• Like

Loading…

Flash Player 9 (or above) is needed to view presentations.
We have detected that you do not have it on your computer. To install it, go here.

Reati Informatici e Investigazioni Digitali

  • 1,988 views
Uploaded on

Seminario del 27/10/2010 Padova

Seminario del 27/10/2010 Padova

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
1,988
On Slideshare
0
From Embeds
0
Number of Embeds
2

Actions

Shares
Downloads
68
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Reati Informatici e Investigazioni digitali
      Gianni 'guelfoweb' Amato Seminario - Piove di Sacco (PD) - 27/11/2010
  • 2. Black Market
      Symantec Intelligence Quarterly Report di aprile – giugno 2010
      • Un volume di affari di 210 milioni di euro
  • 3. Black Market
      Quanto costano gli incidenti informatici?
      • Il valore delle informazioni digitali rubate nel 2009 è stato di 1 trilione di dollari
      • 4. il costo medio sostenuto da un'organizzazione compromessa è all'incirca di 5 milioni di Euro
      • 5. 23 milioni di Euro è il costo massimo ad oggi sostenuto da una azienda colpita da un attacco informatico.
  • 6. Black Market
      Target: furto di dati sensibili
      • Numeri di carte di credito
      • 7. Numeri di conto corrente
      • 8. Identità digitale (147 euro è il costo medio per identità compromessa sostenuta in azienda)
  • 9. Black Market
      Il malware dal 2008 ad oggi
      • Una crescita del 71%
      • 10. Il 78% del malware ha funzionalità di esportazione dati
  • 11. Black Market
      Acquisti al mercato nero
      • 1000 carte di credito a 1500$
      • 12. 1 identità digitale 3$-20$
      • 13. Indirizzi email. Attività lecita (?)
  • 14. Black Market
      Crimeware kit
      • Sempre più semplice sferrare attacchi
      • 15. Sottrarre informazioni personali
      • 16. Costi accessibili
      • 17. 700$ ZeuS Kit. (Gratis per chi sa cercare)
  • 18. Cyber War
      Le Nazioni Unite temono che la guerra combattuta attraverso la Rete possa presto diventare una minaccia reale per tutto il mondo
      • Una cyberwar è peggio di uno tsunami
      • 19. Un attacco digitale è parificabile a un attacco reale
      La proposta delle Nazioni Unite è quella di un accordo tale per cui ogni paese firmatario si impegna a non scagliare per primo un cyberattacco contro un’altra nazione
  • 20. Cyber War
    • Target: Infrastrutture Critiche
  • 21. Cyber War
      Stuxnet attacco alle centrali nucleari
      • Target: Iran e gli esperimenti con l'energia nucleare
      • 22. Per volere del Mossad israeliano (?)
  • 23. Cyber War
      Stuxnet nel mirino i sistemi SCADA
      • Soluzioni Siemens per la gestione dei sistemi industriali
      • 24. Windows + WinCC + PCS 7
  • 25. Cyber War
      Stuxnet. Una password DB vecchia due anni
      • SCADA System’s Hard-Coded Password Circulated Online for Years
      • 26. It’s not known how long the WinCC database password has been circulating privately among computer intruders, but it was published online in 2008 at a Siemens technical forum, where a Siemens moderator appears to have deleted it shortly thereafter. The same anonymous user, “Cyber,” also posted the password to a Russian-language Siemens forum at the same time, where it has remained online for two years.
  • 27. Cyber War
      Stuxnet un malware firmato
      • Gli autori erano in possesso dei certificati digitali
      • 28. Realtek e JMicron
  • 29. Cyber War
      Stuxnet un malware firmato
      • Verisign revoca i certificati il 16 luglio
      • 30. Il 17 luglio viene rilevata una versione di Stuxnet con i drivers rubati a JMicron
  • 31. Cyber War
      Stuxnet sfrutta 5 vulnerabilità Windows
      • Inizialmente la vulnerabilità LNK
      • 32. Con le analisi successive si è scoperto che il malware sfrutta in totale ben 5 vulnerabilità
  • 33. Cyber War
      Stuxnet e il misterioso numero 19790509
      • Il valore numerico trovato nel registro di sistema delle macchine compromesse è stato interpretato come la possibile data di nascita di uno degli autori: 09/05/1979
      • 34. Sophos: http://goo.gl/rHYic
  • 35. Cyber War
      Stuxnet non è ancora finita
      • E' notizia di questa settimana: ”Iran: Debka, Stuxnet ha bloccato per una settimana arricchimento uranio http://goo.gl/jcqdy”
      • 36. Ci sarebbe il misterioso super-virus 'Stuxnet' dietro lo stop al programma iraniano per l'arricchimento dell'uranio [...] a causa del virus l'impianto per l'arricchimento di Natanz, il principale della Repubblica Islamica, è rimasto bloccato dal 16 al 22 novembre. 'Stuxnet', hanno rivelato fonti iraniane e d'intelligence citate da 'Debka', ha creato dei sbalzi di corrente e messo fuori uso le centrifughe per l'arricchimento dell'uranio
  • 37. Cyber War
      Stuxnet sui sistemi NON SCADA
      • Cosa succede se Stuxnet atterra su una macchina Windows di un comune utente? Ne parla Bruce Schneier http://goo.gl/No6S
      • 38. ” Stuxnet doesn’t actually do anything on those infected Windows computers, because they’re not the real target.”
  • 39. Malware Study
      Come procurarsi il malware?
  • 40. Botnet
      ZeuS 75.000 sistemi Windows colpiti.
  • 41. Botnet
      ZeuS a Banking Malware
      • Inizialmente progettato per carpire credenziali di accesso e codici di carte di credito degli utenti Internet Explorer che navigano le pagine di determinati siti bancari
  • 42. Botnet
      ZeuS Toolkit. 700$ al Mercato Nero
      • Un pacchetto corredato di manuale per le istruzioni
      • 43. Di un generatore (builder) e dei file di configurazione per istruire il malware
      • 44. Dei sorgenti php (web panel control) da caricare sul server che fungerà da command and control
  • 45. Botnet
      ZeuS Toolkit
  • 46. Botnet
      ZeuS Toolkit: config.txt
  • 47. Botnet
      ZeuS Toolkit: webinjects.txt
  • 48. Botnet
      ZeuS Toolkit: Panel (C&C)
  • 49. Botnet
      ZeuS: Tracce evidenti in System32
      • Cartella ”lowsec” e file ”sdra64”
  • 50. Botnet
      ZeuS Toolkit. Evolutions
      • Installazione di pacchetti aggiuntivi (in vendita)
      • 51. ZeuS v2
      • 52. Adeguamento a Firefox
      • 53. Codifica dei dati
      • 54. Termina lo sviluppo e cede il codice a SyeEye, il suo rivale. Rumours (?)
  • 55. Botnet
      SpyEye
      • Antagonista di ZeuS
      • 56. Specializzato in trojan horse personalizzati
      • 57. Web inject (ZeuS format)
      • 58. Ring 3
      • 59. Feature: Kill ZeuS
      • 60. Prezzo scontato: 500$ vs 700$ di ZeuS
  • 61. Botnet
      SpyEye Toolkit
  • 62. Botnet
      SpyEye Toolkit. Builder in Action
  • 63. Botnet
      SpyEye Command and Control
  • 64. Botnet
      SpyEye: Evidenze sul disco
      • c:cleansweep.execleansweep.exe
      • 65. c:cleansweep.execonfig.bin
      • 66. %TempFolder%upd1.tmp
      • 67. HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
      • 68. cleansweep.exe = "C:cleansweep.execleansweep.exe"
  • 69. Web Inject
      Field inject and grabber
  • 70. Hacker Motivation
  • 76. Public Vulns
      XSSed
  • 77. Defacement
      Zone-h
  • 78. Exploits
      Exploit-DB
  • 79. Rss Vulns
      Vulnerabilità in Real Time sul Feed Reader
  • 80. Weapons
      Back|track
      • Comunità di supporto e sviluppo localizzato in italia
  • 81. Perchè studiare il malware?
      Per comprendere le dinamiche comportamentali!
      • Qual è lo scopo del malware?
      • 82. Quali informazioni è riuscito a carpire?
      • 83. Dove sono state trasmesse le informazioni?
      • 84. Come ha fatto ad arrivare fin qui?
  • 85. Quali sono le complicazioni?
      Non siamo di fronte a un comune utente...
      • Abbiamo a che fare con creature progettate da persone altamente competenti
      • 86. Nella maggior parte dei casi il codice è offuscato
      • 87. Largo uso di crittorgrafia (soprattutto durante la trasmissione dei dati)
      • 88. Funzioni di rootkit
      • 89. Vulnerabilità 0-day
  • 90. Dove andare a cercare?
      Nei processi
      • Individuare i processi nascosti
      • 91. Listare i servizi attivi
      • 92. Verificare l'integrità dei processi di sistema attivi
      • 93. Listare le dll caricate e analizzare quelle sospette
  • 94. Process Inspection
      Malware process. Module Dll Analysis
      • Firma del file PE
      • 95. Disassemblaggio del codice
      • 96. Estrazione delle stringhe di testo
      • 97. Live monitoring
  • 98. Malware at Work Registry (RUN) Malware.exe ctfmon.exe lsass.exe svchost.exe http://evilsite.com/filename
  • 99. Malware Analysis Lab
      Virtual Machine
  • 103. Malware Analysis Lab
  • 109. Malware Analysis Lab
      Analysis Tools
      • Sysinternals Suite
      • Explorer Suite
      • 112. Wireshark
      • 113. Regshot
  • 114. Malware Analysis Lab
  • 120. Malware Analysis Lab
  • 128. Malware Analysis
      A Case Study
      • http://www.securityside.it/docs/malware-analysis.pdf