SIGURNOST

INFORMACIJSKIH
SUSTAVA
Prof.dr.sc. Miroslav Bača
Doc .d r.sc . Pe tra Grd
Dr.sc . Ig or Tom ič ić

MALICIOZNI
KOD
SADRŽAJ

• VOUND
• Ma lic iozni kod
• Pre ve nc ija za ra ze
• Up ravlja nje inc id e ntim a
• Ana liza m a lic ioznog kod a

www.FOI.unizg.hr
VOUND

www.FOI.unizg.hr
ŠTO JE VOUND

• Nacionalna taksonomija računalno sigurnosnih incidenata

• Inc id e nt se kla sific ira korište nje m više atributa

• VOUND
• Ve ktor na p a d a
• Op e rativni uč ina k na p a d a
• Uč ina k na p a d a na inform a c ije
• Ob je kt Na p a d a
• Dose g nuta fa za na p a d a

www.FOI.unizg.hr
VEKTOR NAPADA

• Vektor napada - koristi se za opis načina na koji napadač

ostva ruje inc ija lni p ristup sustavu

• Identifikacija ve ktora na p a d a je kompleksna - na p a d a č i že le

p rikriti na p a d , p a se on u ve likom b roju sluč a je va č ini ka o
le g itim a n tije k d og a đ a ja

• Na p a d a č i č e sto koriste više dostupnih vektora - ovisi o

ra njivostim a

www.FOI.unizg.hr
 VEKTOR NAPADA

Oznaka Vrijednost Opis

Prijenosni Napad je izveden korištenjem prijenosnog medija ili perifernog uređaja. Primjer:
(V1)
mediji / uređaji Širenje zlonamjernog koda putem zaraženog USBa ili CD/DVD-a.

Napad je izvršen korištenjem metoda povezanih s web tehnologijama i ranjivostima web aplikacija.
Napad na web
(V2) Ovaj vektor napada između ostalog podrazumijeva: XSS, SQL injection, DNS Hijacking, Brute force napadi na autentifikacijske mehanizme web
tehnologije
aplikacija, zaporke, CAPTCHA zaštitu ili digitalne potpise, napad na internetske preglednike u korisničkom okruženju.

Napad na
Napad koji iskorištava ranjivosti računalnih mreža, ranjivih mrežnih uređaja, javno dostupnih poslužitelja ili računala.
mrežnu i
(V3) Ovaj vektor napada podrazumijeva između ostalog: (D)DoS, Man-ln-The-Middle, Skeniranje javno dostupnih resursa, Lažne wireless pristupne
računalnu
točke, Utjecaj na otvorene portove javno izloženih poslužitelja.
opremu

Gubitak ili krađa opreme, računala ili medija za pohranu podataka. Namjerno ili nenamjerno fizičko djelovanje na opremu, računala ili medije.
Ovaj vektor napada podrazumijeva između ostalog: Otuđenje i instalaciju zlonamjernoga koda na prijenosna računala, mobilne uređaje i sl.,
(V4) Fizički napad
Instalaciju zlonamjernoga koda ili uređaja na fizički izložene uređaje kao što su bankomati, POS uređaji i sl., Instalaciju zlonamjernoga koda ili
zlonamjernih dijelova operativnog sustava prilikom proizvodnje ili isporuke računalne opreme.

Vektor napada koji se oslanja na ljudsku interakciju i najčešće uključuje navođenje ljudi na kršenje uobičajenih sigurnosnih procedura.
Socijalni Ovaj vektor napada podrazumijeva između ostalog: Pokušaj otkrivanja povjerljivih informacija lažnim predstavljanjem, Phishing - slanje e-mail
(V5)
inženjering ili SMS poruka s priloženim zlonamjernim dokumentima ili poveznicama na zlonamjerne web sadržaje, Navođenje na preuzimanje
zlonamjernog sadržaja, zlonamjernih mobilnih aplikacija i sl.
Napad iz
Napad koji uključuje korištenje informacija, pristupnih podataka i resursa dostupnih isključivo legitimnom korisniku koji te resurse koristi u
(V6) unutrašnjeg
zlonamjerne svrhe ili suprotno internim politikama i standardima.
okruženja
(V7) Nepoznato Rana faza otkrivanja incidenta u kojem još nije poznat vektor napada.

www.FOI.unizg.hr
OPERATIVNI UČINAKNAPADA

• Operativni učinak - opisuje direktan učinak napada na IS ili

njegove dijelove

• Daje odgovor na pitanje što se zapravo dogodilo s

napadnutim IS-om

• Djelomično odgovara na pitanje koja je motivacija i cilj

napadača

• Najčešće preuzima različite vrijednosti ovisno o fazi napada

www.FOI.unizg.hr
 OPERATIVNI UČINAKNAPADA
Oznaka Vrijednost Oznaka Potkategorije Opis
(O1) Kompromitacija (011) Malware URL Malware URL podrazumijeva kompromitiran web poslužitelj s postavljenim zlonamjernim kodom.
(012) Phishing URL Phishing URL podrazumijeva kompromitiran web poslužitelj s postavljenom lažiranom stranicom čija je svrha krađa podataka.
(013) Spam URL Spam URL podrazumijeva kompromitiran web poslužitelj s neovlašteno postavljenim reklamnim sadržajem.
(014) Web Defacement Web Defacement podrazumijeva kompromitiran web poslužitelj s izmijenjenim izgledom i sadržajem web stranice.
Sustav zaražen
Podrazumijeva računalo ili neki drugi uređaj zaražen zlonamjernim kodom. Botovi, tj. računala pod kontrolom napadača
(015) zlonamjernim
spadaju u ovu kategoriju.
kodom
(016) C&C C&C podrazumijeva kontrolni poslužitelj za nadzor i upravljanje računalima koja su dio botneta.
(017) Korisnički račun Korisnički račun podrazumijeva kompromitaciju korisničkog računa.
(O2) Prikupljanje (021) Skeniranje Skeniranje podrazumijeva neovlašteno automatizirano prikupljanje informacija o računalnim mrežama i sustavima.
informacija
(022) Phishing Navođenje korisnika na odavanje podataka putem raznih komunikacijskih kanala (najčešće elektroničke pošte).

(023) Sniffing Sniffing podrazumijeva neovlašteno presretanje mrežnog prometa.

(O3) Pokušaj Pogađanje
(031) Pogađanje zaporki podrazumijeva neovlašten pokušaj pristupa računalnom sustavu višestrukim pogađanjem zaporke.
neovlaštenog zaporki
pristupa Pokušaj
Pokušaj iskorištavanja ranjivosti podrazumijeva pokušaj iskorištavanja ranjivosti na računalnom sustavu kako bi se ostvario
(032) iskorištavanja
neovlašten pristup ili utjecalo na tajnost ili cjelovitost podataka.
ranjivosti
(O4) Uskraćivanje Volumetrički
(041) Volumetrički napad podrazumijeva napad slanjem velikog broja IP paketa s ciljem zagušenja mrežne propusnosti.
dostupnosti napad
Napad na aplikacijskom sloju podrazumijeva slanje većeg broja zahtjeva prema računalnom sustavu s ciljem iskorištavanja
(042) Napad na apl. sloju
resursa sustava ili iskorištavanje sigurnosnog propusta koje dovodi do prestanka rada aplikacije.
(O5) Neželjene e-poruke (051) Spam Spam podrazumijeva neželjenu elektroničku poruku reklamnog sadržaja.
Hoax podrazumijeva poruku elektroničke pošte neistinitog sadržaja, poslana s ciljem zastrašivanja ili dezinformiranja
(052) Hoax
primatelja.
(O6) Ciljani napad - APT APT podrazumijeva ciljani napad na određenu žrtvu uz korištenje većeg broja naprednih tehnika i tehnologija.
(O7) Prijevare Ddogađaji koji se mogu kategorizirati kao kibernetički kriminal, a podrazumijeva razne vrste prijevara na internetu, od lažnog
predstavljanja, prijevara prilikom trgovine na internetu i sl.
(O8) Ostalo Svi događaji koji ne mogu biti opisani ranije navedenim atributima, a za koje korisnik smatra da se radi o računalno
sigurnosnom incidentu.

www.FOI.unizg.hr
UČINAK NAPADA NA INFORMACIJE

• Cilj svakog napada - na rušava nje je d nog od tri osnovna

načela informacijske sigurnosti (povjerljivost, integritet,
d ostup nost)

• Kla sific ira se utje c a j na p a d a na štić e ne inform a c ije

www.FOI.unizg.hr
UČINAK NAPADA NA INFORMACIJE

Oznaka Vrijednost Opis

Narušavanje cjelovitosti informacije, uobičajeno tako da tijekom
(U1) Izmjena / iskrivljavanje
napada dođe do promjene ili »iskrivljavanja« podataka.
Nedostupnost (Uskraćivanje Uskraćivanje dostupnosti servisa koji omogućava pristup informaciji,
(U2)
pristupa ili sl.) uobičajeno uslijed (D)DoS napada.
Do uništenja informacija uobičajeno dolazi kada napad za konačni cilj
(U3) Uništenje
ima brisanje podataka ili uklanjanje pristupnih prava.
Otkrivanje informacija podrazumijeva situaciju u kojoj napadač ostvari
(U4) Otkrivanje »uvid« u informacije kojima u normalnim okolnostima ne bi imao
pravo pristupa.
Rana faza otkrivanja incidenta u kojoj još nije poznat učinak napada na
(U5) Nepoznato
informacije.

www.FOI.unizg.hr
OBJEKT NAPADA

• Objekt napada - kla sific ira se d io inform a c ijske infra strukture

koji je m e ta na p a d a

• Ispravnom klasifikacijom ovog atributa moguće je donijeti

za ključ ke o motivima napadača i b ud uć e m tijeku širenja
incidenta

• Na jč e šć e mijenja vrijednost ovisno o fa zi na p a d a

www.FOI.unizg.hr
OBJEKT NAPADA

Oznaka Vrijednost Opis

Napadna kritične dijelove sustava koji koordiniraju aktivnosti i upravljaju resursima
(N1) Upravljačka infrastruktura
informacijskog sustava (npr. Active Directory).
(N2) Računalna mreža Napad na mrežnu infrastrukturu.
(N3) Lokalno računalo Napad kojem jekrajnji cilj kompromitacija lokalnog računala (pojedinačnog korisnika).
Napad na korisnika predstavlja napad koji za cilj ima prikupljanje korisnikovih osobnih
(N4) Korisnik
informacija.
Napad na aplikacijski sustav predstavlja napad na specifičnu aplikaciju ili njen dio u
(N5) Aplikacijski sustav svrhu uskraćivanja dostupnosti, kompromitacije podataka ili daljnjeg širenja opsega
napada.
(N6) Ostalo Objekt napada koji nije opisan prethodno definiranim vrijednostima.

www.FOI.unizg.hr
DOSEGNUTA FAZA NAPADA

• Faza napada - identificira se trenutačni stadij napada

• U stva rnim situa c ija m a fa ze na p a d a se izmjenjuju u kratkim

vremenskim intervalima

• Kla sifika c ijom ovog a trib uta d onose se odluke o obrambenim

strategijama

www.FOI.unizg.hr
DOSEGNUTA FAZA NAPADA

Oznaka Vrijednost Opis

Faza napada u kojoj napadač prikuplja informacije o meti i priprema strategiju napada ovisno o otkrivenim
(D1) Izviđanje ranjivostima. Ova faza najčešće uključuje skeniranje automatiziranim alatima, prikupljanje e-mail kontakata za
potencijalnu upotrebu mehanizama socijalnog inženjeringa i sl.
Faza napada u kojoj napadač aktivira mehanizme provođenja kibernetičkog napada. Ovu fazu uobičajeno obilježava
(D2) Isporuka slanje e-mail poruka sa zlonamjernim sadržajem ako se radi o kibernetičkom napadu koji koristi zlonamjeran kod ili
pokretanje alata za generiranje zlonamjernih upita ako se radi o napadu uskraćivanja dostupnosti.
Faza napada u kojoj napadač iskorištava uočene ranjivosti sustava i ostvaruje pristup ciljanom sustavu. Uobičajeno,
Ostvarivanje
(D3) napadač u ovoj fazi instalira zlonamjeran kod,maksimal noeskaliraprivilegije,ovisno o cilju proširuje djelokrug
pristupa
napadaširenjem na povezane sustave i računala i sl.
Završna faza napada iz perspektive napadača u kojoj se ostvaruju ciljevi i motivacija za napad. Ova faza uobičajeno
Potpuna
(D 4) podrazumijeva eksfiltraciju, uništenje ili izmjenu podataka, uskraćivanje usluge i servisa, pokretanje novih napada
kompromitacija
korištenjem resursa kompromitiranog sustava i sl.
Faza napada u kojoj napadači ostvaruju trajnu prisutnost u kompromitiranom sustavu uz aktivirane sposobnosti
(D 5 ) Perzistencija
sprječavanja detekcije.
(D 6 ) Nepoznato Nije moguće odrediti fazu napada.

www.FOI.unizg.hr
PRIMJERI OPISA NAPADA

www.FOI.unizg.hr
NAPADI MALICIOZNIM KODOM

www.FOI.unizg.hr
ENISA Thre at Land sc ap e Re p ort 20 20 ., 15 Top Cyb e r-Thre ats and Tre nd s

www.FOI.unizg.hr
PRIMJERI NAPADA

• Me lissa
• My Doom
• Stuxne t
• Wa nna Cry
• Ze us
• Cryp toLoc ke r
• Ha xd oor
• He a rtb le e d
• Cutwa il

www.FOI.unizg.hr
MELISSA

• Kre ira o David L. Smith 1999 .

• Macro virus ugrađen u word datoteku

• Da tote ka je p ostavlje na ka o d a sa d rži lozinke za ra zlič ite we b
stra nic e - korisnic i su zna tiže ljni i otva ra ju d a tote ku i izvršava ju
m a kro na re d b e
• Je d nom izvrše na m a krona re d b a ć e poslati virus na prvih 50
osoba iz adresara korisnika
• Sm ith je osuđ e n na 10 g od ina za tvora

www.FOI.unizg.hr
MY DOOM

• Crv - nije za htije va o ljud sku inte rve nc iju za šire nje
• Jedan od najbrže raširenih e -mail crva u 2004
• Širili su ga spameri
• Nazvan je MyDoom zbog prisustva riječi doom u jednoj od
linija kod a
• Utje c a o je na tvrtke p op ut Googlea i Microsofta i uzrokova o
štetu u milijardama

www.FOI.unizg.hr
STUXNET

• 2010. g od ina
• Je d a n od na p re d nih zlona m je rnih p rog ra m a koji je iza zva o
uništavanje nuklearne elektrane na ra zini ha rd ve ra u Iranu
• Stuxne t je uša o u sustav putem USB stick -a i za ra zio sva
računala s windows OS -om , kod je koristio d ig ita lni krivotvore ni
c e rtifika t koji je p om og a o d a se izb je g ne otkriva nje
• Stuxne t je putovao kroz mrežu ka ko b i p rovje rio up ravlja č ke
sustave koji su kontrolira li nukle a rne c e ntrifug e
• Iskorištava o je zero -day ranjivost ka ko b i p re uze o kontrolu na d
c e ntrifug a m a , uzrokujuć i njihovo rota c iju p ri ne kontrolira nim
b rzina m a i tim e ih uništava o

www.FOI.unizg.hr
WANNACRY

• WanaCrypt0r , WanaDecrypt0r
• 2017. g od ina

• Je d a n od najvećih napada Ra nsom wa re koji je zarazio

sustave u više od 100 zemalja
• Širio se u mreži bez ikakve intervencije korisnika i šifrira cijeli
sustav što ga čini neupotrebljivim ako se ne plati otkupnina
• Ciljao je zdravstvenu industriju i proširio se i na druge industrije

www.FOI.unizg.hr
ZEUS

• GameoverZeus
• Bankarski trojanski sustav – koristio ta d a na jšte tniji b otne t
• Prim je r ka ko cyb e r-krim ina lc i m og u kombinirati različite
inačice zlonamjernog softvera kako bi se povećala
učinkovitost i opseg njihovih aktivnosti
• GoZ se često isporučuje kao zip arhiva u spear -phishing e -
porukama koje distribuira Cutwail botnet
• Nakon infekcije, hakeri mogu oteti računalne sesije i kradu
povjerljive i osobne financijske informacije
• Ako takve informacije nisu dostupne, zlonamjerni paket može
instalirati ransomware (CryptoLocker) - jedan napad može
pružiti napadačima višestruke potencijalne prihode

www.FOI.unizg.hr
CRYPTOLOCKER

• Ransomware Trojan - ruja n 2013,

• Cilj - bilo koje računalo koje pokreće Windows OS
• Je d nom a ktivira n Cryp toLoc ke r šifrira od re đ e ne vrste d a tote ka
p ohra nje ne na loka lnim i m re žnim p og onim a
• Koristi sna žnu krip tog ra fiju c e rtific ira ne tre ć e stra ne koja nud i
20 48 b itni RSA - privatni ključevi za šifriranje i dešifriranje
pohranjeni isključivo na kontrolnim poslužiteljima
zlonamjernog softvera
• Nud i d e šifrira nje p od a ta ka a ko se izvrši p la ć a nje d o
nave d e nog roka i p rije ti d a ć e se p riva tni ključ izb risa ti a ko se
rok p rop usti
• Cryp toLoc ke rom zaraženo oko 545.000 računala od rujna
20 13. d o svib nja 20 14.

www.FOI.unizg.hr
HAXDOOR

• Kolovoz 2006 . g od ine - skandinavska banka Nordea b ila je

žrtva jednog od najpoznatijih keylogging incidenta - krađa
p re ko milijun dolara s ra č una klije na ta
• Poč e tna fa za na p a d a - klije nti Nord e a p oč e li su p rim a ti p oruke
p ute m e -p ošte , navod no iz b a nke , p re d la žuć i d a insta lira ju
a nti-sp a m p roizvod e u p rivitku p oruke
• Na kon što je d a tote ka otvore na i skinuta , p okre nut ć e infe kc iju
p ozna tog Ha xd oor Troja n
• Ta j se zlona m je rni softve r a ktivira slje d e ć i p ut ka d a se žrtva
re g istrira na m re žnu uslug u Nord e a , što re zultira p orukom o
p og re šc i u kojoj je od korisnika za tra že no d a p onovno une se
p od a tke o re g istra c iji
• Ke ylog g e r ug ra đ e n u troja n snim a p od a tke une se ne od stra ne
klije na ta p rije sla nja inform a c ija na od re đ e ni p oslužite lj

www.FOI.unizg.hr
HEARTBLEED

• 2014. g od ina
• Prim a te lji su p rim ili p oruku e -p ošte koja ih je ob avije stila d a je
njihovo računalo za ra že no i p ota knulo ih d a otvore d oc x
d a tote ku
• Na kon otva ra nja d a tote ke korisniku je p rika za na šifrira na zip
d a tote ka koja , na kon što se e kstra hira , p okre ć e zlona m je rnu
d a tote ku heartbleedbugremovaltool.exe
• Ka o p oslje d ic a tog a , ke ylog g e r je p re b a č e n na ug rože no
ra č una lo, koji je za b ilje žio p ritisa k tip ki i snim io sc re e nshot

www.FOI.unizg.hr
CUTWAIL

• Pozna ti spam botnet koji je b io uključen u d istrib uc iju

Ga m e ove r Ze us Troja n
• Če sto se insta lira p re ko od voje nog Troja na , na zva nog Pushd o
• Cutwa il top olog ija je re la tivno je d nostavna , s b otovim a
p ove za nim izravno na p oslužite lj C&C koji d a je up ute o e -
m a ilovim a koji ć e b iti p osla ni
• Ka d a za d a ta k završi, rob oti p ruža ju kontrole ru sta tistič ke
p od a tke o b roju isp oruč e nih p oruka e -p ošte i p rijavlje nim
p og re ška m a
• Ukup na ve lič ina b otne ta iznosila oko 1,5 d o 2 m ilijuna
p oje d ina č nih ra č una la , koji su m og li sla ti 74 m ilija rd e ne že lje nih
p oruka d ne vno (46,5% svjetskog spama )

www.FOI.unizg.hr
MALICIOZNI KOD

www.FOI.unizg.hr
SAŽETAK

• Što je m a lic iozni kod

• Vrste m a lic ioznog kod a
• Distrib uc ijski ka na li m a lic ioznog kod a
• Evoluc ija m a lic ioznog kod a

www.FOI.unizg.hr
ŠTO JE MALICIOZNI KOD

• Malicious software, malware

• Maliciozni kod - zloćudni (zlona m je rni) softve r na m ije nje n
infiltra c iji ra č una la b e z zna nje nje g ovog vla snika , od nosno
korisnika

• Koriste g a cyber -kriminalci , hacktivisti i nacije ka ko b i

p ore m e tili ra č una lne op e ra c ije , ukra li osob ne ili p rofe siona lne
p od a tke , za ob išli kontrolu p ristup a i na d rug i na č in na nije li
šte tu sustavu

• Pojavljuje se u ob liku izvršnog koda , skripti , aktivnog sadržaja

ili drugih inačica softvera

www.FOI.unizg.hr
ŠTO JE MALICIOZNI KOD

• Poja m m a lic iozni kod p rvi je p ut koristio računalni zna nstve nik
Yisra e l Radai 1990. g od ine

• Je d a n od prvih poznatih primjera zlonamjernog softvera b io

je Creeper virus 1971., koji je na sta o ka o e ksp e rim e nt BBN
Te c hnolog ie s inže nje ra Rob e rta Thom a sa

www.FOI.unizg.hr
SVRHA MALICIOZNOG KODA

• Počeci - eksperimenti ili ša le

• Ma lic iozni kod p one ka d se koristi protiv vladinih ili
korporativnih web stranica ka ko b i prikupile č uva ne
informacije ili ometao njihov ra d
• Ma lic iozni kod m ože se up otrije b iti protiv pojedinaca za
dobivanje informacija ka o što su osob ni id e ntifika c ijski b roje vi,
b roje vi b a nke ili kre d itne ka rtic e i lozinke
• Od p ora sta širokop oja snog p ristup a inte rne tu, m a lic iozni kod
č e šć e je d iza jnira n za profit
• Ma lic iozni kod se m ože koristiti za sabotažu , č e sto zb og
p olitič kih m otiva (Stuxne t)
• Politički motivirani napadi koji su se p roširili i ug a sili ve like
ra č una lne m re že , uključ ujuć i m a sivno b risa nje d a tote ka
(Sha m oon)

www.FOI.unizg.hr
VRSTE MALICIOZNOG KODA

• Šteta od malicioznog koda - na noše nje m a njih irita c ija (p op up

og la si), krađa p ovje rljivih p od a ta ka ili novc a , uništava nje
p od a ta ka i kom p rom itira nje i/ ili p otp uno one sp osob ljava nje
sustava i m re ža

• Ne ki od uob ič a je nih vrsta m a lic ioznog kod a su virusi , crvi ,

trojan , botovi , ransomware , backdoor , spyware , adware ...

www.FOI.unizg.hr
VIRUSI

• Virusi - vrsta m a lic ioznog kod a koji se širi um e ta nje m kop ije
sa m og se b e u p rog ra m i p osta je d io p rog ra m a

• Virus može postojati na sustavu , ali neće b iti a ktiva n ili se m oć i

širiti d ok korisnik ne p okre ne ili otvori zlona m je rnu d a tote ku

• Virusi se šire ka d a se softve r ili d okum e nt na koji su p ove za ni

p re nosi s je d nog ra č una la na d rug o p om oć u m re že , d iska ,
d ije lje nja d a tote ka ili za ra že nih p rivita ka e -p ošte

www.FOI.unizg.hr
VIRUSI

• Vrste virusa
• File virusi - zaražene izvršne datoteke koje će infic irati d rug e
d atote ke ka d a se otvore
• Script virusi - p od skup file virusa na p isa ni na ra zlič itim skrip tnim
je zic im a (VBS, JavaSc rip t, BAT, PHP)
• Makro virusi - Exc e l d atote ke koje im a ju zlona m je rni softve r
na p isa n u VBS-u, na kon što se d atote ka otvori, m a krona re d b a ć e
se izvršiti i za ra ziti osta le d atote ke .
• Master boot virusi - p rom je na ili b risa nje b oot za p isa - sustav b i
m og a o p ostati b e skorista n
• Polimorfni virusi - č e sto m ije nja ju ob lik ka ko b i se izb je g lo
otkriva nje
• Stealth virusi - skriva se u d rug im le g itim nim d atote ka m a ili
uslug a m a

www.FOI.unizg.hr
CRVI

• Računalni crvi - re p lic ira ju funkc iona lne kop ije sa m ih se b e i

m og u uzrokova ti istu vrstu oštećenja kao virusi

• Samostalni softver i ne zahtijevaju program domaćina ili

ljudsku pomoć za širenje

• Za širenje, crvi ili iskorištavaju ranjivost na ciljanom sustavu ili

koriste neku vrstu društvenog inženjeringa kako bi zavarali
korisnike da ih izvršavaju

• Napredni crvi iskorištavaju tehnologije šifriranja, brisanja i

otkupnine kako bi naštetili ciljevima

www.FOI.unizg.hr
CRVI

• Crv se obično sa stoji od tri d ije la

• Searcher - za p re p oznava nje p ote nc ija lnih c ilje va
• Propagator - za p rije nos c rva na c ilje ve
• Payload - kod koji tre b a izvršiti na c ilju

• Prim je r – SQL Sla m m e r Worm (iskoristio b uffe r ove rflow b ug )

www.FOI.unizg.hr
TROJANSKI KONJI

• Šte ta n kom a d softve ra koji izgleda legitimno

• Pozna ti p o stvaranju backdoor ka ko b i zlona m je rni korisnic i

d ob ili p ristup sustavu

• Ne re p rod uc ira ju se infic ira nje m d rug ih d a tote ka niti se sa m i

re p lic ira ju - širi se kr oz interakciju korisnika , ka o što je
otva ra nje p rivitka e -p ošte ili p re uzim a nje i p okre ta nje d a tote ke
s Inte rne ta

• Obično je u obliku izvršne datoteke i ne sa d rži ništa osim

sa m og troja nskog kod a - je d ino je rje še nje b risa nje

www.FOI.unizg.hr
TROJANSKI KONJI

• Tip ovi
• Remote Access Trojan - omogućuje ha ke ru d a p ristup i sustavu
iz d a ljine b e z va še g zna nja kroz ta jne ka na le
• Data Sending Trojans - ukla nja p od atke sp re m lje ne na va še m
sustavu i p re nosi ih na p a d a č u
• Destructive Trojan - uništava d rug e d atote ke i uslug e
• Security software disabler Trojans - isključ uje fire wa ll i
a ntivirusni sustav ka ko b i se osta le zlona m je rne d atote ke m og le
p re uze ti i p okre nuti b e z otkriva nja

• Prim je r – Ga m e Ove r Ze us

www.FOI.unizg.hr
SPYWARE

• Spyware - insta lira n na računalo b e z zna nja korisnika i p re nosi

inform a c ije o korisnič kim ra č una lnim a ktivnostim a p ute m
Inte rne ta

• Prikup lja nje ra zlič itih d ije lova osjetljivih informacija o

korisniku bez njegove / njezine svijesti

• Sp ywa re p rog ra m i tra že inform a c ije p op ut tre nutno insta lira nih
a p lika c ija i p ovije sti p osje ć e nih we b stra nic a , p rikup lja nje
fina nc ijskih ili osob nih p od a ta ka u svrhu kra đ e id e ntite ta

www.FOI.unizg.hr
ZLOĆUDNI ADWARE

• Adware - softver koji oglašavačima pruža informacije o

navika m a korisnika , č im e og la šava č u om og uć uje og la šava nje
c ilja nih og la sa

• U ve ć ini sluč a je va , insta la c ija a d wa re a sp a d a u za konske

sm je rnic e - p ostoje m nog i le g itim ni p rog ra m i koji p od ržava ju
og la šava nje

• Pita nja ka o što su asertivnost oglašavanja , ka o i njihov sa d rža j,

m og u legalnost ne kih a d wa re p rog ra m a uč initi upitnima

www.FOI.unizg.hr
RANSOMWARE

• Ransomware - vrsta zlona m je rnog softve ra koji p rije ti

ob javljiva nje m p od a ta ka žrtve ili blokira pristup do podataka ,
osim ako se ne plati otkupnina

• Napredni zlonamjerni softver koristi tehniku nazvanu

kriptovirusno iznuđivanje - šifrira d a tote ke žrtve , što ih č ini
ne d ostup nim i za htije va otkup ninu za njihovo d e šifrira nje

• Ra nsom wa re ob ič no ula zi u sustav p ute m p re uze te d a tote ke ili

ra njivosti u m re žnoj usluzi i propagira se na na č in koji se m ože
usp ore d iti s konve nc iona lnim ra č una lnim crvom

• Prim je ri - Cryp toLoc ke r, Wa nna Cry

www.FOI.unizg.hr
KEYLOGGERS

• Keylogger - za p isuje sve p ritiske tip ke , što b i m og lo b iti

korisno za krađu lozinki

• Ne p re d stavlja ju p rije tnju sa m om sustavu, ne g o korisnic im a

• Prikup lje ni p od a c i ob uhva ć a ju pritisak na tipke i snimke

zaslona , č im e na p a d a č i m og u p ristup iti m noštvu vrije d nih
inform a c ija , ka o što su PIN kôd ovi, b roje vi ra č una i vla snič ki
kom e rc ija lni sa d rža ji, a svi se m og u koristiti za ola kšava nje
inte rne tske p rije va re

• Prim je ri - Ha xd oor a nd He a rtb le e d

www.FOI.unizg.hr
ROOTKITS

• Rootkit - ob lik softve ra koji d rug im zlona m je rnim p roc e sim a ili
programima omogućuje korištenje povlaštenog pristupa
ra č una lu m a skira nje m njihovog p ostoja nja od uob ič a je nih
m e tod a d e te kc ije

• Rootkits se m og u instalirati automatski ili ručno na kon što

na p a d a č ste kne root ili a d m inistra torski p ristup

• Rootkits ta kođ e r m ože ić i d ub lje i zaraziti BIOS

• Prim je ri - Me b root

www.FOI.unizg.hr
BOTNETS

• Bot - ob lik p rog ra m a g e ne rira n za a utom a tsko ob avlja nje

određenih operacija

• Za ra že na ra č una la – zombi računala

• Više b otova koji kom unic ira ju za je d no na ziva ju se botnet

• Softve r koji kontrolira b otne t je skrive n na slič a n na č in ka o i rootkit,

a li ra zlika le ži u sp osob nosti b otova d a kom unic ira s
infra strukturom za na re d b u i kontrolu (C&C), om og uć ujuć i
ud a lje nom korisniku d a ša lje b otu nove up ute

• Na p re d ni b otne ti m og u iskoristiti p re d nosti IoT ure đ a ja za

p ob oljša nje na p a d a

www.FOI.unizg.hr
BOTNETS

• Fa ze
• Traženje - pronalaženje ciljanih hostov a koji izgledaju pogodni za
napad
• Instalacija - backdoor kôd širi se na cilj, gdje se pokušava
instalirati kôd ili uvjeriti korisnika da to učini, ta ko d a c ilje vi
p osta nu b otovi
• Sign-on - b otovi se p ove zuju s g lavnim p oslužite lje m i p osta ju
sp re m ni p rim iti p rom e t Com m a nd a nd Control (C&C)
• C&C - b otovi p rim a ju na re d b e s g lavnog p oslužite lja i g e ne rira ju
p rom e t usm je re n p re m a slje d e ć im c ilje vim a

• Prim je ri - Cutwa il i Asp rox

www.FOI.unizg.hr
DISTRIBUCIJSKI KANALI MALICIOZNOG KODA

• Distrib uc ijski ka na li
• Usputno preuzimanje (Drive -by d ownloa d ) - ne na m je rno
p re uzim a nje računalnog softve ra s inte rne ta
• Neželjene poruke e-pošte - ne že lje ni p rivic i ili ug ra đ e ne ve ze u
e le ktronič koj p ošti (p hishing , sp e a r-p hishing , wha ling )
• Fizički mediji - inte g rira ni ili izm je njivi m e d iji ka o što su USB
p og oni
• Samostalno širenje - sp osob nost zlona m je rnog softve ra d a se
p re b a c i s ra č una la na ra č una lo ili m re žu na m re žu, i ta ko se sa m
širi

www.FOI.unizg.hr
PHISHING

• Phishing - up otre b ljava te hnike soc ija lnog inženjeringa za

dobivanje osobnih podataka , kao što su zaporke , korisnička
im e na i p oje d inosti kre d itne ka rtic e , m a skira nje m ka o
p ouzd a nog korisnika ili tvrtke u e le ktronič koj kom unika c iji

• E-poruke ili insta nt p oruke koje tvrd e d a p otje č u od b a na ka ili

IT a d m inistra tor - up uć uje korisnike d a une su d e ta lje ,
uključ ujuć i fina nc ijske p od a tke , na la žnu we b stra nic u koja
g otovo id e ntič no od ra žava izg le d i ra d le g itim ne d om e ne

• Važnost korisnika u ovom ob liku na p a d a zlona m je rnog

softve ra - na stoji se p ob oljša ti ob uka korisnika i javna svije st

www.FOI.unizg.hr
PHISHING

• Spear -phishing - sofistic ira niji ob lik p hishing a , u koje m se

c ilja ju od a b ra ne skup ine ili p oje d inc i, često s na m je rom
sa kup lja nja vrlo sp e c ifič nih inform a c ija ili za ra ze od re đ e nih
osob a zlona m je rnim softve rom

• U tim situa c ija m a , na p a d a č i izra đ uju p oruke e -p ošte koje

izg le d a ju ka o d a su iz le g itim nih izvora , č e sto se ob ra ć a ju
c ilje vim a p o im e nu

• 94% spear phishing e -poruka koriste privitke , d ok p re osta lih

6 % up otre b ljava a lte rna tivne m e tod e , ka o što su linkovi na we b
stra nic e koje se koriste za p re b a c iva nje zlona m je rnog softve ra
na ra č una lo žrtve

www.FOI.unizg.hr
HOAX

• Hoax - na m je rna d e zinform a c ija p osla na p ute m e -p ošte i širi

se uz pomoć ne inform ira ne javnosti

• Diza jnira ni ka ko b i korisnik uč inio ne što što ne b i tre b a lo uč initi

- č e sto savje tuju korisnike d a izb rišu va lja ne d a tote ke
op e ra c ijskog sustava tvrd e ć i d a je d a tote ka op a sni virus

• Potič u korisnike d a p oša lju p oruke svim a koje p ozna ju, što
p rod užuje životni c iklus hoa xa

• Ne mogu se širiti sami , je d ini na č in za štite je p rovje ra

vje rod ostojnosti e -p ošte p rije p od uzim a nja b ilo ka kve ra d nje

www.FOI.unizg.hr
EVOLUCIJA MALICIOZNOG KODA

• Novona sta li m a lic iozni kod često uključ uje nove tehnike
zaobilaženja i maskiranja koje su d iza jnira ne ne sa m o ka ko b i
p re va rile ob ič ne korisnike ve ć i sig urnosne a d m inistra tore i
a ntim a lwa re p roizvod e

• Ne ke od ovih te hnika izb je g ava nja osla nja ju se na je d nostavne

ta ktike , ka o što je korištenje web proxyja za sakrivanje
zlonamjernog prometa ili izvornih IP a d re sa

www.FOI.unizg.hr
EVOLUCIJA MALICIOZNOG KODA

• Sofistic ira ne p rije tnje uključuju

• Polimorfni zlonamjerni softver - više p uta m ije nja te m e ljni kôd
ka ko b i se izb je g la d e te kc ija od stra ne a lata za otkriva nje na
te m e lju p otp isa
• Anti -sandbox tehnike - d op ušta ju zlona m je rnom softve ru
otkriva nje ka d a se a na lizira i od g od i izvršava nje sve d ok ne iza đ e
iz sa nd b oxa
• Zlonamjerni softver bez datoteka – na la zi se sa m o u RAM-u
sustava ka ko b i se izb je g lo otkriva nje

www.FOI.unizg.hr
PREVENCIJA ZARAZE

www.FOI.unizg.hr
SAŽETAK

• Politike
• Svije st
• Ublažavanje ranjivosti
• Ublažavanje prijetnji
• Obrambena arhitektura

www.FOI.unizg.hr
POLITIKE

• Org a niza c ije b i tre b a le osig ura ti d a njihove politike uključuju

zaštitu od incidenata zlonamjernog koda

• Uobičajene odredbe politika ve za nih uz sprječavanje

zlonamjernog softvera
• Skeniranje medija koji dolazi izvan organizacije prije nego što se
upotrijebi
• Skeniranja privitaka datoteka e-pošte prije otvaranja
• Sprječavanje slanja ili primanj a određenih vrsta datoteka e-
poštom
• Ograničavanje ili zabrana korištenja nepotrebnog softvera
• Ograničavanje upotrebe prijenosnih medija
• Određivanje vrsta preventivnog softvera za svaku vrstu domaćina
• Ograničavanje ili zabrana korištenja službenih ili osobnih mobilnih
uređaja na mrežama organizacije

www.FOI.unizg.hr
SVIJEST

• Prog ra m i osvješćivanja tre b a ju uključ ivati upute korisnicima o

sprečavanju incidenata malicioznim kodom

• Prim je ri ta kvih p ostup a ka

• Ne otva rati sum njive p oruke e -p ošte ili p rivitke e -p ošte te
otva rati linkove od ne p oznatih ili p oznatih p ošiljate lja ili
p osje ć ivati we b stra nic e koje b i m og le sa d ržavati zlona m je rni
sa d rža j
• Ne klikati na sum njive p op -up p rozore u we b p re g le d niku
• Ne otva rati d atote ke s e kste nzija m a koja su vje rojatno p ove za na
sa zlona m je rnim softve rom (.b at, .com , .e xe , .p if, .vb s)
• Ne one m og uć avati m e ha niza m a kontrole zlona m je rnog softve ra
(a ntivirusni softve r, softve r za filtrira nje sa d rža ja , softve r za
re p uta c iju, osob ni vatrozid )
• Ne koristiti a d m inistratorske ra č une za d ne vne op e ra c ije
• Ne p re uzim ati ili izvršavati a p lika c ije iz ne p ouzd a nih izvora

www.FOI.unizg.hr
UBLAŽAVANJE RANJIVOSTI

• Prim je na zakrpa za ažuriranje softvera ili rekonfiguriranje

softvera

• Organizacije bi također tre b a le im p le m e ntira ti i druge mjere

• One m og uć ava nje ili ukla nja nje ne p otre b nih uslug a
• Ukla nja nje ne osig ura nih d ije lje nih d atote ka
• Ukla nja nje ili p rom je na za d a nih korisnič kih im e na i lozinki za
op e ra c ijske sustave i a p lika c ije
• One m og uć ava nje a utom atskog izvođ e nja skrip ti
• Prom je na za d a nih p rog ra m a za otva ra nje d atote ka za vrste
d atote ka koje na jč e šć e koriste zlona m je rni softve r, a li ne i
korisnic i

www.FOI.unizg.hr
UBLAŽAVANJE PRIJETNJI

• Org a niza c ije tre b a ju izvršiti ublažavanje prijetnji radi otkrivanja i

zaustavljanja zlonamjernog softvera prije nego što može
utjecati na svoje ciljeve

• Ublažavanje prijetnji je ključno - za zaustavljanje slučajeva

zlonamjernog softvera koji ne iskorištavaju ranjivosti

• Te hnike
• Antivirusni p rog ra m
• Sustav za p re ve nc iju up a d a
• Vatrozid (fire wa ll)
• Filtrira nje sa d rža ja
• Pop is d op ušte nih a p lika c ija

www.FOI.unizg.hr
UBLAŽAVANJE PRIJETNJI

• Antivirus ni program
• Najčešće korište na te hnič ka kontrola
• Org a niza c ije tre b a ju koristiti a ntivirusno ske nira nje na hostu i na
mreži
• Antivirusni softve r tre b a b iti a žurira n s na jnovijim p otp isom i
a žurira njim a softve ra ra d i p ob oljša nja otkriva nja zlona m je rnog
softve ra
• Org a niza c ije tre b a ju koristiti antivirusni softver s centralnim
upravljanjem koji re d ovito na d g le d a ju i na d ziru a ntivirusni
a d m inistratori
• Mog uć a m je ra za p ob oljša nje p re ve nc ije zlona m je rnog softve ra
je st korište nje više p rotuvirusnih p roizvod a za ključ ne hostove
• Antivirusni softve r ne može zaustaviti sve incidente
zlonamjernog softvera

www.FOI.unizg.hr
UBLAŽAVANJE PRIJETNJI

• Sustav za prevenciju upada

• IPS na mreži - p rim a p a ke te , a na lizira ih i d op ušta p rola z
p rihvatljivih p a ke ta - omogućuje otkriva nje ne kih na p a d a na
m re ži p rije d ola ska na c ilj
• Sustav mrežne analize ponašanja (NBA) p okušava za ustaviti
na p a d e utvrđ iva nje m ne ob ič nih tokova m re žnog p rom e ta -
p ra ć e nje norm a lnih uzora ka m re žnog p rom e ta ka ko b i se
d e finira lo norm a lno p ona ša nje , NBA zatim na d g le d a a ktivnost
m re že ka ko b i p re p ozna o zna č a jna od stup a nja od norm a lnog
p ona ša nja
• IPS-ovi na hostov ima slič ni su na č e lno i svrhom d rug im IPS-
ovim a , osim što IPS te m e lje n na hostu na d g le d a ka ra kte ristike
je d nog d om a ć ina i d og a đ a je koji se d og a đ a ju na tom hostu

www.FOI.unizg.hr
UBLAŽAVANJE PRIJETNJI

• Vatrozid (f irewall )
• Mrežni vatrozid je uređaj koji je p ostavlje n izm e đ u m re ža d a b i se
og ra nič ilo koje vrste p rom e ta m og u p roć i s je d ne m re že na
d rug u
• Vatrozid koji se temelji na hostu je softve r koji se izvod i na
je d nom hostu koji m ože og ra nič iti ula znu i od la znu m re žnu
a ktivnost sa m o za to ra č una lo
• Org a niza c ije tre b a ju konfig urirati svoje vatrozid e s deny by
default skupu pravila , što zna č i d a vatrozid i uskra ć uju sav
d ola zni p rom e t koji nije izrič ito d op ušte n

www.FOI.unizg.hr
UBLAŽAVANJE PRIJETNJI

• Filtriranje sadržaja
• Upotrebljavati tehnologije pregledavanja i filtriranja sadržaja za
zaustavljanje prijetnji zlonamjernog softvera na temelju e-pošte i
web -sadržaja
• Konfiguriranje svojih poslužitelja e -pošte i klijenata za blokiranje
privitaka s ekstenzijama datoteka povezanih sa zlonamjernim
kodom
• Sprječavanje pristupa materijalima koji su neprikladni za radno
m je sto
• Blokiranje ne že lje nih pop -up prozora we b p re g le d nika
• Filtrira nje e -p ošte i we b sa d rža ja tre b a lo b i up otre b ljavati black -
liste u stvarnom vremenu , usluge reputacije i slič ne
m e ha nizm e ka d g od je to m og uć e ka ko b i se izb je g lo p rihva ć a nje
sa d rža ja p oznatih ili vje rojatno zlona m je rnih d om a ć ina i d om e na

www.FOI.unizg.hr
UBLAŽAVANJE PRIJETNJI

• Popis dopuštenih aplikacija (Application whitelisting)

• Određivanje koje su a p lika c ije ovla šte ne za up otre b u na hostu
• Ve ć ina te hnolog ija za d op ušta nje a p lika c ija m ože se izvod iti u
d va na č ina :
• Revizija - te hnolog ija b ilje ži sve sluč a je ve a p lika c ija koje nisu na
p op isu d op ušte nih, a koje s e p okre ć u na hostu, a li ne d je luju d a ih
za ustave
• Provođenje - te hnolog ija op ć e nito za b ra njuje izvršava nje svih
a p lika c ija koje nisu na p op isu d op ušte nih
• Prvo im p le m e ntira nje u re vizijskom na č inu ka ko b i se utvrd ile sve
p otre b ne a p lika c ije koje ne d osta ju s p op isa d op ušte nih, p rije
ne g o što se re konfig urira ju u na č in p rovođ e nja

www.FOI.unizg.hr
OBRAMBENA ARHITEKTURA

• Be z ob zira koliko su rig orozne m je re za ublažavanje ranjivost i

ublažavanje prijetnji , zlonamjerni događaji i dalje će se
pojaviti

• Vrste metoda koje org a niza c ije tre b a ju ra zm otriti za korište nje
ka ko b i se p rom ije nila ob ra m b e na a rhite ktura i sm a njio utje c a j
inc id e na ta
• Sa nd b ox
• Od va ja nje p re g le d nika
• Se g re g a c ija p ute m virtua liza c ije

www.FOI.unizg.hr
OBRAMBENA ARHITEKTURA

• Sandbo x
• Ap lika c ije se izvod e unuta r sa nd b oxa - kontrolirano okruženje
koje ograničava op e ra c ije koje p rog ra m i m og u izve sti i koji ih
izd va ja od d rug ih a p lika c ija koje se izvod e na istom hostu
• Ograničava pristup resursima sustava , ka o što je m e m orija i
d atote č ni sustav, ka ko b i a p lika c ije sa nd b oxa osta le izolira ne od
osta lih a p lika c ija d om a ć ina
• Okruže nje sa nd b oxa - izolacija - m ože d od atno sm a njiti utje c a j
zlona m je rnog softve ra og ra nič ava nje m inform a c ija i funkc ija
zlona m je rnog softve ra
• Još je d na p re d nost sa nd b oxing a je d a se sandbox može
resetirati u poznato dobro stanje sva ki p ut ka d se inic ija lizira

www.FOI.unizg.hr
OBRAMBENA ARHITEKTURA

• Odvajanje preglednika
• Na je d nom hostu može se instalirati više web preglednika
• Korisnici mogu koristiti jedan preglednik za korporativne
aplikacije i drugi preglednik za sve ostale pristupe web
stranicama - razdvaja osjetljive korporacijske podatke unutar
jednog preglednika od podataka unutar drugog preglednika ,
pružajući b olju za štitu korp orativnim p od a c im a

www.FOI.unizg.hr
OBRAMBENA ARHITEKTURA

• Segregacija putem virtualizacije

• Virtualizacija se može koristiti za segregaciju aplikacija ili
operacijskih sustava jedni od drugih , s puno više strogosti nego
jednostavna razdvajanja preglednika
• Incident koji se pojavljuje unutar jedne instance neće utje c ati na
d rug u insta nc u, osim a ko inc id e nt ne uključ uje sa m virtua liza c ijski
softve r
• Još je d na p re d nost je što sva ki p ut kad se instanca ponovno
pokrene , može se ponovno učitati od dobro poznate slike , č im e
se osig urava ukla nja nje inc id e nta koji se p ojavljuju unuta r
insta nc e

www.FOI.unizg.hr
UPRAVLJANJE INCIDENTIMA

www.FOI.unizg.hr
SAŽETAK

• Prip re m a
• De te kc ija i a na liza
• Zadržavanje
• Uklanjanje
• Oporavak
• Aktivnosti nakon incidenta

www.FOI.unizg.hr
OPĆENITO

• Upravljanje incidentima - org a nizira ni p ristup rje šava nju i

up ravlja nju p oslje d ic a m a sig urnosnog p rod ora ili na p a d a
(inc id e nt)

• Cilj - rje šava nje situa c ije na način koji og ra nič ava šte tu i
sm a njuje vrije m e i troškove op oravka

• Koraci p roc e sa up ravlja nja inc id e ntim a

• Prip re m a
• De te kc ija i a na liza
• Za d ržava nje
• Ukla nja nje
• Op orava k
• Aktivnosti na kon inc id e nta

www.FOI.unizg.hr
PRIPREMA

• Ob avlja nje pripremnih aktivnosti

• Ra zvoj p roc e d ura rukova nja inc id e ntim a specifičnim za
zlona m je rne p rog ra m e
• Prog ra m i ob uke za tim ove od g ovorne za inc id e nte

• Uključ uje korište nje politika , podizanje svijesti , ublažavanje

ranjivost i i sigurnosne alate za sm a nje nje b roja inc id e nta
zlona m je rnog softve ra

• Org a niza c ije b i tre b a le p rovod iti p rip re m ne m je re ka ko b i

osig ura le d a su sp osob ne uč inkovito re a g ira ti na inc id e nte
m a lic ioznog kod a

www.FOI.unizg.hr
DETEKCIJAI ANALIZA

• Identifikacijski korak - tim za od g ovore na inc id e nt m ora

utvrd iti što uzrokuje inc id e nt

• Org a niza c ije b i se tre b a le na stoja ti brzo otkriti i provjeriti

zlonamjerni događaj ka ko b i se sm a njio b roj zaraženih
domaćina i količina štete koju organizacija trpi

• Odrediti vrstu , opseg i veličinu problema što je brže moguće

kako bi odgovor na incident mogao dobiti odgovarajući
prioritet

www.FOI.unizg.hr
DETEKCIJA I ANALIZA

• Koraci
• Utvrđivanje ka ra kte ristika inc id e nata
• Pre p oznava nje za ra že nih ra č una la
• De finira nje p riorite ta za re a g ira nje na inc id e nte
• Ana lizira nje zlona m je rnog softve ra

www.FOI.unizg.hr
ZADRŽAVANJE

• Org a niza c ija počinje rješavati incident

• Dvije g lavne komponente

• Za ustavlja nje šire nja zlona m je rnog softve ra
• Sp re č ava nje d a ljnje g ošte ć e nja d om a ć ina (host)

• Potre b no je ukloniti za ra že ne d om a ć ine s m re že org a niza c ije

(ne isključ uju se ) i p oč e ti štititi osta ta k m re že

www.FOI.unizg.hr
ZADRŽAVANJE

• Me tod e zadržavanja mogu se podijeliti u četiri osnovne

ka te g orije
• Oslanjaju se na sudjelovanje korisnika (up ute o tom e ka ko
p re p oznati infe kc ije i koje ć e se m je re p od uze ti a ko je host
za ra že n)
• Provođenje automatiziranog otkrivanja (a ntivirusni softve r,
filtrira nje sa d rža ja , softve r za sp re č ava nje up a d a )
• Privremeno zaustavljanje usluga (g a še nje uslug e koje koristi
zlona m je rni softve r, b lokira nje od re đ e ne uslug e na m re žnom
op se g u ili one sp osob ljava nje d ije lova uslug e )
• Blokiranje određenih vrsta mrežne povezivosti (p rivre m e na
og ra nič e nja ve ze s m re žom , b lokira nje m re žnog p rom e ta s IP
a d re sa d om a ć ina )

www.FOI.unizg.hr
UKLANJANJE

• Cilj - m a knuti zlona m je rni softve r sa zaraženih računala

• U ne kim sluč a je vim a , ukla nja nje na p a d a je m og uć e bez

potrebe za obnovom sustava

• U ve ć ini sluč a je va (rootkit) - je d ini na č in d a se uistinu uvje rim o

d a je ukla nja nje usp je šno je st izvršiti kom p le tnu obnovu
sustava

• Na kon što se sustav sm a tra č istim p re m a p olitika m a

org a niza c ije , tre b a p rove sti analizu ranjivosti sustava

www.FOI.unizg.hr
OPORAVAK

• Sustav će se vratiti u produkciju i p ra titi za b ilo ka kve zna kove

m og uć e re infe kc ije

• Dva g lavna a sp e kta op oravka od inc id e na ta m a lic ioznog kod a

• Vraćanje funkcionalnosti i podataka zaraženih domaćina
• Uklanjanje privremenih mjera zaštite

www.FOI.unizg.hr
AKTIVNOSTI NAKON INCIDENTA

• Dovršiti svu dokumentaciju incidenta i prezentirati rezultate

menadžmentu

• Potražiti načine kako poboljšati tehnički i administrativni proces

up ravlja nja inc id e ntom

• Im a ti ja sno definiran plan za provedbu naučenih lekcija

• Prim je ri m og uć ih ishod a a ktivnosti na uč e nih le kc ija

• Prom je ne sig urnosnih p ravila
• Prom je ne u p rog ra m u svije sti
• Re konfig ura c ija softve ra
• Pokre ta nje softve ra za otkriva nje m a lic ioznog kod a
• Re konfig ura c ija softve ra za otkriva nje m a lic ioznog kod a

www.FOI.unizg.hr
ANALIZA MALICIOZNOG KODA

www.FOI.unizg.hr
SAŽETAK

• Što je a na liza m a lic ioznog kod a

• Za što je p otre b na a na liza
• Cilje vi a na lize
• Vrste a na lize
• Me tod olog ija a na lize

www.FOI.unizg.hr
ŠTO JE ANALIZA MALICIOZNOG KODA

• Analiza zlonamjernog softvera - p roc e s određivanja svrhe i

funkc iona lnosti od re đ e nog uzorka zlona m je rnog softve ra

• Om og uć uje razumijevanje funkcioniranja zlona m je rnog

softve ra , ka ko p re p ozna ti zlona m je rni softve r i ka ko g a ukloniti

• Antivirusne tvrtke p rovod e a na lizu zlona m je rnog softve ra

ka ko b i a žurira li p otp ise ka ko b i ih m og li otkriti i staviti u
ka ra nte nu

www.FOI.unizg.hr
ŠTO JE ANALIZA MALICIOZNOG KODA

• Tri tipična sluč a ja koja p otič u p otre b u za a na lizom

zlona m je rnog softve ra
• Upravljanje računalnim sigurnosnim incidentima - a ko
org a niza c ija otkrije ili sum nja d a je ne ki zlona m je rni softve r
m ožd a uša o u njihov sustav, že le izvršiti a na lizu zlona m je rnog
softve ra
• Istraživanje o zlonamjernom softveru - istra živa č i zlona m je rnih
p rog ra m a a ka d e m skog ili ind ustrijskog se ktora m og u p rove sti
a na lizu zlona m je rnog softve ra d a b i shvatili ka ko se zlona m je rni
softve r p ona ša i na jnovije te hnike korište ne u nje g ovoj
konstrukc iji
• Pronalazak pokazatelja incidenta - d ob avlja č i softve rskih
p roizvod a i rje še nja m og u p rove sti a na lizu zlona m je rnog softve ra
ra d i od re đ iva nja m og uć ih novih p oka zate lja inc id e nta - ove
inform a c ije m og u p otom ug ra d iti u sig urnosni p roizvod ili rje še nje
ka ko b i se org a niza c ija b olje za štitila od na p a d a zlona m je rnog
softve ra

www.FOI.unizg.hr
ZAŠTO JE POTREBNA ANALIZA

• Da b i se p roc ije nila šte ta

• Da b i se otkrili ind ika tori kom p rom ita c ije
• Da b i se od re d ila sofistic ira nost napadača
• Da b i se id e ntific ira la ra njivost
• Da se uhva ti na p a d a č
• Da b i se od g ovorilo na p ita nja ...

www.FOI.unizg.hr
ZAŠTO JE POTREBNA ANALIZA

• Poslovna p ita nja

• Koja je svrha m a lic ioznog kod a?
• Ka ko je m a lic iozni kod d osp io na to m je sto?
• Tko na s c ilja i koliko je d ob a r?
• Ka ko d a g a se rije šim ?
• Što je ukra d e no?
• Koliko je d ug o ovd je ?
• Da li se sa m širi?
• Ka ko d a g a pronađem na d rug im ure đ a jim a?
• Ka ko d a sp rije č im p onavlja nje d og a đ a ja u b ud uć nosti?

www.FOI.unizg.hr
ZAŠTO JE POTREBNA ANALIZA

• Tehnička p ita nja

• Mre žni ind ikatori
• Host-b a se d ind ikatori
• Pe rsiste nc e m e ha nizm i
• Datum insta la c ije
• U koje m je ziku je na p isa n
• Je li p a kira n?
• Im a li rootkit funkc iona lnosti

www.FOI.unizg.hr
VRSTE ANALIZE

• Postoje d vije vrste a na liza m a lwa re a koje sig urnosni stručnjaci

izvod e
• Statička analiza (a na liza kod a )
• Dinamička analiza (a na liza p ona ša nja )

• Ia ko ob a tip a ostva ruju isti c ilj, ob ja šnje nje ka ko zlona m je rni

softve r funkc ionira , a la ti, vrije m e i vje štine p otre b ne za
izvođ e nje a na lize vrlo su ra zlič iti

• Na jb olje i na jb rže re zulta te d a je kombinacija statičke i

dinamičke analize

www.FOI.unizg.hr
STATIČKAANALIZA

• Statička ili analiza koda - p rovod i se p re g le d ava nje m

softve rskog kod a zlona m je rnog softve ra ra d i b olje g
ra zum ije va nja funkc ionira nja zlona m je rnog softve ra

• Reverzni inženjering pomoću programa poput disassemblers,

debuggers i decompilers

• Suvremeni maliciozni kod kreiran je upotrebljavajući tehnike

za izbjegavanje ove vrste analize (ugrađivanje sintaktičkih
pogrešaka u kod koji će zbuniti disassemblere , ali koji će i dalje
funkcionirati za vrijeme izvršavanja)

• Osnovna statička analiza je jednostavna i može biti brza, ali je

uglavnom neučinkovita protiv sofisticiranog zlonamjernog
softvera i može propustiti važno ponašanje
www.FOI.unizg.hr
DINAMIČKA ANALIZA

• Dinamička ili bihevioralna analiza - vrši se p rom a tra nje m

p ona ša nja zlona m je rnog softve ra d ok stva rno ra d i na sustavu
domaćina

• Ovaj se oblik analize često provodi u sandboxu kako bi se

spriječilo da zlonamjerni softver zarazi produkcijski sustav

• Zlonamjerni softver se također može debuggirati dok radi,

pomoću debuggera kao što je GDB ili WinDbg , kako bi se
korak po korak gledalo ponašanje i učinke na sustav hostova
zlonamjernog softvera dok se upute obrađuju

www.FOI.unizg.hr
DINAMIČKA ANALIZA

• Prilikom provođenja d ina m ič ke a na lize kritič no je d a

laboratorij za maliciozni kod nije povezan s drugom mrežom

• Prilikom izvođ e nja d ina m ič ke a na lize potražite promjene u

sustavu , ka o i ne ob ič na p ona ša nja na za ra že nom sustavu
(d a tote ke koje su d od a ne i/ ili izm ije nje ne , insta lira ne nove
uslug e , nove p okre nute p roc e se , b ilo ka kve izm je ne re g istra
koje p rim je ć uju koje su izm je ne izvrše ne te izm ije nje ne
p ostavke sustava )

• Osim p ona ša nja sa m og sustava , p re g le d a t ć e se i m re žni

p rom e t

www.FOI.unizg.hr
METODOLOGIJAANALIZE

• Nemojte biti priključeni na mrežu , osim mreže laboratorija malicioznog

koda !

• Statička analiza
1. Im ati zlona m je rni softve r
2. Izg ra d iti zlona m je rni la b oratorij g d je će se izvršiti analiza (stvoriti virtualne strojeve ,
instalirati potrebne operacijske sustave)
3. Kopirati potrebne alate na različite strojeve
4. Ekstrahirati i po potrebi instalirati alate
5. Izračunati MD5 hash svih alata koji će se koristiti u zlonamjernom softveru
6. Snimiti baseline sustava prije pokretanja zlonamjernog softvera (više alata)
7. Snimiti VM snimku i provjerite da je odabrano umrežavanje samo s hostom
8. Pokrenuti antivirusni softver organizacije na zlonamjernom kodu (pokrenuti više
AV)
9. Otvoriti zlonamjerni softver u hex uređivaču da biste vidjeli koja vrsta datoteke je
zlonamjerni softver
10. Pokušati utvrditi da li zlonamjerni softver koristi program za pakiranje - ako da,
raspakirati ga
11. Pokrenite Strings - traženje stringova može pružiti informacije kao što su protokoli ,
portovi , datoteke , IP adrese , pa čak i informacije o zlonamjernom softveru
12. Rastaviti (disassemble) zlonamjerni softver

www.FOI.unizg.hr
METODOLOGIJA ANALIZE

13. Provje riti je su li svi se rvisni p a ke ti, za krp e i sve p otre b ne a p lika c ije insta lira ne na
VM-u p rije ne g o što izvršite zlona m je rni softve r
14. Provje riti je li VM umrežavanje postavljeno na umrežavanje samo s hostom
15. Snimiti snimku sustava koristeći Wina na lysis

• Dinamička analiza
16. Izvršiti zlona m je rni softve r d ok g le d ate Proc e ss Exp lore r i TCPVie w za p rom je ne u
statusu sustava
17. Koriste ć i Wina na lysis, snim iti još je d a n snim a k sustava - usp ore d iti ovu snim ku s
orig ina lnom snim kom
18. Ponovno p okre nuti Proc e ss Exp lore r i TCPVie w, tra že ć i p rom je ne s p oč e tne
vrije d nosti uze te ra nije
19. Pre g le d ati m re žni p rom e t uhva ć e n s wind um p
20. Dok p re g le d avate Proc e ss Exp lore r, tra žiti nove p roc e se koji su p okre nuti i
za b ilje žite g d je se na la ze
21. Up otrije b iti TCPVie w d a b iste p otra žili nove slušate lje koji b i m og li p rim ati up ute
od p oslužite lja za na re d b e (C&C) koji su insta lira ni na sustav p om oć u zlona m je rnog
softve ra
22. Istra žiti slušate lja (p okušati se p ove zati s njim a ra zlič itim a latim a ka o što su te lne t,
ne tc at ili we b p re g le d nik)
23. Pratiti slušate lja natra g d o p roc e sa koji je iznio slušate lja i te m e ljito istra žiti
24. Pre g le d ati m re žni p rom e t

www.FOI.unizg.hr
PITANJA

www.FOI.unizg.hr