Chapter 3

Malware

defines malware as [SOUP13] :

• Malware is nosy software that is designed to damage and destroy
computers and computer operating systems. Malware is a
contraction for “malicious software.”
• Examples of common malware includes viruses, worms, Trojan
viruses, spyware, adware, and ransomware.

SOUP13 : ‫يعرف البرامج الضارة على أنها‬

Malware ‫ وال‬.‫• برامج فضولية مصممة إلتالف وتدمير أجهزة الحاسوب وأنظمة تشغيل الحاسوب‬
."‫هي اختصار ل "البرامج الضارة‬
‫• تتضمن أمثلة البرامج الضارة الشائعة الفيروسات والديدان وحصان طروادة وبرامج التجسس وبرامج‬
‫اإلعالنات المتسللة وبرامج الفدية‬
 4
Malware Types
These are the main types of malware that can be found across the web
 5

Malware Types
• Virus: With user Action ,the Virus attaches itself to a program and propagates
copies of itself to other programs.
• Worm: Without user action, the Worm program that propagates copies of itself
to other computers.
• Logic Bomb: Logic bomb triggers action when condition occurs.
• Trojan horse program that contains unexpected additional functionality.
• Backdoor program modification that allows unauthorized access to
functionality.
• Clickjacking Vulnerability used by an attacker to collect an infected user’s clicks.
.‫ يربط الفيروس نفسه ببرنامج وينشر نسخا من نفسه إلى برامج أخرى‬، ‫ مع إجراء المستخدم‬:‫• الفيروس‬
.‫ ينشر نسخا من نفسه إلى أجهزة كمبيوتر أخرى‬Worm ‫ برنامج‬، ‫ بدون إجراء المستخدم‬: ‫• الديدان‬
.‫ تؤدي القنبلة المنطقية إلى اتخاذ إجراء عند حدوث الحالة‬:‫القنبلة المنطقية‬ •
.‫برنامج حصان طروادة الذي يحتوي على وظائف إضافية غير متوقعة‬ •
.‫برنامج الباب الخلفي الذي يسمح بالوصول غير المصرح به إلى الوظائف‬ •
.‫ هي الثغرة األمنية التي يستخدمها المهاجم لجمع نقرات المستخدم في الجهازالمصاب‬Clickjacking •
Classification of Malware 6

• Malware is classified into two broad categories:

1- First based on how it spreads or propagates to reach the desired

targets.
2-Then on the actions or payloads it performs once a target is
reached .
:‫يتم تصنيف البرامج الضارة إلى فئتين عريضتين‬

.‫ أوال بناء على كيفية انتشاره أو انتقاله للوصول إلى األهداف المرجوة‬- 1
.‫ثم على اإلجراءات أو الفعاليات أو الحموالت التي يقوم بها بمجرد الوصول إلى الهدف‬- 2
 7
Malware Propagation Mechanisms
Propagation Mechanisms include:
• Infection of existing content by viruses after that spreads to other
systems.
• Exploit software vulnerabilities by worms or drive-by-downloads
to allow the malware to replicate.
• Social engineering attacks that convince users to bypass security
mechanisms to install Trojans or to respond to phishing attacks.
:‫تشمل آليات االنتشار ما يلي‬
.‫• إصابة المحتوى (الملفات) الموجود بالفيروسات بعدها ينتشر الفيروس إلى أنظمة أخرى‬
‫• استغالل نقاط الضعف من قبل برامج الديدان أو التنزيالت من محرك األقراص للسماح للبرامج الضارة‬
.‫بالتكرار أو االنتشار‬
‫• هجمات الهندسة االجتماعية التي تقنع المستخدمين بتجاوز آليات األمان لتثبيت أحصنة طروادة أو‬
.‫االستجابة لهجمات التصيد االحتيالي‬
 8
Malware Actions Performed
Payload actions performed by malware once it reaches a target
system can include:
• damage to system or data files
• Theft of service / make the system a zombie agent of attack as part
of a botnet
• Theft of information from the system
• Stealthing / hiding its presence on the system
.
:‫يمكن أن تتضمن الفعاليات التي تقوم بها البرامج الضارة بمجرد وصولها إلى النظام المستهدف ما يلي‬
‫• تلف النظام أو ملفات البيانات‬
‫ للهجوم على االجهزة كجزء من الروبوتات‬zombie ‫ جعل النظام وكيل‬/ ‫• سرقة الخدمة‬
‫• سرقة المعلومات من النظام‬
‫ إخفاء وجود البرامج الضارة على النظام‬/ ‫• التخفي‬
 9
Attack Kits
• Deployment of malware required large technical skill by software authors
• Toolkits are often known as “crimeware”
➢ Include a set of publishing mechanisms and payload modules that even novices
can deploy, which creates a significant problem for those defending systems
against.
➢ Widely used toolkits include: 1- Zeus, 2- Blackhole, 3- Sakura , 4- Phoenix
‫• يتطلب نشر البرامج الضارة مهارة تقنية كبيرة يجب أن يتمتع بها مؤلفي البرامج‬
"‫• غالبا ما تعرف مجموعات األدوات باسم "برامج الجريمة‬
‫ مما يخلق‬،‫➢ هذه تتضمين مجموعة من آليات النشر ووحدات الحمولة التي يمكن حتى للمبتدئين أستخدامها‬
.‫مشكلة كبيرة ألولئك الذين يدافعون عن األنظمة‬
:‫➢ تشمل مجموعات األدوات المستخدمة على نطاق واسع ما يلي‬
‫ زيوس‬.1
‫ الثقب األسود‬.2
‫ ساكورا‬.3
‫ فينكس‬.4
 10

Attack Sources
• malware development change from individuals attack to more
organized and dangerous attack sources such as:
:‫• تطوير البرامج الضارة يتغير من هجوم األفراد إلى مصادر هجوم أكثر تنظيما وخطورة مثل‬

• This has changed the resources available and motivation behind the rise of
malware and has led to development of a large underground economy
involving the sale of attack kits, access to compromised hosts, and to stolen
information.
‫• وقد أدى ذلك إلى تغيير الموارد المتاحة والدافع وراء ظهور البرامج الضارة وأدى إلى تطوير اقتصاد‬
‫ والمعلومات‬، ‫ والوصول إلى المضيفين المخترقين‬، ‫سري كبير يتضمن بيع مجموعات الهجوم‬
.‫المسروقة‬
Propagation

11
❖ Propagation / 12

1. Infected Contents (Viruses)

• Piece of software that infects programs
• Modifies them to include a copy of the virus
• Increase and infect other content
• Easily spread through network environments
• When attached to an executable program, a virus can do anything that the
program is permitted to do
- Executes secretly when the host program is run
• Specific to operating system and hardware
- Takes advantage of their details and weaknesses.
‫قطعة من البرامج التي تصيب البرامج االخرى‬ •
‫يعدلها لتشمل نسخة من الفيروس‬ •
‫زيادة وإصابة المحتوى اآلخر‬ •
‫االنتشار بسهولة عبر بيئات الشبكة‬ •
‫ يمكن للفيروس أن يفعل أي شيء يسمح للبرنامج بالقيام به‬، ‫عند توصيله ببرنامج قابل للتنفيذ‬ •
‫ ينفذ سرا عند تشغيل البرنامج المضيف‬-
‫خاص بنظام التشغيل واألجهزة‬ •
‫ يستفيد من تفاصيلها ونقاط ضعفها‬-
 13

Virus lifecycle (Virus Phases)

 14

Virus Phases
 15

Virus Classification
A- Classification By target:
• Boot sector infector : Infects a master boot record (MBR) or
boot record .
• File infector : Infects files that the operating system or shell
considers to be executable
• Macro virus : Infects files with macro or scripting code
• Multipartite virus : Infects files in multiple ways.

:‫ التصنيف حسب الهدف‬- ‫أ‬

.‫ أو سجل التمهيد‬MBR ‫ يصيب سجل التمهيد الرئيسي‬: ‫• إصابة قطاع التمهيد‬
.‫ والتي تكون من نوع تنفيذي‬shell ‫ يصيب ملفات نظام التشغيل أو‬: ‫• أصابة الملفات‬
‫ يصيب الملفات التي تستخدم الماكرو أو البرمجة النصية‬: ‫• فيروس الماكرو‬
.‫ يصيب الملفات بطرق متعددة‬: ‫• فيروس متعدد األطراف‬
 16

Virus Classification
B- Classification By Hiding Strategy:
• Encrypted virus : A portion of the virus creates a random
encryption key and encrypts the remainder of the virus.
• Stealth virus (sneaking) : A form of virus explicitly designed to
hide itself from detection by anti-virus software.
• Polymorphic virus : A virus that mutates with every infection.
• Metamorphic virus : A virus that rewrites itself completely at
each iteration and may change behavior as well as appearance.
: ‫ التصنيف حسب استراتيجية اإلخفاء‬-‫ب‬
.‫ يقوم جزء من الفيروس بإنشاء مفتاح تشفير عشوائي وتشفير بقية الفيروس‬: ‫• فيروس مشفر‬
‫ شكل من أشكال الفيروسات مصمم بشكل صريح إلخفاء نفسه عن الكشف‬: )‫• فيروس الشبح (التسلل‬
.‫بواسطة برنامج مكافحة الفيروسات‬
.‫ فيروس يتحور مع كل عدوى‬: ‫• فيروس متعدد األشكال‬
.‫ فيروس يعيد كتابة نفسه بالكامل في كل تكرار وقد يغير السلوك وكذلك المظهر‬:‫• فيروس متحول‬
❖ Propagation / 17

2. Vulnerability Exploit (Worms)

• Program that actively seeks out more machines to infect
-Each infected machine serves as an automated launching pad
for attacks on other machines
• Exploits software vulnerabilities in client or server programs
• Can :
1. Spread through Network Connections from system to system
2. Spread through Shared Media (USB drives, CD, DVD data disks).
3. Spread through E-mails, email worms.
‫• برنامج يبحث بنشاط عن المزيد من اآلالت إلصابة‬
‫ كل جهاز مصاب بمثابة منصة إطالق آلية للهجمات على األجهزة األخرى‬-
‫• يستغل الثغرات األمنية في البرامج في برامج العميل أو الخادم‬
: ‫• يمكن‬
‫ االنتشار عبر اتصاالت الشبكة من نظام إلى آخر‬.1
DVD ‫ واألقراص المضغوطة وأقراص بيانات‬USB ‫محركات أقراص‬... ‫ تنتشر من خالل الوسائط المشتركة‬.2
‫ ديدان البريد اإللكتروني‬، ‫ تنتشر من خالل رسائل البريد اإللكتروني‬.3
Worms 18

(Propagation / Vulnerability Exploit)

• Upon activation the worm may replicate and propagate again

• Usually carries some form of payload/action
• First known worm implementation was done in Xerox Palo Alto
Labs in the early 1980.
➢ It was not malicious, searching for idle systems to use to run a
computationally intensive task.

‫ قد تتكاثر الدودة وتنتشر مرة أخرى‬، ‫• عند التنشيط‬

‫ اإلجراء‬/ ‫• عادة ما تحمل الديدان شكال من أشكال الحمولة‬
.1980 ‫• تم تنفيذ أول دودة معروفة في مختبرات زيروكس بالو ألتو في أوائل‬
‫ حيث كان يبحث عن أنظمة خاملة الستخدامها لتشغيل مهمة مكثفة حسابيا‬، ‫لم يكن ضارا‬
 Worm Replication 19

E-mail or instant messenger facility:

• Worm e-mails a copy of itself to other systems
• Often, sends itself as an attachment via an instant message service.
File sharing:
• Creates a copy of itself or infects a file as a virus on removable media (auto run
mechanism ).
Remote execution capability:
• Worm executes a copy of itself on another system.
:‫البريد اإللكتروني أو خدمة المراسلة الفورية‬
.‫ نسخة من نفسها بالبريد اإللكتروني إلى أنظمة أخرى‬Worm ‫• ترسل‬
:.‫ يرسل نفسه كمرفق عبر خدمة الرسائل الفورية‬، ‫• في كثير من األحيان‬
:‫مشاركة الملفات‬
.)‫• ينشئ نسخة من نفسه أو يصيب ملفا كفيروس على وسائط قابلة لإلزالة (آلية التشغيل التلقائي‬
:‫إمكانية التنفيذ عن بعد‬
.‫ بتنفيذ نسخة من نفسها على نظام آخر‬Worm ‫• تقوم‬
 20
Worm Replication
Remote file access or transfer capability:
• Worm uses a remote file access or transfer service to copy itself from one
system to another.
Remote login capability :
• Worm logs onto a remote system as a user and then uses commands to copy
itself from one system to the other
:‫إمكانية الوصول إلى الملفات أو نقلها عن بعد‬
‫خدمة الوصول إلى الملفات أو نقلها عن بعد لنسخ نفسه من نظام إلى آخر‬Worm ‫• يستخدم‬
:‫إمكانية تسجيل الدخول عن بعد‬
‫يقوم الفيروس المتنقل بتسجيل الدخول إلى نظام بعيد كمستخدم ثم يستخدم األوامر لنسخ نفسه من نظام إلى‬
‫آخر‬
 21
Worms Technology
 22
Newer Worms Technology
• Multiplatform: not limited to Windows: UNIX; macro, scripting etc.
• Multi-exploit: penetrate systems in a variety of ways:
-E.g. servers, browsers, e-mail, file sharing, shared media, etc.
• Ultrafast Spreading: maximize locating as many vulnerable machines as
possible in a short time period.
• Polymorphic: To evade detection, worms adopt the virus polymorphic
technique.
- New code generated on the fly using functionally equivalent instructions &
encryption techniques.
.‫ الماكرو والبرمجة النصية وما إلى ذلك‬UNIX; :‫ ال يقتصر على ويندوز‬:‫• متعدد المنصات‬
:‫ اختراق األنظمة بعدة طرق‬:‫• االستغالل المتعدد‬
‫ على سبيل المثال الخوادم والمتصفحات والبريد اإللكتروني ومشاركة الملفات والوسائط المشتركة‬-
.‫وما إلى ذلك‬
.‫ تعظيم تحديد موقع أكبر عدد ممكن من األجهزة الضعيفة في فترة زمنية قصيرة‬:‫• انتشار فائق السرعة‬
.‫ تتبنى الديدان تقنية الفيروس متعدد األشكال‬، ‫ للتهرب من الكشف‬:‫• متعدد األشكال‬
.‫ رمز جديد تم إنشاؤه أثناء التنقل باستخدام تعليمات وتقنيات تشفير مكافئة وظيفيا‬-
 23
Newer Worms Technology
• Metamorphic: Changing their appearance and it behavioral patterns.
- have a collection of behavior patterns that are unleashed at
different stages of propagation
• Transport vehicles: Can rapidly compromise a large number of systems,
-they are ideal distributed DoS bots, rootkits, spam e-mail
generators, and spyware.
• Zero-day exploit : maximum surprise and distribution,
- exploit an unknown vulnerability that is only discovered by the
general network community when the worm is launched.
. ‫ تغيير مظهرها وأنماطها السلوكية‬: ‫متحولة‬
‫ لديك مجموعة من أنماط السلوك التي يتم إطالقها في مراحل مختلفة من االنتشار‬-
، ‫ يمكن أن تعرض للخطر بسرعة عددا كبيرا من األنظمة‬: ‫مركبات النقل‬
‫ البريد اإللكتروني غير المرغوب فيه المولدات وبرامج‬،‫ الجذور الخفية‬،‫ الروبوتات‬DoS ‫ فهي مثالية موزعة‬-
. ‫التجسس‬
، ‫ أقصى مفاجأة وتوزيع‬: ‫استغالل يوم الصفر‬
. ‫ استغالل ثغرة أمنية غير معروفة يتم اكتشافها فقط من قبل مجتمع الشبكة العام عند تشغيل الفيروس المتنقل‬-
 24
CLICKJACKING
• Also known as a user-interface (UI) redress
• By using CLICKJACKING technique , keystrokes can be hijacked
- A user can be believed they are typing in the password to their email or
bank account, but are instead typing into an invisible frame controlled by the
attacker.
E.g. you may think you're viewing the bank's display after entering your ID and
password, but what you actually see is a replica of the same screen laid on top of
the bank's real information.

‫• يعرف أيضا هجوم معالجة واجهة المستخدم‬

‫ يمكن اختطاف ضغطات المفاتيح‬، CLICKJACKING ‫• باستخدام تقنية‬
‫ المستخدم إلى االعتقاد بأن المستخدم يكتب كلمة المرور على بريده‬CLICKJACKING ‫ يقودهجوم‬-
. .‫ ولكن بدال من ذلك يكتبون في إطار غير مرئي يتحكم فيه المهاجم‬، ‫اإللكتروني أوحسابه المصرفي‬
‫ في الحقيقة هذا التي‬، ‫ قد تعتقد أنك تشاهد شاشة البنك بعد إدخال هويتك وكلمة المرور‬، ‫على سبيل المثال‬
‫ وهي نسخة طبق األصل من نفس الشاشة موضوعة فوق شاشة‬CLICKJACKING ‫تراه هو نسخة هجوم‬
.‫المعلومات الحقيقية للبنك‬
Clickjacking 25

• By taking advantage of Adobe Flash or JavaScript, the attacker

could place a button under or over an actual button making it
difficult for users to detect.
‫ يمكن للمهاجم وضع كبسة أسفل أو‬، JavaScript ‫ أو‬Adobe Flash ‫• من خالل االستفادة من برامجيات‬
. ‫فوق الكبسة االصلية مما يجعل صعوبة اكتشافه من قبل المستخدمين‬
 ❖ Propagation / 26

Social Engineering (Spam, Trojan)

• Tricking the users to make them do help in the attack of their own systems or
personal information
• This can happen by SPAM e-mail, or some Trojan horse program or scripting code.
‫• خداع المستخدمين لجعلهم يساعدون في مهاجمة أنظمتهم أو معلوماتهم الشخصية‬
scripting ‫ أو‬Trojan horse program ‫ أو بعض برامج‬، SPAM e-mail ‫• يمكن أن يحدث هذا عن طريق البريد‬
code.

Spam Trojan horse

• Unwanted bulk e-mail
• Big carrier of malware
• Used for phishing attacks.
‫• البريد اإللكتروني الكبير الغير المرغوب فيه‬
‫• الناقل الكبير للبرامج الضارة‬
phishing ‫• تستخدم لهجمات‬
• Program or utility containing
harmful hidden code.
• Used to execute functions that the
attacker could not executed
directly.
:)‫حصان طروادة (برنامج يبدو مفيد‬
‫• برنامج أو أداة برمجية مفيدة تحتوي على‬
.‫تعليمات برمجية مخفية ضارة‬
‫• تستخدم إلنجاز الوظائف التي لم يتمكن المهاجم‬
.‫من إنجازها مباشرة‬
 Spam E-mail 27

• Most recent spam is sent by botnets using user systems.

• Most of spam e-mail content is just advertising, trying to convince the
receiver to purchase some product online but includes malware in some
cases.
• The e-mail may have an attached document, which, if opened, may
exploit a software vulnerability to install malware on the user’s system
or, Trojan horse program or scripting code
• Finally the spam e-mail may be used in a phishing attack, typically
directing the user to a fake Web site that mirrors some legitimate service.

. ‫ بواسطة شبكات الروبوت باستخدام أنظمة المستخدم‬spam ‫يتم إرسال أحدث البريد اإللكتروني‬ •
‫ في محاولة إلقناع المتلقي بشراء بعض المنتجات عبر‬، ‫ هو مجرد إعالن‬spam ‫معظم محتوى البريد اإللكتروني‬ •
. ‫اإلنترنت ولكنه يتضمن برامج ضارة في بعض الحاالت‬
‫ قد يستغل ثغرة أمنية في الجهااز لتثبيت‬، ‫ إذا تم فتحه‬، ‫ والذي‬، ‫قد يحتوي البريد اإللكتروني على مستند مرفق‬ •
‫برامج ضارة على نظام المستخدم أو برنامج حصان طروادة أو رمز البرمجة النصية‬
‫ وعادة ما يوجه المستخدم إما إلى مواقع‬، phishing ‫ في هجوم‬spam ‫ يمكن استخدام البريد اإللكتروني‬، ‫أخيرا‬ •
. ‫ويب مزيفة تعكس بعض الخدمات المشروعة‬
 28
Trojan Horses
Trojan horses fit into one of three models:
1. Continuing to perform the function of the original program and additionally
performing a separate malicious activity.
2. Continuing to perform the function of the original program but modifying the
function to perform malicious activity.
-e.g. : a Trojan horse version of a login program that collects passwords

3. Performing a malicious function that completely replaces the function of the

original program.
: ‫تتطابق أحصنة طروادة مع أحد النماذج الثالثة‬
. ‫ ضار‬. ‫ االستمرار في أداء وظيفة البرنامج األصلي باإلضافة إلى تنفيذ نشاط منفصل‬.1
. ‫ االستمرار في أداء وظيفة البرنامج األصلي مع تعديل الوظيفة ألداء نشاط ضار أو إلخفاء نشاط ضار آخر‬.2
‫ يوجد إصدار من حصان طروادة لبرنامج تسجيل الدخول والذي يجمع كلمات السر‬: ‫ على سبيل المثال‬-
. ‫ أداء وظيفة ضارة تحل محل وظيفة البرنامج األصلي تماما‬. 3
 29
WannaCry Ransomware Attack
Payload

30
❑ Payload/ System Corruption 31

• Real-world damage: Causes damage to Hardware

• Chernobyl virus: Rewrites BIOS code .
• Stuxnet worm : Targets specific industrial control system
software .
• Logic bomb: Code embedded in the malware that is set
to “explode” when certain conditions are met

‫ يتسبب في تلف األجهزة‬:‫• ضرر في العالم الحقيقي‬

BIOS ‫ يعيد كتابة كود‬:‫• فيروس تشيرنوبيل‬
.‫ تستهدف برامج نظام تحكم صناعية محددة‬: Stuxnet ‫• دودة‬
‫ رمز مضمن في البرامج الضارة التي تم تعيينها على "االنفجار" عند استيفاء شروط‬:‫• القنبلة المنطقية‬
‫معينة‬
❑ Payload / Services theft (Zombie, Bots) 32

❑ Takes over another Internet attached computer and uses that computer
to launch or manage attacks.
❑ Botnet is a number of Internet-connected devices, each of which is
running one or more bots.
‫• يقوم باالستيالء على كمبيوتر شخص آخر متصل باإلنترنت واستخدام هذا الكمبيوتر لشن الهجمات أو‬
‫إدارتها‬
. ‫ كل منها يقوم بتشغيل روبوت واحد أو أكثر‬،‫ هي عدد من األجهزة المتصلة باإلنترنت‬- Botnet •
❑ Can be used to cause/make: ‫يمكن أستخدامه من أجل عمل مايلي‬
• Distributed denial-of-service (DDoS)
• Spamming
• Sniffing traffic
• Keylogging
• Spreading new malware
• Installing advertisement add-ons and browser helper objects (BHOs)
 33
How a Botnet Works

1. The botmaster sends out malware to infect computers(by Spam Email, infected websites,
Social Media).
2. Once in the system, the malware will use the internet to make contact with the command
& control server (C2).
3. Once the botmaster has a purpose for the botnet, he/she sends instructions to the bots via
the command & control server.
4. the botmaster will be focussed on recruiting more and more computers to expand the
botnet.
 ‫‪34‬‬

‫‪ - 1‬يرسل ‪ botmaster‬برامج ضارة إلصابة أجهزة الكمبيوتر) من خالل بريد ‪ Spam‬أو صفحة ويب‬
‫مصابة أو صفحات تواصل أجتماعي مخترقة‪.‬‬
‫‪ - 2‬بمجرد دخولها إلى نظام الحاسوب المصاب ‪ ،‬ستستخدم البرامج الضارة اإلنترنت لالتصال بخادم األوامر‬
‫والتحكم ‪C2‬‬
‫‪ - 3‬بمجرد أن يكون لدى ‪ botmaster‬غرض للبوت نت ‪ ، botnet‬فإنه يرسل تعليمات إلى الروبوتات‬
‫عبر خادم القيادة والتحكم‪.‬‬
‫‪ - 4‬سيركز ‪ BotMaster‬على تجنيد المزيد من أجهزة الكمبيوتر لتوسيع شبكة ‪. botnet‬‬
 35

❑ Payload / Information Theft (Keyloggers and Spyware)

Keylogger
• Attacker captures infected system keystrokes to allow attacker to
monitor the victim sensitive information
• Typically uses filtering mechanism that only returns the
information close to (“login”, “password”)

‫• يلتقط ضغطات المفاتيح للجهاز المخترق للسماح للمهاجم بمشاهدة المعلومات الحساسة‬
"‫• يستخدم عادة شكال من أ آلية التصفية التي ترجع فقط المعلومات القريبة من الكلمات ("تسجيل الدخول‬
)"‫ "كلمة المرور‬،
 36
Payload / Information Theft (Keyloggers and Spyware)

Spyware
• A malware used to compromise machines to allow monitoring of
a wide range of activity on the system.
• Monitoring history and content of browsing activity
• Redirecting certain Web page requests to fake sites
• Dynamically modifying data exchanged between the browser and
certain Web sites of interest
‫برنامج ضار يستخدم الختراق األجهزة للسماح بمراقبة مجموعة واسعة من األنشطة على النظام‬ •
‫مراقبة تاريخ ومحتوى فعاليات التصفح‬ •
‫إعادة توجيه طلبات صفحات ويب معينة إلى مواقع مزيفة‬ •
.‫ديناميكيا يتقوم بتغير البيانات المتبادلة بين المتصفح وبعض مواقع الويب المطلوبة‬ •
 37
Payload / Information Theft (Phishing )
Exploit of a social engineering :
• Include a URL in a spam e-mail that links to a fake Web site that connects the
login page of a banking, gaming, or similar site
• Suggests that urgent action is required by the user to authenticate his/her
account
• Attacker exploits the account using the captured credentials.
‫استغالل الهندسة االجتماعية‬
‫ يربط مع‬fake Web ‫ فيه ربط بموقع‬spam ‫ في رسالة بريد إلكتروني من نوع‬URL ‫• تضمين عنوان‬
‫ الخاصة بموقع مصرفي أو موقع ألعاب أو موقع مشابه‬login ‫صفحة‬
‫• يقترح عل المستخدم باتخاذ إجراء عاجل لمصادقة حسابه‬
‫• يستغل المهاجم الحساب الذي هاجمه باستخدام بيانات الدخول المعتمدة التي تم التقاطها‬
Spear-phishing
• email is specially designed for its recipient
• Eg. Send email by there own name such as Dear Mr Ahmmad, NOT Dear Sir
، ‫• يتم تصميم البريد اإللكتروني خصيصا لمستلمه‬
‫ وليس سيدي العزيز‬، ‫ إرسال بريد إلكتروني باالسم الخاص مثل عزيزي السيد أحمد‬:‫• مثل‬
 38

❑ Payload / Stealthing (Backdoor)

• Also known as a trapdoor
• Secret entry point into a program allowing the attacker to gain
access and bypass the security access procedures
• Maintenance hook is a backdoor used by programmers to debug
and test programs.

‫• يعرف أيضا باسم باب المصيدة‬

‫• نقطة دخول سرية إلى برنامج تسمح للمهاجم بالوصول وتجاوز إجراءات الوصول األمن‬
‫ هو باب خلفي يستخدمه المبرمجون لتصحيح واختبار البرامج‬Maintenance hook ‫• خطاف الصيانة‬
 39
Payload / Stealthing (Rootkit)

• A rootkit is a set of hidden programs installed on a system to

maintain covert/hidden access to that system with administrator
(or root) privileges
/ ‫• الجذور الخفية هي مجموعة من البرامج المخفية المثبتة على نظام للحفاظ على الوصول السري‬
.)root ‫ (أو‬administrator ‫المخفي إلى هذا النظام بامتيازات‬
Rootkit types ‫أنواع وخصائص الجذور الخفية‬
 40
Malware Countermeasure Approaches
Ideal solution to the threat of malware is prevention
• Four main elements of prevention:
1. Policy
2. Awareness
3. Vulnerability reduction
4. Threat reduction
‫الحل المثالي لتهديد البرامج الضارة هو الوقاية‬
:‫أربعة عناصر رئيسية للوقاية‬
‫ السياسات‬.1
‫ الوعي‬.2
‫ الحد من الضعف‬.3
‫ الحد من التهديدات‬.4
 41
Malware Countermeasure Approaches
• If prevention fails, the following options can be used to mitigate
threats :
1. Detection
2. Identification
3. Removal
: ‫ يمكن استخدام الخيارات التالية لتخفيف التهديدات‬،‫إذا فشلت الوقاية‬ •
‫الكشف‬ •
‫التعرف‬ •
‫العزل‬ •
 42

Worm Countermeasures
• We can see there is an overlap in techniques for dealing with
viruses and worms
• Once a worm is resident on a machine anti-virus software can be
used to detect and possibly remove it
• IDS can form the basis of defense against the worm .
.
‫• يمكننا أن نرى أن هناك تداخال في تقنيات التعامل مع الفيروسات والديدان‬
‫ يمكن استخدام برنامج مكافحة الفيروسات الكتشافها‬، ‫• بمجرد أن تكون الدودة مقيمة في جهاز الحاسوب‬
‫وربما إزالتها‬
‫ أساس الدفاع ضد الدودة‬IDS ‫• يمكن أن تشكل‬
 43
Worm Countermeasures
Worm defense approaches include:
• Signature-based worm scan signature filtering (prevent worm from entering/leaving
network/host based on worm scan signature)
• Filter-based worm containment (content rather than a scan signature.)
• Payload-classification-based worm containment (examine network packets)
• Threshold Random Walk (TRW) scan detection (effective against common worm
behaviors)
• Rate limiting (i.e. limiting the number of new machines a host can connect to in a
window of time)
• Rate halting (blocks outgoing traffic when a threshold is exceeded either in outgoing
connection rate )
: ‫تشمل مناهج الدفاع عن الديدان ما يلي‬
‫ المضيف أستنادا الى‬/ ‫ مغادرة الشبكة‬/ ‫• تصفية فحص الديدان المتنقل المستند إلى التوقيع (منع من الدخول‬
) ‫عمليات فحص التوقيع للديدان‬
). ‫• احتواء الدودة المتنقل المستند إلى المرشح (المحتوى بدال من المسح التوقيع‬
)‫• احتواء الدودة المتنقل القائم على تصنيف الحمولة الصافية (فحص حزم الشبكة‬
)‫• الكشف عن فحص عتبة المشي العشوائي ) فعال ضد سلوكيات الديدان الشائعة‬
)‫تحديد المعدل (أي الحد من عدد األجهزة الجديدة التي يمكن للمضيف االتصال بها في نافذة زمنية‬ •
)‫توقف المعدل (يحظر حركة المرور الصادرة عند تجاوز الحد إما في معدل االتصال الصادر‬ •
 44
Anti-Virus Evolution
• Early viruses are simple codes, easily removed
• Virus & Antivirus technology have both evolved and become more complex,
nowadays.
• There are four generations of Antivirus software:
1. First: Signature scanners to identify a virus
2. Second: Heuristics rules used to search virus infections
3. Third: Identify virus by its actions
4. Fourth: Packages consisting of a variety of antivirus techniques
‫ يمكن إزالته بسهولة‬، ‫• الفيروسات المبكرة رمز بسيط‬
. ‫ في الوقت الحاضر‬، ‫• تطورت تقنية الفيروسات ومكافحة الفيروسات كما أنها أصبحت أكثر تعقيدا‬
: ‫• هنالك أربعة أجيال من برامج مكافحة الفيروسات‬
‫ ماسحات للتوقيع للتعرف على الفيروس‬: ‫ أوال‬. 1
‫ قواعد االستدالل المستخدمة للبحث عن اإلصابات بالفيروسات‬: ‫ ثانيا‬. 2
‫ التعرف على الفيروس من خالل أفعاله‬: ‫ ثالثا‬. 3
‫ حزم تتكون من مجموعة متنوعة من تقنيات مكافحة الفيروسات‬: ‫ رابعا‬. 4
 45
Generic Decryption (GD)
❑ Enables the anti-virus program to easily detect complex polymorphic viruses
and other malware while maintaining fast scanning speeds
❑ Executable files are run through a GD scanner which contains the following
elements:
• CPU emulator
• Virus signature scanner
• Emulation control module
❑ The most difficult design issue with a GD scanner is to determine how long to
run each interpretation
‫❑ تمكن برنامج مكافحة الفيروسات من اكتشاف الفيروسات المعقدة متعددة األشكال والبرامج الضارة األخرى‬
‫بسهولة مع الحفاظ على سرعات المسح السريع‬
: ‫ يحتوي على العناصر التالية‬GD ‫❑ يتم تشغيل الملفات القابلة للتنفيذ من خالل ماسح‬
‫▪ محاكي وحدة المعالجة المركزية‬
‫▪ ماسح لتوقيع الفيروسات‬
‫▪ وحدة التحكم في المحاكاة‬
‫في تحديد مدة تشغيل كل تفسير‬GD ‫❑ تتمثل أصعب مشكلة في التصميم في الماسح‬
 46
Malware Terminology
 47
Malware Terminology
 48
Recent Worm Attacks
 49
Newer Worms Technology
• Multiplatform: not limited to Windows: UNIX; macro, scripting etc.
• Multi-exploit: penetrate systems in a variety of ways:
- E.g. servers, browsers, e-mail, file sharing, shared media, etc.
• Ultrafast Spreading: maximize locating as many vulnerable machines as possible in a
short time period.
• Polymorphic: To evade detection, worms adopt the virus polymorphic technique.
- New code generated on the fly using functionally equivalent instructions &
encryption techniques.
• Metamorphic: Changing their appearance and it behavioral patterns.
- have a collection of behavior patterns that are unleashed at different stages of
propagation
• Transport vehicles: Can rapidly compromise a large number of systems,
- they are ideal distributed DoS bots, rootkits, spam e-mail generators, and spyware.
• Zero-day exploit : maximum surprise and distribution,
- exploit an unknown vulnerability that is only discovered by the general network
community when the worm is launched
 ‫‪50‬‬
‫‪Newer Worms Technology‬‬
‫• متعدد المنصات‪ :‬ال يقتصر على ويندوز‪ UNIX; :‬الماكرو والبرمجة النصية وما إلى ذلك‪.‬‬
‫• االستغالل المتعدد‪ :‬اختراق األنظمة بعدة طرق‪:‬‬
‫‪ -‬على سبيل المثال الخوادم والمتصفحات والبريد اإللكتروني ومشاركة الملفات والوسائط المشتركة وما إلى‬
‫ذلك‪.‬‬
‫• انتشار فائق السرعة‪ :‬تعظيم تحديد موقع أكبر عدد ممكن من األجهزة الضعيفة في فترة زمنية قصيرة‪.‬‬
‫• متعدد األشكال‪ :‬للتهرب من الكشف ‪ ،‬تتبنى الديدان تقنية الفيروس متعدد األشكال‪.‬‬
‫‪ -‬رمز جديد تم إنشاؤه على الطاير باستخدام تعليمات مكافئة وظيفيا & تقنيات التشفير‪.‬‬
‫• متحولة‪ :‬تغيير مظهرها وأنماطها السلوكية‪.‬‬
‫‪ -‬لديك مجموعة من أنماط السلوك التي يتم إطالقها في مراحل مختلفة من نشر‬
‫• مركبات النقل‪ :‬يمكن أن تعرض للخطر بسرعة عددا كبيرا من األنظمة ‪،‬‬
‫‪ -‬إنها روبوتات ‪ DoS‬موزعة بشكل مثالي ‪ ،‬والجذور الخفية ‪ ،‬ومولدات البريد اإللكتروني العشوائي ‪ ،‬وبرامج‬
‫التجسس‪.‬‬
‫• استغالل يوم الصفر ‪ :‬أقصى مفاجأة وتوزيع ‪،‬‬
‫‪ -‬استغالل ثغرة أمنية غير معروفة ال يتم اكتشافها إال من قبل الشبكة العامة عند إطالق الدودة‬
 51
Drive-by-downloads
• Exploits browser vulnerabilities to download and installs malware
on the system when the user views a Web page that is controlled
by the attacker
- It contains code that exploits the browser bug to download and
install malware on the system without the user’s knowledge or
consent.
• In most cases does not actively propagate
• Spreads when users visit the malicious Web page
‫• يستغل ثغرات المستعرض لتنزيل البرامج الضارة وتثبيتها على النظام عندما يعرض المستخدم صفحة‬
‫ويب يتحكم فيها المهاجم‬
‫ يحتوي على رمز يستغل خطأ المتصفح لتنزيل البرامج الضارة وتثبيتها على النظام دون علم المستخدم‬-
.‫أو موافقته‬
‫• في معظم الحاالت ال ينتشر بنشاط‬
‫• ينتشر عندما يزور المستخدمون صفحة ويب الضارة‬
Kaspersky: What Is a Drive-By Download?
https://www.kaspersky.com/resource-center/definitions/drive-by-download
 52
Target Discovery
 53
Target Discovery
 54
System Corruption (Payload)
55
 56
Host-based Behavior-blocking Software
End of Chapter 4

57