- Главная
- Разное
- Дизайн
- Бизнес и предпринимательство
- Аналитика
- Образование
- Развлечения
- Красота и здоровье
- Финансы
- Государство
- Путешествия
- Спорт
- Недвижимость
- Армия
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Компьютерные угрозы – классификация,история возникновения презентация
Содержание
- 1. Компьютерные угрозы – классификация,история возникновения
- 2. План лекции История возникновения вредоносных программ Современные интернет-угрозы Путь зловреда к аналитикам Классификация ЛК Будущее
- 3. Дела давно минувших дней Ранняя история вирусов
- 4. Вирус может распространяться (копировать себя) Вирус
- 5. Вредоносные программы Я, компьютерная программа, специально разработанная
- 6. Археологические раскопки 1836 1951 Charles Babbadge
- 7. Дальше - больше 1970 1974 “Rabbit” на
- 8. Детство Первый PC вирус – бутовый вирус
- 9. Средние века 1986 1987 1988 Червь Морриса
- 10. После загрузочных вирусов появились вирусы, заражающие исполняемые
- 11. 1995 1996 1997 “Bliss” Первый вирус для
- 12. Следующий в цепочке Макро вирусы – первый
- 13. Mass mailing Macro.Word97.Melissa был первым вирусом, который
- 14. Увеличение количества Win32 вирусов Улучшившая защищенность приложений
- 15. Сетевые черви Один из самых первых «современных»
- 16. 2001 2002 2003 Большое количество атак червей
- 17. * 14 августа 2003 Worm.Win32.Lovesan
- 18. Глобальная эпидемия Worm.Win32.Mydoom, Bagle, Netsky 2001 2002
- 19. Настоящее время Malware 2.0
- 20. Malware Malicious software Вирусы Заражают файлы Черви
- 21. Malware 2.0 2004 - Bagle 2006 –
- 22. Malware 2.0 Что это? Отказ от
- 23. Malware 2.0 Что это? PHP внедрения
- 24. Атаки на социальные сети Фишинг изменился в
- 25. Статистика
- 26. Путь зловреда к аналитикам Newvirus, collection exchange, облака
- 27. Все мы плывем в одной лодке… Newvirus@kaspersky.com
- 28. Все мы плывем в одной лодке… Главная
- 29. Все мы плывем в одной лодке… KSN
- 30. История классификации В поисках подходов к классификации
- 31. Разные классификации Схема именования
- 32. Что получилось… Различные классификации AV-компаний
- 33. Подход Лаборатории Касперского Дерево, именование, альтернативы
- 34. Дерево вредоносных программ? Нужно детектировать только вредоносные программы?
- 35. Дерево детектируемых объектов - Malware Malware (Malicious
- 36. Malware
- 37. Дерево детектируемых объектов - PUPs
- 38. Именование Prefix Behaviour Platform
- 39. Правила поглощения Viruses and Worms Trojan Programs Malicious Tools Threat Level
- 40. Задание Вредоносная программа, распространяется через
- 41. Задание Программа, которая без ведома
- 42. Задание Программа для смартфонов, работающих
- 43. Будущее ? Завтра начинается сегодня
- 44. Автоклассификация. Что мешает? Anti-Virtual
- 45. Графическое представление Trojan-Downloader.Win32.Dila Trojan-Clicker.Win32.Quicken
- 46. Заключение Нужна ли классификация? – Да! Что
- 47. Спасибо! Вопросы?
План лекции История возникновения вредоносных программ Современные интернет-угрозы Путь зловреда к аналитикам Классификация ЛК Будущее
Слайд 1Сергей Новиков
Руководитель российского центра исследований
Компьютерные угрозы – классификация,
история возникновения
Слайд 2План лекции
История возникновения вредоносных программ
Современные интернет-угрозы
Путь зловреда к аналитикам
Классификация ЛК
Будущее
Слайд 4Вирус может распространяться (копировать себя)
Вирус – компьютерная программа, которая может
распространяться (копировать себя)
Дополнительно, вирус может заражать системные ресурсы (CodeRed.A), портить данные (I-Worm.Klez), компроментировать секретную информацию (I-Worm.Sircam) и стирать flash-BIOS (Win95.CIH).
Дополнительно, вирус может заражать системные ресурсы (CodeRed.A), портить данные (I-Worm.Klez), компроментировать секретную информацию (I-Worm.Sircam) и стирать flash-BIOS (Win95.CIH).
Что такое вирус ?
Слайд 5Вредоносные программы
Я, компьютерная программа, специально разработанная для проведения неавторизованных действий, таких
как аномальное поведение компьютера, модификация, уничтожение или кража данных
Слайд 6Археологические раскопки
1836
1951
Charles
Babbadge
John von
Neumann
Теория самораз-множающихся механизмов
1959
L.S. Penrose
Двумерная модель самораз-множающихся механизмов
(“Scientific American”)
F.G.
Stahl
Практическая реализация модели на IBM 650
1962
Bell Labs
V.Vissotsky, G.MacIlroy, R.Morris
Создают игру «Дарвин»
Слайд 7Дальше - больше
1970
1974
“Rabbit” на майнфреймах
1975
Игра “Pervading animal” UNIVAC 1108
Fred Kohen
“Elk Cloner”
На
Apple 2
1983
10.11.1983
Лехайский университет
Дано определение “Вирус”
Creeper/
Reaper
в ARPAnet
1981
1986
“Brain”: Первый бут вирус для IBM PC
Basit Farooq Alvi
Слайд 8Детство
Первый PC вирус – бутовый вирус
Boot.Brain заражал загрузочные сектора дискет и
MBR на HDD
Бутовые вирусы были очень «популярны» до наступления эры Internet, когда флоппи диски были единственным средством обмена файлами
Сейчас, загрузочные вирусы больше не проблема, однако появились «внуки» – буткиты.
Бутовые вирусы были очень «популярны» до наступления эры Internet, когда флоппи диски были единственным средством обмена файлами
Сейчас, загрузочные вирусы больше не проблема, однако появились «внуки» – буткиты.
Слайд 9Средние века
1986
1987
1988
Червь Морриса в ARPAnet
Эпидемия вируса «Jerusalem» RCE-1813
1990
Полиморфный вирус (Chameleon)
Вирус-невидимка (Frodo,
Whale)
“Virdem”:
COM - вирус
1989
1992
“Win.Vir_1_4” – первый вирус для Windows
Ralf Burger
Касперский начал заниматься антивирусами
Слайд 10После загрузочных вирусов появились вирусы, заражающие исполняемые файлы (для MS-DOS это
были .COM, .EXE и .SYS файлы)
Файлово-загрузочные вирусы тоже появились – Tequila.2468, OneHalf.3544
Такие вирусы наиболее быстро распространялись и наносили наибольший вред
Файлово-загрузочные вирусы тоже появились – Tequila.2468, OneHalf.3544
Такие вирусы наиболее быстро распространялись и наносили наибольший вред
Эволюция вирусов для PC
Слайд 111995
1996
1997
“Bliss”
Первый вирус для Linux
“AEP” первый OS/2 вирус
“Laroux” первый Excel вирус
1999
Начало эры
червей: “Happy99”, “Melissa”
“Concept”
Первый макро вирус
1998
2000
“AccessiV”
Первый вирус для Access
“Triplicate” первый вирус для MS Office
“Rabbit” Первый скрипт вирус
“ILoveYou”
Атака на Palm OS – “Liberty”
Malware. История: «Новая история»
Слайд 12Следующий в цепочке
Макро вирусы – первый был обнаружен в 1995 (WM/Concept.A,
хотя говорят, что был написан в 1994)
Был разрушен миф о том, что документы не могут быть заражены вирусами
Быстро стали «головной болью» для всех.
Макро вирусы написаны для всех популярных VBA приложений
26 марта 1999 – впервые применена новая технология распространения, которая с успехом используется и в наши дни
Был разрушен миф о том, что документы не могут быть заражены вирусами
Быстро стали «головной болью» для всех.
Макро вирусы написаны для всех популярных VBA приложений
26 марта 1999 – впервые применена новая технология распространения, которая с успехом используется и в наши дни
Слайд 13Mass mailing
Macro.Word97.Melissa был первым вирусом, который распространился по всему миру за
один день
Технология была перенесена на скрипт язык VBS, сделав скрипт вирусы №1 по популярности на многие годы
Наиболее известными скрипт вирусами были VBS.LoveLetter, VBS.VBSWG (Курникова)
Технология была перенесена на скрипт язык VBS, сделав скрипт вирусы №1 по популярности на многие годы
Наиболее известными скрипт вирусами были VBS.LoveLetter, VBS.VBSWG (Курникова)
Слайд 14Увеличение количества Win32 вирусов
Улучшившая защищенность приложений MS Office и VBS, свела
на нет «популярность» таких вирусов в 2001-2002 годах
Win32 mass mailers стали очень «популярны» в 2000 (Win32.Ska, Win32.MyPics или Win32.ExploreZip)
Win32 mass mailers стали очень «популярны» в 2000 (Win32.Ska, Win32.MyPics или Win32.ExploreZip)
Слайд 15Сетевые черви
Один из самых первых «современных» интернет червей – червь Морриса,
заражавший Sun и VAX компьютеры. 1988 год
Идея распространения программ по сети (не почта!) была переоткрыта в 2000 – червь VBS.Netlog
Черви для локальных сетей (в дополнение к Internet-червям) также были разработаны (Win32.ExploreZip)
Идея распространения программ по сети (не почта!) была переоткрыта в 2000 – червь VBS.Netlog
Черви для локальных сетей (в дополнение к Internet-червям) также были разработаны (Win32.ExploreZip)
Слайд 162001
2002
2003
Большое количество атак червей
“Codered” – бестелесный червь
Глобальная эпидемия Worm.SQL.Slammer и Worm.Win32.Lovesan
История:
«Новейшая история»
Слайд 18Глобальная эпидемия Worm.Win32.Mydoom,
Bagle,
Netsky
2001
2002
2003
Большое количество атак червей
“Codered” – бестелесный червь
2004
Глобальная эпидемия Worm.SQL.Slammer
и Worm.Win32.Lovesan
Переход к Malware 2.0
2005
Malware. История: «Новейшая история»
Слайд 20Malware
Malicious software
Вирусы
Заражают файлы
Черви
Распространяются с компьютера на компьютер
Троянцы
Не могут сами распространяться
Вредоносные утилиты
Используются
авторами вирусов
e.g. Упаковщики, конструкторы, эксплоиты
e.g. Упаковщики, конструкторы, эксплоиты
Слайд 21Malware 2.0
2004 - Bagle
2006 – Warezov
2007 – Zhelatin aka Storm Worm
2008
– Буткит Sinowal
2009 - Kido aka Conficker
2009 - Kido aka Conficker
Слайд 22Malware 2.0 Что это?
Отказ от массовых рассылок
Отказ от распространения через
порты
Использование скрипт-языков
Новое использование старых технологий
Zero-minute
DDoS
Phishing
Использование скрипт-языков
Новое использование старых технологий
Zero-minute
DDoS
Phishing
Слайд 23Malware 2.0 Что это?
PHP внедрения
SQL injections
DNS poisoning/pharming
Атаки на социальные сети
Слайд 24Атаки на социальные сети
Фишинг изменился в сторону нацеленности на пользователей социальных
сетей.
Учетные данные абонентов Facebook, Вконтакте, Livejournal, Одноклассники и др., пользуются повышенным спросом у злоумышленников.
XSS\PHP\SQL-атаки.
Цель – приватные данные и создание баз \ списков для проведения последующих атак при помощи «традиционных» способов.
Учетные данные абонентов Facebook, Вконтакте, Livejournal, Одноклассники и др., пользуются повышенным спросом у злоумышленников.
XSS\PHP\SQL-атаки.
Цель – приватные данные и создание баз \ списков для проведения последующих атак при помощи «традиционных» способов.
Слайд 27Все мы плывем в одной лодке…
Newvirus@kaspersky.com
24 часа/7 дней в неделю/365 дней
в году
Тысячи писем в сутки с In-the-Wild зловредами от людей со всего мира
Тысячи писем в сутки с In-the-Wild зловредами от людей со всего мира
Слайд 28Все мы плывем в одной лодке…
Главная задача – защитить пользователя!
Collection exchange
Участники:
AVG, ClamAV, Comodo, ESET, F-secure, Frisk, Kaspersky, Kingsoft, McAffee, Sophos, Symantec, TrendMicro…
~10 Терабайт вредоносных файлов в квартал
~10 Терабайт вредоносных файлов в квартал
Слайд 29Все мы плывем в одной лодке…
KSN [Kaspersky Security Network] - новая
технология защиты
>60 Миллионов участников
Real-time система расчета репутации файлов
Известны источники вредоносных и подозрительных файлов
>60 Миллионов участников
Real-time система расчета репутации файлов
Известны источники вредоносных и подозрительных файлов
Слайд 31Разные классификации
Схема именования Н.Н. Безрукова (1990 год)
Схема именования «CARO»
V. Bontchev (1991/2002 год)
CME (Common malware Enumeration) –уникальный ID для одинаково детектируемых объектов
Классификации антивирусных компаний
CME (Common malware Enumeration) –уникальный ID для одинаково детектируемых объектов
Классификации антивирусных компаний
Слайд 32Что получилось…
Различные классификации AV-компаний
Различные классификации тестеров
Много тяжело-воспринимаемых или неинформативных классификаций
Найти пересечения
названий очень тяжело
Слайд 35Дерево детектируемых объектов - Malware
Malware (Malicious software)
Вирусы и Черви [Способ
распространения]
Вирусы по локальным ресурсам не используя сеть
Черви размножаются используя сеть
Троянские программы [Совершаемые действия]
различные вредоносные действия, но никакого самораспространения
Вредоносные утилиты [Совершаемые действия
Используются авторами вредоносов
Например: пакеры, конструкторы, флудеры и т.п.
Вирусы по локальным ресурсам не используя сеть
Черви размножаются используя сеть
Троянские программы [Совершаемые действия]
различные вредоносные действия, но никакого самораспространения
Вредоносные утилиты [Совершаемые действия
Используются авторами вредоносов
Например: пакеры, конструкторы, флудеры и т.п.
Слайд 37Дерево детектируемых объектов - PUPs
PUPs (Potentially unwanted programs)
Adware (рекламное ПО)
Pornware
«Насильственная» реклама платных сервисов для «взрослых»
Riskware
Легальное ПО, которое, тем не менее, в руках злоумышленника способны причинить вред пользователю
«Насильственная» реклама платных сервисов для «взрослых»
Riskware
Легальное ПО, которое, тем не менее, в руках злоумышленника способны причинить вред пользователю
Слайд 40Задание
Вредоносная программа, распространяется через локальную сеть и при помощи съемных носителей
информации. Программа является динамической библиотекой Windows (PE DLL-файл).
Встречается впервые. Похожих вредоносных объектов не найдено.
В программе встречаются ссылки :
http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org
Встречается впервые. Похожих вредоносных объектов не найдено.
В программе встречаются ссылки :
http://www.getmyip.org
http://getmyip.co.uk
http://checkip.dyndns.org
Net-Worm.Win32.Kido.a
Слайд 41Задание
Программа, которая без ведома пользователя скачивает на компьютер другое программное обеспечение
и запускает его на исполнение. Программа является приложением Windows (PE EXE-файл). Имеет размер 79360 байт. Написана на С++.
Есть две аналогичные разновидности этой вредоносной программы
Есть две аналогичные разновидности этой вредоносной программы
Trojan-Downloader.Win32.Braidupdate.c
Слайд 42Задание
Программа для смартфонов, работающих под управлением ОС Symbian. Представляет собой установочный
SIS-архив. Размер вирусного файла составляет 121723 байта.
Основной деструктивный функционал вредоносной программы — отправка SMS-сообщений на специальные платные номера.
SMS посылаются без ведома пользователя и через установленные промежутки времени.
Собственной процедуры распространения не имеет.
Есть одна аналогичная разновидность этой вредоносной программы
Основной деструктивный функционал вредоносной программы — отправка SMS-сообщений на специальные платные номера.
SMS посылаются без ведома пользователя и через установленные промежутки времени.
Собственной процедуры распространения не имеет.
Есть одна аналогичная разновидность этой вредоносной программы
Trojan-SMS.SymbOS.Viver.b
Слайд 44Автоклассификация. Что мешает?
Anti-Virtual Machine
Anti-Emulation, Неполная эмуляция
Работает на специфической
ОС (Windows XP c испанским интерфейсом)
Действия пользователя
Один маршрут исполнения
Действия пользователя
Один маршрут исполнения
Слайд 46Заключение
Нужна ли классификация? – Да!
Что дает нам классификация?- Новые знания!
Авто классификация
– хорошее подспорье в работе аналитика
Есть над чем работать?
Разработка
Коммуникации, создание единого подхода
Есть над чем работать?
Разработка
Коммуникации, создание единого подхода
