1. Crimini Informatici 2012
Indagini Digitali in ambito Giudiziario e Forense
Terrorismo, spionaggio ed esercito di botnet. La cyberguerra è già in atto. Le
sofisticate armi digitali, accuratamente progettate per colpire obiettivi specifici,
rappresentano la minaccia più preoccupante che sia stata mai affrontata.
2. Who is?
● Author: Gianni Amato
● Site: www.securityside.it
● Blog: www.gianniamato.it
● Email: amato@securityside.it
● Twitter: @guelfoweb
IT Security and Forensics Consultant. Specialized in
Cybercrime Intelligence for Internet Industry and
Government Agencies.
3. Cosa è il Cybercrime
● Un crimine come tutti gli altri, con l'aggiunta
della componente informatica
● La componente informatica può essere il
mezzo o l'obiettivo del crimine (o entrambi)
5. L'apocalisse
Cosa comporterebbe un ipotetico cyber attacco alle infrastrutture critiche
✔ Prenotazioni online di treni e aerei bloccate
✔ Sistemi di controllo di linee aeree e treni in tilt
✔ Le comunicazioni email interrotte
✔ Caos nelle Pubbliche Amministrazioni
✔ Raffinerie e Oleodotti fuori controllo
✔ Acqua, gas, rete elettrica fuori uso
6. Terrorismo?
● Si, è importante prestare attenzione a tutte le
forme di terrorismo. In particolare al terrorismo
psicologico.
7. Impossibile che accada?
● No, la Cyberwar è già iniziata. Una guerra
digitale tra nazioni notoriamente in contrasto.
– 2010: Stuxnet
– 2011: Duqu
– 2011: Gauss
– 2012: Mahdi
– 2012: Flame
– 2012: Wiper
– 2012: Shamoon
8. Chi potrebbero essere gli artefici?
● Chiunque!
– Dai servizi segreti ai gruppi di estremisti
– Dai militari ai terroristi
– Nazioni in contrasto da anni
9. 2010: Stuxnet
● Scoperto nel giugno 2010
● Obiettivo: Sabotare il programma nucleare
Iraniano
– Sistemi SCADA
● Windows + WinCC + PCS 7
● Progetto USA “Operation Olympic Games”
iniziato da George W. Bush
– Si diffonde via USB
– Sfrutta vulnerabilità 0-day
10. 2010: Stuxnet
● La password dei sistemi SCADA (DB WinCC)
era conosciuta da oltre 2 anni. Fu pubblicata
in un forum e poi rimossa dal moderatore
● Gli autori erano in possesso di certificati
digitali: Realtek e JMicron
● Verisign revoca i certificati il 16 luglio
● Il 17 luglio viene rilevata una nuova versione
di Stuxnet con i certificati rubati a Jmicron
11. 2010: Stuxnet
● Il valore numerico '1979050' trovato nel
registro di sistema delle macchine
compromesse da Stuxnet è stato interpretato
come la possibile data di nascita di uno degli
autori: 09/05/1979
● E' stato appurato che la data rilevata
all'interno del codice di Stuxnet '24/6/12'
coincide esattamente con la data del suo
decesso
12. 2011: Duqu
● Scoperto nel settembre 2011
● Condivide codice di Stuxnet (?)
● Il target ancora una volta è l'Iran: valutare lo
stato del programma nucleare
● Obiettivo diverso: furto di informazioni
● Utilizza certificati rubati
● Ha funzioni di keylogger
● Sfrutta vulnerabilità 0-day (kernel Windows)
13. 2011: Gauss
● Scoperto nel settembre 2011
● Rilevato in Libano, Israele, Palestina, Stati
Uniti e Emirati Arabi
● Obiettivo: furto di password e conti bancari
● Si ipotizza sia stato creato dagli stessi autori
di Stuxnet e Duqu
14. 2012: Mahdi
● Scoperto nel febbraio 2012
● Il nome deriva da stringhe trovate nel codice
che fanno riferimento al Messia Islamico
● Non si conoscono gli autori
● Ha funzioni di keylogger e cattura schermate
● Ruba file audio, file di testo e immagini
● Sfrutta bug di Word e Power Point
15. 2012: Flame
● Scoperto nell'aprile 2012
● Individuato da Kaspersky Lab in Iran (Iranian
Oil Minestry
● CrySyS Lab sostiene che il malware potrebbe
essere online dal 2007
● Si propaga tramite USB Key, nella rete locale
grazie ad una vulnerabilità di Windows nei
sistemi con stampante condivisa
● Usa un falso certificato digitale
16. 2012: Flame
● Ha funzioni di keylogger
● Cattura immagini
● Registra l'audio (conversazioni via Skype)
● Ruba documenti di testo e file DWG (Progetti
AutoCad)
● Rilevate somiglianze con Stuxnet e Duqu ma
con un obiettivo diverso: spionaggio
industriale
18. 2012: Wiper
● Un soldato inviato sul campo di battaglia per
ripulire le tracce
● Ha lo scopo di cancellare tutte le tracce
lasciate da Stuxnet e Duqu
● La priorità di rimuovere le informazioni è data
ai file .PNF (usati da Stuxnet)
● Rimuove inoltre tutti dati utili ai tecnici forensi
(non è un caso)
19. 2012: Shamoon
● Scoperto nel mese di agosto 2012
● Shamoon è il nome trovato nel codice
● Progettato per lo spionaggio
● Ha preso di mira un ente petrolifero di Stato
Saudita
● Cancella i dati del pc infetto sostituendoli con
delle immagini (una bandiera americana)
● I file originali vengono verso un server
sconosciuto
20. Perchè analizzare un Malware?
L'analisi è una procedura
che va eseguita in
laboratorio - quando è
possibile - e consente di
ricostruire la logica del
malware per rispondere
ai quattro quesiti che si
presentano quando una
macchina viene
compromessa.
21. I 4 Quesiti
● 1. Qual è lo scopo del malware?
● 2. Quali informazioni è riuscito a carpire?
● 3. Dove sono state trasmesse le informazioni?
● 4. Come ha fatto ad arrivare fin qui?
22. Con cosa abbiamo a che fare?
● Persone altamente competenti
● Codice è offuscato
● Crittorgrafia (soprattutto durante la
trasmissione dei dati)
● Funzioni di rootkit
● Vulnerabilità 0-day
28. Acquisti nell'Underground Russo
● Hacking a Gmail account: $162
● Hacking a corporate mailbox: $500)
● Scans of legitimate passports: $5 each
● Winlocker ransomware: $10-20
● Unintelligent exploit bundle: $25
● Intelligent exploit bundle: $10-3,000
● Traffic: $7-15 per 1,000 visitors for the most
valuable traffic (from the US and EU)
29. Acquisti nell'Underground Russo
● Basic crypter (for inserting rogue code into a
benign file): $10-30
● SOCKS bot (to get around firewalls): $100
● Hiring a DDoS attack: $30-70 for a day,
$1,200 for a month
● Email spam: $10 per one million e-mails
● Expensive email spam (using a customer
database): $50-500 per one million e-mails
30. Acquisti nell'Underground Russo
● SMS spam: $3-150 per 100-100,000
messages
● Bots for a botnet: $200 for 2,000 bots
● DDoS botnet: $700
● ZeuS source code: $200-$500
● Windows rootkit (for installing malicious
drivers): $292
● Hacking a Facebook or Twitter account: $130
32. ZeuS Info
● Online dal 2006
● Scritto in Visual C++
● Gli autori non amano chiamarlo Trojan,
Backdoor o Virus. Lo chiamano
semplicemente “Bot”
● Prende di mira i sistemi MS Windows
● Basato sulle intercettazioni delle WinAPI
33. ZeuS Ring
● Ring3
– Garantisce adattabilità e scalabilità
– Può operare in Guest User
34. ZeuS Client Features
● Sniffer di traffico su protocollo TCP
● Intercettazione di login FTP
● Intercettazione di login POP3
● Intercetta le chiamate alla libreria Wininet.dll
(usata da Internet Explorer) e nspr4.dll (usata
da Firefox) per connessioni HTTP e HTTPS
● Encryption 1024-bit RSA
35. ZeuS Server Features
● Usa Socks 4/4a/5 con supporto UDP e IPv6
● Connessioni alla macchina infetta via FTP o
RDP
● Screenshot in real time
● Esecuzione comandi da remoto