado a um canal IRC
específico em um servidor IRC e aguarda instruções, permitindo que
um invasor controle remotamente o zumbi.
Uma vez sob o controle do atacante (conhecido como bot herder),
botnets podem ser usados para muitos propósitos maliciosos
diferentes, que estão resumidos na Tabela 2-3.
63
v. Botnets
(continuação)
64
Ataques baseados em hardware
(Hardware-Based Attacks)
65
Fim!
66

Slide 09

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Slide 09

Enviado por

Direitos autorais:

Formatos disponíveis

Curso: Tecnologias de Informação

Você também pode gostar