Download - 4N6 | Servizi computer forensics

LE NUOVE SFIDE INTRODOTTE DAI MALWARE DI ULTIMA GENERAZIONE “Il mondo è cambiato. Lo sento nell’acqua, lo sento nella terra, lo avverto nell’aria.”

Il#Signore#degli#anelli:#La#compagnia#dell’anello.# di#Peter#Jackson#

I MALWARE CLASSICI: DEFINIZIONE Una#volta#esistevano#i#VIRUS…# # “Un$virus$informa.co$è$un$programma$che$ ricorsivamente$ed$esplicitamente$copia$una$ versione$possibilmente$evoluta$di$sé$stesso”$ #

I MALWARE CLASSICI: IL PRIMO ;) Elk Cloner: The program with a personality! It will get on all your disks! It will infiltrate your chips! Yes it's Cloner!! It will stick to you like glue! It will modify RAM too! Send in the Cloner!!

Elk$Cloner$

Rich#Skrenta,#1982# •  avvio#autonomaEco# •  Auto#replicazione# •  Propagazione#tramite#floppy# disk# # #

I MALWARE CLASSICI: …GLI ANNI ‘80

Brain,$Packistan,#1986# •  Primo#infector#per#l’MBR#

Lehigh,#1987# •  Primo#“file$injector”$dei#file#“.com”$ Nel$1988$fu$creato$il$primo$worm$della$storia$ Vienna,$AIDS$1989# •  primi#virus#polimorfi# •  In#grado#di#cifrare#i#daE#su#disco#e#chiedere#un# “riscaRo”# #

I MALWARE CLASSICI: PROPAGAZIONE •  Si#propagavano#molto#lentamente#per#la# maggior#parte#tramite#supporE#magneEci#o# oSci# •  Non#facevano#alcun#danno#al#computer#infeRo# •  AutocelebraEvi#della#bravura#di#chi#lo#aveva# creato# #

I MALWARE CLASSICI: …GLI ANNI ‘90

Macrovirus,#1995# •  ScriS#nel#linguaggio#di#MSWWord,#Outloock,#etc.# •  Si#propagavano#aRraverso#lo#scambio#di#documenE#

Chernobyl$o$CIH,#1998# •  Primo#in#grado#di#infeRare#il#BIOS#e#la#tabella# delle#parEzioni#il#giorno#26#di#ogni#mese!# #

I MALWARE CLASSICI: …IL NUOVO SECOLO

Melissa,#1999W2000# •  Per#la#prima#volta#un#malware#era#in#grado#infeRare#il# PC#target#sfruRando#vulnerabilità#di#Internet#Explorer# e#Outlook#Express# •  Si#propagavano#aRraverso#mail#e#dunque#internet# #

I MALWARE CLASSICI: …IL NUOVO SECOLO

I$Love$You,#script#Virus,#2001# •  UElizzano#la#capacità##dei#browser#o#di#Outloock#di# eseguire#codice# •  Non#serve#alcuna#interazione#da#parte#dell’utente,#il# virus#infeRa#e#si#propaga#autonomamente# •  Primo#virus#in#grado#di#meRere#in#crisi#intere#infraW struRure,#i#mail#server.# •  Come#mai#Outlook#è#programmabile#tramite#una# mail?# –  Scelta#infelice#o#molto#oculata#da#parte#di#Microsod?# #

I MALWARE CLASSICI: …IL NUOVO SECOLO

Slammer,#worm,#2003W2004# •  UElizzava#una#vulnerabilità#nota#di#MSSQL#2000# •  A#10#min.#dal#suo#rilascio#aveva#infeRato#75000#server# su#internet.# •  Il#25#gennaio#2003,#provoca#il#rallentamento#globale#di# internet.# •  Ha#paralizzato#i#bancomat#di#Bank#of#America# •  CancellaE#migliaia#di#voli#in#tuRo#il#mondo# •  ImpaRaE#pesantemente#i#sistemi#del#911# •  SEmaE#danni#per#oltre#1#miliardo#di#dollari#in#USA# #

I MALWARE CLASSICI: …IL NUOVO SECOLO

Blaster,#worm,#2003# •  SfruRa#un#baco#del#modulo#RPC#DCOM# •  InfeRa#Sistemi#con#WindowsXP#e#2000#32bit#e#rende# instabili#sistemi#a#64#bit#(WinXP#e#2003#server)# # “I just want to say LOVE YOU SAN!!”# “billy gates why do you make this possible ? Stop making money and fix your software!!”#

•  ARacco#DoS#(SYN#flud)#a#windowsupdate.com# –  EffeS#irrilevanE# –  windowsupdate.microsod.com#

I MALWARE CLASSICI: …IL NUOVO SECOLO

Sasser,#worm,#2003W2004# •  SfruRa#un#baco#del#modulo#LSASS# •  Munito#di#modulo#per#la#scansione#sulla#rete#alla# ricerca#di#altre#macchine#da#infeRare#(128#thread# contemporanei)# •  Apparso#a#pochi#giorni#dal#rilascio#della#patch#da#parte# di#Microsod#si#crede#possa#essere#stato#realizzato# mediante#tecniche#di#reverse#engineering#sulla#patch# stessa# # #

I MALWARE CLASSICI: TECNICHE DI DETECTION

•  Tecniche#direRe#SCANNER# –  Ricerca#tramite#“firme”# –  Ricerca#tramite#tecniche#EurisEche# –  Ricerca#con#tecniche#basate#su#“ReputaEon”#dei#file# #

ARCHITETTURE ENTERPRISE TIPICHE

# #

Firewall#–#Non#riescono#ad#interceRare#aRacchi# miraE#avanzaE#o#exploit# IPS#–#Si#basano#su#firme,#sono#soggeS#a#numerosi# falsi#posiEvi,#non#hanno#grande#“visibilità# temporale”# Secure$Web$Gateway$–#Mediamente#efficaci#solo# per#i#malware#scriptWbased#ed#URL#filtering# AnMspam$Gateway#–#nessuna#vera#protezione# contro#le#speare#phishing# Desktop$AV#–#controlli#basaE#su#firme#al#massimo# eurisEci;#nessuna#efficacia#contro#gli#advanced# target#aRack#

I NUOVI MALWARE: VETTORI •  Molteplici#VeRori# –  SiE#violaE# –  Java#script#evil# –  DocumenE#(MSOffice,#PDF,#Immagini,#Video,#etc.)# –  ARacchi#complessi#di#social#engineering# –  Spam#e#phishing# –  Spear#phishing## –  Social#Network# –  Web#content#malevoli#(Frame,#iFrame,#java#content,#flash# content,#etc.)#

•  Una#costante;#il#web!!!# #

I NUOVI MALWARE: L’INFEZIONE •  MulE#componente# –  Downloader# –  Rootkit# –  “Plugin#vari”# •  •  •  •  •  •  •  •  • 

Spam# Scan# DDoS# AggiornamenE# Spreading#Malware# Traffic#Sniffer# Keylogging# IdenEty#thed# Remote#Controt#

•  •  •  •  •  • 

frodi#bancarie# Data#exfiltraEon# Spionaggio# ARacchi#miraE# Cancellazione#di#DaE#locali# Etc.#

I NUOVI MALWARE: I COPONENTI •  Downloader# –  –  –  –  –  –  –  – 

– 

È#il#primo#modulo#ad#essere#“caricato”# È#piccolo#e#relaEvamente#poco#oneroso#da#sviluppare# TuS#giorni#ne#vengono#prodoS#numeri#enormi# Vita#media#uEle,#da#qualche#ora#a#qualche#giorno# Nell’arco#di#pochi#giorni#sono#individuaE#dagli#anEvirus#aRraverso# tecniche#di#reputaEon#e#diventano#inservibili# Sono#la#componente#sodware#veicolata#sul#computer#da#infeRare# Sono#in#grado#di#aggirare#le#difese#locali#e#scaricare#gli#altri#moduli# E’#uElizzato#in#una#infezione#da#malware#per#eludere$i#controlli#e#le# eventuali#contromisure#che#potrebbero#impedire#agli#stadi#successivi#di# infeRare#la#macchina# Possono#essere#crossNplaOorm#e#sfruRando#le#funzionalità#avanzate#di# alcuni#prodoS#sodware#(browser,#java,#flash,#etc.)#riescono#ad#infeRare# indifferentemente#ogni#Epo#di#sistema#

I NUOVI MALWARE: I COPONENTI •  Rootkit# –  Quasi#tuS#i#malware#oggi#hanno#un#rootkit#

•  Cosè#un#Rootkit?# Il$rootkit$è$un$programma$in$grado$di$prendere$il$controllo$del$ sistema$infe?ato$senza$autorizzazione$esplicita$da$parte$ dell’utente.$ •  Il#Rootkit#viene#usato#in#una#infezione#da#malware#per# “nascondere”#il#malware#stesso#e#le#evidenze#delle#aSvità# dello#stesso#sul#sistema#infeRo# •  Codice#estremamente#complesso#che#si#avvale#di#tecniche#di# programmazioni#molto#parEcolari#ed#alla#portata#di#un#numero# limitato#di#sviluppatori#

I NUOVI MALWARE: I COPONENTI •  Plugin# –  Sono#componenE#sodware#che#caraRerizzano#il#malware# –  Tali#codici#danno$le$funzionalità$al$malwre$ –  Massima#libertà,#i#plugin#arrivano#in#un#ambiente#“soRomesso”#alla# volontà#del#rooykit# –  Possono#essere#grandi#anche#decine#di#MB# –  Sono#dinamici,#intercambiabili#ed#aggiornabili# –  Il#codice#può#essere#anche#moto#sofisEcato#ed#uElizzare#tecniche#e# tecnologie#molto#spinte# •  •  •  • 

CriRografia#nelle#comunicazioni# Capacità#di#ricercare#(scan)#sistemi#vulnerabili# Capacità#di#aRaccare#(exploiEng)#i#sistemi#vulnerabili#scoperE#per#auto#propagarsi# Dare#la#capacità#all’aRaccante#di#controllare#completamente#l’hardware#ed#il# sodware#del#sistema#infeRato##

I NUOVI MALWARE: …COME È POSSIBILE? # MA#COME#E’#POSSIBILE?# •  Quasi#tuS#i#malware#hanno#a#bordo#“tecnologia# spinta”#ed#alle#spalle#migliaia#di#ore#di#sviluppo!!!# •  Quasi#tuS#i#malware#hanno#potenzialmente#la# possibilità#di#eseguire#un#numero#considerevole#di# aRacchi#diversi#dal#DDoS#allo#Spionaggio!!!# •  Alcuni#sono#persino#mulE#piaRaforma!!!# # #

I NUOVI MALWARE: I TOOLKIT #

TuRo#questo#è#possibile#per#l’avvento#dei#toolkit# •  Un#toolkit#è#un’applicazione#“userWfriendly”#che# permeRe,#anche#a#chi#non#ha#parEcolari#conoscenze# di#programmazione#ed#in#parEcolare#di#codice# malevolo,#di#creare#un#malware#e#predisporne#la# distribuzione#in#Internet## # # #

I NUOVI MALWARE: I TOOLKIT •  Un#toolkit#è#un’applicazione#“userWfriendly”#che# permeRe,#anche#a#chi#non#ha#parEcolari#conoscenze# di#programmazione#e#di#codice#malevolo,#di#preparare# un#malware#e#predisporne#la#distribuzione#in#Internet## Sono$la$necessaria$evoluzione$che$ha$permesso$la$ “pra.ca$di$pochi”$di$diventare$un$mercato$organizzato$ con$delle$figure$chiave$ •  ProduRori#(pochi#sviluppatori#o#gruppi#di#sviluppo)# •  Intermediari#(personaggi#o#meglio#luoghi#virtuali)# •  Consumatori#(chiunque#abbia#a#disposizione#quanEtà# di#denaro#poco#più#che#modeste)# #

I NUOVI MALWARE: C&C E BOTNET •  L’avvento#dei#Toolkit#e#la#“clientela”#alla#quale#erano# indirizzate#ha#reso#necessario#l’organizzazione#dei# nuovi#malware#con#una#componente#di#C&C# (command$and$control).# •  La#C&C#rende#possibile#l’amministrazione#e#l’uElizzo#di# tuS#i#malware#creaE#che#sono#uniE#in#una#enEtà# chiamata#bootnet.# •  L’architeRura#di#C&C#può#essere# –  Centralizzata#(uno#o#più#server#che#permeRono#la# comunicazione#tra#boot#e#“amministratore”)# –  Distribuita#(sono#usate#tecniche#di#P2P#per#evitare#“punE#di# debolezza”#nella#struRura#di#C&C)#

#

I NUOVI MALWARE: C&C E BOTNET •  L’esistenza#della#C&C#comporta#la#necessità#di# comunicare$ed#è#qui#che#“casca#l’asino”# La#comunicazione#tra#il#singolo#boot#e#la#C&C#o#la#rete#di# P2P#è#proprio#l’anello#debole#che,#per#ora,#rende# possibile#l’interceRazione#ed#il#riconoscimento#del# singolo#sistema#infeRo,#a#paRo#che#siano#usate:# •  Tecniche$indireRe$di$detecMon#(analisi#del#traffico#di# rete,#etc.)# •  Tecniche$avanzate$di$correlazione$degli$evenM$ •  Virtual$execuMon$e$Analisi$dinamiche$realMme$ •  Basi$di$daM$shared$$ #

I NUOVI MALWARE: BOTNET ESEMPI •  Alcuni#esempi#di#bootnet#tra#le#più#aSve#e#diffuse# troviamo# –  ZeuS$ –  SpyEye$ –  Conficker$ –  TorPig$ –  ZeroAccess$

•  Alcune#botnet#recentemente#eliminate#dall’aSvità# congiunta#di#Microsod#ed#altre#aziende:#Rustock#(aSva# dal#2006),#Bamital#(aSva#dal#2009),#Virut#(aSva#dal#2006)#

hRp://www.forEnet.com/sites/default/files/whitepapers/AnatomyWofWaWBotnetWWP.pdf#

#

I NUOVI MALWARE: …È SOLO L’INIZIO! TuRo$questo$è$solo$la$ punta$dell’iceberg!!!$ $ I$Malware$fino$ad$ora$visM$ possiamo$definirli$ “Commerciali”.$ $ Esistono$ben$più$esoMche$ creature$in$giro$per$il$ cyber$space.$ # #

I NUOVI MALWARE: …MOLTO DI PIÙ •  •  •  •  •  •  •  •  •  • 

OperaEon#Aurora# Stuxnet# Duqu# Flame#e#la#sua#bruRa#copia#Shamoon# Bundestrojaner#(‘federal#trojan’)## FinFisher#(Gamma#InternaEonal)# Mahdi# Gauss# Red#October## Etc.#etc…#

I NUOVI MALWARE: …UNA REALTÀ StateNSponsored$Hacker$Group$Stealing$1TB$of$ Data$a$Day$$ “Based$on$our$research$we$es.mate$that$up$to$30,000$ systems$had$data$stolen$over$a$period$of$a$few$years.$ This$es.mate$is$based$on$500$servers$each$connected$to$ about$20$vic.ms$at$a$.me.$Each$server$extracts$about$ 2.4GB$of$data$every$day.$That$is$a$total$of$more$than$1TB$ stolen,$every$day,$ongoing.”# # # # hRp://www.teamWcymru.com/Services/EIS/eis.pdf#

I NUOVI MALWARE: …OVVIA CONSIDERAZIONE

I$malware$odierni$hanno$tuRe$le$caraRerisMche$ per$definirli$un’arma,$che$espime$il$massimo$ potenziale$quando$sono$al$servizio$di$ organizzazioni$in$possesso$di$coperture$di$natura$ economica$e$legale$$$ # Ad#oggi#quasi#tuS#gli#staE#si#sono#o#si#stanno# organizzando#al#fine#di#considerare#il#cyber#spazio#come# il#quinto#dominio#al#pari#di#terra#acqua#aria#e#spazio.# # #

IN ITALIA… •  DPCM$24$Gennaio$2013$$ DireSva#recante#indirizzi#per#la#protezione#ciberneEca#e# la#sicurezza#informaEca#nazionale## Pubblicato#il#19/03/2013## Ritenuto$che$...$la$definizione$di$un$quadro$strategico$nazionale$in$ materia$di$sicurezza$ciberne.ca$debba$procedere$secondo$un$ percorso$di$graduale$e$progressiva$razionalizzazione$di$ruoli,$ strumen.$e$procedure$con$l’obieTvo$di$accrescere$la$capacità$del$ Paese$di$assicurare$la$sicurezza$dello$spazio$ciberne.co,$ove$ necessario$anche$con$interven.$di$cara?ere$norma.vo$…$

Abbiamo$iniziato!$Speriamo$di$arrivare$in$tempo!$!$

I MALWARE: …CONSIDERAZONI FINALI •  Ad#oggi#i#malware#sono#in#grado#di#cose#che#fino#a# qualche#anni#fa#erano#appannaggio#di#pochi#esperE.# •  Il#messaggio#è#chiaro#e#forte,#non#c’è#che#da#recepirlo# ricordando#che#i#tempi#del#cyber#spazio#sono# enormemente#più#ridoS#se#confrontaE#con#le# tempisEche#della#nostra#vita#“fisica”.# Se#questa#realtà#verà#soRovalutata#allora…# “RESISTENCE IS FUTILE” # #

GRAZIE PER L’ATTENZIONE DOMANDE? # Ing.#Raffaele#Addesso# Senior#Security#Consultant# raff[email protected]# [email protected]#

#