Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
= = = = =
MA NON SIAMO IN TV
SCENARI INSOLITI
MALWARE EVOLUTION
TARGET
Numeri di carte di credito; Numeri di conto corrente; Account email; Identit digitale.
Un crescita del 71% Il 78% del malware con funzione di esportazione dati
2009: Il valore delle informazioni rubate ammonta a 1 trilione di dollari; Giugno 2010: un volume di affari di 210 milioni di euro; Il costo medio sostenuto da un'organizzazione compromessa all'incirca di 5 milioni di Euro; 23 milioni di Euro il costo massimo sostenuto da una azienda colpita da un attacco informatico.
QUANTO COSTA?
1 Visa / MasterCard ~ 5$ / 25$ 1000 Carte di Credito ~ 1500$ 1 Identit digitale ~ 3$ - 20$
PREVISIONI 2011
Spesa del 2011 per le aziende statunitensi: 130 miliardi di dollari (perdita in denaro)
UN GROSSO AFFARE
388 miliardi di dollari, una cifra superiore al mercato nero di marijuana, cocaina ed eroina
CRIMEWARE KIT
E' sempre pi semplice sferrare attacchi informatici; Sottrarre informazioni personali; I costi sono accessibili:
500$-1000$ ZeuS o SpyEye; Il costo delle ultime versioni si aggira intorno ai 1000$; Il costo dei plugins varia dai 50$ ai 100$.
NUOVI TARGET
IL CASO STUXNET
Attacco alle Centrali Nucleari. Nello specifico l'Iran e gli esperimenti con l'energia nucleare; I sistemi SCADA nel mirino dell'organizzazione; Soluzioni Siemens per la gestione dei sistemi industriali; Windows + WinCC + PCS 7.
ELEMENTI IMPORTANTI
La password dei sistemi SCADA (DB WinCC) era conosciuta da oltre 2 anni. Fu pubblicata in un forum e poi rimossa dal moderatore; Gli autori erano in possesso di certificati digitali: Realtek e JMicron
LA STORIA CONTINUA...
Verisign revoca i certificati il 16 luglio; Il 17 luglio viene rilevata una nuova versione di Stuxnet con i certificati rubati a Jmicron; Dalle prime indagini si scopre che Stuxnet sfrutta la vulnerabilit LNK; Indagini successive provano che Stuxnet sfrutta ben 5 vulnerabilit dei sistemi Windows.
NUMERI MISTERIOSI
Il valore numerico '1979050' trovato nel registro di sistema delle macchine compromesse da Stuxnet stato interpretato come la possibile data di nascita di uno dei suoi autori: 09/05/1979 E' stato appurato che la data rilevata all'interno del codice di Stuxnet '24/6/12' coincide esattamente con la data del suo decesso.
CYBERWAR
NUOVE ARMI
LE BOTNET
Noleggio Vendita Utilizzo
DDOS
Malware
Spam
Furto di Informazioni
Vendita
Utilizzo
17.000$ AL GIORNO
RECLUTARE ZOMBIE
Esecuzione del malware sulla macchina; Furto di credenziali (silent mode); Comunicazione con C&C per il download di nuovi malware o nuovo codice da eseguire.
SQL Injection Remote File Inclusion (RFI) Cross Site Scripting (XSS)
Inclusione di codice nei siti compromessi; Largo uso di exploit per vulnerabilit gi note (o 0day).
RISORSE ONLINE
Bank of Nikolai
SPYEYE STORY
La prima versione appare nel 2009 Progettato dai Russi Un costo di 500$ al mercato nero Nato per accaparrarsi una fetta del mercato di ZeuS Prova ne l'opzione 'Kill Zeus' in fondo al builder
SPYEYE FEATURES
Formgrabber (Keylogger) Autofill credit card modules Daily email backup Encrypted config file Ftp protocol grabber Pop3 grabber Http basic access authorization grabber Zeus killer
A differenza di ZeuS, le prime versioni di Spyeye sono troppo rumorose Il form grabber altro non che un keylogger Cattura e comunica al C&C il contenuto di tutti i campi. Non ha un target ben definito. Non usa una whitelist Non stata prevista la funzione di webinject
L'UNIONE FA LA FORZA
ZeuS + SpyEye
Brute force password guessing Jabber notification VNC module Auto-spreading Auto-update Unique stub generator for FUD and evasion New screenshot system
MALWARE AS A SERVICE
300$ senza modulo VNC 800$ versione completa Il vero business risiede nel commercio dei moduli
BILLINGHAMMER MODULE
Il botmaster si procura software freeware, lo rinomina e lo mette in vendita su apposite piattaforme di distribuzione:
Dal pannello di controllo SpyEye possibile gestire dei task automatici Il botmaster pu generare un task che utilizza i numeri di carte di credito rubate in modo che venga eseguita una azione attraverso Internet Explorer e a intervalli definiti dall'utente - si avvii automaticamente la compilazione dei campi sul sito del negozio online per fare acquisti.
SPYEYE MONITORING
L'attivit di monitoring, durata 3 settimane, stata effettuata sfruttando il Feed RSS del sito MalwareDomainList.com Filtrando le entry raccolte da Google Reader il risultato ottenuto di 476 siti web che in 3 settimane hanno distribuito il malware SpyEye. Una media di 22,6 siti al giorno. Tra questi, 196 siti oltre a distribuire il malware avevano funzione di C&C
Piattaforma LAMP (Linux, Apache, MySQL, Php) Il sorgente Php di SpyeEye C&C
EP T
STEP 1 - DB
READY!
Form Grabber Login
Main Login
MAIN PAGE
FORM GRABBER
GET BUILD
TCP STREAM
Command & Control su Ubuntu server LAMP Ambiente di cavia: Windows XP SP3 su Virtualbox
http://www.securityside.it/docs/malware-analysis.pdf
DOMANDE?