IT-forensik och informationssäkerhet 180 hp
Hur skyddar man sig mot malware?
Digital forensik 15 hp
2019-07-06
Ali Fawaz
Hur skyddar man sig mot malware?
Författare: Ali Fawaz
Examinator: Stefan Axelsson Handledare: Eric Järpe
10 juni 2019
Förord
Jag vill tacka min handledare Eric Järpe för hans stöd under hela arbetets gång. Med hans stöd blev arbetet betydligt enklare att genomföra.
Abstract
This is a compilation of a list of actions for ordinary computer users on how they should protect themselves against malicious code. The focus will be on the human factor mistakes when it comes to malicious code spread. The mitigating actions will be based on the risks the ordinary computer users are exposed to. This work contains a literature study and an experiment. The experiment is divided in several parts to test various mitigation actions. The literature study introduced the facts behind the various kinds of malicious codes. Multiple of mitigation actions could be produced with the help of the experiment. This was made to compile the list with all the mitigation actions.
The experiment proved how important it could be to just simply update your software such as antivirus program and operating systems.
Keywords: Antivirus, Malware, Maskar, Ransomware, Risker, Skadlig kod, Spionprogram, Trojan horse, Virtuell maskin, Virus, worms.
Detta är sammanställning av en lista med åtgärder till helt vanliga dato- ranvändare för hur dessa ska skydda sig mot skadlig kod. Fokus ligger på misstag av den mänskliga faktorn och mitigering utifrån dessa. Arbetet in- nehåller en litteraturstudie och ett experiment. Experimentet är uppdelat så att flera åtgärder mot skadlig kod kunde testas. Litteraturstudien redogör för fakta om de olika typerna av skadlig kod. Med hjälp av experimentet kun- de ett flertal åtgärder mot skadlig kod användas i listan som sammanställdes.
Experimentet visar framförallt hur viktigt det är med enkla uppdatering- ar av antivirusprogram och operativsystem.
2
1 Introduktion 1
1.1 Inledning. . . 1
1.2 Bakgrund . . . 2
1.2.1 Malware . . . 3
1.2.2 Virus . . . 3
1.2.3 Maskar . . . 3
1.2.4 Trojanska hästar . . . 3
1.2.5 Spionprogram . . . 4
1.2.6 Adware . . . 4
1.2.7 Ransomware . . . 4
1.2.8 Antivirus-program . . . 5
1.2.9 Social manipulation . . . 6
1.2.10 Virtuell maskin . . . 6
1.3 Problemdiskussion . . . 6
1.4 Problemformulering och forskningsfrågor . . . 7
1.5 Problematisering . . . 7
1.6 Etik . . . 8
1.7 Relaterade arbeten . . . 8
2 Metod 11 2.1 Metodval. . . 11
2.2 Litteraturstudie . . . 11
2.3 Experimentell metod . . . 12
2.4 Problematisering av metod . . . 12
2.5 Omfattning . . . 13
2.6 Alternativa metodval . . . 13 3
4 INNEHÅLL
3 Empiri 15
3.1 Säker labbmiljö . . . 15
3.2 Experimentuppställning . . . 16
3.3 Genomförande . . . 18
3.4 Popup-fönster . . . 19
3.5 Virustotal . . . 20
4 Resultat 23 4.1 Resultat av experiment . . . 23
4.1.1 AVG Internet Security . . . 23
4.1.2 Microsoft Security Essentials. . . 25
4.1.3 Avast Antivirus . . . 25
4.1.4 Windows 10 . . . 26
4.1.5 Förhindra popup-fönster . . . 27
4.1.6 Virustotal . . . 27
4.2 Resultat kartläggning av attackvektorer . . . 28
4.3 Resultat: lista med åtgärder och skydd mot skadlig kod . . . . 30
5 Diskussion 35 5.1 Experimentdiskussion antivirusprogram . . . 35
5.2 Experimentdiskussion Operativsystem . . . 36
5.3 Experimentdiskussion popup-fönster och Virustotal . . . 37
6 Slutsatser 39
7 Framtida arbeten 41
3.1 Den virtuella maskinen med operativsystemet Windows 7 var isolerad från nätverket (röd markering) och kördes på ett sy- stem med operativsystemet Windows 10. . . 16 3.2 Procedur med fyra steg som användes till genomförandet av
experimentet med antivirusprogram. . . 19 3.3 I denna figur visas hur systemet såg ut efter varje återställning
som genomfördes i Figur 3.2. Systemet bestod av Ett operativ- system med dess standardprogram, Google chrome och ett icke exekverat exemplar av ransomware Åannacry". f . . . 20 4.1 I den här figuren visas skrivbordet på den virtuella maskinen
efter infektionen av ransomwaret ”Wannacry” . . . 24 4.2 Senaste versionen av antivirusprogrammet Avast stoppar ransom-
waret Wannacry . . . 26 4.3 Windows Defender nekar nedladdning av skadlig fil . . . 27 4.4 En skärmdump av ett spam-mail som ser ut att komma från
det stora e-handelsföretaget Amazon . . . 29
5
Kapitel 1
Introduktion
1.1 Inledning
Varje dag tar människan många risker genom att ta olika beslut såsom vilket färdsätt som tas till jobbet, hur jobbet utförs och vad för mat som äts till lunch. I alla beslut som människan tar finns en eller flera risker. Samma sak gäller när datorn används. Det finns många risker med att surfa online, ladda ner mjukvaror eller bara läsa igenom mejlkorgen [1].
Skadliga program bidrar till enorma skador för både företag och vanliga dato- ranvändare. Varje år beräknas skadorna till tiotals miljarder dollar för ame- rikanska företag. [2]
Det här arbetet tar upp riskerna med att drabbas av skadliga program.
Begreppet malware betyder skadlig programvara och är förkortat efter de två engelska orden malicious software. Virus, maskar, trojanska hästar, re- klamprogram och spionprogram är några av många olika typer av skadlig kod. [3].
Dagens antivirusutveklare känner till de flesta äldre skadliga program. Detta gör det enklare för utvecklingen av antivirusprogram att kunna känna igen programmen och hindra dessa från att infektera fler datorer. Det är svåra- re för antivirusprogram att upptäcka nyare skadliga program då de inte är kända hos antivirusutvecklarna. Den första och mest självklara åtgärden för att skydda sig mot malware är att hålla sitt antivirusprogram uppdaterat till
1
den senaste versionen. Förutom att bara förlita sig på ett antivirusprogram som skyddar datorn mot skadlig kod är det även viktigt att själv ha koll på riskerna. För att minimera riskerna mot malware är det viktigt att själv be- döma och avgöra vad som kan innehålla skadlig programvara. Det kan handla om ett mail som ser konstigt ut där mailet hänvisar till en förkortad länk som någon vill att mottagaren ska besöka.
I de flesta fall där ett system drabbas av skadlig kod är det möjligt att göra sig av med den utan att förlora information efter infektionen. I mer ovanliga fall kan det hela sluta i att all information i systemet förloras till ett skadligt utpressningsprogram som krypterar filerna och förstör dekrypte- ringsnycklarna.
1.2 Bakgrund
Skadlig kod får mer och mer uppmärksamhet med tiden. Detta sker med anledning av att antalet av skadliga program ökar för varje år som passerar.
Ökningen visas tydligt av all skada som sker runt om i världen. Många typer av skadlig kod som blir kända med tiden registreras av anti-virusutvecklare för att skydda enheter från de nya attackerna [4]. Det här är dock ett problem för nya avancerade skadliga program då de kan vara svåra för antiviruspro- gram att upptäcka.
Skadlig kod kan ha tre olika egenskaper. Med hjälp av egenskapen kategorise- ras den skadliga koden. Deras egenskaper är självreplikering, parasitiska och befolkningstillväxten. Självreplikering är när en skadlig programvara sprider sig själv genom till exempel ett nätverk. En skadlig kod med egenskapen ”pa- rasitisk” innebär att den behöver en annan exekveringsbar kod för att kunna existera. Beroende på hur snabb självreplikeringen är beräknas befolknings- tillväxten och därefter kan den även kategoriseras.
Det finns många olika typer och kategorier av skadlig kod. Det här arbe- tet riktar in sig på trojanska hästar, virus, maskar, utpressningsprogram, re- klamprogram och spionprogram. Enligt Aycocks tidslinje dök spionprogram upp i sent 90-tal. Benfords virus uppmärksammades 1969 och trojanska häs- tar blev kända 1972. Internet-masken uppmärksammades 1988 och blev en väckarklocka för internetsäkerhet [3]. År 1989 kom det första utpressnings-
1.2. BAKGRUND 3
programmet och kallades för AIDS trojan [5].
1.2.1 Malware
Skadliga program kan delas in i olika kategorier som exempelvis virus, mas- kar, trojanska hästar, utpressningsprogram, reklamprogram och spionpro- gram. Var och en av dessa har som avsikt att skada. De olika kategorierna av skadliga program beter sig inte på samma sätt, men har som sagt ett gemen- samt mål. Skadlig kod är som vilket annat program som helst, förutom att det finns för att skada. Om ett program exekverar kommandon, stjäl infor- mation, stänger av säkerhetsregler i brandväggen eller uppför sig onormalt kan det klassas som malware [6].
1.2.2 Virus
För att en skadlig kod ska kategoriseras som virus måste koden uppföra sig på ett särskilt sätt. Ett virus är en kod som replikerar sig själv för att kunna sprida den infekterade koden till en ny befintlig infekterad kod. Det är den egenskapen som fastställer att det är ett virus det handlar om [3].
1.2.3 Maskar
Skadlig kod som kategoriseras som en mask är känd för att ha förmågan att sprida sig själv över ett nätverk utan mänsklig handling. Den här typen hittar sårbarheter i systemet för att sprida sig väldigt fort till andra enheter [7]. ”Wannacry” och ”Petya” är två kända utpressningsprogram som spred sig som en mask väldigt fort. ”Wannacry” spreds till över 230 000 datorer år 2017 [8].
1.2.4 Trojanska hästar
En trojansk häst är en typ av skadlig kod som fått sitt namn från det my- tologiska trojanska kriget. Grekerna byggde och skickade en häst som gåva till trojanerna. Trojanerna valde att ta emot gåvan och placerade hästen i staden. Det trojanerna inte visste var att det fanns soldater gömda i hästen.
När mörkret föll tog sig soldaterna ut ur hästen och anföll hela staden. Ett trojanskt program fungerar på liknande sätt. Det är ett program som ser ut
att vara helt ofarligt, men som utan användarens medvetenhet utför skadli- ga handlingar. Trojaner är i sig inte farliga. Det farliga är alla de skadliga program som de släpper ut. [3].
1.2.5 Spionprogram
Spionprogram är ett program som samlar in information från en dator och skickar vidare den informationen till gärningspersonen. Informationen som spionprogram stjäl varierar beroende på syfte för attacken. Det kan handla om lösenord, användarnamn, email-adresser eller bankuppgifter [3]. Spion- program var i början endast till för att stjäla känslig information från dato- ranvändarna. Numera utvecklas spionprogrammen för att även visa reklam, ändra i nätverkstrafiken och ändra i andra systeminställningar [9]. Ett exem- pel på spionprogram är det som kallas för tangetloggare. En tangentloggare loggar alla inmatningar på tangentbordet och skickar dessa till gärningsper- sonen. Även virus och maskar kan användas för att samla in information.
Skillnaden är dock att spionprogram inte replikerar sig själv [3].
1.2.6 Adware
Adware är reklamprogram som tvingar användaren att se på oönskad reklam.
I dag är det vanligt att till exempel applikationsutvecklare visar reklam i sina gratisapplikationer för att tjäna pengar. Det är i dagsläget oklart om adware räknas som ett skadligt program. Det finns dock indikationer på att det skulle kunna vara skadligt då vissa kan läcka personliga data. Det är vanligt att adware installeras automatiskt och visar oönskad reklam. Det beteendet kan bidra till en anledning att kategorisera adware som ett skadligt program [10].
1.2.7 Ransomware
Ransomware är ett av många olika skadliga program. Ett ransomware är ett väldigt skadligt utpressningsprogram. Det finns två olika typer av ransom- ware. Den ena krypterar alla filer i systemet och den andra som endast låser systemet. Detta medför då att användaren inte kan logga in i systemet och komma åt informationen på datorn [11] .
De två typerna av ransomware kallas för crypto och locker. Crypto är den
1.2. BAKGRUND 5
typen som krypterar filer i systemet och gör det nästintill omöjligt att få tillbaka informationen. För att få tillbaka informationen måste en summa pengar betalas för att få tillgång till dekrypteringsnyckeln. Locker kan i vissa fall vara enklare att övervinna. Ett lockerransomware låser endast systemet och skadar inte några filer på datorn. Därför kan det vara möjligt att komma runt systemlåset och komma åt filerna som inte på något sätt drabbats av programmet [12].
Ransomware är den farligaste typen av de tidigare nämnda skadliga program.
Det har riktats mot bland annat sjukhus för att låsa känsliga data och kunna kräva pengar mot en dekrypteringsnyckel. Sjukhuset Hollywood presbyterian medical center drabbades år 2016 av ett lockerransomware. Gärningsperso- nerna krävde en betalning på $17,000 som tyvärr genomfördes av sjukhuset.
Ett antal sjukhus i Tyskland drabbades också av ransomware. Tack vare säkerhetskopieringar som de tyska sjukhusen hade kunde de komma undan betalningen utan att förlora informationen [13].
1.2.8 Antivirus-program
Skadliga programvaror ökar i mängder och drabbar både vanliga datoran- vändare och företag. För att skydda sig mot de flesta skadliga program är det därför viktigt att installera ett skydd på datorn. Ett sådant skydd skan- nar efter skadliga filer och håller datorn säker från skadliga program. Det skyddet kallas för antivirus [14]. Genom att gå igenom vilka kriterier ett an- tivirusprogram uppfyller går det att välja det mest passande. Kriterierna för antivirusprogram är [15]:
• Skydd mot olika kategorier av skadlig kod som bland annat virus, tro- janer, maskar och spionprogram
• Ett skydd som undviker konflikter med andra program
• Automatiska uppdateringar av antivirusprogram
• Antivirusprogrammet ska inte påverka datorprestandan
Personer som skriver skadliga program undersöker hur programmen ska köras utan att bli upptäckta av antivirusprogrammet. Ett antivirusprogram söker efter filer där svaret blir att antingen är filen skadlig eller inte. Det kan
ibland ge ett falskt positivt svar där programmet påstår att filen är skadlig då den inte är det. Det kan också i värsta fall ge det motsatta svaret och påstå att ett skadligt program inte är skadligt. För antivirusutvecklarna är de nya skadliga programmen svåra att upptäcka för att de är nya. Efter ett tag kommer det fram till antivirusutvecklarna att ett program är skadligt och bör identifieras som ett skadligt program. Det är då uppdateringen av antivirusprogrammet blir en väldigt viktig åtgärd. Om antivirusprogrammet inte uppdateras kommer inte programmet att identifiera de nya skadliga fi- lerna. Det fortsätter tyvärr så att skadliga program utvecklas för att passera antivirusprogram utan att upptäckas. Därför är det viktigt att följa antivi- rusprogrammets rekommendation att uppdatera när det är dags. [3].
1.2.9 Social manipulation
Den som är mest utsatt för risker mot skadlig kod är människan. Den mänsk- liga faktorn har en betydande effekt för om ett system drabbas av skadlig kod. Därför finns det attacker som baseras på att lura människan att själv omedvetet infektera sitt eget system med skadlig kod. Den typen av attack kallas social manipulation. Enligt tidigare undersökningar har det visat sig att människor är villiga att ge ut tillräckliga uppgifter för att en identitets- kapning kan äga rum. [3].
1.2.10 Virtuell maskin
En virtuell maskin skapas för att simulera ett helt nytt datorsystem på det egna operativsystemet. Med en virtuell maskin ges möjligheten att köra flera operativsystem på sitt eget operativsystem. [16] För att på ett säkert sätt kunna analysera skadliga program är en virtuell maskin ett gynnsamt alter- nativ. [17]
1.3 Problemdiskussion
Då skadliga program hela tiden ökar i mängd drabbas fler datorsystem av in- fektioner. I många fall beror infektionen på användarens beteende när datorn används. Det handlar om medvetenheten om riskerna hos datoranvändarna.
Skadlig kod utvecklas hela tiden för att passera skydd i datorsystem och för att orsaka så mycket skada som möjligt. Då det inte är möjligt att skydda sig
1.4. PROBLEMFORMULERING OCH FORSKNINGSFRÅGOR 7
helt mot skadliga program är det viktigt att lära sig hur riskerna reduceras.
Därför undersökes metoderna för att reducera riskerna mot skadliga program i det här arbetet. Det kan därför vara nyttigt med en lista med olika åtgärder för att reducera riskerna för en infektion av skadlig kod. En sådan lista kan vara både nyttig för den vanliga datoranvändaren, men även för ett företag som kan dela den till sina anställda.
1.4 Problemformulering och forskningsfrågor
Arbetet syftar till att ta reda på datoranvändarnas handlingar som leder till en infektion av skadlig kod och dess lösningar. I många fall finns det lösningar för att bli av med den skadliga koden utan att drabbas hårt av det. I vissa fall kan det handla om ransomware-infektioner som ofta leder till förlorade data på grund av krypteringen. Ibland finns ingen annan utväg än att förlora informationen på datorn och att lägga all fokus på att återställa systemet.
• 1. Vad finns det för vanliga attackvektorer för spridning av skadlig kod?
Den första frågeställningen handlar om att identifiera vilka misstag en dato- ranvändare kan begå som leder till en infektion av skadlig kod.
• 2. Vad finns det för åtgärder mot skadlig kod och hur förhindras attac- kerna?
Utifrån attackvektorerna i föregående frågeställning har en lista med åtgär- der sammanställts. Listan sammanställdes med hjälp av experiment och lit- teraturstudie. Det är tänkt att listan ska vara till hjälp för att skydda ett datorsystem mot skadliga program.
1.5 Problematisering
Det är inte säkert att de mest utsatta kommer att använda en sådan lis- ta med åtgärder för att förhindra skadliga program. Det kan bero på både lathet och okunskap. Den här listan kräver användarnas initiativ innan själ- va infektionen av skadlig kod. Det är därför viktigt att användarna följer rekommendationerna noga för att förhindra skadliga program från att infek- tera systemet. Det kan vara problematiskt då vissa inte har orken att ta tag i
detta. Det kan även bero på att människor tänker att sådant aldrig drabbar en själv och att det endast händer andra människor. Det kommer då leda till att listan inte används av de personerna med det tankesättet.
Den experimentella delen innehåller metoder för att bli av med skadlig kod.
I vissa fall måste systemet återställas för att bli av med den skadliga ko- den. Därför kommer inte informationen på datorn att kunna räddas. Detta beror på att det i dagsläget inte finns någon direkt lösning på bland annat ransomware-attacker som krypterat filer och förstört nycklarna [18].
1.6 Etik
I arbetet uppmanas läsarna till att alltid använda någon typ av antiviruspro- gram. För att ett antivirusprogram ska fungera och skydda systemet måste programmet ständigt ta in information. Antivirusprogrammet plockar in in- formation om vad som händer på datorn för att kunna identifiera skadliga händelser. Detta kan bli en fråga om kränkt integritet. Det kan vara svårt att veta exakt vad det är för information som skickas och vad som används.
Exempel på information som kan skickas är webbsökningshistoriken. Detta kan i vissa fall vara känsligt för användaren. Då det inte går att veta exakt vad för typ av information som skickas kan detta då bli problematiskt för användarna.
1.7 Relaterade arbeten
För att kunna definiera vad ett skadligt program gör och vad för risker det medför måste det analyseras. Detta kan göras med hjälp av en virtuell ma- skin där programmet exekveras i en säker miljö för att en analys av vad som skett kan äga rum [19].
I ett tidigare arbete gjordes det en analys av skadlig kod som kördes på en virtuell maskin. Där beskrivs möjligheterna till att göra en statisk analys där endast den skadliga koden analyseras genom att läsa igenom koden. Detta var dock inte ett alternativ i det relaterade arbetet. Istället valdes alternati- vet att köra skadliga program i flera virtuella maskiner där programmen fick utföra sina skadliga handlingar innan skadorna analyserades. Den analysen
1.7. RELATERADE ARBETEN 9
hade dock inte samma syfte som det här arbetet, men den hade samma till- vägagångssätt [20].
En undersökning av skadliga program i virtuella maskiner kan vara proble- matisk i vissa fall. Detta beror på att vissa skadliga program konstrueras på ett sätt för att kunna känna av en virtuell miljö. Det kan leda till att pro- grammet inte exekveras som det borde. Syftet med den konstruktionen är för att försvåra för en analytiker att analysera de skadliga programmen. Ett tidigare arbete behandlar detta problem och analyserar olika förebyggande tekniker för sådana typer av skadliga program [21].
En sammanställning av en lista med åtgärder och uppmaningar till något kan vara väldigt enkel och nyttig att använda. Att utföra en mer omfattande undersökning och kortfattat beskriva slutsatserna kan bidra till stor hjälp för datoranvändare. I ett arbete där anti-phishing tekniker undersöktes skapades en lista för att undvika phishing-attacker. I den listan ingick bland annat att alltid installera och uppdatera brandväggar, aldrig maila personlig informa- tion som bankuppgifter till någon och aldrig öppna länkar i misstänksamma mail [22]. Listan skapades i form av en checklista och var riktad till vanliga användare och företag. Beroende på vad som skulle skyddas riktades åtgär- den till antingen endast företagen eller både företagen och vanliga användare.
De mer avancerade åtgärderna riktades inte till vanliga användare då de inte ansågs behöva ett avancerat skydd.
Kapitel 2 Metod
2.1 Metodval
För att besvara frågeställningarna har två olika metoder använts. En lit- teraturstudie och ett experiment. Litteraturstudien användes för att samla in vetenskaplig information om bakgrund och fakta om de olika typerna av skadlig kod. Experimentet har en bestämd dokumenterad procedur som an- vändes för att köra olika typer av skadlig kod på en virtuell maskin. Den metoden användes för att säkerställa att ingen skadlig kod skulle spridas ut- anför den virtuella maskinen. Den virtuella maskinen har körts i ”Virtualbox”
med operativsystemen ”Windows 7” och ”Windows 10”. Labbdatorn kördes med operativsystemet ”Windows 10”. Anledningen till valet av operativsy- stem är på grund av resurserna som var tillgängliga och för att avgränsa arbetet.
2.2 Litteraturstudie
Vid förstudien bestämdes att en litteraturstudie är mest relevant för att ta reda på bakgrund och fakta om de olika typerna av skadlig kod. Det va- let gjordes för att kartlägga de vanligaste typerna av skadlig kod genom att undersöka tidigare arbeten och böcker. Det finns information om vad som orsakar en infektion av skadlig kod. Med hjälp av den kartläggningen har en lista sammanställts med åtgärder som kan tas både innan och efter en infektion av skadlig kod. Listan hjälper till med att öka säkerheten och mini- mera risken för systemet att enkelt drabbas av skadlig kod jämfört med om
11
åtgärderna inte tagits i tid.
De flesta åtgärderna är till för innan själva infektionen. Anledningen till det är för att det alltid är enklare att förhindra skadlig kod än att göra sig av med den.
Litteraturstudien genomfördes genom en eftersökning av publicerade veten- skapliga artiklar i Google Scholar och högskolan i Halmstads sökfunktion.
IEEE är en databas som användes genom högskolan i Halmstad för att söka efter vetenskapliga arbeten.
Ord som användes för att söka relevant information är: Malware, virus, worms, spyware, virtual machine, antivirus, social engineering, trojan hor- se, computer malware risks, malware mitigation, adware.
2.3 Experimentell metod
Experimentet har genomförts som ett komplement till litteraturstudien. Det har gjorts för att undersöka vikten av att uppdatera antivirusprogram och operativsystem i praktiken. Det är svårt att förstå hur viktigt det egentligen är att uppdatera skydden på datorn. Därför testas detta i praktiken och påvisar hur det ligger till. Ett ransomware valdes i detta experiment då det både är aktuellt och nästintill omöjligt att knäcka utan att korrekt nyckel köpes i dagsläget. Det är därför viktigt att kunna bevisa att det finns skydd även för ett så allvarligt program. Experimentet jämför både gamla och nya versioner av antivirusprogram för att undersöka betydelsen av att uppdatera mjukvaror ur ett säkerhetsperspektiv. I experimentet ingår även jämförelse av operativsystem, skydd i webbläsaren och hur filer testas mot skadlig kod.
2.4 Problematisering av metod
En lista med åtgärdande förberedelser mot skadlig kod kan vara väldigt om- fattande. Därför är det viktigt att kartlägga de vanligaste misstagen som orsakar en infektion av skadlig kod för att ta med dessa åtgärder. Eftersom det handlar om en lista där användare ska ta del av åtgärderna kan det vara betydelsefullt att formulera sig kortfattat. Detta fanns i åtanke för att an-
2.5. OMFATTNING 13
vändarna inte ska tappa intresset om det är för långa förklaringar.
Experimentet har genomförts med endast en typ av skadlig kod. Det ha- de kunnat genomföras med fler typer av skadlig kod. I det här arbetet anses det inte vara nödvändigt att prova flera typer av skadliga program. Detta beror på att det inte är själva koden som är intressant, utan systemskyddets reaktion.
Det finns olika risker med att köra en skadlig programvara på en virtuell maskin. Den virtuella maskinen måste vara isolerad från både nätverk och datorn som agerar som värd. Det finns även risk att den skadliga programva- ran inte beter sig som den borde på grund av den virtuella miljön. Det kan vara svårt att ta reda på detta utan djupare analys.
Det går inte att veta exakt hur många det är som inte uppdaterar sina antivi- rusprogram, men det är känt att det i många fall är ett problem. Det bevisas i antalet infektioner som sker på datorer när det egentligen finns skydd mot de typerna av skadliga program [23]. Detta beror alltså på att många anting- en inte uppdaterar sina antivirusprogram eller också att de inte har något antivirusprogram.
2.5 Omfattning
Arbetet tar upp de vanligaste typerna av skadlig programvara som är rik- tade till vanliga användare. Det som ofta riktas till vanliga användare är virus, maskar, trojanska hästar, reklamprogram och spionprogram. Arbetet tar upp generella åtgärder för vanliga användare som bör tas för att hind- ra infektion av skadlig programvara. För att avgränsa arbetet valdes endast operativsystemen ”Windows 7” och ”Windows 10” till experimentet.
2.6 Alternativa metodval
Genomförandet av experimentet kunde genomförts på ett annat sätt där fle- ra olika typer av skadliga program kunde köras på virtuella maskinen. Den metoden valdes dock bort då det inte ansågs vara nödvändigt med olika typer av skadliga program till den typen av experiment. Ur ett säkerhetsperspek-
tiv kunde en så kallad ”sandlåda” användas som en extra säkerhetsåtgärd till experimentet. Det valdes inte då labbdatorn inte krävde några extra säkerhetsåtgärder på grund av att den endast var till för sådana typer av experiment.
Kapitel 3 Empiri
3.1 Säker labbmiljö
För att utföra ett experiment där skadlig kod körs måste en säker labbmiljö finnas. En säker labbmiljö är viktig då vissa typer av skadlig kod kan sprida sig och orsaka stora skador. Nätverket är den vanligaste vägen för skadlig kod att sprida sig. Därav är det viktigt att välja hur experimentets tillväga- gångssätt ska vara innan det genomförs.
Vissa skadliga program kräver en konstant uppdatering via internet för att fungera som de ska. Detta kan vara problematiskt då risken finns att det sprider sig över det egna nätverket. Det kan innebära att de som skrivit det skadliga programmet kan få reda på att någon analyserar deras kod genom att programmet uppdateras online. Det är därför viktigt att fundera nog- grant på om en internetuppkoppling är nödvändig. Skulle det vara nödvän- digt är de vanligaste inställningarna för nätverket ”bridget network adapter”
och ”network address translation” [17]. I det här experimentet krävdes inte någon internetuppkoppling och därför isolerades virtuella maskinen från nät- verket (se Figur 3.1) med inställningen ”not attached”.
Det finns även en risk för att skadliga program känner igen den virtuella miljön samt att koden antingen inte exekveras eller att det körs på ett annat vis än vanligt. Anledningen till att det skadliga programmet skrivs på det sättet är för att försvåra för analytiker att analysera programmet.
15
En så kallad ”sandbox” kan användas för att köra ett farligt program i en virtuell maskin. Detta görs för att höja säkerheten och undvika spridning till riktiga enheter [17]. Det användes inte i experimentet då labbdatorn var avsedd för sådant och inte behövde något extraskydd.
Figur 3.1: Den virtuella maskinen med operativsystemet Windows 7 var iso- lerad från nätverket (röd markering) och kördes på ett system med operativ- systemet Windows 10.
3.2 Experimentuppställning
Den virtuella maskinen kördes i programmet Oracle Virtualbox 6.0.4 med operativsystemen ”Windows 7 Ultimate 64-bits” och ”Windows 10 home 64- bits”. ”Virtualbox” valdes för att det är ett praktiskt verktyg som erbjuder många gynnsamma funktioner som till exempel snapshot-funktionen. Den funktionen sparade mycket tid då maskinen kunde köras från en punkt där det endast fanns ett operativsystem installerat. På det viset kunde installe- ring av nytt antivirusprogram direkt påbörjas utan att behöva avinstallera
3.2. EXPERIMENTUPPSTÄLLNING 17
det senaste antivirusprogrammet. Funktionen gör det även möjligt att åter- ställa den virtuella maskinen till ett stadium där den inte var infekterad av skadlig kod.
Två olika virtuella maskiner förbereddes på labbdatorn för att jämföra de gamla antivirusprogrammen med de nyare versionerna av samma utvecklare.
Tre antivirusprogram användes för att genomföra jämförelsen. Den skadliga filen är det kända ransomwaret ”Wannacry” och är hämtat från ”Github”.
”Github” är en utvecklingsplattform där medlemmar delar information och kunskap med andra medlemmar. Med den skadliga filen kom ett lösenord för att inte infektera datorn av misstag. Lösenordet för att packa upp och exekvera filen är ”infected”.
En ny och en gammal version installerades av tre olika antivirusprogram.
Alla antivirusprogram som användes är gratisversioner. De gamla versioner- na av antivirusprogrammen är hämtade från ”OldVersion”. Programmen som användes är:
• Avg Internet security – Versioner: 2013.2897 och 19.2.3079
”AVG” är ett antivirusprogram som erbjuder både en gratis- och en betalver- sion. Båda versionerna erbjuder fullt skydd för att stoppa malware. Betalver- sionen erbjuder tilläggsskydd som till exempel bankinloggningar, upptäcker om webbsidor är pålitliga och många fler funktioner. Gratisversionen räcker för det här experimentet då det skyddar helt mot malware.
• Microsoft Security Essentials – Versioner: 1.0.1161 och 4.10.209.0
”Microsoft security essentials” är ett helt kostnadsfritt antivirusprogram av
”Microsoft”. Det stöds endast av operativsystemen ”Windows 7” och ”Win- dows vista”. Detta antivirusprogram erbjuder ett realtidsskydd som skyddar mot malware.
• Avast - Versioner: 7.0.1474 och 19.3.2369
”Avast” är ett antivirusprogram för datorer, smarttelefoner och surfplattor.
Det finns tre olika versioner av ”Avast”. En av dessa är gratis och de två andra kostar olika mycket beroende på vad skyddet ska täcka.
En tredje virtuell maskin skapades även för att undersöka sårbarheten i ”Win- dows 10” jämfört med ”Windows 7”. Maskinen med ”Windows 10” testades utan ett antivirusprogram för att undersöka hur mycket standardskydd som erbjuds.
Två tester genomfördes för att undersöka möjligheterna till att förhindra popup-fönster när webbsidor besöks och att testa om en fil innehåller skadlig kod. Testet med popup-fönster avser att undersöka standardinställningar- na på webbläsaren kontra tilläggsskydd för att förhindra popup-fönster. Det andra testet gjordes för att undersöka träffsäkerheten hos verktyget på om en fil är skadlig eller inte.
3.3 Genomförande
De två första virtuella maskinerna förbereddes med ”Windows 7”. En av ma- skinerna kördes utan ett antivirusprogram för att undersöka möjligheterna att förhindra skadlig kod från att infektera systemet. När det var genom- fört fick båda maskinerna en varsin version av ett antivirusprogram: en ny och en gammal version. Som tidigare nämnts har snapshotfunktionen an- vänts för att kunna återställa maskinen till det stadium då det endast fanns ett operativsystem installerat. Detta sparade mycket tid då avinstallering av antivirusprogrammen inte var nödvändig för att installera nytt antiviruspro- gram. Det hjälpte även till med att bli av med skadliga koden vid en infektion.
För att undersöka antivirusprogrammets reaktion packades den skadliga filen upp från zip-formatet innan den skadliga koden exekverades. Det är alltså två gånger som antivirusprogrammet testas. Det första testet gjordes för att undersöka om antivirusprogrammet reagerade på när den skadliga filen pac- kades upp ur zip-formatet. Det andra testet genomfördes för att undersöka om antivirusprogrammet kunde stoppa det skadliga programmet från att kö- ras och förstöra innehållet i systemet. Experimentet kördes enligt en planerad procedur för vad som ska göras i fyra olika steg (se Figur3.2).
Efter varje test återställdes maskinen enligt proceduren och ett nytt test genomfördes. Det som blev kvar på maskinen var operativsystemet och ett icke exekverat exemplar av ransomwaret ”Wannacry” (se Figur 3.3). Den tredje virtuella maskinen skapades för att genomföra ett test i ”Windows 10”.
3.4. POPUP-FÖNSTER 19
Figur 3.2: Procedur med fyra steg som användes till genomförandet av expe- rimentet med antivirusprogram.
Till skillnad från föregående tester, genomfördes samma procedur dock ut- an att installera något extraskydd mot skadlig kod. Detta genomfördes för att undersöka huruvida ”Windows 10” erbjuder någon typ av skydd utan användarens initiativ att skydda systemet.
3.4 Popup-fönster
Testet genomfördes i webbläsaren ”Google Chrome” (version: 74.0.3729.131).
Valet av webbläsare gjordes på grund av dess popularitet som år 2015 låg på 46.03% [24] och som fortsätter öka. Enligt andra källor ligger den siff- ran mellan 57.4-69.09% i dagsläget [25] [26] [27]. Inställningen för blockering av popup-fönster var aktiverad som standard när webbläsaren installerades.
Webbsidan ”Streamtajm.com” besöktes för att genomföra testet med endast standardinställningen. Webbsidan ”Streamtajm.com” besöktes då författaren kände till att den webbsidan visar popup-fönster vid navigeringar på webb- platsen. Sedan hämtades tilläggsskyddet ”Poper blocker 4.0.8.3” från ”Chro- me web store” för att göra ett nytt test. Popup-fönstret öppnas i vanliga fall när användaren klickar i sökrutan på webbplatsen.
Figur 3.3: I denna figur visas hur systemet såg ut efter varje återställning som genomfördes i Figur 3.2. Systemet bestod av Ett operativsystem med dess standardprogram, Google chrome och ett icke exekverat exemplar av ransom- ware Åannacry". f
3.5 Virustotal
Ett test genomfördes där onlineverktyget ”Virustotal” användes. ”Virustotal”
är ett gratisverktyg som hjälper till med att undersöka ifall filer innehåller skadliga koder eller inte [10]. Verktyget skannar igenom filerna som laddas upp av användaren. Hashsumman på filen jämförs med hashsummor på olika skadliga program. ”Virustotal” använder olika antivirusutvecklares databaser med svartlistade program som används till jämförelsen. Filen som matas in jämförs med befintliga skadliga program och ett resultat ges. Antingen visar det sig att filen är skadlig eller att den inte är det. Det är dock möjligt att verktyget skulle kunna meddela att en fil inte är skadlig fast att den är det.
Detta beror i så fall på att det skadliga programmet är nytt och okänt för
3.5. VIRUSTOTAL 21
antivirusutvecklarna. Verktyget användes för att undersöka träffsäkerheten på filtesterna. Tre olika filer kördes i verktyget ”Virustotal” där en av dem var det skadliga programmet ”Wannacry”. Filerna som kördes hade filändelserna .jpg, .txt och .exe där filen med ändelsen .exe var den skadliga filen.
Kapitel 4 Resultat
4.1 Resultat av experiment
4.1.1 AVG Internet Security
AVG version 2013.2897 (från 2013)
Den gamla versionen av ”AVG” varnade och rekommenderade att uppdatera antivirusprogrammet då datorn kunde vara utsatt för flera risker. Två alter- nativ visades på skärmen: uppdatera eller uppdatera senare. Då experimentet gick ut på att undersöka riskerna med att skjuta upp uppdateringen valdes alternativet ”uppdatera senare”. Den skadliga filen öppnades i zip-format och packades upp på skrivbordet. ”AVG” antiviruset gav inga tecken på att da- torn kunde vara utsatt för hot. Därefter exekverades den skadliga filen och alla filer i systemet krypterades och blev helt oanvändbara (se Figur 4.1).
”AVG” reagerade heller inte efter på att systemet infekterats av ransomware.
23
Figur 4.1: I den här figuren visas skrivbordet på den virtuella maskinen efter infektionen av ransomwaret ”Wannacry”
AVG version 19.2.3079 (från 2019)
Den skadliga filen packades upp till skrivbordet, men den senaste AVG- versionen reagerade förvånansvärt inte på att en skadlig fil hade packats upp.
Detta är anmärkningsvärt då ransomwaret ”Wannacry” funnits sedan 2017 [28]. Ett sådant välkänt antivirusprogram bör upptäcka den skadliga filen.
När den skadliga filen exekverades stoppades den av ”AVG” och raderades.
Inga filer eller funktioner i systemet skadades. ”AVG” visade ett meddelande där det stod att ett hot upptäckts och flyttats till en säker plats. Program- met visade även att filen som exekverades innehöll det skadliga ransomwaret
”Wannacry”.
4.1. RESULTAT AV EXPERIMENT 25
4.1.2 Microsoft Security Essentials
Microsoft Security Essentials version 1.0.1161 (2009)
Den skadliga filen öppnades i zip-formatet och packades upp till skrivbor- det. Även i detta fall gavs ingen reaktion på att det fanns ett hot i systemet.
Detta var dock helt förväntat jämfört med den nyare versionen av AVG. Den skadliga filen exekverades och passerade fritt genom antivirusprogrammet.
Alla filer i systemet förstördes och krypterades av ransomwaret. Antivirus- programmet reagerade inte på att systemet infekterats med någon skadlig kod.
Microsoft Security Essentials version 4.10.209.0 (2019)
När den skadliga filen var på väg att packas upp ur sitt zip-format stop- pades processen helt av antivirusprogrammet. Ett meddelande visade att en skadlig fil hittats och raderats. Eftersom det inte gick att packa upp filen gjor- des det ett försök att köra den direkt från sitt zip-format. Även det stoppades av antivirusprogrammet och varnade från den skadliga filen.
4.1.3 Avast Antivirus
Avast 7.0.1474 (2012)
Även den gamla versionen av ”Avast” reagerade på samma sätt som de ti- digare äldre versionerna av antivirusprogrammen. Det gick att både packa upp och köra den skadliga filen utan någon reaktion av antivirusprogrammet.
Avast 19.3.2369 (2019)
Den nya versionen av ”Avast” reagerade på samma sätt som ”Microsoft secu- rity essentials”. Den skadliga filen kunde varken packas upp eller köras direkt från zip-formatet. Det här resultatet var förväntat (se Figur 4.2).
Figur 4.2: Senaste versionen av antivirusprogrammet Avast stoppar ransom- waret Wannacry
4.1.4 Windows 10
Det här testet gick ut på att undersöka vad för skydd som erbjuds av ”Micro- soft” precis efter installationen av operativsystemet ”Windows 10”. Därför in- stallerades inte något skydd på operativsystemet mer än vad som ingick. När den skadliga filen skulle laddas ned online användes webbläsaren ”Microsoft edge”. Nedladdningen av den skadliga filen nekades av ”Windows Defender”
på grund av det skadliga innehållet (se Figur 4.3). ”Windows Defender” är ett skydd som kommer installerat med operativsystemet. Det fanns alltså inget sätt att tillåta hämtningen av filen. För att försöka komma runt detta och hämta filen laddades ”Google Chromes” webbläsare ned. Sedan testades hämtningen av den skadliga filen genom ”Google Chrome”. Även i detta fall nekades hämtningen. Då filen inte gick att hämta till systemet gjordes ingen vidare undersökning om filen kunde exekveras eller inte.
4.1. RESULTAT AV EXPERIMENT 27
Figur 4.3: Windows Defender nekar nedladdning av skadlig fil
4.1.5 Förhindra popup-fönster
Många webbläsare har en inbyggd inställning för att förhindra så kallade popup-fönster. Den är inte alltid tillräcklig enligt experimentet. Med den vanliga inställningen i ”Google Chrome” lyckades popup-fönster ändå visas.
Sedan lades tilläggsskyddet ”Poper blocker” till i webbläsarens verktyg för att göra ett nytt försök. När webbsidan besöktes på nytt hindrades popup- fönstren från att visas. Tillägget frågade om popup-fönstret skulle visas och användaren fick ett alternativ innan popup-fönstret öppnades. Användaren kunde ignorera popup-fönstret och fortsätta navigeringen som vanligt eller också välja att öppna popup-fönstret genom verktyget.
4.1.6 Virustotal
Testet som genomfördes i ”Virustotal” gick som förväntat. De två benigna filerna kördes i verktyget ”Virustotal” utan någon anmärkning. Verktyget visade inga som helst misstankar om att någon av de två filerna kunde vara
skadlig. Den första .jpg-filen kördes totalt igenom 56 olika databaser där samtliga svarade med att filen inte var skadlig. Textfilen kördes igenom 55 olika databaser och även i detta fall bedömdes filen som ofarlig. Den skadliga .exe-filen kördes igenom 71 olika databaser där 64 av dessa varnade för filen.
De olika resultaten beskrev den skadliga filen som ransomwaret ”Wannacry”, vilket var helt korrekt.
4.2 Resultat kartläggning av attackvektorer
Malware kan spridas på många olika sätt. Social manipulation är en vanlig metod för att sprida malware. Denna metod kan vara väldigt framgångsrik om gärningspersonen formulerar attacken på ett skickligt sätt. Gärningsper- sonens tillvägagångssätt har alltså en betydande effekt för en lyckad attack.
Det krävs inte en hög hacking-kompetens för att lyckas med en sådan attack, utan det viktiga är hur människan luras till att infektera sitt eget system.
Av många olika typer av attacker som phishing, smsishing, social networking är malware den typen av attack som är mest framgångsrik. Anledningen till detta är just för att malware går att sprida till alla plattformar som datorer, telefoner och surfplattor. Det handlar om att utnyttja användarnas nyfiken- het och behov för att lyckas med en sådan attack [29].
Ett vanligt webbaserat virus behöver en användares handling för att syste- met ska infekteras. Detta kan ske genom att offren besöker länkar som de fått skickat till sig genom exempelvis sin e-mail. Ofta händer det att länkar som skickas förkortas genom onlineverktyg för att dölja den egentliga webbsidans domännamn. Anledningen till den metoden är för att länken inte ska avslöja vilken sida som kommer att besökas [30]. Ibland skickas länkar till e-mailen i form av bilder som är gjorda för att se ut att komma från ett legitimt företag (se Figur 4.4).
4.2. RESULTAT KARTLÄGGNING AV ATTACKVEKTORER 29
Figur 4.4: En skärmdump av ett spam-mail som ser ut att komma från det stora e-handelsföretaget Amazon
Spionprogram kan ta sig in på ett system på flera sätt. Ett av de vanligaste sätten är genom en så kallad ”Drive-by download” [3]. En sådan nedladdning sker oförväntad när en användare besöker en skadlig webbsida. Gärnings- personen utnyttjar säkerhetsluckor i användarnas webbläsare för att ned- laddningen ska ske utan att användaren accepterat nedladdningen. Namnet
”drive-by” kommer från att användaren besöker webbsidan som därmed le- der till en automatisk nedladdning. För att undvika den typen av attack bör okända länkar undvikas och webbläsare bör uppdateras. Det viktigaste och i vissa fall avgörande för att undvika en sådan attack är att i god tid ha instal- lerat extraskydd i webbläsaren. Ett sådant skydd skyddar mot misstänkta webbsidor som inte bör besökas [31].
Flera verktyg och program som laddas ned online kan ha .exe som filän- delse. Detta kan i vissa fall vara väldigt skadligt och bör endas köras om filen är från en legitim utgivare. I experimentet kördes en .exe fil som visade sig vara väldigt skadlig för systemet. Filens namn kunde ändras och den kördes på exakt samma sätt som med sitt ursprungliga namn. Därför är det viktigt att inte bli lurad av namnet på filen. Till exempel om en sådan fil laddas ned och har namnet av ett spel fast att det egentligen inte är det spelet. Då har skaparen bytt namnet på filen till ett spelnamn för att lura datoranvändaren till att köra det skadliga programmet. I det fallet kan det vara betydelsefullt
att testa en misstänkt fil i verktyget ”Virustotal” för att undersöka om filen är skadlig.
4.3 Resultat: lista med åtgärder och skydd mot skadlig kod
En lista har sammanställts för att lista olika åtgärder som bör tas för att förhindra olika malware-attacker. Åtgärderna nedan bör tas för att undvika en infektion av tidigare nämnda typer av skadliga program [32].
• Ett antivirusprogram måste alltid vara installerat på datorn.
En malware-attack är snabbare än människan när koden väl ska exekveras.
Det är därför viktigt att människan vidtar åtgärder innan en skadlig kod exekveras. Ett antivirusprogram är ett exempel på en åtgärd som tas innan en malware-attack och som kommer att hindra de flesta attackerna.
• Uppdatering av antivirusprogram är nödvändig.
Det är viktigt att uppdatera antivirusprogram till den senaste versionen av säkerhetsskäl. En gammal version av ett antivirusprogram kan aldrig skydda lika mycket som en nyare version av samma antivirusutvecklare. I experi- mentet kunde detta bevisas då samma antivirusprogram med olika versioner användes för att testa en infektion. Den nyare versionen klarade av att skydda systemet bättre än den gamla. Vissa antivirusprogram erbjuder automatis- ka uppdateringar medan andra program informerar användaren när det är dags att uppdatera. Oftast visas meddelandet tillsammans med ett alterna- tiv för att uppdatera antivirusprogrammet. Då räcker det med att välja det alternativet och programmet sköter resten av uppdateringen.
• Uppdatering av operativsystem är nödvändig. Bästa alternativet är att uppgradera operativsystemet när det befintliga har några år på nacken.
Operativsystemen brukar rekommendera att uppdatera operativsystemet.
Det är viktigt då nya uppdateringar innebär oftast att säkerhetsbrister upp- daterats. I experimentet jämfördes ”Windows 7” och ”Windows 10”. Det vi- sade sig att ”Windows 10” inte krävde några tillägg för att skydda mot just den skadliga filen som användes i experimentet. ”Windows 7” klarade alltså
4.3. RESULTAT: LISTA MED ÅTGÄRDER OCH SKYDD MOT SKADLIG KOD31
inte av att skydda mot den skadliga filen utan ett uppdaterat antiviruspro- gram. Operativsystem informerar om när en uppdatering är tillgänglig och frågar användaren huruvida uppdateringen ska ske. Detta meddelas tillsam- mans med flera alternativ om när uppdateringen ska ske. Det är då viktigt att välja att uppdatera snarast.
Det finns en uppdatering tillgänglig för äldre Windows-operativsystem som skyddar mot det skadliga programmet ”Wannacry”. Det är därför viktigt att hålla operativsystemet uppdaterat. [33]
• Öppna aldrig bilagor från misstänksamma mail.
Det händer ofta att spam-mail passerar genom mail-filtret och lyckas hamna bland alla andra mail. Därav är det viktigt att hålla koll på vad som verkligen är ett riktigt mail och vad som inte är det. För att ta reda på om ett mail är förfalskat kan mailadressen i första hand granskas. I sådana mail kan även felstavningar och en brådskande känsla förekomma. Med en brådskande känsla menas att avsändaren vill att mottagaren ska följa en instruktion så fort som möjligt genom att ange en tid då användaren ska ha gjort något angivet i mailet.
• Förhindra påtvingad reklam som popup-fönster
Vissa webbplatser visar reklam i form av popup-fönster där en ny webbsida plötsligt öppnas vid ett klick på webbplatsen. Detta går att hindra med hjälp av extra tilläggsskydd i webbläsaren. Testet som genomfördes i arbetet visar på att ett tilläggsskydd utöver standardskyddet är nödvändigt för att förhindra popup-fönster. ”Poper blocker” är ett exempel på ett sådant verktyg som hindrar popup-fönster. Det verktyget finns tillgängligt för webbläsaren
”Google Chrome”.
• Ladda inte ned program från okända utgivare.
För att alltid garantera en säker nedladdning av mjukvaror bör varje mjuk- vara endast hämtas från den riktiga utgivarens webbplats. Ett program kan liknas vid en legitim mjukvara men som i själva verket är ett skadligt program om den hämtas från en okänd webbplats.
• Använda ”Superantispyware’ för att skydda sig mot spionprogram, mas- kar, trojaner och tangentloggare.
31
”Superantispyware” är en mjukvara som kan användas både innan och efter en attack. Programmet erbjuder en avancerad sökning och avlägsnande av skadliga program.
• Använda ”Malwarebytes” för extraskydd mot just malware
Det är som sagt omöjligt att skydda sig mot alla skadliga program. Speciellt när det handlar om ett nytt skadligt program. ”Malwarebytes” kommer in i bilden när ett skadligt program lyckats ta sig förbi antivirusprogrammet och infekterat systemet. Det hjälper då till med att rensa det mesta av det skad- liga programmet från systemet som antivirusprogrammet inte klarade av att ta bort. Gratisversionen av ”Malwarebytes” erbjuder alltså inte realtidsskydd och bör användas tillsammans med ett antivirusprogram [34].
• Använd alltid ett skanningverktyg mot misstänksamma filer som till exempel onlineverktyget ”Virustotal”.
Skulle det finnas minsta misstanke om att en fil skulle kunna vara skadlig bör det undersökas innan filen öppnas. Det kan vara värdefullt att köra filen genom skanningsverktyget ”Virustotal” för en undersökning. ”Virustotal” är ett verktyg som med hjälp av många olika antivirusutvecklare tar reda på om en fil är skadlig. Resultatet som ges av verktyget är med största sannolikhet ett korrekt resultat. Detta görs genom att besöka ”Virustotals” webbplats för att infoga den misstänkta filen och invänta resultat.
• Uppdatera webbläsare
För att undvika en så kallad drive-by nedladdning är det viktigt att upp- datera webbläsaren när det rekommenderas. Detta är för att webbläsarens utvecklare hela tiden uppdaterar säkerhetsbrister för att höja säkerheten.
De nya uppdateringarna får användaren endast tillgång till om webbläsaren uppdateras till den senaste versionen.
4.3. RESULTAT: LISTA MED ÅTGÄRDER OCH SKYDD MOT SKADLIG KOD33
För att förebygga infektioner av skadlig kod kan listan ovan användas som ett stöd för att minska riskerna. Om ett system infekteras med skadlig kod kan även vissa punkter av listan hjälpa i efterhand. Beroende på vad för typ av skadlig kod som infekterat systemet kan till exempel ”Malwarebytes” eller
”Superantispyware” vara till stor hjälp för att göra sig av med den skadliga koden.
I vissa fall krävs en betalning för att få tillgång till sina egna filer efter en infektion som till exempel efter en ransomware-attack. Om det handlar om ett crypto-ransomware finns det två olika alternativ för att bli av med den skadliga koden. Det ena alternativet är att betala det som krävs i ut- byte mot dekrypteringsnyckeln. Det andra alternativet är att genomföra en återställning av systemet. Återställningen innebär dock att all data i syste- met kommer att förloras. Den metoden är den sista och minst prioriterade lösningen för att göra sig av med skadlig kod från systemet.
33
Kapitel 5 Diskussion
5.1 Experimentdiskussion antivirusprogram
Experimentet gick ut på att undersöka nackdelen med att inte uppdatera mjukvaror som antivirusprogram och operativsystem. Resultaten av de olika testerna var förväntade, däremot tillkom vissa överraskningar. Syftet med experimentet var att testa olika metoder och jämförelser för att förebygga skadliga programvaror. Med hjälp av virtuella maskiner kunde experimen- tet genomföras. Det krävdes ett datorsystem som kunde utsättas för skadlig kod där risken fanns att data kunde förstöras. Därför var en virtuell ma- skin nödvändig för att utföra experimentet. För att spara tid skapades tre olika virtuella maskiner där var och en hade en uppgift. Två av dessa fick
”Windows 7” installerat för att sedan köras med olika antivirusprogram. I experimentet ingick tre olika antivirusprogram med två versioner av varje program. För att få en så korrekt jämförelse som möjligt gjordes testerna av samma antivirusprogram med de olika versionerna samtidigt.
Det fanns även risker med genomförandet av experimentet. Det använda och skadliga programmet ”Wannacry”, riskerade att sprida sig till andra enheter som var uppkopplade på samma nätverk. Detta hade kunnat leda till en ka- tastrof om det spridit sig på nätverket. Det var därför viktigt att följa rekom- mendationer om hur sådana typer av experiment ska hanteras. Inhämtningen av det skadliga programmet gjordes på ett säkert sätt från en webbplats som var avsedd för sådana typer av analyser. Webbplatsen erbjuder många olika skadliga program packade på ett säkert sätt för analyser. Programmen är
35
packade på ett sätt som gör det nästan omöjligt att exekvera det skadliga programmet av misstag. Detta var en fördel då labbdatorn var tvungen att vara uppkopplad till nätverket under inhämtningen av den skadliga filen. För att inte utsätta nätverket för fler risker skapades ett snapshot av tillståndet då systemet hade den skadliga filen nedladdad. För att installera antivirus- programmen var den virtuella maskinen uppkopplad på nätverket. Därmed var det viktigt att säkerställa att den virtuella maskinen inte var infekterad när den skulle kopplas upp mot nätverket.
De gamla versionerna av antivirusprogrammen hämtades från en sida som erbjuder gamla versioner av många olika mjukvaror. När en gammal version av antivirusprogram installerades i systemet visades ett meddelande om att versionen var föråldrad och bör uppdateras snarast. Experimentet gick ut på att ignorera rekommendationen om att uppdatera antivirusprogram. Därför valdes alternativet att uppdatera senare och behålla den föråldrade versionen av programmet.
Jämförelsen av de olika versionerna av antivirusprogrammen gick som för- väntat. Resultaten var även förväntade av de flesta antivirusprogrammen.
Ett antivirusprograms uppgift är att kontrollera att skadliga filer körs eller befinner sig i systemet. Antivirusprogrammet ”AVG” misslyckades med att kontrollera om skadliga program befann sig i systemet. Den skadliga filen innehöll som sagt ransomwaret ”Wannacry”. Det ransomwaret är känt av de flesta antivirusprogram i dagsläget och bör identifieras på en gång som en skadlig fil. ”AVG” misslyckades totalt med att känneteckna filen som skad- lig innan den exekverades. Det var inte förrän efter programmet var på väg att exekveras som det stoppades av antivirusprogrammet. Jämfört med den gamla versionen av ”AVG” var det däremot bättre med uppdateringen då det skadliga programmet inte lyckades infektera systemet som det gjorde med den gamla versionen.
5.2 Experimentdiskussion Operativsystem
Resultatet av experimentet som genomfördes för att jämföra ”Windows 7”
och ”Windows 10” var inte förväntat. ”Windows 7” installerades, men innan något antivirusprogram installerades hämtades den skadliga filen. Det var då planerat att den skadliga filen skulle köras både innan och efter ett an-
5.3. EXPERIMENTDISKUSSION POPUP-FÖNSTER OCH VIRUSTOTAL37
tivirusprogram installerats i systemet. Skillnaden mellan ”Windows 7” och
”Windows 10” var att det inte alls var möjligt att hämta den skadliga filen till systemet med ”Windows 10”. Därför ändrades experimentupplägget för
”Windows 10”. Anledningen till förändringen var för att det inte ansågs va- ra nödvändigt att tvinga in filen i systemet då operativsystemet inte tillät hämtningen av den skadliga filen. Det var alltså inte möjligt att hämta filen på det vanliga sättet. Dock var det möjligt att hämta filen genom att föra över den på ett externt lagringsmedia till den virtuella maskinen. Den möj- ligheten valdes dock bort för att experimentet inte skulle inkludera annat än labbdatorn och en nätverksuppkoppling.
Ändringen av experimentet för ”Windows 10” innebar att experimentet slu- tade vid hämtningen av den skadliga filen. Den skadliga filen stoppades av
”Windows Defender” redan vid nedladdning. Därför var det inte nödvändigt att installera ett annat antivirusprogram och försöka skydda systemet. Detta krävde alltså inga åtgärder av datoranvändaren. Den som har ett föråldrat operativsystem kan välja att uppgradera det till en nyare version. Genom en uppgradering, höjs säkerheten mot skadliga program.
Det finns som sagt en uppdatering till de äldre versionerna av operativ- system som hindrar det skadliga programmet i det här experimentet från att infektera systemet. Hade den nya uppdateringen använts i experimentet hade inte resultatet varit detsamma. Det är då ytterligare ett bevis på hur viktigt det är att uppdatera operativsystemet.
5.3 Experimentdiskussion popup-fönster och Vi- rustotal
För att förhindra popup-fönster kan ett tilläggsskydd läggas till i webbläsa- ren. Trots att det redan fanns ett inbyggt skydd i webbläsaren mot popup- fönster ansågs det finnas ett behov av ett extraskydd. Anledningen var för att det inbyggda skyddet inte var tillräckligt enligt experimentet i detta arbetet.
Popup-fönster visades trots att det vanliga inbyggda skyddet var aktiverat.
Därför lades ett extraskydd till. Informationen tagen ur källan angående hur stor andel av ”Google Chrome”-användare det finns, är fyra år gammal. Det finns statistik på att den siffran är ännu högre idag. Därför användes ytterli-
37
gare tre andra källor med ungefär samma siffra för att stärka påståendet om att siffran faktiskt ökat sedan år 2015.
”Virustotal” är som sagt ett betydande verktyg för att upptäcka huruvida en fil är skadlig. Det som dock var anmärkningsvärt när experimentet utför- des var tiden det tog för analysen. Det tog omkring tre minuter för att få ett resultat av varje fil som kördes. Om många filer måste köras i verktyget kan det ta lång tid för att få ett resultat. Det är dock värt väntan i slutändan för att förhindra risken att utsätta datorn för onödiga risker.
Kapitel 6 Slutsatser
Resultatet av arbetet visar på att det är väldigt viktigt att själv hålla koll på risker och hur dessa förhindras. Det är därför viktigt att hålla antivirus- program och operativsystem uppdaterade.
Vad finns det för vanliga attackvektorer för spridning av skadlig kod?
Det finns många sätt för malware att spridas till datorer runt om i världen.
Den största anledningen till spridningen är den mänskliga faktorn. Social manipulation är en central vektor för malware-attacker. Personer som vill skada gör det genom att utnyttja människans svagheter istället för att ge sig på datorernas svagheter som i många fall kan vara svårt. Därav är det enkla- re att rikta sina attacker på ett sätt där offret själv släpper in den skadliga koden omedvetet.
Vad finns det för åtgärder mot skadlig kod och hur förhindras at- tackerna?
För att skydda sig mot skadlig kod bör en datoranvändare känna till riskerna med det som görs på datorn. Till exempel riskerna med länkar som skickas till en via sin e-mail. En datoranvändare ska veta att skadliga koder kan gömma sig i mail, program från okända utgivare, förkortade länkar och på okända webbplatser. De länkarna kan i sin tur leda till en skadlig webbplats där en nedladdning av skadlig programvara tvingar sig in i systemet. En så kallad drive-by download som tidigare nämnts i arbetet.
Det första en datoranvändare bör göra är att installera ett antiviruspro- 39
gram och alltid hålla det uppdaterat till den senaste versionen. För att själv slippa uppdatera sitt antivirusprogram finns alternativet att köpa antivirus- programmet istället för gratisversionen. Många antivirusprogram erbjuder extraskydd och automatiska uppdateringar vid köp av licens.
Uppdateringar är väldigt viktiga för att hålla datorn skyddad mot skadli- ga program. Det handlar då i första hand om att uppdatera operativsystem, antivirusprogram och webbläsare. ”Malwarebytes” är ett verktyg med en kom- plettering för det som vanliga antivirusprogram inte skyddar. Det är för det mesta en åtgärd som tas efter att ett system infekterats av skadlig kod.
Det är viktigt att installera alla tidigare nämnda skydd för att det som män- niskan missar ska upptäckas av de installerade skydden på datorn. Det är alltså så att människan och skydden i systemet behöver varandra. Båda fun- gerar som en komplettering för varandra där båda måste ha koll på riskerna och tillsammans hålla skadlig kod borta från datorsystemet.
Kapitel 7
Framtida arbeten
Det finns som sagt ingen lösning på när ett ransomware krypterar filer i sy- stemet. Ett ransomware förstör nycklarna som användes vid krypteringen av filerna så att det inte går att få tag på dessa utan en betalning till gärnings- personerna. Det är därför ett alternativ att undersöka exakt hur nycklarna förstörs för att på så vis hindra programmet från att förstöra nycklarna. Det- ta kan leda till att nyckeln behålls och filerna i systemet går att dekrypteras utan att någon betalning görs till gärningspersonerna.
41
Litteraturförteckning
[1] F. Lévesque, J. Fernandez och A. Somayaji, “Risk prediction of malware victimization based on user behavior”, 2014. doi: 10.1109/MALWARE.
2014.6999412.
[2] O. Zaitsev, “System and method for computer malware detection”, 2013. URL:https://patents.google.com/patent/US8484727B2/en.
[3] J. Aycock, Computer viruses and malware. Springer Science+Business Media, LLC, 233 Spring Street, New York, NY 10013, USA, 2006.
[4] K. Yoshizaki och T. Yamauchi, “Malware detection method focusing on anti-debugging functions”, 2014. doi: 10.1109/CANDAR.2014.36.
[5] R. Richardson och M. North, “Ransomware: Evolution, mitigation and prevention”, 2017. URL: https://digitalcommons.kennesaw.edu/
facpubs/4276/.
[6] S. Shaid och M. Maarof, “Malware behavior image for malware variant identification”, 2018. doi: 10.1109/ISBAST.2014.7013128.
[7] L. Tidy och S. Woodhead, “The effect of datagram size and susceptible population on the epidemiology of fast self-propagating malware”, 2018.
doi: 10.1109/ICOIN.2018.8343148.
[8] S. Shao, C. Tunc, P. Satam och S. Hariri, “Real-time irc threat detection framework”, 2017. doi: 10.1109/FAS-W.2017.166.
[9] N. Lavesson, M. Boldt, P. Davidsson och A. Jacobsson, “Learning to detect spyware using end user license agreements”, 2011. doi:10.1007/
s10115-009-0278-z.
[10] J. Gao, L. Li, P. Kong, T. Bissayande och J. Klein, “Should you consider adware as malware in your study?”, 2019. doi: 10.1109/SANER.2019.
8668010.
43
[11] J. Aidan, H. Verma och L. Awasthi, “Comprehensive survey on petya ransomware attack”, 2017. doi:10.1109/ICNGCIS.2017.30.
[12] K. Cabaj och W. Mazurczyk, “Using software-defined networking for ransomware mitigation: The case of cryptowall”, 2016. doi: 10.1109/
MNET.2016.1600110NM.
[13] K. Villalba, A. Orozco, A. Vivar, E. Vega och t. Kim, “Ransomware automatic data acquisition tool”, 2018. doi: 10.1109/ACCESS.2018.
2868885.
[14] P. Ian, “Kaspersky total security vs. norton security premium.”, 2019, (hämtad 2019-05-17). URL: https : / / www . pcworld . com / article / 3337241/kaspersky-vs-norton.html.
[15] C. Neagu, “9 important criteria to use when choosing your antivirus software”, tekn. rapport, Hämtad: 2019-03-29. URL: https : / / www . digitalcitizen . life / how - choose - great - security - product - thats-right-you.
[16] D. Gollman, Computer security. John Wiley och Sons, Ltd, 2011.
[17] M. Sikorski och A. Honig, Practical malware analysis: The hands-on guide to dissecting malicious software. William Pollock, 2012.
[18] S. Saxena och H. Soni, “Strategies for ransomware removal and preven- tion”, 2018. doi:10.1109/AEEICB.2018.8480941.
[19] E. Gandotra, D. Bansal och S. Sofat, “Malware analysis and classi- fication: A survey”, 2014. URL: https : / / www . researchgate . net / publication / 276495476 % 5C _ Malware % 5C _ Analysis % 5C _ and % 5C _ Classification%5C_A%5C_Survey.
[20] J. Fowler, “Compression of virtual-machine memory in dynamic malwa- re analysis”, 2017. URL: https://commons.erau.edu/jdfsl/vol12/
iss1/9/.
[21] A. Pektas och T. Acarman, “A dynamic malware analyzer against vir- tual machine aware malicious software”, 2013. URL: https : / / www . researchgate.net/publication/259542937_A_dynamic_malware_
analyzer_against_virtual_machine_aware_malicious_software.
LITTERATURFÖRTECKNING 45
[22] J. Chhikara, R. Dahiya, M. Garg och R. M, “International journal of advanced research in computer science and software engineering”, 2013.
URL: https://www.researchgate.net/publication/283491468_
International _ Journal _ of _ Advanced _ Research _ in _ Computer _ Science_and_Software_Engineering.
[23] A. Malanov, “Who doesn’t need antivirus?”, tekn. rapport, (Hämtad:
2019-04-23). URL: https : / / me - en . kaspersky . com / blog / is - antivirus-really-dead/5916/.
[24] N. Virvilis, A. Mylonas, N. Tsalis och D. Gritzalis, “Security busters:
Web browser security vs. rogue sites”, 2015. doi: 10.1016/j.cose.
2015.04.009.
[25] W3Counter, “Browser & platform market store”, W3counter, tekn. rap- port, (Hämtad: 2019-06-07). URL: https : / / www . w3counter . com / globalstats.php.
[26] Netmarketshare, “Browser market share”, Net marketshare, tekn. rap- port, (Hämtad: 2019-06-07). URL: https : / / netmarketshare . com / browser- market- share.aspx?options=%7B%22filter%22%3A%7B%
22%24and%22%3A%5B%7B%22deviceType%22%3A%7B%22%24in%22%3A%
5B%22Desktop%2Flaptop%22%5D%7D%7D%5D%7D%2C%22dateLabel%22%
3A%22Trend%22%2C%22attributes%22%3A%22share%22%2C%22group%
22 % 3A % 22browser % 22 % 2C % 22sort % 22 % 3A % 7B % 22share % 22 % 3A - 1%7D%2C%22id%22%3A%22browsersDesktop%22%2C%22dateInterval%
22 % 3A % 22Monthly % 22 % 2C % 22dateStart % 22 % 3A % 222018 - 06 % 22 % 2C%22dateEnd%22%3A%222019- 05%22%2C%22segments%22%3A%22- 1000%22%7D.
[27] Statcounter, “Desktop browser market share worldwide”, Statcounter Globalstats, tekn. rapport, (Hämtad: 2019-06-07). URL: http://gs.
statcounter.com/browser-market-share/desktop/worldwide.
[28] G. Carl, G. Kesidis, R. Brooks och S. Rai, “Privacy, confidentiality, and security of health care information: Lessons from the recent wannacry cyberattack.”, 2017. doi: 10.1016/j.wneu.2017.06.104.
[29] K. Ivaturi och Janczewski., “A taxonomy for social engineering at- tacks”, 2011. URL: https : / / pdfs . semanticscholar . org / 9a86 / 754bf4481b06da7a90a62d3b9c0da9ffe72d.pdf.
[30] W. Liu och S. Zhong, “Web malware spread modelling and optimal control strategies”, 2017. doi:10.1038/srep42308.
[31] A. Sood och S. Zeadally, “Drive-by download attacks: A comparative study”, 2016. doi:10.1109/MITP.2016.85.
[32] P. Mell, K. Kent och J. Nusbaum, “Guide to malware incident preven- tion and handling”, 2005. doi: 10.6028/NIST.SP.800-83r1.
[33] Microsoft, “Microsoft security bulletin ms17-010 - critical”, 2017, (Häm- tad: 2019-05-03). URL: https : / / docs . microsoft . com / en - us / security-updates/securitybulletins/2017/ms17-010.
[34] N. Rubenking, “Malwarebytes free: Keep it in your toolbox.”, 2018, Tillgång till källa från databas: Academic Search Elite.
Besöksadress: Kristian IV:s väg 3 Postadress: Box 823, 301 18 Halmstad Telefon: 035-16 71 00
E-mail: registrator@hh.se www.hh.se
Ali Fawaz
