SlideShare une entreprise Scribd logo

Amato HackInBo 2013

Gianni Amato
Gianni Amato

Sicurezza all'Ombra delle Torri. Le nuove armi digitali. Aziende ed Enti Governativi sono pronti?

1  sur  65
Télécharger pour lire hors ligne
HackInBo 2013 Le nuove armi digitali. Aziende ed Enti Governativi sono pronti? Gianni 'guelfoweb' Amato Bologna, 20 Settembre 2013
Who is? ● Author : Gianni 'guelfoweb' Amato ● Site : www.securityside.it ● Blog : www.gianniamato.it ● Email : amato@securityside.it ● Twitter : @guelfoweb
Agenda No, meglio raccontare una favoletta...
La Cyber War Quali danni potrebbe arrecare a un paese? Attacco ai sistemi e infrastrutture critiche di un paese sfruttando unicamente le reti informatiche.
Disagi Fonte: http://www.ilcittadinomb.it/stories/Cronaca/312127_lentate_-_asl/
Prenotazioni online bloccate
Pubblica Amministrazione in Tilt
Ma anche... Panico e terrore
Acqua, gas, rete elettrica fuori uso
Gestione linee aeree e treni in Tilt
Con CHI abbiamo a che fare?
Con COSA abbiamo a che fare? Armi digitali – Tecniche di offuscamento – crittografia – 0day vulnerability
History ● 2010: Stuxnet ● 2011: Duqu ● 2011: Gauss ● 2012: Mahdi ● 2012: Flame ● 2012: Wiper ● 2013:
● 2006 Governo Bush ● Attacchi digitali contro Iran ● Partecipazione Governo Israeliano ● Sabotaggio centrali nucleari Natanz ● Danneggiare le turbine Operation Olympic Games
Stuxnet ● Individuato nel giugno 2010 ● Target: Sistemi SCADA ● Si diffonde via USB (solitamente i sistemi SCADA non sono collegati a Internet) ● Integra 2 certificati “trusted” ● Sfrutta 4 0day ● Password hard-coded nota ● Realtek è il primo certificato “trusted” recovato il 16 luglio ● Il 17 luglio una nuova variante presenta il certificato Jmicron
Evidence ● Dall'analisi investigativa viene individuato il valore numerico “19790509” scritto nel registro di sistema Windows che si sospetta corrisponda alla data di nascita di uno degli sviluppatori “05/09/1979” o sia collegata all'esecuzione (per spionaggio) di Habib Elghanian, noto uomo d'affari ebreo conosciuto in Iran. ● La data di decesso / autodistruzione era fissata per il “26/06/2012”.
Duqu ● Individuato nel settembre 2011 ● Target: valutare lo stato del programma nucleare iraniano ● Funzione di keylogger ● Sfrutta 0day ● Lo scopo è quello di carpire informazioni ● Usa certificati rubati ● L'analisi comportamentale lo riconduce a stuxnet
Gauss ● Scoperto nel 2011, poco dopo Duqu. ● Rilevato in Libano, Israele, Palestina, USA, Emirati Arabi. ● Progettato per il furto di cookie, credenziali e conti bancari. ● Lavora con moduli aggiornati via Internet per ampliare le proprie funzioni. ● Kaspersky ipotizza sia stato creato dagli stessi autori di Stuxnet e Duqu.
Mahdi ● Scoperto nel febbraio 2012 ● E' stato battezzato “Mahdi” per via di una stringa ricorrente nel codice del malware (fa riferimento al Messia Islamico) ● Sfrutta bug di Word e Power Point ● In questo caso non si conoscono gli autori ● Ha funzione di keylogger e cattura le schermate ● Sottrae file audio, testo e immagini
Flame ● Individuato per la prima volta in aprile 2012 ● Si propaga tramite USB ● Usa falso certificato ● Ha funzioni di keylogger ● Sottrae documenti di testo e DWG (progetti Autocad) ● Cattura immagini ● Registra audio (conversazioni skype) ● Rilevate somiglianze con Stuxnet e Duqu ● Obiettivo: spionaggio industriale
Flame 2008 Dall'analisi di uno dei componenti utilizzato da Flame, il file mssecmgr.ocx riporta come timeDatestamp la data del 9 dicembre 2008
Wiper Un soldato in missione sul campo di battaglia per ripulire le tracce ● Cancella le tracce di Stuxnet e Duqu ● Alta priorità alla rimozione dei file .PNF (usati da Stuxnet) ● Rimozione dei dati utili ai tecnici forensi per ottenere prova del reato (Siamo ancora nel 2012)
Casi recenti La vulnerabilità risiede in Firefox 17 ESR (Extended Support Release), non in TOR.
Shellcode https://code.google.com/p/caffsec-malware-analysis/source/browse/trunk/TorFreedomHosting/torscript1.js
Binario
Traffico di rete
Hostname e Mac Address
65.222.202.54
Hesperbot Banking Trojan ● Rilevato nel settembre 2013 dai ricercatori ESET ● Target: operazioni di online banking ● Il file di configurazione presenta di default URL di banche della Repubbica Ceca, Turchia e Portogallo ● Sulla scia di ZeuS e SpyEye intercetta e modifica il traffico HTTP e HTTPS ● Sfrutta la funzione di webinject e from-grabber ● Usa moduli e plugin ● Dispone di ua componente per i sistemi mobile: Symbian – Blackberry - Android
Cyber Attacks Timeline Credit: Paolo Passeri | http://hackmageddon.com/cyber-attacks-timeline-master-indexes/
Non tutti gli attacchi sono così complessi
Social (network) engineering Lo scorso anno, attraverso falsi profili facebook di donne attraenti i talebani sono riusciti ad ottenere un contatto diretto con le truppe australiane riuscendo a carpire segreti militari.
Turista fai da te? No Alpitour? “Facciamo due conti: Alpitour: 23.309 fan, Villaggi Bravo 51.570, Francorosso 17.335 e Viaggidea 32.417 fan. Se li sommiamo abbiamo [..] abbiamo 124.631 persone esposte a link malevoli. Un ottimo risultato.” http://www.pierotaglia.net/facebook-fai-da-te-alpitour-ahi-ahi-ahi-pagine-facebook-hackerate/
Come sta reagendo l'Italia? Il nostro paese è ancora fin troppo legato al vecchio concetto di guerra. Banche, istituti e agenzie governative, industria militare, associazioni politiche, università, sono costantemente sottoposti ad attacchi informatici, ogni giorno sempre più complessi e articolati. Motivo per cui anche l'Italia si è dotata di CSIRT. Purtroppo sono ancora pochi gli Enti italiani che ne dispongono.
Computer Security Incident Response Team http://www.enisa.europa.eu/activities/cert/support/guide/files/csirt-setting-up-guide-in-italian/at_download/fullReport
Computer Security Incident Response Team ✔ Gruppo di professionisti IT Security che aiuta gli enti ad attenuare e prevenire gli incidenti informatici. ✔ Gestiscono e forniscono risposta agli incidenti informatici. ✔ Giuridicamente preparati per affrontare questioni legali. ✔ Sempre aggiornati sulle nuove vulnerabilità.
Decreto – Un CERT Nazionale
Governo.it “Gli attacchi alla sicurezza informatica negli ultimi anni hanno avuto una crescita esponenziale. Assinform stima che il 40% degli attacchi richiedono almeno 4 giorni per essere risolti. Nel 90% dei casi l’attacco ha successo a causa dell’errata configurazione del sistema di sicurezza e per la mancanza di competenze specifiche. I costi sostenuti da privati e PA per proteggersi sono consistenti: Gartner li quantifica in 55 miliardi di dollari nel 2011, 60 nel 2012 e 86 (stimati) entro il 2016.” http://www.governo.it/Presidenza/Comunicati/testo_int.asp?d=70337
Ancora una firma qui... Banche, Università, Aziende che erogano servizi attraverso la rete Internet non ammetteranno mai di aver subito attacchi che hanno compromesso - o hanno rischiato di compromettere - informazioni riservate e/o i dati degli utenti/clienti. “La banca declina ogni responsabilità...”
Zeus-In-The-MObile (ZITMO) SMS con Link (security update) Download Malware Detect SMS Bank (code)
Nel mirino dei cybercriminali
Ransomware: ha fruttato 1 milione di euro per ogni campagna di attacchi
Business ● 1 carta Visa/Mastercard ~ 5$ - 25$ ● 1000 Carte di Credito ~ 1500$ ● 1 Idendità digitale ~ 3$ - 20$ ● Crimeware Kit ZueS e SpyEye ~ 500$ - 1000$ (per le ultime release) ● Plugin ~ 50$ - 100$
Crime Pack Exploit Kit
YouTube Video Tutorial
● Violazione e compromissione di web server e siti legittimi. ● Inclusione di codice. ● Largo uso di exploit e 0day vulnerability. Processo di reclutamento Zombie #1
Shodan - phpinfo()
Shodan - WAMPSERVER
Processo di reclutamento Zombie #2 ● Download ed esecuzione codice maligno. ● Controllo della macchina. ● Comunicazione con C&C. ● Esecuzione comandi da remoto. Un esempio per tutti SpyEye e ZeuS.
SpyEye Story ● La prima versione risale al 2009 ● Progettato dai Russi ● 500$ al mercato nero ● Inizialmente nato per accaparrarsi una fetta del mercato di ZeuS ● A differenza di ZeuS, le prime versioni di Spyeye risultano rumorose. ● Non ha un target ben definito. ● Non usa una whitelist. ● Non è stata prevista la funzione di webinject.
SpyEye Features ● Formgrabber ● Autofill credit card modules ● Daily email backup ● Ftp protocol grabber ● Encrypted config file ● Pop3 grabber ● Http basic access authorization grabber
Offerte Speciali ● 300$ senza modulo VNC ● 800$ versione completa Il vero business sono i moduli aggiuntivi – In particolare le richieste personalizzate
Dentro SpyeEye
Due file di configurazione Main Grabber
Pronti per il Login
Builder
Comunicazioni al C&C
HTTPS Authentication Ambiente di test compromesso da SpyEye
Form Grab C&C
Altri modi per monetizzare Innovazioni subdole per stracciare la concorrenza – Individuazione ed estrazione automatica di carte di credito dalle macchine compromesse – Generazione di vendite fasulle su negozi online
BillingHammer Feature Il botmaster si procura software freeware, lo rinomina e lo mette in vendita su apposite piattaforme di distribuzione: – ClickBank – FastSpring – Esellerate – SetSystems – Shareit Dal pannello di controllo SpyEye è possibile gestire task automatici Il botmaster può generare un task che utilizza i numeri di carte di credito rubate in modo che venga eseguita una azione attraverso Internet Explorer che a intervalli definiti lanci la compilazione dei campi sul sito del negozio online per completare l'acquisto.
Monetizzare Host 1 Host 2 Host 3 Host ... Host n Server Compromesso C&C Primario DB Mysql Server Compromesso C&C Secondario DB Mysql xyzBank $ Zombie freeware $ Credit Card $$$ Noleggio Botnet DDoS Vendita Carte di Credito $ $ Vendita Identità Digitale $
Operazioni mirate Host 1 Host 2 Host 3 Host ... Host n Server Compromesso C&C Primario DB Mysql Server Compromesso C&C Secondario DB Mysql TARGET Zombie Credit Card Commissionate?
Siamo pronti? Ma più che altro, siamo in grado di stare al passo?
Grazie per l'attenzione :-) Domande?

Recommandé

Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Gianni Amato
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012Gianni Amato
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliGianni Amato
 
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Danilo De Rogatis
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Gianni Amato
 
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Gianfranco Tonello
 
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Gianfranco Tonello
 
Anelli forti e ideologie deboli (nella cybersicurezza)
Anelli forti e ideologie deboli (nella cybersicurezza)Anelli forti e ideologie deboli (nella cybersicurezza)
Anelli forti e ideologie deboli (nella cybersicurezza)Carola Frediani
 

Recommandé

Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Gianni Amato
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012Gianni Amato
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliGianni Amato
 
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Danilo De Rogatis
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Gianni Amato
 
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Gianfranco Tonello
 
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Gianfranco Tonello
 
Anelli forti e ideologie deboli (nella cybersicurezza)
Anelli forti e ideologie deboli (nella cybersicurezza)Anelli forti e ideologie deboli (nella cybersicurezza)
Anelli forti e ideologie deboli (nella cybersicurezza)Carola Frediani
 
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Gianfranco Tonello
 
Sicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamSicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamNaLUG
 
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Simone Onofri
 
Phishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisurePhishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisureAndrea Draghetti
 
Deep web: il mondo sommerso della rete
Deep web: il mondo sommerso della reteDeep web: il mondo sommerso della rete
Deep web: il mondo sommerso della reteFiorenza Polverino
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiSimone Onofri
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacryGianni Amato
 
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...Angeloluca Barba
 
L'assedio nella rete
L'assedio nella reteL'assedio nella rete
L'assedio nella reteElena Prestinice
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
 
social network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reosocial network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reodenis frati
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
 
Phishing cos’è, come funziona, tipologie e come evitarlo [GUIDA 2022].pdf
Phishing cos’è, come funziona, tipologie e come evitarlo [GUIDA 2022].pdfPhishing cos’è, come funziona, tipologie e come evitarlo [GUIDA 2022].pdf
Phishing cos’è, come funziona, tipologie e come evitarlo [GUIDA 2022].pdfHelpRansomware
 
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfDodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfHelpRansomware
 
Seminario di informatica 2
Seminario di informatica 2Seminario di informatica 2
Seminario di informatica 2Andrea Barilli
 
Awareness on Cybersecurity IT
Awareness on Cybersecurity ITAwareness on Cybersecurity IT
Awareness on Cybersecurity ITGiuseppe Airò Farulla
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
 
ITDM & PR SOFTWARE vs APT
ITDM & PR SOFTWARE vs APTITDM & PR SOFTWARE vs APT
ITDM & PR SOFTWARE vs APTDaniele Oliverio
 
Sunrise tosunset
Sunrise tosunsetSunrise tosunset
Sunrise tosunsetSilvioAngeloBarattoR
 
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...SilvioAngeloBarattoR
 
Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockGianni Amato
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amatoGianni Amato
 

Contenu connexe

Tendances

Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Gianfranco Tonello
 
Sicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamSicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamNaLUG
 
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Simone Onofri
 
Phishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisurePhishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisureAndrea Draghetti
 
Deep web: il mondo sommerso della rete
Deep web: il mondo sommerso della reteDeep web: il mondo sommerso della rete
Deep web: il mondo sommerso della reteFiorenza Polverino
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiSimone Onofri
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacryGianni Amato
 
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...Angeloluca Barba
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
 
social network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reosocial network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reodenis frati
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
 
Phishing cos’è, come funziona, tipologie e come evitarlo [GUIDA 2022].pdf
Phishing cos’è, come funziona, tipologie e come evitarlo [GUIDA 2022].pdfPhishing cos’è, come funziona, tipologie e come evitarlo [GUIDA 2022].pdf
Phishing cos’è, come funziona, tipologie e come evitarlo [GUIDA 2022].pdfHelpRansomware
 
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfDodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfHelpRansomware
 
Seminario di informatica 2
Seminario di informatica 2Seminario di informatica 2
Seminario di informatica 2Andrea Barilli
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
 
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...SilvioAngeloBarattoR
 

Tendances (20)

Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
 
Sicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamSicurezza in rete: Hacking Team
Sicurezza in rete: Hacking Team
 
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
Hackers vs Developers: vulnerabilità e soluzioni nello sviluppo di applicazio...
 
Phishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisurePhishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e Contromisure
 
Deep web: il mondo sommerso della rete
Deep web: il mondo sommerso della reteDeep web: il mondo sommerso della rete
Deep web: il mondo sommerso della rete
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersi
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacry
 
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
Sistema Paese Italia e Cyber Security : un nuovo scenario di interazione tra ...
 
L'assedio nella rete
L'assedio nella reteL'assedio nella rete
L'assedio nella rete
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdf
 
social network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reosocial network e investigazione: alla ricerca del reo
social network e investigazione: alla ricerca del reo
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdf
 
Phishing cos’è, come funziona, tipologie e come evitarlo [GUIDA 2022].pdf
Phishing cos’è, come funziona, tipologie e come evitarlo [GUIDA 2022].pdfPhishing cos’è, come funziona, tipologie e come evitarlo [GUIDA 2022].pdf
Phishing cos’è, come funziona, tipologie e come evitarlo [GUIDA 2022].pdf
 
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdfDodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
Dodici Versioni Di CryptoLocker E Strumenti Per La Loro Eliminazione.pdf
 
Seminario di informatica 2
Seminario di informatica 2Seminario di informatica 2
Seminario di informatica 2
 
Awareness on Cybersecurity IT
Awareness on Cybersecurity ITAwareness on Cybersecurity IT
Awareness on Cybersecurity IT
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
 
ITDM & PR SOFTWARE vs APT
ITDM & PR SOFTWARE vs APTITDM & PR SOFTWARE vs APT
ITDM & PR SOFTWARE vs APT
 
Sunrise tosunset
Sunrise tosunsetSunrise tosunset
Sunrise tosunset
 
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
Summary of sunrise to sunset analyzing the end to-end life cycle and effectiv...
 

En vedette

Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockGianni Amato
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amatoGianni Amato
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorniGianni Amato
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneGianni Amato
 
ARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and PrioritiesARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and PrioritiesAPNIC
 
Network forensics: un approccio laterale
Network forensics: un approccio lateraleNetwork forensics: un approccio laterale
Network forensics: un approccio lateraleDavide Paltrinieri
 
Introduction to Memory Analysis
Introduction to Memory AnalysisIntroduction to Memory Analysis
Introduction to Memory AnalysisEmil Tan
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malwareGianni Amato
 
Risk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksRisk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksMarco Morana
 
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static Techniques
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static TechniquesCNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static Techniques
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static TechniquesSam Bowne
 
Introduction to Malware Analysis
Introduction to Malware AnalysisIntroduction to Malware Analysis
Introduction to Malware AnalysisAndrew McNicol
 
44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysis44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysisMichael Boman
 

En vedette (16)

Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - Shellshock
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amato
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorni
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e Validazione
 
Firma Digitale
Firma DigitaleFirma Digitale
Firma Digitale
 
ARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and PrioritiesARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and Priorities
 
Network forensics: un approccio laterale
Network forensics: un approccio lateraleNetwork forensics: un approccio laterale
Network forensics: un approccio laterale
 
Introduction to Memory Analysis
Introduction to Memory AnalysisIntroduction to Memory Analysis
Introduction to Memory Analysis
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
 
ATP
ATPATP
ATP
 
Risk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksRisk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware Attacks
 
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static Techniques
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static TechniquesCNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static Techniques
CNIT 126 Ch 0: Malware Analysis Primer & 1: Basic Static Techniques
 
ATM Malware: Understanding the threat
ATM Malware: Understanding the threat ATM Malware: Understanding the threat
ATM Malware: Understanding the threat
 
Introduction to Malware Analysis
Introduction to Malware AnalysisIntroduction to Malware Analysis
Introduction to Malware Analysis
 
Malware
MalwareMalware
Malware
 
44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysis44CON 2014: Using hadoop for malware, network, forensics and log analysis
44CON 2014: Using hadoop for malware, network, forensics and log analysis
 

Similaire à Amato HackInBo 2013

Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4raffaele_forte
 
virus informatici.pdf
virus informatici.pdfvirus informatici.pdf
virus informatici.pdfSveva7
 
Pillole di IoT
Pillole di IoTPillole di IoT
Pillole di IoTmircfe
 
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...Register.it
 
Swascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologicoSwascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologicoCristiano Cafferata
 
Ciao Alexa, mi racconti perché non funziona più la mia azienda?
Ciao Alexa, mi racconti perché non funziona più la mia azienda?Ciao Alexa, mi racconti perché non funziona più la mia azienda?
Ciao Alexa, mi racconti perché non funziona più la mia azienda?Luca_Moroni
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveiDIALOGHI
 
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche PRAGMA PROGETTI
 
Presentarsi sul mercato globale con app di successo
Presentarsi sul mercato globale con app di successoPresentarsi sul mercato globale con app di successo
Presentarsi sul mercato globale con app di successoDiego La Monica
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanPierguido Iezzi
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliRaffaella Brighi
 
Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustDavide Carboni
 
Mobile Security Business-e
Mobile Security Business-eMobile Security Business-e
Mobile Security Business-ePaolo Passeri
 
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Gianfranco Tonello
 
Applicazioni mobili: dall'ideazione alla pubblicazione
Applicazioni mobili: dall'ideazione alla pubblicazioneApplicazioni mobili: dall'ideazione alla pubblicazione
Applicazioni mobili: dall'ideazione alla pubblicazioneDiego La Monica
 
Smau Bologna 2011 Gentili-Fratepietro cyberwar
Smau Bologna 2011 Gentili-Fratepietro cyberwarSmau Bologna 2011 Gentili-Fratepietro cyberwar
Smau Bologna 2011 Gentili-Fratepietro cyberwarSMAU
 
Tesla Club Italy Revolution 2018 - Automotive IoT Security, l’approccio di Tesla
Tesla Club Italy Revolution 2018 - Automotive IoT Security, l’approccio di TeslaTesla Club Italy Revolution 2018 - Automotive IoT Security, l’approccio di Tesla
Tesla Club Italy Revolution 2018 - Automotive IoT Security, l’approccio di TeslaTesla Club Italy
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ceremit srl
 
Smau Milano 2011 Gentili-Fratpietro cyberwar
Smau Milano 2011 Gentili-Fratpietro cyberwarSmau Milano 2011 Gentili-Fratpietro cyberwar
Smau Milano 2011 Gentili-Fratpietro cyberwarSMAU
 

Similaire à Amato HackInBo 2013 (20)

Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
 
virus informatici.pdf
virus informatici.pdfvirus informatici.pdf
virus informatici.pdf
 
Pillole di IoT
Pillole di IoTPillole di IoT
Pillole di IoT
 
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
 
Swascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologicoSwascan & IoT - analisi rischio tecnologico
Swascan & IoT - analisi rischio tecnologico
 
Ciao Alexa, mi racconti perché non funziona più la mia azienda?
Ciao Alexa, mi racconti perché non funziona più la mia azienda?Ciao Alexa, mi racconti perché non funziona più la mia azienda?
Ciao Alexa, mi racconti perché non funziona più la mia azienda?
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensive
 
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
 
Presentarsi sul mercato globale con app di successo
Presentarsi sul mercato globale con app di successoPresentarsi sul mercato globale con app di successo
Presentarsi sul mercato globale con app di successo
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
 
Sicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legaliSicurezza informatica per le professioni legali
Sicurezza informatica per le professioni legali
 
Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trust
 
Mobile Security Business-e
Mobile Security Business-eMobile Security Business-e
Mobile Security Business-e
 
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
 
2020 01 23_n03_proscia
2020 01 23_n03_proscia2020 01 23_n03_proscia
2020 01 23_n03_proscia
 
Applicazioni mobili: dall'ideazione alla pubblicazione
Applicazioni mobili: dall'ideazione alla pubblicazioneApplicazioni mobili: dall'ideazione alla pubblicazione
Applicazioni mobili: dall'ideazione alla pubblicazione
 
Smau Bologna 2011 Gentili-Fratepietro cyberwar
Smau Bologna 2011 Gentili-Fratepietro cyberwarSmau Bologna 2011 Gentili-Fratepietro cyberwar
Smau Bologna 2011 Gentili-Fratepietro cyberwar
 
Tesla Club Italy Revolution 2018 - Automotive IoT Security, l’approccio di Tesla
Tesla Club Italy Revolution 2018 - Automotive IoT Security, l’approccio di TeslaTesla Club Italy Revolution 2018 - Automotive IoT Security, l’approccio di Tesla
Tesla Club Italy Revolution 2018 - Automotive IoT Security, l’approccio di Tesla
 
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
Ingegneria Sociale Seminario Sulla Tutela Dei Dati Strategici Aziendali 28112012
 
Smau Milano 2011 Gentili-Fratpietro cyberwar
Smau Milano 2011 Gentili-Fratpietro cyberwarSmau Milano 2011 Gentili-Fratpietro cyberwar
Smau Milano 2011 Gentili-Fratpietro cyberwar
 

Amato HackInBo 2013

  • 1. HackInBo 2013 Le nuove armi digitali. Aziende ed Enti Governativi sono pronti? Gianni 'guelfoweb' Amato Bologna, 20 Settembre 2013
  • 2. Who is? ● Author : Gianni 'guelfoweb' Amato ● Site : www.securityside.it ● Blog : www.gianniamato.it ● Email : amato@securityside.it ● Twitter : @guelfoweb
  • 3. Agenda No, meglio raccontare una favoletta...
  • 4. La Cyber War Quali danni potrebbe arrecare a un paese? Attacco ai sistemi e infrastrutture critiche di un paese sfruttando unicamente le reti informatiche.
  • 9. Acqua, gas, rete elettrica fuori uso
  • 10. Gestione linee aeree e treni in Tilt
  • 11. Con CHI abbiamo a che fare?
  • 12. Con COSA abbiamo a che fare? Armi digitali – Tecniche di offuscamento – crittografia – 0day vulnerability
  • 13. History ● 2010: Stuxnet ● 2011: Duqu ● 2011: Gauss ● 2012: Mahdi ● 2012: Flame ● 2012: Wiper ● 2013:
  • 14. ● 2006 Governo Bush ● Attacchi digitali contro Iran ● Partecipazione Governo Israeliano ● Sabotaggio centrali nucleari Natanz ● Danneggiare le turbine Operation Olympic Games
  • 15. Stuxnet ● Individuato nel giugno 2010 ● Target: Sistemi SCADA ● Si diffonde via USB (solitamente i sistemi SCADA non sono collegati a Internet) ● Integra 2 certificati “trusted” ● Sfrutta 4 0day ● Password hard-coded nota ● Realtek è il primo certificato “trusted” recovato il 16 luglio ● Il 17 luglio una nuova variante presenta il certificato Jmicron
  • 16. Evidence ● Dall'analisi investigativa viene individuato il valore numerico “19790509” scritto nel registro di sistema Windows che si sospetta corrisponda alla data di nascita di uno degli sviluppatori “05/09/1979” o sia collegata all'esecuzione (per spionaggio) di Habib Elghanian, noto uomo d'affari ebreo conosciuto in Iran. ● La data di decesso / autodistruzione era fissata per il “26/06/2012”.
  • 17. Duqu ● Individuato nel settembre 2011 ● Target: valutare lo stato del programma nucleare iraniano ● Funzione di keylogger ● Sfrutta 0day ● Lo scopo è quello di carpire informazioni ● Usa certificati rubati ● L'analisi comportamentale lo riconduce a stuxnet
  • 18. Gauss ● Scoperto nel 2011, poco dopo Duqu. ● Rilevato in Libano, Israele, Palestina, USA, Emirati Arabi. ● Progettato per il furto di cookie, credenziali e conti bancari. ● Lavora con moduli aggiornati via Internet per ampliare le proprie funzioni. ● Kaspersky ipotizza sia stato creato dagli stessi autori di Stuxnet e Duqu.
  • 19. Mahdi ● Scoperto nel febbraio 2012 ● E' stato battezzato “Mahdi” per via di una stringa ricorrente nel codice del malware (fa riferimento al Messia Islamico) ● Sfrutta bug di Word e Power Point ● In questo caso non si conoscono gli autori ● Ha funzione di keylogger e cattura le schermate ● Sottrae file audio, testo e immagini
  • 20. Flame ● Individuato per la prima volta in aprile 2012 ● Si propaga tramite USB ● Usa falso certificato ● Ha funzioni di keylogger ● Sottrae documenti di testo e DWG (progetti Autocad) ● Cattura immagini ● Registra audio (conversazioni skype) ● Rilevate somiglianze con Stuxnet e Duqu ● Obiettivo: spionaggio industriale
  • 21. Flame 2008 Dall'analisi di uno dei componenti utilizzato da Flame, il file mssecmgr.ocx riporta come timeDatestamp la data del 9 dicembre 2008
  • 22. Wiper Un soldato in missione sul campo di battaglia per ripulire le tracce ● Cancella le tracce di Stuxnet e Duqu ● Alta priorità alla rimozione dei file .PNF (usati da Stuxnet) ● Rimozione dei dati utili ai tecnici forensi per ottenere prova del reato (Siamo ancora nel 2012)
  • 23. Casi recenti La vulnerabilità risiede in Firefox 17 ESR (Extended Support Release), non in TOR.
  • 27. Hostname e Mac Address
  • 29. Hesperbot Banking Trojan ● Rilevato nel settembre 2013 dai ricercatori ESET ● Target: operazioni di online banking ● Il file di configurazione presenta di default URL di banche della Repubbica Ceca, Turchia e Portogallo ● Sulla scia di ZeuS e SpyEye intercetta e modifica il traffico HTTP e HTTPS ● Sfrutta la funzione di webinject e from-grabber ● Usa moduli e plugin ● Dispone di ua componente per i sistemi mobile: Symbian – Blackberry - Android
  • 30. Cyber Attacks Timeline Credit: Paolo Passeri | http://hackmageddon.com/cyber-attacks-timeline-master-indexes/
  • 31. Non tutti gli attacchi sono così complessi
  • 32. Social (network) engineering Lo scorso anno, attraverso falsi profili facebook di donne attraenti i talebani sono riusciti ad ottenere un contatto diretto con le truppe australiane riuscendo a carpire segreti militari.
  • 33. Turista fai da te? No Alpitour? “Facciamo due conti: Alpitour: 23.309 fan, Villaggi Bravo 51.570, Francorosso 17.335 e Viaggidea 32.417 fan. Se li sommiamo abbiamo [..] abbiamo 124.631 persone esposte a link malevoli. Un ottimo risultato.” http://www.pierotaglia.net/facebook-fai-da-te-alpitour-ahi-ahi-ahi-pagine-facebook-hackerate/
  • 34. Come sta reagendo l'Italia? Il nostro paese è ancora fin troppo legato al vecchio concetto di guerra. Banche, istituti e agenzie governative, industria militare, associazioni politiche, università, sono costantemente sottoposti ad attacchi informatici, ogni giorno sempre più complessi e articolati. Motivo per cui anche l'Italia si è dotata di CSIRT. Purtroppo sono ancora pochi gli Enti italiani che ne dispongono.
  • 35. Computer Security Incident Response Team http://www.enisa.europa.eu/activities/cert/support/guide/files/csirt-setting-up-guide-in-italian/at_download/fullReport
  • 36. Computer Security Incident Response Team ✔ Gruppo di professionisti IT Security che aiuta gli enti ad attenuare e prevenire gli incidenti informatici. ✔ Gestiscono e forniscono risposta agli incidenti informatici. ✔ Giuridicamente preparati per affrontare questioni legali. ✔ Sempre aggiornati sulle nuove vulnerabilità.
  • 37. Decreto – Un CERT Nazionale
  • 38. Governo.it “Gli attacchi alla sicurezza informatica negli ultimi anni hanno avuto una crescita esponenziale. Assinform stima che il 40% degli attacchi richiedono almeno 4 giorni per essere risolti. Nel 90% dei casi l’attacco ha successo a causa dell’errata configurazione del sistema di sicurezza e per la mancanza di competenze specifiche. I costi sostenuti da privati e PA per proteggersi sono consistenti: Gartner li quantifica in 55 miliardi di dollari nel 2011, 60 nel 2012 e 86 (stimati) entro il 2016.” http://www.governo.it/Presidenza/Comunicati/testo_int.asp?d=70337
  • 39. Ancora una firma qui... Banche, Università, Aziende che erogano servizi attraverso la rete Internet non ammetteranno mai di aver subito attacchi che hanno compromesso - o hanno rischiato di compromettere - informazioni riservate e/o i dati degli utenti/clienti. “La banca declina ogni responsabilità...”
  • 40. Zeus-In-The-MObile (ZITMO) SMS con Link (security update) Download Malware Detect SMS Bank (code)
  • 41. Nel mirino dei cybercriminali
  • 42. Ransomware: ha fruttato 1 milione di euro per ogni campagna di attacchi
  • 43. Business ● 1 carta Visa/Mastercard ~ 5$ - 25$ ● 1000 Carte di Credito ~ 1500$ ● 1 Idendità digitale ~ 3$ - 20$ ● Crimeware Kit ZueS e SpyEye ~ 500$ - 1000$ (per le ultime release) ● Plugin ~ 50$ - 100$
  • 46. ● Violazione e compromissione di web server e siti legittimi. ● Inclusione di codice. ● Largo uso di exploit e 0day vulnerability. Processo di reclutamento Zombie #1
  • 49. Processo di reclutamento Zombie #2 ● Download ed esecuzione codice maligno. ● Controllo della macchina. ● Comunicazione con C&C. ● Esecuzione comandi da remoto. Un esempio per tutti SpyEye e ZeuS.
  • 50. SpyEye Story ● La prima versione risale al 2009 ● Progettato dai Russi ● 500$ al mercato nero ● Inizialmente nato per accaparrarsi una fetta del mercato di ZeuS ● A differenza di ZeuS, le prime versioni di Spyeye risultano rumorose. ● Non ha un target ben definito. ● Non usa una whitelist. ● Non è stata prevista la funzione di webinject.
  • 51. SpyEye Features ● Formgrabber ● Autofill credit card modules ● Daily email backup ● Ftp protocol grabber ● Encrypted config file ● Pop3 grabber ● Http basic access authorization grabber
  • 52. Offerte Speciali ● 300$ senza modulo VNC ● 800$ versione completa Il vero business sono i moduli aggiuntivi – In particolare le richieste personalizzate
  • 54. Due file di configurazione Main Grabber
  • 55. Pronti per il Login
  • 58. HTTPS Authentication Ambiente di test compromesso da SpyEye
  • 60. Altri modi per monetizzare Innovazioni subdole per stracciare la concorrenza – Individuazione ed estrazione automatica di carte di credito dalle macchine compromesse – Generazione di vendite fasulle su negozi online
  • 61. BillingHammer Feature Il botmaster si procura software freeware, lo rinomina e lo mette in vendita su apposite piattaforme di distribuzione: – ClickBank – FastSpring – Esellerate – SetSystems – Shareit Dal pannello di controllo SpyEye è possibile gestire task automatici Il botmaster può generare un task che utilizza i numeri di carte di credito rubate in modo che venga eseguita una azione attraverso Internet Explorer che a intervalli definiti lanci la compilazione dei campi sul sito del negozio online per completare l'acquisto.
  • 62. Monetizzare Host 1 Host 2 Host 3 Host ... Host n Server Compromesso C&C Primario DB Mysql Server Compromesso C&C Secondario DB Mysql xyzBank $ Zombie freeware $ Credit Card $$$ Noleggio Botnet DDoS Vendita Carte di Credito $ $ Vendita Identità Digitale $
  • 63. Operazioni mirate Host 1 Host 2 Host 3 Host ... Host n Server Compromesso C&C Primario DB Mysql Server Compromesso C&C Secondario DB Mysql TARGET Zombie Credit Card Commissionate?
  • 64. Siamo pronti? Ma più che altro, siamo in grado di stare al passo?
  • 65. Grazie per l'attenzione :-) Domande?