Arvutiteaduse instituut
  1. Kursused
  2. 2024/25 kevad
  3. Andmeturve (LTAT.06.002)
EN
Logi sisse

Andmeturve 2024/25 kevad

  • Pealeht
  • Loengud
  • Praktikumid
  • Referaat
  • Kirjandus
  • Lingid

Praktikum 9 - Kahjurvara & Windows forensics

Kahjurvaraks (ka pahavara või kurivara) nimetatakse sellist tarkvara, mida kasutatakse ilma omaniku teadmata tema arvutisse tungimiseks ja/või selle kahjustamiseks. Kahjurvara luuakse inimeste poolt, keda ajendab kas uudishimu, soov huligaanitseda või teie kulul rikastuda. Kahjurvara liike on lõputult palju, mõned näited on:

  • Lunavara - krüpteerib arvutis olevad andmed või lukustab seadme, nõudes seejärel ohvrilt lunaraha andmete avamiseks või seadme kasutamise taastamiseks.
  • Viirused - kinnituvad teistele failidele või programmidele ning levivad, kopeerides end teistesse süsteemidesse. Viirused võivad rikkuda andmeid, kustutada faile või kahjustada operatsioonisüsteemi.
  • Troojalased - maskeerivad end legitiimsete rakendustena või failidena. Troojalased võivad varastada andmeid, avada tagaukse süsteemi sisenemiseks või kahjustada arvutit muul viisil.
  • Ussid - isereplikeeruvad programmid, mis levivad võrkudes, kasutades ära turvaauke. Ussid võivad põhjustada võrgu ülekoormust, andmete kadu või süsteemi kokkuvarisemist.
  • Nuhkvara - jälgivad kasutaja tegevust arvutis, kogudes andmeid ilma kasutaja teadmata. Nuhkvara võib varastada isikuandmeid, paroole või pangandusandmeid.
  • Helistajad - muudavad arvuti modemiseadeid, et helistada tasulistele telefoninumbritele. Helistajad võivad põhjustada suuri telefonikulusid.
  • Reklaamvara - kuvavad arvutis soovimatuid reklaame. Reklaamvara võib aeglustada arvutit või rikkuda kasutajakogemust.

Kahjurvara võib arvutisse sattuda USB-pulgal, CD-plaadil või muul andmekandjal, aga võib olla kaasa pandud e-kirjale, peidetud mõnda programmi või dokumenti, saada alla laetud veebibrauseri poolt või tulla ründe kaudu, mis kasutab ära teenuses olevat turvaprobleemi ning auklikku või puuduvat tulemüüri. Nakatunud arvutis võib teoorias kahjustada saada ka riistvara, kuigi enamasti on sihtmärgiks andmed.

Üldjuhul üritab kahjurvara toimetada teie arvutis võimalikult vaikselt ja tagasihoidlikult, et te midagi kahtlustama ei hakkaks ning oma igapäevaseid toimetusi julgelt edasi toimetaksite – kasutaksite internetipanka, vahetaksite konfidentsiaalseid sõnumeid, sisestaksite oma kasutajatunnuseid ja paroole. On olnud juhuseid, mil pahavara kontrolliv küberkurjategija on koguni hoolitsenud arvuti operatsioonisüsteemi turvaparanduste paigaldamise eest ja jälginud, et viirustõrje toimiks korralikult ja eemaldaks konkureeriva pahavara. Omakasupüüdmatusega pole sellel siiski pistmist – teie arvutiressurss, pangaandmed ja muu isiklik info on liiga väärtuslik saak, et seda kellegagi jagada. Allikas: http://www.arvutikaitse.ee

Enne praktikumi juurde asumist soovitame vaadata Mikko Hypponen 2011. aasta lustakat, kuid siiski väga harivat, TED video "vanadest" arvutiviirustest https://www.ted.com/talks/mikko_hypponen_fighting_viruses_defending_the_net.

Töökeskkonna seadistamine - Windows XP

Tänane praktikum toimub Windows XP virtuaalmasinas. Kasutame ajaloolist Windows XP virtuaalmasinat teadlikult, sest vanemaid viiruseid on lihtsam uurida ning ühtlasi ei teki nakatumise ohtu meie kaasaegsetele operatsioonisüsteemidele. Windows XP täiendavaks eeliseks on tema vähene ressursinõudlikus võrreldes kaasaegsemate operatsioonisüsteemidega. Selleks laadige enda arvutisse Andmeturve_XP.ova https://owncloud.ut.ee/owncloud/s/oAMTsRqF8SMSMxN lehelt, kus allalaadimise parooliks sisestage aine kood LTAT.06.002.

Järgnevalt käivitage VirtualBox ja importige virtuaalmasin failist Andmeturve_XP.ova:

  1. File
  2. Import Applicance
  3. File: Andmeturve_XP.ova
  4. MAC Address Policy: Generate new MAC addresses for all network adapters
  5. NB! Ärge muutke virtuaalmasina riistvara seadeid, sest muidu võib küsida Windows XP teie käest aktiveerimist.

Käivitage lisatud virtuaalmasin ning vajadusel logige sisse kasutaja nimelise kasutajana. Värskelt käivitatud Windows XP masinal ei ole esialgu võrguühendust internetiga, mis on taotluslik. Hiljem juhendis õpetame kuidas võrguühendus Virtualboxi seadetest taastada.

Nüüd uuendame Windows XP virtuaalmasina draivereid:

  1. Valige VirtualBoxi XP akna menüüst Devices
  2. Insert Guest Additions CD image
  3. Next, Next
  4. Install
  5. Continue Anyway (mitu korda)
  6. Reboot now
  7. Finish.

Pahalaste leidmine ning eemaldamine

Pakkige lahti pahalased.zip ja utils.zip. Need asuvad virtuaalmasina töölaual. Kõik praktikumi juhendis viidatud utiliidid on utils.zip failis, teil ei ole vaja neid internetist alla laadida. Lingid on lihtsalt selleks, et saaksite need programmid ise pärast kerge vaevaga üles leida. pahalased.zip fail sisaldab kolme pahalase faili, mida me järgmistes ülesannetes kasutame hakkame. Pahavara võib käituda mitmel moel ja teha mitmeid erinevaid asju. Pahalastega samas kaustas on leitavad ka XML failid (Analysis Dump), mis kirjeldavad kuidas täpselt ja milliseid faile ning registri kirjeid tarkvara loob või modifitseerib.

Pahalane 1

Kopeerige pahalaste kataloogist oma desktopile fail nimega 5f85dc4d417c7aa7e49652d89cd6568a, nimetage ta ümber pahalane1.exe'ks ja käivitage see. Peale käivitamist peaks fail ise ennast ära kustutama paari sekundi pärast.

Käivitage Task Manager programm (käivitub Ctrl + Shift + Esc või alternatiivselt Input -> Keyboard -> Insert Ctrl-Alt-Del peale) ning uurige, kas märkate kahtlast programmi masinas jooksmas (Processes vaheleht).

Vihje: Kasutajal on üks liigne protsess, mille nimi proovib matkida mõnda teist süsteemi protsessi.

Uurige protsesse ka Process Explorer abil (asub utils kataloogis) ning uurige täpsemalt, mille poolest kahtlane protsess eristub teistest. Veenduge, et sellel protsessil ei ole digitaalset signatuuri, kuid ülejäänutel protsessidel on verifitseeritavad signatuurid. Selleks lisage Process Exploreri vaatesse tulp, mis kuvab signeerimise kohta käivat infot:

  1. Parem klahv tulba nimede real
  2. Select Columns
  3. Process Image
  4. Verified Signer

Kui see on tehtud, siis otsige Process Exploreri Options menüüst üles Verify Image Signatures valik. Tänapäeval peaks usaldusväärsed binaarid olema digiallkirjastatud tarkvaratootja poolt ja juhul kui signatuur on puudu, siis võib tegemist olla kahjurvaraga.

Nüüd peaksite suutma Process Explorer nimekirjast üles leida pahalase, mis matkib mõnda levinud Windowsi protsessi nime. Pahalane kasutab erinevaid nimesid, kui mitu korda käima panna või kui võrdlete kaastudengitega lahendusi. Ühtlasi olge edaspidi hoolikas kui otsite pahalast failisüsteemist, sest pahalane kasutab ära asjaolu, et suurtäht i ja väike l näevad sarnased operatsioonisüsteemis välja I vs l, O vs 0 jne. Pahalane võib ära kasutada ka muid nimekuju sarnasusi - näiteks jätab ära tähe levinud protsessinime juures.

  • Uurige Tcpview abil, kas pahalane üritab võrguga suhelda (ei tohiks).

Pahavara peab ennast arvutis kuidagi käima panema koos arvuti käivitumisega. Otsige üles algkäivituse registrivõtmed, mille abil on pahalane seadistatud automaatselt käivituma iga kord kui arvuti käivitub. Registri puhastamiseks on mitu võimalust (NB! Ärge veel midagi kustutage - lihtsalt otsige pahalane üles):

  • Start -> Run, regedit -> otsige haru HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
  • Start -> Run, msconfig -> Startup.
  • Käivitage Autoruns (olemas utils kaustas) ning leidke pahalane üles. Uurige erinevaid viise, kust asjad automaatselt käima minna saavad.

9-1: Tehke ekraanipilt autoruns programmist, kus on näha esimese pahalase programm ning salvestage see väljaspool virtuaalmasinat. Lisaks kirjutage oma täisnimi tekstifaili nii, et see ekraanivaatelt näha oleks. Ekraanipiltidel peab olema näha terve virtuaalmasin. Ärge lõigake neid väiksemaks kui virtuaalmasina aken.

  • Kui ülesande esituse kuvatõmmis on tehtud, siis eemaldage pahavara autoruns nimekirjast (kustutage, mitte ärge eemaldage linnukest).

Eemaldage pahalane masinast - selleks on soovitav kõigepealt kahtlane protsess maha tappa ning siis eemaldada tema failid ja registrivõtmed süsteemist:

  1. Vaadake Process Exploreriga ja jätke meelde, mis on pahalase programmi täistee süsteemis. See peaks asuma C:\Windows\system32 kataloogis.
  2. Tapke pahalase protsess (Task Manager või Process Explorer).
  3. Kustutage pahalase programmifail sealt, kus te just tuvastasite ta olevat. Vajadusel lülitage sisse failihalduri seadetes peidetud ja süsteemifailide näitamine. Vihje: Tools -> Folder Options -> View -> linnuke Show hidden files and folders, eemalda Hide extensions for known file types, Hide protected operating system files.
  4. Nüüd kustutage ka registrikirje vabalt valitud meetodil: regedit, msconfig või autoruns.exe

Pahalane 2

Enne kui te järgmise pahalase käivitate, pange käima ning jätke tööle Tcpview programm, et jälgida aktiivseid võrguühendusi.

Nüüd tehke koopia järgmisest pahalasest 1c2bfded99bab96e49f7d9c53026646c, nimetage see ümber pahalane2.exe failiks ning käivitage see. See fail peaks samuti ennast ise automaatselt kustutama.

Viivitage Windowsi tulemüüri küsimusele vastamisega ning uurige varasemalt käivitatud TCPView programmi väljundit. Mida antud pahalase programmi võrguliiklus tähendab? Miks see toimub vaatamata tulemüürist mittelubamisele?
Vastus: Windowsi tulemüür piirab vaikimisi ainult väljast sissetulevaid ühendusi, seest väljuvad ühendused ei ole enamasti filtreeritud.

Mida tähendab siis see tulemüüri dialoog - mida see reaalselt lubab-keelab? Vastus: Annab pahalasele õiguse väljast ühenduda arvutiga. Turvalisuse huvides valime Keep Blocking.

Uurige teist pahalast Process Explorer programmi abil. Mis on pahalase nimi?

Uurige Process Explorer programmi abil lisaks ka seda, milliseid faile kahtlane protsess hetkel kasutab. Avage alumine paneel kombinatsiooniga CTRL + L või View -> Show Lower Pane. Alumisel paneelil saab samuti tulpasid lisada ning selle abil on võimalik kuvada failide lugemise ja kirjutamise kohta käivat infot:

  1. parem klahv tulba nimede real
  2. Select Columns
  3. Handle
  4. File Share Flags
  5. Märkige aktiivseks neropro.exe
  6. Sorteerige Lower Pane Share Flags parameetri põhjal
  7. Uurige RW- lippudega faile

Nüüd võiksite failide nimekirjas näha faili C:\Documents and Settings\kasutaja\Cookies\index.dat, mis viitab asjaolule, et pahalane üritab varastada meie operatsioonisüsteemi veebilehitsejate sessiooniküpsiseid ning seeläbi saada ligipääs meie kasutatavatele veebilehtedele.

9-2: Tehke ekraanipilt Process Explorer vaatest, kus on näha 'teise pahalase protsess ning fail(id) mida ta on modifitseerinud. Salvestage ekraanitõmmis nii, et ekraanivaatelt oleks näha ka teie nimi (näiteks tekstifailis).

Eemaldage pahalane sarnaselt eelmisele ülesandele algkäivituse seadistuste hulgast ning kustutage see.

Pahalane 3

Kopeerige kolmanda pahalase fail nimega 301f5a89892cd507badd5e27882cdf06 desktopile. Nimetage see ümber pahalane3.exe'ks ja käivitage see. Kolmas pahalane on eriti kaval ja peidab ennast DLL tüüpi failide sisse, mida Windows kasutab näiteks draiverite info hoiustamiseks.

Uurige Process Exploreri abil, mis protsess paistab arvutis olevat liigne. Mis on selle käsurea parameetrid Command line, ja kas käsurealt viidatud fail gzipmod.dll on C:\Windows\System32 kaustas veel nähtav (esialgu peaks veel olema nähtaval, seni kuni pole arvuti pääsenud internetti).

Lubage virtuaalmasin tagasi internetti:

  1. Settings
  2. Network
  3. Adapter 1
  4. Expert
  5. Attached to: NAT
  6. Lisage "Cable Connected" linnuke.

Windowsile pole vaja midagi öelda, tema jaoks on see samaväärne kaabli külge ühendamisega. Oodake mõnda aega, kuni kasutatav gzipmod.dll ja vbagz.sys fail nähtamatuks muutuvad. Kui ei muutu, tehke virtuaalmasinale taaskäivitamine.

Kui fail on nähtamatuks muutunud, siis käivitage sysinternals paketi programm RootkitRevealer1 ja laske skaneerida süsteemi File->Scan. See peaks peidetud faili üles leidma Hidden from Windows API, kuid ei oska ise tagasi nähtavaks muuta.

1 RootkitRevealer. https://docs.microsoft.com/en-us/sysinternals/downloads/rootkit-revealer

GMER

Käivitage GMER - see on targem rootkittide vastane vahend, mis oskab osasid asju ka ise ära parandada. Vajutage nupule Scan ja oodake mõned minutid kuni GMER lõpetab pahalaste otsimise.

NB! Kui GMER kävitamisel teatab, et draiverit ei saa laadida (quota otsas), siis tähendab see seda, et rootkit on osa GMER funktsionaalsust ära blokeerinud. See funktsionaalsus võimaldab tuvastada runtime's teiste protsesside mälu patchimist pahalase poolt, ja selle parandamist. GMER-il jääb peidetud failide avastamise funktsionaalsus alles - leidke selle abil peidetud fail.

9-3: Tehke ekraanipilt GMER vaatest kus on selgelt näha ja märgistatud kolmanda pahalase failid. Ekraanipilt peab sisaldama teie nime. PS! Kindlasti tehke siin ekraanipilt ära, sest pärast seda kui olete järgmised sammud ära teinud siis seda kohta enam mugavalt taastada ei ole võimalik (Tuleb kogu XP virtuaalmasin uuesti laadida).

Tehke GMER abil C:\WINDOWS\system32\gzipmod.dll ja C:\WINDOWS\system32\vbagz.sys peidetud executable failidele 'Kill file'. Samuti keelake Disable service funksiooni abil C:\WINDOWS\system32\vbagz.sys Service. Tapke rundll32, mis pahalase koodi jooksutab ja tehke arvutile restart.

Nüüd peaksite C:\WINDOWS\system32\ kaustas nägema ja saama kustutada failid gzipmod.dll ja vbagz.sys.

Kui faili kustutamine õnnestus, siis tehke virtuaalmasinale restart ja skaneerige süsteem uuesti üle (peaks olema puhas).

Programmi tegevuste jälgimine

Enamasti on raske programmi failinimele peale vaadates öelda, millega programm tegeleb. Isegi kui programm teeb näiliselt kasulikke tegevusi, võib ta samas taustal teha ka midagi varjatut. Näiteks võtta ühendust mõne veebilehega, kust laadib alla täiendava pahavara jne. Selleks, et analüüsida mida programm teeb, on mitmeid tarkvarasid ja võimalusi, kuid Microsoft soovitab Windowsi jaoks programmi Process Monitor2. Tegu on osana Sysinternals tarkvarapaketist, mis asub teil utils kaustas. NB! Alates 21. aprill 2021 välja tulnud Process Monitori versioonist 3.7 ei käivitu enam Windows XP arvutis, seega on vajalik kasutada kahjuks vanemat versiooni tarkvarast.

  1. Käivitage Process Monitor ja seadistage filter järgmiste parameetritega:
    • Process Name is notepad.exe Include.
  2. Avage programm notepad.exe ja kirjutage sinna tekst praktikum9.
  3. Salvestage fail My Documents kausta nimega <perenimi>.txt, kus <perenimi> asendage enda perenimega.
  4. Nüüd uurige Process Monitor filtreeritud väljundit ja leidke üles rida, kus on näha, et notepad.exe salvestab teienimelise faili kettale.
    • Vihje: Kasutage vajadusel Find funktsionaalsust (otsingusõna mõelge ise välja), kuid tulemustest võiksite valida rea, mis sisaldab väärtusi Operation: CreateFile ja Result: SUCCESS.
2 Process Monitor. https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

9-4: Esitage ekraanivaade, kus on näha Process Monitor programmis teienimelise faili salvestamine programmiga notepad.exe. Tõske küsitud rida ekraanivaatel esile.

Windows forensics NirSoft näitel

Windows ja paljud teised operatsioonisüsteemid salvestavad regulaarselt kasutaja tegevusi. Aeg-ajalt on meil vaja teada saada, kes mida süsteemis tegi ehk leida üles info, mida on arvutis hiljuti tehtud. Inglise keeles kutsutakse sellist tegevust nimega forensics, mis eesti keeles tähendaks ekspertiisi või jälgede ajamist. Valdav enamik arvuti kasutajatest kasutavad igapäevaselt Windows operatsioonisüsteemi ja seega vaatame minimalistliku Windows XP operatsioonisüsteemi näitel, kuidas arvutist üles leida varasemate tegevuste jälgi.

Maailmas on mitmeid erinevaid tööriistu Windowsi registri ja muude arhiivifailide graafiliseks kuvamiseks. Käesolevas praktikumis kasutame ühte terviklikumat ja vanimat lisapaketti Windowsi tööriistadest (peale Sysinternalsi muidugi) nimega NirSoft.

Täispika NirSoft tarkvara nimekirja leiab siit:

  • http://www.nirsoft.net/utils/index.html
  • NB! Uusim Windows viirusetõrjetarkvara märgib osa NirSoft programme pahavaraks, seega NirSoft kasutamine isiklikus arvutis on omal vastutusel (kasutage virtuaalmasinat).

Alustuseks vaatame tööriista TurnedOnTimesView:

  1. Käivitage programm
  2. Valige Options ja eemaldage linnuke Use new Event Log API.
  3. Tutvuge väljundiga.
    • Windows 10-s on soovitatav kasutada ka WinLogOnView, kuid Windows XP-s see ei tööta.

Uurige nüüd iseseisvalt tööriista nimega LastActivityView ning lahendage järgnev ülesanne.

  • 9-5: Leidke LastActivityView programmiga üles <perenimi>.txt faili loomise tegevus, mille lõite eelmises harjutuses. Tehke ekraanivaade, kus on näha <perenimi>.txt faili loomine. Tõske küsitud rida ekraanivaatel esile.

Väga kasulik on teada saada, millal keegi mingit programmi on käivitanud. Näiteks on võimalik selle abil teada saada millal pahavara arvutisse sattus vms. Selleks on võimalik kasutada Microsoft sisseehitatud funktsionaalsust prefetch, mis salvestab kõikide programmide käivitamise ajad hilisemaks analüüsiks eesmärgiga ennustada kasutaja tegevusi ja siis eel-laadida tarkvarad mällu. Tulemus on näiliselt kiirem arvutikasutamise kogemus ja võimalus hiljem analüüsida, millal midagi arvutis käivitati.

Vaatame tööriista WinPrefetchView (32-bit):

  1. Käivitage WinPrefetchView.
  2. Uurige WinPrefetchView programmi väljundit
    • Uuemates Windowsites salvestab ja kuvab prefetch rohkem kui ühte käivitamise aega võrreldes Windows XP näitega.
  • 9-6: Vastake pildi (soovi korral võib ka sõnega), millise olulise programmi paigaldas õppejõud Windows XP virtuaalmasinasse aastal 2017? Pildil peab programmi nimi (rida) olema esile tõstetud ehk märgitud aktiivseks või muudmoodi märgitud kus pildil on õige vastus.

Veel mõned õppejõu arvates kasulikud näited NirSoft tarkvaradest:

  • https://www.nirsoft.net/utils/security_questions_view.html
  • https://www.nirsoft.net/utils/web_browser_password.html
  • https://www.nirsoft.net/utils/wifi_history_view.html
  • https://www.nirsoft.net/utils/browsing_history_view.html
  • https://www.nirsoft.net/utils/image_cache_viewer.html
  • https://www.nirsoft.net/utils/vault_password_view.html
  • https://www.nirsoft.net/utils/credentials_file_view.html
  • https://www.nirsoft.net/utils/file_activity_watch.html
  • https://www.nirsoft.net/utils/free_disk_space_log_view.html
  • https://www.nirsoft.net/utils/usb_drive_log.html
  • https://www.nirsoft.net/utils/open_save_files_view.html

Kustutatud failide taastamine

Windowsis ja paljudes teistes operatsioonisüsteemides on võimalik faile kustutada prügikasti või püsivalt. Vaikimisi Windowsis Delete paneb failid kõigepealt prügikasti (nö märgib kustutatuks), kuid jätab mugava võimaluse neid taastada. Selle tulemusena ei vabastata tegelikult kõvakettal faili kasutuses olev ala ja faile on võimalik kergesti prügikastist taastada. Oskuslikumad arvutikasutajad teavad seega, et Windowsis on kasulik faile kustutada SHIFT+DEL klahvikombinatsiooniga, mis kustutab failid kohe nii, et neid ei panda prügikasti lõpliku kustutamise ootele. Siiski tähendab kustutamine enamik failisüsteemide puhul failile viite kustutamist failisüsteemi tabelis (näiteks Master File Table) ja faili kasutada olnud ala vabaks märkimisega. Seni kuni fail pole üle kirjutatud on võimalik aga spetsiaalsete tarkvaradega (tööriistadega) võimalik faile andmekandjalt endiselt taastada.

  1. Leidke internetist endale meeldiv failide taastamise tööriist ja paigaldage see.
    • Otsingule lisage kindlasti märksõna Windows XP, sest mitmed uuemad tarkvarad ei käivitu tänaseks aegunud Windows XP operatsioonisüsteemis
  2. Kustutage eelnevalt loodud fail <perenimi>.txt SHIFT+DEL klahvikombinatsiooniga
  • 9-7: Leidke kustutatud fail enda valitud failide taastamise tarkvaraga. Esitage ekraanivaade tööriistast, kus on näha eelnevalt kustutatud <perenimi>.txt faili ülesleidmine.

Vihje: Kui teil ei õnnestu pisikesi tekstifaile leida ja taastada, proovige mõnda pildifaili, näiteks paintiga koostatud lihtsat joonistust <perenimi>.bmp või wordpad faili, mis on suuremad kui 2 KB ja omavad paremini leitavat failistruktuuri.

Vihje: Kui teil on raskusi vastava harjutuse sooritamisega virtuaalmasinas (palju asju hoitakse mälus või SSD andmekandjal) võite sama harjutust lahendada ka enda arvutis või näiteks faile taastada mälupulgalt.

Videomaterjal vaatamiseks kahjurvara teemal:

Kokkuvõtvalt viiruste ja turvaküsimuste analüüsi kohta on TED keskkonnas mitu õpetlikku videot, mida soovitame vaadata eelnevate teemade paremaks mõistmiseks:

  1. Soome turva-expert Mikko Hypponen viiruste analüüsist
    • https://www.ted.com/talks/mikko_hypponen_fighting_viruses_defending_the_net
  2. Stuxnet
    • https://www.ted.com/talks/ralph_langner_cracking_stuxnet_a_21st_century_cyberweapon
  3. Everything can be hacked
    • https://www.ted.com/talks/avi_rubin_all_your_devices_can_be_hacked
  4. Hire the hackers
    • https://www.ted.com/talks/misha_glenny_hire_the_hackers
  5. Finn Myrstad: How Tech Companies Deceive You into Giving up Your Data and Privacy
    • https://www.ted.com/talks/finn_lutzow_holm_myrstad_how_tech_companies_deceive_you_into_giving_up_your_data_and_privacy
  • 9-8: Vaadake läbi eelnevalt viidatud 5 küberturvalisuse valdkonna videot TED keskkonnas ning kirjutage iga video kohta lühidalt, mis oli uus kasulik teadmine, mida video vaadates omandasite.

Näide:

  • Hypponen (viruses): Esimeste viirustega oli visuaalselt aru saada, et olid nakatunud (ambulance, walker jne viirused).
  • Langner (stuxnet): ...
  • Rubin (hacking): ...
  • Glenny (hackers): ...
  • Myrstad (privacy): ...

Lisaülesanded

  • Katsetage, kas internetist leitavad tasuta antiviirused (Avast, Avira, ClamWin) suudavad praktikumis testitud pahalasi üles leida.
  • Proovige ka online analüüsi tööriistu, näiteks lehel Security on Steroids on nimekiri levinumatest.
    • NB! Praktikumi juhendajad soovitavad näiteks https://www.virustotal.com/ lehele pahalased.zip üles laadida ja uurida väljundit.
  • Võite samuti proovida Downloads kaustas olevat KeyLogger.exe programmi paigaldada ja kasutada ning uurida selle funktsionaalsust.

Praktikumi ülesanded

Praktikumi ülesannete lahendamine annab neli punkti ja esitamiseks on kaks nädalat alates praktikumi toimumisajast (Personaalne tähtaeg vahemikus 21.-24. aprill).

  • 9-1: Tehke ekraanipilt autoruns programmist, kus on näha esimese pahalase programm ning salvestage see väljaspool virtuaalmasinat. Lisaks kirjutage oma täisnimi tekstifaili nii, et see ekraanivaatelt näha oleks. Ekraanipiltidel peab olema näha terve virtuaalmasin. Ärge lõigake neid väiksemaks kui virtuaalmasina aken. - 0.5p
  • 9-2: Tehke ekraanipilt Process Explorer vaatest, kus on näha 'teise pahalase protsess ning fail(id) mida ta on modifitseerinud. Salvestage ekraanitõmmis nii, et ekraanivaatelt oleks näha ka teie nimi (näiteks tekstifailis). - 0.5p
  • 9-3: Tehke ekraanipilt GMER vaatest kus on selgelt näha ja märgistatud kolmanda pahalase failid. Ekraanipilt peab sisaldama teie nime. - 0.5p
  • 9-4: Esitage ekraanivaade, kus on näha Process Monitor programmis teienimelise faili salvestamine programmiga notepad.exe. Tõske küsitud rida ekraanivaatel esile. - 0.5p
  • 9-5: Leidke LastActivityView programmiga üles <perenimi>.txt faili loomise tegevus, mille lõite eelmises harjutuses. Tehke ekraanivaade, kus on näha <perenimi>.txt faili loomine. Tõske küsitud rida ekraanivaatel esile. - 0.5p
  • 9-6: Vastake pildi (soovi korral võib ka sõnega), millise olulise programmi paigaldas õppejõud Windows XP virtuaalmasinasse aastal 2017? Pildil peab programmi nimi (rida) olema esile tõstetud ehk märgitud aktiivseks või muudmoodi märgitud kus pildil on õige vastus. - 0.5p
  • 9-7: Leidke kustutatud fail enda valitud failide taastamise tarkvaraga. Esitage ekraanivaade tööriistast, kus on näha eelnevalt kustutatud <perenimi>.txt faili ülesleidmine. - 0.5p
  • 9-8: Vaadake läbi juhendis viidatud 5 küberturvalisuse valdkonna videot TED keskkonnas ning kirjutage iga video kohta lühidalt, mis oli uus kasulik teadmine, mida videot vaadates omandasite. - 0.5p

Esitada aine moodle keskkonda. Otselink: https://moodle.ut.ee/mod/assign/view.php?id=1273727

NB! Pärast praktikumi esitamist võite Windows XP virtuaalmasina ära kustutada.

Vabatahtlik lisaülesanne: Viiruste koodi analüüs

Vabatahtlikus lisaülesandes uurime, kuidas üks maailma kõige kuulsamaid ja edukamaid e-maili viirusi "ILOVEYOU" (edaspidi "LoveLetter") sisuliselt muutis kõigi inimeste arusaama arvutiviirustest ja kuidas tal õnnestus hinnanguliselt 10% sellel hetkel maailmas eksisteerinud arvuteist nakatada. "LoveLetter" võib pidada e-maili viiruste eelkäijaks ning hetkel aktuaalse ja pahandust tegeva CrypoLocker pahavaraga on sarnasusi üllatavalt palju.

Loveletter

Loe kommenteeritud koodi ja püüa aru saada, mida see teeb: https://github.com/onx/ILOVEYOU.

  • See makroviirus on kirjutatud keeles VBScript.
  • Abiks vastamisel on ka internet ja teadusartiklid, mis analüüsivad viiruse koodi (näiteks http://nob.cs.ucdavis.edu/classes/ecs155-2005-04/handouts/iloveyou.pdf).
  • Soovitame vaadata ka YouTube'i kanali Disrupt videosid arvutiviiruste kohta. Siin on link Loveletter viiruse kohta:
    • https://www.youtube.com/watch?v=soZyb6lMx4c&ab_channel=Disrupt

Loveletter (ILOVEYOU) arvutiviiruse koodi analüüsi põhjal vastata konkreetselt ja lühidalt järgmistele küsimustele:

  1. Mismoodi viirus end arvuti käivitamise järel tööle paneb?
  2. Kas viirus peale enda levitamise veel midagi teeb?
  3. Mis tegevusi tehakse eri laiendiga failidele? Too 2 näidet.
  4. Kuidas viirus end e-mailiga levitab?
  5. Milleks loob viirus "HKEY_CURRENT_USER\Software\Microsoft\WAB\" alla oma võtmed?
  6. Kas aadressiraamatusse hiljem lisandunutele ka viirus saadetakse?
  7. Miks on levitatava HTML-i mall sogastatud?
  8. Kuidas sogastamisest lahti saadakse töötava skripti saamiseks?
  • Visual Basic
    • Visual Basicu koodi treppimine
    • Programmeerimiskeel Visual Basic
  • Viirus Love Letter
    • Love Letter Wikipedia artikkel
    • F-Secure: Viiruse Love Letter kirjeldus
  • Return of macro viruses
    • Macro viruses make a return in targeted attacks
    • Back to VBA
    • VBA is not dead!
  • Arvutiteaduse instituut
  • Loodus- ja täppisteaduste valdkond
  • Tartu Ülikool
Tehniliste probleemide või küsimuste korral kirjuta:

Kursuse sisu ja korralduslike küsimustega pöörduge kursuse korraldajate poole.
Õppematerjalide varalised autoriõigused kuuluvad Tartu Ülikoolile. Õppematerjalide kasutamine on lubatud autoriõiguse seaduses ettenähtud teose vaba kasutamise eesmärkidel ja tingimustel. Õppematerjalide kasutamisel on kasutaja kohustatud viitama õppematerjalide autorile.
Õppematerjalide kasutamine muudel eesmärkidel on lubatud ainult Tartu Ülikooli eelneval kirjalikul nõusolekul.
Courses’i keskkonna kasutustingimused