Botnet e nuove forme di malwareAnalisi tecnica ed evoluzione del fenomeno

$author  =  Gianni 'guelfoweb' Amato$site  =  www.securityside.it$blog  = www.gianniamato.it$email  = amato@securityside.it$twitter  =  guelfoweb

#DIGICONF 2011

www.digiconf.net sponsored by www.govforensics.it

SULLA SCENA DEL CRIMINE

MA NON SIAMO IN TV

SCENARI INSOLITI

Non solo

Banche

&

Infrastrutture critiche

MALWARE EVOLUTION

TARGET

Furto di dati sensibili

Numeri di carte di credito;

Numeri di conto corrente;

Account email;

Identità digitale.

BLACK MARKET 2010

Un crescita del 71%

Il 78% del malware con funzione di esportazione dati

Symantec Intelligence

Quarterly Report

2009: Il valore delle informazioni rubate ammonta a 1 trilione di dollari;

Giugno 2010: un volume di affari di 210 milioni di euro;

Il costo medio sostenuto da un'organizzazione compromessa è all'incirca di 5 milioni di Euro;

23 milioni di Euro è il costo massimo sostenuto da una azienda colpita da unattacco informatico.

QUANTO COSTA?

1 Visa / MasterCard ~ 5$ / 25$

1000 Carte di Credito ~ 1500$

1 Identità digitale ~ 3$ - 20$

...e non è difficile ottenerli

PREVISIONI 2011

Spesa del 2011 per le aziende statunitensi: 130 miliardi di dollari (perdita in denaro)

UN GROSSO AFFARE

388 miliardi di dollari, una cifra superiore al mercato nero di marijuana, cocaina ed eroina

CRIMEWARE KIT

E' sempre più semplice sferrare attacchi informatici;

Sottrarre informazioni personali;

I costi sono accessibili:

500$-1000$ ZeuS o SpyEye;

Il costo delle ultime versioni si aggira intorno ai 1000$;

Il costo dei plugins varia dai 50$ ai 100$.

NUOVI TARGET

IL CASO STUXNET

Attacco alle Centrali Nucleari. Nello specifico l'Iran e gli esperimenti con l'energia nucleare;

I sistemi SCADA nel mirino dell'organizzazione;

Soluzioni Siemens per la gestione dei sistemi industriali;

Windows + WinCC + PCS 7.

ELEMENTI IMPORTANTI

La password dei sistemi SCADA (DB WinCC) era conosciuta da oltre 2 anni. Fu pubblicata in un forum e poi rimossa dal moderatore;

Gli autori erano in possesso di certificati digitali: Realtek e JMicron

LA STORIA CONTINUA...

Verisign revoca i certificati il 16 luglio;

Il 17 luglio viene rilevata una nuova versione di Stuxnet con i certificati rubati a Jmicron;

Dalle prime indagini si scopre che Stuxnet sfrutta la vulnerabilità LNK;

Indagini successive provano che Stuxnet sfrutta ben 5 vulnerabilità dei sistemi Windows.

NUMERI MISTERIOSI

Il valore numerico '1979050' trovato nel registro di sistema delle macchine compromesse da Stuxnet è stato interpretato come la possibile data di nascita di uno dei suoi autori: 09/05/1979

E' stato appurato che la data rilevata all'interno del codice di Stuxnet '24/6/12' coincide esattamente con la data del suo decesso.

...E SUI SISTEMI NON SCADA?

CYBERWAR

NUOVE ARMI

Niente missili, né carri armati o aerei da combattimento.

Il codice è l'arma più pericolosa e può essere sfruttato nei più svariati modi.

LE BOTNET

Noleggio Vendita Utilizzo

DDOS Malware Spam

Furto di Informazioni

Vendita Utilizzo

17.000$ AL GIORNO

RECLUTARE ZOMBIE

Violazione e compromissione di siti legittimi;

SQL Injection

Remote File Inclusion (RFI)

Cross Site Scripting (XSS)

Inclusione di codice nei siti compromessi;

Largo uso di exploit per vulnerabilità già note (o 0day).

Esecuzione del malware sulla macchina;

Furto di credenziali (silent mode);

Comunicazione con C&C per il download di nuovi malware o nuovo codice da eseguire.

RISORSE ONLINE

Bank of Nikolai

SPYEYE STORY

La prima versione appare nel 2009

Progettato dai Russi

Un costo di 500$ al mercato nero

Nato per accaparrarsi una fetta del mercato di ZeuS

Prova ne è l'opzione 'Kill Zeus' in fondo al builder

SPYEYE FEATURES

Formgrabber (Keylogger)

Autofill credit card modules

Daily email backup

Encrypted config file

Ftp protocol grabber

Pop3 grabber

Http basic access authorization grabber

Zeus killer

A differenza di ZeuS, le prime versioni di Spyeye sono troppo rumorose

Il form grabber altro non è che un keylogger

Cattura e comunica al C&C il contenuto di tutti i campi. Non ha un target ben definito.

Non usa una whitelist

Non è stata prevista la funzione di webinject

L'UNIONE FA LA FORZA

ZeuS + SpyEye Brute force password guessing

Jabber notification

VNC module

Auto-spreading

Auto-update

Unique stub generator for FUD and evasion

New screenshot system

MALWARE AS A SERVICE

300$ senza modulo VNC

800$ versione completa

Il vero business risiede nel commercio dei moduli

Personalizzabili

Scritti ad hoc

BILLINGHAMMER MODULE

Il botmaster si procura software freeware, lo rinomina e lo mette in vendita su apposite piattaforme di distribuzione:

ClickBank

FastSpring

Esellerate

SetSystems

Shareit

Dal pannello di controllo SpyEye è possibile gestire dei task automatici

Il botmaster può generare un task che utilizza i numeri di carte di credito rubate in modo che venga eseguita una azione attraverso Internet Explorer e - a intervalli definiti dall'utente - si avvii automaticamente la compilazione dei campi sul sito del negozio online per fare acquisti.

SPYEYE MONITORING

L'attività di monitoring, durata 3 settimane, è stata effettuata sfruttando il Feed RSS del sito MalwareDomainList.com

Filtrando le entry raccolte da Google Reader il risultato ottenuto è di 476 siti web che in 3 settimane hanno distribuito il malware SpyEye. Una media di 22,6 siti al giorno.

Tra questi, 196 siti oltre a distribuire il malware avevano funzione di C&C

SPYEYE: C&C IN 10 MINUTI

Gli ingredienti

Piattaforma LAMP (Linux, Apache, MySQL, Php)

Il sorgente Php di SpyeEye C&C

4 STEP

STEP 1 - DB

All'utente del DB devono essere assegnati tutti i privilegi

STEP 2 – MAIN / CONFIG.PHP

STEP 3 – GRAB / CONFIG.PHP

STEP 4 – IMPORT .SQL FILE

READY!

Form Grabber Login

Main Login

MAIN PAGE

FORM GRABBER

GET BUILD

TCP STREAM

All'avvio il malware contatta il C&C

FORM (LOGIN) GRAB

DALLA TEORIA ALLA PRATICA

Simulazione di una botnet e compromissione di una macchina Windows XP in ambiente virtuale

Command & Control su Ubuntu server LAMP

Ambiente di cavia: Windows XP SP3 su Virtualbox

Malware Analysis

A Case Study

http://www.securityside.it/docs/malware-analysis.pdf

DOMANDE?