Sei sulla pagina 1di 34

Esempi di intrusioni reali..

relatore: Igor Falcomat


Client side attacks, covert channels, social networks, .. - come cambiano gli attacchi e quanto sono efficiaci le misure di sicurezza tradizionali (firewall, IPS, IDS, DPS, PDS, ..)?

SMAU 2010 seminari AIPSI 25 ott 10 - Milano


free advertising >
Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano http://creativecommons.org/licenses/by-sa/2.0/it/deed.it
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 1

about:
aka koba

attivit professionale: analisi delle vulnerabilit e penetration testing security consulting formazione altro: sikurezza.org (Er|bz)lug

Relatore:

Igor Falcomat Chief Technical Officer ifalcomata@enforcer.it

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 2

One-Click-Exploit
(sperando che Ama*on non reclami i diritti)

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 3

Just click to launch..


..the good ole Internet Exploder..

(Click)

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 4

Meanwhile, back at the ranch..


..a cowboy sitting in the dark..

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 5

Game Over
thnxs/credits: unknow +hdm@metasploit.com

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 6

Instant Replay
0wn1ng the Enterprise 2.0
web server Mr. Malicious 2.0 mail server db server

ext. router

file server

firewall

dep. server

utente remoto desktop desktop


VPN gw

access point

desktop wifi user wifi user

utente remoto

dep. server

desktop

desktop

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 7

Instant Replay
Vettore di attacco
3rd party
Mr. Malicious 2.0 web server mail server db server

ext. router

file server

firewall

dep. server

utente remoto desktop desktop


VPN gw

access point

desktop wifi user wifi user

utente remoto

dep. server

desktop

desktop

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 8

Instant Replay
Vettore di attacco: link verso sito malicious
Mr. Malicious 2.0

semplici: chat e-mail link su social network


ext. router

3rd party

web server

mail server

db server

file server

firewall

dep. server

utente remoto

access point desktop

utente remoto

un po' meno semplici: MiTM / dns spoofing / .. malicious code in sito legittimo ..
desktop desktop
VPN gw

wifi user

wifi user

dep. server

desktop

desktop

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 9

Instant Replay
Vettore di attacco: identificabile?
Mr. Malicious 2.0

utente remoto

utente remoto

semplici: chat e-mail firewall: improbabile link su social network antivirus: improbabile un po' meno semplici: IDS/IPS: improbabile MiTM / dns spoofing / .. DPS: N/A malicious code in sito legittimo .. PDS: uh?
ext. router

3rd party

web server

mail server

db server

file server

firewall

dep. server

access point

desktop

desktop

desktop

VPN gw

wifi user

wifi user

dep. server

desktop

desktop

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 10

Instant Replay
Vettore di attacco: connessione http(s)
3rd party
Mr. Malicious 2.0 web server mail server db server

ext. router

file server

firewall

dep. server

utente remoto desktop desktop


VPN gw

access point

desktop wifi user wifi user

utente remoto

dep. server

www.malicious.com

desktop

desktop

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 11

Instant Replay
Vettore di attacco: connessione http(s)
Mr. Malicious 2.0

NB: connessione verso l'esterno probabilmente in https sito malicious non catalogato
ext. router

3rd party

web server

mail server

db server

file server

firewall

dep. server

utente remoto

access point desktop

utente remoto

oppure: modifica in-line del traffico da un sito legittimo (vedi MiTM)


desktop desktop
VPN gw

wifi user

wifi user

dep. server

www.malicious.com

desktop

desktop

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 12

Instant Replay
Vettore di attacco: identificabile?
Mr. Malicious 2.0

utente remoto

utente remoto

NB: connessione verso l'esterno anche in https firewall: improbabile sito malicious non catalogato antivirus: improbabile e anche: IDS/IPS: improbabile modifica del traffico in-line DPS: N/A
ext. router

3rd party

web server

mail server

db server

file server

firewall

dep. server

access point

desktop

desktop

desktop

VPN gw

wifi user

wifi user

dep. server

www.malicious.com

PDS: uh?
desktop desktop

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 13

Instant Replay
Vettore di attacco: exploit
3rd party
Mr. Malicious 2.0 web server mail server db server

ext. router

file server

firewall

dep. server

utente remoto desktop desktop


VPN gw

access point

desktop wifi user wifi user

utente remoto

dep. server

www.malicious.com

desktop

desktop

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 14

Instant Replay
Vettore di attacco: exploit
Mr. Malicious 2.0

Microsoft IE mshtml.dll Use-After-Free Arbitrary Code Execution (Aurora) :


ext. router

3rd party

web server

mail server

db server

file server

CVE: 2010-0249 Microsoft Bullettin: MS10-002 firewall OSVDB: 61697


utente remoto

dep. server

access point desktop

utente remoto

NB: 0 day vs google, adobe, ... ancora effettivo in molti casi..


desktop desktop
VPN gw

wifi user

wifi user

dep. server

www.malicious.com

desktop

desktop

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 15

Instant Replay
http://osvdb.org/show/osvdb/61697
Mr. Malicious 2.0

Microsoft IE mshtml.dll Use-After-Free Arbitrary Code Execution (Aurora) :


ext. router

3rd party

web server

mail server

db server

file server

CVE: 2010-0249 Microsoft Bullettin: MS10-002 firewall OSVDB: 61697


utente remoto

dep. server

access point desktop

utente remoto

NB: 0 day vs google, adobe, ... ancora effettivo in molti casi..


desktop desktop
VPN gw

wifi user

wifi user

dep. server

www.malicious.com

desktop

desktop

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 16

Instant Replay
Vettore di attacco: identificabile?
Mr. Malicious 2.0

Microsoft IE mshtml.dll Use-After-Free Arbitrary Code Execution (Aurora) :


ext. router

3rd party

web server

mail server

db server

file server

CVE: 2010-0249 Microsoft Bullettin: MS10-002 firewall firewall: improbabile OSVDB: 61697
utente remoto

dep. server

antivirus: potrebbe
desktop desktop

access point

utente remoto

NB: IDS/IPS: dovrebbe (SSL?!) 0 day vs google, adobe, ... ancora DPS: IE6 out of support :) effettivo in molti casi.. PDS: uh?
desktop
VPN gw

wifi user

wifi user

dep. server

www.malicious.com

desktop

desktop

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 17

Instant Replay
http://www.sans.org/newsletters/newsbites/newsbites.php?vol=12&issue=21
Mr. Malicious 2.0

Microsoft IE mshtml.dll Use-After-Free Arbitrary Code Execution (Aurora) :


ext. router

3rd party

web server

mail server

db server

file server

CVE: 2010-0249 Microsoft Bullettin: MS10-002 firewall firewall: improbabile OSVDB: 61697
utente remoto

dep. server

antivirus: potrebbe
desktop desktop

access point

utente remoto

NB: IDS/IPS: dovrebbe (SSL?!) 0 day vs google, adobe, ... ancora DPS: IE6 out of support :) effettivo in molti casi.. PDS: uh?
desktop
VPN gw

wifi user

wifi user

dep. server

www.malicious.com

desktop

desktop

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 18

Instant Replay
Vettore di attacco: covert channel
3rd party
Mr. Malicious 2.0 web server mail server db server

ext. router

file server

firewall

dep. server

utente remoto desktop desktop


VPN gw

access point

desktop wifi user wifi user

utente remoto

dep. server

desktop

desktop

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 19

Instant Replay
Vettore di attacco: covert channel
Mr. Malicious 2.0

utente remoto

praticamente qualsiasi tipo di traffico: dns http(s) chat (msn, irc, skype, ..) piccione viaggiatore? (rfc1149) ..
ext. router

3rd party

web server

mail server

db server

file server

firewall

dep. server

access point

desktop

desktop

desktop

utente remoto

VPN gw

wifi user

wifi user

dep. server

desktop

desktop

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 20

Instant Replay
Vettore di attacco: covert channel
Mr. Malicious 2.0

utente remoto

utente remoto

praticamente qualsiasi tipo di traffico: dns firewall: improbabile http(s) chat antivirus: improbabile (msn, irc, skype, ..) piccione viaggiatore? (rfc1149) IDS/IPS: improbabile .. DPS: N/A
ext. router

3rd party

web server

mail server

db server

file server

firewall

dep. server

access point

desktop

desktop

desktop

VPN gw

wifi user

wifi user

dep. server

PDS: uh?
desktop desktop
Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 21

Solo IE6?
http://secunia.com/advisories/

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 22

Solo IE6?
http://secunia.com/advisories/

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 23

Complessit dell'attacco?
YEAH, piece of cake!

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 24

Per i pi pigri..
http://www.secmaniac.com/download/

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 25

Bonus Track #1
Adobe CoolType SING Table "uniqueName" Stack b0f (CVE-2010-2883)

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 26

Bonus Track #1
Il file (scansione a/v) viene identificato..

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 27

Bonus Track #1
ma NON quando aperto tramite plug-in IE..

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 28

Bonus Track #2
Custom backdoor.. (meterpreter payload)

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 29

Bonus Track #2
Custom backdoor.. (reverse tcp payload)

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 30

Bonus Track #2
Custom backdoor.. (reverse tcp payload)

Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 31

in conclusione..
(come mitigare il rischio)

least privilege
user != administrator sandboxing (chrome, adobe?, ..) non c'/non si rompe..

patch management
win/distro update 3rd party sofware? patch assessment..

(H)IPS/end point security/..


Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 32

qualche link..
Metasploit, SET, Fast-Track & Co.:
http://www.metasploit.com/ http://www.offensive-security.com/metasploit-unleashed/Client_Side_Attacks http://www.offensive-security.com/metasploit-unleashed/Client_Side_Exploits http://www.offensive-security.com/metasploit-unleashed/Mass_Client_Attack http://blog.0x0e.org/2010/10/17/364/ http://flexi-train.blogspot.com/2010/05/client-side-attack-by-using-evil-pdf.html http://www.darkreading.com/blog/archives/2009/09/anatomy_of_a_cl.html http://www.secmaniac.com/download/ http://www.enterprisenetworkingplanet.com/netsecur/article.php/3869906/Automat e-Pen-Testing-with-Fast-Track-Client-Side-Attacks.htm http://exploit.co.il/hacking/client-side-attack-using-evil-java-applets/ http://www.freedomcoder.com.ar/2010/07/09/client-side-penetration-testing-withesearchy-emaily
Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 33

(Domande?)
Carenata o 5 porte? Basta che sia 2.0 ..
SMAU 2010 seminari AIPSI 25 ott 10 - Milano
free advertising >
Esempi di intrusioni reali all'epoca del web 2.0 SMAU 2010 seminari AIPSI 25 nov 09 Milano http://creativecommons.org/licenses/by-sa/2.0/it/deed.it
Igor Falcomat <ifalcomata@enforcer.it>, alcuni diritti riservati: http://creativecommons.org/licenses/by-sa/2.0/it/deed.it - Pagina 34