Institute of Computer Science
  1. Courses
  2. 2018/19 spring
  3. Computer Security (LTAT.06.002)
ET
Log in

Computer Security 2018/19 spring

  • Pealeht
  • Loengud
  • Praktikumid
  • Referaat
  • Kirjandus
  • Uudised
  • Lingid

Kahjurvara

Kahjurvara (ka pahavara või kurivaraks) nimetatakse sellist tarkvara, mida kasutatakse ilma omaniku teadmata tema arvutisse tungimiseks ja/või selle kahjustamiseks. Kahjurvara on mitut liiki: lunavara, viirused, troojalased, ussid, nuhkijad, helistajad, reklaamijad ja palju muud. Kahjurvara luuakse inimeste poolt, keda ajendab kas uudishimu, soov huligaanitseda või teid teie rahast ilma jätta.

See võib arvutisse sattuda USB-pulgal, CD-plaadil või muul andmekandjal, aga võib olla kaasa pandud e-kirjale, peidetud mõnda programmi või dokumenti, saada alla laetud veebibrauseri poolt või tulla ründe kaudu, mis kasutab ära teenuses olevat turvaprobleemi ning auklikku või puuduvat tulemüüri. Nakatunud arvutis võib teoorias kahjustada saada ka riistavra, kuigi enamasti on sihtmärgiks andmed.

Uusim pahavara üritab siiski toimetada teie arvutis võimalikult vaikselt ja tagasihoidlikult, et te midagi kahtlustama ei hakkaks ning oma igapäevaseid toimetusi julgelt edasi toimetaksite – kasutaksite internetipanka, vahetaksite konfidentsiaalseid sõnumeid, sisestaksite oma kasutajatunnuseid ja paroole. On olnud juhuseid, mil pahavara kontrolliv küberkurjategija on koguni hoolitsenud arvuti operatsioonisüsteemi turvaparanduste pealepaneku eest ja jälginud, et viirustõrje toimiks korralikult ja eemaldaks konkureeriva pahavara. Omakasupüüdmatusega pole sellel siiski pistmist – teie arvutiressurss, pangaandmed ja muu isiklik info on liiga väärtuslik saak, et seda kellegagi jagada. Allikas:http://www.arvutikaitse.ee

Praktikumi alustamine

Tänane praktikum toimub Windows XP virtuaalmasinas
Selleks küsige praktikumijuhendaja käest andmekandja Andmeturve_XP_SP3.ova laadimiseks oma arvutisse või laadige see alla https://owncloud.ut.ee/owncloud/index.php/s/CrtBMvRouATSgz8 lehelt, kus parooliks sisestage aine kood.

Järgnevalt käivitage VirtualBox ja importige virtuaalmasin failist Andmeturve_XP_SP3.ova (File -> Import Applicance -> Open Appliance) ja ärge muutke virtuaalmasina riistvara seadeid, sest muidu võib küsida Windows XP teie käest aktiviseerimist.

NB! Enne käivitamist veenduge, et virtuaalmasin ei pääseks võrgule ligi. Deaktiveerige võrguliides VirtualBox virtuaalmasina seadetest. Settings -> Network -> Adapter -> Eemaldage "Enable Network Adapter" valik.

Käivitage lisatud virtuaalmasin ja logige sisse "kasutaja" nimelise kasutajana juhul kui see peaks vajalik olema.

Pahalaste leidmine ning eemaldamine

Pakkige lahti pahalased.zip ja utils.zip. Need asuvad virtuaalmasina töölaual. Kõik praktikumi juhendis lingitud utiliidid on utils.zip fails, teil ei ole vaja neid internetist alla laadida. Lingid on lihtsalt selleks, et saaksite need programmid ise pärast kerge vaevaga üles leida. pahalased.zip fail sisaldab kolme pahalase faili, mida me järgmistes ülesannetes kasutame hakkame.

Pahalane 1

Kopeerige pahalaste kataloogist oma desktopile fail nimega 5f85dc4d417c7aa7e49652d89cd6568a, nimetage ta ümber pahalane1.exe'ks ja käivitage see. Peale käivitamist peaks fail ise ennast ära kustutama.

Käivitage Task Manager (käivitub Ctrl + Shift + Esc või alternatiivselt Input -> Keyboard -> Insert Ctrl-Alt-Del peale) programm ning uurige, kas märkate ühtegi kahtlast programmi masinas jooksmas. Vihje: Kasutajal on üks liigne protsess, mille nimi proovib matkida mõnda teist süsteemi protsessi.

Uurige protsesse ka Process Explorer abil (asub utils kataloogis) ning uurige täpsemalt, mille poolest kahtlane protsess eristub teistest. Veenduge, et sellel protsessil ei ole digitaalset signatuuri kuid ülejäänutel protsessidel on verifitseeritavad signatuurid. Selleks lisage process exploreri vaatesse tulp, mis kuvab signeerimise kohta käivat infot (parem klahv tulba nimede real -> Select Columns -> Process Image -> Verified Signer) . Kui see on tehtud, siis otsige process exploreri options menüüst üles signatuuride verifitseerimise valik. Tänapäeval peaks binaarid olema digiallkirjastatud ja juhul kui signatuur on puudu, siis võib tegemist olla kahjurvaraga.

Uurige Tcpview abil, kas pahalane üritab võrguga suhelda (ei tohiks).

Eemaldage pahalane masinast - selleks on soovitav kõigepealt protsess maha tappa ning siis eemaldada tema failid ja registrivõtmed süsteemist:

  1. Vaadake Process Exploreriga ja jätke meelde, mis on pahalase programmi täistee süsteemis. See peaks asuma C:\Windows\system32 kataloogis.
  2. Tapke pahalase protsess.
  3. Kustutage pahalase programmifail sealt, kus te just tuvastasite ta olevat. Vajadusel lülitage sisse failibrauseri seadetes peidetud ja süsteemifailide näitamine. Vihje: Tools -> Folder Options -> View -> linnuke Show hidden files and folders, Hide extensions for known file types, Hide protected operating system files.
  4. Otsige üles algkäivituse registrivõtmed, mille abil on pahalane seadistatud automaatselt käivituma iga kord kui arvuti käivitub. Enne eemaldamist tuleks teha ekraanitõmmis, vt. kolmandat punkti. Registri puhastamiseks on mitu võimalust (NB! Ärge veel midagi kustutage - lihtsalt otsige pahalane üles):
    • Start -> Run, regedit - otsige haru HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
    • Start -> Run, msconfig.
    • Käivitage Autoruns. Uurige erinevaid viise, kust asjad automaatselt käima minna saavad. Enne tehke arvestuse jaoks vajalik ekraanitõmmis ning siis eemaldage pahavara autoruns nimekirjast (kustutage, mitte ärge eemaldage linnukest). Arvestus 1: Tehke ekraanipilt autoruns programmist, kus on näha esimese pahalase programm ning salvestage see väljaspool virtuaalmasinat. Lisaks kirjutage oma täisnimi tekstifaili nii, et see ekraanivaatelt näha oleks. Ekraanipiltidel peab olema näha terve virtuaalmasin. Ärge lõigake neid väiksemaks kui virtuaalmasina aken.

Pahalane 2

Enne kui te järgmise pahalase käivitate, pange käima ning jätke tööle Tcpview programm, et jälgida aktiivseid võrguühendusi.

Nüüd tehke koopia järgmisest pahalasest 1c2bfded99bab96e49f7d9c53026646c, nimetage see ümber pahalane2.exe failiks ning käivitage see. See fail peaks samuti ennast ise automaatselt kustutama.

Viivitage Windowsi tulemüüri küsimusel vastamisega, ning uurige varasemalt käivitatud TCPView programmi väljundit. Mida antud pahalase programmi võrguliiklus tähendab? Miks see toimub vaatamata tulemüürist mittelubamisele? (Vihje: Õige vastus on seotud Praktikum 11 - Windows tulemüür koduse töö vastusega).

Mida tähendab siis see tulemüüri dialoog - mida see reaalselt lubab-keelab? Omal valikul kas lubage või keelake suhtlus tulemüürist.

Uurige teist pahalast Process Explorer programmi abil. Mis on pahalase nimi?

Uurige Process Explorer programmi abil lisaks ka seda, milliseid faile kahtlane protsess hetkel kasutab (View -> Show Lower Pane). Alumisel vaatel saab samuti tulpasid lisada ning selle abil on võimalik kuvada failide lugemise ja kirjutamise kohta käivat infot (rw). (Vihje: parem klahv tulba nimede real -> Select Columns -> Handle -> Share Flags) Proovige kas teil õnnestub aru saada, mida see pahalane proovib arvuti ja selle kasutaja kohta uurida.

Arvestus 2: Tehke ekraanipilt Process Explorerì vaatest, kus on näha 'teise pahalase protsess ning fail(id) mida ta on modifitseerinud. Salvestage ekraanitõmmis enda host masinasse. Lisaks kirjutage oma täisnimi tekstifaili nii, et see ekraanivaatelt näha oleks.

Eemaldage pahalane sarnaselt eelmisele ülesandele algkäivituse seadistuste hulgast ning kustutage see.

Pahalane 3

Käivitage kolmas pahalane, mis asub failis 301f5a89892cd507badd5e27882cdf06.

Uurige Process Exploreri abil, mis protsess paistab arvutis olevat liigne, mis on tema käsurida, ja kas käsurealt viidatud fail on kusagil olemas (esialgu peaks veel olema nähtaval).

Lubage virtuaalmasin tagasi internetti - VirtualBox menüüst valige virtuaalmasina peal Settings -> Network -> Adapter 1 -> Enable Network Adapter (Jätke võrgutüübiks NAT) -> Advanced -> Cable connected (tehke linnuke). Windowsile pole vaja midagi öelda, tema jaoks on see samaväärne kaabli külge ühendamisega.

Oodake mõnda aega, kuni kasutatav dll fail nähtamatuks muutub. Kui ei muutu, tehke virtuaalmasinale taaskäivitamine.

Kui fail on nähtamatuks muutunud, käivitage RootkitRevealer ja laske skaneerida süsteemi. See peaks peidetud faili üles leidma, kuid ei oska ise tagasi nähtavaks muuta.

Kui rootkit on ennast ära peitnud, keelake virtuaalmasina pääsemine internetti võimalikult kiirelt uuesti ära.

GMER

Käivitage GMER - see on targem rootkittide vastane vahend, mis oskab osasid asju ka ise ära parandada.

Kui GMER kävitamisel teatab, et draiverit ei saa laadida (quota otsas), siis tähendab see seda, et rootkit on osa gmeri funktsionaalsust ära blokeerinud. See funktsionaalsus võimaldab tuvastada runtimes teiste protsesside mälu patchimist pahalase poolt, ja selle parandamist.

GMER-il jääb peidetud failide avastamise funktsionaalsus alles, leidke selle abil peidetud fail. Arvestus 3: Tehke ekraanipilt GMER vaatest kus on selgelt näha ja märgistatud kolmanda pahalase peidetud fail ning salvestage pilt väljaspool virtuaalmasinat. (NB! õige fail EI OLE gzipmod.dll.)

Tehke GMER abil sellele peidetud failile 'Kill file', siis peaks kaitse maha tulema ja fail uuesti nähtavale ilmuma. Kustutage vastav fail arvutist pahalase eemaldamiseks.

Tapke rundll32, mis pahalase koodi jooksutab - kui saate :)

Kui faili kustutamine õnnestus, siis tehke virtuaalmasinale restart ja skaneerige süsteem uuesti üle. Kui ei õnnestunud, siis tuleb virtuaalmasin panna tööle Safe Mode's enne, kui saate faili kustutada. Safe Mode'i saab aktiveerida, kui virtuaalmasina käivitamise ajal vajutada korduvalt F8 klahvi, valida b. boot normally ning siis Safe Mode.

Kui näete sinist ekraani, siis katsuge sellest korduva uuestikäivitamise või Safe Mode kaudu mööda hiilida.

KeyLogger ehk pealtkuulamine

Pahavara võib käituda mitmel moel ja teha mitmeid erinevaid asju. Pahalastega samas kaustas on leitavad ka XML failid (Analysis Dump), mis kirjeldavad kuidas täpselt ja milliseid faile ning registri kirjeid tarkvara loob või modifitseerib. Katsetame nüüd pahavara, mis jälgib kasutaja tegevust arvutis ning registreerib klaviatuurivajutused. Selleks otsige pahalaste kaustast Keylogger tarkvara ja paigaldage arvutisse (NB! Ärge laadige ja paigaldage kahtlast tarkvara oma isiklikku arvutisse vaid ainult selleks teile jagatud virtuaalmasinasse.) Soovi korral võib mõnda muud KeyLoggerit kasutada.

Nüüd uurige mida antud tarkvara pealt kuulata võimaldab ja katsetage erinevaid funktsionaalsusi.

Arvestus 4: Tehke ekraanipilt sellest, kuidas KeyLogger on pealt kuulanud Teie nime trükkimist vastavas virtuaalmasinas.

Lisaks

  • Kui teil praktikumi lõpus aega üle jääb, siis katsetage kas internetist leitavad tasuta antiviirused (Avast, Avira, ClamWin) suudavad praktikumis testitud pahalasi üles leida.
  • Proovige ka online analüüsi tööriistu, näiteks lehel http://cleanbytes.net/malware-online-scanners on nimekiri levinumatest. PS! Praktikumi juhendajad soovitavad näiteks https://www.virustotal.com/ lehele pahalased.zip üles laadida ja uurida väljundit.

Praktikumi ülesanded

Praktikumi ülesannete lahendamine annab kaks punkti. Praktikumi ülesanne võiks valmis saada praktikumi lõpuks, aga juhul kui see ei õnnestu, siis on võimalik lahendust esitada üks nädal.

  • Praktikumi arvestuseks tuleb esitada neli nekraanipilti:
    • Arvestus 1: Tehke ekraanipilt autoruns programmist, kus on näha esimese pahalase programm ning salvestage see väljaspool virtuaalmasinat. Lisaks kirjutage oma täisnimi tekstifaili nii, et see ekraanivaatelt näha oleks.
    • Arvestus 2: Tehke ekraanipilt Process Explorerì vaatest, kus on näha teise pahalase programm koos modifitseeritud failidega ning salvestage see väljaspool Virtuaalmasinat.
    • Arvestus 3: Tehke ekraanipilt GMER vaatest kus on selgelt näha ja märgistatud kolmanda pahalase peidetud fail ning salvestage pilt väljaspool virtuaalmasinat.
    • Arvestus 4: Tehke ekraanipilt sellest kuidas KeyLogger on pealt kuulanud Teie nime trükkimist virtuaalmasinas.
  • Ekraanipiltidel peab olema näha terve virtuaalmasin, ärge lõigake neid väiksemaks kui virtuaalmasina aken.

Juhul kui lahenduseks on lühike tekst, siis saate lisada selle kommentaarina. Sellisel juhul on lahenduse esitamiseks vaja lisada tühi fail, sest antud vorm nõuab lahenduse esitamisel faili esitamist. Lahendusi võtame vastu järgmistes failiformaatides: .txt, .pdf, .zip, rar.

12. Praktikum 12 - Kahjurvara
Solutions for this task can no longer be submitted.

Kodune ülesanne

Käesoleva praktikumi kodune ülesanne on veidi mahukam ja keerukam kui varem siin aines antud ülesanded. Ülesande lahendamiseks aega kuni 14. maini 2019.

Eesmärk: Iseseisvalt õppida kasutama Metasploit Framework ja Armitage tarkvara, mis on vaikimisi lisatud Kali Linuxisse ja on üks populaarseimaid ründetarkvarasid maailmas.

Ülesanne: Kasutades Metasploit Framework (koos Armitage kasutajaliidesega) teha läbi näidisrünne praktikumis kasutatud Windows XP ülevõtmiseks. Kui kustutasite XP masina ära, siis laadige see uuesti alla.

Vihjed:

  • Virtualbox bridge mode (nii Kali kui xp). Kui xp-s pole endiselt internetti (bridged modes), siis esimese asjana vaadake, kas Virtualboxi settingutes on õige adapter valitud. Siis kontrollige, kas guest additionid on olemas (õige versiooniga, vajadusel üle installida). Kui mitte midagi ikkagi ei aita, siis läbi shared folderi liigutage endale xp-sse driverite installikas https://downloadcenter.intel.com/download/18717/Network-Adapter-Drivers-for-Windows-XP-Final-Release ja pange see käima. Seejärel adapterile reset või guestile restart.
  • Windows XP SP3 FireWall võib välja lülitada (pärast seda saab kasutada levinud rünnet ms08-067)
  • Pärast konsoolis msfconsole käivitamist teha msfdb init (uue andmebaasi tekitamine) enne armitage käsu sisestamist.
  • meterpreter/reverse_tcp (ühenduse ülesseadmiseks). Tekitate faili ilusnimi.exe näiteks ja sokutate selle xp-sse. Hoiatan, et läbi hosti kandmisel see exe fail viirusetõrjete poolt tahetakse kustutada. Seega peate selle kas kokkupakkima või viirusetõrje ka hostis välja lülitama. (Pärast lülitage jälle viirusetõrje sisse tagasi).
  • exploit -> multi -> handler (vaatamiseks)
  • Macro viruses
  • Payload
  • https://www.youtube.com/results?search_query=armitage+xp+hacking
  • https://www.youtube.com/results?search_query=armitage+client+side+attack

Tulemus: Õnnestunud rünne Windows XP masina (või mõne muu levinud OS) vastu kus heauskne kasutaja (teie) on meelitatud avama häkkeri (teie) poolt saadetud meterpreteri koodi, mis helistaks koju ja avaks tagaukse masina ülevõtmiseks.

Esitada:

  • Detailne tegevuste kirjeldus
    • Kust saite abi (milliseid linke/video kasutasite)
    • Milliseid tarkvarasid kasutasite
    • Milliseid turvaauke (payload) kasutasite
    • Millised proleemid esinesid ja kuidas neid ületasite
  • Ekraanipilt ohvri arvutist, mis on tehtud häkkeri masinast (Armitages üle meterpreter ühenduse) nii, et on selgelt näha teie nimi ohvri masina ekraanivaatel ning et ohvri masin on kompromiteerunud (näiteks: äikese märgid ümber masina Armitages) ja et teil on ligipääs ohvri arvutile:

Koduse ülesande lahendus tuleks esitada aine kodulehelt. Korraga saab esitada ainult ühe faili, korduv lahenduse esitamine kirjutab eelmise lahenduse üle ning seetõttu tuleb vajaduse korral lahendus kokku pakkida üheks failiks. Lahendusi võtame vastu järgmistes failiformaatides: .txt, .pdf, .zip.

27. Kodune ülesanne 12
Solutions for this task can no longer be submitted.

Boonusülesanne

Käesolevas praktikumis vaatasime "lihtsaid" / "vanemaid" pahalasi, mis on tuvastatavad enamikule viirusetõrjetele. Praktikumides oleme korduvalt mõtisklenud, et "kasutaja" ründamine on "lihtsaim" ja edukaim. Pärast seda kui kasutaja on e-maili teel saadetud või mõnel muul moel kasutajani toimetatud pahavara heauskselt avanud võtab pahavara enamasti "kodu"serveriga ühendust ja annab "kurjamile" võimaluse eemalt "ohvri" arvuti üle kontrolli omada. Levinuim lahendus, sellist "koju" helistamist realiseerida on kasutada Metasploit framework, mis on Kali Linuxisse sisse ehitatud. Metasploit framework'i kasutamiseks on loodud ka kaks head graafilist kasutajaliidest Armitage (tasuta) ja Cobalt Strike (tasuline).

Boonus ülesanne: Looge pahavara, mis ründaks Windows 10 uusimat 1809 versiooni ja mida ei tuvasta uusim Microsoft Defender ning seadistage ta "koju helistama" ehk Metasploit / Armitage tarkvaraga ühendust võtma. Võib rünnata ka uusimat Android/Ubuntu/iOS operatsioonisüsteeme. Lahendus peab sisaldama ainult vabalt kasutatavat tarkvara (Cobalt Strike ja teised tasulised lahendused võimaldavad seda ülesannet lahendada liiga lihtsalt).

Google otsingusõna: "Armitage avoid anti virus meterpreter"

Boonuspunkte teenivad ainult lahendused mis on dokumenteeritud (kas kõik tegevused kirja pandud või video koostatud). Lahendused saata: alo.peets@ut.ee ja kirja pealkirjas ning tekstiosas peab olema mainitud et tegu on "pahavara boonusülesandega". Kui te saadate tahtlikult õppejõule pahavara, siis teenite automaatselt ainest läbikukkumise "ebaeetilise" käitumise tõttu.

Boonusülesanne 2: Leidke TASUTA keylogger, millel on olemas "hidden mode" ehk teda on võimalik kasutaja eest ära peita (ei ole leitav kergesti protsesside tabelist). Täiendavalt võiks olla võimekus "ohvri" arvuti klahvivajutusi kusagile internetti laadida (näiteks e-mailiga saata.)

  • Institute of Computer Science
  • Faculty of Science and Technology
  • University of Tartu
In case of technical problems or questions write to:

Contact the course organizers with the organizational and course content questions.
The proprietary copyrights of educational materials belong to the University of Tartu. The use of educational materials is permitted for the purposes and under the conditions provided for in the copyright law for the free use of a work. When using educational materials, the user is obligated to give credit to the author of the educational materials.
The use of educational materials for other purposes is allowed only with the prior written consent of the University of Tartu.
Terms of use for the Courses environment