- IT SeCX
Transcription
- IT SeCX
Aktuelle Bedrohungslage – Warum fühlen wir uns eigentlich sicher ? Josef Pichlmayr, joe@ikarus.at Microsoft Security Intelligence Report (SIRv7) Der SIRv7 zeigt erstmals, wie Best Practices in einzelnen Ländern zu einer beständigen Reduzierung des Malware-Befalls geführt haben. Die Infektionsraten von PCs mit Schadsoftware: Deutschland 0,3 Österreich 0,21 weltweite Durchschnitt 0,87 Prozent "Die geringe Infektionsrate in Deutschland zeigt, dass die gesamte ITBranche auf dem richtigen Weg ist", Tom Köhler, Direktor Informationssicherheit bei Microsoft Deutschland Ikarus VBase Zuwächse Q1/2009 Täglicher Zuwachs NEUER Viren 27.2. – 6.3. 2009 140.000 35.000 120.000 30.000 100.000 25.000 80.000 20.000 60.000 15.000 10.000 40.000 5.000 20.000 0 0 27.2 28.2 29.2 01.3 02.3 03.3 04.3 05.3 06.3 28.3.08 15.3.08 29.2.08 15. 2.08 31.1.08 15.1.08 01.1.08 24.000.000 23.000.000 22.000.000 21.000.000 20.000.000 19.000.000 18.000.000 17.000.000 16.000.000 15.000.000 14.000.000 13.000.000 12.000.000 11.000.000 10.000.000 9.000.000 8.000.000 7.000.000 6.000.000 5.000.000 4.000.000 3.000.000 2.000.000 1.000.000 0 2004-09 2004-10 2004-11 2004-12 2005-01 2005-02 2005-03 2005-04 2005-05 2005-06 2005-07 2005-08 2005-09 2005-10 2005-11 2005-12 2006-01 2006-02 2006-03 2006-04 2006-05 2006-06 2006-07 2006-08 2006-09 2006-10 2006-11 2006-12 2007-01 2007-02 2007-03 2007-04 2007-05 2007-06 2007-07 2007-08 2007-09 2007-10 2007-11 2007-12 2008-01 2008-02 2008-03 2008-04 2008-05 2008-06 2008-07 2008-08 2008-09 2008-10 2008-11 2008-12 2009-01 2009-02 2009-03 2009-04* 2009-05* Gesamtzahl Gesamtzahl der Dateien in der Malware-Sammlung von AV-Test.org Gesamtzahl der Dateien OS Segmentation of Malware ( in %) % 100,00 95,00 90,00 85,00 80,00 75,00 70,00 65,00 60,00 55,00 50,00 45,00 40,00 35,00 30,00 25,00 20,00 15,00 10,00 5,00 Windows Linux Mac Symbian Window Mobile Java 2008 94,48 3,98 0,08 0,11 0,19 1,16 2009 93,34 4,15 0,12 0,23 0,35 1,81 (Quelle: IKARUS Security Software und FF-Secure) Wandel der Infektionswege Hoch eMail/smtp/Virus eMail/smtp/SPAM WEBSecurity /Http/Ftp/Virus Risiko Niedrig 1980 1985 1990 1995 2000 2005 2008 2009 Stand 06.2009 Zeit Trojaner-Web-Basierte Bedrohungen ~ 30 Tausend neue pro Tag – Tendenz Stark steigend Wurm-eMail-Basierte Bedrohungen ~ 3 Tausend neue pro Tag – Tendenz Fallend SPAM -eMail-Basierte Bedrohungen Tendenz Gleichbleibend Hoch – Individualisierung Intention und KnowHow Government Interest Spy Business Interest Thief Personal Gain Trespasser Personal Fame Curiosity Vandal Script-Kiddie Author Hobbyist Hacker Expert Specialist Fall Tibet: „governement based“ Olypiade in Peking 2008 Exploit basierend ! Beim öffnen eines der nachstehenden Files wird der Keylogger „Winkey“ nachgeladen und aktiviert. Dieser übermittelt eine Erfolgreiche Infektion und „collects and sends everything typed “ an einen Zentralen Server in China (xsz.8800.org.) Dabei handelt es sich um ein Chinesisches DNS-bouncer System dass nachweislich schon öfter in Attacken involviert war. UNPO Statement of Solidarity.pdf Daul-Tibet intergroup meeting.doc tibet_protests_map_no_icons__mar_20.ppt reports_of_violence_in_tibet.ppt genocide.xls memberlist.xls Tibet_Research.exe tibet-landscape.ppt Updates Route of Tibetan Olympics Torch Relay.doc THE GOVERNMENT OF TIBET.ppt Talk points.chm China's new move on Tibetans.doc Support Team Tibet.doc Photos of Tibet.chm News ReleaseMassArrest.pdf Whole Schedule and Routing for Torch Relay.xls (Beispiele F-Secure) Tibet.. Vulnerabilities per Month 700 600 06 500 05 400 300 04 03 200 100 Au gu st Se pt em be r O kt ob er N ov em be D r ez em be r Ju li Ju ni M ai Ap ril M är z Jä nn er Fe br ua r 0 Quelle: IBM XForce Report 2007 August 24, 2009 156 Tote bei Uiguren-Unruhen China: Viele Tote bei Uiguren-Unruhen Tausende Soldaten sind in der Uiguren-Provinz Xinjiang aufmarschiert Targeted attacks against organizations supporting the Uyghurs. (xsz.8800.org.) Targeted attacks against organizations supporting the Uyghurs. Wieder Windows und PDF Exploit basierend ! Beim öffnen eines der nachstehenden Files wird eine Backdoor nachgeladen und aktiviert. Dieser übermittelt eine Erfolgreiche Infektion und „ermöglicht remote zugriff auf jedes infizierte System “ Diese Informationen gehen WIEDER an das Chinesische DNS-bouncer System (xsz.8800.org.) Schattenwirtschaft wird auf ~150 Mrd. US-$ geschätzt Onlinekriminalität bewegt ähnlich viel Geld, wie weltweiter Drogenhandel Schattenwirtschaft Internet = ein gut organisierter Schwarzmarkt Zehntausende von Menschen sind aktiv KK - 28,2% 3te Generation – Stand 2006 Infektions Server Ur-Infektion! Die zibku.exe (eigentlicher Installer) wird über den VML-Exploit beim surfen auf die Maschine geladen und gestartet. User öffnet Onlinebanking Seite aber NUR „Erfassung eines Einzelauftrages“ bzw „ Abfrage Kontoinfo“ „aktiviert“ Trojaner “ es g ftra u ela z n i sE e in e rdert o f g e n g d an su r i s w rfa BHO „E Formulardaten werden an Server abgeschickt Server weißt Bankspezifisches BHO zu Trojan-Installer injiziert kernel32.dll und wininet.dll DIREKT in den Browser und löscht Installer beim Restart Überträgt Zielkontodaten auf den infizierten PC „variabler“ Server www.oiku.biz „Nachladen des BHO um Formulardaten „auslesen“ und „absenden“ zu können“ KontrollServer zibku.info „checkt“ Verfügbarkeit von Zielkonten Manipulierter Browser lädt Zielkontodaten Zeigt aber „Kunden-Zieldaten“ an Überweisung erfolgt auf Zielkonto Zielkonto Rootkits imVormarsch Mebroot !! Sicher an ihr Ziel !! Kernel-Mode Rootkit das als “downloader” und “backdoor” Konzeptioniert und angeboten wird. Wurde bisher vor allem im Zusammenhang mit Banking-Trojans registriert Siegfried´s Tarnkappe sieht alt dagegen aus!! Hinterlässt keine Ausführbaren Dateien auf Zielsystem Modifiziert keine RegistryKey´s oder AutoStart Dienste Kein Treibermodul in der Diensteliste Auch im Speicher kaum verfolgbar - “delete file handle” Lädt sich zum frühest möglichen Systemstart Stealth read/write disk operations/ Stealth network tunnel Aktiver Anti-Removal Schutz Absolut Generisch, open malware platform (MAOS) Bietet komplettes Virtualisierungsmanagement Anzahl der Angriffe/Angreifer erhöht sich ? Welcher Angriff richtet sich wirklich gegen MICH ?? Angreifer hat alle Vorteile auf seiner Seiten “Masse” der Attacken gegen Alle verdeckt auch Attacke gegen mich Grenzen der Forensic´s/Incident Response schnell erreicht ?? Nachvollziehbarkeit der Attacke extrem schwierig (welche Intention/Technologie / Konsequenz ) 17.10.08 CERT.at WARNUNG – Kritische Sicherheitslücke in Adobe Flash-Player hier nicht klicken !!! layer 8 protected ? 7. Okt. – 14.Oktober 2008 Besucher gesamt: 31.862 1074 Besucher - Link geklickt = ~3,37% Bedenklich: Englischsprachige User sogar direkt aus „translate.google.com“ Richtung Sackgasse ? Quelle: Messagelabs Kaspersky Phishing Mails SECURITY Software boomt….. „Intelligence Smart Attack“ Der Kampf zwischen Technik und Natur wird nie enden. Die Technik kreiert immer bessere, Idiotensicherere Systeme, und die Natur immer bessere Idioten ??? Steigende Komplexität der Angriffe – DriveBy Infection xss Autonome Botnetze DNS Spoofing Hoch Awareness/SystemVerständnis Rough. SQL-Inj. MPACK Rootkit/Stealth/Techniken Fast Flux Denial of Service Longrider Attacks Paketmanipulation Sniffer Plattformübergreifend Mobile Viruses Backdoor Komplexität Bot-Netze Trojaner „Intelligenz“ Würmer der Angriffe Macroviren Polymorph Exploiting File-Infector Construction Kids Selbstreplizierender Code Niedrig 1980 1985 1990 1995 2000 2005 bei relativ sinkendem Systemverständnis 2009 2010 Vielen Dank ! Joe Pichlmayr joe@ikarus.at