Aktuellen Malware Threats

Transcription

Malware Threats und Trend
Toralv Dirro
McAfee Labs EMEA Security Strategist
November 16, 2012
Historische Entwicklung der Bedrohung
Mid-1980’s
2003
2005
Today
Bragging Rights....
• 1999 .....
• Als Back Orifice big news war
• AV Produkte noch nach Viren suchten
• Hacker für ihre „15 Miunujtes of Fame“ in Webseiten einbrachen
....und einige meinten die Welt geht wegen Y2K unter
Motivation Gestern
4
November 16, 2012
And then Devil said: Let there be money
Source: Chat Interview with the Dream Coders Team, the developers of MPack
http://www.robertlemos.com/2007/07/23/mpack-interview-chat-sessions-posted/
Mid-1980’s
2003
2005
Today
Geringes Risiko + Hoher Profit -> Crime
Cyber Crime – der treibende Faktor
Virus and Bots
PUP
Trojan
500,000
400,000
300,000
200,000
100,000
2000
2001
2002
2003
2004
2005
2006
Malware Growth (Main Variations)
8
8
Source: McAfee Labs
November 16, 2012
2007
Virus and Bots
PUP
Trojan
2,200,000
2,000,000
1,800,000
1,600,000
1,400,000
1,200,000
1,000,000
800,000
600,000
400,000
200,000
2000
2001
2002
20032008
2004
2005
2006
9
Source: McAfee Labs
November 16, 2012
2007
Virus and Bots
PUP
Trojan
3,200,000
3,000,000
2,800,000
2,600,000
2,400,000
2,200,000
2,000,000
1,800,000
1,600,000
1,400,000
1,200,000
1,000,000
800,000
600,000
400,000
200,000
2008
2009
10
10
Source: McAfee Labs
November 16, 2012
Malware Wachstum
Unique Malware
10.000.000
9.000.000
8.000.000
7.000.000
6.000.000
5.000.000
4.000.000
3.000.000
2.000.000
1.000.000
0
Newly Discovered Malware Samples
Der Malware Markt
Trojan- und Exploit-Kits leicht verfügbar
Zeus: Werdegang eines Trojan Kit
Mergers and Accquisitions: SpyEye & Zeus
Zunehmend fortschrittlicher
Unique Rootkit Malware
400.000
350.000
300.000
250.000
200.000
150.000
100.000
50.000
0
BIOS Rootkits
Win32/Wador.A – A BIOS rootkit spreading in China
The BIOS rootkit is the most complex type of rootkit we have come across so far.
It is hardware dependent, and an attacker must have extensive knowledge of the
computer – including software and hardware – in order to create one. It comprises
the following five components:
•
•
•
•
•
BIOS ROM flasher
Malicious BIOS ROM payload
Infected MBR
Infected WINLOGON.EXE/WININIT.EXE
Protected malware code in track 0.
It is not easy to clean a computer infected with this malware, but there is some
good news. First, after the destruction wreaked by CIH, many BIOS vendors
started providing double BIOS in order to defend against this type of attack.
Second, not many computers have AWARD BIOS installed nowadays, because
more and more modern computers use EFI to interface between hardware and
software. So the potential scope for this form of attack may not be very great.
Source: Virus Bulletin (October issue)
Ransomware übernimmt
OS X can‘t get Windows Malware –
but OS X Malware
• FakeAlert (aka Fake-AV, Scareware) major outbreak last year
– By far not the first, but too widespread to be ignored
• OSX/FlashFake (Flashback) hitting 600k+ victims
– Counted by „UUID“ – some say numbers may be higher
– Exploiting CVE-2012-0507 in a drive-by-download attack
• Fix provided by Oracle on Feb, 14th, not timely made available by Apple
• SabPub
– Exploiting same vuln to infect
– Linked to TARGETED ATTACKS against Tibetan Groups (on OS X)
– Linked to „LuckyCat“ TARGETED campaigns against Japan and India
Mac OS
Unique Mac Malware
700
600
500
400
300
200
100
0
Q1-07Q2-07Q3-07Q4-07Q1-08Q2-08Q3-08Q4-08Q1-09Q2-09Q3-09Q4-09Q1-10Q2-10Q3-10Q4-10Q1-11Q2-11Q3-11Q4-11Q1-12Q2-12Q3-12
Ransomware Wachstum
Unique Ransomware Malware
250.000
200.000
150.000
100.000
50.000
0
Q3-07 Q4-07 Q1-08 Q2-08 Q3-08 Q4-08 Q1-09 Q2-09 Q3-09 Q4-09 Q1-10 Q2-10 Q3-10 Q4-10 Q1-11 Q2-11 Q3-11 Q4-11 Q1-12 Q2-12 Q3-12
Android Malware nach Quartalen
100
90
80
70
60
50
40
30
20
10
0
Q1 10
Q2 10
Q3 10
Q4 10
22
Q1 11
Q2 11
Q3 11
Mobile Malware
New mobile malware samples declined modestly in Q2, but are rising sharply again in Q3. Android
malware samples now comprise more than 90% of all known mobile malware.
New Mobile Malware Samples
9.000
8.000
7.000
6.000
5.000
4.000
3.000
2.000
1.000
Q1 2011
Q2 2011
Q3 2011
Q4 2011
Q1 2012
Q2 2012
Q3 2012
Also nur ein Android Problem?
• Restriktiver, geschlossener „Marketplace“ vs. Offene Struktur
• Datenverluste durch reguläre, geprüfte Apps
– „Path“ Desaster
– Keinerlei Schutz auf i* möglich, Apple erlaubt z.B. kein AV
• Sicherheitslücken ermöglichen Angriffe auf alle Systeme
– Jailbreak, Root
– The making of the Focus 11 Apple iPad Hack
• http://www.mcafee.com/us/resources/white-papers/wp-apple-ipad-hack.pdf
McAfee Pub: “Dissecting Operation High
Roller”
Operation High Roller Raises Financial Fraud Stakes
McAfee and Guardian Analytics have uncovered a highly sophisticated,
global financial services fraud campaign that has reached clients at 60
banks. The fraudsters’ objective was to siphon large amounts from highbalance accounts using recent improvements to two families of malicious
software: Zeus and SpyEye. Server logs viewed by the researchers saw
commands from the fraud rings to transfer a total of $78 million, including
$130,000 from one account. (The banks may have been able to block some
of those transactions.)
Source: http://www.mcafee.com/us/resources/reports/rp-operation-high-roller.pdf
Malicious URLs
Distribution of New BadReputation URLs
New Bad-Reputation URLs
4.000.000
New Phishing
URLs
3.9%
3.500.000
3.000.000
2.500.000
2.000.000
New URLs
1.500.000
Associated Domains
1.000.000
500.000
0
FEB
2012
MAR
2012
APR
2012
MAY
2012
JUN
2012
New Malware
URLs
94.2%
Others
5.8%
New Spam
Email URLs
1.2%
Others
0.7%
Mid-1980’s
2003
2005
Today
SECURITY
BIST DAS ZIEL
Operation NIGHT DRAGON
Was war anders?
“Night Dragon”
Global Energy Cyberattacks
Ende 2009
“Night Dragon”
findet statt
Frühjahr 2010
Angriff erkannt, Opfern
wird geholfen
Jan 2011
McAfee korreliert die
Angriffsaktivitäten
Über verschiedene Opfer
Und erkennt einen
Zusammenhang zur
Gesamtoperation
• Benannt durch McAfee im Januar 2011
• Langfristig angelegter, gezielter Angriff
gegen globale Öl, Energie und
Petrochemie Unternehmen
– 5 bestätigte Opfer, bis zu einem
Dutzend vermutet
– Gigabytes an Dokumenten über
Öl/Gas Felder, Explorationsdaten,
u.v.m. kompromittiert
• C&C Server und Quelle der Angriffe von
IP Adressen in China, Irland und den
Niederlanden
RAT
Victim’s Country of Origin
Victim
Count
USA
49
Canada
4
South Korea
3
Taiwan
3
Japan
2
Switzerland
2
United Kingdom
2
Indonesia
1
Vietnam
1
Denmark
1
Singapore
1
Hong Kong
1
Germany
1
India
1
22
6
13
13
U.S. Federal Gov.
6
3
5
Construction/
Heavy Industry
Electronics Industry
U.S. State Gov.
3
Computer Security
2
U.S. County Gov.
3
Steel Industry
1
Canadian Gov.
2
Energy
1
Information
Technology
2
South Korean Gov.
1
Solar Power
1
Vietnam Gov.
1
Satellite
Communications
Taiwan Gov.
1
News Media
U.S. Gov. Contractor
1
United Nations
1
Indian Gov.
1
Defense Contractor
4
13
Real Estate
12
International Sports
5
Economics/Trade
2
2
Think Tanks
2
Agriculture
1
Insurance
1
2
International
Government/
Economics/Trade
1
2
Political non-profit
1
Information
Services
1
U.S. National
Security Non-profit
1
Communications
Technology
1
Accounting
Industry
2
Operation Shady Rat
Typischer Ablauf eines Spionage Angriffs
Internet
Reconnaissance
SaaS
• Organisation aufklären (Ziele identifizieren)
• Social reconnaissance (Email, IM, Soziale Netzwerkeetc.)
• Suche nach Schwachstellen (Webserver/OS/DNS/Netzwerk,etc.)
USERS &
PARTNERS
BRANCH
OFFICE
CORPORATE
LAN
Social Engineering, gezielte Malware Angriffe
• Phishing Email (Maliziöse PDF, DOC, etc. oder Links)
• “Candy drops” am Gelände (USB Stick, DVD’s, Kamera)
• Physischer Zugang (Reinigungsdienst, Service,, etc.)
Social Engineering leicht gemacht
About 1,660 results
About 15,100 results
Weitere Untersuchung der Ergebnisse führte schnell zu Facebook
Profilen, Twitter Accounts (einige mit Location Services aktiviert) und
FourSquare
Typischer Ablauf eines Spionage Angriffs
Internet
Reconnaissance
SaaS
• Organisation aufklären (Ziele identifizieren)
• Social reconnaissance (Email, IM, Soziale Netzwerkeetc.)
• Suche nach Schwachstellen (Webserver/OS/DNS/Netzwerk,etc.)
USERS &
PARTNERS
BRANCH
OFFICE
Social Engineering, gezielte Malware Angriffe
• Phishing Email (Maliziöse PDF, DOC, etc. oder Links)
• “Candy drops” am Gelände (USB Stick, DVD’s, Kamera)
• Physischer Zugang (Reinigungsdienst, Service,, etc.)
Hintertüren etablieren
• Befehle auf Zielen ausführen
• Erlangen höherer Zugriffsrechte, zusätzliche Malware
• Durch Netz bewegen und weitere Hintertüren einrichten
Command & Control Infrastruktur etablieren
CORPORATE
LAN
•Installation von Tools (Keylogger, Trojaner, etc.)
•Tunnel zum C&C etablieren (encrypted SSL)
•Einsatz von Remote Administration Toola (RAT)
Ziele erreichen
• Extrahieren von Intellectual Property, etc.
• Installieren von Trojanern in source code
• Kontrolle kritischer Systeme
Zugang permanent beibehalten
• Malware modifizieren um Erkennung zu vermeiden
• Installieren von weiteren potentiellen Zugängen
• Monitoring von Netzwerk, Benutzern und Daten
Stuxnet: Angriff auf SCADA
•
•
•
•
•
•
•
•
•
•
Discovered in July 2010 by VirusBlokAda company in Minsk, Belarus
First seen in Iran, Indonesia, India – now spread worldwide
Targets Siemens WinCC and SIMATIC Process Control System (PCS7)
Using four 0-day vulnerabilities plus Conficker (MS08-067)
– Shortcut icon vulnerability (CVE-2010-2568/MS10-046) – affecting every
version of Windows since Windows 2000 (even Win95)
– Design flaw in Print Spooler (MS10-061/CVE-2010-2729)
– Two privilege escalations exploits [win32k.sys]
A user opens a folder that contains the .lnk template files (.pif files also vulnerable)
Rootkit drivers signed with valid certificates (Realtek and Jmicron)
UPX packed, XOR encoded everywhere
Once loaded, queries Siemens database with known default password
Connected to C&C servers, sending sensitive data
Manipulating the database to control the HMI output and manipulating the PLC’s
Und jetzt auch noch Duqu…
Vermutlich die selbe Gruppe, die Stuxnet entwickelt hat
– Grosse Teile des Codes ähnlich/identisch
• Ähnlicher Treiber Code für injection Techniken genutzt
• Ähnliche Entschlüsselungen
• Rootkit Funktionalität
– Opfer im Nahen Osten (nicht nur)
– CA – Cmedia gestohlenes Zertifikat zum signieren in einem Fall benutzt,
selber Business District wie die Zertifikate von Stuxnet
Andere Ziele und Funktionen
– CA’s eines der Ziele
– Spionage
– Keine PLC Funktionalität
• Vermutlich gleiches „Frame-Work“
Appetite for Destruction
• Einige Fälle in denen die Angreifer scheinbar nur danach aus waren
maximalen Schaden anzurichten
– Motive unklar, Gegenstand vieler Spekulationen
• Zu einem vorbestimmten Zeitpunkt macht Malware Rechner
unbrauchbar
• Wie „überlebt“ ein Unternehmen, wenn 50% oder 90% Rechner
unbrauchbar sind???
Questions?
Jetzt ist es Oktober 2012, geht die
Welt im Dezember unter?
Ich habe jedenfalls keinen neuen
Maya Kalender mehr bekommen 
McAfee Labs Reports
• Quarterly Threats Reports
– Update on developments and trends seen in a quarter
• Threat Predicitions
– Yearly report on expected threats
• White Papers
– Covering a broad range of research topics
• Q2 Threats Report (September, 4th)
• Risk and Compliance Outlook Report (May, 21st)
• „Operation High Roller“ (June, 27th)
• Just google for „McAfee Labs White Paper“
• http://www.mcafee.com/apps/view-all/publications.aspx?tf=mcafee_labs

Aktuellen Malware Threats

Transcription

Similar documents

When Macs Get Hacked