Initial Outbreak

infosys.tuwien.ac.at

Initial Outbreak

Was ist Virus? - Ein Überblick !

• Was sind Viren ?

• Herausforderung

• Aktuelle Entwicklungen


• Malware (Malicious Code)

Per Definition schädliche Software. Durch Medienberichte von der

Öffentlichkeit oft mit „Viren“ gleichgesetzt

• Viren sind sich selbst replizierende, infizierende

Dateien,

In Relation zur Malware kaum noch verbreitet

geschätzte 3 % des Gesamtaufkommens

• Würmer verbreiten sich über Netzwerke und

infizieren alle erreichbaren Systeme

Wir unterscheiden in User-Interaktions- und Prozessinteraktions

Basierenden Würmer. (Doppel-Klick-Viren versus Exploit-Based)


Angriffsformen von Viren – Replikations-Orientiert

User-

Interaktionsbasierend

„Doppelklick“ eMail Viren,

Tanatos, NetSky, Bagle,

Sobig.F etc.....setzen Aktion

des User´s voraus

Prozess-

Interaktionsbasierend

„Klassischer Wurm“

Ein Start ist ausreichend

Moris CodeRed

Slammer Blaster,

Direct

User-involvment

Attack

Indirect

User-involvment

Attack

Exploit-Based

Attack

Regular Service

Based Attack

User deaktiviert

Sicherung/Hemmnis

„Britney-Spears“–Wurm,

IRC-Bots,

Mischformen

User wird via eMail auf Seite

gelockt wo erst die

eigentliche Attacke passiert

Baqle-Q (Carrier eMail)

transportiert nur den Link

zB: URL-Redirection Attack

Spam-Mails, Fishing,....

Blaster, Slammer, Witty

Nutzt einen bestehenden

Exploit von Systemen

Mischformen

NIMDA, BAGLE.Q, Netsky.P,

Sowohl User als auch

Prozess basierte Replikation

Sowohl Exploit als auch Regular

Jede Form von

DDOS wo das

Ziel auf Grund

„regulärer“

Request

versenkt wird.

Mydoom.A-F,

Bagle.M


Trojaner/Backdoors sind Programme mit versteckter

(schädlicher) Zweitfunktion

Streng genommen zählen Sie, ebenso wie Backdoors NICHT zu den

Viren, da sie selbst über keine Replikationsmechanismen verfügen.

Der potentiellen Angreifer kann defakto “alles” was auch der User des

betroffenen Systems kann.

Bot – Bot-Netze

Als Bot´s werden “Viren” welche eine Kombination aus Backdoor und

Wurm beinhalten von potentiellen Angreifern “übernommen” und

“kontrolliert”. Die Kommunikation zwischen MasterConsole und Bot

erfolgt zumeist über IRC-Netzwerke (Internet Relay Chat)

Adware, Spyware, Dialer, …


• Signaturdatenbanken von Virenscannern

wachsen “unangenehm” schnell:

– Es gibt heute ca. 125.000 verschiedene Schadprogramme

(inklusiver vieler „Altlasten“ aus MS DOS-Zeiten)

– Typisches Wachstumsbeispiel (Trend Micro):

• August 2001: 4,0 MB

• Januar 2004: 7,5 MB

• Januar 2005: 11,8 MB

• April 2005: 14,7 MB

– 10 Jahre hat es gebraucht (1991 bis 2001), damit die

Datenbank 4 MB groß wird, aber nur wenige Monate, bis sich

ihre Größe mehr als verdoppelt und verdreifacht hat

– Allein in den letzten 4 Monaten ganze 3 MB Wachstum

Quelle: Andreas Marx/Universität Magdeburg


5 Major Outbreaks 2003

60

Mio

Year of the Worm - Anzahl bekannter Viren erreicht über 90 000

Sobig

Worm

50

40

30

SQL-Slammer

Worm

Blaster

Worm

Swen

Worm

20

10

Bugbear

Worm

5

3

1

Jän

Feb

Mär

Apr

Mai

Jun

Jul

Aug

Sept

Okt

Nov

Dez


5 Major Outbreaks Q1/2004 - Österreich

Mio

20

Mydoom.A

15

12

10

7

5

3

1

0

Sober.C

NetSky.B

Bagle.B

Netsky.D

1.

Jän

15.

Jän

1.

Feb

15.

Feb

1

März

15.

März

31.

März


Virensituation in Österreich 2004

Quo vadis ?

2004 bescherte uns eine Reihe an durchaus „verzichtbaren“ neuen

Rekorden.

Die Zahl der eindeutig als Viren indentifizierten Programme durchbrach

von 1986 an gerechnet das erste Mal die 100.000er Marke, und brachte

zudem einen neuen „Monatsrekord“ mit über 1.800 neuen Viren/Malicious

Codes im Spitzenmonat März.

Je nach Spammer-Aktivität werden zwischen 62% und 74% aller

erhaltenen Emails in Österreich als Spam-Mails klassifiziert. Im Spitzenfeld

liegen dabei Unternehmen mit über 200.000 erhaltenen Spam-Mails pro

Tag. Diese Werte schwemmen Tag für Tag konstant „Müll“ in die User-

Mailboxen. Im Vergleich dazu liegt das Viren-Aufkommen bei 14-16% an

„ruhigen“ Tagen. An Tagen mit High-Outbreak-Phasen verschiebt sich die

Relation „infiziertes eMail“ versus „virenfreies eMail“ kurzfristig mit Spitzen

bis zum Verhältnis 1:7 (nur mehr jedes 7 Mail ist ein Viren-Freies eMail).

Etwa beim Sober.F oder im Verhältnis 1:4,5 beim Sobig.I !


Trojan - Generator

Trojanerschreiben für f Dummies


DIRECT USER

INVOLVEMENT ATTACK


DIRECT USER

INVOLVEMENT ATTACK


INDIRECT USER

INVOLVEMENT ATTACK


URL-Redirection Attack

http://www.microsoft.com&item=q209354@hardware.

no/nyheter/feb01/Q209354%20-@20HOWTO.htm

Url Redirection using the @ Symbol

Url Redirection using DNS spoofing

Url Redirection using DNS cache injection


„undotted“ IP Adress Attack

IE Trusted Sites can be facked

http://3244527687/livesex.html

Using „undotted“ IP Adresses (e.g. 3244527687 = 193.99.144.71)

►„undotted“ IP Adresses override „IE Trusted Site Settings“

► Local Security restrictions apply – insecure web surfing


Newsgroups verbreiten Viren


Konsequenz der MyDoom.F Attacke

für RIAA WebServer

www.RIAA.com


Konsequenz der MyDoom.F Attacke

für RIAA WebServer

T

i

m

e

8

i

n

S

e

c

o

n

d

s

6

4

2

0

00:00

12:00

00:00

12:00

00:00

12:00

00:00

12:00

00:00

12:00

00:00

12:00

00:00

Do 18

Mar

Fr 19

Mar

Sa 20

Mar

So 21

Mar

Mo 22

Mar

Di 23

Mar

Mi 24

Mar

Total time from Amsterdamm/Cee-kay to www.riaa.com

Failures

Quelle: www.netcraft.com


Social Engineering - I.Worm.SWEN.A


Social Engineering - I.Worm.SWEN.A

Return- Adress

ist nicht von Microsoft


Social Engineering - I.Netsky.P


aktuell…

Email-Worm.Win32.Sober.P

Über 2 Millionen infizierte eMails wurden

in Österreich registriert !!


Email-Worm.Win32.Sober.Q

Enterprise

Email-Worm.Win32.Sober.P

Privat

Kein Virus – Jedoch Mails

Mit rechtsradikalen Inhalten

Tageshöchstwert: 800 000


W32.SQLSlammer.Worm – processinteraction based attack

Buffer Overflow

Attack

Initializing Attacker

Targeted system process

corrupted system process

Scan for IP Adresses

192.168.56.45

192.168.56.49

192.168.56.72

192.168.56.91

© 2002 IKARUS Software


SOBIG.F

55 Millionen Infizierte eMails in Österreich

Sobig-F Analyse - IST-File

Registrierter Stunden – Spitzenwert

2.487.882 infizierte eMails

Tausende

9.000

8.000

7.000

7.321

7.934

Tageswert infizierter eMails

6.000

5.000

4.000

3.000

2.000

5.461 5.453

3.094

2.433

1.000

0

19.

Di

20.

Mi

21.

Do

22.

Fr

23.

Sa

24.

So

25.

Mo

26.

Di

27.

Mi

28.

Do

29.

Fr

30.

Sa

31.

So

01.

Mo

02.

Di

03.

Mi

04.

Do

05.

Fr

06.

Sa

07

So

08.

Mo

09.

Di

10.

Mi

11.

Do

12.

Fr

Messzeitraum 19. 08 - 10.09

Reihe1


Wesentlicher Response Faktor: Z E I T

1400000

1200000

1000000

800000

600000

400000

200000

0

1200

1000

Sobig.F Hourly Outbreak Stats 19th August 03

rising critical mass

0:00

1:00

2:00

3:00

4:00

5:00

6:00

7:00

8:00

9:00

10:00

11:00

12:00

13:00

14:00

15:00

16:00

17:00

18:00

19:00

20:00

21:00

22:00

23:00

0:00

800

600

400

200

0

10:00 11:00 12:00 13:00 14:00 15:00

time

registered infected em ails

reg. infected emails

thousand

time


C I R C A -Virus Early Warning System


„Loveletter“ with Early Warning System

Activity:

Hours:

05:30

07:30

07:35

08:05

08:05

„Loveletter“ first sight in Austria

Early Warning System allows appraisal of the danger

Providers and AV companies are informed

First Analyse and Updates from the AV-Companys

Specific warning in and about media

00:00

02:00

02:05

02:35

02:35

10:00

Point of No Return

04:30


Sensors Early Warning System

Transmission

Logs

From the algorithms / scanner - log files in VIX

hosted Ikarus Scan centre . As well as appearing

"patterns" in case of virus activity .

1,8 Mio eMails per week

Incident

„Harvest " from Honeypots complementary to the behavior of the log

from of the transmission area - Secondary activity .

Baitsample

During "quiet" days about 2,000 Virus/Bots/Spyware per day with an

average size of 25-50 kb (about 70 MB per Day)

During "worried" days clearly about a gigabyte!


1st Day - Outbreak-Characteristics

based on Sober-I

t

i

n

T

h

o

u

sa

n

d

50

40

30

20

10

5

0

06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23

Virus-Start

First-Infections

Virus activity

Initial Outbreak

Rising Critical Mass

Majority-Phase

ISC to early warning system

Decreasing-Phase

Quelle: www.ikarus.at


80

60

40

20

00

80

60

40

20

0

1st HOUR - Outbreak-Characteristics

based on Sober-I

1st Threshold

0

1

4

3

2

2

0

6

4

7 6

7

11

55

Watch

09:14

09:16

09:18

09:20

09:22

09:24

09:26

09:28

09:30

09:32

09:34

09:36

09:38

09:40

09:42

09:44

09:46

09:48

09:50

09:52

09:54

09:56

09:58

10:00

10:02

10:04

10:06

10:08

10:10

10:12

10:14

1

x

Initialer Outbreak

2nd Threshold

Honeypot-

First Samples

+14min

+14min

x+28 min

x+60 min


1st Week - Outbreak-Characteristics

based on Sober-I Timeline

Virus-Start

i

n

T

h

o

u

sa

n

d

100

80

60

40

Outbreak

Major-Outbreak

20

10

0

t

19.

Fr

First-Infections

Austria

20

Sa

21.

So

22.

Mo

23.

Di

24.

Mi

25.

Do

26.

Fr

Initial Outbreak

Rising Critical Mass

Majority-Phase

Decreasing-Phase

ISC to early warning system

Quelle: www.ikarus.at


Total Period - Outbreak-Characteristics

based on Sober-I 9.11.2004 – 06.01.2005 Timeline

Virus-Start

with Telekom Austria Figures

i

n

T

h

o

u

sa

n

d

350

300

250

200

150

100

80

Majority-Phase

Decreasing-Phase

50

20

10

0

t

19.

Fr

ISC to early warning system

Initial Outbreak

26

Fr

3.

Fr

10.

Fr

17

Fr

24.

Fr

31.

Fr

7.

Fr

Quelle: Ikarus/Telekom


1st HOUR - Outbreak-Characteristics

based on Zafi.D

140

120

100

1st Threshold

Initial Outbreak

80

60

40

Honeypot-

First Samples

20

0

15:07

15:11

15:15

15:19

15:23

15:27

15:31

15:35

15:39

15:43

15:47

15:51

15:55

15:59

16:03

16:07

x

+48min

x+48 min

x+60 min

ISC to early warning system

Quelle: www.ikarus.at


1st HOUR - Outbreak-Characteristics

based on Zafi.D

with Telekom Austria Figures

140

120

100

Initial Outbreak

1st Threshold

80

60

40

Honeypot-

First Samples

20

0

14:59

15:03

15:07

15:11

15:11

15:15

15:19

15:23

15:27

15:31

15:35

15:39

15:43

15:47

15:51

15:55

15:59

16:03

16:07

x - 8min

x

x+19min

+48min

x+48 min

x+60 min

ISC to early warning system

Quelle: www.ikarus.at


Consequences of the preventive measures?

N

u

m

b

e

r

o

f

V

i

r

u

s

e

s

S

t

o

P

p

e

d

100.000

90.000

80.000

70.000

60.000

50.000

40.000

30.000

20.000

10.000

0

W32/Zafi.D-mm – Outbreak Timeline

4 manufactures discover Zafi.D

with heuristic procedures

IKARUS

MessageLabs

Bitdefender

Quickheal

13 Dec 04 20:34

13hrs 17mins

Norman

14 Dec 04 09:51

Kaspersky

14 Dec 04 10:02

F-Secure

14 Dec 04 10:31

~32 hrs

Other Non-Beta Signatures:

14/12:04 - 15/04:31

2021222300 1 2 3 4 5 6 7 8 9 1011121314151617181920212223 001 2 3 4 5 6

13. 14.

15.

December

Timeline

Data courtesy of AV-Test /MessageLabs/Ikarus


Influenceof thepreventivemeasures?

N

u

m

b

e

r

o

f

V

i

r

u

s

e

s

100.000

90.000

80.000

70.000

60.000

50.000

40.000

30.000

~32 hrs

S

t

o

P

p

e

d

20.000

10.000

0

1. day 2. day 3. day 4. day 5. day 6. day 7. day

13.

Mo

14.

Di

15.

Mi

16.

Do

17.

Fr

18.

Sa

19.

So

Timeline

Data courtesy of AV-Test /MessageLabs/Ikarus


Influence of the preventive measures

8.000.000

7.000.000

6.000.000

5.000.000

4.000.000

Sobig.F

3.000.000

2.000.000

1.000.000

500.000

250.000

100.000

50.000

0

1. day 2. day 3. day 4. day 5. day 6. day 7. day

Timeline

Sober.I


Conclusion

•Factor Time

•Sensors-Diversity

•Sensors-Density

•Communicationstructures

•Responsemanner


Gründe für die Misere


2004 – Security Anforderungen

45 Patches von Microsoft

102 dringliche CERT Advisories

3 / Monat

8 / Monat

374Updates von AV-Software

31 / Monat

222 Updates von AV-Software 1Q 2005 74 / Monat

2580 verschiedene Security-Notes publiziert

215 / Monat

3780 Vulnerabilities von CERT registriert

315 / Monat

Ergibt:

20 erforderliche Reaktionen pro TAG


20 erforderliche Reaktionen pro TAG

vorausgesetzt:

- Sie verfügen über entsprechendes

Know-how in allen betroffenen Bereichen

- Sie verfügen über die erforderliche Infrastrukturen

- Sie verfügen über die erforderlichen

Mitarbeiter

Denken Sie nach:

Wieviele Aufgaben hat ein Administrator neben Security pro Tag ?


Anzahl von Attacken

Ressourcen versus

Bedrohungsbild

Präsenz von

Attacken

Präsenz von

IT-Personal

in KMU´s

00h 02h 04h 06h 08h 10h 12h 14h 16h 18h 20h 22h


Mangelnde

Awareness

Anwender interessiert Security (zu Recht) nur mässig bis gar nicht


Mangelnde

Sicherheitskonzeption

Anwender sind NICHT in der Lage Ihre Systeme zu verstehen

Geschweige denn auch Up-to-date und damit „sicherer“ zu halten


atr0x

„virenscanner kämpfen nur gegen symptome

einer viel tieferen strukturellen ursache.

solange nicht letzteres in angriff genommen

wird, werden wir weiterhin jede woche über

neue große virenausbrüche lesen. „

Posting in der ORF-Futurezone

Anlässlich des I.Worm.Bagle.U Berichts März 04.


Inter/Nationale Virenabwehrnetze

ISC-SANS, CIRCA

Konzentration der Abwehrmaßnahmen

Providerbasierende Virenfilter

www.uta.at/virenschutz

http://securemail.telekom.at

Hosted Security Services

http://business.telekom.at/produkte/itsolutions/security_service

„Sicherere“ Betriebssysteme

OS-Hardening

Paladium

Awareness

Sicherheitsdenken muss Bestand der Ausbildung werden

Klare Kommunikationsschnittstellen


D A N K E

Weitere Magazine dieses Users
Ähnliche Magazine