Scribd Logo
Carica

Benvenuto in Scribd!

  • Botnet e Nuove Forme Di Malware

    Caricato da

    Davide Riboli
    50 visualizzazioni43 pagine
    Botnet e nuove forme di malware - Analisi tecnica ed evoluzione del fenomeno Gianni 'guelfoweb' Amato - http://www.gianniamato.it Roma - 1 ottobre 2011 - Digital Forensic Conference

    Titolo originale

    Botnet e nuove forme di malware

    Copyright

    © Attribution Non-Commercial ShareAlike (BY-NC-SA)

    Formati disponibili

    PDF o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    Botnet e nuove forme di malware - Analisi tecnica ed evoluzione del fenomeno Gianni 'guelfoweb' Amato - http://www.gianniamato.it Roma - 1 ottobre 2011 - Digital Forensic Conference

    Copyright:

    Attribution Non-Commercial ShareAlike (BY-NC-SA)
    Scarica in formato PDF o leggi online su Scribd
    Segnala contenuti inappropriati
    50 visualizzazioni43 pagine

    Botnet e Nuove Forme Di Malware

    Caricato da

    Davide Riboli
    Botnet e nuove forme di malware - Analisi tecnica ed evoluzione del fenomeno Gianni 'guelfoweb' Amato - http://www.gianniamato.it Roma - 1 ottobre 2011 - Digital Forensic Conference

    Copyright:

    Attribution Non-Commercial ShareAlike (BY-NC-SA)
    Scarica in formato PDF o leggi online su Scribd
    Segnala contenuti inappropriati
    di 43

    #DIGICONF 2011

    Analisi tecnica ed evoluzione del fenomeno Botnet e nuove forme di malware

    $author $site $blog $email $twitter

    = = = = =

    Gianni'guelfoweb'Amato www.securityside.it www.gianniamato.it amato@securityside.it guelfoweb

    www.digiconf.net sponsored by www.govforensics.it

    SULLA SCENA DEL CRIMINE

    MA NON SIAMO IN TV

    SCENARI INSOLITI

    Non solo Banche & Infrastrutture critiche

    MALWARE EVOLUTION

    TARGET

    Furto di dati sensibili

    Numeri di carte di credito; Numeri di conto corrente; Account email; Identit digitale.

    BLACK MARKET 2010

    Un crescita del 71% Il 78% del malware con funzione di esportazione dati

    Symantec Intelligence Quarterly Report

    2009: Il valore delle informazioni rubate ammonta a 1 trilione di dollari; Giugno 2010: un volume di affari di 210 milioni di euro; Il costo medio sostenuto da un'organizzazione compromessa all'incirca di 5 milioni di Euro; 23 milioni di Euro il costo massimo sostenuto da una azienda colpita da un attacco informatico.

    QUANTO COSTA?

    1 Visa / MasterCard ~ 5$ / 25$ 1000 Carte di Credito ~ 1500$ 1 Identit digitale ~ 3$ - 20$

    ...e non difficile ottenerli

    PREVISIONI 2011
    Spesa del 2011 per le aziende statunitensi: 130 miliardi di dollari (perdita in denaro)

    UN GROSSO AFFARE
    388 miliardi di dollari, una cifra superiore al mercato nero di marijuana, cocaina ed eroina

    CRIMEWARE KIT

    E' sempre pi semplice sferrare attacchi informatici; Sottrarre informazioni personali; I costi sono accessibili:

    500$-1000$ ZeuS o SpyEye; Il costo delle ultime versioni si aggira intorno ai 1000$; Il costo dei plugins varia dai 50$ ai 100$.

    NUOVI TARGET

    IL CASO STUXNET

    Attacco alle Centrali Nucleari. Nello specifico l'Iran e gli esperimenti con l'energia nucleare; I sistemi SCADA nel mirino dell'organizzazione; Soluzioni Siemens per la gestione dei sistemi industriali; Windows + WinCC + PCS 7.

    ELEMENTI IMPORTANTI

    La password dei sistemi SCADA (DB WinCC) era conosciuta da oltre 2 anni. Fu pubblicata in un forum e poi rimossa dal moderatore; Gli autori erano in possesso di certificati digitali: Realtek e JMicron

    LA STORIA CONTINUA...

    Verisign revoca i certificati il 16 luglio; Il 17 luglio viene rilevata una nuova versione di Stuxnet con i certificati rubati a Jmicron; Dalle prime indagini si scopre che Stuxnet sfrutta la vulnerabilit LNK; Indagini successive provano che Stuxnet sfrutta ben 5 vulnerabilit dei sistemi Windows.

    NUMERI MISTERIOSI
    Il valore numerico '1979050' trovato nel registro di sistema delle macchine compromesse da Stuxnet stato interpretato come la possibile data di nascita di uno dei suoi autori: 09/05/1979 E' stato appurato che la data rilevata all'interno del codice di Stuxnet '24/6/12' coincide esattamente con la data del suo decesso.

    ...E SUI SISTEMI NON SCADA?

    CYBERWAR

    NUOVE ARMI

    Niente missili, n carri armati o aerei da combattimento.

    Il codice l'arma pi pericolosa e pu essere sfruttato nei pi svariati modi.

    LE BOTNET
    Noleggio Vendita Utilizzo

    DDOS

    Malware

    Spam

    Furto di Informazioni

    Vendita

    Utilizzo

    17.000$ AL GIORNO

    RECLUTARE ZOMBIE

    Violazione e compromissione di siti legittimi;

    Esecuzione del malware sulla macchina; Furto di credenziali (silent mode); Comunicazione con C&C per il download di nuovi malware o nuovo codice da eseguire.

    SQL Injection Remote File Inclusion (RFI) Cross Site Scripting (XSS)

    Inclusione di codice nei siti compromessi; Largo uso di exploit per vulnerabilit gi note (o 0day).

    RISORSE ONLINE

    Bank of Nikolai

    SPYEYE STORY

    La prima versione appare nel 2009 Progettato dai Russi Un costo di 500$ al mercato nero Nato per accaparrarsi una fetta del mercato di ZeuS Prova ne l'opzione 'Kill Zeus' in fondo al builder

    SPYEYE FEATURES

    Formgrabber (Keylogger) Autofill credit card modules Daily email backup Encrypted config file Ftp protocol grabber Pop3 grabber Http basic access authorization grabber Zeus killer

    A differenza di ZeuS, le prime versioni di Spyeye sono troppo rumorose Il form grabber altro non che un keylogger Cattura e comunica al C&C il contenuto di tutti i campi. Non ha un target ben definito. Non usa una whitelist Non stata prevista la funzione di webinject

    L'UNIONE FA LA FORZA
    ZeuS + SpyEye

    Brute force password guessing Jabber notification VNC module Auto-spreading Auto-update Unique stub generator for FUD and evasion New screenshot system

    MALWARE AS A SERVICE

    300$ senza modulo VNC 800$ versione completa Il vero business risiede nel commercio dei moduli

    Personalizzabili Scritti ad hoc

    BILLINGHAMMER MODULE

    Il botmaster si procura software freeware, lo rinomina e lo mette in vendita su apposite piattaforme di distribuzione:

    Dal pannello di controllo SpyEye possibile gestire dei task automatici Il botmaster pu generare un task che utilizza i numeri di carte di credito rubate in modo che venga eseguita una azione attraverso Internet Explorer e a intervalli definiti dall'utente - si avvii automaticamente la compilazione dei campi sul sito del negozio online per fare acquisti.

    ClickBank FastSpring Esellerate SetSystems Shareit

    SPYEYE MONITORING

    L'attivit di monitoring, durata 3 settimane, stata effettuata sfruttando il Feed RSS del sito MalwareDomainList.com Filtrando le entry raccolte da Google Reader il risultato ottenuto di 476 siti web che in 3 settimane hanno distribuito il malware SpyEye. Una media di 22,6 siti al giorno. Tra questi, 196 siti oltre a distribuire il malware avevano funzione di C&C

    SPYEYE: C&C IN 10 MINUTI


    Gli ingredienti

    Piattaforma LAMP (Linux, Apache, MySQL, Php) Il sorgente Php di SpyeEye C&C
    EP T

    STEP 1 - DB

    All'utente del DB devono essere assegnati tutti i privilegi

    STEP 2 MAIN / CONFIG.PHP

    STEP 3 GRAB / CONFIG.PHP

    STEP 4 IMPORT .SQL FILE

    READY!
    Form Grabber Login

    Main Login

    MAIN PAGE

    FORM GRABBER

    GET BUILD

    TCP STREAM

    All'avvio il malware contatta il C&C

    FORM (LOGIN) GRAB

    DALLA TEORIA ALLA PRATICA


    Simulazione di una botnet e compromissione di una macchina Windows XP in ambiente virtuale

    Malware Analysis A Case Study

    Command & Control su Ubuntu server LAMP Ambiente di cavia: Windows XP SP3 su Virtualbox
    http://www.securityside.it/docs/malware-analysis.pdf

    DOMANDE?

    Potrebbero piacerti anche