Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.

Botnet e nuove forme di malware

3.674 Aufrufe

Veröffentlicht am

Botnet e nuove forme di malware - Analisi tecnica ed evoluzione del fenomeno

  • Als Erste(r) kommentieren

Botnet e nuove forme di malware

  1. 1. #DIGICONF 2011 Botnet e nuove forme di malwareAnalisi tecnica ed evoluzione del fenomeno $author  =  Gianni guelfoweb Amato $site  =  www.securityside.it $blog  = www.gianniamato.it $email  = amato@securityside.it $twitter  =  guelfoweb www.digiconf.net sponsored by www.govforensics.it
  2. 2. SULLA SCENA DEL CRIMINE
  3. 3. MA NON SIAMO IN TV
  4. 4. SCENARI INSOLITI Non solo Banche &Infrastrutture critiche
  5. 5. MALWARE EVOLUTION
  6. 6. TARGET Furto di dati sensibili  Numeri di carte di credito;  Numeri di conto corrente;  Account email;  Identità digitale.
  7. 7. BLACK MARKET 2010 Un crescita del 71% Symantec Intelligence Il 78% del malware con Quarterly Report funzione di esportazione dati  2009: Il valore delle informazioni rubate ammonta a 1 trilione di dollari;  Giugno 2010: un volume di affari di 210 milioni di euro;  Il costo medio sostenuto da unorganizzazione compromessa è allincirca di 5 milioni di Euro;  23 milioni di Euro è il costo massimo sostenuto da una azienda colpita da un attacco informatico.
  8. 8. QUANTO COSTA? 1 Visa / MasterCard ~ 5$ / 25$ 1000 Carte di Credito ~ 1500$ 1 Identità digitale ~ 3$ - 20$ ...e non è difficile ottenerli
  9. 9. PREVISIONI 2011Spesa del 2011 per le aziende statunitensi: 130 miliardi di dollari (perdita in denaro)
  10. 10. UN GROSSO AFFARE 388 miliardi di dollari, una cifra superiore almercato nero di marijuana, cocaina ed eroina
  11. 11. CRIMEWARE KIT E sempre più semplice sferrare attacchi informatici; Sottrarre informazioni personali; I costi sono accessibili:  500$-1000$ ZeuS o SpyEye;  Il costo delle ultime versioni si aggira intorno ai 1000$;  Il costo dei plugins varia dai 50$ ai 100$.
  12. 12. NUOVI TARGET
  13. 13. IL CASO STUXNET Attacco alle Centrali Nucleari. Nello specifico lIran e gli esperimenti con lenergia nucleare; I sistemi SCADA nel mirino dellorganizzazione; Soluzioni Siemens per la gestione dei sistemi industriali; Windows + WinCC + PCS 7.
  14. 14. ELEMENTI IMPORTANTI La password dei sistemi SCADA (DB WinCC) era conosciuta da oltre 2 anni. Fu pubblicata in un forum e poi rimossa dal moderatore; Gli autori erano in possesso di certificati digitali: Realtek e JMicron
  15. 15. LA STORIA CONTINUA... Verisign revoca i certificati il 16 luglio; Il 17 luglio viene rilevata una nuova versione di Stuxnet con i certificati rubati a Jmicron; Dalle prime indagini si scopre che Stuxnet sfrutta la vulnerabilità LNK; Indagini successive provano che Stuxnet sfrutta ben 5 vulnerabilità dei sistemi Windows.
  16. 16. NUMERI MISTERIOSI Il valore numerico 1979050 trovato nel registro di sistema delle macchine compromesse da Stuxnet è stato interpretato come la possibile data di nascita di uno dei suoi autori: 09/05/1979 E stato appurato che la data rilevata allinterno del codice di Stuxnet 24/6/12 coincide esattamente con la data del suo decesso.
  17. 17. ...E SUI SISTEMI NON SCADA?
  18. 18. CYBERWAR
  19. 19. NUOVE ARMI Niente missili, né carri armati o aerei da combattimento. Il codice è larma più pericolosa e può essere sfruttato nei più svariati modi.
  20. 20. LE BOTNETNoleggio Vendita Utilizzo DDOS Malware Spam Furto di Informazioni Vendita Utilizzo
  21. 21. 17.000$ AL GIORNO
  22. 22. RECLUTARE ZOMBIE Violazione e compromissione di  Esecuzione del malware sulla siti legittimi; macchina;  SQL Injection  Furto di credenziali (silent mode);  Remote File Inclusion (RFI)  Cross Site Scripting (XSS)  Comunicazione con C&C per il download di nuovi malware o nuovo codice da eseguire. Inclusione di codice nei siti compromessi; Largo uso di exploit per vulnerabilità già note (o 0day).
  23. 23. RISORSE ONLINE
  24. 24. Bank of Nikolai
  25. 25. SPYEYE STORY La prima versione appare nel 2009 Progettato dai Russi Un costo di 500$ al mercato nero Nato per accaparrarsi una fetta del mercato di ZeuS Prova ne è lopzione Kill Zeus in fondo al builder
  26. 26. SPYEYE FEATURES Formgrabber (Keylogger)  A differenza di ZeuS, le prime versioni di Spyeye sono troppo Autofill credit card modules rumorose Daily email backup  Il form grabber altro non è che Encrypted config file un keylogger Ftp protocol grabber  Cattura e comunica al C&C il contenuto di tutti i campi. Non Pop3 grabber ha un target ben definito. Http basic access authorization  Non usa una whitelist grabber  Non è stata prevista la funzione Zeus killer di webinject
  27. 27. LUNIONE FA LA FORZA ZeuS + SpyEye  Brute force password guessing  Jabber notification  VNC module  Auto-spreading  Auto-update  Unique stub generator for FUD and evasion  New screenshot system
  28. 28. MALWARE AS A SERVICE 300$ senza modulo VNC 800$ versione completa Il vero business risiede nel commercio dei moduli  Personalizzabili  Scritti ad hoc
  29. 29. BILLINGHAMMER MODULE Il botmaster si procura software  Dal pannello di controllo freeware, lo rinomina e lo mette SpyEye è possibile gestire dei in vendita su apposite task automatici piattaforme di distribuzione:  Il botmaster può generare un  ClickBank task che utilizza i numeri di carte di credito rubate in modo  FastSpring che venga eseguita una azione  Esellerate attraverso Internet Explorer e -  SetSystems a intervalli definiti dallutente - si avvii automaticamente la  Shareit compilazione dei campi sul sito del negozio online per fare acquisti.
  30. 30. SPYEYE MONITORING Lattività di monitoring, durata 3 settimane, è stata effettuata sfruttando il Feed RSS del sito MalwareDomainList.com Filtrando le entry raccolte da Google Reader il risultato ottenuto è di 476 siti web che in 3 settimane hanno distribuito il malware SpyEye. Una media di 22,6 siti al giorno. Tra questi, 196 siti oltre a distribuire il malware avevano funzione di C&C
  31. 31. SPYEYE: C&C IN 10 MINUTI Gli ingredienti Piattaforma LAMP (Linux, Apache, MySQL, Php) Il sorgente Php di SpyeEye C&C T EP S 4
  32. 32. STEP 1 - DBAllutente del DB devono essere assegnati tutti i privilegi
  33. 33. STEP 2 – MAIN / CONFIG.PHP
  34. 34. STEP 3 – GRAB / CONFIG.PHP
  35. 35. STEP 4 – IMPORT .SQL FILE
  36. 36. READY!Form Grabber Login Main Login
  37. 37. MAIN PAGE
  38. 38. FORM GRABBER
  39. 39. GET BUILD
  40. 40. TCP STREAMAllavvio il malware contatta il C&C
  41. 41. FORM (LOGIN) GRAB
  42. 42. DALLA TEORIA ALLA PRATICA Simulazione di una botnet Malware Analysis e compromissione di una A Case Study macchina Windows XP in ambiente virtuale Command & Control su Ubuntu server LAMP Ambiente di cavia: Windows XP SP3 su Virtualbox http://www.securityside.it/docs/malware-analysis.pdf
  43. 43. DOMANDE?

×