0
HackInBo 2013
Le nuove armi digitali.
Aziende ed Enti Governativi sono pronti?
Gianni 'guelfoweb' Amato
Bologna, 20 Settem...
Who is?
● Author : Gianni 'guelfoweb' Amato
● Site : www.securityside.it
● Blog : www.gianniamato.it
● Email : amato@secur...
Agenda
No, meglio raccontare una favoletta...
La Cyber War
Quali danni potrebbe arrecare a
un paese?
Attacco ai sistemi e infrastrutture critiche di un paese
sfruttando...
Disagi
Fonte: http://www.ilcittadinomb.it/stories/Cronaca/312127_lentate_-_asl/
Prenotazioni online bloccate
Pubblica Amministrazione in Tilt
Ma anche...
Panico e terrore
Acqua, gas, rete elettrica fuori uso
Gestione linee aeree e treni in Tilt
Con CHI abbiamo a che fare?
Con COSA abbiamo a che fare?
Armi digitali
– Tecniche di
offuscamento
– crittografia
– 0day vulnerability
History
● 2010: Stuxnet
● 2011: Duqu
● 2011: Gauss
● 2012: Mahdi
● 2012: Flame
● 2012: Wiper
● 2013:
● 2006 Governo Bush
● Attacchi digitali contro
Iran
● Partecipazione Governo
Israeliano
● Sabotaggio centrali
nucleari Nat...
Stuxnet
● Individuato nel giugno
2010
● Target: Sistemi SCADA
● Si diffonde via USB
(solitamente i sistemi
SCADA non sono ...
Evidence
● Dall'analisi investigativa viene individuato il valore numerico
“19790509” scritto nel registro di sistema Wind...
Duqu
● Individuato nel settembre
2011
● Target: valutare lo stato
del programma nucleare
iraniano
● Funzione di keylogger
...
Gauss
● Scoperto nel 2011, poco dopo Duqu.
● Rilevato in Libano, Israele, Palestina, USA, Emirati
Arabi.
● Progettato per ...
Mahdi
● Scoperto nel febbraio
2012
● E' stato battezzato
“Mahdi” per via di una
stringa ricorrente nel
codice del malware ...
Flame
● Individuato per la prima
volta in aprile 2012
● Si propaga tramite USB
● Usa falso certificato
● Ha funzioni di ke...
Flame 2008
Dall'analisi di uno dei
componenti utilizzato da
Flame, il file
mssecmgr.ocx riporta
come timeDatestamp la
data...
Wiper
Un soldato in missione sul
campo di battaglia per
ripulire le tracce
● Cancella le tracce di
Stuxnet e Duqu
● Alta p...
Casi recenti
La vulnerabilità risiede in Firefox 17 ESR (Extended Support Release), non in TOR.
Shellcode
https://code.google.com/p/caffsec-malware-analysis/source/browse/trunk/TorFreedomHosting/torscript1.js
Binario
Traffico di rete
Hostname e Mac Address
65.222.202.54
Hesperbot Banking Trojan
● Rilevato nel settembre 2013
dai ricercatori ESET
● Target: operazioni di online
banking
● Il fi...
Cyber Attacks Timeline
Credit: Paolo Passeri | http://hackmageddon.com/cyber-attacks-timeline-master-indexes/
Non tutti gli attacchi sono così complessi
Social (network) engineering
Lo scorso anno, attraverso falsi profili facebook di donne
attraenti i talebani sono riusciti...
Turista fai da te? No Alpitour?
“Facciamo due conti: Alpitour: 23.309 fan,
Villaggi Bravo 51.570, Francorosso 17.335 e
Via...
Come sta reagendo l'Italia?
Il nostro paese è ancora fin troppo legato al vecchio concetto di
guerra. Banche, istituti e a...
Computer Security Incident Response Team
http://www.enisa.europa.eu/activities/cert/support/guide/files/csirt-setting-up-g...
Computer Security Incident Response Team
✔
Gruppo di professionisti IT Security che aiuta gli enti ad
attenuare e prevenir...
Decreto – Un CERT Nazionale
Governo.it
“Gli attacchi alla sicurezza informatica negli ultimi anni
hanno avuto una crescita esponenziale. Assinform sti...
Ancora una firma qui...
Banche, Università,
Aziende che erogano
servizi attraverso la rete
Internet non
ammetteranno mai d...
Zeus-In-The-MObile (ZITMO)
SMS con Link
(security update)
Download Malware
Detect SMS Bank
(code)
Nel mirino dei cybercriminali
Ransomware: ha fruttato 1 milione di euro per ogni
campagna di attacchi
Business
● 1 carta Visa/Mastercard ~
5$ - 25$
● 1000 Carte di Credito ~
1500$
● 1 Idendità digitale ~ 3$ -
20$
● Crimeware...
Crime Pack Exploit Kit
YouTube Video Tutorial
● Violazione e compromissione
di web server e siti legittimi.
● Inclusione di codice.
● Largo uso di exploit e 0day
vulner...
Shodan - phpinfo()
Shodan - WAMPSERVER
Processo di reclutamento Zombie #2
● Download ed esecuzione
codice maligno.
● Controllo della macchina.
● Comunicazione co...
SpyEye Story
● La prima versione risale al 2009
● Progettato dai Russi
● 500$ al mercato nero
● Inizialmente nato per acca...
SpyEye Features
● Formgrabber
● Autofill credit card modules
● Daily email backup
● Ftp protocol grabber
● Encrypted confi...
Offerte Speciali
● 300$ senza modulo VNC
● 800$ versione completa
Il vero business sono i
moduli aggiuntivi
– In particola...
Dentro SpyeEye
Due file di configurazione
Main Grabber
Pronti per il Login
Builder
Comunicazioni al C&C
HTTPS Authentication
Ambiente di test
compromesso da
SpyEye
Form Grab
C&C
Altri modi per monetizzare
Innovazioni subdole per stracciare la concorrenza
– Individuazione ed estrazione automatica di ...
BillingHammer Feature
Il botmaster si procura software
freeware, lo rinomina e lo mette
in vendita su apposite
piattaforme...
Monetizzare
Host
1
Host
2
Host
3
Host
...
Host
n
Server
Compromesso
C&C Primario
DB Mysql
Server
Compromesso
C&C Secondari...
Operazioni mirate
Host
1
Host
2
Host
3
Host
...
Host
n
Server
Compromesso
C&C Primario
DB Mysql
Server
Compromesso
C&C Sec...
Siamo pronti?
Ma più che altro, siamo in grado di stare al passo?
Grazie per l'attenzione :-)
Domande?
Upcoming SlideShare
Loading in...5
×

Amato HackInBo 2013

1,838

Published on

Sicurezza all'Ombra delle Torri.
Le nuove armi digitali. Aziende ed Enti Governativi sono pronti?

0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
1,838
On Slideshare
0
From Embeds
0
Number of Embeds
15
Actions
Shares
0
Downloads
52
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Transcript of "Amato HackInBo 2013"

  1. 1. HackInBo 2013 Le nuove armi digitali. Aziende ed Enti Governativi sono pronti? Gianni 'guelfoweb' Amato Bologna, 20 Settembre 2013
  2. 2. Who is? ● Author : Gianni 'guelfoweb' Amato ● Site : www.securityside.it ● Blog : www.gianniamato.it ● Email : amato@securityside.it ● Twitter : @guelfoweb
  3. 3. Agenda No, meglio raccontare una favoletta...
  4. 4. La Cyber War Quali danni potrebbe arrecare a un paese? Attacco ai sistemi e infrastrutture critiche di un paese sfruttando unicamente le reti informatiche.
  5. 5. Disagi Fonte: http://www.ilcittadinomb.it/stories/Cronaca/312127_lentate_-_asl/
  6. 6. Prenotazioni online bloccate
  7. 7. Pubblica Amministrazione in Tilt
  8. 8. Ma anche... Panico e terrore
  9. 9. Acqua, gas, rete elettrica fuori uso
  10. 10. Gestione linee aeree e treni in Tilt
  11. 11. Con CHI abbiamo a che fare?
  12. 12. Con COSA abbiamo a che fare? Armi digitali – Tecniche di offuscamento – crittografia – 0day vulnerability
  13. 13. History ● 2010: Stuxnet ● 2011: Duqu ● 2011: Gauss ● 2012: Mahdi ● 2012: Flame ● 2012: Wiper ● 2013:
  14. 14. ● 2006 Governo Bush ● Attacchi digitali contro Iran ● Partecipazione Governo Israeliano ● Sabotaggio centrali nucleari Natanz ● Danneggiare le turbine Operation Olympic Games
  15. 15. Stuxnet ● Individuato nel giugno 2010 ● Target: Sistemi SCADA ● Si diffonde via USB (solitamente i sistemi SCADA non sono collegati a Internet) ● Integra 2 certificati “trusted” ● Sfrutta 4 0day ● Password hard-coded nota ● Realtek è il primo certificato “trusted” recovato il 16 luglio ● Il 17 luglio una nuova variante presenta il certificato Jmicron
  16. 16. Evidence ● Dall'analisi investigativa viene individuato il valore numerico “19790509” scritto nel registro di sistema Windows che si sospetta corrisponda alla data di nascita di uno degli sviluppatori “05/09/1979” o sia collegata all'esecuzione (per spionaggio) di Habib Elghanian, noto uomo d'affari ebreo conosciuto in Iran. ● La data di decesso / autodistruzione era fissata per il “26/06/2012”.
  17. 17. Duqu ● Individuato nel settembre 2011 ● Target: valutare lo stato del programma nucleare iraniano ● Funzione di keylogger ● Sfrutta 0day ● Lo scopo è quello di carpire informazioni ● Usa certificati rubati ● L'analisi comportamentale lo riconduce a stuxnet
  18. 18. Gauss ● Scoperto nel 2011, poco dopo Duqu. ● Rilevato in Libano, Israele, Palestina, USA, Emirati Arabi. ● Progettato per il furto di cookie, credenziali e conti bancari. ● Lavora con moduli aggiornati via Internet per ampliare le proprie funzioni. ● Kaspersky ipotizza sia stato creato dagli stessi autori di Stuxnet e Duqu.
  19. 19. Mahdi ● Scoperto nel febbraio 2012 ● E' stato battezzato “Mahdi” per via di una stringa ricorrente nel codice del malware (fa riferimento al Messia Islamico) ● Sfrutta bug di Word e Power Point ● In questo caso non si conoscono gli autori ● Ha funzione di keylogger e cattura le schermate ● Sottrae file audio, testo e immagini
  20. 20. Flame ● Individuato per la prima volta in aprile 2012 ● Si propaga tramite USB ● Usa falso certificato ● Ha funzioni di keylogger ● Sottrae documenti di testo e DWG (progetti Autocad) ● Cattura immagini ● Registra audio (conversazioni skype) ● Rilevate somiglianze con Stuxnet e Duqu ● Obiettivo: spionaggio industriale
  21. 21. Flame 2008 Dall'analisi di uno dei componenti utilizzato da Flame, il file mssecmgr.ocx riporta come timeDatestamp la data del 9 dicembre 2008
  22. 22. Wiper Un soldato in missione sul campo di battaglia per ripulire le tracce ● Cancella le tracce di Stuxnet e Duqu ● Alta priorità alla rimozione dei file .PNF (usati da Stuxnet) ● Rimozione dei dati utili ai tecnici forensi per ottenere prova del reato (Siamo ancora nel 2012)
  23. 23. Casi recenti La vulnerabilità risiede in Firefox 17 ESR (Extended Support Release), non in TOR.
  24. 24. Shellcode https://code.google.com/p/caffsec-malware-analysis/source/browse/trunk/TorFreedomHosting/torscript1.js
  25. 25. Binario
  26. 26. Traffico di rete
  27. 27. Hostname e Mac Address
  28. 28. 65.222.202.54
  29. 29. Hesperbot Banking Trojan ● Rilevato nel settembre 2013 dai ricercatori ESET ● Target: operazioni di online banking ● Il file di configurazione presenta di default URL di banche della Repubbica Ceca, Turchia e Portogallo ● Sulla scia di ZeuS e SpyEye intercetta e modifica il traffico HTTP e HTTPS ● Sfrutta la funzione di webinject e from-grabber ● Usa moduli e plugin ● Dispone di ua componente per i sistemi mobile: Symbian – Blackberry - Android
  30. 30. Cyber Attacks Timeline Credit: Paolo Passeri | http://hackmageddon.com/cyber-attacks-timeline-master-indexes/
  31. 31. Non tutti gli attacchi sono così complessi
  32. 32. Social (network) engineering Lo scorso anno, attraverso falsi profili facebook di donne attraenti i talebani sono riusciti ad ottenere un contatto diretto con le truppe australiane riuscendo a carpire segreti militari.
  33. 33. Turista fai da te? No Alpitour? “Facciamo due conti: Alpitour: 23.309 fan, Villaggi Bravo 51.570, Francorosso 17.335 e Viaggidea 32.417 fan. Se li sommiamo abbiamo [..] abbiamo 124.631 persone esposte a link malevoli. Un ottimo risultato.” http://www.pierotaglia.net/facebook-fai-da-te-alpitour-ahi-ahi-ahi-pagine-facebook-hackerate/
  34. 34. Come sta reagendo l'Italia? Il nostro paese è ancora fin troppo legato al vecchio concetto di guerra. Banche, istituti e agenzie governative, industria militare, associazioni politiche, università, sono costantemente sottoposti ad attacchi informatici, ogni giorno sempre più complessi e articolati. Motivo per cui anche l'Italia si è dotata di CSIRT. Purtroppo sono ancora pochi gli Enti italiani che ne dispongono.
  35. 35. Computer Security Incident Response Team http://www.enisa.europa.eu/activities/cert/support/guide/files/csirt-setting-up-guide-in-italian/at_download/fullReport
  36. 36. Computer Security Incident Response Team ✔ Gruppo di professionisti IT Security che aiuta gli enti ad attenuare e prevenire gli incidenti informatici. ✔ Gestiscono e forniscono risposta agli incidenti informatici. ✔ Giuridicamente preparati per affrontare questioni legali. ✔ Sempre aggiornati sulle nuove vulnerabilità.
  37. 37. Decreto – Un CERT Nazionale
  38. 38. Governo.it “Gli attacchi alla sicurezza informatica negli ultimi anni hanno avuto una crescita esponenziale. Assinform stima che il 40% degli attacchi richiedono almeno 4 giorni per essere risolti. Nel 90% dei casi l’attacco ha successo a causa dell’errata configurazione del sistema di sicurezza e per la mancanza di competenze specifiche. I costi sostenuti da privati e PA per proteggersi sono consistenti: Gartner li quantifica in 55 miliardi di dollari nel 2011, 60 nel 2012 e 86 (stimati) entro il 2016.” http://www.governo.it/Presidenza/Comunicati/testo_int.asp?d=70337
  39. 39. Ancora una firma qui... Banche, Università, Aziende che erogano servizi attraverso la rete Internet non ammetteranno mai di aver subito attacchi che hanno compromesso - o hanno rischiato di compromettere - informazioni riservate e/o i dati degli utenti/clienti. “La banca declina ogni responsabilità...”
  40. 40. Zeus-In-The-MObile (ZITMO) SMS con Link (security update) Download Malware Detect SMS Bank (code)
  41. 41. Nel mirino dei cybercriminali
  42. 42. Ransomware: ha fruttato 1 milione di euro per ogni campagna di attacchi
  43. 43. Business ● 1 carta Visa/Mastercard ~ 5$ - 25$ ● 1000 Carte di Credito ~ 1500$ ● 1 Idendità digitale ~ 3$ - 20$ ● Crimeware Kit ZueS e SpyEye ~ 500$ - 1000$ (per le ultime release) ● Plugin ~ 50$ - 100$
  44. 44. Crime Pack Exploit Kit
  45. 45. YouTube Video Tutorial
  46. 46. ● Violazione e compromissione di web server e siti legittimi. ● Inclusione di codice. ● Largo uso di exploit e 0day vulnerability. Processo di reclutamento Zombie #1
  47. 47. Shodan - phpinfo()
  48. 48. Shodan - WAMPSERVER
  49. 49. Processo di reclutamento Zombie #2 ● Download ed esecuzione codice maligno. ● Controllo della macchina. ● Comunicazione con C&C. ● Esecuzione comandi da remoto. Un esempio per tutti SpyEye e ZeuS.
  50. 50. SpyEye Story ● La prima versione risale al 2009 ● Progettato dai Russi ● 500$ al mercato nero ● Inizialmente nato per accaparrarsi una fetta del mercato di ZeuS ● A differenza di ZeuS, le prime versioni di Spyeye risultano rumorose. ● Non ha un target ben definito. ● Non usa una whitelist. ● Non è stata prevista la funzione di webinject.
  51. 51. SpyEye Features ● Formgrabber ● Autofill credit card modules ● Daily email backup ● Ftp protocol grabber ● Encrypted config file ● Pop3 grabber ● Http basic access authorization grabber
  52. 52. Offerte Speciali ● 300$ senza modulo VNC ● 800$ versione completa Il vero business sono i moduli aggiuntivi – In particolare le richieste personalizzate
  53. 53. Dentro SpyeEye
  54. 54. Due file di configurazione Main Grabber
  55. 55. Pronti per il Login
  56. 56. Builder
  57. 57. Comunicazioni al C&C
  58. 58. HTTPS Authentication Ambiente di test compromesso da SpyEye
  59. 59. Form Grab C&C
  60. 60. Altri modi per monetizzare Innovazioni subdole per stracciare la concorrenza – Individuazione ed estrazione automatica di carte di credito dalle macchine compromesse – Generazione di vendite fasulle su negozi online
  61. 61. BillingHammer Feature Il botmaster si procura software freeware, lo rinomina e lo mette in vendita su apposite piattaforme di distribuzione: – ClickBank – FastSpring – Esellerate – SetSystems – Shareit Dal pannello di controllo SpyEye è possibile gestire task automatici Il botmaster può generare un task che utilizza i numeri di carte di credito rubate in modo che venga eseguita una azione attraverso Internet Explorer che a intervalli definiti lanci la compilazione dei campi sul sito del negozio online per completare l'acquisto.
  62. 62. Monetizzare Host 1 Host 2 Host 3 Host ... Host n Server Compromesso C&C Primario DB Mysql Server Compromesso C&C Secondario DB Mysql xyzBank $ Zombie freeware $ Credit Card $$$ Noleggio Botnet DDoS Vendita Carte di Credito $ $ Vendita Identità Digitale $
  63. 63. Operazioni mirate Host 1 Host 2 Host 3 Host ... Host n Server Compromesso C&C Primario DB Mysql Server Compromesso C&C Secondario DB Mysql TARGET Zombie Credit Card Commissionate?
  64. 64. Siamo pronti? Ma più che altro, siamo in grado di stare al passo?
  65. 65. Grazie per l'attenzione :-) Domande?
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×