SlideShare a Scribd company logo

Malvertising: una minaccia in espansione

Download as PPTX, PDF
fantaghost
fantaghost

Negli ultimi dodici mesi le minacce provenienti dal web hanno una nuova piattaforma di diffusione: i circuiti di Web Advertising. Sempre più internet publisher, siano essi blogger o aziende, offrono parte del proprio spazio web per la pubblicazione di inserzioni pubblicitarie al fine di ottenere profitti. Gran parte dei siti web che visitiamo quotidianamente propongono offerte basate sui nostri interessi, le nostre ricerche e le nostre abitudini, permettendo all'inserzionista di essere estremamente efficace. Questa caratteristica viene però sempre più sfruttata anche per distribuire malware e codice malevolo.

Internet
1 of 17
Malvertising: una minaccia in espansione Giacomo Milani (giacomo83m@gmail.com) Andrea Minigozzi (andrea@fantaghost.com)
$whoami (Giacomo Milani) ictforum14$ finger –-info giacomo83m@gmail.com Giacomo Milani (giacomo83m) Home: Finmeccanica G-CERT Manager Details: Responsabile CERT Finmeccanica, inizia nel 2002 la sua carriera professionale nella sicurezza informatica con lo sviluppo di network analyzer in ambiente Linux/FreeBSD seguita da consulenze come libero professionista svolgendo attività di Vulnerability Assessment e Penetration Testing . Attualmente si occupa di Incident Management e Malware Analysis. Membro ISC2 Italy Chapter
$whoami (Andrea Minigozzi) ictforum14$ finger –-info andrea@fantaghost.com Andrea Minigozzi (FantaGhost) Home: AgustaWestland IT Security Analyst Details: Approccia il mondo delle reti con un Videotel nel 1988, dopo aver speso ore sul suo fido Sinclair ZX Spectrum 48K. Dal 1999 si occupa di ICT Security. Attualmente certificato CISSP ed OPST ha competenze in ambito SIEM, Malware Analysis, Incident Response, Computer and Network Forensics, PenTesting e Vulnerability Assessment. E’ contribution writer per la sezione Ventuno di VareseNews ed ha sviluppato il tool open-source FGscanner. Membro Clusit ed ISC2 Italy Chapter.
Agenda Definizione e contesto I numeri dell’advertising su web Timeline Attacchi Le prime reazioni Metodologie di attacco ai Publisher Impatti e Conseguenze In-App ADS exploiting Difesa e Prevenzione - Inserzionisti Difesa e Prevenzione – Corporate Difesa e Prevenzione – Utenti Domande / Risposte - Contatti
Il Malvertising, unione delle parole inglesi malware e advertising, consiste nell’inserire codice malevolo all’interno di legittimi circuiti di pubblicità online. Fonte: http://www.anti-malvertising.com/ Malvertsing: definizione
Numeri di visite ai circuiti web advertising riferiti all’anno 2012 Adblade 209.3 milioni Google 156.1 milioni Facebook 148.3 milioni Meebo 136.8 milioni Vibrant media 136.1 milioni Undertone 125.2 milioni Ask Network 90 milioni Kontera 75.5 milioni Click Booth 43 milioni AOL 40.8 milioni LinkedIn 39.4 milioni Fonte: http://www.quantcast.com Web Advertising: i numeri The ads revenues involved are significant, with the Bloomberg newswire noting that online advertisers spent £25.5 billion (US$ 42.8 billion) in the US last year (2013)– exceeding the total for broadcast TV. (SC Magazine UK)
Timeline attacchi (primo semestre 2014)
Timeline attacchi (secondo semestre 2014) 23 Giugno 2014 Syrian Electronic 16 Giugno 2014 deviantART Army 3 Luglio 2014 Bitcoin Phising ADS 6 Agosto 2014 New Malvertising Attack 23 Settembre 2014 Malvertising Is 9 Time Bigger 29 Settembre 2014 Google Doubleclick
Le prime azioni di contrasto
Metodologie di attacco ai Publisher Gli attaccanti usano diverse tecniche per aggiungere contenuti malevoli negli ads di siti legittimi: ACQUISTO DIRETTO (a volte con carte di credito rubate) CIRCUITI DI SCAMBIO ADS VULNERABILITA’ TECNOLOGICHE Fonte: http://resources.infosecinstitute.com/malvertising-growing-threat-start-2014/
Vettori di infezione Una volta compromesso il circuito di Ads, gli attaccanti si concentrano sugli utenti, utilizzando due vettori: Hacking Viene compromesso il circuito della distribuzione advertising, tramite un attacco diretto. Una volta preso il controllo dell’infrastruttura si trasforma un contenuto di un inserzionista legittimo inserendo un codice malevolo quale frame, redirect della pagina, utilizzando exploit kit che sfruttano vulnerabilità di plugin ad esempio java/flash. Social Engineering Utilizzando una falsa identità ci si registra ad un circuito pubblicitario ed, in prima fase, si distribuiscono contenuti validi. Una volta ottenuta una buona reputazione, si cambiano i contenuti con quelli malevoli.
Gli impatti Reputazione dei siti web Anche i siti considerati sicuri possono diventare veicolo di infezione Targeting Attack E’ possibile selezionare accuratamente i bersagli della campagna di diffusione malware sfruttando la capacità intrinseca di profiling dei circuiti ADS Diffusione Non è più l’utente che naviga verso il malware ma viceversa. Il malware si troverà sui siti che l’utente bersaglio visita normalmente Invisibilità L’attaccante non è direttamente esposto verso il bersaglio. Spesso non è visibile nemmeno al circuito ADS stesso
In-App ADS Exploiting (CVE-2014-6041) La maggior parte degli ADS contenuti nelle app sono visualizzati tramite l’interfaccia WebView di Android. Ad inizio 2014 è stata scoperta una vulnerabilità grave nel codice di questa interfaccia che può essere sfruttata tramite Malvertising. A distanza di mesi il 73% dei dispositivi Android in circolazione risulta ancora vulnerabile (Android < 4.2)...GoogleGlass compresi ! Google ha introdotto nei dispositivi Android la conferma del click per In-App ADS
Difesa e Prevenzione - Utenti Aggiornare il Browser e Sistema Operativo Installare un plugin per il blocco degli ADS (per esempio ADBlock Plus, noscript, ecc...) Utilizzare ed aggiornare il proprio antivirus Segnalare comportamenti anomali: http://www.google.com/safebrowsing/report_badware/ Non cliccare sulle inserzioni pubblicitarie se non strettamente necessario
Difesa e Prevenzione - Corporate alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Malvertising Redirection to Exploit Kit"; flow:established,to_server; content:"/ajs.php?zoneid="; http_uri; fast_pattern:only; pcre:"//ajs.php?zoneid=[0-9]+/U"; classtype:trojan-activity; sid:xxxx; rev:1;) alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Malvertising Redirection to Exploit Kit"; flow:established,to_server; content:"/afr.php?zoneid="; http_uri; fast_pattern:only; pcre:"//afr.php?zoneid=[0-9]+/U"; classtype:trojan-activity; sid:xxxx; rev:1;) http://permalink.gmane.org/gmane.comp.security.ids.snort.emerging-sigs/21992 Inserire la categoria «Advertising» nei sistemi di Web Filtering / Proxy Browser Sandboxing / Browser Virtualization
Difesa e Prevenzione - Inserzionisti Porre particolare attenzione ai partner commerciali per i quali si pubblicano contenuti. Si consiglia di effettuare un’attività di background checking sul sito Anti- Malvertising che censisce le realtà coinvolte in passato su questo tipo di incidenti: http://www.anti-malvertising.com/ResearchEngine Verificare i domini utilizzati attraverso il servizio WHOIS, guardando come e dove sono registrati Effettuare attività di formazione per educare l’utenza e i tecnici a riconoscere l’attacco in modo da per potere intervenire con tempestività. Adottare strategie commerciali che incentivano l’acquisto di grandi volumi di spazio pubblicitario rispetto ai piccoli volumi.
Domande e Risposte - Contatti Giacomo Milani (giacomo83m) giacomo83m@gmail.com Andrea Minigozzi (FantaGhost) andrea@fantaghost.com http://www.festivalict.com/i-relatori-2014/

Recommended

EUERY Mongoose Web Security Scanner (ITA)
EUERY Mongoose Web Security Scanner (ITA)EUERY Mongoose Web Security Scanner (ITA)
EUERY Mongoose Web Security Scanner (ITA)
Euery
 
Negative Seo & Sicurezza Seo
Negative Seo & Sicurezza SeoNegative Seo & Sicurezza Seo
Negative Seo & Sicurezza Seo
E. Luca Bove
 
SE2016 Android Denis Zhuchinski "Ways of enhancing application security"
SE2016 Android Denis Zhuchinski "Ways of enhancing application security"SE2016 Android Denis Zhuchinski "Ways of enhancing application security"
SE2016 Android Denis Zhuchinski "Ways of enhancing application security"
Inhacking
 
Bryan_Resume_June2015 (1)
Bryan_Resume_June2015 (1)Bryan_Resume_June2015 (1)
Bryan_Resume_June2015 (1)
John Bryan Bacalso
 
Crowdsourcing_Dissertation
Crowdsourcing_DissertationCrowdsourcing_Dissertation
Crowdsourcing_Dissertation
Eitai Ben-Natan
 
Kevin O'Dell - Fraud and event detection using the Enterprise Data Hub
Kevin O'Dell - Fraud and event detection using the Enterprise Data HubKevin O'Dell - Fraud and event detection using the Enterprise Data Hub
Kevin O'Dell - Fraud and event detection using the Enterprise Data Hub
huguk
 
Smart Technologies abilita le comuncazioni 4D. Scopri la potenza della Collab...
Smart Technologies abilita le comuncazioni 4D. Scopri la potenza della Collab...Smart Technologies abilita le comuncazioni 4D. Scopri la potenza della Collab...
Smart Technologies abilita le comuncazioni 4D. Scopri la potenza della Collab...
festival ICT 2016
 
Earley Executive Roundtable Using Business Analytics to Drive Higher ROI and ...
Earley Executive Roundtable Using Business Analytics to Drive Higher ROI and ...Earley Executive Roundtable Using Business Analytics to Drive Higher ROI and ...
Earley Executive Roundtable Using Business Analytics to Drive Higher ROI and ...
Earley Information Science
 

Recommended

EUERY Mongoose Web Security Scanner (ITA)
EUERY Mongoose Web Security Scanner (ITA)EUERY Mongoose Web Security Scanner (ITA)
EUERY Mongoose Web Security Scanner (ITA)
Euery
 
Negative Seo & Sicurezza Seo
Negative Seo & Sicurezza SeoNegative Seo & Sicurezza Seo
Negative Seo & Sicurezza Seo
E. Luca Bove
 
SE2016 Android Denis Zhuchinski "Ways of enhancing application security"
SE2016 Android Denis Zhuchinski "Ways of enhancing application security"SE2016 Android Denis Zhuchinski "Ways of enhancing application security"
SE2016 Android Denis Zhuchinski "Ways of enhancing application security"
Inhacking
 
Bryan_Resume_June2015 (1)
Bryan_Resume_June2015 (1)Bryan_Resume_June2015 (1)
Bryan_Resume_June2015 (1)
John Bryan Bacalso
 
Crowdsourcing_Dissertation
Crowdsourcing_DissertationCrowdsourcing_Dissertation
Crowdsourcing_Dissertation
Eitai Ben-Natan
 
Kevin O'Dell - Fraud and event detection using the Enterprise Data Hub
Kevin O'Dell - Fraud and event detection using the Enterprise Data HubKevin O'Dell - Fraud and event detection using the Enterprise Data Hub
Kevin O'Dell - Fraud and event detection using the Enterprise Data Hub
huguk
 
Smart Technologies abilita le comuncazioni 4D. Scopri la potenza della Collab...
Smart Technologies abilita le comuncazioni 4D. Scopri la potenza della Collab...Smart Technologies abilita le comuncazioni 4D. Scopri la potenza della Collab...
Smart Technologies abilita le comuncazioni 4D. Scopri la potenza della Collab...
festival ICT 2016
 
Earley Executive Roundtable Using Business Analytics to Drive Higher ROI and ...
Earley Executive Roundtable Using Business Analytics to Drive Higher ROI and ...Earley Executive Roundtable Using Business Analytics to Drive Higher ROI and ...
Earley Executive Roundtable Using Business Analytics to Drive Higher ROI and ...
Earley Information Science
 
Print from your Cell Phone & Tablet
Print from your Cell Phone & TabletPrint from your Cell Phone & Tablet
Print from your Cell Phone & Tablet
Ian Grant-Smith
 
Hit ball
Hit ballHit ball
Hit ballgiropasco
 
Ag id bari 21 ottobre 2015 samaritani
Ag id bari 21 ottobre 2015 samaritaniAg id bari 21 ottobre 2015 samaritani
Ag id bari 21 ottobre 2015 samaritani
Redazione InnovaPuglia
 
certificate working at heights
certificate working at heightscertificate working at heights
certificate working at heights
Faisal Hussain
 
Business Analytics per il Finance: stato dell’arte, esigenze emergenti e nuov...
Business Analytics per il Finance: stato dell’arte, esigenze emergenti e nuov...Business Analytics per il Finance: stato dell’arte, esigenze emergenti e nuov...
Business Analytics per il Finance: stato dell’arte, esigenze emergenti e nuov...
Fondazione CUOA
 
10 Secrets to Recruiting the Brightest Grads & Millennials
10 Secrets to Recruiting the Brightest Grads & Millennials10 Secrets to Recruiting the Brightest Grads & Millennials
10 Secrets to Recruiting the Brightest Grads & Millennials
Glassdoor
 
Harvesting insights from social big data at Dell
Harvesting insights from social big data at DellHarvesting insights from social big data at Dell
Harvesting insights from social big data at Dell
George Sadler
 
Bis 375 final exam
Bis 375 final examBis 375 final exam
Bis 375 final exam
hankocoolla1980
 
2013 Whirlpool Corporation Innovation Report
2013 Whirlpool Corporation Innovation Report2013 Whirlpool Corporation Innovation Report
2013 Whirlpool Corporation Innovation Report
Own Company
 
Dell | Your Path – Our Platform & Great Partnerships
Dell | Your Path – Our Platform & Great PartnershipsDell | Your Path – Our Platform & Great Partnerships
Dell | Your Path – Our Platform & Great Partnerships
DataWorks Summit
 
Giovanni DeCarli > Competenze ed esperienze
Giovanni DeCarli > Competenze ed esperienzeGiovanni DeCarli > Competenze ed esperienze
Giovanni DeCarli > Competenze ed esperienzeGiovanni DeCarli
 
Rome Cert
Rome CertRome Cert
Rome Certguestc6bded1
 
Experience ImagineSolar: Hands-on Training at our Solar Lab | Online Solar & ...
Experience ImagineSolar: Hands-on Training at our Solar Lab | Online Solar & ...Experience ImagineSolar: Hands-on Training at our Solar Lab | Online Solar & ...
Experience ImagineSolar: Hands-on Training at our Solar Lab | Online Solar & ...
Alisha Cloud
 
compellent storage
compellent storagecompellent storage
compellent storage
Jeevan Chandran
 
Dell Dcse Transcript 2010
Dell Dcse Transcript 2010Dell Dcse Transcript 2010
Dell Dcse Transcript 2010
erovillos
 
Kaplan & Haenlein - The early bird catches the news nine things you should kn...
Kaplan & Haenlein - The early bird catches the news nine things you should kn...Kaplan & Haenlein - The early bird catches the news nine things you should kn...
Kaplan & Haenlein - The early bird catches the news nine things you should kn...
ESCP Exchange
 
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Gianfranco Tonello
 
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
AndreaPausig
 
Attacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionanoAttacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionano
SiteGround.com
 
Evento Xenesys - Security Conference
Evento Xenesys - Security ConferenceEvento Xenesys - Security Conference
Evento Xenesys - Security Conference
Xenesys
 
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
Register.it
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 

More Related Content

Viewers also liked

Print from your Cell Phone & Tablet
Print from your Cell Phone & TabletPrint from your Cell Phone & Tablet
Print from your Cell Phone & Tablet
Ian Grant-Smith
 
Ag id bari 21 ottobre 2015 samaritani
Ag id bari 21 ottobre 2015 samaritaniAg id bari 21 ottobre 2015 samaritani
Ag id bari 21 ottobre 2015 samaritani
Redazione InnovaPuglia
 
certificate working at heights
certificate working at heightscertificate working at heights
certificate working at heights
Faisal Hussain
 
Business Analytics per il Finance: stato dell’arte, esigenze emergenti e nuov...
Business Analytics per il Finance: stato dell’arte, esigenze emergenti e nuov...Business Analytics per il Finance: stato dell’arte, esigenze emergenti e nuov...
Business Analytics per il Finance: stato dell’arte, esigenze emergenti e nuov...
Fondazione CUOA
 
10 Secrets to Recruiting the Brightest Grads & Millennials
10 Secrets to Recruiting the Brightest Grads & Millennials10 Secrets to Recruiting the Brightest Grads & Millennials
10 Secrets to Recruiting the Brightest Grads & Millennials
Glassdoor
 
Harvesting insights from social big data at Dell
Harvesting insights from social big data at DellHarvesting insights from social big data at Dell
Harvesting insights from social big data at Dell
George Sadler
 
Bis 375 final exam
Bis 375 final examBis 375 final exam
Bis 375 final exam
hankocoolla1980
 
2013 Whirlpool Corporation Innovation Report
2013 Whirlpool Corporation Innovation Report2013 Whirlpool Corporation Innovation Report
2013 Whirlpool Corporation Innovation Report
Own Company
 
Dell | Your Path – Our Platform & Great Partnerships
Dell | Your Path – Our Platform & Great PartnershipsDell | Your Path – Our Platform & Great Partnerships
Dell | Your Path – Our Platform & Great Partnerships
DataWorks Summit
 
Giovanni DeCarli > Competenze ed esperienze
Giovanni DeCarli > Competenze ed esperienzeGiovanni DeCarli > Competenze ed esperienze
Giovanni DeCarli > Competenze ed esperienzeGiovanni DeCarli
 
Experience ImagineSolar: Hands-on Training at our Solar Lab | Online Solar & ...
Experience ImagineSolar: Hands-on Training at our Solar Lab | Online Solar & ...Experience ImagineSolar: Hands-on Training at our Solar Lab | Online Solar & ...
Experience ImagineSolar: Hands-on Training at our Solar Lab | Online Solar & ...
Alisha Cloud
 
compellent storage
compellent storagecompellent storage
compellent storage
Jeevan Chandran
 
Dell Dcse Transcript 2010
Dell Dcse Transcript 2010Dell Dcse Transcript 2010
Dell Dcse Transcript 2010
erovillos
 
Kaplan & Haenlein - The early bird catches the news nine things you should kn...
Kaplan & Haenlein - The early bird catches the news nine things you should kn...Kaplan & Haenlein - The early bird catches the news nine things you should kn...
Kaplan & Haenlein - The early bird catches the news nine things you should kn...
ESCP Exchange
 

Viewers also liked (16)

Print from your Cell Phone & Tablet
Print from your Cell Phone & TabletPrint from your Cell Phone & Tablet
Print from your Cell Phone & Tablet
 
Hit ball
Hit ballHit ball
Hit ball
 
Ag id bari 21 ottobre 2015 samaritani
Ag id bari 21 ottobre 2015 samaritaniAg id bari 21 ottobre 2015 samaritani
Ag id bari 21 ottobre 2015 samaritani
 
certificate working at heights
certificate working at heightscertificate working at heights
certificate working at heights
 
Business Analytics per il Finance: stato dell’arte, esigenze emergenti e nuov...
Business Analytics per il Finance: stato dell’arte, esigenze emergenti e nuov...Business Analytics per il Finance: stato dell’arte, esigenze emergenti e nuov...
Business Analytics per il Finance: stato dell’arte, esigenze emergenti e nuov...
 
10 Secrets to Recruiting the Brightest Grads & Millennials
10 Secrets to Recruiting the Brightest Grads & Millennials10 Secrets to Recruiting the Brightest Grads & Millennials
10 Secrets to Recruiting the Brightest Grads & Millennials
 
Harvesting insights from social big data at Dell
Harvesting insights from social big data at DellHarvesting insights from social big data at Dell
Harvesting insights from social big data at Dell
 
Bis 375 final exam
Bis 375 final examBis 375 final exam
Bis 375 final exam
 
2013 Whirlpool Corporation Innovation Report
2013 Whirlpool Corporation Innovation Report2013 Whirlpool Corporation Innovation Report
2013 Whirlpool Corporation Innovation Report
 
Dell | Your Path – Our Platform & Great Partnerships
Dell | Your Path – Our Platform & Great PartnershipsDell | Your Path – Our Platform & Great Partnerships
Dell | Your Path – Our Platform & Great Partnerships
 
Giovanni DeCarli > Competenze ed esperienze
Giovanni DeCarli > Competenze ed esperienzeGiovanni DeCarli > Competenze ed esperienze
Giovanni DeCarli > Competenze ed esperienze
 
Rome Cert
Rome CertRome Cert
Rome Cert
 
Experience ImagineSolar: Hands-on Training at our Solar Lab | Online Solar & ...
Experience ImagineSolar: Hands-on Training at our Solar Lab | Online Solar & ...Experience ImagineSolar: Hands-on Training at our Solar Lab | Online Solar & ...
Experience ImagineSolar: Hands-on Training at our Solar Lab | Online Solar & ...
 
compellent storage
compellent storagecompellent storage
compellent storage
 
Dell Dcse Transcript 2010
Dell Dcse Transcript 2010Dell Dcse Transcript 2010
Dell Dcse Transcript 2010
 
Kaplan & Haenlein - The early bird catches the news nine things you should kn...
Kaplan & Haenlein - The early bird catches the news nine things you should kn...Kaplan & Haenlein - The early bird catches the news nine things you should kn...
Kaplan & Haenlein - The early bird catches the news nine things you should kn...
 

Similar to Malvertising: una minaccia in espansione

Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Gianfranco Tonello
 
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
AndreaPausig
 
Attacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionanoAttacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionano
SiteGround.com
 
Evento Xenesys - Security Conference
Evento Xenesys - Security ConferenceEvento Xenesys - Security Conference
Evento Xenesys - Security Conference
Xenesys
 
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
Register.it
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoMarco Ferrigno
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
Gianni Amato
 
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Gabriele Formisano
 
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza WordpressWebreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
guaio2013
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case StudyGianni Amato
 
Mobile Application Penetration Testing Giordano Giammaria
Mobile Application Penetration Testing Giordano GiammariaMobile Application Penetration Testing Giordano Giammaria
Mobile Application Penetration Testing Giordano Giammaria
Giammaria Giordano
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
Pierguido Iezzi
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensive
iDIALOGHI
 
WordCamp Bologna 2018 - Paolo Dolci
WordCamp Bologna 2018 - Paolo DolciWordCamp Bologna 2018 - Paolo Dolci
WordCamp Bologna 2018 - Paolo Dolci
WpSEO.it
 
Meetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriMeetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofri
Simone Onofri
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017
SMAU
 
Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015
Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015
Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015
festival ICT 2016
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days
Simone Onofri
 
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Andrea Patron
 
Le risposte alle vostre domande. Corso sulla sicurezza del sito
Le risposte alle vostre domande. Corso sulla sicurezza del sitoLe risposte alle vostre domande. Corso sulla sicurezza del sito
Le risposte alle vostre domande. Corso sulla sicurezza del sito
Register.it
 

Similar to Malvertising: una minaccia in espansione (20)

Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
Evoluzione dei malware in ambiente Android: dalle metodologie di infezione al...
 
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
Extended Summary Of "MadDroid: Characterizing and Detecting Devious Ad Conten...
 
Attacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionanoAttacchi informatici: cosa sono e come funzionano
Attacchi informatici: cosa sono e come funzionano
 
Evento Xenesys - Security Conference
Evento Xenesys - Security ConferenceEvento Xenesys - Security Conference
Evento Xenesys - Security Conference
 
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
SiteLock: Malware, virus e spyware: scopri come proteggere il tuo sito dalle ...
 
La complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppoLa complessità del malware: analisi strutturale ed ambienti di sviluppo
La complessità del malware: analisi strutturale ed ambienti di sviluppo
 
Botnet e nuove forme di malware
Botnet e nuove forme di malwareBotnet e nuove forme di malware
Botnet e nuove forme di malware
 
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
Progetto e realizzazione di uno strumento per l'acquisizione e trasmissione d...
 
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza WordpressWebreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
Webreevolution 2013 - Gualtiero Santucci - Sicurezza Wordpress
 
Malware Analysis. A Case Study
Malware Analysis. A Case StudyMalware Analysis. A Case Study
Malware Analysis. A Case Study
 
Mobile Application Penetration Testing Giordano Giammaria
Mobile Application Penetration Testing Giordano GiammariaMobile Application Penetration Testing Giordano Giammaria
Mobile Application Penetration Testing Giordano Giammaria
 
HealthCare CyberSecurity Swascan
HealthCare CyberSecurity SwascanHealthCare CyberSecurity Swascan
HealthCare CyberSecurity Swascan
 
APT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensiveAPT, Social Network e Cybercriminali: Strategie difensive
APT, Social Network e Cybercriminali: Strategie difensive
 
WordCamp Bologna 2018 - Paolo Dolci
WordCamp Bologna 2018 - Paolo DolciWordCamp Bologna 2018 - Paolo Dolci
WordCamp Bologna 2018 - Paolo Dolci
 
Meetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofriMeetmagento 2014 hackers_onofri
Meetmagento 2014 hackers_onofri
 
Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017Microsoft - SMAU Bologna 2017
Microsoft - SMAU Bologna 2017
 
Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015
Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015
Per i virus cattivi ci vuole un antivirus buono - by Achab - festival ICT 2015
 
Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days Cyber Defense - How to find and manage zero-days
Cyber Defense - How to find and manage zero-days
 
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
Exploit in ambente di Sviluppo. Livelli di sicurezza IDE nell'era del Cloud C...
 
Le risposte alle vostre domande. Corso sulla sicurezza del sito
Le risposte alle vostre domande. Corso sulla sicurezza del sitoLe risposte alle vostre domande. Corso sulla sicurezza del sito
Le risposte alle vostre domande. Corso sulla sicurezza del sito
 

Malvertising: una minaccia in espansione

  • 1. Malvertising: una minaccia in espansione Giacomo Milani (giacomo83m@gmail.com) Andrea Minigozzi (andrea@fantaghost.com)
  • 2. $whoami (Giacomo Milani) ictforum14$ finger –-info giacomo83m@gmail.com Giacomo Milani (giacomo83m) Home: Finmeccanica G-CERT Manager Details: Responsabile CERT Finmeccanica, inizia nel 2002 la sua carriera professionale nella sicurezza informatica con lo sviluppo di network analyzer in ambiente Linux/FreeBSD seguita da consulenze come libero professionista svolgendo attività di Vulnerability Assessment e Penetration Testing . Attualmente si occupa di Incident Management e Malware Analysis. Membro ISC2 Italy Chapter
  • 3. $whoami (Andrea Minigozzi) ictforum14$ finger –-info andrea@fantaghost.com Andrea Minigozzi (FantaGhost) Home: AgustaWestland IT Security Analyst Details: Approccia il mondo delle reti con un Videotel nel 1988, dopo aver speso ore sul suo fido Sinclair ZX Spectrum 48K. Dal 1999 si occupa di ICT Security. Attualmente certificato CISSP ed OPST ha competenze in ambito SIEM, Malware Analysis, Incident Response, Computer and Network Forensics, PenTesting e Vulnerability Assessment. E’ contribution writer per la sezione Ventuno di VareseNews ed ha sviluppato il tool open-source FGscanner. Membro Clusit ed ISC2 Italy Chapter.
  • 4. Agenda Definizione e contesto I numeri dell’advertising su web Timeline Attacchi Le prime reazioni Metodologie di attacco ai Publisher Impatti e Conseguenze In-App ADS exploiting Difesa e Prevenzione - Inserzionisti Difesa e Prevenzione – Corporate Difesa e Prevenzione – Utenti Domande / Risposte - Contatti
  • 5. Il Malvertising, unione delle parole inglesi malware e advertising, consiste nell’inserire codice malevolo all’interno di legittimi circuiti di pubblicità online. Fonte: http://www.anti-malvertising.com/ Malvertsing: definizione
  • 6. Numeri di visite ai circuiti web advertising riferiti all’anno 2012 Adblade 209.3 milioni Google 156.1 milioni Facebook 148.3 milioni Meebo 136.8 milioni Vibrant media 136.1 milioni Undertone 125.2 milioni Ask Network 90 milioni Kontera 75.5 milioni Click Booth 43 milioni AOL 40.8 milioni LinkedIn 39.4 milioni Fonte: http://www.quantcast.com Web Advertising: i numeri The ads revenues involved are significant, with the Bloomberg newswire noting that online advertisers spent £25.5 billion (US$ 42.8 billion) in the US last year (2013)– exceeding the total for broadcast TV. (SC Magazine UK)
  • 7. Timeline attacchi (primo semestre 2014)
  • 8. Timeline attacchi (secondo semestre 2014) 23 Giugno 2014 Syrian Electronic 16 Giugno 2014 deviantART Army 3 Luglio 2014 Bitcoin Phising ADS 6 Agosto 2014 New Malvertising Attack 23 Settembre 2014 Malvertising Is 9 Time Bigger 29 Settembre 2014 Google Doubleclick
  • 9. Le prime azioni di contrasto
  • 10. Metodologie di attacco ai Publisher Gli attaccanti usano diverse tecniche per aggiungere contenuti malevoli negli ads di siti legittimi: ACQUISTO DIRETTO (a volte con carte di credito rubate) CIRCUITI DI SCAMBIO ADS VULNERABILITA’ TECNOLOGICHE Fonte: http://resources.infosecinstitute.com/malvertising-growing-threat-start-2014/
  • 11. Vettori di infezione Una volta compromesso il circuito di Ads, gli attaccanti si concentrano sugli utenti, utilizzando due vettori: Hacking Viene compromesso il circuito della distribuzione advertising, tramite un attacco diretto. Una volta preso il controllo dell’infrastruttura si trasforma un contenuto di un inserzionista legittimo inserendo un codice malevolo quale frame, redirect della pagina, utilizzando exploit kit che sfruttano vulnerabilità di plugin ad esempio java/flash. Social Engineering Utilizzando una falsa identità ci si registra ad un circuito pubblicitario ed, in prima fase, si distribuiscono contenuti validi. Una volta ottenuta una buona reputazione, si cambiano i contenuti con quelli malevoli.
  • 12. Gli impatti Reputazione dei siti web Anche i siti considerati sicuri possono diventare veicolo di infezione Targeting Attack E’ possibile selezionare accuratamente i bersagli della campagna di diffusione malware sfruttando la capacità intrinseca di profiling dei circuiti ADS Diffusione Non è più l’utente che naviga verso il malware ma viceversa. Il malware si troverà sui siti che l’utente bersaglio visita normalmente Invisibilità L’attaccante non è direttamente esposto verso il bersaglio. Spesso non è visibile nemmeno al circuito ADS stesso
  • 13. In-App ADS Exploiting (CVE-2014-6041) La maggior parte degli ADS contenuti nelle app sono visualizzati tramite l’interfaccia WebView di Android. Ad inizio 2014 è stata scoperta una vulnerabilità grave nel codice di questa interfaccia che può essere sfruttata tramite Malvertising. A distanza di mesi il 73% dei dispositivi Android in circolazione risulta ancora vulnerabile (Android < 4.2)...GoogleGlass compresi ! Google ha introdotto nei dispositivi Android la conferma del click per In-App ADS
  • 14. Difesa e Prevenzione - Utenti Aggiornare il Browser e Sistema Operativo Installare un plugin per il blocco degli ADS (per esempio ADBlock Plus, noscript, ecc...) Utilizzare ed aggiornare il proprio antivirus Segnalare comportamenti anomali: http://www.google.com/safebrowsing/report_badware/ Non cliccare sulle inserzioni pubblicitarie se non strettamente necessario
  • 15. Difesa e Prevenzione - Corporate alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Malvertising Redirection to Exploit Kit"; flow:established,to_server; content:"/ajs.php?zoneid="; http_uri; fast_pattern:only; pcre:"//ajs.php?zoneid=[0-9]+/U"; classtype:trojan-activity; sid:xxxx; rev:1;) alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Malvertising Redirection to Exploit Kit"; flow:established,to_server; content:"/afr.php?zoneid="; http_uri; fast_pattern:only; pcre:"//afr.php?zoneid=[0-9]+/U"; classtype:trojan-activity; sid:xxxx; rev:1;) http://permalink.gmane.org/gmane.comp.security.ids.snort.emerging-sigs/21992 Inserire la categoria «Advertising» nei sistemi di Web Filtering / Proxy Browser Sandboxing / Browser Virtualization
  • 16. Difesa e Prevenzione - Inserzionisti Porre particolare attenzione ai partner commerciali per i quali si pubblicano contenuti. Si consiglia di effettuare un’attività di background checking sul sito Anti- Malvertising che censisce le realtà coinvolte in passato su questo tipo di incidenti: http://www.anti-malvertising.com/ResearchEngine Verificare i domini utilizzati attraverso il servizio WHOIS, guardando come e dove sono registrati Effettuare attività di formazione per educare l’utenza e i tecnici a riconoscere l’attacco in modo da per potere intervenire con tempestività. Adottare strategie commerciali che incentivano l’acquisto di grandi volumi di spazio pubblicitario rispetto ai piccoli volumi.
  • 17. Domande e Risposte - Contatti Giacomo Milani (giacomo83m) giacomo83m@gmail.com Andrea Minigozzi (FantaGhost) andrea@fantaghost.com http://www.festivalict.com/i-relatori-2014/