Crimini Informatici 2012 Indagini Digitali in ambito Giudiziario e Forense Terrorismo, spionaggio ed esercito di botnet. La cyberguerra è già in atto. Le sofisticate armi digitali, accuratamente progettate per colpire obiettivi specifici, rappresentano la minaccia più preoccupante che sia stata mai affrontata.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Crimini Informatici 2012Indagini Digitali in ambito Giudiziario e Forense
Terrorismo, spionaggio ed esercito di botnet. La cyberguerra è già in atto. Le sofisticate armi digitali, accuratamente progettate per colpire obiettivi specifici, rappresentano la minaccia più preoccupante che sia stata mai affrontata.
● Un crimine come tutti gli altri, con l'aggiunta della componente informatica
● La componente informatica può essere il mezzo o l'obiettivo del crimine (o entrambi)
Cominciamo dalla Cyberwar
L'apocalisseCosa comporterebbe un ipotetico cyber attacco alle infrastrutture critiche
✔ Prenotazioni online di treni e aerei bloccate✔ Sistemi di controllo di linee aeree e treni in tilt✔ Le comunicazioni email interrotte✔ Caos nelle Pubbliche Amministrazioni✔ Raffinerie e Oleodotti fuori controllo✔ Acqua, gas, rete elettrica fuori uso
Terrorismo?
● Si, è importante prestare attenzione a tutte le forme di terrorismo. In particolare al terrorismo psicologico.
Impossibile che accada?
● No, la Cyberwar è già iniziata. Una guerra digitale tra nazioni notoriamente in contrasto.
– 2010: Stuxnet
– 2011: Duqu
– 2011: Gauss
– 2012: Mahdi
– 2012: Flame
– 2012: Wiper
– 2012: Shamoon
Chi potrebbero essere gli artefici?
● Chiunque!– Dai servizi segreti ai gruppi di estremisti
– Dai militari ai terroristi
– Nazioni in contrasto da anni
2010: Stuxnet
● Scoperto nel giugno 2010● Obiettivo: Sabotare il programma nucleare
Iraniano– Sistemi SCADA
● Windows + WinCC + PCS 7
● Progetto USA “Operation Olympic Games” iniziato da George W. Bush
– Si diffonde via USB
– Sfrutta vulnerabilità 0-day
2010: Stuxnet
● La password dei sistemi SCADA (DB WinCC) era conosciuta da oltre 2 anni. Fu pubblicata in un forum e poi rimossa dal moderatore
● Gli autori erano in possesso di certificati digitali: Realtek e JMicron
● Verisign revoca i certificati il 16 luglio● Il 17 luglio viene rilevata una nuova versione
di Stuxnet con i certificati rubati a Jmicron
2010: Stuxnet
● Il valore numerico '1979050' trovato nel registro di sistema delle macchine compromesse da Stuxnet è stato interpretato
come la possibile data di nascita di uno degli autori: 09/05/1979
● E' stato appurato che la data rilevata all'interno del codice di Stuxnet '24/6/12' coincide esattamente con la data del suo decesso
2011: Duqu
● Scoperto nel settembre 2011● Condivide codice di Stuxnet (?)● Il target ancora una volta è l'Iran: valutare lo
stato del programma nucleare● Obiettivo diverso: furto di informazioni● Utilizza certificati rubati● Ha funzioni di keylogger● Sfrutta vulnerabilità 0-day (kernel Windows)
2011: Gauss
● Scoperto nel settembre 2011● Rilevato in Libano, Israele, Palestina, Stati
Uniti e Emirati Arabi● Obiettivo: furto di password e conti bancari● Si ipotizza sia stato creato dagli stessi autori
di Stuxnet e Duqu
2012: Mahdi
● Scoperto nel febbraio 2012● Il nome deriva da stringhe trovate nel codice
che fanno riferimento al Messia Islamico● Non si conoscono gli autori● Ha funzioni di keylogger e cattura schermate● Ruba file audio, file di testo e immagini● Sfrutta bug di Word e Power Point
2012: Flame
● Scoperto nell'aprile 2012● Individuato da Kaspersky Lab in Iran (Iranian
Oil Minestry● CrySyS Lab sostiene che il malware potrebbe
essere online dal 2007● Si propaga tramite USB Key, nella rete locale
grazie ad una vulnerabilità di Windows nei sistemi con stampante condivisa
● Usa un falso certificato digitale
2012: Flame
● Ha funzioni di keylogger● Cattura immagini● Registra l'audio (conversazioni via Skype)● Ruba documenti di testo e file DWG (Progetti
AutoCad)● Rilevate somiglianze con Stuxnet e Duqu ma
con un obiettivo diverso: spionaggio industriale
2012: Flame risale al 2008?http://www.crysys.hu/skywiper/skywiper.pdf
● Un soldato inviato sul campo di battaglia per ripulire le tracce
● Ha lo scopo di cancellare tutte le tracce lasciate da Stuxnet e Duqu
● La priorità di rimuovere le informazioni è data ai file .PNF (usati da Stuxnet)
● Rimuove inoltre tutti dati utili ai tecnici forensi (non è un caso)
2012: Shamoon
● Scoperto nel mese di agosto 2012● Shamoon è il nome trovato nel codice● Progettato per lo spionaggio● Ha preso di mira un ente petrolifero di Stato
Saudita● Cancella i dati del pc infetto sostituendoli con
delle immagini (una bandiera americana)● I file originali vengono verso un server
sconosciuto
Perchè analizzare un Malware?
L'analisi è una procedura che va eseguita in laboratorio - quando è possibile - e consente di ricostruire la logica del malware per rispondere ai quattro quesiti che si presentano quando una macchina viene compromessa.
I 4 Quesiti
● 1. Qual è lo scopo del malware? ● 2. Quali informazioni è riuscito a carpire? ● 3. Dove sono state trasmesse le informazioni? ● 4. Come ha fatto ad arrivare fin qui?
Con cosa abbiamo a che fare?
● Persone altamente competenti● Codice è offuscato● Crittorgrafia (soprattutto durante la
trasmissione dei dati)● Funzioni di rootkit● Vulnerabilità 0-day
Tipi di Analisi
● Analisi Statica– Codice
– Signature
– Evidence
● Analisi Dinamica– Comportamento
– Mutazioni
– Connessioni
Remote Access Trojan
Malware Anti-Analysis
● Anti Online-Analysis– ThreatExpert– CWSandbox– Anubis
● Anti Virtualizzation– VMware– Virtualbox– Virtual PC
● Anti Debug/Disass.– Softice– OllyDbg– IDA Pro
Torniamo al Cybercrime
Vulnerabilità Condivise
Acquisti nell'Underground Russo
● Hacking a Gmail account: $162● Hacking a corporate mailbox: $500)● Scans of legitimate passports: $5 each● Winlocker ransomware: $10-20● Unintelligent exploit bundle: $25● Intelligent exploit bundle: $10-3,000● Traffic: $7-15 per 1,000 visitors for the most
valuable traffic (from the US and EU)
Acquisti nell'Underground Russo
● Basic crypter (for inserting rogue code into a benign file): $10-30
● SOCKS bot (to get around firewalls): $100● Hiring a DDoS attack: $30-70 for a day,
$1,200 for a month● Email spam: $10 per one million e-mails● Expensive email spam (using a customer
database): $50-500 per one million e-mails
Acquisti nell'Underground Russo
● SMS spam: $3-150 per 100-100,000 messages
● Bots for a botnet: $200 for 2,000 bots● DDoS botnet: $700● ZeuS source code: $200-$500● Windows rootkit (for installing malicious
drivers): $292● Hacking a Facebook or Twitter account: $130
ZeuSUn progetto criminale (ora) Open Source
ZeuS Info
● Online dal 2006● Scritto in Visual C++● Gli autori non amano chiamarlo Trojan,
Backdoor o Virus. Lo chiamano semplicemente “Bot”
● Prende di mira i sistemi MS Windows● Basato sulle intercettazioni delle WinAPI
ZeuS Ring
● Ring3– Garantisce adattabilità e scalabilità
– Può operare in Guest User
ZeuS Client Features
● Sniffer di traffico su protocollo TCP● Intercettazione di login FTP● Intercettazione di login POP3● Intercetta le chiamate alla libreria Wininet.dll
(usata da Internet Explorer) e nspr4.dll (usata da Firefox) per connessioni HTTP e HTTPS
● Encryption 1024-bit RSA
ZeuS Server Features
● Usa Socks 4/4a/5 con supporto UDP e IPv6● Connessioni alla macchina infetta via FTP o
RDP● Screenshot in real time● Esecuzione comandi da remoto
ZeuS HTTP-inject/HTTP-grabberwebinjects.txt
set_url https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jsp GP