reati informatici e investigazioni digitali
If you can't read please download the document
TRANSCRIPT
Reati Informatici e Investigazioni digitali
Gianni 'guelfoweb' AmatoSeminario - Piove di Sacco (PD) - 27/11/2010
Black Market
Symantec Intelligence Quarterly Report di aprile giugno 2010
Un volume di affari di 210 milioni di euro
Black Market
Quanto costano gli incidenti informatici?
Il valore delle informazioni digitali rubate nel 2009 stato di 1 trilione di dollari
il costo medio sostenuto da un'organizzazione compromessa all'incirca di 5 milioni di Euro
23 milioni di Euro il costo massimo ad oggi sostenuto da una azienda colpita da un attacco informatico.
Black Market
Target: furto di dati sensibili
Numeri di carte di credito
Numeri di conto corrente
Identit digitale (147 euro il costo medio per identit compromessa sostenuta in azienda)
Black Market
Il malware dal 2008 ad oggi
Una crescita del 71%
Il 78% del malware ha funzionalit di esportazione dati
Black Market
Acquisti al mercato nero
1000 carte di credito a 1500$
1 identit digitale 3$-20$
Indirizzi email. Attivit lecita (?)
Black Market
Crimeware kit
Sempre pi semplice sferrare attacchi
Sottrarre informazioni personali
Costi accessibili
700$ ZeuS Kit. (Gratis per chi sa cercare)
Cyber War
Le Nazioni Unite temono che la guerra combattuta attraverso la Rete possa presto diventare una minaccia reale per tutto il mondo
Una cyberwar peggio di uno tsunami
Un attacco digitale parificabile a un attacco reale
La proposta delle Nazioni Unite quella di un accordo tale per cui ogni paese firmatario si impegna a non scagliare per primo un cyberattacco contro unaltra nazione
Cyber War
Target: Infrastrutture Critiche
Cyber War
Stuxnet attacco alle centrali nucleari
Target: Iran e gli esperimenti con l'energia nucleare
Per volere del Mossad israeliano (?)
Cyber War
Stuxnet nel mirino i sistemi SCADA
Soluzioni Siemens per la gestione dei sistemi industriali
Windows + WinCC + PCS 7
Cyber War
Stuxnet. Una password DB vecchia due anni
SCADA Systems Hard-Coded Password Circulated Online for Years
Its not known how long the WinCC database password has been circulating privately among computer intruders, but it was published online in 2008 at a Siemens technical forum, where a Siemens moderator appears to have deleted it shortly thereafter. The same anonymous user, Cyber, also posted the password to a Russian-language Siemens forum at the same time, where it has remained online for two years.
Cyber War
Stuxnet un malware firmato
Gli autori erano in possesso dei certificati digitali
Realtek e JMicron
Cyber War
Stuxnet un malware firmato
Verisign revoca i certificati il 16 luglio
Il 17 luglio viene rilevata una versione di Stuxnet con i drivers rubati a JMicron
Cyber War
Stuxnet sfrutta 5 vulnerabilit Windows
Inizialmente la vulnerabilit LNK
Con le analisi successive si scoperto che il malware sfrutta in totale ben 5 vulnerabilit
Cyber War
Stuxnet e il misterioso numero 19790509
Il valore numerico trovato nel registro di sistema delle macchine compromesse stato interpretato come la possibile data di nascita di uno degli autori: 09/05/1979
Sophos: http://goo.gl/rHYic
Cyber War
Stuxnet non ancora finita
E' notizia di questa settimana: Iran: Debka, Stuxnet ha bloccato per una settimana arricchimento uranio http://goo.gl/jcqdy
Ci sarebbe il misterioso super-virus 'Stuxnet' dietro lo stop al programma iraniano per l'arricchimento dell'uranio [...] a causa del virus l'impianto per l'arricchimento di Natanz, il principale della Repubblica Islamica, rimasto bloccato dal 16 al 22 novembre. 'Stuxnet', hanno rivelato fonti iraniane e d'intelligence citate da 'Debka', ha creato dei sbalzi di corrente e messo fuori uso le centrifughe per l'arricchimento dell'uranio
Cyber War
Stuxnet sui sistemi NON SCADA
Cosa succede se Stuxnet atterra su una macchina Windows di un comune utente? Ne parla Bruce Schneier http://goo.gl/No6S
Stuxnet doesnt actually do anything on those infected Windows computers, because theyre not the real target.
Malware Study
Come procurarsi il malware?
Botnet
ZeuS 75.000 sistemi Windows colpiti.
Botnet
ZeuS a Banking Malware
Inizialmente progettato per carpire credenziali di accesso e codici di carte di credito degli utenti Internet Explorer che navigano le pagine di determinati siti bancari
Botnet
ZeuS Toolkit. 700$ al Mercato Nero
Un pacchetto corredato di manuale per le istruzioni
Di un generatore (builder) e dei file di configurazione per istruire il malware
Dei sorgenti php (web panel control) da caricare sul server che funger da command and control
Botnet
ZeuS Toolkit
Botnet
ZeuS Toolkit: config.txt
Botnet
ZeuS Toolkit: webinjects.txt
Botnet
ZeuS Toolkit: Panel (C&C)
Botnet
ZeuS: Tracce evidenti in System32
Cartella lowsec e file sdra64
Botnet
ZeuS Toolkit. Evolutions
Installazione di pacchetti aggiuntivi (in vendita)
ZeuS v2
Adeguamento a Firefox
Codifica dei dati
Termina lo sviluppo e cede il codice a SyeEye, il suo rivale. Rumours (?)
Botnet
SpyEye
Antagonista di ZeuS
Specializzato in trojan horse personalizzati
Web inject (ZeuS format)
Ring 3
Feature: Kill ZeuS
Prezzo scontato: 500$ vs 700$ di ZeuS
Botnet
SpyEye Toolkit
Botnet
SpyEye Toolkit. Builder in Action
Botnet
SpyEye Command and Control
Botnet
SpyEye: Evidenze sul disco
c:\cleansweep.exe\cleansweep.exe
c:\cleansweep.exe\config.bin
%TempFolder%\upd1.tmp
HKCU\Software\Microsoft\Windows\CurrentVersion\Run:
cleansweep.exe = "C:\cleansweep.exe\cleansweep.exe"
Web Inject
Field inject and grabber
Hacker Motivation
Da cosa sono spinti?
Money
Cause
Entertainment
Entrance to social group
Ego
Status
Public Vulns
XSSed
Defacement
Zone-h
Exploits
Exploit-DB
Rss Vulns
Vulnerabilit in Real Time sul Feed Reader
Weapons
Back|track
Comunit di supporto e sviluppo localizzato in italia
Perch studiare il malware?
Per comprendere le dinamiche comportamentali!
Qual lo scopo del malware?
Quali informazioni riuscito a carpire?
Dove sono state trasmesse le informazioni?
Come ha fatto ad arrivare fin qui?
Quali sono le complicazioni?
Non siamo di fronte a un comune utente...
Abbiamo a che fare con creature progettate da persone altamente competenti
Nella maggior parte dei casi il codice offuscato
Largo uso di crittorgrafia (soprattutto durante la trasmissione dei dati)
Funzioni di rootkit
Vulnerabilit 0-day
Dove andare a cercare?
Nei processi
Individuare i processi nascosti
Listare i servizi attivi
Verificare l'integrit dei processi di sistema attivi
Listare le dll caricate e analizzare quelle sospette
Process Inspection
Malware process. Module Dll Analysis
Firma del file PE
Disassemblaggio del codice
Estrazione delle stringhe di testo
Live monitoring
Malware at Work
Registry (RUN)Malware.exectfmon.exelsass.exesvchost.exehttp://evilsite.com/filename
Malware Analysis Lab
Virtual Machine
VMware Server
Windows Virtual PC
Microsoft Virtual Server
VirtualBox
Malware Analysis Lab
Sistema Operativo e Applicazioni
Windows (XP)
Internet Explorer 7/8
Firefox
Chrome
Acrobat Reader
Flash Player
Malware Analysis Lab
Analysis Tools
Sysinternals SuiteProcess Monitor
Process Explorer
Process Hacker
Explorer Suite
Wireshark
Regshot
Malware Analysis Lab
Analysis Code
OllyDbg
Idra Pro Freeware
LordPE
OllyDump
Hex Editor
Strings
Malware Analysis Lab
Risorse Online
Anubis
Wepawet
VirusTotal
CWSandbox
Norman SandBox
Malware Database
MalwareURL
Process Library
Malware Analysis
A Case Study
http://www.securityside.it/docs/malware-analysis.pdf
Muokkaa otsikon tekstimuotoa napsauttamalla
Muokkaa jsennyksen tekstimuotoa napsauttamallaToinen jsennystasoKolmas jsennystasoNeljs jsennystasoViides jsennystasoKuudes jsennystasoSeitsems jsennystasoKahdeksas jsennystasoYhdekss jsennystaso