Malware Threats und Trend - EICAR · Malware Threats und Trend November 16, 2012 ... And then Devil...
Transcript of Malware Threats und Trend - EICAR · Malware Threats und Trend November 16, 2012 ... And then Devil...
Malware Threats und Trend
November 16, 2012
Toralv Dirro
McAfee Labs EMEA Security Strategist
Mid-1980’s 2005 Today 2003
Historische Entwicklung der Bedrohung
Bragging Rights....
• 1999 .....
• Als Back Orifice big news war
• AV Produkte noch nach Viren suchten
• Hacker für ihre „15 Miunujtes of Fame“ in Webseiten einbrachen
....und einige meinten die Welt geht wegen Y2K unter
November 16, 2012 4
Motivation Gestern
And then Devil said: Let there be money
Source: Chat Interview with the Dream Coders Team, the developers of MPack
http://www.robertlemos.com/2007/07/23/mpack-interview-chat-sessions-posted/
Mid-1980’s 2005 Today 2003
Historische Entwicklung der Bedrohung
Geringes Risiko + Hoher Profit -> Crime
8 November 16, 2012 8
Cyber Crime – der treibende Faktor
Malware Growth (Main Variations)
200,000
400,000
100,000
300,000
500,000
2003 2004 2005 2006 2000 2001 2002 2007
Source: McAfee Labs
Virus and Bots PUP Trojan
9 November 16, 2012
2003 2004 2005 2006 2000 2001 2002 2007
Malware Growth (Main Variations)
400,000
800,000
200,000
600,000
1,000,000
1,200,000
1,400,000
1,600,000
1,800,000
2,000,000
2,200,000
Virus and Bots PUP Trojan
Cyber Crime – der treibende Faktor
2008
Source: McAfee Labs
10 November 16, 2012 10
2008
Virus and Bots PUP Trojan
Cyber Crime – der treibende Faktor
Malware Growth (Main Variations)
2,400,000
2,600,000
2,800,000
3,000,000
3,200,000
400,000
800,000
200,000
600,000
1,000,000
1,200,000
1,400,000
1,600,000
1,800,000
2,000,000
2,200,000
2009
Source: McAfee Labs
Malware Wachstum
Newly Discovered Malware Samples
0
1.000.000
2.000.000
3.000.000
4.000.000
5.000.000
6.000.000
7.000.000
8.000.000
9.000.000
10.000.000
Unique Malware
Der Malware Markt Trojan- und Exploit-Kits leicht verfügbar
Zeus: Werdegang eines Trojan Kit
Mergers and Accquisitions: SpyEye & Zeus
Zunehmend fortschrittlicher
0
50.000
100.000
150.000
200.000
250.000
300.000
350.000
400.000
Unique Rootkit Malware
BIOS Rootkits
Win32/Wador.A – A BIOS rootkit spreading in China
Source: Virus Bulletin (October issue)
The BIOS rootkit is the most complex type of rootkit we have come across so far.
It is hardware dependent, and an attacker must have extensive knowledge of the
computer – including software and hardware – in order to create one. It comprises
the following five components:
• BIOS ROM flasher
• Malicious BIOS ROM payload
• Infected MBR
• Infected WINLOGON.EXE/WININIT.EXE
• Protected malware code in track 0.
It is not easy to clean a computer infected with this malware, but there is some
good news. First, after the destruction wreaked by CIH, many BIOS vendors
started providing double BIOS in order to defend against this type of attack.
Second, not many computers have AWARD BIOS installed nowadays, because
more and more modern computers use EFI to interface between hardware and
software. So the potential scope for this form of attack may not be very great.
Ransomware übernimmt
OS X can‘t get Windows Malware –
but OS X Malware
• FakeAlert (aka Fake-AV, Scareware) major outbreak last year
– By far not the first, but too widespread to be ignored
• OSX/FlashFake (Flashback) hitting 600k+ victims
– Counted by „UUID“ – some say numbers may be higher
– Exploiting CVE-2012-0507 in a drive-by-download attack
• Fix provided by Oracle on Feb, 14th, not timely made available by Apple
• SabPub
– Exploiting same vuln to infect
– Linked to TARGETED ATTACKS against Tibetan Groups (on OS X)
– Linked to „LuckyCat“ TARGETED campaigns against Japan and India
Mac OS
0
100
200
300
400
500
600
700
Q1-07Q2-07Q3-07Q4-07Q1-08Q2-08Q3-08Q4-08Q1-09Q2-09Q3-09Q4-09Q1-10Q2-10Q3-10Q4-10Q1-11Q2-11Q3-11Q4-11Q1-12Q2-12Q3-12
Unique Mac Malware
Ransomware Wachstum
0
50.000
100.000
150.000
200.000
250.000
Q3-07 Q4-07 Q1-08 Q2-08 Q3-08 Q4-08 Q1-09 Q2-09 Q3-09 Q4-09 Q1-10 Q2-10 Q3-10 Q4-10 Q1-11 Q2-11 Q3-11 Q4-11 Q1-12 Q2-12 Q3-12
Unique Ransomware Malware
Android Malware nach Quartalen
22
0
10
20
30
40
50
60
70
80
90
100
Q1 10 Q2 10 Q3 10 Q4 10 Q1 11 Q2 11 Q3 11
Mobile Malware
New mobile malware samples declined modestly in Q2, but are rising sharply again in Q3. Android
malware samples now comprise more than 90% of all known mobile malware.
New Mobile Malware Samples
-
1.000
2.000
3.000
4.000
5.000
6.000
7.000
8.000
9.000
Q1 2011 Q2 2011 Q3 2011 Q4 2011 Q1 2012 Q2 2012 Q3 2012
Also nur ein Android Problem?
• Restriktiver, geschlossener „Marketplace“ vs. Offene Struktur
• Datenverluste durch reguläre, geprüfte Apps
– „Path“ Desaster
– Keinerlei Schutz auf i* möglich, Apple erlaubt z.B. kein AV
• Sicherheitslücken ermöglichen Angriffe auf alle Systeme
– Jailbreak, Root
– The making of the Focus 11 Apple iPad Hack
• http://www.mcafee.com/us/resources/white-papers/wp-apple-ipad-hack.pdf
McAfee Pub: “Dissecting Operation High
Roller”
Operation High Roller Raises Financial Fraud Stakes
Source: http://www.mcafee.com/us/resources/reports/rp-operation-high-roller.pdf
McAfee and Guardian Analytics have uncovered a highly sophisticated,
global financial services fraud campaign that has reached clients at 60
banks. The fraudsters’ objective was to siphon large amounts from high-
balance accounts using recent improvements to two families of malicious
software: Zeus and SpyEye. Server logs viewed by the researchers saw
commands from the fraud rings to transfer a total of $78 million, including
$130,000 from one account. (The banks may have been able to block some
of those transactions.)
Malicious URLs
0
500.000
1.000.000
1.500.000
2.000.000
2.500.000
3.000.000
3.500.000
4.000.000
FEB2012
MAR2012
APR2012
MAY2012
JUN2012
New Bad-Reputation URLs
New URLs
Associated Domains
New Malware URLs 94.2%
New Phishing URLs 3.9%
New Spam Email URLs
1.2%
Others 0.7%
Others 5.8%
Distribution of New Bad-Reputation URLs
Mid-1980’s 2005 Today 2003
Historische Entwicklung der Bedrohung
SECURITY
BIST DAS ZIEL
Operation NIGHT DRAGON
Was war anders?
“Night Dragon”
Global Energy Cyberattacks
• Benannt durch McAfee im Januar 2011
• Langfristig angelegter, gezielter Angriff
gegen globale Öl, Energie und
Petrochemie Unternehmen
– 5 bestätigte Opfer, bis zu einem
Dutzend vermutet
– Gigabytes an Dokumenten über
Öl/Gas Felder, Explorationsdaten,
u.v.m. kompromittiert
• C&C Server und Quelle der Angriffe von
IP Adressen in China, Irland und den
Niederlanden
“Night Dragon”
findet statt
McAfee korreliert die
Angriffsaktivitäten
Über verschiedene Opfer
Und erkennt einen
Zusammenhang zur
Gesamtoperation
Ende 2009 Jan 2011
Angriff erkannt, Opfern
wird geholfen
Frühjahr 2010
Victim’s Country of Origin Victim
Count
USA 49
Canada 4
South Korea 3
Taiwan 3
Japan 2
Switzerland 2
United Kingdom 2
Indonesia 1
Vietnam 1
Denmark 1
Singapore 1
Hong Kong 1
Germany 1
India 1
RAT
22 6 13 13 4 12
U.S. Federal Gov. 6
U.S. State Gov. 5
U.S. County Gov. 3
Canadian Gov. 2
South Korean Gov. 1
Vietnam Gov. 1
Taiwan Gov. 1
U.S. Gov. Contractor 1
United Nations 1
Indian Gov. 1
Construction/
Heavy Industry 3
Steel Industry 1
Energy 1
Solar Power 1
Electronics Industry 3
Computer Security 2
Information
Technology 2
Satellite
Communications 2
News Media 2
Information
Services 1
Communications
Technology 1
Defense Contractor 13 Real Estate 2
Accounting
Industry 2
Agriculture 1
Insurance 1
International Sports 5
Economics/Trade 2
Think Tanks 2
International
Government/
Economics/Trade 1
Political non-profit 1
U.S. National
Security Non-profit 1
Operation Shady Rat
Typischer Ablauf eines Spionage Angriffs
Internet
USERS &
PARTNERS
SaaS
BRANCH
OFFICE
CORPORATE
LAN
Social Engineering, gezielte Malware Angriffe • Phishing Email (Maliziöse PDF, DOC, etc. oder Links) • “Candy drops” am Gelände (USB Stick, DVD’s, Kamera) • Physischer Zugang (Reinigungsdienst, Service,, etc.)
Reconnaissance • Organisation aufklären (Ziele identifizieren)
• Social reconnaissance (Email, IM, Soziale Netzwerkeetc.)
• Suche nach Schwachstellen (Webserver/OS/DNS/Netzwerk,etc.)
Social Engineering leicht gemacht
About 1,660 results
About 15,100 results
Weitere Untersuchung der Ergebnisse führte schnell zu Facebook
Profilen, Twitter Accounts (einige mit Location Services aktiviert) und
FourSquare
Typischer Ablauf eines Spionage Angriffs
Internet
USERS &
PARTNERS
SaaS
BRANCH
OFFICE
CORPORATE
LAN
Zugang permanent beibehalten • Malware modifizieren um Erkennung zu vermeiden
• Installieren von weiteren potentiellen Zugängen
• Monitoring von Netzwerk, Benutzern und Daten
Ziele erreichen • Extrahieren von Intellectual Property, etc.
• Installieren von Trojanern in source code
• Kontrolle kritischer Systeme
Command & Control Infrastruktur etablieren •Installation von Tools (Keylogger, Trojaner, etc.)
•Tunnel zum C&C etablieren (encrypted SSL)
•Einsatz von Remote Administration Toola (RAT)
Hintertüren etablieren • Befehle auf Zielen ausführen
• Erlangen höherer Zugriffsrechte, zusätzliche Malware
• Durch Netz bewegen und weitere Hintertüren einrichten
Social Engineering, gezielte Malware Angriffe • Phishing Email (Maliziöse PDF, DOC, etc. oder Links) • “Candy drops” am Gelände (USB Stick, DVD’s, Kamera) • Physischer Zugang (Reinigungsdienst, Service,, etc.)
Reconnaissance • Organisation aufklären (Ziele identifizieren)
• Social reconnaissance (Email, IM, Soziale Netzwerkeetc.)
• Suche nach Schwachstellen (Webserver/OS/DNS/Netzwerk,etc.)
Stuxnet: Angriff auf SCADA
• Discovered in July 2010 by VirusBlokAda company in Minsk, Belarus
• First seen in Iran, Indonesia, India – now spread worldwide
• Targets Siemens WinCC and SIMATIC Process Control System (PCS7)
• Using four 0-day vulnerabilities plus Conficker (MS08-067)
– Shortcut icon vulnerability (CVE-2010-2568/MS10-046) – affecting every
version of Windows since Windows 2000 (even Win95)
– Design flaw in Print Spooler (MS10-061/CVE-2010-2729)
– Two privilege escalations exploits [win32k.sys]
• A user opens a folder that contains the .lnk template files (.pif files also vulnerable)
• Rootkit drivers signed with valid certificates (Realtek and Jmicron)
• UPX packed, XOR encoded everywhere
• Once loaded, queries Siemens database with known default password
• Connected to C&C servers, sending sensitive data
• Manipulating the database to control the HMI output and manipulating the PLC’s
Und jetzt auch noch Duqu…
Vermutlich die selbe Gruppe, die Stuxnet entwickelt hat
– Grosse Teile des Codes ähnlich/identisch
• Ähnlicher Treiber Code für injection Techniken genutzt
• Ähnliche Entschlüsselungen
• Rootkit Funktionalität
– Opfer im Nahen Osten (nicht nur)
– CA – Cmedia gestohlenes Zertifikat zum signieren in einem Fall benutzt,
selber Business District wie die Zertifikate von Stuxnet
Andere Ziele und Funktionen
– CA’s eines der Ziele
– Spionage
– Keine PLC Funktionalität
• Vermutlich gleiches „Frame-Work“
Appetite for Destruction
• Einige Fälle in denen die Angreifer scheinbar nur danach aus waren
maximalen Schaden anzurichten
– Motive unklar, Gegenstand vieler Spekulationen
• Zu einem vorbestimmten Zeitpunkt macht Malware Rechner
unbrauchbar
• Wie „überlebt“ ein Unternehmen, wenn 50% oder 90% Rechner
unbrauchbar sind???
Questions?
Jetzt ist es Oktober 2012, geht die
Welt im Dezember unter?
Ich habe jedenfalls keinen neuen
Maya Kalender mehr bekommen
McAfee Labs Reports
• Quarterly Threats Reports
– Update on developments and trends seen in a quarter
• Threat Predicitions
– Yearly report on expected threats
• White Papers
– Covering a broad range of research topics
• Q2 Threats Report (September, 4th)
• Risk and Compliance Outlook Report (May, 21st)
• „Operation High Roller“ (June, 27th)
• Just google for „McAfee Labs White Paper“
• http://www.mcafee.com/apps/view-all/publications.aspx?tf=mcafee_labs