amato hackinbo 2013

65
HackInBo 2013 Le nuove armi digitali. Aziende ed Enti Governativi sono pronti? Gianni 'guelfoweb' Amato Bologna, 20 Settembre 2013

Upload: gianni-amato

Post on 18-Nov-2014

1.828 views

Category:

Documents


1 download

DESCRIPTION

Sicurezza all'Ombra delle Torri. Le nuove armi digitali. Aziende ed Enti Governativi sono pronti?

TRANSCRIPT

Page 1: Amato HackInBo 2013

HackInBo 2013

Le nuove armi digitali.

Aziende ed Enti Governativi sono pronti?

Gianni 'guelfoweb' Amato

Bologna, 20 Settembre 2013

Page 2: Amato HackInBo 2013

Who is?

● Author : Gianni 'guelfoweb' Amato

● Site : www.securityside.it

● Blog : www.gianniamato.it

● Email : [email protected]

● Twitter : @guelfoweb

Page 3: Amato HackInBo 2013

Agenda

No, meglio raccontare una favoletta...

Page 4: Amato HackInBo 2013

La Cyber War

Quali danni potrebbe arrecare a un paese?

Attacco ai sistemi e infrastrutture critiche di un paese sfruttando unicamente le reti informatiche.

Page 5: Amato HackInBo 2013

Disagi

Fonte: http://www.ilcittadinomb.it/stories/Cronaca/312127_lentate_-_asl/

Page 6: Amato HackInBo 2013

Prenotazioni online bloccate

Page 7: Amato HackInBo 2013

Pubblica Amministrazione in Tilt

Page 8: Amato HackInBo 2013

Ma anche...

Panico e terrore

Page 9: Amato HackInBo 2013

Acqua, gas, rete elettrica fuori uso

Page 10: Amato HackInBo 2013

Gestione linee aeree e treni in Tilt

Page 11: Amato HackInBo 2013

Con CHI abbiamo a che fare?

Page 12: Amato HackInBo 2013

Con COSA abbiamo a che fare?

Armi digitali

– Tecniche di offuscamento

– crittografia

– 0day vulnerability

Page 13: Amato HackInBo 2013

History

● 2010: Stuxnet

● 2011: Duqu

● 2011: Gauss

● 2012: Mahdi

● 2012: Flame

● 2012: Wiper

● 2013:

Page 14: Amato HackInBo 2013

● 2006 Governo Bush

● Attacchi digitali contro Iran

● Partecipazione Governo Israeliano

● Sabotaggio centrali nucleari Natanz

● Danneggiare le turbine

Operation Olympic Games

Page 15: Amato HackInBo 2013

Stuxnet

● Individuato nel giugno 2010

● Target: Sistemi SCADA

● Si diffonde via USB (solitamente i sistemi SCADA non sono collegati a Internet)

● Integra 2 certificati “trusted”

● Sfrutta 4 0day

● Password hard-coded nota

● Realtek è il primo certificato “trusted” recovato il 16 luglio

● Il 17 luglio una nuova variante presenta il certificato Jmicron

Page 16: Amato HackInBo 2013

Evidence

● Dall'analisi investigativa viene individuato il valore numerico “19790509” scritto nel registro di sistema Windows che si sospetta corrisponda alla data di nascita di uno degli sviluppatori “05/09/1979” o sia collegata all'esecuzione (per spionaggio) di Habib Elghanian, noto uomo d'affari ebreo conosciuto in Iran.

● La data di decesso / autodistruzione era fissata per il “26/06/2012”.

Page 17: Amato HackInBo 2013

Duqu

● Individuato nel settembre 2011

● Target: valutare lo stato del programma nucleare iraniano

● Funzione di keylogger

● Sfrutta 0day

● Lo scopo è quello di carpire informazioni

● Usa certificati rubati

● L'analisi comportamentale lo riconduce a stuxnet

Page 18: Amato HackInBo 2013

Gauss

● Scoperto nel 2011, poco dopo Duqu.

● Rilevato in Libano, Israele, Palestina, USA, Emirati Arabi.

● Progettato per il furto di cookie, credenziali e conti bancari.

● Lavora con moduli aggiornati via Internet per ampliare le proprie funzioni.

● Kaspersky ipotizza sia stato creato dagli stessi autori di Stuxnet e Duqu.

Page 19: Amato HackInBo 2013

Mahdi

● Scoperto nel febbraio 2012

● E' stato battezzato “Mahdi” per via di una stringa ricorrente nel codice del malware (fa riferimento al Messia Islamico)

● Sfrutta bug di Word e Power Point

● In questo caso non si conoscono gli autori

● Ha funzione di keylogger e cattura le schermate

● Sottrae file audio, testo e immagini

Page 20: Amato HackInBo 2013

Flame

● Individuato per la prima volta in aprile 2012

● Si propaga tramite USB

● Usa falso certificato

● Ha funzioni di keylogger

● Sottrae documenti di testo e DWG (progetti Autocad)

● Cattura immagini

● Registra audio (conversazioni skype)

● Rilevate somiglianze con Stuxnet e Duqu

● Obiettivo: spionaggio industriale

Page 21: Amato HackInBo 2013

Flame 2008

Dall'analisi di uno dei componenti utilizzato da Flame, il file mssecmgr.ocx riporta come timeDatestamp la data del 9 dicembre 2008

Page 22: Amato HackInBo 2013

Wiper

Un soldato in missione sul campo di battaglia per ripulire le tracce

● Cancella le tracce di Stuxnet e Duqu

● Alta priorità alla rimozione dei file .PNF (usati da Stuxnet)

● Rimozione dei dati utili ai tecnici forensi per ottenere prova del reato

(Siamo ancora nel 2012)

Page 23: Amato HackInBo 2013

Casi recenti

La vulnerabilità risiede in Firefox 17 ESR (Extended Support Release), non in TOR.

Page 24: Amato HackInBo 2013

Shellcode

https://code.google.com/p/caffsec-malware-analysis/source/browse/trunk/TorFreedomHosting/torscript1.js

Page 25: Amato HackInBo 2013

Binario

Page 26: Amato HackInBo 2013

Traffico di rete

Page 27: Amato HackInBo 2013

Hostname e Mac Address

Page 28: Amato HackInBo 2013

65.222.202.54

Page 29: Amato HackInBo 2013

Hesperbot Banking Trojan

● Rilevato nel settembre 2013 dai ricercatori ESET

● Target: operazioni di online banking

● Il file di configurazione presenta di default URL di banche della Repubbica Ceca, Turchia e Portogallo

● Sulla scia di ZeuS e SpyEye intercetta e modifica il traffico HTTP e HTTPS

● Sfrutta la funzione di webinject e from-grabber

● Usa moduli e plugin

● Dispone di ua componente per i sistemi mobile: Symbian – Blackberry - Android

Page 30: Amato HackInBo 2013

Cyber Attacks Timeline

Credit: Paolo Passeri | http://hackmageddon.com/cyber-attacks-timeline-master-indexes/

Page 31: Amato HackInBo 2013

Non tutti gli attacchi sono così complessi

Page 32: Amato HackInBo 2013

Social (network) engineering

Lo scorso anno, attraverso falsi profili facebook di donne attraenti i talebani sono riusciti ad ottenere un contatto diretto con le truppe australiane riuscendo a carpire segreti militari.

Page 33: Amato HackInBo 2013

Turista fai da te? No Alpitour?

“Facciamo due conti: Alpitour: 23.309 fan, Villaggi Bravo 51.570, Francorosso 17.335 e Viaggidea 32.417 fan. Se li sommiamo abbiamo [..] abbiamo 124.631 persone esposte a link malevoli. Un ottimo risultato.”

http://www.pierotaglia.net/facebook-fai-da-te-alpitour-ahi-ahi-ahi-pagine-facebook-hackerate/

Page 34: Amato HackInBo 2013

Come sta reagendo l'Italia?

Il nostro paese è ancora fin troppo legato al vecchio concetto di guerra. Banche, istituti e agenzie governative, industria militare, associazioni politiche, università, sono costantemente sottoposti ad attacchi informatici, ogni giorno sempre più complessi e articolati. Motivo per cui anche l'Italia si è dotata di CSIRT. Purtroppo sono ancora pochi gli Enti italiani che ne dispongono.

Page 35: Amato HackInBo 2013

Computer Security Incident Response Team

http://www.enisa.europa.eu/activities/cert/support/guide/files/csirt-setting-up-guide-in-italian/at_download/fullReport

Page 36: Amato HackInBo 2013

Computer Security Incident Response Team

✔ Gruppo di professionisti IT Security che aiuta gli enti ad attenuare e prevenire gli incidenti informatici.

✔ Gestiscono e forniscono risposta agli incidenti informatici.

✔ Giuridicamente preparati per affrontare questioni legali.

✔ Sempre aggiornati sulle nuove vulnerabilità.

Page 37: Amato HackInBo 2013

Decreto – Un CERT Nazionale

Page 38: Amato HackInBo 2013

Governo.it

“Gli attacchi alla sicurezza informatica negli ultimi anni hanno avuto una crescita esponenziale. Assinform stima che il 40% degli attacchi richiedono almeno 4 giorni per essere risolti. Nel 90% dei casi l’attacco ha successo a causa dell’errata configurazione del sistema di sicurezza e per la mancanza di competenze specifiche. I costi sostenuti da privati e PA per proteggersi sono consistenti: Gartner li quantifica in 55 miliardi di dollari nel 2011, 60 nel 2012 e 86 (stimati) entro il 2016.”

http://www.governo.it/Presidenza/Comunicati/testo_int.asp?d=70337

Page 39: Amato HackInBo 2013

Ancora una firma qui...

Banche, Università, Aziende che erogano servizi attraverso la rete Internet non ammetteranno mai di aver subito attacchi che hanno compromesso - o hanno rischiato di compromettere - informazioni riservate e/o i dati degli utenti/clienti.

“La banca declina ogni responsabilità...”

Page 40: Amato HackInBo 2013

Zeus-In-The-MObile (ZITMO)

SMS con Link(security update)

Download Malware

Detect SMS Bank(code)

Page 41: Amato HackInBo 2013

Nel mirino dei cybercriminali

Page 42: Amato HackInBo 2013

Ransomware: ha fruttato 1 milione di euro per ogni campagna di attacchi

Page 43: Amato HackInBo 2013

Business

● 1 carta Visa/Mastercard ~ 5$ - 25$

● 1000 Carte di Credito ~ 1500$

● 1 Idendità digitale ~ 3$ - 20$

● Crimeware Kit ZueS e SpyEye ~ 500$ - 1000$ (per le ultime release)

● Plugin ~ 50$ - 100$

Page 44: Amato HackInBo 2013

Crime Pack Exploit Kit

Page 45: Amato HackInBo 2013

YouTube Video Tutorial

Page 46: Amato HackInBo 2013

● Violazione e compromissione di web server e siti legittimi.

● Inclusione di codice.

● Largo uso di exploit e 0day vulnerability.

Processo di reclutamento Zombie #1

Page 47: Amato HackInBo 2013

Shodan - phpinfo()

Page 48: Amato HackInBo 2013

Shodan - WAMPSERVER

Page 49: Amato HackInBo 2013

Processo di reclutamento Zombie #2

● Download ed esecuzione codice maligno.

● Controllo della macchina.

● Comunicazione con C&C.

● Esecuzione comandi da remoto.

Un esempio per tutti SpyEye e ZeuS.

Page 50: Amato HackInBo 2013

SpyEye Story

● La prima versione risale al 2009

● Progettato dai Russi

● 500$ al mercato nero

● Inizialmente nato per accaparrarsi una fetta del mercato di ZeuS

● A differenza di ZeuS, le prime versioni di Spyeye risultano rumorose.

● Non ha un target ben definito.

● Non usa una whitelist.

● Non è stata prevista la funzione di webinject.

Page 51: Amato HackInBo 2013

SpyEye Features

● Formgrabber

● Autofill credit card modules

● Daily email backup

● Ftp protocol grabber

● Encrypted config file

● Pop3 grabber

● Http basic access authorization grabber

Page 52: Amato HackInBo 2013

Offerte Speciali

● 300$ senza modulo VNC

● 800$ versione completa

Il vero business sono i moduli aggiuntivi– In particolare le richieste

personalizzate

Page 53: Amato HackInBo 2013

Dentro SpyeEye

Page 54: Amato HackInBo 2013

Due file di configurazione

Main Grabber

Page 55: Amato HackInBo 2013

Pronti per il Login

Page 56: Amato HackInBo 2013

Builder

Page 57: Amato HackInBo 2013

Comunicazioni al C&C

Page 58: Amato HackInBo 2013

HTTPS Authentication

Ambiente di testcompromesso da

SpyEye

Page 59: Amato HackInBo 2013

Form Grab

C&C

Page 60: Amato HackInBo 2013

Altri modi per monetizzare

Innovazioni subdole per stracciare la concorrenza

– Individuazione ed estrazione automatica di carte di credito dalle macchine compromesse

– Generazione di vendite fasulle su negozi online

Page 61: Amato HackInBo 2013

BillingHammer Feature

Il botmaster si procura software freeware, lo rinomina e lo mette in vendita su apposite piattaforme di distribuzione:

– ClickBank

– FastSpring

– Esellerate

– SetSystems

– Shareit

Dal pannello di controllo SpyEye è possibile gestire task automatici

Il botmaster può generare un task che utilizza i numeri di carte di credito rubate in modo che venga eseguita una azione attraverso Internet Explorer che a intervalli definiti lanci la compilazione dei campi sul sito del negozio online per completare l'acquisto.

Page 62: Amato HackInBo 2013

Monetizzare

Host1

Host2

Host3

Host...

Hostn

ServerCompromessoC&C Primario

DB Mysql

ServerCompromesso

C&C Secondario

DB Mysql

xyzBank$

Zombie

freeware$

Credit Card

$$$

NoleggioBotnetDDoS

VenditaCarte

di Credito

$

$

VenditaIdentitàDigitale

$

Page 63: Amato HackInBo 2013

Operazioni mirate

Host1

Host2

Host3

Host...

Hostn

ServerCompromessoC&C Primario

DB Mysql

ServerCompromesso

C&C Secondario

DB Mysql

TARGET

Zombie

Credit Card

Commissionate?

Page 64: Amato HackInBo 2013

Siamo pronti?

Ma più che altro, siamo in grado di stare al passo?

Page 65: Amato HackInBo 2013

Grazie per l'attenzione :-)

Domande?