Reati Informatici e Investigazioni Digitali

Gianni 'guelfoweb' Amato www.securityside.it amato@securityside.it
Reati Informatici e Investigazioni
digitali
Gianni 'guelfoweb' Amato
Seminario Piove di Sacco (PD) 27/11/2010

Black Market
Symantec Intelligence Quarterly Report di aprile –
giugno 2010
 Un volume di affari di 210 milioni di euro

Black Market
Quanto costano gli incidenti informatici?
 Il valore delle informazioni digitali rubate nel 2009 è stato di 1
trilione di dollari
 il costo medio sostenuto da un'organizzazione compromessa è
all'incirca di 5 milioni di Euro
 23 milioni di Euro è il costo massimo ad oggi sostenuto da una
azienda colpita da un attacco informatico.

Black Market
Target: furto di dati sensibili
 Numeri di carte di credito
 Numeri di conto corrente
 Identità digitale (147 euro è il costo medio per identità
compromessa sostenuta in azienda)

Black Market
Il malware dal 2008 ad oggi
 Una crescita del 71%
 Il 78% del malware ha funzionalità di esportazione dati

Black Market
Acquisti al mercato nero
 1000 carte di credito a 1500$
 1 identità digitale 3$20$
 Indirizzi email. Attività lecita (?)

Black Market
Crimeware kit
 Sempre più semplice sferrare attacchi
 Sottrarre informazioni personali
 Costi accessibili
 700$ ZeuS Kit. (Gratis per chi sa cercare)

Cyber War
Le Nazioni Unite temono che la guerra combattuta
attraverso la Rete possa presto diventare una
minaccia reale per tutto il mondo
 Una cyberwar è peggio di uno tsunami
 Un attacco digitale è parificabile a un attacco reale
La proposta delle Nazioni Unite è quella di un accordo tale per cui ogni
paese firmatario si impegna a non scagliare per primo un cyberattacco
contro un’altra nazione

Cyber War
 Target: Infrastrutture Critiche

Cyber War
Stuxnet attacco alle centrali nucleari
 Target: Iran e gli esperimenti con l'energia nucleare
 Per volere del Mossad israeliano (?)

Cyber War
Stuxnet nel mirino i sistemi SCADA
 Soluzioni Siemens per la gestione dei sistemi industriali
 Windows + WinCC + PCS 7

Cyber War
Stuxnet. Una password DB vecchia due anni
 SCADA System’s HardCoded Password Circulated Online for
Years
 It’s not known how long the WinCC database password has been
circulating privately among computer intruders, but it was
published online in 2008 at a Siemens technical forum, where a
Siemens moderator appears to have deleted it shortly thereafter.
The same anonymous user, “Cyber,” also posted the password to
a Russianlanguage Siemens forum at the same time, where it has
remained online for two years.

Cyber War
Stuxnet un malware firmato
 Gli autori erano in possesso dei certificati digitali
 Realtek e JMicron

Cyber War
Stuxnet un malware firmato
 Verisign revoca i certificati il 16 luglio
 Il 17 luglio viene rilevata una versione di Stuxnet con i drivers
rubati a JMicron

Cyber War
Stuxnet sfrutta 5 vulnerabilità Windows
 Inizialmente la vulnerabilità LNK
 Con le analisi successive si è scoperto che il malware sfrutta in
totale ben 5 vulnerabilità

Cyber War
Stuxnet e il misterioso numero 19790509
 Il valore numerico trovato nel registro di sistema delle macchine
compromesse è stato interpretato come la possibile data di
nascita di uno degli autori: 09/05/1979
 Sophos: http://goo.gl/rHYic

Cyber War
Stuxnet non è ancora finita
 E' notizia di questa settimana: ”Iran: Debka, Stuxnet ha bloccato per
una settimana arricchimento uranio http://goo.gl/jcqdy”
 Ci sarebbe il misterioso supervirus 'Stuxnet' dietro lo stop al
programma iraniano per l'arricchimento dell'uranio [...] a causa
del virus l'impianto per l'arricchimento di Natanz, il principale
della Repubblica Islamica, è rimasto bloccato dal 16 al 22
novembre. 'Stuxnet', hanno rivelato fonti iraniane e d'intelligence
citate da 'Debka', ha creato dei sbalzi di corrente e messo fuori
uso le centrifughe per l'arricchimento dell'uranio

Cyber War
Stuxnet sui sistemi NON SCADA
 Cosa succede se Stuxnet atterra su una macchina Windows di un
comune utente? Ne parla Bruce Schneier http://goo.gl/No6S
 ”Stuxnet doesn’t actually do anything on those infected Windows
computers, because they’re not the real target.”

Malware Study
Come procurarsi il malware?

Botnet
ZeuS 75.000 sistemi Windows colpiti.

Botnet
ZeuS a Banking Malware
 Inizialmente progettato per carpire credenziali di accesso e codici di
carte di credito degli utenti Internet Explorer che navigano le
pagine di determinati siti bancari

Botnet
ZeuS Toolkit. 700$ al Mercato Nero
 Un pacchetto corredato di manuale per le istruzioni
 Di un generatore (builder) e dei file di configurazione per istruire il
malware
 Dei sorgenti php (web panel control) da caricare sul server che
fungerà da command and control

Botnet
ZeuS Toolkit

Botnet
ZeuS Toolkit: config.txt

Botnet
ZeuS Toolkit: webinjects.txt

Botnet
ZeuS Toolkit: Panel (C&C)

Botnet
ZeuS: Tracce evidenti in System32
 Cartella ”lowsec” e file ”sdra64”

Botnet
ZeuS Toolkit. Evolutions
 Installazione di pacchetti aggiuntivi (in vendita)
 ZeuS v2
 Adeguamento a Firefox
 Codifica dei dati
 Termina lo sviluppo e cede il codice a SyeEye, il suo rivale.
Rumours (?)

Botnet
SpyEye
 Antagonista di ZeuS
 Specializzato in trojan horse personalizzati
 Web inject (ZeuS format)
 Ring 3
 Feature: Kill ZeuS
 Prezzo scontato: 500$ vs 700$ di ZeuS

Botnet
SpyEye Toolkit

Botnet
SpyEye Toolkit. Builder in Action

Botnet
SpyEye Command and Control

Botnet
SpyEye: Evidenze sul disco
 c:cleansweep.execleansweep.exe
 c:cleansweep.execonfig.bin
 %TempFolder%upd1.tmp
 HKCUSoftwareMicrosoftWindowsCurrentVersionRun:
 cleansweep.exe = "C:cleansweep.execleansweep.exe"

Web Inject
Field inject and grabber

Hacker Motivation
Da cosa sono spinti?
 Money
 Cause
 Entertainment
 Entrance to social group
 Ego
 Status

Public Vulns
XSSed

Defacement
Zoneh

Exploits
ExploitDB

Rss Vulns
Vulnerabilità in Real Time sul Feed Reader

Weapons
Back|track
 Comunità di supporto e sviluppo localizzato in italia

Perchè studiare il malware?
Per comprendere le dinamiche comportamentali!
 Qual è lo scopo del malware?
 Quali informazioni è riuscito a carpire?
 Dove sono state trasmesse le informazioni?
 Come ha fatto ad arrivare fin qui?

Quali sono le complicazioni?
Non siamo di fronte a un comune utente...
 Abbiamo a che fare con creature progettate da persone altamente
competenti
 Nella maggior parte dei casi il codice è offuscato
 Largo uso di crittorgrafia (soprattutto durante la trasmissione dei
dati)
 Funzioni di rootkit
 Vulnerabilità 0day

Dove andare a cercare?
Nei processi
 Individuare i processi nascosti
 Listare i servizi attivi
 Verificare l'integrità dei processi di sistema attivi
 Listare le dll caricate e analizzare quelle sospette

Process Inspection
Malware process. Module Dll Analysis
 Firma del file PE
 Disassemblaggio del codice
 Estrazione delle stringhe di testo
 Live monitoring

Malware at Work
Registry (RUN)
Malware.exe
ctfmon.exe lsass.exesvchost.exe
http://evilsite.com/filename

Malware Analysis Lab
Virtual Machine
 VMware Server
 Windows Virtual PC
 Microsoft Virtual Server
 VirtualBox

Sistema Operativo e Applicazioni
 Windows (XP)
 Internet Explorer 7/8
 Firefox
 Chrome
 Acrobat Reader
 Flash Player

Analysis Tools
 Sysinternals Suite
 Process Monitor
 Process Explorer
 Process Hacker
 Explorer Suite
 Wireshark
 Regshot

Analysis Code
 OllyDbg
 Idra Pro Freeware
 LordPE
 OllyDump
 Hex Editor
 Strings

Risorse Online
 Anubis
 Wepawet
 VirusTotal
 CWSandbox
 Norman SandBox
 Malware Database
 MalwareURL
 Process Library

Malware Analysis
A Case Study
 http://www.securityside.it/docs/malwareanalysis.pdf

Reati Informatici e Investigazioni Digitali

Recommended

Recommended

More Related Content

What's hot

What's hot (9)

Viewers also liked

Viewers also liked (20)

Similar to Reati Informatici e Investigazioni Digitali

Similar to Reati Informatici e Investigazioni Digitali (20)

More from Gianni Amato

More from Gianni Amato (7)

Recently uploaded

Recently uploaded (8)

Reati Informatici e Investigazioni Digitali