HackInBo 2013

Le nuove armi digitali.

Aziende ed Enti Governativi sono pronti?

Gianni 'guelfoweb' Amato

Bologna, 20 Settembre 2013

Who is?

● Author : Gianni 'guelfoweb' Amato

● Site : www.securityside.it

● Blog : www.gianniamato.it

● Email : amato@securityside.it

● Twitter : @guelfoweb

Agenda

No, meglio raccontare una favoletta...

La Cyber War

Quali danni potrebbe arrecare a un paese?

Attacco ai sistemi e infrastrutture critiche di un paese sfruttando unicamente le reti informatiche.

Disagi

Fonte: http://www.ilcittadinomb.it/stories/Cronaca/312127_lentate_-_asl/

Prenotazioni online bloccate

Pubblica Amministrazione in Tilt

Ma anche...

Panico e terrore

Acqua, gas, rete elettrica fuori uso

Gestione linee aeree e treni in Tilt

Con CHI abbiamo a che fare?

Con COSA abbiamo a che fare?

Armi digitali

– Tecniche di offuscamento

– crittografia

– 0day vulnerability

History

● 2010: Stuxnet

● 2011: Duqu

● 2011: Gauss

● 2012: Mahdi

● 2012: Flame

● 2012: Wiper

● 2013:

● 2006 Governo Bush

● Attacchi digitali contro Iran

● Partecipazione Governo Israeliano

● Sabotaggio centrali nucleari Natanz

● Danneggiare le turbine

Operation Olympic Games

Stuxnet

● Individuato nel giugno 2010

● Target: Sistemi SCADA

● Si diffonde via USB (solitamente i sistemi SCADA non sono collegati a Internet)

● Integra 2 certificati “trusted”

● Sfrutta 4 0day

● Password hard-coded nota

● Realtek è il primo certificato “trusted” recovato il 16 luglio

● Il 17 luglio una nuova variante presenta il certificato Jmicron

Evidence

● Dall'analisi investigativa viene individuato il valore numerico “19790509” scritto nel registro di sistema Windows che si sospetta corrisponda alla data di nascita di uno degli sviluppatori “05/09/1979” o sia collegata all'esecuzione (per spionaggio) di Habib Elghanian, noto uomo d'affari ebreo conosciuto in Iran.

● La data di decesso / autodistruzione era fissata per il “26/06/2012”.

Duqu

● Individuato nel settembre 2011

● Target: valutare lo stato del programma nucleare iraniano

● Funzione di keylogger

● Sfrutta 0day

● Lo scopo è quello di carpire informazioni

● Usa certificati rubati

● L'analisi comportamentale lo riconduce a stuxnet

Gauss

● Scoperto nel 2011, poco dopo Duqu.

● Rilevato in Libano, Israele, Palestina, USA, Emirati Arabi.

● Progettato per il furto di cookie, credenziali e conti bancari.

● Lavora con moduli aggiornati via Internet per ampliare le proprie funzioni.

● Kaspersky ipotizza sia stato creato dagli stessi autori di Stuxnet e Duqu.

Mahdi

● Scoperto nel febbraio 2012

● E' stato battezzato “Mahdi” per via di una stringa ricorrente nel codice del malware (fa riferimento al Messia Islamico)

● Sfrutta bug di Word e Power Point

● In questo caso non si conoscono gli autori

● Ha funzione di keylogger e cattura le schermate

● Sottrae file audio, testo e immagini

Flame

● Individuato per la prima volta in aprile 2012

● Si propaga tramite USB

● Usa falso certificato

● Ha funzioni di keylogger

● Sottrae documenti di testo e DWG (progetti Autocad)

● Cattura immagini

● Registra audio (conversazioni skype)

● Rilevate somiglianze con Stuxnet e Duqu

● Obiettivo: spionaggio industriale

Flame 2008

Dall'analisi di uno dei componenti utilizzato da Flame, il file mssecmgr.ocx riporta come timeDatestamp la data del 9 dicembre 2008

Wiper

Un soldato in missione sul campo di battaglia per ripulire le tracce

● Cancella le tracce di Stuxnet e Duqu

● Alta priorità alla rimozione dei file .PNF (usati da Stuxnet)

● Rimozione dei dati utili ai tecnici forensi per ottenere prova del reato

(Siamo ancora nel 2012)

Casi recenti

La vulnerabilità risiede in Firefox 17 ESR (Extended Support Release), non in TOR.

Shellcode

https://code.google.com/p/caffsec-malware-analysis/source/browse/trunk/TorFreedomHosting/torscript1.js

Binario

Traffico di rete

Hostname e Mac Address

65.222.202.54

Hesperbot Banking Trojan

● Rilevato nel settembre 2013 dai ricercatori ESET

● Target: operazioni di online banking

● Il file di configurazione presenta di default URL di banche della Repubbica Ceca, Turchia e Portogallo

● Sulla scia di ZeuS e SpyEye intercetta e modifica il traffico HTTP e HTTPS

● Sfrutta la funzione di webinject e from-grabber

● Usa moduli e plugin

● Dispone di ua componente per i sistemi mobile: Symbian – Blackberry - Android

Cyber Attacks Timeline

Credit: Paolo Passeri | http://hackmageddon.com/cyber-attacks-timeline-master-indexes/

Non tutti gli attacchi sono così complessi

Social (network) engineering

Lo scorso anno, attraverso falsi profili facebook di donne attraenti i talebani sono riusciti ad ottenere un contatto diretto con le truppe australiane riuscendo a carpire segreti militari.

Turista fai da te? No Alpitour?

“Facciamo due conti: Alpitour: 23.309 fan, Villaggi Bravo 51.570, Francorosso 17.335 e Viaggidea 32.417 fan. Se li sommiamo abbiamo [..] abbiamo 124.631 persone esposte a link malevoli. Un ottimo risultato.”

http://www.pierotaglia.net/facebook-fai-da-te-alpitour-ahi-ahi-ahi-pagine-facebook-hackerate/

Come sta reagendo l'Italia?

Il nostro paese è ancora fin troppo legato al vecchio concetto di guerra. Banche, istituti e agenzie governative, industria militare, associazioni politiche, università, sono costantemente sottoposti ad attacchi informatici, ogni giorno sempre più complessi e articolati. Motivo per cui anche l'Italia si è dotata di CSIRT. Purtroppo sono ancora pochi gli Enti italiani che ne dispongono.

Computer Security Incident Response Team

http://www.enisa.europa.eu/activities/cert/support/guide/files/csirt-setting-up-guide-in-italian/at_download/fullReport

Computer Security Incident Response Team

✔ Gruppo di professionisti IT Security che aiuta gli enti ad attenuare e prevenire gli incidenti informatici.

✔ Gestiscono e forniscono risposta agli incidenti informatici.

✔ Giuridicamente preparati per affrontare questioni legali.

✔ Sempre aggiornati sulle nuove vulnerabilità.

Decreto – Un CERT Nazionale

Governo.it

“Gli attacchi alla sicurezza informatica negli ultimi anni hanno avuto una crescita esponenziale. Assinform stima che il 40% degli attacchi richiedono almeno 4 giorni per essere risolti. Nel 90% dei casi l’attacco ha successo a causa dell’errata configurazione del sistema di sicurezza e per la mancanza di competenze specifiche. I costi sostenuti da privati e PA per proteggersi sono consistenti: Gartner li quantifica in 55 miliardi di dollari nel 2011, 60 nel 2012 e 86 (stimati) entro il 2016.”

http://www.governo.it/Presidenza/Comunicati/testo_int.asp?d=70337

Ancora una firma qui...

Banche, Università, Aziende che erogano servizi attraverso la rete Internet non ammetteranno mai di aver subito attacchi che hanno compromesso - o hanno rischiato di compromettere - informazioni riservate e/o i dati degli utenti/clienti.

“La banca declina ogni responsabilità...”

Zeus-In-The-MObile (ZITMO)

SMS con Link(security update)

Download Malware

Detect SMS Bank(code)

Nel mirino dei cybercriminali

Ransomware: ha fruttato 1 milione di euro per ogni campagna di attacchi

Business

● 1 carta Visa/Mastercard ~ 5$ - 25$

● 1000 Carte di Credito ~ 1500$

● 1 Idendità digitale ~ 3$ - 20$

● Crimeware Kit ZueS e SpyEye ~ 500$ - 1000$ (per le ultime release)

● Plugin ~ 50$ - 100$

Crime Pack Exploit Kit

YouTube Video Tutorial

● Violazione e compromissione di web server e siti legittimi.

● Inclusione di codice.

● Largo uso di exploit e 0day vulnerability.

Processo di reclutamento Zombie #1

Shodan - phpinfo()

Shodan - WAMPSERVER

Processo di reclutamento Zombie #2

● Download ed esecuzione codice maligno.

● Controllo della macchina.

● Comunicazione con C&C.

● Esecuzione comandi da remoto.

Un esempio per tutti SpyEye e ZeuS.

SpyEye Story

● La prima versione risale al 2009

● Progettato dai Russi

● 500$ al mercato nero

● Inizialmente nato per accaparrarsi una fetta del mercato di ZeuS

● A differenza di ZeuS, le prime versioni di Spyeye risultano rumorose.

● Non ha un target ben definito.

● Non usa una whitelist.

● Non è stata prevista la funzione di webinject.

SpyEye Features

● Formgrabber

● Autofill credit card modules

● Daily email backup

● Ftp protocol grabber

● Encrypted config file

● Pop3 grabber

● Http basic access authorization grabber

Offerte Speciali

● 300$ senza modulo VNC

● 800$ versione completa

Il vero business sono i moduli aggiuntivi– In particolare le richieste

personalizzate

Dentro SpyeEye

Due file di configurazione

Main Grabber

Pronti per il Login

Builder

Comunicazioni al C&C

HTTPS Authentication

Ambiente di testcompromesso da

SpyEye

Form Grab

C&C

Altri modi per monetizzare

Innovazioni subdole per stracciare la concorrenza

– Individuazione ed estrazione automatica di carte di credito dalle macchine compromesse

– Generazione di vendite fasulle su negozi online

BillingHammer Feature

Il botmaster si procura software freeware, lo rinomina e lo mette in vendita su apposite piattaforme di distribuzione:

– ClickBank

– FastSpring

– Esellerate

– SetSystems

– Shareit

Dal pannello di controllo SpyEye è possibile gestire task automatici

Il botmaster può generare un task che utilizza i numeri di carte di credito rubate in modo che venga eseguita una azione attraverso Internet Explorer che a intervalli definiti lanci la compilazione dei campi sul sito del negozio online per completare l'acquisto.

Monetizzare

Host1

Host2

Host3

Host...

Hostn

ServerCompromessoC&C Primario

DB Mysql

ServerCompromesso

C&C Secondario

DB Mysql

xyzBank$

Zombie

freeware$

Credit Card

$$$

NoleggioBotnetDDoS

VenditaCarte

di Credito

$

$

VenditaIdentitàDigitale

$

Operazioni mirate

Host1

Host2

Host3

Host...

Hostn

ServerCompromessoC&C Primario

DB Mysql

ServerCompromesso

C&C Secondario

DB Mysql

TARGET

Zombie

Credit Card

Commissionate?

Siamo pronti?

Ma più che altro, siamo in grado di stare al passo?

Grazie per l'attenzione :-)

Domande?