Phishing og crimeware

Yüklə 1,11 Mb.

tarix	30.10.2018
ölçüsü	1,11 Mb.
	#76749

Phishing og crimeware

Phishing og crimeware
Peter Kruse (pkr@csis.dk) Senior Security Researcher, CSIS Research & Intelligence PGP-ID: 0x715FB4BD
Fingerprint: E1A6 7FA1 F11B 4CB5 E79F 1E14 EE9F 9ADB 715F B4BD

CSIS er et danskejet it-sikkerhedsfirma

CSIS er et danskejet it-sikkerhedsfirma
Vi beskæftiger 30 kvalificerede og engagerede medarbejdere
Hovedlokation i København med kontor i Skanderborg
Specialiceret i: - anti phishing- og anti e-Crime services - forensic- og incident håndtering - sårbarheds- og applikationstests - log- monitorering og konsolidering - brandmonitorering - mailfirewall - Secure DNS service - Platinum alert services - 0-day intelligence
CSIS leverer Antiphishing og Anti eCrime services til samtlige banker i Danmark og Sverige. Derudover leverer vi – ud over meget andet - samme type tjenester til flere af verdens største banker i England, Skotland, Tyskland. Østrig og USA samt international online service levendører som f.eks. Monster.com.

In computing, phishing is an attempt to criminally and fraudulently acquire sensitive information, such as usernames, passwords and credit card details, by masquerading as a trustworthy entity in an electronic communication. PayPal, eBay and online banks are common targets. Phishing is typically carried out by e-mail or instant messaging,[1] and often directs users to enter details at a website, although phone contact has also been used. Phishing is an example of social engineering techniques used to fool users.[3] Attempts to deal with the growing number of reported phishing incidents include legislation, user training, public awareness, and technical measures.

In computing, phishing is an attempt to criminally and fraudulently acquire sensitive information, such as usernames, passwords and credit card details, by masquerading as a trustworthy entity in an electronic communication. PayPal, eBay and online banks are common targets. Phishing is typically carried out by e-mail or instant messaging,[1] and often directs users to enter details at a website, although phone contact has also been used. Phishing is an example of social engineering techniques used to fool users.[3] Attempts to deal with the growing number of reported phishing incidents include legislation, user training, public awareness, and technical measures.
A phishing technique was described in detail as early as 1987, while the first recorded use of the term "phishing" was made in 1996. The term is a variant of fishing,[4] probably influenced by phreaking, and alludes to the use of increasingly sophisticated baits used in the hope of a "catch" of financial information and passwords. The word may also be linked to leetspeak, in which ph is a common substitution for f.

Crimeware er kode skevet med det eksplicitte formål at udføre kriminelle

Crimeware er kode skevet med det eksplicitte formål at udføre kriminelle
handlinger på det kompromitterede system – herunder:
Netbank tyveri
Certifikat tyveri (certificat store udtrækning)
Keylogning
BHO, MiTB, MiTM funktioner
Data tyveri (dokument og udtræk af *.filtyper)
Identitetstyveri
Overvågning og massekontrol via C&C servere
HTML injektion, DNS poisoning og search and replace
Facts: Crimeware er primært et Windows fænomen

Crimeware distribueres ofte som ”toolkits” der sælges fra undergrundssider

Crimeware distribueres ofte som ”toolkits” der sælges fra undergrundssider
H5N1 (målrettet angreb via kompromitteret dansk boligkæde – demo følger)
Nuklus/Apophis trojan
Zeus/Wsnpoem/Zbot (Demo)
Nethell/Limbo
Haxdoor
Loads.cc (Demo) - bag denne service gemmer sig ”76 service team”.
Crimeware eksporterer typisk indsamlede data videre til en såkaldt blinddrop server. CSIS monitorerer på nuværende tidspunkt ca. 300 blinddrop servere spredt over hele verden.
Facts: Crimeware værktøjskasser med komplet C&C panel + opdateringer og support kan købes for ca. 2000-4000,-

Drive-by angreb er gjort simpelt ved at sælge”toolkits” der let sættes op og som

Drive-by angreb er gjort simpelt ved at sælge”toolkits” der let sættes op og som
angriber Microsoft windows, browseren og tredjeparts produkter. Herunder eksempler:
MPACK (demo)
IcePack (demo)
Neoploit
FirePack (demo)
Adpack
Pakkerne udnytter pt følgende exploits (kan variere): CVE-2006-5198, CVE-2007-0015, CVE-2007-3147, MS05-052, MS06-006, MS06-014, MS06-024, MS06-044, MS06-055, MS06-057, MS06-071, MS07-017 Facts: Drive-by pakker sælges for ca. 300-1000,- + support og opdateringer i et år

Drive-by angreb automatiseres bl.a. via SQL og RFI injektion angreb:

Drive-by angreb automatiseres bl.a. via SQL og RFI injektion angreb:
Ny populær trend blandt it-kriminelle og særligt Kinesiske er deres automatiserede scanninger efter SQL og RFI sårbarheder. Flere værktøjer til rådighed.
SQLNinja netop frigivet i en ny version.
Kinesisk SQL injektion værktøj kan hentes fra flere ”cracking” sites.

Mailen blev sendt til ca 250,000 vilkårlige mailadresser på .dk

Mailen blev sendt til ca 250,000 vilkårlige mailadresser på .dk
Den vedhæftede rar-fil blev åbnet af ca. 5000 brugere, hvoraf ca. 45% aktiverede filen i den virksomhed, de er ansat.
Ca 4 GB logdata blev høstet fra de inficerede maskiner, som inkluderende adgangskoder og nøgler til netbank, forskningsresultater, forretningsdokumenter, passwords til lokale servere og VPN, protected storage passwords, certs m.v.
Kategoriseret i mapper hvor hver ”zombie” får sit eget ID.
Inddelt som ”form.txt” (brugernavne og passwords anvendt på websider) samt logs fra keylogger og info.txt (følsomme data om maskinen)
Indsamling af .dat, csr, doc, mst, pst og andre filer der kan indeholder følsomme data.

En dansk ejendomsmægler kæde blev for nyligt kompromitteret. Herunder en beskrivelse af forløb og metodik:

En dansk ejendomsmægler kæde blev for nyligt kompromitteret. Herunder en beskrivelse af forløb og metodik:
En bruger hos en dansk ejendomsmæglerkæde blev kompromitteret af en crimeware komponent. Data blev udtrukket fra maskinen og sendt til en C&C server
De it-kriminelle anvendte brugerens VPN profil og loggede ind på netværket
Herfra fik de adgang til det interne OWA interface og konstruerede en e-mail (på dansk) som de spammede ud til boligkædens mailinglister
Vedhæftet spammailen ”brugeranvisning.exe” eller ”brugsanvisning.zip”
En netbank tyv som forbandt maskinen til en C&C server kontrolleret af H5N1 banden
H5N1 (demonstration af C&C server)
Formål at stjæle netbank data ved at anvende et kendt brand og en mailingliste.
Facts: CSIS har været involveret i mindst fem sager vedrørende målrettede angreb i Danmark. Hovedparten har været med industrispionage for øje! Målet har været topchefer i større danske virksomheder og højteknologiske firmaer indenfor bl.a. medicinal industrien og Nano forskning.

Yüklə 1,11 Mb.

Dostları ilə paylaş:

Phishing og crimeware

Phishing og crimeware

Phishing og crimeware

Peter Kruse (pkr@csis.dk) Senior Security Researcher, CSIS Research & Intelligence PGP-ID: 0x715FB4BD

Fingerprint: E1A6 7FA1 F11B 4CB5 E79F 1E14 EE9F 9ADB 715F B4BD

CSIS er et danskejet it-sikkerhedsfirma

CSIS er et danskejet it-sikkerhedsfirma

Vi beskæftiger 30 kvalificerede og engagerede medarbejdere

Hovedlokation i København med kontor i Skanderborg

Specialiceret i: - anti phishing- og anti e-Crime services - forensic- og incident håndtering - sårbarheds- og applikationstests - log- monitorering og konsolidering - brandmonitorering - mailfirewall - Secure DNS service - Platinum alert services - 0-day intelligence

Crimeware er kode skevet med det eksplicitte formål at udføre kriminelle

Crimeware er kode skevet med det eksplicitte formål at udføre kriminelle

handlinger på det kompromitterede system – herunder:

Netbank tyveri

Certifikat tyveri (certificat store udtrækning)

Keylogning

BHO, MiTB, MiTM funktioner

Data tyveri (dokument og udtræk af *.filtyper)

Identitetstyveri

Overvågning og massekontrol via C&C servere

HTML injektion, DNS poisoning og search and replace

Facts: Crimeware er primært et Windows fænomen

Crimeware distribueres ofte som ”toolkits” der sælges fra undergrundssider

Crimeware distribueres ofte som ”toolkits” der sælges fra undergrundssider

H5N1 (målrettet angreb via kompromitteret dansk boligkæde – demo følger)

Nuklus/Apophis trojan

Zeus/Wsnpoem/Zbot (Demo)

Nethell/Limbo

Haxdoor

Loads.cc (Demo) - bag denne service gemmer sig ”76 service team”.

Crimeware eksporterer typisk indsamlede data videre til en såkaldt blinddrop server. CSIS monitorerer på nuværende tidspunkt ca. 300 blinddrop servere spredt over hele verden.

Facts: Crimeware værktøjskasser med komplet C&C panel + opdateringer og support kan købes for ca. 2000-4000,-

Drive-by angreb er gjort simpelt ved at sælge”toolkits” der let sættes op og som

Drive-by angreb er gjort simpelt ved at sælge”toolkits” der let sættes op og som

angriber Microsoft windows, browseren og tredjeparts produkter. Herunder eksempler:

MPACK (demo)

IcePack (demo)

Neoploit

FirePack (demo)

Adpack

Pakkerne udnytter pt følgende exploits (kan variere): CVE-2006-5198, CVE-2007-0015, CVE-2007-3147, MS05-052, MS06-006, MS06-014, MS06-024, MS06-044, MS06-055, MS06-057, MS06-071, MS07-017 Facts: Drive-by pakker sælges for ca. 300-1000,- + support og opdateringer i et år

Drive-by angreb automatiseres bl.a. via SQL og RFI injektion angreb:

Drive-by angreb automatiseres bl.a. via SQL og RFI injektion angreb:

Ny populær trend blandt it-kriminelle og særligt Kinesiske er deres automatiserede scanninger efter SQL og RFI sårbarheder. Flere værktøjer til rådighed.

SQLNinja netop frigivet i en ny version.

Kinesisk SQL injektion værktøj kan hentes fra flere ”cracking” sites.

Mailen blev sendt til ca 250,000 vilkårlige mailadresser på .dk

Mailen blev sendt til ca 250,000 vilkårlige mailadresser på .dk

Den vedhæftede rar-fil blev åbnet af ca. 5000 brugere, hvoraf ca. 45% aktiverede filen i den virksomhed, de er ansat.

Ca 4 GB logdata blev høstet fra de inficerede maskiner, som inkluderende adgangskoder og nøgler til netbank, forskningsresultater, forretningsdokumenter, passwords til lokale servere og VPN, protected storage passwords, certs m.v.

Kategoriseret i mapper hvor hver ”zombie” får sit eget ID.

Inddelt som ”form.txt” (brugernavne og passwords anvendt på websider) samt logs fra keylogger og info.txt (følsomme data om maskinen)

Indsamling af .dat, csr, doc, mst, pst og andre filer der kan indeholder følsomme data.

En dansk ejendomsmægler kæde blev for nyligt kompromitteret. Herunder en beskrivelse af forløb og metodik:

En dansk ejendomsmægler kæde blev for nyligt kompromitteret. Herunder en beskrivelse af forløb og metodik:

En bruger hos en dansk ejendomsmæglerkæde blev kompromitteret af en crimeware komponent. Data blev udtrukket fra maskinen og sendt til en C&C server

De it-kriminelle anvendte brugerens VPN profil og loggede ind på netværket

Herfra fik de adgang til det interne OWA interface og konstruerede en e-mail (på dansk) som de spammede ud til boligkædens mailinglister

Vedhæftet spammailen ”brugeranvisning.exe” eller ”brugsanvisning.zip”

En netbank tyv som forbandt maskinen til en C&C server kontrolleret af H5N1 banden

H5N1 (demonstration af C&C server)

Formål at stjæle netbank data ved at anvende et kendt brand og en mailingliste.

Facts: CSIS har været involveret i mindst fem sager vedrørende målrettede angreb i Danmark. Hovedparten har været med industrispionage for øje! Målet har været topchefer i større danske virksomheder og højteknologiske firmaer indenfor bl.a. medicinal industrien og Nano forskning.