Tutto quello che avreste voluto sapere sui malware androidGianfranco Tonello
Presentazione dell'architettura di Android:
Dalvik Virtual Machine;
APK: Android PacKage;
Google Play Store e third-party market;
Principali differenze con Microsoft Windows.
Panoramica delle tipologie di malware Android™
Le metodologie di infezione principali, tra cui:
Drive-by Download e le librerie ad malevole;
Repackaging, Android "Master Key" Vulnerability e Update;
Social Engineering e ToS malandrini;
Custom ROM malevole.
Come difendersi, dalla prevenzione dai malware conosciuti a quelli non ancora noti.
Le ultime frontiere del cybercrime e le best practice per proteggersi dagli attacchi informatici: ne abbiamo parlato l'11 giugno a Firenze con esperti e docenti internazionali di sicurezza IT.
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Gianfranco Tonello
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione alle tecniche di difesa
Venezia, 3 ottobre 2014
Architettura Android
· Tipologie e esempi di malware
· Tecnica del Repackaging
· Advertisement in Android
· Test sul market Google Play
· Strumenti di difesa: antivirus e tool diagnostici
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Gianfranco Tonello
Le tematiche trattate in questo workshop hanno spaziato:
- dalle tipologie e tecniche utilizzate per eseguire una frode informatica ai sistemi di autenticazione utilizzati dagli istituti di credito;
- ai trojan banker di windows e a quelli specificatamente progettati per interagire con AndroidTM / Iphone;
- fino alle contromisure da applicare per evitarli.
Argomenti trattati:
- Tecniche utilizzate: Phishing e Trojan Banker
- Autenticazione nell'home banking
- Approccio utilizzato da Trojan Banker
- Tecniche utilizzate dai Trojan Banker: keylogging, screen shot capturing, browser protected storage, redirect verso falsi siti bancari, VNC privata e Socks Proxy con back connect, From Grabbing (MITB), SMS Grabbing, etc.
- Trojan Banker: Zeus, Sinowal, Carberp, SpyEye, etc.
- Zeus: Il primo trojan Banker
- Esempi di Web Inject
- Sinowal: plugin per Google Chrome
- Carberp: come bypassare l'autenticazione via OTP (one time password)
- SpyEye: concorrente di Zeus
- ZitMo: Zeus in the Mobile, come bypassare l'autenticazione a 2 fattori via SMS
- Android Banking App: repacking
- Esempio di repacking dell'app bancaria per Android di Fineco
- iphone: sotto attacco
- Smart TV: sono sicure ? possibili scenari di attacco e loro vulnerabilità
- Maggiori cause di infezioni
- Exploit kit vulnerabilità: Java, Adobe Reader, Adobe Flash Player
- Come mi difendo
- CRAM App Analyser: tool diagnostico per Android
- Conclusioni
Tutto quello che avreste voluto sapere sui malware androidGianfranco Tonello
Presentazione dell'architettura di Android:
Dalvik Virtual Machine;
APK: Android PacKage;
Google Play Store e third-party market;
Principali differenze con Microsoft Windows.
Panoramica delle tipologie di malware Android™
Le metodologie di infezione principali, tra cui:
Drive-by Download e le librerie ad malevole;
Repackaging, Android "Master Key" Vulnerability e Update;
Social Engineering e ToS malandrini;
Custom ROM malevole.
Come difendersi, dalla prevenzione dai malware conosciuti a quelli non ancora noti.
Le ultime frontiere del cybercrime e le best practice per proteggersi dagli attacchi informatici: ne abbiamo parlato l'11 giugno a Firenze con esperti e docenti internazionali di sicurezza IT.
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Gianfranco Tonello
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione alle tecniche di difesa
Venezia, 3 ottobre 2014
Architettura Android
· Tipologie e esempi di malware
· Tecnica del Repackaging
· Advertisement in Android
· Test sul market Google Play
· Strumenti di difesa: antivirus e tool diagnostici
Conto corrente sotto attacco: come l’evoluzione dei Trojan Banker minacciano ...Gianfranco Tonello
Le tematiche trattate in questo workshop hanno spaziato:
- dalle tipologie e tecniche utilizzate per eseguire una frode informatica ai sistemi di autenticazione utilizzati dagli istituti di credito;
- ai trojan banker di windows e a quelli specificatamente progettati per interagire con AndroidTM / Iphone;
- fino alle contromisure da applicare per evitarli.
Argomenti trattati:
- Tecniche utilizzate: Phishing e Trojan Banker
- Autenticazione nell'home banking
- Approccio utilizzato da Trojan Banker
- Tecniche utilizzate dai Trojan Banker: keylogging, screen shot capturing, browser protected storage, redirect verso falsi siti bancari, VNC privata e Socks Proxy con back connect, From Grabbing (MITB), SMS Grabbing, etc.
- Trojan Banker: Zeus, Sinowal, Carberp, SpyEye, etc.
- Zeus: Il primo trojan Banker
- Esempi di Web Inject
- Sinowal: plugin per Google Chrome
- Carberp: come bypassare l'autenticazione via OTP (one time password)
- SpyEye: concorrente di Zeus
- ZitMo: Zeus in the Mobile, come bypassare l'autenticazione a 2 fattori via SMS
- Android Banking App: repacking
- Esempio di repacking dell'app bancaria per Android di Fineco
- iphone: sotto attacco
- Smart TV: sono sicure ? possibili scenari di attacco e loro vulnerabilità
- Maggiori cause di infezioni
- Exploit kit vulnerabilità: Java, Adobe Reader, Adobe Flash Player
- Come mi difendo
- CRAM App Analyser: tool diagnostico per Android
- Conclusioni
La conferenza ha come obiettivo quello di presentare al pubblico lo stato dell’arte dei Crypto-Malware che crittografano i file di dati di PC e SERVER e ne richiedono un riscatto.
Verrà effettuata una panoramica sulla principali famiglie/tipologie di Crypto-Malware che tra il 2015 e l’inizio del 2016 si sono diffusi maggiormente in Italia andando ad analizzare le modalità di diffusione e i danni che hanno provocato.
Verranno presentati i comportamenti adatti ad evitare l’infezione e/o a contrastarla efficacemente.
Si procederà poi a simulare un attacco reale da Crypto-Malware e su cosa accade se il PC non ha un sistema di protezione in grado di segnalare l’attacco e, di seguito a fronte dello stesso attacco cosa sarebbe accaduto se sul PC / SERVER fosse presente un sistema di protezione euristico-comportamentale in grado, quindi, di segnalare e mitigare gli effetti dell’attacco anche da varianti di nuova generazione quindi non ancora identificabili con il metodo delle firme.
BBShield aumenta esponenzialmente il livello di sicurezza della postazione di lavoro dell’utente, permettendogli di riconoscere e bloccare le minacce cui è esposto il proprio sistema operativo. BBShield, effettuando sofisticati controlli, è in grado di rilevare ogni sorta di malware restituendo un riepilogo chiaro e veritiero della sicurezza generale del pc.
BBShield è un’ applicazione end-user e white label, pensata e costruita per soddisfare le esigenze del Cliente Enterprise, frutto della ventennale esperienza del Team Security S2E.
La conferenza ha come obiettivo quello di presentare al pubblico lo stato dell’arte dei Crypto-Malware che crittografano i file di dati di PC e SERVER e ne richiedono un riscatto.
Verrà effettuata una panoramica sulla principali famiglie/tipologie di Crypto-Malware che tra il 2015 e l’inizio del 2016 si sono diffusi maggiormente in Italia andando ad analizzare le modalità di diffusione e i danni che hanno provocato.
Verranno presentati i comportamenti adatti ad evitare l’infezione e/o a contrastarla efficacemente.
Si procederà poi a simulare un attacco reale da Crypto-Malware e su cosa accade se il PC non ha un sistema di protezione in grado di segnalare l’attacco e, di seguito a fronte dello stesso attacco cosa sarebbe accaduto se sul PC / SERVER fosse presente un sistema di protezione euristico-comportamentale in grado, quindi, di segnalare e mitigare gli effetti dell’attacco anche da varianti di nuova generazione quindi non ancora identificabili con il metodo delle firme.
BBShield aumenta esponenzialmente il livello di sicurezza della postazione di lavoro dell’utente, permettendogli di riconoscere e bloccare le minacce cui è esposto il proprio sistema operativo. BBShield, effettuando sofisticati controlli, è in grado di rilevare ogni sorta di malware restituendo un riepilogo chiaro e veritiero della sicurezza generale del pc.
BBShield è un’ applicazione end-user e white label, pensata e costruita per soddisfare le esigenze del Cliente Enterprise, frutto della ventennale esperienza del Team Security S2E.
Come Funziona Il Ransomware LockBit? Decrittazione E Recupero Dati.pdfHelpRansomware
LockBit è un ransomware che rientra nella categoria dei RaaS, ovvero ransomware as a service.
Nello specifico si tratta di un cryptovirus della famiglia di Cryptolocker ideato allo scopo di sottrarre alle vittime i dati sensibili che vengono restituiti solo dopo il pagamento del riscatto.
Malware: the great menaces. Classification and hints for (auto)protection.
http://www.archive.org/details/SicurezzaInformaticaDiBase-Parte2-A.Tringali.OGG
Gli attacchi alla supply chain open source di nuova generazione sono aumentati del 400% nei primi mesi del 2021.
Gli hackers sono sempre più creativi e stanno ricorrendo ad attacchi alla supply-chain di nuova generazione per trasformare i progetti open source in canali di distribuzione di malware.
Perché invadere l'ecosistema open source? La ragione è che i componenti compromessi possono essere immediatamente sfruttati una volta scaricati.
Adottare un approccio secure by design è al momento l'unica arma di difesa. Ne parliamo in questo webinar, in compagnia di Riccardo Bernasconi e Gabriele Gianoglio
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli ent...Gianfranco Tonello
Virus di ieri e virus/malware di oggi… quali pericoli per le aziende, gli enti e i professionisti
Macerata, 22 Giugno 2013
Storia dei computer virus: dalle origini dei virus per Ms-Dos ai malware in ambiente Windows.
Analisi di malware moderni: Trojan Banker, FraudTool, Ransomware, malware dei social network, virus dell'email.
Analisi delle Vulnerabilità e tecniche utilizzate per la diffusione.
Strumenti per il deploy e l'esecuzione di Smart Contract sulla Blockchain Ethereum. Interazione fra Blockchain e Intelligenza Artificiale a livello strutturale e applicativo.
Tratto dall'articolo dell'inserto Nòva - Sole 24 Ore, relazione svolta in classe sulla pirateria informatica e sulla prevenzione dalle tecniche di truffa online.
Ciao Alexa, mi racconti perché non funziona più la mia azienda?Luca_Moroni
Slide Luca Moroni per il Digital Security Festival 2022 sulla sicurezza informatica negli impianti industriali. Mercoledì 2 Novembre 2022
Si scrive Internet of Things “IoT” ma si deve leggere “consapevolezza” presso LEF Lean Experience Factory, Viale Comunali, 22 – Z.I.P.R. 33078 San Vito al Tagliamento (PN)
Malvertising: una minaccia in espansionefantaghost
Negli ultimi dodici mesi le minacce provenienti dal web hanno una nuova piattaforma di diffusione: i circuiti di Web Advertising. Sempre più internet publisher, siano essi blogger o aziende, offrono parte del proprio spazio web per la pubblicazione di inserzioni pubblicitarie al fine di ottenere profitti. Gran parte dei siti web che visitiamo quotidianamente propongono offerte basate sui nostri interessi, le nostre ricerche e le nostre abitudini, permettendo all'inserzionista di essere estremamente efficace. Questa caratteristica viene però sempre più sfruttata anche per distribuire malware e codice malevolo.
Negli ultimi dodici mesi le minacce provenienti dal web hanno una nuova piattaforma di diffusione: i circuiti di Web Advertising. Sempre più internet publisher, siano essi blogger o aziende, offrono parte del proprio spazio web per la pubblicazione di inserzioni pubblicitarie al fine di ottenere profitti. Gran parte dei siti web che visitiamo quotidianamente propongono offerte basate sui nostri interessi, le nostre ricerche e le nostre abitudini, permettendo all’inserzionista di essere estremamente efficace. Questa caratteristica viene però sempre più sfruttata anche per distribuire malware e codice malevolo. Durante l’intervento analizzeremo l’evoluzione del fenomeno, le tecniche utilizzate e le relative contromisure.
6. TARGET
Furto di dati sensibili
Numeri di carte di credito;
Numeri di conto corrente;
Account email;
Identità digitale.
7. BLACK MARKET 2010
Un crescita del 71% Symantec Intelligence
Il 78% del malware con Quarterly Report
funzione di esportazione dati 2009: Il valore delle informazioni rubate
ammonta a 1 trilione di dollari;
Giugno 2010: un volume di affari di 210
milioni di euro;
Il costo medio sostenuto da
un'organizzazione compromessa è
all'incirca di 5 milioni di Euro;
23 milioni di Euro è il costo massimo
sostenuto da una azienda colpita da un
attacco informatico.
8. QUANTO COSTA?
1 Visa / MasterCard ~ 5$ / 25$
1000 Carte di Credito ~ 1500$
1 Identità digitale ~ 3$ - 20$
...e non è difficile ottenerli
9. PREVISIONI 2011
Spesa del 2011 per le aziende statunitensi:
130 miliardi di dollari (perdita in denaro)
10. UN GROSSO AFFARE
388 miliardi di dollari, una cifra superiore al
mercato nero di marijuana, cocaina ed eroina
11. CRIMEWARE KIT
E' sempre più semplice sferrare
attacchi informatici;
Sottrarre informazioni personali;
I costi sono accessibili:
500$-1000$ ZeuS o
SpyEye;
Il costo delle ultime versioni
si aggira intorno ai 1000$;
Il costo dei plugins varia dai
50$ ai 100$.
13. IL CASO STUXNET
Attacco alle Centrali Nucleari.
Nello specifico l'Iran e gli
esperimenti con l'energia
nucleare;
I sistemi SCADA nel mirino
dell'organizzazione;
Soluzioni Siemens per la
gestione dei sistemi industriali;
Windows + WinCC + PCS 7.
14. ELEMENTI IMPORTANTI
La password dei sistemi
SCADA (DB WinCC) era
conosciuta da oltre 2 anni. Fu
pubblicata in un forum e poi
rimossa dal moderatore;
Gli autori erano in possesso di
certificati digitali: Realtek e
JMicron
15. LA STORIA CONTINUA...
Verisign revoca i certificati il 16
luglio;
Il 17 luglio viene rilevata una
nuova versione di Stuxnet con i
certificati rubati a Jmicron;
Dalle prime indagini si scopre
che Stuxnet sfrutta la
vulnerabilità LNK;
Indagini successive provano
che Stuxnet sfrutta ben 5
vulnerabilità dei sistemi
Windows.
16. NUMERI MISTERIOSI
Il valore numerico '1979050'
trovato nel registro di sistema
delle macchine compromesse
da Stuxnet è stato interpretato
come la possibile data di
nascita di uno dei suoi autori:
09/05/1979
E' stato appurato che la data
rilevata all'interno del codice di
Stuxnet '24/6/12' coincide
esattamente con la data del suo
decesso.
19. NUOVE ARMI
Niente missili, né carri
armati o aerei da
combattimento.
Il codice è l'arma più
pericolosa e può
essere sfruttato nei
più svariati modi.
20. LE BOTNET
Noleggio Vendita Utilizzo
DDOS Malware Spam
Furto di Informazioni
Vendita Utilizzo
22. RECLUTARE ZOMBIE
Violazione e compromissione di Esecuzione del malware sulla
siti legittimi; macchina;
SQL Injection Furto di credenziali (silent
mode);
Remote File Inclusion (RFI)
Cross Site Scripting (XSS)
Comunicazione con C&C per il
download di nuovi malware o
nuovo codice da eseguire.
Inclusione di codice nei siti
compromessi;
Largo uso di exploit per
vulnerabilità già note (o 0day).
25. SPYEYE STORY
La prima versione appare nel
2009
Progettato dai Russi
Un costo di 500$ al mercato
nero
Nato per accaparrarsi una fetta
del mercato di ZeuS
Prova ne è l'opzione 'Kill Zeus'
in fondo al builder
26. SPYEYE FEATURES
Formgrabber (Keylogger) A differenza di ZeuS, le prime
versioni di Spyeye sono troppo
Autofill credit card modules rumorose
Daily email backup Il form grabber altro non è che
Encrypted config file un keylogger
Ftp protocol grabber Cattura e comunica al C&C il
contenuto di tutti i campi. Non
Pop3 grabber ha un target ben definito.
Http basic access authorization Non usa una whitelist
grabber
Non è stata prevista la funzione
Zeus killer di webinject
27. L'UNIONE FA LA FORZA
ZeuS + SpyEye
Brute force password guessing
Jabber notification
VNC module
Auto-spreading
Auto-update
Unique stub generator for FUD
and evasion
New screenshot system
28. MALWARE AS A SERVICE
300$ senza modulo VNC
800$ versione completa
Il vero business risiede nel
commercio dei moduli
Personalizzabili
Scritti ad hoc
29. BILLINGHAMMER MODULE
Il botmaster si procura software Dal pannello di controllo
freeware, lo rinomina e lo mette SpyEye è possibile gestire dei
in vendita su apposite task automatici
piattaforme di distribuzione: Il botmaster può generare un
ClickBank task che utilizza i numeri di
carte di credito rubate in modo
FastSpring
che venga eseguita una azione
Esellerate attraverso Internet Explorer e -
SetSystems a intervalli definiti dall'utente - si
avvii automaticamente la
Shareit compilazione dei campi sul sito
del negozio online per fare
acquisti.
30. SPYEYE MONITORING
L'attività di monitoring, durata 3
settimane, è stata effettuata
sfruttando il Feed RSS del sito
MalwareDomainList.com
Filtrando le entry raccolte da
Google Reader il risultato
ottenuto è di 476 siti web che
in 3 settimane hanno distribuito
il malware SpyEye. Una media
di 22,6 siti al giorno.
Tra questi, 196 siti oltre a
distribuire il malware avevano
funzione di C&C
31. SPYEYE: C&C IN 10 MINUTI
Gli ingredienti
Piattaforma LAMP (Linux,
Apache, MySQL, Php)
Il sorgente Php di SpyeEye
C&C
T EP
S
4
32. STEP 1 - DB
All'utente del DB devono essere assegnati tutti i privilegi
42. DALLA TEORIA ALLA PRATICA
Simulazione di una botnet Malware Analysis
e compromissione di una
A Case Study
macchina Windows XP in
ambiente virtuale
Command & Control su Ubuntu
server LAMP
Ambiente di cavia: Windows XP
SP3 su Virtualbox
http://www.securityside.it/docs/malware-analysis.pdf