Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
TheoryandPracticesfrom
theScene
27Marzo 2008
27Marzo2008
BlackSunFactoryResearch Team
BlackSunFactoryResearchTeam
Definizione diVirus
Nell'ambitodell'informaticaunvirus unframmentodisoftware,
appartenenteallacategoriadeimalware,che ingrado,unavoltaeseguito,
diinfettaredeifileinmododariprodursifacendocopiedis stesso,
generalmentesenzafarsirilevaredall'utente.Iviruspossonoessereonon
esseredirettamentedannosiperilsistemaoperativocheliospita,maanche
nelcasomigliorecomportanouncertosprecodirisorseinterminidiRAM,
CPUespaziosuldiscofisso.Comeregolageneralesiassumeche unvirus
possadanneggiaredirettamentesoloilsoftwaredellamacchinacheloospita,
ancheseessopuindirettamenteprovocaredanniancheall'hardware,ad
esempiocausandoilsurriscaldamentodellaCPUmedianteoverclocking,
oppurefermandolaventoladiraffreddamento.
Nell'usocomuneilterminevirusvienefrequentementeusatocome
sinonimodimalware,indicandoquindidivoltainvoltaanchecategoriedi
"infestanti"diverse,comeadesempioworm,trojan odialer.
TrattodaWikipedia:http://it.wikipedia.org/wiki/Virus_(informatica)
27Marzo2008
BlackSunFactoryResearch Team
DefinizionediWorm
Unworm unaparticolarecategoriadimalware ingradodiautoreplicarsi.
simileadunvirus,maadifferenzadiquestononnecessitadilegarsiad
altrieseguibiliperdiffondersi.
Tipicamenteunworm modificailcomputercheinfetta,inmododavenire
eseguitoognivoltachesiavvialamacchinaerimanereattivofinch nonsi
spegneilcomputerononsiarrestailprocessocorrispondente.
Ilmezzopi comuneimpiegatodaiworm perdiffondersi laposta
elettronica:ilprogrammamalignoricercaindirizziemailmemorizzatinel
computerospiteedinviaunacopiadis stessocomefileallegato
(attachment)atuttiopartedegliindirizziche riuscitoaraccogliere.
Questieseguibilimalignipossonoanchesfruttareicircuitidel filesharing
perdiffondersi.Inquestocasosicopianotraifilecondivisidall'utente
vittima,spacciandosiperprogrammiambitiopercrackdiprogrammi
moltocostosioricercati,inmododaindurrealtriutentiascaricarloed
eseguirlo.
Latipologiaforsepi subdoladiworm sfruttadeibug dialcunisoftwareo
sistemioperativi,inmododadiffondersiautomaticamenteatuttii
computervulnerabiliconnessiinrete.
27Marzo2008
BlackSunFactoryResearch Team
DefinizionediTrojan
Untrojan otrojan horse (dall'ingleseperCavallodiTroia), untipodi
malware.Deveilsuonomealfattochelesuefunzionalit sononascoste
all'internodiunprogrammaapparentementeutile; dunquel'utente
stessocheinstallandoedeseguendouncertoprogramma,
inconsapevolmente,installaedesegueancheilcodicetrojan nascosto.
IngenerecoltermineTrojan cisiriferisceaitrojan adaccessoremoto
(dettiancheRATdall'ingleseRemoteAdministrationTool),composti
generalmenteda2file:ilfileserver,chevieneinstallatonellamacchina
vittima,edunfileclient,usatodalpirataperinviareistruzionicheilserver
esegue.Inquestomodo,comeconilmiticostratagemmaadottatoda
Ulisse,lavittima indottaafarentrareilprogrammanellacitt,ossia,
fuordimetafora,adeseguireilprogramma.Esistonoanchealcuni
softwarelegaliconfunzionalit similiaitrojan,machenonsonodeicavalli
diTroiapoich l'utente consapevoledellasituazione.
27Marzo2008
BlackSunFactoryResearch Team
Trojan:diffusioneefunzionalit
Itrojan nonsidiffondonoautonomamentecomeivirusoiworm,quindi
richiedonouninterventodirettodell'aggressoreperfargiungere
l'eseguibilemalignoallavittima.Spesso lavittimastessaaricercaree
scaricareuntrojan sulpropriocomputer,datocheicrackeramano
inserirequeste"trappole"adesempioneivideogiochipiratati,chein
generesonomoltorichiesti.
Untrojan pucontenerequalsiasitipodiistruzionemaligna.Spessoi
trojan sonousaticomeveicoloalternativoaiworm eaivirusperinstallare
dellebackdoor odeikeylogger suisistemibersaglio.
All'incircanegliannisuccessivial2001o2002itrojan incomiciarono ad
essereutilizzatisistematicamenteperoperazionicriminose;inparticolare
perinviaremessaggidispam eperrubareinformazionipersonaliquali
numeridicartedicreditoedialtridocumentioanchesoloindirizziemail.
ITrojan dinuovagenerazionehannomolteplicifunzionalit,quali
connessionitramiteIRCbot,formandoappuntoBotnet,eopzioniper
nascondersimeglionelsistemaoperativo,utilizzandotecnichediRootkit.
27Marzo2008
BlackSunFactoryResearch Team
ComponentidiunMalware
IMalware pi semplicisonocompostidaduepartiessenziali,sufficientiad
assicurarnelareplicazione:
unaroutinediricerca,chesioccupadiricercaredeifileadattiad
essereinfettati;
unaroutinediinfezione,conilcompitodicopiareilcodicedel
Malware all'internodiognifileselezionatodallaroutinediricerca.
MoltiMalware sonoprogettatipereseguiredelcodiceestraneoalle
finalit direplicazioneecontengonodunquealtridueelementi:
laroutinediattivazione;
ilpayload.
Iviruspossonoesserecriptati emagaricambiarealgoritmoe/ochiave
ognivoltachevengonoeseguiti,quindipossonocontenerealtritre
elementi:
unaroutinedidecifratura;
unaroutinedicifratura;
unaroutinedimutazione,chesioccupadimodificareleroutine di
cifratura edecifratura perogninuovacopiadelvirus.
27Marzo2008
BlackSunFactoryResearch Team
GliAVelestrategiedianalisi
Gliantivirusperidentificareuncontenutomalevolopoggiano
sullecosiddettefirme o signatures,ovverosull'azionedi
confrontotrauncontenutoanalizzatoedivaricontenuti
malevolipossibili,seinquestosensoilcontenutomalevolo
non censitonellefirmel'Antivirusnonlopuidentificare
comemalware.
Scansioneeuristica:questatecnicatentadirilevareforme
noteenuovedisoftwaredannosocercandonele
caratteristichegenerali.Ilvantaggioprincipalediquesta
tecnica chenonsibasasuifiledellefirmeperidentificaree
contrastareilsoftwaredannoso.Losvantaggio lalentezzae
ilrischiodiFalsipositivi.
27Marzo2008
BlackSunFactoryResearch Team
Nonpuoifermarequantonon vistocomeuna
minaccia!...
Unantivirus,alparidiunHIPS,nonpuimpedirecheuncodice non
individuatodallesignatures odaanalisieuristichevengainstallato.A
voltechiedeconfermaallutente,maanchequestononbasta.Nonsi
puconfidaresullinformazioneeleconoscenzedellutenteinmerito
allabont diuncodicenonidentificato(effettoZoneAlarm).
Imodellididifesasonoditiporeattivononproactive.
IlmodelloperSignature avoltevieneresoinefficacedallevariantidei
virusedeiBotworm
Lenuovevariantiappaionoprimachelesignature sianocreate
AlcuniBotworm hannolacapacit diaggiornarsiodiinstallareplugin per
inibireicontrolli
Ilmodelloentraincrisianchenelcasodiattacchizeroday
Quandosiintroduconodifeseproattive sicadefatalmentenelrischiodei
falsipositivi
27Marzo2008
BlackSunFactoryResearch Team
Tecnichedioffuscamento
Nelpassatoalcunicrackers sonoriuscitiadaggirarei
programmiantivirusutilizzandodeipayload crittografaticon
cuiveicolareiloroattacchi.AdesempioutilizzandoUPX(The
UltimatePacker foreXecutables)eMorphine,unprogramma
percrittare idati.Maabbiamopayload diffusianche
attraversofileGDI+ eJPEGchepermettonodinascondere
ulteriormenteiTrojan horse compattativiaUPXecrittografati
viaMorphine inmododapotersuperarefacilmenteleprime
difeseimpostatedagliutentiattraversoifiltridicontenutoo
gliantivirus.
27Marzo2008
BlackSunFactoryResearch Team
DefinizionediBotNet
Botnet untermine usato perdefinire uninsieme disoftware
robots,obots,chelavorano inmodo autonomo e
automatico.Questi softwarebot vengono solitamente
controllati da remoto.
Ingenere quindi laparola Botnet viene usata perdefinire
uninsieme dicomputercompromessi (chiamati anche
zombiesodrones)chevengono controllati da remoto
attraverso programmi ditipo worm,trojan obackdoorda una
infrastruttura digestione comune.
Unbotnet operator(anche definito "bot herder")pu
controllare remotamente il gruppo dizombieattraverso
canali diraccolta dei sistemi compromessi quali IRC,dei
serverwebodegli altri programmi dimessaggistica online.
27Marzo2008
BlackSunFactoryResearch Team
DefinizionediBotnet
Tradizionalmente il centro dicomando econtrollo (C&C)
posto allinterno dicanali IRCprivati (protetti da password)
suiquali isistemi zombiessi loggano aseguito della
compromissione.Unbot softwarelavora inmodalit nascosta
alsistema ealsuo leggittimo proprietario ed conforme
allRFC 1459(IRC)standard.
Lacompromissionepu essere legata avulnerabilit
sistemistiche (exploit,bufferoverflow,ecc)oallesecuzione
gi inprimaistanza ditrojan horse
Laprimaoperazione compiuta da unnuovo bot compromesso
lingresso nel canale dicontrollo acuiseguesolitamente
una fase automatica discansione delsegmento direte locale
delsistema compromesso percercare nuove possibili vittime
perallargare lacompromissioneadaltri PC.
27Marzo2008
BlackSunFactoryResearch Team
Maquantosonopericolose
questeBotnet?
27Marzo2008
BlackSunFactoryResearch Team
27Marzo2008
BlackSunFactoryResearch Team
27Marzo2008
BlackSunFactoryResearch Team
software(Malware),
eMail attachment,
Exploitdiretto divulnerabilit
Programmi diChat
27Marzo2008
BlackSunFactoryResearch Team
Internetoggi
27Marzo2008
BlackSunFactoryResearch Team
Internetoggi
27Marzo2008
BlackSunFactoryResearch Team
Internetoggi
27Marzo2008
BlackSunFactoryResearch Team
Antivirus,Firewalls,and
more
Lattualescenariomostralintroduzionedialcune
specifichetecnologieutilinellalottacontroitradizionali
malware eillorometodididiffusione.
Alcuniproblemisonoquindirisolti,manonostante
questoassistiamoancoraallacrescitadellaminaccia
prodottadalleBotnet.
Leragionisonocollegatea:
CattiveabitudinidegliutentiInternet
Ignoranza
Mancanzadiapplicazionedeipurepi basilarimeccanismidi
protezione
27Marzo2008
BlackSunFactoryResearch Team
Permoltimanonpertutti
Cosapossiamodiredellasituazionedelle
nazioniinviadisviluppo?
DobbiamovederelaITSecurityinnuovicontesti.
DobbiamoanalizzareevalutarelaspesaperlaIT
Securityinquestenazioni
DobbiamoabbandonarelapercezionecheFirewal
eantivirussianolapanaceadiognimale
LeleggicontroSpam,Viruseviolazioni
informatichenon allineatatralevarienazioni
27Marzo2008
BlackSunFactoryResearch Team
BotNet:Facts!
27Marzo2008
BlackSunFactoryResearch Team
UsidiunaBotNet
Laflessibilit delle botnets mostrata dalle tante
possibili applicazioni malevole chesi possono
realizzare conesse:
DistributedDenialofServiceattacks
Spamming
Spreadingmalware
Trafficsniffing
Keylogging
Identitytheft
27Marzo2008
BlackSunFactoryResearch Team
DDoS Attacks
UnDenialofService (DoS) unattaccoportatoad
unhostconlobiettivodidisabilitarneunoopi
serviziofunzionalit.
IlDoS siperpetrasovraccaricandoilservizio
bersaglio.Questosovraccarico(Flood)puessere
generatodallazionecongiuntadivariemacchine
attaccanti.InquestocasosiparladiDistributed
DenialofService (DDoS).
Unabotnet lapi efficaceformadicontrolloedi
coordinamentoperattuareattacchiDDoS
27Marzo2008
BlackSunFactoryResearch Team
DDoS Attacks
Zombie
Zombie
Zombie
Zombie
Bot
Server
Zombie
Zombie
27Marzo2008
BlackSunFactoryResearch Team
DDoS Attacks
Zombie
Zombie
Zombie
Zombie
Bot
Server
Zombie
ATTACKTarget
Target
27Marzo2008
Zombie
BlackSunFactoryResearch Team
DDoS Attacks
Zombie
Zombie
Zombie
Zombie
Bot
Server
Zombie
ATTACKTarget
Target
27Marzo2008
Zombie
BlackSunFactoryResearch Team
Spam Distribution
Unaltracomuneformadiapplicazionedellebotnets la
distribuzionedispam.Questometodo efficacepericyber
criminalipercreareguadagniattraversolinfrastruttura
botnet dalorocreataegestita.
Unabotnet puessereaffittataadaziendesenzascrupoliche
possonodiffondereconessaadvertisements pubblicitariin
grandivolumieinmanieramoltoefficienteevitandoinoltre
cheiloromessaggidispam possanovenirefiltratidasistemi
diprotezioneditipoAntispam.
DadatiraccoltiediffusidaaziendecomeSecureWorks la
maggiorpartedellospam mondiale inviatoattraverso
sistemiclientsconWindowsXPabordo.
27Marzo2008
BlackSunFactoryResearch Team
1 ITALY
Recipient
ITALY
4
China
USA
Zombies
3
27Marzo2008
BlackSunFactoryResearch Team
Malware distribution
Unbot herder puusarelasuabotnet perdiffondere
malware.
Bots istruitiacompierequesteoperazionipossonoscaricare
automaticamenteadware odialer.
Questopermettealtreformediintroitoperibotnet herder,
soprattuttoladdovelherder vienepagatopericlassicihosts
clickoperladiffusionediadvertisements.
Perfavorireilflussoeconomicoilbot herder necessitaavolte
diconoscerelesattaubicazionedeiproprizombiehostin
mododagarantirelarispondenzadeglispecificiadware
installaticonilmercatolocalediriferimento.
27Marzo2008
BlackSunFactoryResearch Team
Sniffing,Keylogging &IDTheft
Bot Channel operations include
Keylog
Channel OP
ZombieA
IRCServer
ZombieD
ZombieB
IRCServer
IRCServer
ZombieC
27Marzo2008
BlackSunFactoryResearch Team
Scan
Channel OP
Sniffing,Keylogging &IDTheft
Bot Channel operations include
Keylog
Login:Zombie
Password:zomb13
Login:Zombie
Password:zomb13
Channel OP
ZombieA
IRCServer
ZombieD
ZombieB
IRCServer
Scan
IRCServer
ZombieC
27Marzo2008
BlackSunFactoryResearch Team
Channel OP
Sniffing,Keylogging &IDTheft
Bot Channel operations include
Keylog
Login:Zombie
Password:zomb13
Login:Zombie
Password:zomb13
Channel OP
ZombieA
IRCServer
ZombieD
ZombieB
IRCServer
IRCServer
ZombieC
27Marzo2008
BlackSunFactoryResearch Team
Channel OP
Sniffing,Keylogging &IDTheft
Bot Channel operations include
Keylog
Channel OP
ZombieA
IRCServer
ZombieD
ZombieB
IRCServer
Scan
Results
IRCServer
ZombieC
27Marzo2008
BlackSunFactoryResearch Team
Channel OP
Sniffing,Keylogging &IDTheft
Bot Channel operations include
Keylog
Channel OP
ZombieA
IRCServer
ZombieD
ZombieB
IRCServer
IRCServer
ZombieC
27Marzo2008
BlackSunFactoryResearch Team
Scan
Results
Channel OP
Sniffing,Keylogging &IDTheft
Bot Channel operations include To:mr.jones@hotmail.com
To:mr.jones@hotmail.com
Subject:Invoice
Hello,
Thisisaninvoice
Foryourlast order
Keylog
Channel OP
Subject:Invoice
Hello,
Thisisaninvoice
Foryourlast order
ZombieA
IRCServer
ZombieD
ZombieB
IRCServer
IRCServer
ZombieC
27Marzo2008
BlackSunFactoryResearch Team
Channel OP
BotNet Architecture
Lecomunicazioniinunabotnet richiedonotre
coponenti:
unsender,
unchannel,
unreceiver,
Cisonoinoltrevarimodellidicomunicazionee
controllodiunaBotnet,alsolitoognunohaisuoi
vantaggieisuoisvantaggi.
Mostriamooratrediquestimodelli.
27Marzo2008
BlackSunFactoryResearch Team
Manytoone
C&C server
Zombie
27Marzo2008
Zombie
Zombie
Zombie
BlackSunFactoryResearch Team
Zombie
2TiersBotNet
C&C server
C&C
server
China
Zombies
27Marzo2008
Zombie
C&C
server
Egypt
Zombies
Zombie Zombie
Colombia
Zombies
BlackSunFactoryResearch Team
C&C
server
Russia
Zombies
Example:2Tiers Spam
Distribution
Botherder
Spammer
1 ITALY
Recipient
Moldova
ITALY
5
UK
Tier 2zombies
4
China
USA
Tier 1zombies
3
27Marzo2008
BlackSunFactoryResearch Team
Manytomany
P2Zombie
P2Zombie
P2Zombie
P2Zombie
27Marzo2008
P2Zombie
P2Zombie
P2Zombie
BlackSunFactoryResearch Team
P2Zombie
P2Zombie
HowtocreateaBotNet?
27Marzo2008
BlackSunFactoryResearch Team
Allyouneed todois:
IndividuareunabuonaTrojan Console(Agobot,Rbot,
ecc);
Definireilcomportamentocheassumer ilTrojan
attraversoleopzionidellaGui;
Offuscalasignature (automagically);
CompilailTrojan (meglioseMultistage)
PredisponiuncanalesuIRCounWebsiteperlaBot
gathering
DiffondiilTrojan attraversoisistemiP2PoiSitiWarez
Enjoy
27Marzo2008
BlackSunFactoryResearch Team
Botnet 31337
An31337cr3wcould doworst
27Marzo2008
Individuaosviluppaunexploit0day
Integraloinuntrojan multistage
CompilailtuttoecodificaloconMorphine oUPX
DiffondiloinambientiP2P,Warez,Chat,etc
OrganizzailBotgathering,megliosemultistage
VendilaBotnet onoleggiala
Enjoy
BlackSunFactoryResearch Team
Botnet diffusion
Internet
www.warez.net
27Marzo2008
BlackSunFactoryResearch Team
1tierBotnet structure
Zombie
Zombie
Zombie
Zombie
Zombie
Zombie
C&C
Server
Zombie
Zombie
Zombie
27Marzo2008
BlackSunFactoryResearch Team
LetsRock!
Ora venutoilmomentodivederequalcosa
live
Ladies andGentlemen,we areproud to
introduceyou:Agobot,thefirstandprobably
themost diffused andknown Botworm
27Marzo2008
BlackSunFactoryResearch Team
Illaboratorio
BOTserver
Win2003Server
Web
server
IRCServer
Ftp
server
Zombie
Win Xp sp1
27Marzo2008
Zombie
Win Xp sp2
Zombie
Win2000
BlackSunFactoryResearch Team
PreparazionedelBot
VisualC++
gcc
Config Gui
Compilazione
BotNet.exe
27Marzo2008
BlackSunFactoryResearch Team
Comandi1(funzionali)
commands.list
cvar.list
cvar.get
cvar.set
cvar.loadconfig
cvar.saveconfig
mac.logout
login
27Marzo2008
BlackSunFactoryResearch Team
Comandi2(bot.)
9
bot.about
10
bot.die
11
bot.dns
12
bot.execute
13
bot.id
14
bot.nick
15
bot.open
16
bot.remove
17
bot.removeallbut
18
bot.rndnick
19
bot.status
gives status
27Marzo2008
BlackSunFactoryResearch Team
Comandi3(bot.)
20
bot.sysinfo
21
bot.longuptime
22
bot.highspeed
23
bot.quit
24
bot.flushdns
25
bot.secure
delete shares
26
bot.unsecure
27
bot.command
27Marzo2008
BlackSunFactoryResearch Team
Comandi4(irc.)
28
irc.disconnect
29
irc.action
30
irc.dccsend
31
irc.getedu
32
irc.gethost
33
irc.join
34
irc.mode
35
irc.netinfo
prints netinfo
36
irc.part
37
irc.privmsg
sends a privmsg
38
irc.quit
39
irc.raw
40
irc.reconnect
41
irc.server
27Marzo2008
BlackSunFactoryResearch Team
Comandi5(http.&ftp.)
42
http.download
43
http.execute
44
http.visit
45
ftp.download
46
ftp.execute
47
ftp.update
48
http.speedtest
27Marzo2008
BlackSunFactoryResearch Team
Comandi6(ddos.)
49
ddos.udpflood
50
ddos.synflood
51
ddos.httpflood
52
ddos.stop
53
ddos.phatsyn
54
ddos.phaticmp
55
ddos.phatwonk
56
ddos.targa3
27Marzo2008
BlackSunFactoryResearch Team
Comandi7(redirect.)
57
redirect.tcp
58
redirect.gre
59
redirect.http
60
redirect.https
61
redirect.socks
62
redirect.socks5
63
redirect.stop
27Marzo2008
BlackSunFactoryResearch Team
Comandi8(gestioneprocessi)
64
rsl.reboot
65
rsl.shutdown
66
rsl.logoff
67
pctrl.list
68
pctrl.kill
kills a process
69
pctrl.listsvc
70
pctrl.killsvc
71
pctrl.killpid
kills a pid
27Marzo2008
BlackSunFactoryResearch Team
Comandi9(gestioneprocessi)
72
inst.asadd
73
inst.asdel
74
inst.svcadd
75
inst.svcdel
76
harvest.cdkeys
77
logic.ifuptime
78
logic.ifspeed
27Marzo2008
BlackSunFactoryResearch Team
Comandi10(harvest.)
79
harvest.emails
80
harvest.emailshttp
81
harvest.aol
82
harvest.registry
83
harvest.windowskeys
27Marzo2008
BlackSunFactoryResearch Team
Comandi11(shell.&plugin.)
84
plugin.load
loads a plugin
85
plugin.unload
86
shell.handler
87
shell.enable
88
shell.disable
27Marzo2008
BlackSunFactoryResearch Team
Comandi12(scan.)
89
scan.addnetrange
90
scan.delnetrange
91
scan.listnetranges
92
93
94
scan.enable
95
scan.disable
96
scan.startall
97
scan.stopall
98
scan.start
99
scan.stop
100 scan.stats
27Marzo2008
Graziedellattenzione
BlackSunFactoryResearch Team
StefanoMaccaglia
RaffaeleAddesso
AlbertoPassavanti
info@bsfactory.net
27Marzo2008
BlackSunFactoryResearch Team