Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
M&M’s: Mafia & Malware’s     Balázs Zoltán    Hacktivity 2009
Agenda            Miről lesz szó?• 1. Netbank jelszavakat lopkodó malware  (Sinowal + MeBRoot)• 2. PIN kódokat lopkodó ATM...
Malware• MALicious softWARE• vírus, trójai, kémprogram, féreg, logikai  bomba, hátsó ajtó (backdoor), makró,  rootkit, adw...
......n .......s ......k• Bank of India hack                                      - 4 / 49 -
- 5 / 49 -
- 6 / 49 -
.....an .....ss .....rk• Bank of India hack• Szentpétervár                                     - 7 / 49 -
....ian .....ess ....ork• Bank of India hack• Szentpétervár• ZeuS                                     - 8 / 49 -
...sian ....ness ...work•   Bank of India hack•   Szentpétervár•   ZeuS•   Gozi                                     - 9 / ...
..ssian ...iness ..twork•   Bank of India hack•   Szentpétervár•   ZeuS•   Gozi•   Mpack                                  ...
.ussian ..siness .etwork•   Bank of India hack•   Szentpétervár•   ZeuS•   Gozi•   Mpack•   Storm                         ...
Russian Business Network•   Bank of India hack•   Szentpétervár•   ZeuS•   Gozi•   Mpack•   Storm                         ...
Sinowal/Torpig + MeBRoot• Hogyan terjed…• Minimum 2700 trigger URL• Internet Explorer hook• tűzfal/proxy/proxy  authentiká...
Sinowal + MBR történelem• 2007 november (2005 BH)• milliós kredit kártya info, banki azonosítók• 2008. az egyik „neves háR...
Érdekességek - Sinowal•   Kaspersky -"Backdoor.Win32.Sinowal.fge"•   3541. detektált(!) variáns•   egy nap alatt 145 új va...
Wepawet + Virustotal                       - 16 / 49 -
MBR fertőzés (MeBRoot)• kiolvassa MBR-t (Master Boot Record) és  átmásolja partíciós táblát• saját MBR és az elmentett par...
MeBRoot• Régebben disk.sys hook• Megnézi, melyik a legalsó réteg amihez  a DeviceHarddisk0DR0 csatlakozik –  hook• Atapi.s...
…???.???.???.???
…???.???.???.???
…???.???.???.???
…                     …    ???.???.???.???
…                     …    ???.???.???.???
Domain flux• Periodikusan új domaint generál a kliens• Heti domain (dmiafgves .com/.net/.biz)• Napi domain (gfdpves .com/....
Live demo            - 27 / 49 -
Támogatott programok• services.exe        •   Total Commander• explorer.exe        •   Thunderbird• Internet Explorer   • ...
Netbank tanácsok• Nem túl hatékony   – Telepítsen vírusvédelmi, kémprogram    elleni és tűzfalszoftvert…  – Tartsa naprak...
Netbank tanácsok• Egész jó   – Tranzakció adatok független    csatornán, jóváhagyás előtt    (SMS, USB dongle)  – Adminis...
Agenda         ATM biztonság                         - 31 / 49 -
ATM• kutatások az ATM-ek (PIN kód)  sebezhetőségeiről  – 2003 Cambridge Egyetem kutatói  – 2006-ban Omer Berkman és Odelia...
Támadási modellek• Cél: kártyaadat vagy pénz• Fizikai támadások    – kamu ATM támadók telszámával, skimming,      robbantá...
Trojan.Skimer.a• 2009. január: ATM-ekből a szervezett  bűnözés megszerzi a kártyaszámokat +  PIN kódokat• Virustotal 1• Vi...
A támadás• a maffia felbérel egy ATM szakértőt• az ATM szabványos API-ját használva  lekérdezi a tranzakció adatokat (pl. ...
Támadási komplexitásEPP decrypt = 1 lépés, azonnalISO-0 + VISA-3 konverziós támadás ~ 88 percDecimalisation tábla támadás ...
- 39 / 49 -
Trojan.Skimer.a• adatokat a merevlemezen tárolja• speciális bankkártya triggereli - > adatokat a  nyugtára nyomtassa• Wind...
Trojan.Skimer.a• adatokat a merevlemezen tárolja• speciális bankkártya triggereli - > adatokat a  nyugtára nyomtassa• Wind...
AT szervizkulcs
Trojan.Skimer.a• adatokat a merevlemezen tárolja• speciális bankkártya triggereli - > adatokat a  nyugtára nyomtassa• Wind...
Védekezési módszerek•   Chip kártya•   Gyártó patch•   Skimming érzekelő•   Pénzfestés•   Felügyeleti rendszer•   AV az AT...
AgendaEllopták az oroszok a tankot …• Vajon hogyan lehet az, hogy  Oroszországban és Közép Kelet  Európában (pl. Ukrajna),...
Ellopták az oroszok a tankot …• Az állami kitüntetés  külföldi oldal deface-  elésért - www.evrey.com• ha a tehetséges  pa...
Gyakran ismételt kérdések• Itt a világvége?   – Nem, mert $≠• Vegyem ki az összes pénzem a bankból és  dugjam a párnámba?...
Köszönöm a megtisztelő       figyelmetAz erő velünk van, csak tanuljuk meg             használni Hacktivity 2009 – mert se...
[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s
[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s
[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s
[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s
[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s
Nächste SlideShare
Wird geladen in …5
×

[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s

721 Aufrufe

Veröffentlicht am

2009 Hacktivity presentation

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s

  1. 1. M&M’s: Mafia & Malware’s Balázs Zoltán Hacktivity 2009
  2. 2. Agenda Miről lesz szó?• 1. Netbank jelszavakat lopkodó malware (Sinowal + MeBRoot)• 2. PIN kódokat lopkodó ATM malware (Trojan.Skimer)• 3. Orosz szervezett bűnözésről – Az előadás nem hackerekről fog szólni, hanem a szervezett bűnözésről, akik a számítástechnikát is igénybe veszik sötét céljaik elérése érdekében - 2 / 49 -
  3. 3. Malware• MALicious softWARE• vírus, trójai, kémprogram, féreg, logikai bomba, hátsó ajtó (backdoor), makró, rootkit, adware, crimeware, billentyűzet/képernyő-figyelő, mobil-vírus, hoax, tárcsázó, scareware, ransomware, fake-av, stb. - 3 / 49 -
  4. 4. ......n .......s ......k• Bank of India hack - 4 / 49 -
  5. 5. - 5 / 49 -
  6. 6. - 6 / 49 -
  7. 7. .....an .....ss .....rk• Bank of India hack• Szentpétervár - 7 / 49 -
  8. 8. ....ian .....ess ....ork• Bank of India hack• Szentpétervár• ZeuS - 8 / 49 -
  9. 9. ...sian ....ness ...work• Bank of India hack• Szentpétervár• ZeuS• Gozi - 9 / 49 -
  10. 10. ..ssian ...iness ..twork• Bank of India hack• Szentpétervár• ZeuS• Gozi• Mpack - 10 / 49 -
  11. 11. .ussian ..siness .etwork• Bank of India hack• Szentpétervár• ZeuS• Gozi• Mpack• Storm - 11 / 49 -
  12. 12. Russian Business Network• Bank of India hack• Szentpétervár• ZeuS• Gozi• Mpack• Storm - 12 / 49 -
  13. 13. Sinowal/Torpig + MeBRoot• Hogyan terjed…• Minimum 2700 trigger URL• Internet Explorer hook• tűzfal/proxy/proxy authentikáció/hagyományos blacklist tartalomszűrő• 79% - 13 / 49 -
  14. 14. Sinowal + MBR történelem• 2007 november (2005 BH)• milliós kredit kártya info, banki azonosítók• 2008. az egyik „neves háRombetűs biztonSágtechnikAi cég“ törte fel az egyik Sinowal-os anyahajót• 2009. január 25.- február 4. amerikai egyetem kutatói 10 napra eltérítették a botnetet – SSL hiba - 14 / 49 -
  15. 15. Érdekességek - Sinowal• Kaspersky -"Backdoor.Win32.Sinowal.fge"• 3541. detektált(!) variáns• egy nap alatt 145 új variáns• Sinowal írtó # dd if=/dev/zero of=/dev/(s|h)d(a-z) - 15 / 49 -
  16. 16. Wepawet + Virustotal - 16 / 49 -
  17. 17. MBR fertőzés (MeBRoot)• kiolvassa MBR-t (Master Boot Record) és átmásolja partíciós táblát• saját MBR és az elmentett partíciós tábla• eredeti MBR másolása az új MBR utolsó szektorába• MBR írása diszkre• reboot - 17 / 49 -
  18. 18. MeBRoot• Régebben disk.sys hook• Megnézi, melyik a legalsó réteg amihez a DeviceHarddisk0DR0 csatlakozik – hook• Atapi.sys, acpi.sys, vmscsi.sys• Egyéni kernel objektum típust hoztak létre, az eredeti „Device” másolatát, hook, majd a ParseProcedure eljárás kicserélése• Végül DeviceHarddisk0DR0 típus kicserélése az egyéni típusra - 18 / 49 -
  19. 19. …???.???.???.???
  20. 20. …???.???.???.???
  21. 21. …???.???.???.???
  22. 22. … … ???.???.???.???
  23. 23. … … ???.???.???.???
  24. 24. Domain flux• Periodikusan új domaint generál a kliens• Heti domain (dmiafgves .com/.net/.biz)• Napi domain (gfdpves .com/.net/.biz)• Bedrótozott (rikora.com, pinakola.com, és flippibi.com)• Ha nem sikerül kapcsolódni, akkor jön a következő a listában - 26 / 49 -
  25. 25. Live demo - 27 / 49 -
  26. 26. Támogatott programok• services.exe • Total Commander• explorer.exe • Thunderbird• Internet Explorer • Outlook (?/6/7/8) • Eudora• Firefox • Skype• Opera • ICQ• Leech-FTP • cmd.exe• CuteFTP • … - 28 / 49 -
  27. 27. Netbank tanácsok• Nem túl hatékony  – Telepítsen vírusvédelmi, kémprogram elleni és tűzfalszoftvert… – Tartsa naprakészen operációs rendszerét és alkalmazásait a frissítések, javítások rendszeres telepítésével – Használjon alternatív böngésző és e- mail programot – Csak olyan weboldalakat látogasson, amelyeket ismer és megbízhatónak tart – Az érvénytelen tanúsítványra figyelmeztető párbeszédablak súlyos kockázatra hívja fel a figyelmet… – Jelszó, egyszer-használatos jelszó, kihívás-válasz, SMS kihívás-válasz, mobil hívóazonosító, virtuális billentyűzet, chipkártya, gridcard
  28. 28. Netbank tanácsok• Egész jó  – Tranzakció adatok független csatornán, jóváhagyás előtt (SMS, USB dongle) – Adminisztrátori jogokkal bejelentkezve ne böngéssze az Internetet… – FF NoScript – Boot Linux - 30 / 49 -
  29. 29. Agenda ATM biztonság - 31 / 49 -
  30. 30. ATM• kutatások az ATM-ek (PIN kód) sebezhetőségeiről – 2003 Cambridge Egyetem kutatói – 2006-ban Omer Berkman és Odelia Moshe Ostrovsky• az ipar nem tekintette különösen veszélyesnek - „elméleti“ támadások• "I got strange Russian e-mails saying, Can you tell me how to crack PINs?" - 32 / 49 -
  31. 31. Támadási modellek• Cél: kártyaadat vagy pénz• Fizikai támadások – kamu ATM támadók telszámával, skimming, robbantás, vontatás, offline ATM limittel• Hálózat• Social engineering• Operációs rendszer• ATM alkalmazás (20 USD <-> 5 USD)• Jackpot (BH) - 35 / 49 -
  32. 32. Trojan.Skimer.a• 2009. január: ATM-ekből a szervezett bűnözés megszerzi a kártyaszámokat + PIN kódokat• Virustotal 1• Virustotal 2 - 36/ 49 -
  33. 33. A támadás• a maffia felbérel egy ATM szakértőt• az ATM szabványos API-ját használva lekérdezi a tranzakció adatokat (pl. kártyaszámok)• EPP decrypt függvény – Trojan.Skimer• Egyéb: szabványos API hívások konstrukciós hibáit kihasználva visszafejthetőek a PIN kódok, konfig függő, melyik használható - 37 / 49 -
  34. 34. Támadási komplexitásEPP decrypt = 1 lépés, azonnalISO-0 + VISA-3 konverziós támadás ~ 88 percDecimalisation tábla támadás ~ 8 percElég biztonságos konfig ~ 14 lehetséges PIN, 16 percLegbiztonságosabb konfig ~ 400 lehetséges PIN, 17 sec - 38 / 49 -
  35. 35. - 39 / 49 -
  36. 36. Trojan.Skimer.a• adatokat a merevlemezen tárolja• speciális bankkártya triggereli - > adatokat a nyugtára nyomtassa• Windows fájlvédelmet használja fertőzéshez - 40 / 49 -
  37. 37. Trojan.Skimer.a• adatokat a merevlemezen tárolja• speciális bankkártya triggereli - > adatokat a nyugtára nyomtassa• Windows fájlvédelmet használja fertőzéshez• telepítés – ATM szervizkulcs - 41 / 49 -
  38. 38. AT szervizkulcs
  39. 39. Trojan.Skimer.a• adatokat a merevlemezen tárolja• speciális bankkártya triggereli - > adatokat a nyugtára nyomtassa• Windows fájlvédelmet használja fertőzéshez• telepítés – ATM szervízkulcs – adminisztrátori jelszó – pendrive - 43 / 49 -
  40. 40. Védekezési módszerek• Chip kártya• Gyártó patch• Skimming érzekelő• Pénzfestés• Felügyeleti rendszer• AV az ATM-en (???) - 44 / 49 -
  41. 41. AgendaEllopták az oroszok a tankot …• Vajon hogyan lehet az, hogy Oroszországban és Közép Kelet Európában (pl. Ukrajna), ennyi informatikus szakértőt tud elcsábítani a maffia?• helyi erkölcsi értékrend• „cool“ dolog a hackelés -> akár sötét-oldal is - 45 / 49 -
  42. 42. Ellopták az oroszok a tankot …• Az állami kitüntetés külföldi oldal deface- elésért - www.evrey.com• ha a tehetséges palántákat a cégek megfelelő fizetéssel honorálnák cserébe a szaktudásukért, akkor nem lenne képes a maffia ilyen könnyen elcsábítani őket.• Mo.-on nem ez a helyzet - 47 / 49 -
  43. 43. Gyakran ismételt kérdések• Itt a világvége? – Nem, mert $≠• Vegyem ki az összes pénzem a bankból és dugjam a párnámba? – Secu(párna) << Secu(Bank)• Hackeljem a banki rendszereket, azért mert jó móka és még fizetnek is? – Naná, én is azt teszem  && $ - 48 / 49 -
  44. 44. Köszönöm a megtisztelő figyelmetAz erő velünk van, csak tanuljuk meg használni Hacktivity 2009 – mert senkiháziak kezében van az AV szakma Balázs Zoltán, CISSP, CPTS - 49 / 49 -

×