Successfully reported this slideshow.

[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s

685 views

Published on

2009 Hacktivity presentation

Published in: Technology
  • Be the first to comment

  • Be the first to like this

[HUN] Hacktivity2009 - M&M’s: Mafia & Malware’s

  1. 1. M&M’s: Mafia & Malware’s Balázs Zoltán Hacktivity 2009
  2. 2. Agenda Miről lesz szó?• 1. Netbank jelszavakat lopkodó malware (Sinowal + MeBRoot)• 2. PIN kódokat lopkodó ATM malware (Trojan.Skimer)• 3. Orosz szervezett bűnözésről – Az előadás nem hackerekről fog szólni, hanem a szervezett bűnözésről, akik a számítástechnikát is igénybe veszik sötét céljaik elérése érdekében - 2 / 49 -
  3. 3. Malware• MALicious softWARE• vírus, trójai, kémprogram, féreg, logikai bomba, hátsó ajtó (backdoor), makró, rootkit, adware, crimeware, billentyűzet/képernyő-figyelő, mobil-vírus, hoax, tárcsázó, scareware, ransomware, fake-av, stb. - 3 / 49 -
  4. 4. ......n .......s ......k• Bank of India hack - 4 / 49 -
  5. 5. - 5 / 49 -
  6. 6. - 6 / 49 -
  7. 7. .....an .....ss .....rk• Bank of India hack• Szentpétervár - 7 / 49 -
  8. 8. ....ian .....ess ....ork• Bank of India hack• Szentpétervár• ZeuS - 8 / 49 -
  9. 9. ...sian ....ness ...work• Bank of India hack• Szentpétervár• ZeuS• Gozi - 9 / 49 -
  10. 10. ..ssian ...iness ..twork• Bank of India hack• Szentpétervár• ZeuS• Gozi• Mpack - 10 / 49 -
  11. 11. .ussian ..siness .etwork• Bank of India hack• Szentpétervár• ZeuS• Gozi• Mpack• Storm - 11 / 49 -
  12. 12. Russian Business Network• Bank of India hack• Szentpétervár• ZeuS• Gozi• Mpack• Storm - 12 / 49 -
  13. 13. Sinowal/Torpig + MeBRoot• Hogyan terjed…• Minimum 2700 trigger URL• Internet Explorer hook• tűzfal/proxy/proxy authentikáció/hagyományos blacklist tartalomszűrő• 79% - 13 / 49 -
  14. 14. Sinowal + MBR történelem• 2007 november (2005 BH)• milliós kredit kártya info, banki azonosítók• 2008. az egyik „neves háRombetűs biztonSágtechnikAi cég“ törte fel az egyik Sinowal-os anyahajót• 2009. január 25.- február 4. amerikai egyetem kutatói 10 napra eltérítették a botnetet – SSL hiba - 14 / 49 -
  15. 15. Érdekességek - Sinowal• Kaspersky -"Backdoor.Win32.Sinowal.fge"• 3541. detektált(!) variáns• egy nap alatt 145 új variáns• Sinowal írtó # dd if=/dev/zero of=/dev/(s|h)d(a-z) - 15 / 49 -
  16. 16. Wepawet + Virustotal - 16 / 49 -
  17. 17. MBR fertőzés (MeBRoot)• kiolvassa MBR-t (Master Boot Record) és átmásolja partíciós táblát• saját MBR és az elmentett partíciós tábla• eredeti MBR másolása az új MBR utolsó szektorába• MBR írása diszkre• reboot - 17 / 49 -
  18. 18. MeBRoot• Régebben disk.sys hook• Megnézi, melyik a legalsó réteg amihez a DeviceHarddisk0DR0 csatlakozik – hook• Atapi.sys, acpi.sys, vmscsi.sys• Egyéni kernel objektum típust hoztak létre, az eredeti „Device” másolatát, hook, majd a ParseProcedure eljárás kicserélése• Végül DeviceHarddisk0DR0 típus kicserélése az egyéni típusra - 18 / 49 -
  19. 19. …???.???.???.???
  20. 20. …???.???.???.???
  21. 21. …???.???.???.???
  22. 22. … … ???.???.???.???
  23. 23. … … ???.???.???.???
  24. 24. Domain flux• Periodikusan új domaint generál a kliens• Heti domain (dmiafgves .com/.net/.biz)• Napi domain (gfdpves .com/.net/.biz)• Bedrótozott (rikora.com, pinakola.com, és flippibi.com)• Ha nem sikerül kapcsolódni, akkor jön a következő a listában - 26 / 49 -
  25. 25. Live demo - 27 / 49 -
  26. 26. Támogatott programok• services.exe • Total Commander• explorer.exe • Thunderbird• Internet Explorer • Outlook (?/6/7/8) • Eudora• Firefox • Skype• Opera • ICQ• Leech-FTP • cmd.exe• CuteFTP • … - 28 / 49 -
  27. 27. Netbank tanácsok• Nem túl hatékony  – Telepítsen vírusvédelmi, kémprogram elleni és tűzfalszoftvert… – Tartsa naprakészen operációs rendszerét és alkalmazásait a frissítések, javítások rendszeres telepítésével – Használjon alternatív böngésző és e- mail programot – Csak olyan weboldalakat látogasson, amelyeket ismer és megbízhatónak tart – Az érvénytelen tanúsítványra figyelmeztető párbeszédablak súlyos kockázatra hívja fel a figyelmet… – Jelszó, egyszer-használatos jelszó, kihívás-válasz, SMS kihívás-válasz, mobil hívóazonosító, virtuális billentyűzet, chipkártya, gridcard
  28. 28. Netbank tanácsok• Egész jó  – Tranzakció adatok független csatornán, jóváhagyás előtt (SMS, USB dongle) – Adminisztrátori jogokkal bejelentkezve ne böngéssze az Internetet… – FF NoScript – Boot Linux - 30 / 49 -
  29. 29. Agenda ATM biztonság - 31 / 49 -
  30. 30. ATM• kutatások az ATM-ek (PIN kód) sebezhetőségeiről – 2003 Cambridge Egyetem kutatói – 2006-ban Omer Berkman és Odelia Moshe Ostrovsky• az ipar nem tekintette különösen veszélyesnek - „elméleti“ támadások• "I got strange Russian e-mails saying, Can you tell me how to crack PINs?" - 32 / 49 -
  31. 31. Támadási modellek• Cél: kártyaadat vagy pénz• Fizikai támadások – kamu ATM támadók telszámával, skimming, robbantás, vontatás, offline ATM limittel• Hálózat• Social engineering• Operációs rendszer• ATM alkalmazás (20 USD <-> 5 USD)• Jackpot (BH) - 35 / 49 -
  32. 32. Trojan.Skimer.a• 2009. január: ATM-ekből a szervezett bűnözés megszerzi a kártyaszámokat + PIN kódokat• Virustotal 1• Virustotal 2 - 36/ 49 -
  33. 33. A támadás• a maffia felbérel egy ATM szakértőt• az ATM szabványos API-ját használva lekérdezi a tranzakció adatokat (pl. kártyaszámok)• EPP decrypt függvény – Trojan.Skimer• Egyéb: szabványos API hívások konstrukciós hibáit kihasználva visszafejthetőek a PIN kódok, konfig függő, melyik használható - 37 / 49 -
  34. 34. Támadási komplexitásEPP decrypt = 1 lépés, azonnalISO-0 + VISA-3 konverziós támadás ~ 88 percDecimalisation tábla támadás ~ 8 percElég biztonságos konfig ~ 14 lehetséges PIN, 16 percLegbiztonságosabb konfig ~ 400 lehetséges PIN, 17 sec - 38 / 49 -
  35. 35. - 39 / 49 -
  36. 36. Trojan.Skimer.a• adatokat a merevlemezen tárolja• speciális bankkártya triggereli - > adatokat a nyugtára nyomtassa• Windows fájlvédelmet használja fertőzéshez - 40 / 49 -
  37. 37. Trojan.Skimer.a• adatokat a merevlemezen tárolja• speciális bankkártya triggereli - > adatokat a nyugtára nyomtassa• Windows fájlvédelmet használja fertőzéshez• telepítés – ATM szervizkulcs - 41 / 49 -
  38. 38. AT szervizkulcs
  39. 39. Trojan.Skimer.a• adatokat a merevlemezen tárolja• speciális bankkártya triggereli - > adatokat a nyugtára nyomtassa• Windows fájlvédelmet használja fertőzéshez• telepítés – ATM szervízkulcs – adminisztrátori jelszó – pendrive - 43 / 49 -
  40. 40. Védekezési módszerek• Chip kártya• Gyártó patch• Skimming érzekelő• Pénzfestés• Felügyeleti rendszer• AV az ATM-en (???) - 44 / 49 -
  41. 41. AgendaEllopták az oroszok a tankot …• Vajon hogyan lehet az, hogy Oroszországban és Közép Kelet Európában (pl. Ukrajna), ennyi informatikus szakértőt tud elcsábítani a maffia?• helyi erkölcsi értékrend• „cool“ dolog a hackelés -> akár sötét-oldal is - 45 / 49 -
  42. 42. Ellopták az oroszok a tankot …• Az állami kitüntetés külföldi oldal deface- elésért - www.evrey.com• ha a tehetséges palántákat a cégek megfelelő fizetéssel honorálnák cserébe a szaktudásukért, akkor nem lenne képes a maffia ilyen könnyen elcsábítani őket.• Mo.-on nem ez a helyzet - 47 / 49 -
  43. 43. Gyakran ismételt kérdések• Itt a világvége? – Nem, mert $≠• Vegyem ki az összes pénzem a bankból és dugjam a párnámba? – Secu(párna) << Secu(Bank)• Hackeljem a banki rendszereket, azért mert jó móka és még fizetnek is? – Naná, én is azt teszem  && $ - 48 / 49 -
  44. 44. Köszönöm a megtisztelő figyelmetAz erő velünk van, csak tanuljuk meg használni Hacktivity 2009 – mert senkiháziak kezében van az AV szakma Balázs Zoltán, CISSP, CPTS - 49 / 49 -

×