malware viruses worms rootkits botnets spring 2015
play

Malware: Viruses, Worms, Rootkits, Botnets Spring 2015 - PowerPoint PPT Presentation

Feb 02, 2024 •33 likes •403 views

CSE 484 / CSE M 584: Computer Security and Privacy Malware: Viruses, Worms, Rootkits, Botnets Spring 2015 Franziska (Franzi) Roesner

  1. CSE ¡484 ¡/ ¡CSE ¡M ¡584: ¡ ¡Computer ¡Security ¡and ¡Privacy ¡ ¡ Malware: ¡ Viruses, ¡Worms, ¡Rootkits, ¡Botnets ¡ Spring ¡2015 ¡ ¡ Franziska ¡(Franzi) ¡Roesner ¡ ¡ franzi@cs.washington.edu ¡ Thanks ¡to ¡Dan ¡Boneh, ¡Dieter ¡Gollmann, ¡Dan ¡Halperin, ¡Yoshi ¡Kohno, ¡John ¡Manferdelli, ¡John ¡ Mitchell, ¡Vitaly ¡Shmatikov, ¡Bennet ¡Yee, ¡and ¡many ¡others ¡for ¡sample ¡slides ¡and ¡materials ¡... ¡

  2. Looking ¡Ahead ¡ • Today: ¡Malware ¡ • Next ¡time(s): ¡Mobile ¡platform ¡security ¡and ¡privacy ¡ • Lab ¡2 ¡due ¡Wednesday, ¡May ¡20 ¡(5pm) ¡ • Two ¡guest ¡lectures ¡next ¡week ¡ – Wednesday: ¡ Emily ¡McReynolds ¡(UW ¡Tech ¡Policy ¡Lab) ¡ • Bring ¡your ¡law-­‑related ¡questions! ¡ – Friday: ¡ Peter ¡Ney ¡and ¡Ian ¡Smith ¡on ¡hacking ¡tools ¡etc. ¡ • The ¡following ¡Monday ¡is ¡a ¡holiday ¡ J ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 2 ¡

  3. Malware ¡ • Malicious ¡code ¡often ¡masquerades ¡as ¡good ¡ software ¡or ¡attaches ¡itself ¡to ¡good ¡software ¡ • Some ¡malicious ¡programs ¡need ¡host ¡programs ¡ – Trojan ¡horses ¡(malicious ¡code ¡hidden ¡in ¡useful ¡program) ¡ • Others ¡can ¡exist ¡and ¡propagate ¡independently ¡ – Worms, ¡automated ¡viruses ¡ • Many ¡infection ¡vectors ¡and ¡propagation ¡methods ¡ • Modern ¡malware ¡often ¡combines ¡techniques ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 3 ¡

  4. Viruses ¡ • Virus ¡propagates ¡by ¡infecting ¡other ¡programs ¡ – Automatically ¡creates ¡copies ¡of ¡itself, ¡but ¡to ¡ propagate, ¡a ¡human ¡has ¡to ¡run ¡an ¡infected ¡program ¡ – Self-­‑propagating ¡viruses ¡are ¡often ¡called ¡worms ¡ • Many ¡propagation ¡methods ¡ – Insert ¡a ¡copy ¡into ¡every ¡executable ¡(.COM, ¡.EXE) ¡ – Insert ¡a ¡copy ¡into ¡boot ¡sectors ¡of ¡disks ¡ • PC ¡era: ¡“Stoned” ¡virus ¡infected ¡PCs ¡booted ¡from ¡infected ¡ floppies, ¡stayed ¡in ¡memory, ¡infected ¡every ¡inserted ¡floppy ¡ – Infect ¡common ¡OS ¡routines, ¡stay ¡in ¡memory ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 4 ¡

  5. First ¡Virus: ¡Creeper ¡ • Written ¡in ¡1971 ¡at ¡BBN ¡ • Infected ¡DEC ¡PDP-­‑10 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ machines ¡running ¡TENEX ¡OS ¡ • Jumped ¡from ¡machine ¡to ¡machine ¡over ¡ARPANET ¡ – Copied ¡its ¡state ¡over, ¡tried ¡to ¡delete ¡old ¡copy ¡ • Payload: ¡displayed ¡a ¡message ¡ ¡ ¡ ¡ “ I’m ¡the ¡creeper, ¡catch ¡me ¡if ¡you ¡can! ” ¡ • Later, ¡Reaper ¡was ¡written ¡to ¡delete ¡Creeper ¡ http://history-­‑computer.com/Internet/Maturing/Thomas.html ¡ ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 5 ¡

  6. Virus ¡Detection ¡ • Simple ¡anti-­‑virus ¡scanners ¡ – Look ¡for ¡signatures ¡(fragments ¡of ¡known ¡virus ¡code) ¡ – Heuristics ¡for ¡recognizing ¡code ¡associated ¡with ¡viruses ¡ • Example: ¡polymorphic ¡viruses ¡often ¡use ¡decryption ¡loops ¡ – Integrity ¡checking ¡to ¡detect ¡file ¡modifications ¡ • Keep ¡track ¡of ¡file ¡sizes, ¡checksums, ¡keyed ¡HMACs ¡of ¡contents ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 6 ¡

  7. Arms ¡Race: ¡Polymorphic ¡Viruses ¡ • Encrypted ¡viruses: ¡constant ¡decryptor ¡followed ¡by ¡ the ¡encrypted ¡virus ¡body ¡ • Polymorphic ¡viruses: ¡each ¡copy ¡creates ¡a ¡new ¡ random ¡encryption ¡of ¡the ¡same ¡virus ¡body ¡ – Decryptor ¡code ¡constant ¡and ¡can ¡be ¡detected ¡ – Historical ¡note: ¡“Crypto” ¡virus ¡decrypted ¡its ¡body ¡by ¡ brute-­‑force ¡key ¡search ¡to ¡avoid ¡explicit ¡decryptor ¡code ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 7 ¡

  8. Smarter ¡Virus ¡Detection? ¡ • Generic ¡decryption ¡and ¡emulation ¡ – Emulate ¡CPU ¡execution ¡for ¡a ¡few ¡hundred ¡instructions, ¡ recognize ¡known ¡virus ¡body ¡after ¡it ¡has ¡been ¡decrypted ¡ – Does ¡not ¡work ¡very ¡well ¡against ¡viruses ¡with ¡mutating ¡ bodies ¡and ¡viruses ¡not ¡located ¡near ¡beginning ¡of ¡ infected ¡executable ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 8 ¡

  9. Virus ¡Detection ¡By ¡Emulation ¡ Randomly generates a new key Decrypt and execute and corresponding decryptor code Mutation A Virus body Mutation B Mutation C To detect an unknown mutation of a known virus , emulate CPU execution of until the current sequence of instruction opcodes matches the known sequence for virus body 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 9 ¡

  10. Arms ¡Race: ¡Metamorphic ¡Viruses ¡ • Obvious ¡next ¡step: ¡mutate ¡the ¡virus ¡body, ¡too ¡ • Apparition: ¡an ¡early ¡Win32 ¡metamorphic ¡virus ¡ – Carries ¡its ¡source ¡code ¡(contains ¡useless ¡junk) ¡ – Looks ¡for ¡compiler ¡on ¡infected ¡machine ¡ – Changes ¡junk ¡in ¡its ¡source ¡and ¡recompiles ¡itself ¡ – New ¡binary ¡copy ¡looks ¡different! ¡ • Mutation ¡is ¡common ¡in ¡macro ¡and ¡script ¡viruses ¡ – A ¡macro ¡is ¡an ¡executable ¡program ¡embedded ¡in ¡a ¡word ¡ processing ¡document ¡(MS ¡Word) ¡or ¡spreadsheet ¡(Excel) ¡ – Macros ¡and ¡scripts ¡are ¡usually ¡interpreted, ¡not ¡compiled ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 10 ¡

  11. Mutation ¡Techniques ¡ • Real ¡Permutating ¡Engine/RPME, ¡ADMutate, ¡etc. ¡ • Large ¡arsenal ¡of ¡obfuscation ¡techniques ¡ – Instructions ¡reordered, ¡branch ¡conditions ¡reversed, ¡ different ¡register ¡names, ¡different ¡subroutine ¡order ¡ – Jumps ¡and ¡NOPs ¡inserted ¡in ¡random ¡places ¡ – Garbage ¡opcodes ¡inserted ¡in ¡unreachable ¡code ¡areas ¡ – Instruction ¡sequences ¡replaced ¡with ¡other ¡instructions ¡ that ¡have ¡the ¡same ¡effect, ¡but ¡different ¡opcodes ¡ • Mutate ¡SUB ¡EAX, ¡EAX ¡into ¡XOR ¡EAX, ¡EAX ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ or ¡MOV ¡EBP, ¡ESP ¡into ¡PUSH ¡ESP; ¡POP ¡EBP ¡ • There ¡is ¡no ¡constant, ¡recognizable ¡virus ¡body ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 11 ¡

  12. Example ¡of ¡Zperm ¡Mutation ¡ [From ¡Szor ¡and ¡Ferrie, ¡ “ Hunting ¡for ¡Metamorphic ” ] ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 12 ¡

  13. Obfuscation ¡and ¡Anti-­‑Debugging ¡ • Common ¡in ¡all ¡kinds ¡of ¡malware ¡ • Goal: ¡prevent ¡code ¡analysis ¡and ¡signature-­‑based ¡ detection, ¡foil ¡reverse-­‑engineering ¡ • Code ¡obfuscation ¡and ¡mutation ¡ – Packed ¡binaries, ¡hard-­‑to-­‑analyze ¡code ¡structures ¡ – Different ¡code ¡in ¡each ¡copy ¡of ¡the ¡virus ¡ • Effect ¡of ¡code ¡execution ¡is ¡the ¡same, ¡but ¡this ¡is ¡difficult ¡to ¡ detect ¡by ¡passive/static ¡analysis ¡(undecidable ¡problem) ¡ • Detect ¡debuggers ¡and ¡virtual ¡machines, ¡ terminate ¡execution ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 13 ¡

Recommend

Malware: Botnets, Viruses, and Worms Damon McCoy Slide Credit: Vitaly Shmatikov slide 1

Malware: Botnets, Viruses, and Worms Damon McCoy Slide Credit: Vitaly Shmatikov slide 1

Malware: Botnets, Viruses, and Worms Damon McCoy Slide Credit: Vitaly Shmatikov slide 1 Malware Malicious code often masquerades as good software or attaches itself to good software Some malicious programs need host programs

1.29k views • 86 slides
Getting started with malware analysis Judith van Stegeren Definitions Malware : any software that

Getting started with malware analysis Judith van Stegeren Definitions Malware : any software that

Getting started with malware analysis Judith van Stegeren Definitions Malware : any software that does something that causes harm to a user, computer or network, including viruses, trojan horses, worms, rootkits, scareware and spyware. Malware

119 views • 9 slides
Why Protection against Viruses, Bots, and Worms is so hard Malware seen as Mobile Agents Till

Why Protection against Viruses, Bots, and Worms is so hard Malware seen as Mobile Agents Till

Foundations Security in MAS Conclusion Why Protection against Viruses, Bots, and Worms is so hard Malware seen as Mobile Agents Till Drges td@pre-secure.de PRESECURE Consulting GmbH June 20, 2007 Till Drges Protection Malware seen

739 views • 57 slides
Malware: Worms and Botnets CS 161: Computer Security Prof. Vern Paxson TAs: Paul Bramsen, Apoorva

Malware: Worms and Botnets CS 161: Computer Security Prof. Vern Paxson TAs: Paul Bramsen, Apoorva

Malware: Worms and Botnets CS 161: Computer Security Prof. Vern Paxson TAs: Paul Bramsen, Apoorva Dornadula, David Fifield, Mia Gil Epner, David Hahn, Warren He, Grant Ho, Frank Li, Nathan Malkin, Mitar Milutinovic, Rishabh Poddar, Rebecca

700 views • 49 slides
Viruses & Worms Thanks to Prof. Vern Paxson for these slides Malware That Propagates

Viruses & Worms Thanks to Prof. Vern Paxson for these slides Malware That Propagates

Viruses & Worms Thanks to Prof. Vern Paxson for these slides Malware That Propagates Virus = code that propagates (replicates) across systems by arranging to have itself eventually executed Generally infects by altering stored code

800 views • 67 slides
CSCI 4250/6250 Fall 2011 Computer and Networks Security Malware Goodrich, Chapter 4

CSCI 4250/6250 Fall 2011 Computer and Networks Security Malware Goodrich, Chapter 4

CSCI 4250/6250 Fall 2011 Computer and Networks Security Malware Goodrich, Chapter 4 Viruses, Worms, Trojans, Rootkits Malware = Malicious Software can be classified into several categories, depending on propagation and concealment

472 views • 46 slides
More on Malware CS 136 Computer Security Peter Reiher March 4, 2008 Lecture 14 Page 1 CS

More on Malware CS 136 Computer Security Peter Reiher March 4, 2008 Lecture 14 Page 1 CS

More on Malware CS 136 Computer Security Peter Reiher March 4, 2008 Lecture 14 Page 1 CS 136, Winter 2008 Outline Introduction Viruses Trojan horses Trap doors Logic bombs Worms Botnets Spyware Some

701 views • 53 slides
Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University

Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University

Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University of Michigan 2013 Network Security Fundamentals Module 5 Viruses & Worms, Botnets, Todays Threats Viruses & Worms Viruses Program

693 views • 31 slides
AND MALWARE Ben Livshits, Microsoft Research Overview of Todays Lecture 2 Viruses

AND MALWARE Ben Livshits, Microsoft Research Overview of Todays Lecture 2 Viruses

VIRUSES, WORMS, AND MALWARE Ben Livshits, Microsoft Research Overview of Todays Lecture 2 Viruses Intrusion detection Behavioral detection Firewalls Virus/antivirus Application firewalls coevolution paper discussed

915 views • 56 slides
Linux Malware Rootkits, Backdoors, and More... Michael Boelen michael.boelen@cisofy.com

Linux Malware Rootkits, Backdoors, and More... Michael Boelen michael.boelen@cisofy.com

Dealing with Linux Malware Rootkits, Backdoors, and More... Michael Boelen michael.boelen@cisofy.com Utrecht, 19 March 2016 Agenda Today 1. How do they get in 2. Why? 3. Malware types 4. In-depth: rootkits 5. Defenses 2

546 views • 35 slides
-[ OS X Kernel Rootkits ]- Liar! Macs have no viruses! Who Am I Don't take me too

-[ OS X Kernel Rootkits ]- Liar! Macs have no viruses! Who Am I Don't take me too

-[ OS X Kernel Rootkits ]- Liar! Macs have no viruses! Who Am I Don't take me too seriously, I fuzz the Human brain! The capitalist "pig" degrees: Economics & MBA. Worked for the evil banking system! Security

833 views • 80 slides
-[ Revisiting Mac OS X Kernel Rootkits! ]- Liar! Macs have no viruses! Who

-[ Revisiting Mac OS X Kernel Rootkits! ]- Liar! Macs have no viruses! Who

-[ Revisiting Mac OS X Kernel Rootkits! ]- Liar! Macs have no viruses! Who Am I Hold two degrees nobody likes these days: Economics & MBA. Ex-hacker for .pt banking system (www.sibs.pt). Security

1.16k views • 91 slides
More Malware Last Class Worms: Morris Worm Stuxnet Conficker Web-based

More Malware Last Class Worms: Morris Worm Stuxnet Conficker Web-based

More Malware Last Class Worms: Morris Worm Stuxnet Conficker Web-based malware: Exploit kits Fake AV Ransomware Today (continuation) How Malware Spreads Adware Computer Virus A type of malicious

647 views • 23 slides
Malicious Software Computer Security Peter Reiher November 25, 2014 Lecture 12 Page 1 CS 136,

Malicious Software Computer Security Peter Reiher November 25, 2014 Lecture 12 Page 1 CS 136,

Malicious Software Computer Security Peter Reiher November 25, 2014 Lecture 12 Page 1 CS 136, Fall 2014 Outline Introduction Viruses Trojan horses Trap doors Logic bombs Worms Botnets Spyware Malware

838 views • 67 slides
SELF-PROPAGATING MALWARE Ben Livshits, Microsoft Research Overview of Todays Lecture 2

SELF-PROPAGATING MALWARE Ben Livshits, Microsoft Research Overview of Todays Lecture 2

WORMS AND SELF-PROPAGATING MALWARE Ben Livshits, Microsoft Research Overview of Todays Lecture 2 Malware: taxonomy JavaScript worms History, evolution, and Spectator : JavaScript progression of worms: worm detection and an

643 views • 51 slides
CO 445H MALWARE AND VIRUSES Dr. Benjamin Livshits Malware: Different Types 2 Spyware is

CO 445H MALWARE AND VIRUSES Dr. Benjamin Livshits Malware: Different Types 2 Spyware is

CO 445H MALWARE AND VIRUSES Dr. Benjamin Livshits Malware: Different Types 2 Spyware is software that aids in gathering A virus is a computer program that is information about a person or organization capable of making copies of itself

716 views • 56 slides
Worms, Botnets and The Underground Economy CS 161 - Computer Security Profs. Vern Paxson &

Worms, Botnets and The Underground Economy CS 161 - Computer Security Profs. Vern Paxson &

Worms, Botnets and The Underground Economy CS 161 - Computer Security Profs. Vern Paxson & David Wagner TAs: John Bethencourt, Erika Chin, Matthew Finifter, Cynthia Sturton, Joel Weinberger http://inst.eecs.berkeley.edu/~cs161/ April 16,

445 views • 19 slides
Worms & Botnets CS 161: Computer Security Prof. Vern Paxson TAs: Devdatta Akhawe, Mobin

Worms & Botnets CS 161: Computer Security Prof. Vern Paxson TAs: Devdatta Akhawe, Mobin

Worms & Botnets CS 161: Computer Security Prof. Vern Paxson TAs: Devdatta Akhawe, Mobin Javed & Matthias Vallentin http://inst.eecs.berkeley.edu/~cs161/ April 21, 2011 Announcements HKN reviewing today, 12:15PM Final exam

987 views • 31 slides
Polymorphic & Metamorphic Viruses CS4440/7440 Spring 2015 Evolution of Polymorphic Viruses

Polymorphic & Metamorphic Viruses CS4440/7440 Spring 2015 Evolution of Polymorphic Viruses

Polymorphic & Metamorphic Viruses CS4440/7440 Spring 2015 Evolution of Polymorphic Viruses (1) } Why polymorphism? } Anti-virus scanners detect viruses by looking for signatures (snippets of known virus code) } Virus writers

641 views • 40 slides
Malware: Worms CS 161 - Computer Security Profs. Vern Paxson & David Wagner TAs: John

Malware: Worms CS 161 - Computer Security Profs. Vern Paxson & David Wagner TAs: John

Malware: Worms CS 161 - Computer Security Profs. Vern Paxson & David Wagner TAs: John Bethencourt, Erika Chin, Matthew Finifter, Cynthia Sturton, Joel Weinberger http://inst.eecs.berkeley.edu/~cs161/ April 14, 2010 The Problem of Worms

582 views • 22 slides
MALWARE: VIRUSES CMSC 414 FEB 08 2018 MALWARE Malicious code that is stored on and runs

MALWARE: VIRUSES CMSC 414 FEB 08 2018 MALWARE Malicious code that is stored on and runs

MALWARE: VIRUSES CMSC 414 FEB 08 2018 MALWARE Malicious code that is stored on and runs on a victims system How does it get to run? Attacks a user- or network-facing vulnerable service Backdoor: Added by a malicious

1.02k views • 81 slides
CS 5410 - Computer and Network Security: Malware and Botnets Professor Kevin Butler Fall 2015

CS 5410 - Computer and Network Security: Malware and Botnets Professor Kevin Butler Fall 2015

CS 5410 - Computer and Network Security: Malware and Botnets Professor Kevin Butler Fall 2015 Southeastern Security for Enterprise and Infrastructure (SENSEI) Center Final Posters Final posters are your chance to show myself and your peers

730 views • 33 slides
VIRUSES AND MALWARE Ben Livshits, Microsoft Research Overview of Todays Lecture 2 Viruses

VIRUSES AND MALWARE Ben Livshits, Microsoft Research Overview of Todays Lecture 2 Viruses

VIRUSES AND MALWARE Ben Livshits, Microsoft Research Overview of Todays Lecture 2 Viruses Intrusion detection Behavioral detection Firewalls Virus/antivirus Application firewalls coevolution paper discussed

551 views • 40 slides
Miscellaneous: Malware contd & start on Bitcoin CS 161: Computer Security Prof. Raluca

Miscellaneous: Malware contd & start on Bitcoin CS 161: Computer Security Prof. Raluca

Miscellaneous: Malware contd & start on Bitcoin CS 161: Computer Security Prof. Raluca Ada Popa April 19, 2018 Credit: some slides are adapted from previous offerings of this course Viruses vs. Worms VIRUS WORM Propagates by

757 views • 56 slides

More recommend