Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Like this presentation? Why not share!

Like this? Share it with your network

Share

Reati Informatici e Investigazioni Digitali

  • 2,448 views
Uploaded on

Seminario del 27/10/2010 Padova

Seminario del 27/10/2010 Padova

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
2,448
On Slideshare
2,123
From Embeds
325
Number of Embeds
5

Actions

Shares
Downloads
68
Comments
0
Likes
1

Embeds 325

http://www.gianniamato.it 161
http://www.denisfrati.it 161
http://static.slidesharecdn.com 1
http://www.netvibes.com 1
http://translate.googleusercontent.com 1

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Reati Informatici e Investigazioni digitali
      Gianni 'guelfoweb' Amato Seminario - Piove di Sacco (PD) - 27/11/2010
  • 2. Black Market
      Symantec Intelligence Quarterly Report di aprile – giugno 2010
      • Un volume di affari di 210 milioni di euro
  • 3. Black Market
      Quanto costano gli incidenti informatici?
      • Il valore delle informazioni digitali rubate nel 2009 è stato di 1 trilione di dollari
      • 4. il costo medio sostenuto da un'organizzazione compromessa è all'incirca di 5 milioni di Euro
      • 5. 23 milioni di Euro è il costo massimo ad oggi sostenuto da una azienda colpita da un attacco informatico.
  • 6. Black Market
      Target: furto di dati sensibili
      • Numeri di carte di credito
      • 7. Numeri di conto corrente
      • 8. Identità digitale (147 euro è il costo medio per identità compromessa sostenuta in azienda)
  • 9. Black Market
      Il malware dal 2008 ad oggi
      • Una crescita del 71%
      • 10. Il 78% del malware ha funzionalità di esportazione dati
  • 11. Black Market
      Acquisti al mercato nero
      • 1000 carte di credito a 1500$
      • 12. 1 identità digitale 3$-20$
      • 13. Indirizzi email. Attività lecita (?)
  • 14. Black Market
      Crimeware kit
      • Sempre più semplice sferrare attacchi
      • 15. Sottrarre informazioni personali
      • 16. Costi accessibili
      • 17. 700$ ZeuS Kit. (Gratis per chi sa cercare)
  • 18. Cyber War
      Le Nazioni Unite temono che la guerra combattuta attraverso la Rete possa presto diventare una minaccia reale per tutto il mondo
      • Una cyberwar è peggio di uno tsunami
      • 19. Un attacco digitale è parificabile a un attacco reale
      La proposta delle Nazioni Unite è quella di un accordo tale per cui ogni paese firmatario si impegna a non scagliare per primo un cyberattacco contro un’altra nazione
  • 20. Cyber War
    • Target: Infrastrutture Critiche
  • 21. Cyber War
      Stuxnet attacco alle centrali nucleari
      • Target: Iran e gli esperimenti con l'energia nucleare
      • 22. Per volere del Mossad israeliano (?)
  • 23. Cyber War
      Stuxnet nel mirino i sistemi SCADA
      • Soluzioni Siemens per la gestione dei sistemi industriali
      • 24. Windows + WinCC + PCS 7
  • 25. Cyber War
      Stuxnet. Una password DB vecchia due anni
      • SCADA System’s Hard-Coded Password Circulated Online for Years
      • 26. It’s not known how long the WinCC database password has been circulating privately among computer intruders, but it was published online in 2008 at a Siemens technical forum, where a Siemens moderator appears to have deleted it shortly thereafter. The same anonymous user, “Cyber,” also posted the password to a Russian-language Siemens forum at the same time, where it has remained online for two years.
  • 27. Cyber War
      Stuxnet un malware firmato
      • Gli autori erano in possesso dei certificati digitali
      • 28. Realtek e JMicron
  • 29. Cyber War
      Stuxnet un malware firmato
      • Verisign revoca i certificati il 16 luglio
      • 30. Il 17 luglio viene rilevata una versione di Stuxnet con i drivers rubati a JMicron
  • 31. Cyber War
      Stuxnet sfrutta 5 vulnerabilità Windows
      • Inizialmente la vulnerabilità LNK
      • 32. Con le analisi successive si è scoperto che il malware sfrutta in totale ben 5 vulnerabilità
  • 33. Cyber War
      Stuxnet e il misterioso numero 19790509
      • Il valore numerico trovato nel registro di sistema delle macchine compromesse è stato interpretato come la possibile data di nascita di uno degli autori: 09/05/1979
      • 34. Sophos: http://goo.gl/rHYic
  • 35. Cyber War
      Stuxnet non è ancora finita
      • E' notizia di questa settimana: ”Iran: Debka, Stuxnet ha bloccato per una settimana arricchimento uranio http://goo.gl/jcqdy”
      • 36. Ci sarebbe il misterioso super-virus 'Stuxnet' dietro lo stop al programma iraniano per l'arricchimento dell'uranio [...] a causa del virus l'impianto per l'arricchimento di Natanz, il principale della Repubblica Islamica, è rimasto bloccato dal 16 al 22 novembre. 'Stuxnet', hanno rivelato fonti iraniane e d'intelligence citate da 'Debka', ha creato dei sbalzi di corrente e messo fuori uso le centrifughe per l'arricchimento dell'uranio
  • 37. Cyber War
      Stuxnet sui sistemi NON SCADA
      • Cosa succede se Stuxnet atterra su una macchina Windows di un comune utente? Ne parla Bruce Schneier http://goo.gl/No6S
      • 38. ” Stuxnet doesn’t actually do anything on those infected Windows computers, because they’re not the real target.”
  • 39. Malware Study
      Come procurarsi il malware?
  • 40. Botnet
      ZeuS 75.000 sistemi Windows colpiti.
  • 41. Botnet
      ZeuS a Banking Malware
      • Inizialmente progettato per carpire credenziali di accesso e codici di carte di credito degli utenti Internet Explorer che navigano le pagine di determinati siti bancari
  • 42. Botnet
      ZeuS Toolkit. 700$ al Mercato Nero
      • Un pacchetto corredato di manuale per le istruzioni
      • 43. Di un generatore (builder) e dei file di configurazione per istruire il malware
      • 44. Dei sorgenti php (web panel control) da caricare sul server che fungerà da command and control
  • 45. Botnet
      ZeuS Toolkit
  • 46. Botnet
      ZeuS Toolkit: config.txt
  • 47. Botnet
      ZeuS Toolkit: webinjects.txt
  • 48. Botnet
      ZeuS Toolkit: Panel (C&C)
  • 49. Botnet
      ZeuS: Tracce evidenti in System32
      • Cartella ”lowsec” e file ”sdra64”
  • 50. Botnet
      ZeuS Toolkit. Evolutions
      • Installazione di pacchetti aggiuntivi (in vendita)
      • 51. ZeuS v2
      • 52. Adeguamento a Firefox
      • 53. Codifica dei dati
      • 54. Termina lo sviluppo e cede il codice a SyeEye, il suo rivale. Rumours (?)
  • 55. Botnet
      SpyEye
      • Antagonista di ZeuS
      • 56. Specializzato in trojan horse personalizzati
      • 57. Web inject (ZeuS format)
      • 58. Ring 3
      • 59. Feature: Kill ZeuS
      • 60. Prezzo scontato: 500$ vs 700$ di ZeuS
  • 61. Botnet
      SpyEye Toolkit
  • 62. Botnet
      SpyEye Toolkit. Builder in Action
  • 63. Botnet
      SpyEye Command and Control
  • 64. Botnet
      SpyEye: Evidenze sul disco
      • c:cleansweep.execleansweep.exe
      • 65. c:cleansweep.execonfig.bin
      • 66. %TempFolder%upd1.tmp
      • 67. HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
      • 68. cleansweep.exe = "C:cleansweep.execleansweep.exe"
  • 69. Web Inject
      Field inject and grabber
  • 70. Hacker Motivation
  • 76. Public Vulns
      XSSed
  • 77. Defacement
      Zone-h
  • 78. Exploits
      Exploit-DB
  • 79. Rss Vulns
      Vulnerabilità in Real Time sul Feed Reader
  • 80. Weapons
      Back|track
      • Comunità di supporto e sviluppo localizzato in italia
  • 81. Perchè studiare il malware?
      Per comprendere le dinamiche comportamentali!
      • Qual è lo scopo del malware?
      • 82. Quali informazioni è riuscito a carpire?
      • 83. Dove sono state trasmesse le informazioni?
      • 84. Come ha fatto ad arrivare fin qui?
  • 85. Quali sono le complicazioni?
      Non siamo di fronte a un comune utente...
      • Abbiamo a che fare con creature progettate da persone altamente competenti
      • 86. Nella maggior parte dei casi il codice è offuscato
      • 87. Largo uso di crittorgrafia (soprattutto durante la trasmissione dei dati)
      • 88. Funzioni di rootkit
      • 89. Vulnerabilità 0-day
  • 90. Dove andare a cercare?
      Nei processi
      • Individuare i processi nascosti
      • 91. Listare i servizi attivi
      • 92. Verificare l'integrità dei processi di sistema attivi
      • 93. Listare le dll caricate e analizzare quelle sospette
  • 94. Process Inspection
      Malware process. Module Dll Analysis
      • Firma del file PE
      • 95. Disassemblaggio del codice
      • 96. Estrazione delle stringhe di testo
      • 97. Live monitoring
  • 98. Malware at Work Registry (RUN) Malware.exe ctfmon.exe lsass.exe svchost.exe http://evilsite.com/filename
  • 99. Malware Analysis Lab
      Virtual Machine
  • 103. Malware Analysis Lab
  • 109. Malware Analysis Lab
      Analysis Tools
      • Sysinternals Suite
      • Explorer Suite
      • 112. Wireshark
      • 113. Regshot
  • 114. Malware Analysis Lab
  • 120. Malware Analysis Lab
  • 128. Malware Analysis
      A Case Study
      • http://www.securityside.it/docs/malware-analysis.pdf