Keamanan Software Berbahaya

• Program mengeksploitasi kerentanan sistem
• yang dikenal sebagai perangkat lunak berbahaya atau malware
Fragmen -Program yang membutuhkan program host
•misalnya. virus, bom logika, dan backdoors
Program mandiri -independent
•misalnya. worm, bot
-replication Atau tidak
• ancaman canggih untuk sistem computer



Terminologi malware
•Virus
•Worm
• bom Logika
• Trojan horse
• Backdoor (pintu jebakan)
• Kode Ponsel
• Auto-simpatisan Kit (virus generator)
• Spammer dan Flooder program
• Keylogger
• Rootkit
• Zombie, bot
virus
• software yang menginfeksi program
-modifying Mereka untuk menyertakan salinan virus
-jadi Dijalankan secara diam-diam ketika program host dijalankan
• khusus untuk sistem operasi dan perangkat keras
-Mengambil keuntungan dari rincian dan kelemahan mereka
• virus khas berjalan melalui tahapan:
-terbengkalai
-perambatan
-triggering
-eksekusi
Struktur virus
• komponen:
-infection Mekanisme -Memungkinkan replikasi
-trigger -event Yang membuat payload mengaktifkan
-payload-Apa yang dilakukannya, berbahaya atau jinak
• prepended / postpended / tertanam
• ketika program yang terinfeksi dipanggil, mengeksekusi kode virus maka kode program asli
• dapat memblokir infeksi awal (sulit)
• atau propagasi (dengan kontrol akses)

Struktur virus
Virus kompresi

Klasifikasi virus
• boot sector
• File infector
• virus makro
• virus dienkripsi
• virus siluman
• virus polimorfik
• virus metamorf
Virus makro
• menjadi sangat umum pada pertengahan 1990-an sejak
-platform independen
dokumen -infect
spread -Mudah
• mengeksploitasi kemampuan makro dari aplikasi office
Program -executable tertanam di kantor doc
-Sering Bentuk Dasar
• rilis yang lebih baru termasuk perlindungan
• diakui oleh banyak program anti-virus

E-Mail Virus
• pengembangan lebih baru
•misalnya. Melissa
-exploits MS Word makro di terlampir doc
Attachment -jika dibuka, mengaktivasi makro
Email -sends untuk semua pengguna di daftar alamat
-dan Tidak merusak lokal
• kemudian melihat versi dipicu membaca email
• propagasi maka lebih cepat
Penanggulangan virus

• solusi pencegahan -ideal tetapi sulit
• realistis perlu:
-deteksi
-identifikasi
-pemindahan
• jika mendeteksi tetapi tidak dapat mengidentifikasi atau menghapus, harus membuang dan mengganti program yang terinfeksi

Anti-Virus Evolusi
• Virus & teknologi antivirus telah berkembang baik
• awal virus kode sederhana, mudah dihapus
• sebagai menjadi lebih kompleks, sehingga harus penanggulangan
• generasi
Scanner -signature -Pertama
-Kedua -heuristics
Tindakan -Mengidentifikasi -Ketiga
Paket -Kombinasi –fourth

Dekripsi generik
• berjalan file executable melalui GD scanner:
Emulator -CPU untuk menafsirkan petunjuk
Scanner -virus untuk memeriksa tanda tangan virus yang dikenal
Modul kontrol -emulation untuk mengelola proses
• memungkinkan virus mendekripsi sendiri di interpreter
• berkala memindai tanda tangan virus
• masalah panjang untuk menafsirkan dan memindai
Kesempatan -tradeoff deteksi vs waktu tunda

Sistem kekebalan digital

Sistem kekebalan digital
Cacing
• Program replikasi yang menyebar melewati net
Email -Menggunakan, exec jauh, remote login
• memiliki fase seperti virus:
-dormant, Propagasi, memicu, eksekusi
-propagation Fase: pencarian untuk sistem lain, menghubungkan untuk itu, salinan diri untuk itu dan berjalan
• dapat menyamarkan dirinya sebagai sebuah proses sistem
• Konsep dilihat di Brunner "Shockwave Rider"
• dilaksanakan oleh laboratorium Xerox Palo Alto di tahun 1980-an
Serangan Worm baru-baru ini
• Code Red
-Juli 2001 mengeksploitasi MS IIS bug
-probes Alamat IP acak, apakah serangan DDoS
-consumes Kapasitas bersih yang signifikan ketika aktif
• Code Red II varian termasuk backdoor
• SQL Slammer
-early 2003, menyerang MS SQL Server
Compact dan sangat cepat menyebar
• Mydoom
-mass-Mail e-mail worm yang muncul pada tahun 2004
-installed Akses remote backdoor dalam sistem yang terinfeksi
worm Teknologi
• platform multi
• multi-mengeksploitasi
• ultrafast menyebarkan
• polimorfik
• metamorf
• kendaraan transportasi
• zero-day mengeksploitasi

Penanggulangan worm
• tumpang tindih dengan teknik anti-virus
• sekali worm pada sistem A / V dapat mendeteksi
• worm juga menyebabkan aktivitas bersih yang signifikan
• pendekatan pertahanan worm meliputi:
Berbasis -signature worm memindai filtering
Berbasis -Filter cacing penahanan
Berbasis -payload-klasifikasi cacing penahanan
-threshold Random walk deteksi pemindaian
-rate Membatasi dan tingkat tersendat-sendat
Worm Propagasi Model
Penanggulangan worm
• tumpang tindih dengan teknik anti-virus
• sekali worm pada sistem A / V dapat mendeteksi
• worm juga menyebabkan aktivitas bersih yang signifikan
• pendekatan pertahanan worm meliputi:
Berbasis -signature worm memindai filtering
Berbasis -Filter cacing penahanan
Berbasis -payload-klasifikasi cacing penahanan
-threshold Random walk deteksi pemindaian
-rate Membatasi dan tingkat tersendat-sendat
Proaktif Worm Containment
Jaringan Berdasarkan Pertahanan Worm
bot
• mengambil Program lebih komputer lain
• untuk meluncurkan sulit untuk melacak serangan
• jika koordinat membentuk sebuah botnet
• karakteristik:
Fasilitas kontrol terpencil-
• via IRC / HTTP dll
mekanisme -spreading
• software serangan, kerentanan, strategi scanning
• berbagai langkah-langkah balasan yang berlaku

rootkit
• seperangkat program yang diinstal untuk akses admin
• perubahan berbahaya dan tersembunyi untuk menjadi tuan rumah O / S
• dapat menyembunyikan keberadaannya
Mekanisme laporan -subverting pada proses, file, entri registry dll
•mungkin:
-persistent-Memori berbasis
-user Atau kernel modus
• diinstal oleh pengguna melalui trojan atau penyusup pada sistem
• berbagai penanggulangan dibutuhkan
Sistem Rootkit Tabel Mods

Summary

•introduced types of malicoussoftware
–inclbackdoor, logic bomb, trojanhorse, mobile
•virus types and countermeasures
•worm types and countermeasures
•bots
•rootkits