malware viruses worms rootkits botnets spring 2015
play

Malware: Viruses, Worms, Rootkits, Botnets Spring 2015 - PowerPoint PPT Presentation

Feb 02, 2024 •33 likes •403 views

CSE 484 / CSE M 584: Computer Security and Privacy Malware: Viruses, Worms, Rootkits, Botnets Spring 2015 Franziska (Franzi) Roesner

  1. CSE ¡484 ¡/ ¡CSE ¡M ¡584: ¡ ¡Computer ¡Security ¡and ¡Privacy ¡ ¡ Malware: ¡ Viruses, ¡Worms, ¡Rootkits, ¡Botnets ¡ Spring ¡2015 ¡ ¡ Franziska ¡(Franzi) ¡Roesner ¡ ¡ franzi@cs.washington.edu ¡ Thanks ¡to ¡Dan ¡Boneh, ¡Dieter ¡Gollmann, ¡Dan ¡Halperin, ¡Yoshi ¡Kohno, ¡John ¡Manferdelli, ¡John ¡ Mitchell, ¡Vitaly ¡Shmatikov, ¡Bennet ¡Yee, ¡and ¡many ¡others ¡for ¡sample ¡slides ¡and ¡materials ¡... ¡

  2. Looking ¡Ahead ¡ • Today: ¡Malware ¡ • Next ¡time(s): ¡Mobile ¡platform ¡security ¡and ¡privacy ¡ • Lab ¡2 ¡due ¡Wednesday, ¡May ¡20 ¡(5pm) ¡ • Two ¡guest ¡lectures ¡next ¡week ¡ – Wednesday: ¡ Emily ¡McReynolds ¡(UW ¡Tech ¡Policy ¡Lab) ¡ • Bring ¡your ¡law-­‑related ¡questions! ¡ – Friday: ¡ Peter ¡Ney ¡and ¡Ian ¡Smith ¡on ¡hacking ¡tools ¡etc. ¡ • The ¡following ¡Monday ¡is ¡a ¡holiday ¡ J ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 2 ¡

  3. Malware ¡ • Malicious ¡code ¡often ¡masquerades ¡as ¡good ¡ software ¡or ¡attaches ¡itself ¡to ¡good ¡software ¡ • Some ¡malicious ¡programs ¡need ¡host ¡programs ¡ – Trojan ¡horses ¡(malicious ¡code ¡hidden ¡in ¡useful ¡program) ¡ • Others ¡can ¡exist ¡and ¡propagate ¡independently ¡ – Worms, ¡automated ¡viruses ¡ • Many ¡infection ¡vectors ¡and ¡propagation ¡methods ¡ • Modern ¡malware ¡often ¡combines ¡techniques ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 3 ¡

  4. Viruses ¡ • Virus ¡propagates ¡by ¡infecting ¡other ¡programs ¡ – Automatically ¡creates ¡copies ¡of ¡itself, ¡but ¡to ¡ propagate, ¡a ¡human ¡has ¡to ¡run ¡an ¡infected ¡program ¡ – Self-­‑propagating ¡viruses ¡are ¡often ¡called ¡worms ¡ • Many ¡propagation ¡methods ¡ – Insert ¡a ¡copy ¡into ¡every ¡executable ¡(.COM, ¡.EXE) ¡ – Insert ¡a ¡copy ¡into ¡boot ¡sectors ¡of ¡disks ¡ • PC ¡era: ¡“Stoned” ¡virus ¡infected ¡PCs ¡booted ¡from ¡infected ¡ floppies, ¡stayed ¡in ¡memory, ¡infected ¡every ¡inserted ¡floppy ¡ – Infect ¡common ¡OS ¡routines, ¡stay ¡in ¡memory ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 4 ¡

  5. First ¡Virus: ¡Creeper ¡ • Written ¡in ¡1971 ¡at ¡BBN ¡ • Infected ¡DEC ¡PDP-­‑10 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ machines ¡running ¡TENEX ¡OS ¡ • Jumped ¡from ¡machine ¡to ¡machine ¡over ¡ARPANET ¡ – Copied ¡its ¡state ¡over, ¡tried ¡to ¡delete ¡old ¡copy ¡ • Payload: ¡displayed ¡a ¡message ¡ ¡ ¡ ¡ “ I’m ¡the ¡creeper, ¡catch ¡me ¡if ¡you ¡can! ” ¡ • Later, ¡Reaper ¡was ¡written ¡to ¡delete ¡Creeper ¡ http://history-­‑computer.com/Internet/Maturing/Thomas.html ¡ ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 5 ¡

  6. Virus ¡Detection ¡ • Simple ¡anti-­‑virus ¡scanners ¡ – Look ¡for ¡signatures ¡(fragments ¡of ¡known ¡virus ¡code) ¡ – Heuristics ¡for ¡recognizing ¡code ¡associated ¡with ¡viruses ¡ • Example: ¡polymorphic ¡viruses ¡often ¡use ¡decryption ¡loops ¡ – Integrity ¡checking ¡to ¡detect ¡file ¡modifications ¡ • Keep ¡track ¡of ¡file ¡sizes, ¡checksums, ¡keyed ¡HMACs ¡of ¡contents ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 6 ¡

  7. Arms ¡Race: ¡Polymorphic ¡Viruses ¡ • Encrypted ¡viruses: ¡constant ¡decryptor ¡followed ¡by ¡ the ¡encrypted ¡virus ¡body ¡ • Polymorphic ¡viruses: ¡each ¡copy ¡creates ¡a ¡new ¡ random ¡encryption ¡of ¡the ¡same ¡virus ¡body ¡ – Decryptor ¡code ¡constant ¡and ¡can ¡be ¡detected ¡ – Historical ¡note: ¡“Crypto” ¡virus ¡decrypted ¡its ¡body ¡by ¡ brute-­‑force ¡key ¡search ¡to ¡avoid ¡explicit ¡decryptor ¡code ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 7 ¡

  8. Smarter ¡Virus ¡Detection? ¡ • Generic ¡decryption ¡and ¡emulation ¡ – Emulate ¡CPU ¡execution ¡for ¡a ¡few ¡hundred ¡instructions, ¡ recognize ¡known ¡virus ¡body ¡after ¡it ¡has ¡been ¡decrypted ¡ – Does ¡not ¡work ¡very ¡well ¡against ¡viruses ¡with ¡mutating ¡ bodies ¡and ¡viruses ¡not ¡located ¡near ¡beginning ¡of ¡ infected ¡executable ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 8 ¡

  9. Virus ¡Detection ¡By ¡Emulation ¡ Randomly generates a new key Decrypt and execute and corresponding decryptor code Mutation A Virus body Mutation B Mutation C To detect an unknown mutation of a known virus , emulate CPU execution of until the current sequence of instruction opcodes matches the known sequence for virus body 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 9 ¡

  10. Arms ¡Race: ¡Metamorphic ¡Viruses ¡ • Obvious ¡next ¡step: ¡mutate ¡the ¡virus ¡body, ¡too ¡ • Apparition: ¡an ¡early ¡Win32 ¡metamorphic ¡virus ¡ – Carries ¡its ¡source ¡code ¡(contains ¡useless ¡junk) ¡ – Looks ¡for ¡compiler ¡on ¡infected ¡machine ¡ – Changes ¡junk ¡in ¡its ¡source ¡and ¡recompiles ¡itself ¡ – New ¡binary ¡copy ¡looks ¡different! ¡ • Mutation ¡is ¡common ¡in ¡macro ¡and ¡script ¡viruses ¡ – A ¡macro ¡is ¡an ¡executable ¡program ¡embedded ¡in ¡a ¡word ¡ processing ¡document ¡(MS ¡Word) ¡or ¡spreadsheet ¡(Excel) ¡ – Macros ¡and ¡scripts ¡are ¡usually ¡interpreted, ¡not ¡compiled ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 10 ¡

  11. Mutation ¡Techniques ¡ • Real ¡Permutating ¡Engine/RPME, ¡ADMutate, ¡etc. ¡ • Large ¡arsenal ¡of ¡obfuscation ¡techniques ¡ – Instructions ¡reordered, ¡branch ¡conditions ¡reversed, ¡ different ¡register ¡names, ¡different ¡subroutine ¡order ¡ – Jumps ¡and ¡NOPs ¡inserted ¡in ¡random ¡places ¡ – Garbage ¡opcodes ¡inserted ¡in ¡unreachable ¡code ¡areas ¡ – Instruction ¡sequences ¡replaced ¡with ¡other ¡instructions ¡ that ¡have ¡the ¡same ¡effect, ¡but ¡different ¡opcodes ¡ • Mutate ¡SUB ¡EAX, ¡EAX ¡into ¡XOR ¡EAX, ¡EAX ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ or ¡MOV ¡EBP, ¡ESP ¡into ¡PUSH ¡ESP; ¡POP ¡EBP ¡ • There ¡is ¡no ¡constant, ¡recognizable ¡virus ¡body ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 11 ¡

  12. Example ¡of ¡Zperm ¡Mutation ¡ [From ¡Szor ¡and ¡Ferrie, ¡ “ Hunting ¡for ¡Metamorphic ” ] ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 12 ¡

  13. Obfuscation ¡and ¡Anti-­‑Debugging ¡ • Common ¡in ¡all ¡kinds ¡of ¡malware ¡ • Goal: ¡prevent ¡code ¡analysis ¡and ¡signature-­‑based ¡ detection, ¡foil ¡reverse-­‑engineering ¡ • Code ¡obfuscation ¡and ¡mutation ¡ – Packed ¡binaries, ¡hard-­‑to-­‑analyze ¡code ¡structures ¡ – Different ¡code ¡in ¡each ¡copy ¡of ¡the ¡virus ¡ • Effect ¡of ¡code ¡execution ¡is ¡the ¡same, ¡but ¡this ¡is ¡difficult ¡to ¡ detect ¡by ¡passive/static ¡analysis ¡(undecidable ¡problem) ¡ • Detect ¡debuggers ¡and ¡virtual ¡machines, ¡ terminate ¡execution ¡ 5/15/15 ¡ CSE ¡484 ¡/ ¡CSE ¡M ¡584 ¡-­‑ ¡Spring ¡2015 ¡ 13 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Malware: Botnets, Viruses, and Worms Damon McCoy Slide Credit: Vitaly Shmatikov slide 1

Malware: Botnets, Viruses, and Worms Damon McCoy Slide Credit: Vitaly Shmatikov slide 1

Malware: Botnets, Viruses, and Worms Damon McCoy Slide Credit: Vitaly Shmatikov slide 1 Malware Malicious code often masquerades as good software or attaches itself to good software Some malicious programs need host programs

1.29k views • 86 slides
Getting started with malware analysis Judith van Stegeren Definitions Malware : any software that

Getting started with malware analysis Judith van Stegeren Definitions Malware : any software that

Getting started with malware analysis Judith van Stegeren Definitions Malware : any software that does something that causes harm to a user, computer or network, including viruses, trojan horses, worms, rootkits, scareware and spyware. Malware

119 views • 9 slides
Why Protection against Viruses, Bots, and Worms is so hard Malware seen as Mobile Agents Till

Why Protection against Viruses, Bots, and Worms is so hard Malware seen as Mobile Agents Till

Foundations Security in MAS Conclusion Why Protection against Viruses, Bots, and Worms is so hard Malware seen as Mobile Agents Till Drges td@pre-secure.de PRESECURE Consulting GmbH June 20, 2007 Till Drges Protection Malware seen

739 views • 57 slides
Malware: Worms and Botnets CS 161: Computer Security Prof. Vern Paxson TAs: Paul Bramsen, Apoorva

Malware: Worms and Botnets CS 161: Computer Security Prof. Vern Paxson TAs: Paul Bramsen, Apoorva

Malware: Worms and Botnets CS 161: Computer Security Prof. Vern Paxson TAs: Paul Bramsen, Apoorva Dornadula, David Fifield, Mia Gil Epner, David Hahn, Warren He, Grant Ho, Frank Li, Nathan Malkin, Mitar Milutinovic, Rishabh Poddar, Rebecca

700 views • 49 slides
Viruses & Worms Thanks to Prof. Vern Paxson for these slides Malware That Propagates

Viruses & Worms Thanks to Prof. Vern Paxson for these slides Malware That Propagates

Viruses & Worms Thanks to Prof. Vern Paxson for these slides Malware That Propagates Virus = code that propagates (replicates) across systems by arranging to have itself eventually executed Generally infects by altering stored code

800 views • 67 slides
CSCI 4250/6250 Fall 2011 Computer and Networks Security Malware Goodrich, Chapter 4

CSCI 4250/6250 Fall 2011 Computer and Networks Security Malware Goodrich, Chapter 4

CSCI 4250/6250 Fall 2011 Computer and Networks Security Malware Goodrich, Chapter 4 Viruses, Worms, Trojans, Rootkits Malware = Malicious Software can be classified into several categories, depending on propagation and concealment

472 views • 46 slides
More on Malware CS 136 Computer Security Peter Reiher March 4, 2008 Lecture 14 Page 1 CS

More on Malware CS 136 Computer Security Peter Reiher March 4, 2008 Lecture 14 Page 1 CS

More on Malware CS 136 Computer Security Peter Reiher March 4, 2008 Lecture 14 Page 1 CS 136, Winter 2008 Outline Introduction Viruses Trojan horses Trap doors Logic bombs Worms Botnets Spyware Some

701 views • 53 slides
Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University

Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University

Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University of Michigan 2013 Network Security Fundamentals Module 5 Viruses & Worms, Botnets, Todays Threats Viruses & Worms Viruses Program

693 views • 31 slides
AND MALWARE Ben Livshits, Microsoft Research Overview of Todays Lecture 2 Viruses

AND MALWARE Ben Livshits, Microsoft Research Overview of Todays Lecture 2 Viruses

VIRUSES, WORMS, AND MALWARE Ben Livshits, Microsoft Research Overview of Todays Lecture 2 Viruses Intrusion detection Behavioral detection Firewalls Virus/antivirus Application firewalls coevolution paper discussed

915 views • 56 slides
Linux Malware Rootkits, Backdoors, and More... Michael Boelen michael.boelen@cisofy.com

Linux Malware Rootkits, Backdoors, and More... Michael Boelen michael.boelen@cisofy.com

Dealing with Linux Malware Rootkits, Backdoors, and More... Michael Boelen michael.boelen@cisofy.com Utrecht, 19 March 2016 Agenda Today 1. How do they get in 2. Why? 3. Malware types 4. In-depth: rootkits 5. Defenses 2

546 views • 35 slides
-[ OS X Kernel Rootkits ]- Liar! Macs have no viruses! Who Am I Don't take me too

-[ OS X Kernel Rootkits ]- Liar! Macs have no viruses! Who Am I Don't take me too

-[ OS X Kernel Rootkits ]- Liar! Macs have no viruses! Who Am I Don't take me too seriously, I fuzz the Human brain! The capitalist "pig" degrees: Economics & MBA. Worked for the evil banking system! Security

833 views • 80 slides
-[ Revisiting Mac OS X Kernel Rootkits! ]- Liar! Macs have no viruses! Who

-[ Revisiting Mac OS X Kernel Rootkits! ]- Liar! Macs have no viruses! Who

-[ Revisiting Mac OS X Kernel Rootkits! ]- Liar! Macs have no viruses! Who Am I Hold two degrees nobody likes these days: Economics & MBA. Ex-hacker for .pt banking system (www.sibs.pt). Security

1.16k views • 91 slides
More Malware Last Class Worms: Morris Worm Stuxnet Conficker Web-based

More Malware Last Class Worms: Morris Worm Stuxnet Conficker Web-based

More Malware Last Class Worms: Morris Worm Stuxnet Conficker Web-based malware: Exploit kits Fake AV Ransomware Today (continuation) How Malware Spreads Adware Computer Virus A type of malicious

647 views • 23 slides
Malicious Software Computer Security Peter Reiher November 25, 2014 Lecture 12 Page 1 CS 136,

Malicious Software Computer Security Peter Reiher November 25, 2014 Lecture 12 Page 1 CS 136,

Malicious Software Computer Security Peter Reiher November 25, 2014 Lecture 12 Page 1 CS 136, Fall 2014 Outline Introduction Viruses Trojan horses Trap doors Logic bombs Worms Botnets Spyware Malware

838 views • 67 slides
SELF-PROPAGATING MALWARE Ben Livshits, Microsoft Research Overview of Todays Lecture 2

SELF-PROPAGATING MALWARE Ben Livshits, Microsoft Research Overview of Todays Lecture 2

WORMS AND SELF-PROPAGATING MALWARE Ben Livshits, Microsoft Research Overview of Todays Lecture 2 Malware: taxonomy JavaScript worms History, evolution, and Spectator : JavaScript progression of worms: worm detection and an

643 views • 51 slides
CO 445H MALWARE AND VIRUSES Dr. Benjamin Livshits Malware: Different Types 2 Spyware is

CO 445H MALWARE AND VIRUSES Dr. Benjamin Livshits Malware: Different Types 2 Spyware is

CO 445H MALWARE AND VIRUSES Dr. Benjamin Livshits Malware: Different Types 2 Spyware is software that aids in gathering A virus is a computer program that is information about a person or organization capable of making copies of itself

716 views • 56 slides
Attacking AUTOSAR using Software and Hardware Attacks Pascal al Nasahl Graz University of

Attacking AUTOSAR using Software and Hardware Attacks Pascal al Nasahl Graz University of

Attacking AUTOSAR using Software and Hardware Attacks Pascal al Nasahl Graz University of Technology Niek Timmer mers Riscure 1 Introduction 2 Introduction Niek Timmers Principal Security Analyst @ Riscure 3 Introduction

1.34k views • 115 slides
Discrete Time Markov Chains Discrete-Time Markov Chains Books - Introduction to Stochastic

Discrete Time Markov Chains Discrete-Time Markov Chains Books - Introduction to Stochastic

Markov Processes and Applications Markov Processes and Applications Discrete-Time Markov Chains D k h Continuous Time Markov Chains Continuous-Time Markov Chains Applications Applications Queuing theory Performance

977 views • 41 slides
What Does Quality Mean? Operational meanings: CISC 323: Intro to Software Software does

What Does Quality Mean? Operational meanings: CISC 323: Intro to Software Software does

260 views • 22 slides
1 2 3 4 5 6 The Graphics Processing Unit is controlled by the CPU through a direct interface

1 2 3 4 5 6 The Graphics Processing Unit is controlled by the CPU through a direct interface

1 2 3 4 5 6 The Graphics Processing Unit is controlled by the CPU through a direct interface of memory-mapped IO registers, and indirectly by parsing commands that the CPU has placed in memory. The display interface and blitter (block image

524 views • 25 slides
Direct Self-Consistent Field Computations on GPU Clusters Guochun Shi, Ivan Ufimtsev, Volodymyr

Direct Self-Consistent Field Computations on GPU Clusters Guochun Shi, Ivan Ufimtsev, Volodymyr

Direct Self-Consistent Field Computations on GPU Clusters Guochun Shi, Ivan Ufimtsev, Volodymyr Kindratenko Todd Martinez National Center for Supercomputing Department of Chemistry Applications Stanford University University of Illinois at

1.23k views • 26 slides
Linearizability, revisited Radha Jagadeesan Gustavo Petri Corin Pitcher James Riely

Linearizability, revisited Radha Jagadeesan Gustavo Petri Corin Pitcher James Riely

Linearizability, revisited Radha Jagadeesan Gustavo Petri Corin Pitcher James Riely DePaul University Purdue University ESOP 2010, FOSSACS 2012, TLDI 2012, ESOP 2013 Linearizability, revisited ESOP 2010, FOSSACS 2012,

1.24k views • 70 slides
The Soot framework for Java program analysis: a retrospective Patrick Lam, Eric Bodden, Ond

The Soot framework for Java program analysis: a retrospective Patrick Lam, Eric Bodden, Ond

The Soot framework for Java program analysis: a retrospective Patrick Lam, Eric Bodden, Ond rej Lhot ak, and Laurie Hendren October 2011 This work is licensed under the Creative Commons Attribution-ShareAlike 3.0 License . Soot a

867 views • 38 slides
3 John Series Lesson #020 October 19, 2003 Dean Bible Ministries www.deanbibleministries.org

3 John Series Lesson #020 October 19, 2003 Dean Bible Ministries www.deanbibleministries.org

3 John Series Lesson #020 October 19, 2003 Dean Bible Ministries www.deanbibleministries.org Dr. Robert L. Dean, Jr. Missions technically refers to a form of cross cultural evangelism where designated individuals are set apart by a local

417 views • 18 slides

More recommend