Botnet e nuove forme di malwareAnalisi tecnica ed evoluzione del fenomeno
$author = Gianni 'guelfoweb' Amato$site = www.securityside.it$blog = www.gianniamato.it$email = [email protected]$twitter = guelfoweb
#DIGICONF 2011
www.digiconf.net sponsored by www.govforensics.it
SULLA SCENA DEL CRIMINE
MA NON SIAMO IN TV
SCENARI INSOLITI
Non solo
Banche
&
Infrastrutture critiche
MALWARE EVOLUTION
TARGET
Furto di dati sensibili
Numeri di carte di credito;
Numeri di conto corrente;
Account email;
Identità digitale.
BLACK MARKET 2010
Un crescita del 71%
Il 78% del malware con funzione di esportazione dati
Symantec Intelligence
Quarterly Report
2009: Il valore delle informazioni rubate ammonta a 1 trilione di dollari;
Giugno 2010: un volume di affari di 210 milioni di euro;
Il costo medio sostenuto da un'organizzazione compromessa è all'incirca di 5 milioni di Euro;
23 milioni di Euro è il costo massimo sostenuto da una azienda colpita da unattacco informatico.
QUANTO COSTA?
1 Visa / MasterCard ~ 5$ / 25$
1000 Carte di Credito ~ 1500$
1 Identità digitale ~ 3$ - 20$
...e non è difficile ottenerli
PREVISIONI 2011
Spesa del 2011 per le aziende statunitensi: 130 miliardi di dollari (perdita in denaro)
UN GROSSO AFFARE
388 miliardi di dollari, una cifra superiore al mercato nero di marijuana, cocaina ed eroina
CRIMEWARE KIT
E' sempre più semplice sferrare attacchi informatici;
Sottrarre informazioni personali;
I costi sono accessibili:
500$-1000$ ZeuS o SpyEye;
Il costo delle ultime versioni si aggira intorno ai 1000$;
Il costo dei plugins varia dai 50$ ai 100$.
NUOVI TARGET
IL CASO STUXNET
Attacco alle Centrali Nucleari. Nello specifico l'Iran e gli esperimenti con l'energia nucleare;
I sistemi SCADA nel mirino dell'organizzazione;
Soluzioni Siemens per la gestione dei sistemi industriali;
Windows + WinCC + PCS 7.
ELEMENTI IMPORTANTI
La password dei sistemi SCADA (DB WinCC) era conosciuta da oltre 2 anni. Fu pubblicata in un forum e poi rimossa dal moderatore;
Gli autori erano in possesso di certificati digitali: Realtek e JMicron
LA STORIA CONTINUA...
Verisign revoca i certificati il 16 luglio;
Il 17 luglio viene rilevata una nuova versione di Stuxnet con i certificati rubati a Jmicron;
Dalle prime indagini si scopre che Stuxnet sfrutta la vulnerabilità LNK;
Indagini successive provano che Stuxnet sfrutta ben 5 vulnerabilità dei sistemi Windows.
NUMERI MISTERIOSI
Il valore numerico '1979050' trovato nel registro di sistema delle macchine compromesse da Stuxnet è stato interpretato come la possibile data di nascita di uno dei suoi autori: 09/05/1979
E' stato appurato che la data rilevata all'interno del codice di Stuxnet '24/6/12' coincide esattamente con la data del suo decesso.
...E SUI SISTEMI NON SCADA?
CYBERWAR
NUOVE ARMI
Niente missili, né carri armati o aerei da combattimento.
Il codice è l'arma più pericolosa e può essere sfruttato nei più svariati modi.
LE BOTNET
Noleggio Vendita Utilizzo
DDOS Malware Spam
Furto di Informazioni
Vendita Utilizzo
17.000$ AL GIORNO
RECLUTARE ZOMBIE
Violazione e compromissione di siti legittimi;
SQL Injection
Remote File Inclusion (RFI)
Cross Site Scripting (XSS)
Inclusione di codice nei siti compromessi;
Largo uso di exploit per vulnerabilità già note (o 0day).
Esecuzione del malware sulla macchina;
Furto di credenziali (silent mode);
Comunicazione con C&C per il download di nuovi malware o nuovo codice da eseguire.
RISORSE ONLINE
Bank of Nikolai
SPYEYE STORY
La prima versione appare nel 2009
Progettato dai Russi
Un costo di 500$ al mercato nero
Nato per accaparrarsi una fetta del mercato di ZeuS
Prova ne è l'opzione 'Kill Zeus' in fondo al builder
SPYEYE FEATURES
Formgrabber (Keylogger)
Autofill credit card modules
Daily email backup
Encrypted config file
Ftp protocol grabber
Pop3 grabber
Http basic access authorization grabber
Zeus killer
A differenza di ZeuS, le prime versioni di Spyeye sono troppo rumorose
Il form grabber altro non è che un keylogger
Cattura e comunica al C&C il contenuto di tutti i campi. Non ha un target ben definito.
Non usa una whitelist
Non è stata prevista la funzione di webinject
L'UNIONE FA LA FORZA
ZeuS + SpyEye Brute force password guessing
Jabber notification
VNC module
Auto-spreading
Auto-update
Unique stub generator for FUD and evasion
New screenshot system
MALWARE AS A SERVICE
300$ senza modulo VNC
800$ versione completa
Il vero business risiede nel commercio dei moduli
Personalizzabili
Scritti ad hoc
BILLINGHAMMER MODULE
Il botmaster si procura software freeware, lo rinomina e lo mette in vendita su apposite piattaforme di distribuzione:
ClickBank
FastSpring
Esellerate
SetSystems
Shareit
Dal pannello di controllo SpyEye è possibile gestire dei task automatici
Il botmaster può generare un task che utilizza i numeri di carte di credito rubate in modo che venga eseguita una azione attraverso Internet Explorer e - a intervalli definiti dall'utente - si avvii automaticamente la compilazione dei campi sul sito del negozio online per fare acquisti.
SPYEYE MONITORING
L'attività di monitoring, durata 3 settimane, è stata effettuata sfruttando il Feed RSS del sito MalwareDomainList.com
Filtrando le entry raccolte da Google Reader il risultato ottenuto è di 476 siti web che in 3 settimane hanno distribuito il malware SpyEye. Una media di 22,6 siti al giorno.
Tra questi, 196 siti oltre a distribuire il malware avevano funzione di C&C
SPYEYE: C&C IN 10 MINUTI
Gli ingredienti
Piattaforma LAMP (Linux, Apache, MySQL, Php)
Il sorgente Php di SpyeEye C&C
4 STEP
STEP 1 - DB
All'utente del DB devono essere assegnati tutti i privilegi
STEP 2 – MAIN / CONFIG.PHP
STEP 3 – GRAB / CONFIG.PHP
STEP 4 – IMPORT .SQL FILE
READY!
Form Grabber Login
Main Login
MAIN PAGE
FORM GRABBER
GET BUILD
TCP STREAM
All'avvio il malware contatta il C&C
FORM (LOGIN) GRAB
DALLA TEORIA ALLA PRATICA
Simulazione di una botnet e compromissione di una macchina Windows XP in ambiente virtuale
Command & Control su Ubuntu server LAMP
Ambiente di cavia: Windows XP SP3 su Virtualbox
Malware Analysis
A Case Study
http://www.securityside.it/docs/malware-analysis.pdf
DOMANDE?
Top Related