6. TARGET
Furto di dati sensibili
Numeri di carte di credito;
Numeri di conto corrente;
Account email;
Identità digitale.
7. BLACK MARKET 2010
Un crescita del 71% Symantec Intelligence
Il 78% del malware con Quarterly Report
funzione di esportazione dati 2009: Il valore delle informazioni rubate
ammonta a 1 trilione di dollari;
Giugno 2010: un volume di affari di 210
milioni di euro;
Il costo medio sostenuto da
un'organizzazione compromessa è
all'incirca di 5 milioni di Euro;
23 milioni di Euro è il costo massimo
sostenuto da una azienda colpita da un
attacco informatico.
8. QUANTO COSTA?
1 Visa / MasterCard ~ 5$ / 25$
1000 Carte di Credito ~ 1500$
1 Identità digitale ~ 3$ - 20$
...e non è difficile ottenerli
9. PREVISIONI 2011
Spesa del 2011 per le aziende statunitensi:
130 miliardi di dollari (perdita in denaro)
10. UN GROSSO AFFARE
388 miliardi di dollari, una cifra superiore al
mercato nero di marijuana, cocaina ed eroina
11. CRIMEWARE KIT
E' sempre più semplice sferrare
attacchi informatici;
Sottrarre informazioni personali;
I costi sono accessibili:
500$-1000$ ZeuS o
SpyEye;
Il costo delle ultime versioni
si aggira intorno ai 1000$;
Il costo dei plugins varia dai
50$ ai 100$.
13. IL CASO STUXNET
Attacco alle Centrali Nucleari.
Nello specifico l'Iran e gli
esperimenti con l'energia
nucleare;
I sistemi SCADA nel mirino
dell'organizzazione;
Soluzioni Siemens per la
gestione dei sistemi industriali;
Windows + WinCC + PCS 7.
14. ELEMENTI IMPORTANTI
La password dei sistemi
SCADA (DB WinCC) era
conosciuta da oltre 2 anni. Fu
pubblicata in un forum e poi
rimossa dal moderatore;
Gli autori erano in possesso di
certificati digitali: Realtek e
JMicron
15. LA STORIA CONTINUA...
Verisign revoca i certificati il 16
luglio;
Il 17 luglio viene rilevata una
nuova versione di Stuxnet con i
certificati rubati a Jmicron;
Dalle prime indagini si scopre
che Stuxnet sfrutta la
vulnerabilità LNK;
Indagini successive provano
che Stuxnet sfrutta ben 5
vulnerabilità dei sistemi
Windows.
16. NUMERI MISTERIOSI
Il valore numerico '1979050'
trovato nel registro di sistema
delle macchine compromesse
da Stuxnet è stato interpretato
come la possibile data di
nascita di uno dei suoi autori:
09/05/1979
E' stato appurato che la data
rilevata all'interno del codice di
Stuxnet '24/6/12' coincide
esattamente con la data del suo
decesso.
19. NUOVE ARMI
Niente missili, né carri
armati o aerei da
combattimento.
Il codice è l'arma più
pericolosa e può
essere sfruttato nei
più svariati modi.
20. LE BOTNET
Noleggio Vendita Utilizzo
DDOS Malware Spam
Furto di Informazioni
Vendita Utilizzo
22. RECLUTARE ZOMBIE
Violazione e compromissione di Esecuzione del malware sulla
siti legittimi; macchina;
SQL Injection Furto di credenziali (silent
mode);
Remote File Inclusion (RFI)
Cross Site Scripting (XSS)
Comunicazione con C&C per il
download di nuovi malware o
nuovo codice da eseguire.
Inclusione di codice nei siti
compromessi;
Largo uso di exploit per
vulnerabilità già note (o 0day).
25. SPYEYE STORY
La prima versione appare nel
2009
Progettato dai Russi
Un costo di 500$ al mercato
nero
Nato per accaparrarsi una fetta
del mercato di ZeuS
Prova ne è l'opzione 'Kill Zeus'
in fondo al builder
26. SPYEYE FEATURES
Formgrabber (Keylogger) A differenza di ZeuS, le prime
versioni di Spyeye sono troppo
Autofill credit card modules rumorose
Daily email backup Il form grabber altro non è che
Encrypted config file un keylogger
Ftp protocol grabber Cattura e comunica al C&C il
contenuto di tutti i campi. Non
Pop3 grabber ha un target ben definito.
Http basic access authorization Non usa una whitelist
grabber
Non è stata prevista la funzione
Zeus killer di webinject
27. L'UNIONE FA LA FORZA
ZeuS + SpyEye
Brute force password guessing
Jabber notification
VNC module
Auto-spreading
Auto-update
Unique stub generator for FUD
and evasion
New screenshot system
28. MALWARE AS A SERVICE
300$ senza modulo VNC
800$ versione completa
Il vero business risiede nel
commercio dei moduli
Personalizzabili
Scritti ad hoc
29. BILLINGHAMMER MODULE
Il botmaster si procura software Dal pannello di controllo
freeware, lo rinomina e lo mette SpyEye è possibile gestire dei
in vendita su apposite task automatici
piattaforme di distribuzione: Il botmaster può generare un
ClickBank task che utilizza i numeri di
carte di credito rubate in modo
FastSpring
che venga eseguita una azione
Esellerate attraverso Internet Explorer e -
SetSystems a intervalli definiti dall'utente - si
avvii automaticamente la
Shareit compilazione dei campi sul sito
del negozio online per fare
acquisti.
30. SPYEYE MONITORING
L'attività di monitoring, durata 3
settimane, è stata effettuata
sfruttando il Feed RSS del sito
MalwareDomainList.com
Filtrando le entry raccolte da
Google Reader il risultato
ottenuto è di 476 siti web che
in 3 settimane hanno distribuito
il malware SpyEye. Una media
di 22,6 siti al giorno.
Tra questi, 196 siti oltre a
distribuire il malware avevano
funzione di C&C
31. SPYEYE: C&C IN 10 MINUTI
Gli ingredienti
Piattaforma LAMP (Linux,
Apache, MySQL, Php)
Il sorgente Php di SpyeEye
C&C
T EP
S
4
32. STEP 1 - DB
All'utente del DB devono essere assegnati tutti i privilegi
42. DALLA TEORIA ALLA PRATICA
Simulazione di una botnet Malware Analysis
e compromissione di una
A Case Study
macchina Windows XP in
ambiente virtuale
Command & Control su Ubuntu
server LAMP
Ambiente di cavia: Windows XP
SP3 su Virtualbox
http://www.securityside.it/docs/malware-analysis.pdf