Professional Documents
Culture Documents
Malware
Malware Types
• Virus: With user Action ,the Virus attaches itself to a program and propagates
copies of itself to other programs.
• Worm: Without user action, the Worm program that propagates copies of itself
to other computers.
• Logic Bomb: Logic bomb triggers action when condition occurs.
• Trojan horse program that contains unexpected additional functionality.
• Backdoor program modification that allows unauthorized access to
functionality.
• Clickjacking Vulnerability used by an attacker to collect an infected user’s clicks.
. يربط الفيروس نفسه ببرنامج وينشر نسخا من نفسه إلى برامج أخرى، مع إجراء المستخدم:• الفيروس
. ينشر نسخا من نفسه إلى أجهزة كمبيوتر أخرىWorm برنامج، بدون إجراء المستخدم: • الديدان
. تؤدي القنبلة المنطقية إلى اتخاذ إجراء عند حدوث الحالة:القنبلة المنطقية •
.برنامج حصان طروادة الذي يحتوي على وظائف إضافية غير متوقعة •
.برنامج الباب الخلفي الذي يسمح بالوصول غير المصرح به إلى الوظائف •
. هي الثغرة األمنية التي يستخدمها المهاجم لجمع نقرات المستخدم في الجهازالمصابClickjacking •
Classification of Malware 6
. أوال بناء على كيفية انتشاره أو انتقاله للوصول إلى األهداف المرجوة- 1
.ثم على اإلجراءات أو الفعاليات أو الحموالت التي يقوم بها بمجرد الوصول إلى الهدف- 2
7
Malware Propagation Mechanisms
Propagation Mechanisms include:
• Infection of existing content by viruses after that spreads to other
systems.
• Exploit software vulnerabilities by worms or drive-by-downloads
to allow the malware to replicate.
• Social engineering attacks that convince users to bypass security
mechanisms to install Trojans or to respond to phishing attacks.
:تشمل آليات االنتشار ما يلي
.• إصابة المحتوى (الملفات) الموجود بالفيروسات بعدها ينتشر الفيروس إلى أنظمة أخرى
• استغالل نقاط الضعف من قبل برامج الديدان أو التنزيالت من محرك األقراص للسماح للبرامج الضارة
.بالتكرار أو االنتشار
• هجمات الهندسة االجتماعية التي تقنع المستخدمين بتجاوز آليات األمان لتثبيت أحصنة طروادة أو
.االستجابة لهجمات التصيد االحتيالي
8
Malware Actions Performed
Payload actions performed by malware once it reaches a target
system can include:
• damage to system or data files
• Theft of service / make the system a zombie agent of attack as part
of a botnet
• Theft of information from the system
• Stealthing / hiding its presence on the system
.
:يمكن أن تتضمن الفعاليات التي تقوم بها البرامج الضارة بمجرد وصولها إلى النظام المستهدف ما يلي
• تلف النظام أو ملفات البيانات
للهجوم على االجهزة كجزء من الروبوتاتzombie جعل النظام وكيل/ • سرقة الخدمة
• سرقة المعلومات من النظام
إخفاء وجود البرامج الضارة على النظام/ • التخفي
9
Attack Kits
• Deployment of malware required large technical skill by software authors
• Toolkits are often known as “crimeware”
➢ Include a set of publishing mechanisms and payload modules that even novices
can deploy, which creates a significant problem for those defending systems
against.
➢ Widely used toolkits include: 1- Zeus, 2- Blackhole, 3- Sakura , 4- Phoenix
• يتطلب نشر البرامج الضارة مهارة تقنية كبيرة يجب أن يتمتع بها مؤلفي البرامج
"• غالبا ما تعرف مجموعات األدوات باسم "برامج الجريمة
مما يخلق،➢ هذه تتضمين مجموعة من آليات النشر ووحدات الحمولة التي يمكن حتى للمبتدئين أستخدامها
.مشكلة كبيرة ألولئك الذين يدافعون عن األنظمة
:➢ تشمل مجموعات األدوات المستخدمة على نطاق واسع ما يلي
زيوس.1
الثقب األسود.2
ساكورا.3
فينكس.4
10
Attack Sources
• malware development change from individuals attack to more
organized and dangerous attack sources such as:
:• تطوير البرامج الضارة يتغير من هجوم األفراد إلى مصادر هجوم أكثر تنظيما وخطورة مثل
• This has changed the resources available and motivation behind the rise of
malware and has led to development of a large underground economy
involving the sale of attack kits, access to compromised hosts, and to stolen
information.
• وقد أدى ذلك إلى تغيير الموارد المتاحة والدافع وراء ظهور البرامج الضارة وأدى إلى تطوير اقتصاد
والمعلومات، والوصول إلى المضيفين المخترقين، سري كبير يتضمن بيع مجموعات الهجوم
.المسروقة
Propagation
11
❖ Propagation / 12
Virus Phases
15
Virus Classification
A- Classification By target:
• Boot sector infector : Infects a master boot record (MBR) or
boot record .
• File infector : Infects files that the operating system or shell
considers to be executable
• Macro virus : Infects files with macro or scripting code
• Multipartite virus : Infects files in multiple ways.
Virus Classification
B- Classification By Hiding Strategy:
• Encrypted virus : A portion of the virus creates a random
encryption key and encrypts the remainder of the virus.
• Stealth virus (sneaking) : A form of virus explicitly designed to
hide itself from detection by anti-virus software.
• Polymorphic virus : A virus that mutates with every infection.
• Metamorphic virus : A virus that rewrites itself completely at
each iteration and may change behavior as well as appearance.
: التصنيف حسب استراتيجية اإلخفاء-ب
. يقوم جزء من الفيروس بإنشاء مفتاح تشفير عشوائي وتشفير بقية الفيروس: • فيروس مشفر
شكل من أشكال الفيروسات مصمم بشكل صريح إلخفاء نفسه عن الكشف: )• فيروس الشبح (التسلل
.بواسطة برنامج مكافحة الفيروسات
. فيروس يتحور مع كل عدوى: • فيروس متعدد األشكال
. فيروس يعيد كتابة نفسه بالكامل في كل تكرار وقد يغير السلوك وكذلك المظهر:• فيروس متحول
❖ Propagation / 17
. بواسطة شبكات الروبوت باستخدام أنظمة المستخدمspam يتم إرسال أحدث البريد اإللكتروني •
في محاولة إلقناع المتلقي بشراء بعض المنتجات عبر، هو مجرد إعالنspam معظم محتوى البريد اإللكتروني •
. اإلنترنت ولكنه يتضمن برامج ضارة في بعض الحاالت
قد يستغل ثغرة أمنية في الجهااز لتثبيت، إذا تم فتحه، والذي، قد يحتوي البريد اإللكتروني على مستند مرفق •
برامج ضارة على نظام المستخدم أو برنامج حصان طروادة أو رمز البرمجة النصية
وعادة ما يوجه المستخدم إما إلى مواقع، phishing في هجومspam يمكن استخدام البريد اإللكتروني، أخيرا •
. ويب مزيفة تعكس بعض الخدمات المشروعة
28
Trojan Horses
Trojan horses fit into one of three models:
1. Continuing to perform the function of the original program and additionally
performing a separate malicious activity.
2. Continuing to perform the function of the original program but modifying the
function to perform malicious activity.
-e.g. : a Trojan horse version of a login program that collects passwords
30
❑ Payload/ System Corruption 31
❑ Takes over another Internet attached computer and uses that computer
to launch or manage attacks.
❑ Botnet is a number of Internet-connected devices, each of which is
running one or more bots.
• يقوم باالستيالء على كمبيوتر شخص آخر متصل باإلنترنت واستخدام هذا الكمبيوتر لشن الهجمات أو
إدارتها
. كل منها يقوم بتشغيل روبوت واحد أو أكثر، هي عدد من األجهزة المتصلة باإلنترنت- Botnet •
❑ Can be used to cause/make: يمكن أستخدامه من أجل عمل مايلي
• Distributed denial-of-service (DDoS)
• Spamming
• Sniffing traffic
• Keylogging
• Spreading new malware
• Installing advertisement add-ons and browser helper objects (BHOs)
33
How a Botnet Works
1. The botmaster sends out malware to infect computers(by Spam Email, infected websites,
Social Media).
2. Once in the system, the malware will use the internet to make contact with the command
& control server (C2).
3. Once the botmaster has a purpose for the botnet, he/she sends instructions to the bots via
the command & control server.
4. the botmaster will be focussed on recruiting more and more computers to expand the
botnet.
34
- 1يرسل botmasterبرامج ضارة إلصابة أجهزة الكمبيوتر) من خالل بريد Spamأو صفحة ويب
مصابة أو صفحات تواصل أجتماعي مخترقة.
- 2بمجرد دخولها إلى نظام الحاسوب المصاب ،ستستخدم البرامج الضارة اإلنترنت لالتصال بخادم األوامر
والتحكم C2
- 3بمجرد أن يكون لدى botmasterغرض للبوت نت ، botnetفإنه يرسل تعليمات إلى الروبوتات
عبر خادم القيادة والتحكم.
- 4سيركز BotMasterعلى تجنيد المزيد من أجهزة الكمبيوتر لتوسيع شبكة . botnet
35
Keylogger
• Attacker captures infected system keystrokes to allow attacker to
monitor the victim sensitive information
• Typically uses filtering mechanism that only returns the
information close to (“login”, “password”)
• يلتقط ضغطات المفاتيح للجهاز المخترق للسماح للمهاجم بمشاهدة المعلومات الحساسة
"• يستخدم عادة شكال من أ آلية التصفية التي ترجع فقط المعلومات القريبة من الكلمات ("تسجيل الدخول
)" "كلمة المرور،
36
Payload / Information Theft (Keyloggers and Spyware)
Spyware
• A malware used to compromise machines to allow monitoring of
a wide range of activity on the system.
• Monitoring history and content of browsing activity
• Redirecting certain Web page requests to fake sites
• Dynamically modifying data exchanged between the browser and
certain Web sites of interest
برنامج ضار يستخدم الختراق األجهزة للسماح بمراقبة مجموعة واسعة من األنشطة على النظام •
مراقبة تاريخ ومحتوى فعاليات التصفح •
إعادة توجيه طلبات صفحات ويب معينة إلى مواقع مزيفة •
.ديناميكيا يتقوم بتغير البيانات المتبادلة بين المتصفح وبعض مواقع الويب المطلوبة •
37
Payload / Information Theft (Phishing )
Exploit of a social engineering :
• Include a URL in a spam e-mail that links to a fake Web site that connects the
login page of a banking, gaming, or similar site
• Suggests that urgent action is required by the user to authenticate his/her
account
• Attacker exploits the account using the captured credentials.
استغالل الهندسة االجتماعية
يربط معfake Web فيه ربط بموقعspam في رسالة بريد إلكتروني من نوعURL • تضمين عنوان
الخاصة بموقع مصرفي أو موقع ألعاب أو موقع مشابهlogin صفحة
• يقترح عل المستخدم باتخاذ إجراء عاجل لمصادقة حسابه
• يستغل المهاجم الحساب الذي هاجمه باستخدام بيانات الدخول المعتمدة التي تم التقاطها
Spear-phishing
• email is specially designed for its recipient
• Eg. Send email by there own name such as Dear Mr Ahmmad, NOT Dear Sir
، • يتم تصميم البريد اإللكتروني خصيصا لمستلمه
وليس سيدي العزيز، إرسال بريد إلكتروني باالسم الخاص مثل عزيزي السيد أحمد:• مثل
38
Worm Countermeasures
• We can see there is an overlap in techniques for dealing with
viruses and worms
• Once a worm is resident on a machine anti-virus software can be
used to detect and possibly remove it
• IDS can form the basis of defense against the worm .
.
• يمكننا أن نرى أن هناك تداخال في تقنيات التعامل مع الفيروسات والديدان
يمكن استخدام برنامج مكافحة الفيروسات الكتشافها، • بمجرد أن تكون الدودة مقيمة في جهاز الحاسوب
وربما إزالتها
أساس الدفاع ضد الدودةIDS • يمكن أن تشكل
43
Worm Countermeasures
Worm defense approaches include:
• Signature-based worm scan signature filtering (prevent worm from entering/leaving
network/host based on worm scan signature)
• Filter-based worm containment (content rather than a scan signature.)
• Payload-classification-based worm containment (examine network packets)
• Threshold Random Walk (TRW) scan detection (effective against common worm
behaviors)
• Rate limiting (i.e. limiting the number of new machines a host can connect to in a
window of time)
• Rate halting (blocks outgoing traffic when a threshold is exceeded either in outgoing
connection rate )
: تشمل مناهج الدفاع عن الديدان ما يلي
المضيف أستنادا الى/ مغادرة الشبكة/ • تصفية فحص الديدان المتنقل المستند إلى التوقيع (منع من الدخول
) عمليات فحص التوقيع للديدان
). • احتواء الدودة المتنقل المستند إلى المرشح (المحتوى بدال من المسح التوقيع
)• احتواء الدودة المتنقل القائم على تصنيف الحمولة الصافية (فحص حزم الشبكة
)• الكشف عن فحص عتبة المشي العشوائي ) فعال ضد سلوكيات الديدان الشائعة
)تحديد المعدل (أي الحد من عدد األجهزة الجديدة التي يمكن للمضيف االتصال بها في نافذة زمنية •
)توقف المعدل (يحظر حركة المرور الصادرة عند تجاوز الحد إما في معدل االتصال الصادر •
44
Anti-Virus Evolution
• Early viruses are simple codes, easily removed
• Virus & Antivirus technology have both evolved and become more complex,
nowadays.
• There are four generations of Antivirus software:
1. First: Signature scanners to identify a virus
2. Second: Heuristics rules used to search virus infections
3. Third: Identify virus by its actions
4. Fourth: Packages consisting of a variety of antivirus techniques
يمكن إزالته بسهولة، • الفيروسات المبكرة رمز بسيط
. في الوقت الحاضر، • تطورت تقنية الفيروسات ومكافحة الفيروسات كما أنها أصبحت أكثر تعقيدا
: • هنالك أربعة أجيال من برامج مكافحة الفيروسات
ماسحات للتوقيع للتعرف على الفيروس: أوال. 1
قواعد االستدالل المستخدمة للبحث عن اإلصابات بالفيروسات: ثانيا. 2
التعرف على الفيروس من خالل أفعاله: ثالثا. 3
حزم تتكون من مجموعة متنوعة من تقنيات مكافحة الفيروسات: رابعا. 4
45
Generic Decryption (GD)
❑ Enables the anti-virus program to easily detect complex polymorphic viruses
and other malware while maintaining fast scanning speeds
❑ Executable files are run through a GD scanner which contains the following
elements:
• CPU emulator
• Virus signature scanner
• Emulation control module
❑ The most difficult design issue with a GD scanner is to determine how long to
run each interpretation
❑ تمكن برنامج مكافحة الفيروسات من اكتشاف الفيروسات المعقدة متعددة األشكال والبرامج الضارة األخرى
بسهولة مع الحفاظ على سرعات المسح السريع
: يحتوي على العناصر التاليةGD ❑ يتم تشغيل الملفات القابلة للتنفيذ من خالل ماسح
▪ محاكي وحدة المعالجة المركزية
▪ ماسح لتوقيع الفيروسات
▪ وحدة التحكم في المحاكاة
في تحديد مدة تشغيل كل تفسيرGD ❑ تتمثل أصعب مشكلة في التصميم في الماسح
46
Malware Terminology
47
Malware Terminology
48
Recent Worm Attacks
49
Newer Worms Technology
• Multiplatform: not limited to Windows: UNIX; macro, scripting etc.
• Multi-exploit: penetrate systems in a variety of ways:
- E.g. servers, browsers, e-mail, file sharing, shared media, etc.
• Ultrafast Spreading: maximize locating as many vulnerable machines as possible in a
short time period.
• Polymorphic: To evade detection, worms adopt the virus polymorphic technique.
- New code generated on the fly using functionally equivalent instructions &
encryption techniques.
• Metamorphic: Changing their appearance and it behavioral patterns.
- have a collection of behavior patterns that are unleashed at different stages of
propagation
• Transport vehicles: Can rapidly compromise a large number of systems,
- they are ideal distributed DoS bots, rootkits, spam e-mail generators, and spyware.
• Zero-day exploit : maximum surprise and distribution,
- exploit an unknown vulnerability that is only discovered by the general network
community when the worm is launched
50
Newer Worms Technology
• متعدد المنصات :ال يقتصر على ويندوز UNIX; :الماكرو والبرمجة النصية وما إلى ذلك.
• االستغالل المتعدد :اختراق األنظمة بعدة طرق:
-على سبيل المثال الخوادم والمتصفحات والبريد اإللكتروني ومشاركة الملفات والوسائط المشتركة وما إلى
ذلك.
• انتشار فائق السرعة :تعظيم تحديد موقع أكبر عدد ممكن من األجهزة الضعيفة في فترة زمنية قصيرة.
• متعدد األشكال :للتهرب من الكشف ،تتبنى الديدان تقنية الفيروس متعدد األشكال.
-رمز جديد تم إنشاؤه على الطاير باستخدام تعليمات مكافئة وظيفيا & تقنيات التشفير.
• متحولة :تغيير مظهرها وأنماطها السلوكية.
-لديك مجموعة من أنماط السلوك التي يتم إطالقها في مراحل مختلفة من نشر
• مركبات النقل :يمكن أن تعرض للخطر بسرعة عددا كبيرا من األنظمة ،
-إنها روبوتات DoSموزعة بشكل مثالي ،والجذور الخفية ،ومولدات البريد اإللكتروني العشوائي ،وبرامج
التجسس.
• استغالل يوم الصفر :أقصى مفاجأة وتوزيع ،
-استغالل ثغرة أمنية غير معروفة ال يتم اكتشافها إال من قبل الشبكة العامة عند إطالق الدودة
51
Drive-by-downloads
• Exploits browser vulnerabilities to download and installs malware
on the system when the user views a Web page that is controlled
by the attacker
- It contains code that exploits the browser bug to download and
install malware on the system without the user’s knowledge or
consent.
• In most cases does not actively propagate
• Spreads when users visit the malicious Web page
• يستغل ثغرات المستعرض لتنزيل البرامج الضارة وتثبيتها على النظام عندما يعرض المستخدم صفحة
ويب يتحكم فيها المهاجم
يحتوي على رمز يستغل خطأ المتصفح لتنزيل البرامج الضارة وتثبيتها على النظام دون علم المستخدم-
.أو موافقته
• في معظم الحاالت ال ينتشر بنشاط
• ينتشر عندما يزور المستخدمون صفحة ويب الضارة
Kaspersky: What Is a Drive-By Download?
https://www.kaspersky.com/resource-center/definitions/drive-by-download
52
Target Discovery
53
Target Discovery
54
System Corruption (Payload)
55
56
Host-based Behavior-blocking Software
End of Chapter 4
57