Please enable JavaScript.
Coggle requires JavaScript to display documents.
Segurança da Informação - Malwares -19/03 (Outros Conceitos Associados…
Segurança da Informação - Malwares -19/03
Malware
Tipos:
Se propaga
Bot
Worm
Virus
Ransomware
Obs: Propagar = eles tentam passar para outros lugares. Ex: Do pc pro pendrive
Não se Propaga
Spyware
Backdoor
Rootkit
Cavalo de Tróia
Definição: Software malicioso. São PROGRAMAS especificamente desenvolvidos para executar ações danosas e atividades maliciosas em um computador
De forma geral, infectam o pc pela:
Acesso a Paginas Web
Ação Direta de Atacantes (Hacker invadir um pc e colocar software malicioso)
Autoexecução de Mídias removiveis (Ex; Pendrive com virus)
Execução de Arquivos infectados (ex: Clicar no link e instalar um programa ruim)
Exploração de vulnerabilidades (Ex: Sistema Operacional Desatualizado)
Vírus
Caracteristicas:
Se propaga ao se inserirem em
arquivos ou programas existentes na maquina
.
Para que o pc seja infectado,
depende da execucao do programa ou arquivo
Assimilando: Vc so se infecta com virus se tiver contato com ele. Entao se apagar esse arquivo, sem abri-lo, nao tem problema
Q932857
Obs: Ja caiu
O vírus, em regra, requer sua execução para poder realizar seus danos.
O vírus de SCRIPT
, no entanto, é bem peculiar, pois, em virtude de ser interpretado pelo navegador web, dependendo de suas configurações,
pode ser executado pelo próprio navegador
.
Em não havendo a intervenção do usuário, que apenas acessou o site,
isto configura execução automática.
É escrito em uma linguagem de script
Tempo de Vida do Virus
Fase de PROPAGAÇÃO - Virus coloca copias identicas de si mesmo em outros arquivo (precisa que o arquivo seja executado para isso acontecer)
Fase de DISPARO - Virus é ativado para realizar sua função
Fase LATENTE - Virus inativo, esperando um evento para ser ativado
Fase de EXECUÇÃO - A função é realizada
Obs: Essas fases PODEM ocorrer, mas nao necessariamente ocorrem
Tipos de Vírus
Polimórfico/ Mutante
Capaz de assumir multiplas formas a cada infeccao com intuito de burlar o software de antivirus
Como ?
Muda sua assinatura mantendo suas funcionalidades
Obs: Tbm tem o virus
metamórfico
, similar ao polimórfico
Diferença: Este criptografica seu codigo original para nao ser dectado
Stealth/Furtivo
Malware complexo que se
esconde depois de infectar um pc
.
Uma vez escondido, ele copia as informações de dados não infectados para si mesmo e retransmite-as para o software antivírus durante uma verificação. Isso faz com que seja um vírus difícil de ser detectado e excluído
Macro
Macro = Automatizar sequencia de comandos para execucao de tarefas (lembrar do excel)
Virus de macro é um virus criado nesses aplicartivos de escritorio, que contem essa ferramente de macro, como libreoffice, microsoft office.
Mas em vez de fz uma macro 'boa", faz uma ruim
Tem a ver com arquivos de texto (word, writer), Planilhas (excel), Apresentações (powerpoint)
Obs: A macro em si não é um virus
Obs:
Se falou "documento", associar a virus de macro
Q866783
Time-Bomb
É uma daqueles virus que ficam latentes na maquina. Na hora programada ele é executado.
Ex: Sexta Feira 13- Qnd dava essa data, o virus entrava em ação.
Programa/ Arquivo
Ele infecta arquivos de programas, extensões "Executáveis". Ex: .exe/.com/.bat/.pif/.scr/.cmd
Obs:
Risco
Alto: Executaveis
Baixo: Imagem (JPG, TIF, GIF, WMF, PNG), Video (AVI, MOV, FLV, MP4, WMV) e Som (MP3, WMA, WAV)
Obs: gmail nao permite envio nem recebimento de arquivos executaveis (alto risco)
Virus Fileless
Virus Volatil (se perde ao reiniciar a maquina)
Não deixa rastros
So fica na memoria RAM
NAO é gravado na memoria do disco rigido
Boot
Ta ligado a inicialização do sistema
Virus vai infectar arquivos de inicialização do sistema, escondendo-se no primeiro setor do disco
São carregados na memoria antes do sistema operacional
Obs: Não confundir virus de boot com o malware bot
Termos Importantes
Carga Útil
O dano que ele causa
O que o virus faz, alem de se espalhar
Mecanismos de Ativação ou Bomba Lógica
Evento ou condição que
determina qnd a carga util é ativada
Mecanismo de Infecção ou Vetor de Infecção
Formas como o virus se propaga
WORM
Diferença do Worm pro virus:
Virus precisa de Hospedeiro; Worm é um programa independente.
Worm NAO se insere em arquivos e programas da maquina (nao precisa de hospedeiro)
Obs: Mas explora vulnerabilidades existentes nos programas e arquivos
Obs: Virus pode se autoduplicar, mas voce so pega o virus se abrir o arquivo. (os efeitos maleficos dele so acontecem se abrir o arquivo)
Caracteristica de se reproduzir rapidamente
Analogia: Vc pode pegar um worm ainda que fique longe, que nao tenha contato, pq ele se replica independentemente e pode chegar ate vc
Analogia: Se tem uma rede com 10 PCs, é possivel que o worm passe para outros pcs (virus nao rola isso)
Enviam copias de si mesmo de PC para PC
Ex: Vc clica em um link, que é worm, ai ele comeca a se enviar para outras pessoas automaticamente..ta se replicando. Ex: Enviar msgs em redes sociais, enviar emails
Assim, vai estar CONGESTIONANDO a rede
WORM = Write Once Read Many
BOT (Robot)
Dispõe de Mecanismos de comunicação com o invasor que permite o controle do pc remotamente, tornando a máquina uma "maquina zumbi"
Maquina Zumbi tras ideia de poder ser controlada
São programas SIMILARES ao WORM e
possuem mecanismos de controle remoto
Semelhanca entre eles:
Programas independentes, agindo e se propagando através do seu computador
. Desta forma ele cria suas redes e espalha conteúdo perigoso através dela, prejudicando a você a aos seus amigos.
Um conjunto de Computadores infectados por um bot forma uma BOTNET
Aumento de máquinas infectadas contribui para maior eficácia e impacto nos ataques
O controlador pode mandar todas as maquinas fazerem algo, gerando algum dano para alguem
Isso é chamado de DDoS -
Ataque de Negação de Serviço Distribuido
Pode ser realizado no worms (pq é um ataque baseado no CONGESTIONAMENTO)
Ex: Um hacker usar a capacidade de milhares de maquinas pra gerar BITCOINS
Obs:
CAPTCHA é um mecanismo de segurança
Para impedir atividade de programas maliciosos
"Provar que vc não é um robô"
Obs: O ideal (
num PRIMEIRO momento
), para proteger seus dados, é desconectar o pc da rede imediatamente (cortar a conexao com o invasor)
RANSOMWARE
Pode criptografar o HD inteiro ou apenas arquivos de dados do usuario por exemplo
Tipos
CRYPTO
Impede os
DADOS
do equipamento infectado, geralmente usando criptografia
Macete: Cryptografar ta relacionado a dado
LOCKER
Impede que vc acesse o
equipamento
infectado
Pode se propagar
Explorando vulnerabilidades em Sistemas Operacionais que nao tenham recebido as devidas atualizações de sistemas de seguranca (como um worm, um bot)
Atraves de e-mails com o codigo malicioso em anexo ou que induzam o usuario a seguir um link
Pode ser obtido a partir um CAVALO DE TROIA
Exige pagamento de resgate (ransom) para restabelecer o acesso ao usuario (tem que pagar pra liberar a chave de acesso)
Tipo de Codigo Malicioso que torna inacessiveis os dados armazenados em um equipamento
Geralmente por Criptografia
Exemplo Famoso:
WANNACRY
Foi nos pcs com windows XP, que ja nao tinham mais atualizacoes
Obs: É importante fazer backpus regularmente
SPYWARE
Software Espião
Monitora atividades de um sistema e envia informações para terceiros
Tipos
Screenlogger
Programa que captura telas
Teclado virtual vai mudando a posicao toda vez, dificultando o ataque do screenlogger
Adware
Propagandas apresentadas são direcionadas, de acordo com a navegação do usuário e
sem que este saiba que tal monitoramento está sendo feito.
Ex: Aplicativos gratuitos normalmente tem propaganda, que é como eles ganham dinheiro
Ai qnd vc escreve no whats "to com fome", aparece propaganda do ifood.- Pode ser que veio propagando com spyware
Keylogger
Programa que captura teclas (Ex: Instala keylogger no cel da mulher pra ver o que ela ta digitando)
Ex: Colocar um keylogger em uma lanhouse, ai qnd vc colocar seus dados, o cara fica sabendo agencia, conta e senha
Obs: Bancos desenvolveram teclado virtual para fugir desse problema
Obs: SNIFFER - Ferramenta de Interceptação
Ele captura pacotes na REDE. Ferramenta utilizada para INTERCEPTACAO de Dados.
Age na rede e não na maquina.
Pq não é spyware ? Pq spyware infecta a maquina da vitima.
O sniffer é ferramenta que ta na maquina do hacker (do atacante)
Vc monitora o trafego de dados. Pode verificar por exmplo se tem alguem acessando site pornografico em expediente
Q584053
NAO É TIPO DE SPYWARE,
Não se propaga. Então como se pega um spyware:
Instalado a partir de um CAVALO DE TROIA
Instalando um executavel (.exe) de jogo ou apliativo por ex., e ai o spyware é instalado
A propria pessoa instalar no computador
Clicando em um link de email
Formas de combater:
Firewalls (menos eficiente mas ajuda)
Antispyware (é específico). Se qiestao falar que antispaware protege contra virus ta errado
Antivirus (= antimalware. Antes usavam assim ai ficou)
CAVALO DE TROIA
Pode
Extrair outros tipos de malware (ex: Jogo + Spyware= Trojan Spy)
Destruir Dados
Vc acha que é uma coisa util sendo instalada, qnd na verdade vem junto de um cavalo de troia.
Programa que, alem de executar as funcoes para as quais foi projetado, tambem executa outras funcoes
Funcoes Maliciosas, e sem o conhecimento do usuario
Ex: Jogo + spyware
Obs:
Teve questao cespe falando que cavalo de troia é virus e considerada certa (Q933182)
Existem
Spy (Instala Programas Spyware)
Trojan Destrutivo (Altera ou Apaga arquivos e diretorios)
Rootkit
O que ele faz?
Esconde atividades e informações
(Ideia do root)
VARREDURAS NA REDE
Mapeia potenciais vulnerabilidades em outros computadores (faz scaneamento na rede)
Instala outros codigos maliciosos (ideia do "kit)"
Captura informacoes da rede que o pc comprometido ta conectado
(sniffing)
Captura informacoes do pc tbm, muda configuracoes, sem que seja notado
Eles nao comprometem arquivos ou pastas;
Eles alteram tudo o que o SISTEMA OPERACIONAL informa
de acordo com as necessidades do criador.
Rootkit é um conjunto de programas e técnicas que permite
ESCONDER e assegurar a presença de um invasor ou de outro codigo malicioso em um computador
Kit = Conjunto
Conjunto de Programas. Possivel o Rootkit ter backdoor, spyware. Conjunto de ferramentas que o hacker precisar para fz um ataque
Esconde apagando os registros (logs) do invasor no sistema
Normalmente infecta o nucleo do sistema opracional
Normalmente pra tirar o rootkit tem que formatar a maquina
Root = raiz (ta escondido)
Obs: Usado para
manter acesso privilegiado
Q950818
Se um rootkit for removido de um sistema operacional, esse sistema não voltará à sua condição original, pois as mudanças nele implementadas pelo rootkit permanecerão ativas.
Certo! Ideia aqui: Se ele for removido, as alteracoes que ele fez no sistema permecerão.
O dono precisaria fazer um backup ou reinstalar arquivos infectados
Firewall e Antivírus
Antivirus
Na verdade é Antimalware
São ferramentas capazes de identificar e remover vírus (malwares) de computadores
Tbm permite previnir entrada de software maliciosos
4 Gerações
3) Interceptação de Atividade - Indentifica o virus em suas acoes ao inves da estrutura
Aqui ele identifica o
comportamento anomalo
1) Scanner Simples - Exige que a assinatura identifique um virus
Só combatia os virus CONHECIDOS (entao é vulneravel, pq se surgir novo virus fudeu)
Obs: assinatura = assinatura do virus (é o que define ele)
4) Proteção completa - Composto por uma serie de tecnicas de antivirus utilizadas em conjunto
Ex:
Varredura
e interceptação de atividades,
Inclui controle de acesso
2) Scanner Heuristico
Macete: Heuristica de "heureca" - Descobri!
Nao depende de uma assinatura especifica. Usa regras heuristicas para procurar uma provavel infeccao por virus
Entao consegue identificar virus mesmo novos
Não necessariamente pelo comportamento anomolo
Patches
São atualizações, Correções
Não trazem novas FUNCOES
O SERVICE PACK que tras novas funcoes, programas, etc..
Firewall
Ex: Windows Defender
Bloqueia tentativas de acesso ao pc
, principalmente aquelas por meio de backdoors
Vai impedir entrada de virus (parede), ou ate mesmo saida da informacao confidencial
É uma ferramenta
PREVENTIVA
contra ataques
NÃO analisa os CONTEUDOS dos pacotes de dados
Pode fazer ROTEAMENTO
Roteamento aqui = avaliar e direcionar o tráfego através das melhores rotas.
Ver Q932858 (trás definição) e ver comentario do professor
Obs:
Difernciar Firewall e Proxy
O firewall é um filtro de conexões, que
permite ou bloqueia o tráfego nas portas TCP do computador.
Se o usuário recebe um e-mail com vírus de computador,
o firewall não impedirá o tráfego da mensagem pela porta de e-mail, porque esta porta TCP está com tráfego liberado.
Quando o usuário solicita acesso a um site com phishing, o firewall não impedirá o acesso, porque esta porta TCP está com tráfego liberado.
Enfim, o firewall
NÃO utiliza de uma política de controle de comportamento
para determinar que tipos de serviços podem ser acessados na rede
Esta tarefa poderia ser implementada através de um servidor proxy
1 more item...
Analogia:
Em um cursinho presencial
Proxy:
Controla que tipos de serviços podem ser utilizados na rede
No cursinho, se vc contratar apenas aulas de informatica, não poderia utilizar o serviço de aula de direito. Então o proxy seria responsavel por impedir o acesso à aula de direito
Antivirus
Faz uma varredura do pacote pra ver se ta contaminado
Seria um segurança na sala dando bacú pra ver se vc ta entrando armado (A arma seria o virus)
Firewall: Porteiro
Ele libera entrada de acordo com alguma regra
Regra no cursinho é apresentar o contrato
Backdoor
"Porta de trás"
Eles aparecem escondidos em arquivos baixados em páginas ou e-mails.
É um programa que permite retorno de um invasor a um pc comprometido, por meio da inclusao de servicos para esse fim,
Quando o usuário executa esse arquivo, ele libera o vírus, que abre as portas TCP para o hacker. Desse modo, o cibercriminoso pode controlar a máquina infectada.
Outros Conceitos Associados (Ataques e Golpes)
Defacement / Pichação
Técnica que consiste em
alterar o CONTEUDO DA PAGINA WEB de alguem para ter visibilidade
HOAX
O hoax é um boato. Ele espalha mensagens sobre pragas online e geralmente são inofensivos, porém são capazes de deixar os computadores bem mais lentos.
Não é virus
Pode conter codigos maliciosos
Obs: Tbm chamado de fake news
Phishing Scam
é uma fraude que o golpista tenta enganar um usuario para obtencao de dados pessoais e financeiros
Ex: Email com link para conseguir informacoes pessoais
Engenharia Social
Tecnica por uma pessoa procura persuadir outra a executar determinadas ações por má-fé,
ludibriando
.
DDoS
Técnica pela qual um atacante utiliza equipamento conectado à rede para
TIRAR DE OPERACAO UM SERVICO
Seu objetivo NAO É coletar informações, nem invadir, mas EXAURIR E
CAUSAR INDISPONIBILIDADES
Associado a congestionamento
=
"Ataque de Negação de Serviço Distribuido"
PROXY (NAO É ANTIVIRUS)
é um
computador
que funciona como
intermediário
entre
Internet
Navegador da Web
e
Os servidores proxy ajudam a melhorar o desempenho na Web armazenando uma cópia das páginas da Web utilizadas com mais freqüência.
Quando um navegador solicita uma página que está armazenada na coleção do servidor proxy (o cache), ela é disponibilizada pelo servidor proxy, o que é mais rápido do que acessar a Web.
Os servidores proxy também ajudam a melhorar a segurança porque filtram alguns tipos de conteúdo da Web e softwares mal-intencionados.
Honeypots
É um mecanismo de proteção
São recursos computacionais dedicados a serem sondados, atacados ou comprometidos,
num ambiente que permita o registro e controle dessas atividades
é uma ferramenta ou sistema criado com
objetivo de enganar um atacante e fazê-lo pensar que conseguiu invadir o sistema, quando na realidade, ele está em um ambiente simulado, tendo todos os seus passos vigiados.
Obs Exercicios
Trackwares
São programas que rastreiam a atividade do sistema, reúnem informações do sistema ou rastreiam os hábitos do usuário,
retransmitindo essas informações a organizações de terceiros.
Quem faz o monitoramento de URLs acessadas enquanto o usuário navega na internet são os
Trackwares
Ver Q558700