ASFWS 2011 - Malware: quelles limites pour les applications ebanking?
1. Quelles limites pour
les applications de eBanking?
(Avez-vous peur des fantômes?)
présentation pour APPSEC
Sébastien Bischof
Jean-Marc Bost
27.10.2011
Application Security Forum
Western Switzerland
27 octobre 2011 - HEIGVD Yverdon-les-Bains
http://appsec-forum.ch
2. Avez-vous peur des fantômes?
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 2
3. ETH(ical) Hacking sur SF1
Impossible de
dissocier les
données de la
transaction et
l’OTP!
GC5 6 NN 7W
4 EZ 7 8 9
Selon la déclaration de spécialistes de l’EPF sur la sécurité de ****** e-banking:
"Le système de ****** avec son lecteur de carte est à considérer comme sûr,
parce qu’il exige une confirmation de transaction pour effectuer un virement vers
un compte inconnu."
27.10.2011 Application Security Forum - Western Switzerland - 2011 3
4. L’ETH(ical) MITC = Man Inside The Computer
27.10.2011 Application Security Forum - Western Switzerland - 2011 4
5. Seule, la victime peut confirmer la transaction
Confirmation?
27.10.2011 Application Security Forum - Western Switzerland - 2011 5
6. Avez-vous peur des fantômes?
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 6
7. L’infection par «troyens» est une réalité
Selon Microsoft, 5% des PC Windows sont infectés
(source «Safety Scanner», May 2011)
Au moins 25%, selon Pandalab, avec une majorité de Troyens
(source «ActiveScan», Q2 2011)
La Suisse affiche le 2ème taux
d’infection le plus bas…
… mais à presque 30%
Le troyen est plébiscité
par les hackers
“42 new malware strains created every minute»
27.10.2011 Application Security Forum - Western Switzerland - 2011 7
8. Au début, il y a eu le MITM (Man In The Middle)…
2006
MITM
• site intermédiaire
• pollution DNS
• etc …
2007
27.10.2011 Application Security Forum - Western Switzerland - 2011 8
9. … puis le MITB (Malware In the Browser)…
2007
MITB
• Anserin
• Mebroot
• Silentbanker
2008
27.10.2011 Application Security Forum - Western Switzerland - 2011 9
10. … puis le MI (Malware Inside)
2009
MI
• Zeus
• Ares
• SpyEye
2011
27.10.2011 Application Security Forum - Western Switzerland - 2011 10
11. L’efficacité de Zeus et SpyEye en chiffres
– 2009: 1.5 Millions de Spam d’infection vers facebook
– Juin 2009: 74’000 comptes FTP détournés par Zeus
– 2010: au moins 6 millions de £ on été détournées par un gang
de 19 personnes en Angleterre
– Oct. 2010: 70 millions US $ par Zeus
– 3.6 millions de PC infectés aux USA par Zeus
– 2011: 3,2 millions US $ détournés par un jeune russe en 6 mois
avec Zeus et SpyEye
27.10.2011 Application Security Forum - Western Switzerland - 2011 11
12. Le eBanking n’est pas la seule cible
D’autres sites web peuvent
faire l’objet de vols de:
- mots de passe
- adresses emails
- cookies
- cartes de crédit
- …
et même sans les cibler!
27.10.2011 Application Security Forum - Western Switzerland - 2011 12
13. Le eBanking n’est pas la seule cible
Facebook
Google mail Jeu en ligne
Microsoft
Hot mail
Windows live
McAfee
27.10.2011 Application Security Forum - Western Switzerland - 2011 13
14. Le eBanking n’est pas la seule cible
Les copies d’écran et
même les captures vidéos
permettent de :
- espionner les claviers
virtuels
- se tenir au courant des
modifications
- espionner la vie privée
- …
toujours sans cibler un site
particulier!
27.10.2011 Application Security Forum - Western Switzerland - 2011 14
15. Le eBanking n’est pas la seule cible
… et les connexions ftp
27.10.2011 Application Security Forum - Western Switzerland - 2011 15
16. Avez-vous peur des fantômes?
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 16
17. MI = Man (ou Malware) Inside
27.10.2011 Application Security Forum - Western Switzerland - 2011 17
18. Une transaction dans un formulaire
27.10.2011 Application Security Forum - Western Switzerland - 2011 18
19. La transaction détournée par le MI
What You Sign
Is Not-)
What You See ?
456 FRA 666 666
Merci, parfait
pour ma
transaction! -)
27.10.2011 Application Security Forum - Western Switzerland - 2011 19
20. Ce qui devrait se passer…
Memory
GUI
POST
CPT0123456789
TCP9876543210
5000
27.10.2011 Application Security Forum - Western Switzerland - 2011 20
21. Ce qui se passe!
Memory
GUI
POST
CPT0123456789
456FRA666666
5000
27.10.2011 Application Security Forum - Western Switzerland - 2011 21
22. Ce qui devrait se passer…
Memory
GUI
FORM
CPT0123456789
456FRA666666
5000
27.10.2011 Application Security Forum - Western Switzerland - 2011 22
23. Ce qui se passe!
Memory
GUI
FORM
CPT0123456789
456FRA666666
5000
27.10.2011 Application Security Forum - Western Switzerland - 2011 23
24. Zeus contrôle le browser par injection
Le malware
contrôle le PC
requête
DLL
réponse
MI DLL
27.10.2011 Application Security Forum - Western Switzerland - 2011 24
25. … et pas que le browser
Firefox
Firefox crash
reporter
Mise à jour
Java
27.10.2011 Application Security Forum - Western Switzerland - 2011 25
26. Avez-vous peur des fantômes?
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 26
27. Une conception très « professionnelle »
Injection Je suis:
• Multifonctions
• Configurable Commander & Controller
• Evolutif
• Furtif
• Résilient
Collection Configuration
Le taux de détection de
SpyEye par les antivirus de
25% [abuse.ch] Victime
Maintenance
27.10.2011 Application Security Forum - Western Switzerland - 2011 27
28. Il n’est pas toujours facile de les trouver
Propriétés d’un Rootkit:
La furtivité
– Stabilité
– Pas de traces
La persistance pour survivre
aux redémarrages
La prise de contrôle d’un
ordinateur
Peut cacher ses canaux de
communication
27.10.2011 Application Security Forum - Western Switzerland - 2011 28
29. Ils peuvent se manifester à tout moment
Vue du disque Vue globale
27.10.2011 Application Security Forum - Western Switzerland - 2011 29
30. Exemple: Bootkit
Vue du disque Vue globale
Il existe des utilitaires
pour flasher le bios
depuis un système en
cours d’exécution
Altération
27.10.2011 Application Security Forum - Western Switzerland - 2011 30
31. Et n’importe où!
Le système travaille avec une représentation virtuelle du hardware sur lequel il
est exécuté
Les programmes exécutés se fient aux informations que leur donne le système.
Vision du système
Représentation en
mémoire
Process1 Process2 Process
Réalité physique
Et si l’on changeait la vision du système ?
27.10.2011 Application Security Forum - Western Switzerland - 2011 31
32. Exemple: DKOM
Les processus sont
représentés en mémoire par
une structure (EPROCESS)
DKOM peut, par exemple,
cacher un processus de cette
liste
Process1 Process2 Process
(idem pour les autres
ressources système)
27.10.2011 Application Security Forum - Western Switzerland - 2011 32
33. Et si on les combinait ?
Malware exécuté avant le système
d’exploitation
Le système peut être démarré avec le plus
bas niveau de sécurité
Les routines malicieuses sont démarrées
avant le système
Le malware contrôle la vision du système
Difficile à détecter et à s’en débarrasser
Le système est littéralement hanté
27.10.2011 Application Security Forum - Western Switzerland - 2011 33
34. Avez-vous peur des fantômes?
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 34
35. Démonstration
Token USB :
– Lecteur de carte à puce intégré
– Authentification mutuelle
– Système de mises à jour
– …
+ browser intégré (safeBrowser):
– Évite les injections « à la Zeus » en
fournissant ses propres librairies
– Empêche l’exécution du browser
normal et des librairies système
correspondantes
Mais…
27.10.2011 Application Security Forum - Western Switzerland - 2011 35
36. Tunnel entre les 2 browsers MS API?
safeBrowser
Browser du PC
FORM
CPT0123456789
456FRA666666
5000
Parsing output
remoteThread
27.10.2011 Application Security Forum - Western Switzerland - 2011 36
37. Tunnel entre les 2 browsers MS API?
safeBrowser
Browser du PC
POST
CPT0123456789
456FRA666666
5000
Windows API
remoteThread
27.10.2011 Application Security Forum - Western Switzerland - 2011 37
38. Avez-vous peur des fantômes?
Fantômes ETHiques sur SF1
Ils existent en vrai
Mais ils sont invisibles
Même pour « Ghostbusters »
La preuve
Ils peuvent vous hypnotiser
27.10.2011 Application Security Forum - Western Switzerland - 2011 38
39. Une pincée de «Social Engineering» en plus
On peut faire faire ce qu’on veut si on contrôle la vision de l’internaute
27.10.2011 Application Security Forum - Western Switzerland - 2011 39
40. ZITMO = Zeus + “Social Engineering”
(SPITMO avec SpyEye)
2008: OWASP recommande le SMS
…the use of a second factor such as a mobile phone is an excellent low cost alternative…
…is actually stronger than most two factor authentication fobs…
…a single weakness in this model - mobile phone registration and updating
2010: Zeus attaque le SMS
#2
Origine
incertaine
#3
#1
Texte en
Numéro
clair
publique
27.10.2011 Application Security Forum - Western Switzerland - 2011 40
41. Revenons aux conclusions de l’ETH(ical) hacking
Impossible de
dissocier les
données de la
transaction et
l’OTP!
GC5 6 NN 7W
4 EZ 7 8 9
« Selon la déclaration de spécialistes de l’EPF sur la sécurité de ******
e-banking: "Le système de ****** avec son lecteur de carte est à considérer
comme sûr, parce qu’il exige une confirmation de transaction pour effectuer un
virement vers un compte inconnu." »
27.10.2011 Application Security Forum - Western Switzerland - 2011 41
42. Ce cas est-il à l’abris du «Social Engineering»?
!?
GC5 6 NN 7W
4 EZ 7 8 9
« Ne répondez en aucun cas à une demande de confirmation d’une série de
numéros ou de signes – même si la demande semble provenir de ****** »
27.10.2011 Application Security Forum - Western Switzerland - 2011 42
43. Probablement pas…
What You Sign
Is
What You See Le compte à créditer est enregistré sous la
But… référence 456 FRA 666 666 par la banque du
destinataire.
Nous vous prions de rentrer les 6 derniers
chiffres de ce numéro de référence dans
votre calculette puis de rentrer le code de
sécurité que vous obtenez ci-dessous pour
définitivement valider votre transaction.
« Ne répondez en aucun cas à une demande de confirmation d’une série de
numéros ou de signes – même si la demande semble provenir de ****** »
27.10.2011 Application Security Forum - Western Switzerland - 2011 43
44. WYSIWYS or not WYSIWYS
That is the Question
27.10.2011 Application Security Forum - Western Switzerland - 2011 44
45. … des questions?
Pour nous contacter:
Sébastien Bischof Jean-Marc Bost
sebastien.bischof@elca.ch Jean-marc.bost@elca.ch
Lausanne I Zürich I Bern I Genf I London I Paris I Ho Chi Minh City Lausanne I Zürich I Bern I Genf I London I Paris I Ho Chi Minh City
SLIDES A TELECHARGER PROCHAINEMENT:
http://slideshare.net/ASF-WS
46. Explications de la démo - Architecture
27.10.2011 Application Security Forum - Western Switzerland - 2011 46
47. Exemple: SpyEye
SpyEye est une boîte à outils
– Avec un kit de génération de chevaux de Troie
– Et une interface de contrôle Web
Mais il utilise aussi des mécanismes de
rootkit.
• Pour se cacher
– Il cache ses fichiers en altérant les fonctions du
système
• Pour persister
– Il ajoute une entrée dans le registre
Le taux de détection de SpyEye par les
antivirus de 25% selon www.abuse.ch
27.10.2011 Application Security Forum - Western Switzerland - 2011 47
48. Ce qui devrait se passer…
SafeBrowser
Firefox du PC
27.10.2011 Application Security Forum - Western Switzerland - 2011 48