Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

Botnet e nuove forme di malware

3 644 vues

Publié le

Botnet e nuove forme di malware - Analisi tecnica ed evoluzione del fenomeno

  • Soyez le premier à commenter

Botnet e nuove forme di malware

  1. 1. #DIGICONF 2011 Botnet e nuove forme di malwareAnalisi tecnica ed evoluzione del fenomeno $author  =  Gianni guelfoweb Amato $site  =  www.securityside.it $blog  = www.gianniamato.it $email  = amato@securityside.it $twitter  =  guelfoweb www.digiconf.net sponsored by www.govforensics.it
  2. 2. SULLA SCENA DEL CRIMINE
  3. 3. MA NON SIAMO IN TV
  4. 4. SCENARI INSOLITI Non solo Banche &Infrastrutture critiche
  5. 5. MALWARE EVOLUTION
  6. 6. TARGET Furto di dati sensibili  Numeri di carte di credito;  Numeri di conto corrente;  Account email;  Identità digitale.
  7. 7. BLACK MARKET 2010 Un crescita del 71% Symantec Intelligence Il 78% del malware con Quarterly Report funzione di esportazione dati  2009: Il valore delle informazioni rubate ammonta a 1 trilione di dollari;  Giugno 2010: un volume di affari di 210 milioni di euro;  Il costo medio sostenuto da unorganizzazione compromessa è allincirca di 5 milioni di Euro;  23 milioni di Euro è il costo massimo sostenuto da una azienda colpita da un attacco informatico.
  8. 8. QUANTO COSTA? 1 Visa / MasterCard ~ 5$ / 25$ 1000 Carte di Credito ~ 1500$ 1 Identità digitale ~ 3$ - 20$ ...e non è difficile ottenerli
  9. 9. PREVISIONI 2011Spesa del 2011 per le aziende statunitensi: 130 miliardi di dollari (perdita in denaro)
  10. 10. UN GROSSO AFFARE 388 miliardi di dollari, una cifra superiore almercato nero di marijuana, cocaina ed eroina
  11. 11. CRIMEWARE KIT E sempre più semplice sferrare attacchi informatici; Sottrarre informazioni personali; I costi sono accessibili:  500$-1000$ ZeuS o SpyEye;  Il costo delle ultime versioni si aggira intorno ai 1000$;  Il costo dei plugins varia dai 50$ ai 100$.
  12. 12. NUOVI TARGET
  13. 13. IL CASO STUXNET Attacco alle Centrali Nucleari. Nello specifico lIran e gli esperimenti con lenergia nucleare; I sistemi SCADA nel mirino dellorganizzazione; Soluzioni Siemens per la gestione dei sistemi industriali; Windows + WinCC + PCS 7.
  14. 14. ELEMENTI IMPORTANTI La password dei sistemi SCADA (DB WinCC) era conosciuta da oltre 2 anni. Fu pubblicata in un forum e poi rimossa dal moderatore; Gli autori erano in possesso di certificati digitali: Realtek e JMicron
  15. 15. LA STORIA CONTINUA... Verisign revoca i certificati il 16 luglio; Il 17 luglio viene rilevata una nuova versione di Stuxnet con i certificati rubati a Jmicron; Dalle prime indagini si scopre che Stuxnet sfrutta la vulnerabilità LNK; Indagini successive provano che Stuxnet sfrutta ben 5 vulnerabilità dei sistemi Windows.
  16. 16. NUMERI MISTERIOSI Il valore numerico 1979050 trovato nel registro di sistema delle macchine compromesse da Stuxnet è stato interpretato come la possibile data di nascita di uno dei suoi autori: 09/05/1979 E stato appurato che la data rilevata allinterno del codice di Stuxnet 24/6/12 coincide esattamente con la data del suo decesso.
  17. 17. ...E SUI SISTEMI NON SCADA?
  18. 18. CYBERWAR
  19. 19. NUOVE ARMI Niente missili, né carri armati o aerei da combattimento. Il codice è larma più pericolosa e può essere sfruttato nei più svariati modi.
  20. 20. LE BOTNETNoleggio Vendita Utilizzo DDOS Malware Spam Furto di Informazioni Vendita Utilizzo
  21. 21. 17.000$ AL GIORNO
  22. 22. RECLUTARE ZOMBIE Violazione e compromissione di  Esecuzione del malware sulla siti legittimi; macchina;  SQL Injection  Furto di credenziali (silent mode);  Remote File Inclusion (RFI)  Cross Site Scripting (XSS)  Comunicazione con C&C per il download di nuovi malware o nuovo codice da eseguire. Inclusione di codice nei siti compromessi; Largo uso di exploit per vulnerabilità già note (o 0day).
  23. 23. RISORSE ONLINE
  24. 24. Bank of Nikolai
  25. 25. SPYEYE STORY La prima versione appare nel 2009 Progettato dai Russi Un costo di 500$ al mercato nero Nato per accaparrarsi una fetta del mercato di ZeuS Prova ne è lopzione Kill Zeus in fondo al builder
  26. 26. SPYEYE FEATURES Formgrabber (Keylogger)  A differenza di ZeuS, le prime versioni di Spyeye sono troppo Autofill credit card modules rumorose Daily email backup  Il form grabber altro non è che Encrypted config file un keylogger Ftp protocol grabber  Cattura e comunica al C&C il contenuto di tutti i campi. Non Pop3 grabber ha un target ben definito. Http basic access authorization  Non usa una whitelist grabber  Non è stata prevista la funzione Zeus killer di webinject
  27. 27. LUNIONE FA LA FORZA ZeuS + SpyEye  Brute force password guessing  Jabber notification  VNC module  Auto-spreading  Auto-update  Unique stub generator for FUD and evasion  New screenshot system
  28. 28. MALWARE AS A SERVICE 300$ senza modulo VNC 800$ versione completa Il vero business risiede nel commercio dei moduli  Personalizzabili  Scritti ad hoc
  29. 29. BILLINGHAMMER MODULE Il botmaster si procura software  Dal pannello di controllo freeware, lo rinomina e lo mette SpyEye è possibile gestire dei in vendita su apposite task automatici piattaforme di distribuzione:  Il botmaster può generare un  ClickBank task che utilizza i numeri di carte di credito rubate in modo  FastSpring che venga eseguita una azione  Esellerate attraverso Internet Explorer e -  SetSystems a intervalli definiti dallutente - si avvii automaticamente la  Shareit compilazione dei campi sul sito del negozio online per fare acquisti.
  30. 30. SPYEYE MONITORING Lattività di monitoring, durata 3 settimane, è stata effettuata sfruttando il Feed RSS del sito MalwareDomainList.com Filtrando le entry raccolte da Google Reader il risultato ottenuto è di 476 siti web che in 3 settimane hanno distribuito il malware SpyEye. Una media di 22,6 siti al giorno. Tra questi, 196 siti oltre a distribuire il malware avevano funzione di C&C
  31. 31. SPYEYE: C&C IN 10 MINUTI Gli ingredienti Piattaforma LAMP (Linux, Apache, MySQL, Php) Il sorgente Php di SpyeEye C&C T EP S 4
  32. 32. STEP 1 - DBAllutente del DB devono essere assegnati tutti i privilegi
  33. 33. STEP 2 – MAIN / CONFIG.PHP
  34. 34. STEP 3 – GRAB / CONFIG.PHP
  35. 35. STEP 4 – IMPORT .SQL FILE
  36. 36. READY!Form Grabber Login Main Login
  37. 37. MAIN PAGE
  38. 38. FORM GRABBER
  39. 39. GET BUILD
  40. 40. TCP STREAMAllavvio il malware contatta il C&C
  41. 41. FORM (LOGIN) GRAB
  42. 42. DALLA TEORIA ALLA PRATICA Simulazione di una botnet Malware Analysis e compromissione di una A Case Study macchina Windows XP in ambiente virtuale Command & Control su Ubuntu server LAMP Ambiente di cavia: Windows XP SP3 su Virtualbox http://www.securityside.it/docs/malware-analysis.pdf
  43. 43. DOMANDE?

×