#DIGICONF 2011

Analisi tecnica ed evoluzione del fenomeno Botnet e nuove forme di malware

$author  $site  $blog  $email  $twitter 

=  =  = = = 

Gianni 'guelfoweb' Amato www.securityside.it www.gianniamato.it amato@securityside.it guelfoweb

www.digiconf.net sponsored by www.govforensics.it

SULLA SCENA DEL CRIMINE

MA NON SIAMO IN TV

SCENARI INSOLITI

Non solo Banche & Infrastrutture critiche

MALWARE EVOLUTION

TARGET

Furto di dati sensibili

Numeri di carte di credito; Numeri di conto corrente; Account email; Identità digitale.

BLACK MARKET 2010

Un crescita del 71% Il 78% del malware con funzione di esportazione dati

Symantec Intelligence Quarterly Report

2009: Il valore delle informazioni rubate ammonta a 1 trilione di dollari; Giugno 2010: un volume di affari di 210 milioni di euro; Il costo medio sostenuto da un'organizzazione compromessa è all'incirca di 5 milioni di Euro; 23 milioni di Euro è il costo massimo sostenuto da una azienda colpita da un attacco informatico.

QUANTO COSTA?

1 Visa / MasterCard ~ 5$ / 25$ 1000 Carte di Credito ~ 1500$ 1 Identità digitale ~ 3$ - 20$

...e non è difficile ottenerli

PREVISIONI 2011
Spesa del 2011 per le aziende statunitensi: 130 miliardi di dollari (perdita in denaro)

UN GROSSO AFFARE
388 miliardi di dollari, una cifra superiore al mercato nero di marijuana, cocaina ed eroina

CRIMEWARE KIT

E' sempre più semplice sferrare attacchi informatici; Sottrarre informazioni personali; I costi sono accessibili:

500$-1000$ ZeuS o SpyEye; Il costo delle ultime versioni si aggira intorno ai 1000$; Il costo dei plugins varia dai 50$ ai 100$.

NUOVI TARGET

IL CASO STUXNET

Attacco alle Centrali Nucleari. Nello specifico l'Iran e gli esperimenti con l'energia nucleare; I sistemi SCADA nel mirino dell'organizzazione; Soluzioni Siemens per la gestione dei sistemi industriali; Windows + WinCC + PCS 7.

ELEMENTI IMPORTANTI

La password dei sistemi SCADA (DB WinCC) era conosciuta da oltre 2 anni. Fu pubblicata in un forum e poi rimossa dal moderatore; Gli autori erano in possesso di certificati digitali: Realtek e JMicron

LA STORIA CONTINUA...

Verisign revoca i certificati il 16 luglio; Il 17 luglio viene rilevata una nuova versione di Stuxnet con i certificati rubati a Jmicron; Dalle prime indagini si scopre che Stuxnet sfrutta la vulnerabilità LNK; Indagini successive provano che Stuxnet sfrutta ben 5 vulnerabilità dei sistemi Windows.

NUMERI MISTERIOSI
Il valore numerico '1979050' trovato nel registro di sistema delle macchine compromesse da Stuxnet è stato interpretato come la possibile data di nascita di uno dei suoi autori: 09/05/1979 E' stato appurato che la data rilevata all'interno del codice di Stuxnet '24/6/12' coincide esattamente con la data del suo decesso.

...E SUI SISTEMI NON SCADA?

CYBERWAR

NUOVE ARMI

Niente missili, né carri armati o aerei da combattimento.

Il codice è l'arma più pericolosa e può essere sfruttato nei più svariati modi.

LE BOTNET
Noleggio Vendita Utilizzo

DDOS

Malware

Spam

Furto di Informazioni

Vendita

Utilizzo

17.000$ AL GIORNO

RECLUTARE ZOMBIE

Violazione e compromissione di siti legittimi;

Esecuzione del malware sulla macchina; Furto di credenziali (silent mode); Comunicazione con C&C per il download di nuovi malware o nuovo codice da eseguire.

SQL Injection Remote File Inclusion (RFI) Cross Site Scripting (XSS)

Inclusione di codice nei siti compromessi; Largo uso di exploit per vulnerabilità già note (o 0day).

RISORSE ONLINE

Bank of Nikolai

SPYEYE STORY

La prima versione appare nel 2009 Progettato dai Russi Un costo di 500$ al mercato nero Nato per accaparrarsi una fetta del mercato di ZeuS Prova ne è l'opzione 'Kill Zeus' in fondo al builder

SPYEYE FEATURES

Formgrabber (Keylogger) Autofill credit card modules Daily email backup Encrypted config file Ftp protocol grabber Pop3 grabber Http basic access authorization grabber Zeus killer

A differenza di ZeuS, le prime versioni di Spyeye sono troppo rumorose Il form grabber altro non è che un keylogger Cattura e comunica al C&C il contenuto di tutti i campi. Non ha un target ben definito. Non usa una whitelist Non è stata prevista la funzione di webinject

 

L'UNIONE FA LA FORZA
ZeuS + SpyEye

Brute force password guessing Jabber notification VNC module Auto-spreading Auto-update Unique stub generator for FUD and evasion New screenshot system

MALWARE AS A SERVICE

300$ senza modulo VNC 800$ versione completa Il vero business risiede nel commercio dei moduli

Personalizzabili Scritti ad hoc

BILLINGHAMMER MODULE

Il botmaster si procura software freeware, lo rinomina e lo mette in vendita su apposite piattaforme di distribuzione:

Dal pannello di controllo SpyEye è possibile gestire dei task automatici Il botmaster può generare un task che utilizza i numeri di carte di credito rubate in modo che venga eseguita una azione attraverso Internet Explorer e a intervalli definiti dall'utente - si avvii automaticamente la compilazione dei campi sul sito del negozio online per fare acquisti.

ClickBank FastSpring Esellerate SetSystems Shareit

SPYEYE MONITORING

L'attività di monitoring, durata 3 settimane, è stata effettuata sfruttando il Feed RSS del sito MalwareDomainList.com Filtrando le entry raccolte da Google Reader il risultato ottenuto è di 476 siti web che in 3 settimane hanno distribuito il malware SpyEye. Una media di 22,6 siti al giorno. Tra questi, 196 siti oltre a distribuire il malware avevano funzione di C&C

SPYEYE: C&C IN 10 MINUTI
Gli ingredienti

Piattaforma LAMP (Linux, Apache, MySQL, Php) Il sorgente Php di SpyeEye C&C
EP T

4

S

STEP 1 - DB

All'utente del DB devono essere assegnati tutti i privilegi

STEP 2 – MAIN / CONFIG.PHP

STEP 3 – GRAB / CONFIG.PHP

STEP 4 – IMPORT .SQL FILE

READY!
Form Grabber Login

Main Login

MAIN PAGE

FORM GRABBER

GET BUILD

TCP STREAM

All'avvio il malware contatta il C&C

FORM (LOGIN) GRAB

DALLA TEORIA ALLA PRATICA
Simulazione di una botnet e compromissione di una macchina Windows XP in ambiente virtuale

Malware Analysis A Case Study

Command & Control su Ubuntu server LAMP Ambiente di cavia: Windows XP SP3 su Virtualbox
http://www.securityside.it/docs/malware-analysis.pdf

DOMANDE?

Sign up to vote on this title
UsefulNot useful