SlideShare a Scribd company logo

Botnet e nuove forme di malware

Gianni Amato
Gianni Amato

Botnet e nuove forme di malware - Analisi tecnica ed evoluzione del fenomeno

1 of 43
Download to read offline
#DIGICONF 2011 Botnet e nuove forme di malware Analisi tecnica ed evoluzione del fenomeno $author  =  Gianni 'guelfoweb' Amato $site  =  www.securityside.it $blog  = www.gianniamato.it $email  = amato@securityside.it $twitter  =  guelfoweb www.digiconf.net sponsored by www.govforensics.it
SULLA SCENA DEL CRIMINE
MA NON SIAMO IN TV
SCENARI INSOLITI Non solo Banche & Infrastrutture critiche
MALWARE EVOLUTION
TARGET  Furto di dati sensibili  Numeri di carte di credito;  Numeri di conto corrente;  Account email;  Identità digitale.
BLACK MARKET 2010  Un crescita del 71% Symantec Intelligence  Il 78% del malware con Quarterly Report funzione di esportazione dati  2009: Il valore delle informazioni rubate ammonta a 1 trilione di dollari;  Giugno 2010: un volume di affari di 210 milioni di euro;  Il costo medio sostenuto da un'organizzazione compromessa è all'incirca di 5 milioni di Euro;  23 milioni di Euro è il costo massimo sostenuto da una azienda colpita da un attacco informatico.
QUANTO COSTA?  1 Visa / MasterCard ~ 5$ / 25$  1000 Carte di Credito ~ 1500$  1 Identità digitale ~ 3$ - 20$ ...e non è difficile ottenerli
PREVISIONI 2011 Spesa del 2011 per le aziende statunitensi: 130 miliardi di dollari (perdita in denaro)
UN GROSSO AFFARE 388 miliardi di dollari, una cifra superiore al mercato nero di marijuana, cocaina ed eroina
CRIMEWARE KIT  E' sempre più semplice sferrare attacchi informatici;  Sottrarre informazioni personali;  I costi sono accessibili:  500$-1000$ ZeuS o SpyEye;  Il costo delle ultime versioni si aggira intorno ai 1000$;  Il costo dei plugins varia dai 50$ ai 100$.
NUOVI TARGET
IL CASO STUXNET  Attacco alle Centrali Nucleari. Nello specifico l'Iran e gli esperimenti con l'energia nucleare;  I sistemi SCADA nel mirino dell'organizzazione;  Soluzioni Siemens per la gestione dei sistemi industriali;  Windows + WinCC + PCS 7.
ELEMENTI IMPORTANTI  La password dei sistemi SCADA (DB WinCC) era conosciuta da oltre 2 anni. Fu pubblicata in un forum e poi rimossa dal moderatore;  Gli autori erano in possesso di certificati digitali: Realtek e JMicron
LA STORIA CONTINUA...  Verisign revoca i certificati il 16 luglio;  Il 17 luglio viene rilevata una nuova versione di Stuxnet con i certificati rubati a Jmicron;  Dalle prime indagini si scopre che Stuxnet sfrutta la vulnerabilità LNK;  Indagini successive provano che Stuxnet sfrutta ben 5 vulnerabilità dei sistemi Windows.
NUMERI MISTERIOSI  Il valore numerico '1979050' trovato nel registro di sistema delle macchine compromesse da Stuxnet è stato interpretato come la possibile data di nascita di uno dei suoi autori: 09/05/1979  E' stato appurato che la data rilevata all'interno del codice di Stuxnet '24/6/12' coincide esattamente con la data del suo decesso.
...E SUI SISTEMI NON SCADA?
CYBERWAR
NUOVE ARMI  Niente missili, né carri armati o aerei da combattimento.  Il codice è l'arma più pericolosa e può essere sfruttato nei più svariati modi.
LE BOTNET Noleggio Vendita Utilizzo DDOS Malware Spam Furto di Informazioni Vendita Utilizzo
17.000$ AL GIORNO
RECLUTARE ZOMBIE  Violazione e compromissione di  Esecuzione del malware sulla siti legittimi; macchina;  SQL Injection  Furto di credenziali (silent mode);  Remote File Inclusion (RFI)  Cross Site Scripting (XSS)  Comunicazione con C&C per il download di nuovi malware o nuovo codice da eseguire.  Inclusione di codice nei siti compromessi;  Largo uso di exploit per vulnerabilità già note (o 0day).
RISORSE ONLINE
Bank of Nikolai
SPYEYE STORY  La prima versione appare nel 2009  Progettato dai Russi  Un costo di 500$ al mercato nero  Nato per accaparrarsi una fetta del mercato di ZeuS  Prova ne è l'opzione 'Kill Zeus' in fondo al builder
SPYEYE FEATURES  Formgrabber (Keylogger)  A differenza di ZeuS, le prime versioni di Spyeye sono troppo  Autofill credit card modules rumorose  Daily email backup  Il form grabber altro non è che  Encrypted config file un keylogger  Ftp protocol grabber  Cattura e comunica al C&C il contenuto di tutti i campi. Non  Pop3 grabber ha un target ben definito.  Http basic access authorization  Non usa una whitelist grabber  Non è stata prevista la funzione  Zeus killer di webinject
L'UNIONE FA LA FORZA ZeuS + SpyEye  Brute force password guessing  Jabber notification  VNC module  Auto-spreading  Auto-update  Unique stub generator for FUD and evasion  New screenshot system
MALWARE AS A SERVICE  300$ senza modulo VNC  800$ versione completa  Il vero business risiede nel commercio dei moduli  Personalizzabili  Scritti ad hoc
BILLINGHAMMER MODULE  Il botmaster si procura software  Dal pannello di controllo freeware, lo rinomina e lo mette SpyEye è possibile gestire dei in vendita su apposite task automatici piattaforme di distribuzione:  Il botmaster può generare un  ClickBank task che utilizza i numeri di carte di credito rubate in modo  FastSpring che venga eseguita una azione  Esellerate attraverso Internet Explorer e -  SetSystems a intervalli definiti dall'utente - si avvii automaticamente la  Shareit compilazione dei campi sul sito del negozio online per fare acquisti.
SPYEYE MONITORING  L'attività di monitoring, durata 3 settimane, è stata effettuata sfruttando il Feed RSS del sito MalwareDomainList.com  Filtrando le entry raccolte da Google Reader il risultato ottenuto è di 476 siti web che in 3 settimane hanno distribuito il malware SpyEye. Una media di 22,6 siti al giorno.  Tra questi, 196 siti oltre a distribuire il malware avevano funzione di C&C
SPYEYE: C&C IN 10 MINUTI Gli ingredienti  Piattaforma LAMP (Linux, Apache, MySQL, Php)  Il sorgente Php di SpyeEye C&C T EP S 4
STEP 1 - DB All'utente del DB devono essere assegnati tutti i privilegi
STEP 2 – MAIN / CONFIG.PHP
STEP 3 – GRAB / CONFIG.PHP
STEP 4 – IMPORT .SQL FILE
READY! Form Grabber Login Main Login
MAIN PAGE
FORM GRABBER
GET BUILD
TCP STREAM All'avvio il malware contatta il C&C
FORM (LOGIN) GRAB
DALLA TEORIA ALLA PRATICA Simulazione di una botnet Malware Analysis e compromissione di una A Case Study macchina Windows XP in ambiente virtuale  Command & Control su Ubuntu server LAMP  Ambiente di cavia: Windows XP SP3 su Virtualbox http://www.securityside.it/docs/malware-analysis.pdf
DOMANDE?

Recommended

Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case StudyGianni Amato
 
Tutto quello che avreste voluto sapere sui malware android
Tutto quello che avreste voluto sapere sui malware androidTutto quello che avreste voluto sapere sui malware android
Tutto quello che avreste voluto sapere sui malware androidGianfranco Tonello
 
Evento Xenesys - Security Conference
Evento Xenesys - Security ConferenceEvento Xenesys - Security Conference
Evento Xenesys - Security ConferenceXenesys
 
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Gianfranco Tonello
 
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Gianfranco Tonello
 
Malware
MalwareMalware
MalwarePiergiorgio Borgogno
 
Attacchi e difese
Attacchi e difeseAttacchi e difese
Attacchi e difesePiergiorgio Borgogno
 
Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Piergiorgio Borgogno
 

Recommended

Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case StudyGianni Amato
 
Tutto quello che avreste voluto sapere sui malware android
Tutto quello che avreste voluto sapere sui malware androidTutto quello che avreste voluto sapere sui malware android
Tutto quello che avreste voluto sapere sui malware androidGianfranco Tonello
 
Evento Xenesys - Security Conference
Evento Xenesys - Security ConferenceEvento Xenesys - Security Conference
Evento Xenesys - Security ConferenceXenesys
 
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Gianfranco Tonello
 
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Gianfranco Tonello
 
Malware
MalwareMalware
MalwarePiergiorgio Borgogno
 
Attacchi e difese
Attacchi e difeseAttacchi e difese
Attacchi e difesePiergiorgio Borgogno
 
Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Free software & Open Source (FLOSS)
Free software & Open Source (FLOSS)Piergiorgio Borgogno
 
Malware
MalwareMalware
MalwareMichel Rivera
 
Malware
Malware Malware
Malware Yessica1210
 
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDESMAU
 
Seminario-15-04-2015-IT_professions_in_the_anti-malware_industry
Seminario-15-04-2015-IT_professions_in_the_anti-malware_industrySeminario-15-04-2015-IT_professions_in_the_anti-malware_industry
Seminario-15-04-2015-IT_professions_in_the_anti-malware_industryRoberto Sponchioni
 
Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Gianfranco Tonello
 
Algoritmo probabilistico di tipo montecarlo per il list decoding
Algoritmo probabilistico di tipo montecarlo per il list decodingAlgoritmo probabilistico di tipo montecarlo per il list decoding
Algoritmo probabilistico di tipo montecarlo per il list decodingdanielenicassio
 
Amato HackInBo 2013
Amato HackInBo 2013Amato HackInBo 2013
Amato HackInBo 2013Gianni Amato
 
Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockGianni Amato
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amatoGianni Amato
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorniGianni Amato
 
Firma Digitale
Firma DigitaleFirma Digitale
Firma DigitaleGianni Amato
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneGianni Amato
 
ARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and PrioritiesARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and PrioritiesAPNIC
 
Network forensics: un approccio laterale
Network forensics: un approccio lateraleNetwork forensics: un approccio laterale
Network forensics: un approccio lateraleDavide Paltrinieri
 
Introduction to Memory Analysis
Introduction to Memory AnalysisIntroduction to Memory Analysis
Introduction to Memory AnalysisEmil Tan
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Gianni Amato
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012Gianni Amato
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliGianni Amato
 
ATP
ATPATP
ATPLan & Wan Solutions
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Gianni Amato
 
Bbshield
BbshieldBbshield
BbshieldGiorgio Fraiegari
 
virus informatici.pdf
virus informatici.pdfvirus informatici.pdf
virus informatici.pdfSveva7
 

More Related Content

Viewers also liked

2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDESMAU
 
Seminario-15-04-2015-IT_professions_in_the_anti-malware_industry
Seminario-15-04-2015-IT_professions_in_the_anti-malware_industrySeminario-15-04-2015-IT_professions_in_the_anti-malware_industry
Seminario-15-04-2015-IT_professions_in_the_anti-malware_industryRoberto Sponchioni
 
Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Gianfranco Tonello
 
Algoritmo probabilistico di tipo montecarlo per il list decoding
Algoritmo probabilistico di tipo montecarlo per il list decodingAlgoritmo probabilistico di tipo montecarlo per il list decoding
Algoritmo probabilistico di tipo montecarlo per il list decodingdanielenicassio
 
Amato HackInBo 2013
Amato HackInBo 2013Amato HackInBo 2013
Amato HackInBo 2013Gianni Amato
 
Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockGianni Amato
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amatoGianni Amato
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorniGianni Amato
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneGianni Amato
 
ARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and PrioritiesARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and PrioritiesAPNIC
 
Network forensics: un approccio laterale
Network forensics: un approccio lateraleNetwork forensics: un approccio laterale
Network forensics: un approccio lateraleDavide Paltrinieri
 
Introduction to Memory Analysis
Introduction to Memory AnalysisIntroduction to Memory Analysis
Introduction to Memory AnalysisEmil Tan
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Gianni Amato
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012Gianni Amato
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliGianni Amato
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Gianni Amato
 

Viewers also liked (20)

Malware
MalwareMalware
Malware
 
Malware
Malware Malware
Malware
 
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE
2011 -2014: COSA È CAMBIATO SUL WEB PER LE AZIENDE
 
Seminario-15-04-2015-IT_professions_in_the_anti-malware_industry
Seminario-15-04-2015-IT_professions_in_the_anti-malware_industrySeminario-15-04-2015-IT_professions_in_the_anti-malware_industry
Seminario-15-04-2015-IT_professions_in_the_anti-malware_industry
 
Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)Scacco matto ai crytpo malware (milano)
Scacco matto ai crytpo malware (milano)
 
Algoritmo probabilistico di tipo montecarlo per il list decoding
Algoritmo probabilistico di tipo montecarlo per il list decodingAlgoritmo probabilistico di tipo montecarlo per il list decoding
Algoritmo probabilistico di tipo montecarlo per il list decoding
 
Amato HackInBo 2013
Amato HackInBo 2013Amato HackInBo 2013
Amato HackInBo 2013
 
Linuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - ShellshockLinuxday 2014 Amato - Shellshock
Linuxday 2014 Amato - Shellshock
 
Linuxday 2013-amato
Linuxday 2013-amatoLinuxday 2013-amato
Linuxday 2013-amato
 
Web 2.0 e dintorni
Web 2.0 e dintorniWeb 2.0 e dintorni
Web 2.0 e dintorni
 
Firma Digitale
Firma DigitaleFirma Digitale
Firma Digitale
 
Hashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e ValidazioneHashbot.com - Acquisizione e Validazione
Hashbot.com - Acquisizione e Validazione
 
ARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and PrioritiesARM 7: ThaiCERT Operations and Priorities
ARM 7: ThaiCERT Operations and Priorities
 
Network forensics: un approccio laterale
Network forensics: un approccio lateraleNetwork forensics: un approccio laterale
Network forensics: un approccio laterale
 
Introduction to Memory Analysis
Introduction to Memory AnalysisIntroduction to Memory Analysis
Introduction to Memory Analysis
 
Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016Il Ransomware nelle Aziende - Eset Security Days 2016
Il Ransomware nelle Aziende - Eset Security Days 2016
 
Crimini Informatici 2012
Crimini Informatici 2012Crimini Informatici 2012
Crimini Informatici 2012
 
Reati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni DigitaliReati Informatici e Investigazioni Digitali
Reati Informatici e Investigazioni Digitali
 
ATP
ATPATP
ATP
 
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
Operazioni mirate e malware di Stato nell'era della guerra cibernetica e del ...
 

Similar to Botnet e nuove forme di malware

virus informatici.pdf
virus informatici.pdfvirus informatici.pdf
virus informatici.pdfSveva7
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Owasp security summit_2012_milanovs_final
Owasp security summit_2012_milanovs_finalOwasp security summit_2012_milanovs_final
Owasp security summit_2012_milanovs_finalMarco Morana
 
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...Register.it
 
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfCome Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfHelpRansomware
 
Come Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdfCome Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdfHelpRansomware
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Simone Onofri
 
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Gianfranco Tonello
 
Ai & Ethereum the world computer
Ai & Ethereum the world computerAi & Ethereum the world computer
Ai & Ethereum the world computerGioacchino Vaiana
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora
 
Ciao Alexa, mi racconti perché non funziona più la mia azienda?
Ciao Alexa, mi racconti perché non funziona più la mia azienda?Ciao Alexa, mi racconti perché non funziona più la mia azienda?
Ciao Alexa, mi racconti perché non funziona più la mia azienda?Luca_Moroni
 
Malvertising: una minaccia in espansione
Malvertising: una minaccia in espansioneMalvertising: una minaccia in espansione
Malvertising: una minaccia in espansionefantaghost
 
Malvertising: una minaccia in espansione
Malvertising: una minaccia in espansioneMalvertising: una minaccia in espansione
Malvertising: una minaccia in espansionefestival ICT 2016
 

Similar to Botnet e nuove forme di malware (20)

Bbshield
BbshieldBbshield
Bbshield
 
virus informatici.pdf
virus informatici.pdfvirus informatici.pdf
virus informatici.pdf
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
 
Owasp security summit_2012_milanovs_final
Owasp security summit_2012_milanovs_finalOwasp security summit_2012_milanovs_final
Owasp security summit_2012_milanovs_final
 
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
 
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfCome Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdf
 
Come Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdfCome Funziona Il Ransomware LockBit.pdf
Come Funziona Il Ransomware LockBit.pdf
 
Sicurezza - Il Malware
Sicurezza - Il MalwareSicurezza - Il Malware
Sicurezza - Il Malware
 
Come proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informaticiCome proteggersi dagli attacchi informatici
Come proteggersi dagli attacchi informatici
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days
 
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...
 
Virus
VirusVirus
Virus
 
Ai & Ethereum the world computer
Ai & Ethereum the world computerAi & Ethereum the world computer
Ai & Ethereum the world computer
 
L'assedio nella rete
L'assedio nella reteL'assedio nella rete
L'assedio nella rete
 
Matteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrillaMatteo Flora: Cyber Warfare e CyberGuerrilla
Matteo Flora: Cyber Warfare e CyberGuerrilla
 
Ciao Alexa, mi racconti perché non funziona più la mia azienda?
Ciao Alexa, mi racconti perché non funziona più la mia azienda?Ciao Alexa, mi racconti perché non funziona più la mia azienda?
Ciao Alexa, mi racconti perché non funziona più la mia azienda?
 
Malvertising: una minaccia in espansione
Malvertising: una minaccia in espansioneMalvertising: una minaccia in espansione
Malvertising: una minaccia in espansione
 
Malvertising: una minaccia in espansione
Malvertising: una minaccia in espansioneMalvertising: una minaccia in espansione
Malvertising: una minaccia in espansione
 
virus informatici.pptx
virus informatici.pptxvirus informatici.pptx
virus informatici.pptx
 
Cheope
CheopeCheope
Cheope
 

Botnet e nuove forme di malware

  • 1. #DIGICONF 2011 Botnet e nuove forme di malware Analisi tecnica ed evoluzione del fenomeno $author  =  Gianni 'guelfoweb' Amato $site  =  www.securityside.it $blog  = www.gianniamato.it $email  = amato@securityside.it $twitter  =  guelfoweb www.digiconf.net sponsored by www.govforensics.it
  • 2. SULLA SCENA DEL CRIMINE
  • 3. MA NON SIAMO IN TV
  • 4. SCENARI INSOLITI Non solo Banche & Infrastrutture critiche
  • 6. TARGET  Furto di dati sensibili  Numeri di carte di credito;  Numeri di conto corrente;  Account email;  Identità digitale.
  • 7. BLACK MARKET 2010  Un crescita del 71% Symantec Intelligence  Il 78% del malware con Quarterly Report funzione di esportazione dati  2009: Il valore delle informazioni rubate ammonta a 1 trilione di dollari;  Giugno 2010: un volume di affari di 210 milioni di euro;  Il costo medio sostenuto da un'organizzazione compromessa è all'incirca di 5 milioni di Euro;  23 milioni di Euro è il costo massimo sostenuto da una azienda colpita da un attacco informatico.
  • 8. QUANTO COSTA?  1 Visa / MasterCard ~ 5$ / 25$  1000 Carte di Credito ~ 1500$  1 Identità digitale ~ 3$ - 20$ ...e non è difficile ottenerli
  • 9. PREVISIONI 2011 Spesa del 2011 per le aziende statunitensi: 130 miliardi di dollari (perdita in denaro)
  • 10. UN GROSSO AFFARE 388 miliardi di dollari, una cifra superiore al mercato nero di marijuana, cocaina ed eroina
  • 11. CRIMEWARE KIT  E' sempre più semplice sferrare attacchi informatici;  Sottrarre informazioni personali;  I costi sono accessibili:  500$-1000$ ZeuS o SpyEye;  Il costo delle ultime versioni si aggira intorno ai 1000$;  Il costo dei plugins varia dai 50$ ai 100$.
  • 13. IL CASO STUXNET  Attacco alle Centrali Nucleari. Nello specifico l'Iran e gli esperimenti con l'energia nucleare;  I sistemi SCADA nel mirino dell'organizzazione;  Soluzioni Siemens per la gestione dei sistemi industriali;  Windows + WinCC + PCS 7.
  • 14. ELEMENTI IMPORTANTI  La password dei sistemi SCADA (DB WinCC) era conosciuta da oltre 2 anni. Fu pubblicata in un forum e poi rimossa dal moderatore;  Gli autori erano in possesso di certificati digitali: Realtek e JMicron
  • 15. LA STORIA CONTINUA...  Verisign revoca i certificati il 16 luglio;  Il 17 luglio viene rilevata una nuova versione di Stuxnet con i certificati rubati a Jmicron;  Dalle prime indagini si scopre che Stuxnet sfrutta la vulnerabilità LNK;  Indagini successive provano che Stuxnet sfrutta ben 5 vulnerabilità dei sistemi Windows.
  • 16. NUMERI MISTERIOSI  Il valore numerico '1979050' trovato nel registro di sistema delle macchine compromesse da Stuxnet è stato interpretato come la possibile data di nascita di uno dei suoi autori: 09/05/1979  E' stato appurato che la data rilevata all'interno del codice di Stuxnet '24/6/12' coincide esattamente con la data del suo decesso.
  • 17. ...E SUI SISTEMI NON SCADA?
  • 19. NUOVE ARMI  Niente missili, né carri armati o aerei da combattimento.  Il codice è l'arma più pericolosa e può essere sfruttato nei più svariati modi.
  • 20. LE BOTNET Noleggio Vendita Utilizzo DDOS Malware Spam Furto di Informazioni Vendita Utilizzo
  • 22. RECLUTARE ZOMBIE  Violazione e compromissione di  Esecuzione del malware sulla siti legittimi; macchina;  SQL Injection  Furto di credenziali (silent mode);  Remote File Inclusion (RFI)  Cross Site Scripting (XSS)  Comunicazione con C&C per il download di nuovi malware o nuovo codice da eseguire.  Inclusione di codice nei siti compromessi;  Largo uso di exploit per vulnerabilità già note (o 0day).
  • 25. SPYEYE STORY  La prima versione appare nel 2009  Progettato dai Russi  Un costo di 500$ al mercato nero  Nato per accaparrarsi una fetta del mercato di ZeuS  Prova ne è l'opzione 'Kill Zeus' in fondo al builder
  • 26. SPYEYE FEATURES  Formgrabber (Keylogger)  A differenza di ZeuS, le prime versioni di Spyeye sono troppo  Autofill credit card modules rumorose  Daily email backup  Il form grabber altro non è che  Encrypted config file un keylogger  Ftp protocol grabber  Cattura e comunica al C&C il contenuto di tutti i campi. Non  Pop3 grabber ha un target ben definito.  Http basic access authorization  Non usa una whitelist grabber  Non è stata prevista la funzione  Zeus killer di webinject
  • 27. L'UNIONE FA LA FORZA ZeuS + SpyEye  Brute force password guessing  Jabber notification  VNC module  Auto-spreading  Auto-update  Unique stub generator for FUD and evasion  New screenshot system
  • 28. MALWARE AS A SERVICE  300$ senza modulo VNC  800$ versione completa  Il vero business risiede nel commercio dei moduli  Personalizzabili  Scritti ad hoc
  • 29. BILLINGHAMMER MODULE  Il botmaster si procura software  Dal pannello di controllo freeware, lo rinomina e lo mette SpyEye è possibile gestire dei in vendita su apposite task automatici piattaforme di distribuzione:  Il botmaster può generare un  ClickBank task che utilizza i numeri di carte di credito rubate in modo  FastSpring che venga eseguita una azione  Esellerate attraverso Internet Explorer e -  SetSystems a intervalli definiti dall'utente - si avvii automaticamente la  Shareit compilazione dei campi sul sito del negozio online per fare acquisti.
  • 30. SPYEYE MONITORING  L'attività di monitoring, durata 3 settimane, è stata effettuata sfruttando il Feed RSS del sito MalwareDomainList.com  Filtrando le entry raccolte da Google Reader il risultato ottenuto è di 476 siti web che in 3 settimane hanno distribuito il malware SpyEye. Una media di 22,6 siti al giorno.  Tra questi, 196 siti oltre a distribuire il malware avevano funzione di C&C
  • 31. SPYEYE: C&C IN 10 MINUTI Gli ingredienti  Piattaforma LAMP (Linux, Apache, MySQL, Php)  Il sorgente Php di SpyeEye C&C T EP S 4
  • 32. STEP 1 - DB All'utente del DB devono essere assegnati tutti i privilegi
  • 33. STEP 2 – MAIN / CONFIG.PHP
  • 34. STEP 3 – GRAB / CONFIG.PHP
  • 35. STEP 4 – IMPORT .SQL FILE
  • 40. TCP STREAM All'avvio il malware contatta il C&C
  • 42. DALLA TEORIA ALLA PRATICA Simulazione di una botnet Malware Analysis e compromissione di una A Case Study macchina Windows XP in ambiente virtuale  Command & Control su Ubuntu server LAMP  Ambiente di cavia: Windows XP SP3 su Virtualbox http://www.securityside.it/docs/malware-analysis.pdf