Nuove Sfide dai Malware.pptx - 4N6 | Servizi computer forensics

LE NUOVE SFIDE INTRODOTTE DAI
MALWARE DI ULTIMA GENERAZIONE
“Il mondo è cambiato. Lo sento
nell’acqua, lo sento nella terra, lo
avverto nell’aria.”
Il#Signore#degli#anelli:#La#compagnia#dell’anello.#
di#Peter#Jackson#
I MALWARE CLASSICI: DEFINIZIONE
Una#volta#esistevano#i#VIRUS…#
#
“Un$virus$informa.co$è$un$programma$che$
ricorsivamente$ed$esplicitamente$copia$una$
versione$possibilmente$evoluta$di$sé$stesso”$
#
I MALWARE CLASSICI: IL PRIMO ;)
Elk Cloner: The program with a personality!
It will get on all your disks!
It will infiltrate your chips!
Yes it's Cloner!!
It will stick to you like glue!
It will modify RAM too!
Send in the Cloner!!
Elk$Cloner$
Rich#Skrenta,#1982#
•  avvio#autonomaEco#
•  Auto#replicazione#
•  Propagazione#tramite#floppy#
disk#
#
#
I MALWARE CLASSICI: …GLI ANNI ‘80
Brain,$Packistan,#1986#
•  Primo#infector#per#l’MBR#
Lehigh,#1987#
•  Primo#“file$injector”$dei#file#“.com”$
Nel$1988$fu$creato$il$primo$worm$della$storia$
Vienna,$AIDS$1989#
•  primi#virus#polimorfi#
•  In#grado#di#cifrare#i#daE#su#disco#e#chiedere#un#
“riscaRo”#
#
I MALWARE CLASSICI: PROPAGAZIONE
•  Si#propagavano#molto#lentamente#per#la#
maggior#parte#tramite#supporE#magneEci#o#
oSci#
•  Non#facevano#alcun#danno#al#computer#infeRo#
•  AutocelebraEvi#della#bravura#di#chi#lo#aveva#
creato#
#
I MALWARE CLASSICI: …GLI ANNI ‘90
Macrovirus,#1995#
•  ScriS#nel#linguaggio#di#MSWWord,#Outloock,#etc.#
•  Si#propagavano#aRraverso#lo#scambio#di#documenE#
Chernobyl$o$CIH,#1998#
•  Primo#in#grado#di#infeRare#il#BIOS#e#la#tabella#
delle#parEzioni#il#giorno#26#di#ogni#mese!#
#
I MALWARE CLASSICI: …IL NUOVO SECOLO
Melissa,#1999W2000#
•  Per#la#prima#volta#un#malware#era#in#grado#infeRare#il#
PC#target#sfruRando#vulnerabilità#di#Internet#Explorer#
e#Outlook#Express#
•  Si#propagavano#aRraverso#mail#e#dunque#internet#
#
I MALWARE CLASSICI: …IL NUOVO SECOLO
I$Love$You,#script#Virus,#2001#
•  UElizzano#la#capacità##dei#browser#o#di#Outloock#di#
eseguire#codice#
•  Non#serve#alcuna#interazione#da#parte#dell’utente,#il#
virus#infeRa#e#si#propaga#autonomamente#
•  Primo#virus#in#grado#di#meRere#in#crisi#intere#infraW
struRure,#i#mail#server.#
•  Come#mai#Outlook#è#programmabile#tramite#una#
mail?#
–  Scelta#infelice#o#molto#oculata#da#parte#di#Microsod?#
#
I MALWARE CLASSICI: …IL NUOVO SECOLO
Slammer,#worm,#2003W2004#
•  UElizzava#una#vulnerabilità#nota#di#MSSQL#2000#
•  A#10#min.#dal#suo#rilascio#aveva#infeRato#75000#server#
su#internet.#
•  Il#25#gennaio#2003,#provoca#il#rallentamento#globale#di#
internet.#
•  Ha#paralizzato#i#bancomat#di#Bank#of#America#
•  CancellaE#migliaia#di#voli#in#tuRo#il#mondo#
•  ImpaRaE#pesantemente#i#sistemi#del#911#
•  SEmaE#danni#per#oltre#1#miliardo#di#dollari#in#USA#
#
I MALWARE CLASSICI: …IL NUOVO SECOLO
Blaster,#worm,#2003#
•  SfruRa#un#baco#del#modulo#RPC#DCOM#
•  InfeRa#Sistemi#con#WindowsXP#e#2000#32bit#e#rende#
instabili#sistemi#a#64#bit#(WinXP#e#2003#server)#
#
“I just want to say LOVE YOU SAN!!”#
“billy gates why do you make this possible ?
Stop making money and fix your software!!”#
•  ARacco#DoS#(SYN#flud)#a#windowsupdate.com#
–  EffeS#irrilevanE#
–  windowsupdate.microsod.com#
I MALWARE CLASSICI: …IL NUOVO SECOLO
Sasser,#worm,#2003W2004#
•  SfruRa#un#baco#del#modulo#LSASS#
•  Munito#di#modulo#per#la#scansione#sulla#rete#alla#
ricerca#di#altre#macchine#da#infeRare#(128#thread#
contemporanei)#
•  Apparso#a#pochi#giorni#dal#rilascio#della#patch#da#parte#
di#Microsod#si#crede#possa#essere#stato#realizzato#
mediante#tecniche#di#reverse#engineering#sulla#patch#
stessa#
#
#
I MALWARE CLASSICI: TECNICHE DI
DETECTION
•  Tecniche#direRe#SCANNER#
–  Ricerca#tramite#“firme”#
–  Ricerca#tramite#tecniche#EurisEche#
–  Ricerca#con#tecniche#basate#su#“ReputaEon”#dei#file#
#
ARCHITETTURE ENTERPRISE TIPICHE
#
#
Firewall#–#Non#riescono#ad#interceRare#aRacchi#
miraE#avanzaE#o#exploit#
IPS#–#Si#basano#su#firme,#sono#soggeS#a#numerosi#
falsi#posiEvi,#non#hanno#grande#“visibilità#
temporale”#
Secure$Web$Gateway$–#Mediamente#efficaci#solo#
per#i#malware#scriptWbased#ed#URL#filtering#
AnMspam$Gateway#–#nessuna#vera#protezione#
contro#le#speare#phishing#
Desktop$AV#–#controlli#basaE#su#firme#al#massimo#
eurisEci;#nessuna#efficacia#contro#gli#advanced#
target#aRack#
I NUOVI MALWARE: VETTORI
•  Molteplici#VeRori#
–  SiE#violaE#
–  Java#script#evil#
–  DocumenE#(MSOffice,#PDF,#Immagini,#Video,#etc.)#
–  ARacchi#complessi#di#social#engineering#
–  Spam#e#phishing#
–  Spear#phishing##
–  Social#Network#
–  Web#content#malevoli#(Frame,#iFrame,#java#content,#flash#
content,#etc.)#
•  Una#costante;#il#web!!!#
#
I NUOVI MALWARE: L’INFEZIONE
•  MulE#componente#
–  Downloader#
–  Rootkit#
–  “Plugin#vari”#
• 
• 
• 
• 
• 
• 
• 
• 
• 
Spam#
Scan#
DDoS#
AggiornamenE#
Spreading#Malware#
Traffic#Sniffer#
Keylogging#
IdenEty#thed#
Remote#Controt#
• 
• 
• 
• 
• 
• 
frodi#bancarie#
Data#exfiltraEon#
Spionaggio#
ARacchi#miraE#
Cancellazione#di#DaE#locali#
Etc.#
I NUOVI MALWARE: I COPONENTI
•  Downloader#
– 
– 
– 
– 
– 
– 
– 
– 
– 
È#il#primo#modulo#ad#essere#“caricato”#
È#piccolo#e#relaEvamente#poco#oneroso#da#sviluppare#
TuS#giorni#ne#vengono#prodoS#numeri#enormi#
Vita#media#uEle,#da#qualche#ora#a#qualche#giorno#
Nell’arco#di#pochi#giorni#sono#individuaE#dagli#anEvirus#aRraverso#
tecniche#di#reputaEon#e#diventano#inservibili#
Sono#la#componente#sodware#veicolata#sul#computer#da#infeRare#
Sono#in#grado#di#aggirare#le#difese#locali#e#scaricare#gli#altri#moduli#
E’#uElizzato#in#una#infezione#da#malware#per#eludere$i#controlli#e#le#
eventuali#contromisure#che#potrebbero#impedire#agli#stadi#successivi#di#
infeRare#la#macchina#
Possono#essere#crossNplaOorm#e#sfruRando#le#funzionalità#avanzate#di#
alcuni#prodoS#sodware#(browser,#java,#flash,#etc.)#riescono#ad#infeRare#
indifferentemente#ogni#Epo#di#sistema#
I NUOVI MALWARE: I COPONENTI
•  Rootkit#
–  Quasi#tuS#i#malware#oggi#hanno#un#rootkit#
•  Cosè#un#Rootkit?#
Il$rootkit$è$un$programma$in$grado$di$prendere$il$controllo$del$
sistema$infe?ato$senza$autorizzazione$esplicita$da$parte$
dell’utente.$
•  Il#Rootkit#viene#usato#in#una#infezione#da#malware#per#
“nascondere”#il#malware#stesso#e#le#evidenze#delle#aSvità#
dello#stesso#sul#sistema#infeRo#
•  Codice#estremamente#complesso#che#si#avvale#di#tecniche#di#
programmazioni#molto#parEcolari#ed#alla#portata#di#un#numero#
limitato#di#sviluppatori#
I NUOVI MALWARE: I COPONENTI
•  Plugin#
–  Sono#componenE#sodware#che#caraRerizzano#il#malware#
–  Tali#codici#danno$le$funzionalità$al$malwre$
–  Massima#libertà,#i#plugin#arrivano#in#un#ambiente#“soRomesso”#alla#
volontà#del#rooykit#
–  Possono#essere#grandi#anche#decine#di#MB#
–  Sono#dinamici,#intercambiabili#ed#aggiornabili#
–  Il#codice#può#essere#anche#moto#sofisEcato#ed#uElizzare#tecniche#e#
tecnologie#molto#spinte#
• 
• 
• 
• 
CriRografia#nelle#comunicazioni#
Capacità#di#ricercare#(scan)#sistemi#vulnerabili#
Capacità#di#aRaccare#(exploiEng)#i#sistemi#vulnerabili#scoperE#per#auto#propagarsi#
Dare#la#capacità#all’aRaccante#di#controllare#completamente#l’hardware#ed#il#
sodware#del#sistema#infeRato##
I NUOVI MALWARE: …COME È POSSIBILE?
#
MA#COME#E’#POSSIBILE?#
•  Quasi#tuS#i#malware#hanno#a#bordo#“tecnologia#
spinta”#ed#alle#spalle#migliaia#di#ore#di#sviluppo!!!#
•  Quasi#tuS#i#malware#hanno#potenzialmente#la#
possibilità#di#eseguire#un#numero#considerevole#di#
aRacchi#diversi#dal#DDoS#allo#Spionaggio!!!#
•  Alcuni#sono#persino#mulE#piaRaforma!!!#
#
#
I NUOVI MALWARE: I TOOLKIT
#
TuRo#questo#è#possibile#per#l’avvento#dei#toolkit#
•  Un#toolkit#è#un’applicazione#“userWfriendly”#che#
permeRe,#anche#a#chi#non#ha#parEcolari#conoscenze#
di#programmazione#ed#in#parEcolare#di#codice#
malevolo,#di#creare#un#malware#e#predisporne#la#
distribuzione#in#Internet##
#
#
#
I NUOVI MALWARE: I TOOLKIT
•  Un#toolkit#è#un’applicazione#“userWfriendly”#che#
permeRe,#anche#a#chi#non#ha#parEcolari#conoscenze#
di#programmazione#e#di#codice#malevolo,#di#preparare#
un#malware#e#predisporne#la#distribuzione#in#Internet##
Sono$la$necessaria$evoluzione$che$ha$permesso$la$
“pra.ca$di$pochi”$di$diventare$un$mercato$organizzato$
con$delle$figure$chiave$
•  ProduRori#(pochi#sviluppatori#o#gruppi#di#sviluppo)#
•  Intermediari#(personaggi#o#meglio#luoghi#virtuali)#
•  Consumatori#(chiunque#abbia#a#disposizione#quanEtà#
di#denaro#poco#più#che#modeste)#
#
I NUOVI MALWARE: C&C E BOTNET
•  L’avvento#dei#Toolkit#e#la#“clientela”#alla#quale#erano#
indirizzate#ha#reso#necessario#l’organizzazione#dei#
nuovi#malware#con#una#componente#di#C&C#
(command$and$control).#
•  La#C&C#rende#possibile#l’amministrazione#e#l’uElizzo#di#
tuS#i#malware#creaE#che#sono#uniE#in#una#enEtà#
chiamata#bootnet.#
•  L’architeRura#di#C&C#può#essere#
–  Centralizzata#(uno#o#più#server#che#permeRono#la#
comunicazione#tra#boot#e#“amministratore”)#
–  Distribuita#(sono#usate#tecniche#di#P2P#per#evitare#“punE#di#
debolezza”#nella#struRura#di#C&C)#
#
I NUOVI MALWARE: C&C E BOTNET
•  L’esistenza#della#C&C#comporta#la#necessità#di#
comunicare$ed#è#qui#che#“casca#l’asino”#
La#comunicazione#tra#il#singolo#boot#e#la#C&C#o#la#rete#di#
P2P#è#proprio#l’anello#debole#che,#per#ora,#rende#
possibile#l’interceRazione#ed#il#riconoscimento#del#
singolo#sistema#infeRo,#a#paRo#che#siano#usate:#
•  Tecniche$indireRe$di$detecMon#(analisi#del#traffico#di#
rete,#etc.)#
•  Tecniche$avanzate$di$correlazione$degli$evenM$
•  Virtual$execuMon$e$Analisi$dinamiche$realMme$
•  Basi$di$daM$shared$$
#
I NUOVI MALWARE: BOTNET ESEMPI
•  Alcuni#esempi#di#bootnet#tra#le#più#aSve#e#diffuse#
troviamo#
–  ZeuS$
–  SpyEye$
–  Conficker$
–  TorPig$
–  ZeroAccess$
•  Alcune#botnet#recentemente#eliminate#dall’aSvità#
congiunta#di#Microsod#ed#altre#aziende:#Rustock#(aSva#
dal#2006),#Bamital#(aSva#dal#2009),#Virut#(aSva#dal#2006)#
hRp://www.forEnet.com/sites/default/files/whitepapers/AnatomyWofWaWBotnetWWP.pdf#
#
I NUOVI MALWARE: …È SOLO L’INIZIO!
TuRo$questo$è$solo$la$
punta$dell’iceberg!!!$
$
I$Malware$fino$ad$ora$visM$
possiamo$definirli$
“Commerciali”.$
$
Esistono$ben$più$esoMche$
creature$in$giro$per$il$
cyber$space.$
#
#
I NUOVI MALWARE: …MOLTO DI PIÙ
• 
• 
• 
• 
• 
• 
• 
• 
• 
• 
OperaEon#Aurora#
Stuxnet#
Duqu#
Flame#e#la#sua#bruRa#copia#Shamoon#
Bundestrojaner#(‘federal#trojan’)##
FinFisher#(Gamma#InternaEonal)#
Mahdi#
Gauss#
Red#October##
Etc.#etc…#
I NUOVI MALWARE: …UNA REALTÀ
StateNSponsored$Hacker$Group$Stealing$1TB$of$
Data$a$Day$$
“Based$on$our$research$we$es.mate$that$up$to$30,000$
systems$had$data$stolen$over$a$period$of$a$few$years.$
This$es.mate$is$based$on$500$servers$each$connected$to$
about$20$vic.ms$at$a$.me.$Each$server$extracts$about$
2.4GB$of$data$every$day.$That$is$a$total$of$more$than$1TB$
stolen,$every$day,$ongoing.”#
#
#
#
hRp://www.teamWcymru.com/Services/EIS/eis.pdf#
I NUOVI MALWARE: …OVVIA CONSIDERAZIONE
I$malware$odierni$hanno$tuRe$le$caraRerisMche$
per$definirli$un’arma,$che$espime$il$massimo$
potenziale$quando$sono$al$servizio$di$
organizzazioni$in$possesso$di$coperture$di$natura$
economica$e$legale$$$
#
Ad#oggi#quasi#tuS#gli#staE#si#sono#o#si#stanno#
organizzando#al#fine#di#considerare#il#cyber#spazio#come#
il#quinto#dominio#al#pari#di#terra#acqua#aria#e#spazio.#
#
#
IN ITALIA…
•  DPCM$24$Gennaio$2013$$
DireSva#recante#indirizzi#per#la#protezione#ciberneEca#e#
la#sicurezza#informaEca#nazionale##
Pubblicato#il#19/03/2013##
Ritenuto$che$...$la$definizione$di$un$quadro$strategico$nazionale$in$
materia$di$sicurezza$ciberne.ca$debba$procedere$secondo$un$
percorso$di$graduale$e$progressiva$razionalizzazione$di$ruoli,$
strumen.$e$procedure$con$l’obieTvo$di$accrescere$la$capacità$del$
Paese$di$assicurare$la$sicurezza$dello$spazio$ciberne.co,$ove$
necessario$anche$con$interven.$di$cara?ere$norma.vo$…$
Abbiamo$iniziato!$Speriamo$di$arrivare$in$tempo!$!$
I MALWARE: …CONSIDERAZONI FINALI
•  Ad#oggi#i#malware#sono#in#grado#di#cose#che#fino#a#
qualche#anni#fa#erano#appannaggio#di#pochi#esperE.#
•  Il#messaggio#è#chiaro#e#forte,#non#c’è#che#da#recepirlo#
ricordando#che#i#tempi#del#cyber#spazio#sono#
enormemente#più#ridoS#se#confrontaE#con#le#
tempisEche#della#nostra#vita#“fisica”.#
Se#questa#realtà#verà#soRovalutata#allora…#
“RESISTENCE IS FUTILE”
#
#
GRAZIE PER L’ATTENZIONE
DOMANDE?
#
Ing.#Raffaele#Addesso#
Senior#Security#Consultant#
raff[email protected]#
[email protected]#
#