Please enable JavaScript.
Coggle requires JavaScript to display documents.
Lezione 38: Tipi malware e DDoS - Coggle Diagram
Lezione 38: Tipi malware e DDoS
Worm
Programma che in maniera attiva ricerca altri computer da infettare
Ogni computer infettato serve come trampolino di lancio automatico per attaccare altre macchine
Utilizzano alcune vulnerabilità presenti nei programmi che girano lato client o server per accedere al sistema e uso le connessioni di rete (o i media digitali) per diffondersi
Posta elettronica, file da USB, funzionalità esecuzione remota, login remoto, trasferimento file da remoto
Inizia con la fase di
scansione
della rete alla ricerca di altri sistemi da infettare
Hit list
: attaccante crea lista di potenziali macchine vulnerabili
Topologico
: warm usa le informazioni di rete contenute nel sistema infettato per trovare altre macchine
Random
: uso di seed differenti per ottenere IP
Sottorete locale
Caratteristiche
Diffusione rapidissima
Polimorfismo
: ogni copia viene rigenerata dinamicamente e con forma diversa
Multi-exploit
: penetrano nei sistemi in diverse modalità
Metamorfismo
: anche il comportamento cambia (non solo forma)
Multipiattaforma
Mezzi trasporto
: i warm possono essere utilizzati per diffondere altre tipologie di malware
Altre tipologie di malware
Keylogger
: installato su un computer con l'intento di catturare i caratteri inseriti da tastiera
Lo scopo è rubare credenziali o informazioni sensibili
Può essere dotato di filtri così da estrarre solo informazioni collegate a certe parole chiave (es. paypal, visa)
Spyware
: installato su un computer con l'intento di monitorare le varie attività
Lo scopo è rubare credenziali o informazioni sensibili
Un caso particolare è il così detto
Phishing
che consiste nell'uso di email spam per indurre l'utente a compilare dei form con dati personali
Rootkit
: insieme di programmi che un hacker può installare su un sistema per mantenere coperto il suo illecito accesso a esso con privilegi di amministratore
Bot (zombie)
: attaccano risorse computazionali e di rete che diventano di dominio dell'hacker
Essendo installati su un grande numero di computer è difficile risalire all'hacker sorgente dell'attacco
Questi bot possono agire in maniera coordinata (
botnet
) e possono essere controllati da remoto
I computer della botnet utilizzano solitamente il protocollo HTTP per comunicare
Backdoor
: punto di accesso segreto in un programma che permette di entrare in un sistema evitando le normali procedure di sicurezza
Spam
: invio massivo di email che genera grande volume di traffico sull'infrastruttura di rete
L'invio può avvenire tramite server di posta o botnet
Veicolo di malware e usato per phishing
Trojan (cavalli di troia)
: programma/procedura apparentemente utile ma contenente codice nascosto che, una volta richiamato, svolge operazioni dannose
Usato per svolgere indirettamente azioni che l'attaccante non sarebbe in grado di compiere
Exploit
: codice specifico per sfruttare una particolare lacuna di sicurezza
Pagina web controllata da hacker che sfrutta lacuna per installare un malware
Vulnerabilità dei siti web che utente visualizza per uso di malware in forma diretta
Bottone trasparente o pubblicità che incorpora malware
Bomba logica
: codice incorporato nel malware e programmato per attivarsi al verificarsi di certe condizioni (es. presenza di certi file, data, orario, ecc.)
Ransomware
: cifra i dati dell'utente e richiede un pagamento (riscatto) per rilevare la chiave di decifratura per recuperare i file
Esistono altri malware che cancellano i file della vittima o che modificano il codice BIOS per impedire l'avvio del computer
Attacchi DDoS
Tentano di impedire a dei legittimi utenti l'acceso a un servizio inondando server, rete e terminali di traffico inutile
Consumo risorse interne (server)
Esempio:
SYN flood
Attaccante prende controllo di un certo numero di host (slave)
Slave istruiti ad inviare al target pacchetti di TCP/IP SYN con indirizzo di ritorno errato
Server risponde a ciascuno con un pacchetto SYN/ACK e resta in attesa di una risposta che non arriva
Consumo risorse rete
Esempio: ICMP
Utilizza macchine con funzione di riflettori
Attaccante prende controllo di vari host (riflettori)
Li programma per inviare pacchetti ICMP ECHO con indirizzo IP falsificato ed uguale a quello della macchina da attaccare
Tale protocollo prevede che il ricevente invii risposta al mittente (che in questo caso risulta essere la macchina target visto che è stato falsificato IP), essa risulta quindi inondata di messaggi
Dos
: attacco proviene da un solo computer
DDoS
: si usano un gran numero di host compromessi
Diretto
: attaccante usa zombie per infettare delle macchine in una struttura gerarchica da cui lanciare un attacco coordinato
Riflettore
: gli host slave costruiscono pacchetti che richiedono una risposta diretta verso l'indirizzo IP del sistema target
Tali pacchetti sono inviati a macchine non infette che funzionano da riflettori