Malware e underground economy

Transcript

Roberto Paleari
[email protected]
Università degli Studi di Milano
Introduzione
R. Paleari, A. Fattori
2
Malware
Sequenza di codice progettata per danneggiare
intenzionalmente un sistema, i dati che contiene o
comunque alterare il suo normale funzionamento,
all’insaputa dell’utente
3
Replicazione autonoma
No replicazione
Replicazione
Tipologie di malware
Virus
Root-kit
Worm
Dialer
Spyware
Trojan horse
Necessita ospite
Keylogger
Nessun ospite
Dipendenza da ospite
4
Virus & worm
Virus
Necessitano di un ospite in cui inserirsi
Propagazione attraverso la diffusione
dell’ospite
Worm
Non necessitano di un ospite
Propagazione autonoma attraverso la
rete
Capacità di propagarsi in sistemi altrui
sfruttando delle vulnerabilità
5
Virus & worm
Virus
Necessitano di un ospite in cui inserirsi
Propagazione attraverso la diffusione
dell’ospite
Riproduzione
Worm
Payload
Infezione
Non necessitano di un ospite
Propagazione autonoma attraverso la
rete
Capacità di propagarsi in sistemi altrui
sfruttando delle vulnerabilità
5
Trojan horse & backdoor
Trojan horse
Funzionalità maligne cammuffate tra altre benigne
Propagazione manuale: diffusione di applicazioni con funzionalità
“secondarie” o inserimento di nuove funzionalità in applicazioni esistenti
Rientrano in questa categoria adware e spyware
6
Trojan horse
Backdoor
Per assicurare l’accesso ad un sistema compromesso
Rientrano in questa categoria i RAT (Remote Access Trojan)
6
Trojan horse
Backdoor
Per assicurare l’accesso ad un sistema compromesso
Rientrano in questa categoria i RAT (Remote Access Trojan)
Root-kit
Strumenti utilizzati per mantenere l’accesso ad un sistema compromesso
senza fare nascere sospetti
Utilizzati per nascondere file, processi, connessioni di rete, . . .
Sia a livello kernel che a livello utente
6
Nuove minacce
1800000
1600000
Number of new threats
1400000
1200000
1000000
800000
600000
400000
200000
0
J
n-
Ja
un
un
ec
l-D
Ju
J
n-
Ja
un
ec
l-D
Ju
J
n-
Ja
09
20
08
20
08
20
07
20
07
20
Period
Fonte: Symantec
7
Malware & underground
economy
8
Phishing
9
Phishing
9
Scam
10
Come funziona?
1. Campagna di spam
11
Come funziona?
1. Campagna di spam
2. Social engineering
GET /...
11
Come funziona?
1. Campagna di spam
3. Furto credenziali & malware
11
Come funziona?
1. Campagna di spam
3. Furto credenziali & malware
4. Infezione macchine
11
Underground economy
Vendita informazioni rubate
Goods & services
Bank accounts
Credit cards
Full identities
Online auction site accounts
Scams
Mailers
Email addresses
Email passwords
Drop (request or offer)
Proxies
Percentage
22%
13%
9%
7%
7%
6%
5%
5%
5%
5%
Range of prices
$10-$1000
$0.40-$20
$1-$15
$1-$8
$2.50-$50/week (hosting)
$1-$10
$0.83/MB-$10/MB
$4-$30
10%-20% of drop amount
$1.50-$30
Fonte: Symantec
12
Underground economy
Furto credenziali – Portata del fenomeno
Università di Mannheim – Limbo & ZeuS
∼ 70 dropzone
33 GB di dati
11000 account bancari, 150000 account mail
Dropzone
webpinkXXX.cn
coXXX-google.cn
77.XXX.159.202
finXXXonline.com
Other
Total
# Machines
26,150
12,460
10,394
6,932
108,122
164,058
Data amount
1.5 GB
1.2 GB
503 MB
438 MB
24.4 GB
28.0 GB
Country
China
Malaysia
Russia
Estonia
Fonte: Learning More About the Underground Economy – T. Holz, M. Engelberth, F. Freiling, 2008
13
Underground economy
“Malware as a service”
Bot in affitto (∼ $1000-$2000/mese)
MPACK: exploit toolkit a ∼ $1000
14
Underground economy
The spam business
CAPTCHA?
OCR, Fuzzy OCR, . . .
15
Underground economy
The spam business
CAPTCHA?
Soluzioni migliori?
15
Underground economy
The spam business
CAPTCHA?
Soluzioni migliori?
“Human computation”!
> 100K captcha al giorno, $1.5-$8 per 1000 captcha
15
Underground economy
The spam business
CAPTCHA?
Soluzioni migliori?
“Human computation”!
15
Funzionalità del malware
Non solo spam. . .
Mass-mailing (Sobig)
HTTP/SOCKS proxy (MyDoom)
SMTP proxy (Taripox, Happy99)
Diffusione tramite IM (Peacomm)
16
Furto credenziali
Obiettivi
Credenziali account bancari/posta
Serial prodotti commerciali (Agobot)
E-mail harvesting
Come?
Installazione plugin BHO/XUL
Modifica C:\Windows\...\etc\hosts
Keylogging
Screen grabbing
17
Click fraud
Google: 10% dei “click” sono fraudolenti (∼ $1B)
Clickbot.A (∼ 50k host infetti)
Molti “clickbot” commerciali
ClickJacking
18
Anti-anti-virus
Kill processi in esecuzione
Vari hook per auto-start prima dell’AV
Impedire aggiornamento AV
Corruzione DB signature
Kernel-level callback via PsSetLoadImageNotifyRoutine()
...
19
Botnet
. . . argomento della prossima lezione
20
Tecniche di infezione
File/device infection
File infection
Tecnicamente complesso con PE
Virut → EPO file infector
Entry
Programma
Infezione
Programma
Virus
Entry
21
File infection
Infezione device removibili
Knight: autorun.inf
[autorun]
open=Knight.exe open
icon=Knight.exe,0
shellexecute=Knight.exe open
shell=auto
action=Disk Knight(Protection Against Mobile Disk Viruses)
shell\auto=&Auto
shell\auto\command=Knight.exe open
shell\open=&Open
shell\open\command=Knight.exe open
shell\explore=E&xplore
shell\explore\command=Knight.exe open
shell\find=S&earch...
shell\find\command=Knight.exe open
...
21
Root-kit
File infection
User vs kernel level
Obiettivo: nascondere processi, file, connessioni di rete, . . .
Hooking a diversi livelli (IDT,SSDT,DKOM,. . . )
“Attacking SMM Memory via Intel CPU Cache Poisoning” (19/3/2009)
EPROCESS
EPROCESS
EPROCESS
csrss.exe
malware.exe
svchost.exe
21
Root-kit
File infection
User vs kernel level
Obiettivo: nascondere processi, file, connessioni di rete, . . .
Hooking a diversi livelli (IDT,SSDT,DKOM,. . . )
“Attacking SMM Memory via Intel CPU Cache Poisoning” (19/3/2009)
EPROCESS
EPROCESS
EPROCESS
csrss.exe
malware.exe
svchost.exe
21
File infection
Root-kit
21
File infection
Root-kit
MBR/boot infection
Trojan.Mebroot (11/2007)
Infezione \\.\PhysicalDrive{0-15} (⇒ compresi device USB)
Root-kit, furto credenziali bancarie
“This malware is very professionally written and produced” (F-Secure)
21
Tecniche di propagazione
Propagation mechanisms
File sharing executables
File transfer/email attachment
File transfer/CIFS
File sharing/P2P
Remotely exploitable vulnerability
SQL
Back door/Kuang2
Back door/SubSeven
File transfer/embedded HTTP URI/Yahoo! Messenger
Web
Percentage
40%
32%
28%
19%
17%
3%
3%
3%
2%
1%
Fonte: Symantec, 2007
22
Rogue Antivirus
23
Rogue Antivirus
23
Rogue Antivirus
23
Remote exploit + drive-by-download
24
25
Link a JS maligno nel sito
Exploit MS06-014 + MS07-004
Download keylogger/backdoor
∼ 3 giorni prima del Super Bowl!
25
26
<iframe> maligno
Download binario da you69tube.com
Information-stealing (variante di Zbot?)
Exploit PDF (overflow)
“If you screw around with Paris you might get a virus. . . ”
Commento su ZDNet
26
Remote exploit + drive-by-download – Un esempio “live”
Ricerca sito vulnerabile
I
I
Trend attuale: compromissione di siti “famosi”
Molti visitatori ⇒ molte vittime
27
I
I
Compromissione sito (SQLI)
27
I
I
27
I
I
h.js
document . w r i t e ( ”” ) ;
document . w r i t e ( ”” ) ;
faq.htm

<s c r i p t s r c=” h t t p : / / c o u n t 4 9 . 5 1 y e s . com/ c l i c k . a s p x ? i d =494953024& l o g o =11”></ s c r i p t>
i.htm
<s c r i p t> . . . e x p l o i t . . .</ s c r i p t>
<s c r i p t s r c=” h t t p : / / c o u n t 4 8 . 5 1 y e s . com/ c l i c k . a s p x ? i d =480917198& l o g o =1”></ s c r i p t>
27
I
I
. . . aspettare . . .
27
Soluzioni?
28
Soluzioni?
28
Situazione attuale
Malware vs AV
AV in posizione svantaggiata
The amount of new malware has never been higher. Our
labs are receiving an average of 25,000 malware samples
every day, seven days a week.
F-Secure, 2008
29
Perchè una cosı́ grande diffusione?
Omogeneità, connettività e configurazione
30
Scarsa attenzione
30
Scarsa attenzione
Incentivo economico
30
Situazione malware detector
Signature-based detectors
Fonte: Testing Malware Detectors – M. Christodorescu, S. Jha, 2004
31
Situazione malware detector
. . . qualche dato più recente
Rank
1
2
3
4
5
6
7
8
9
10
Detected
91%
91%
90%
90%
90%
89%
88%
88%
87%
87%
Missed
178
179
194
195
202
213
241
247
259
268
Product
Sophos
AntiVir
Microsoft
AVG
Ikarus
BitDefender
Norman
TrendMicro
Kaspersky
F-Secure
Fonte: SRI International + VirusTotal, campione di 2064 malware
32
Tecniche di self-defense
Packing
Codice maligno nascosto da 1+ layer di compressione/cifratura
Decompressione/decrifratura a runtime
33
Packing
Malicious
code
33
Packing
Unpacking
routine
Malicious
code
33
Packing
Unpacking Unpacking
routine
routine
Malicious
code
33
Packing
Unpacking Unpacking
routine
routine
Malicious
code
Problema
∼ 80% del malware è “packed”
200 famiglie di packer, 2000 varianti
Backlog di ∼ 90 famiglie
Fonte: Symantec, 2008
33
Polimorfismo
Ancora corpo cifrato
Il malware è in grado di mutare la routine di cifratura
Esempio
lea
si , corpo virus
nop
mov
sp , 0682 h
sub ax, bx
ciclo :
xor
[ si ] , si
inc cx
xor
[ s i ] , sp
inc
si
add bx, cx
dec
sp
jnz
ciclo
corpo virus :
...
Le istruzioni evidenziate sono
“junk code”
Possibile anche instruction
reordering, instruction
substitution, register
replacement, . . .
Elevato numero di mutazioni
possibili
Difficile individuare una
signature costante
34
Metamorfismo
“Metamorphics are body-polymorphics” (Igor Muttik)
W95/Regswap
5A
BF04000000
8BF5
B80C000000
81 C288000000
8B1A
pop
mov
mov
mov
add
mov
edx
edi ,0004 h
e s i , ebp
eax , 0 0 0 Ch
edx , 0 0 8 8 h
ebx , [ edx ]
58
BB04000000
8BD5
BF0C000000
81 C088000000
8B30
pop
mov
mov
mov
add
mov
eax
ebx , 0 0 0 4 h
edx , ebp
e d i , 0 0 0 Ch
eax , 0 0 8 8 h
e s i , [ eax ]
W32/Evol
BF0F000055
893E
5F
52
B640
BA8BEC5151
53
8BDA
895 E04
mov
mov
pop
push
mov
mov
push
mov
mov
e d i , 5 5 0 0 0 0 0 Fh
[ esi ] , edi
edi
edx
dh , 4 0
edx , 5 1 5 1 EC8Bh
ebx
ebx , edx
[ e s i + 00 0 4 ] , ebx
BB0F000055
891E
5B
51
B9CB00C05F
81 C1C0EB91F1
894 E04
mov
mov
pop
push
mov
add
mov
ebx , 5 5 0 0 0 0 0 Fh
[ e s i ] , ebx
ebx
ecx
ecx , 5 FC000CBh
ecx , F191EBC0h
[ e s i + 0 00 4 ] , e c x
35
Implementazione difficile?
36
Implementazione difficile?
36
Next-generation malware detector
Situazione attuale: Algorithmic unpacking
Malware detector
Malicious program
37
Malware detector
Malicious program
????
37
Malware detector
Malicious program
????
????
37
Malware detector
Malicious program
????
????
Malicious
37
Malware detector
Malicious program
????
????
Malicious
Problemi
Ogni packer richiede un unpacker specifico
Troppe famiglie di packer
Symantec: da 6 ore a 6 mesi per packer
Multi-layer packing
37
Unpacking generico
Idea
Analisi dinamica
Emulazione/tracing dell’esecuzione fino al termine della routine
di unpacking
38
Unpacking generico
Idea
Analisi dinamica
di unpacking
Packed code
38
Unpacking generico
Idea
Analisi dinamica
di unpacking
Packed code
38
Unpacking generico
Idea
Analisi dinamica
di unpacking
Packed code
38
Unpacking generico
Idea
Analisi dinamica
di unpacking
Packed code
38
Unpacking generico
Idea
Analisi dinamica
di unpacking
Unpacked
code
Packed code
Un po’ di nomi. . .
OmniUnpack
Renovo
Justin
PolyUnpack
38
Analisi comportamentale
Signature-based detection è troppo debole
⇒ verso tecniche più “semantiche”
39
Analisi comportamentale
Signature-based detection è troppo debole
⇒ verso tecniche più “semantiche”
Soluzioni
Analisi dinamica
Granularità a livello di system call
NovaShield, ThreatFire, Sana Security, . . .
Problemi
Performance
Falsi positivi
Information leakage
...
39
Remediation
Detection non è sempre possibile
Remediation dell’infezione
. . . ma funziona?
40
Remediation
Detection non è sempre possibile
Remediation dell’infezione
. . . ma funziona?
40
Malware & underground economy
Domande?
Roberto Paleari [email protected]
Università degli Studi di Milano
41

Malware e underground economy

Transcript

Documenti analoghi

italia he index italia he index

the importance of layered security_fin_ITA6

Analisi di malware

Recente aumento della diffusione di virus “Malware”

Anatomia di un malware

Offerta Cathay Pacific

malware

Directions

lezione 22 - malware