venerdì 22 aprile 2011

Rapporto sicurezza Verizon, attenzione ai keylogger e alle backdoor


Secondo il  rapporto Verizon 2011 Data Breach Investigations Report, nel 2010 e' stato toccato il record di violazioni informatiche. Hacking e malware hanno ripreso l'iniziativa e stanno giocando più sporco che mai. La criminalità informatica sta diventando più sociale e utilizza strumenti come i keylogger. Gli attacchi 'fisici', con manomissione di bancomat sono aumentati, fino a rappresentare quasi un terzo dei casi registrati (29 %). Come sempre, l'obiettivo di Verizon è che i dati e l'analisi presentata in questa relazione risultino utili per la pianificazione di sicurezza.


Realizzato con la collaborazione dei servizi segreti Usa (USSS), il rapporto mostra come le violazioni su larga scala siano radicalmente calate mentre gli attacchi di scarsa entita' sono in crescita. La metodologia di base utilizzata da Verizon rimane invariata rispetto a quella degli anni precedenti. Tutti i risultati sono basati su elementi di prova raccolti in prima persona dalle indagini esterne forensi condotte da Verizon 2004-2010. Il carico di lavoro 2010 è l'obiettivo primario di analisi della relazione, ma l'intera gamma di dati fa riferimento ampiamente a tutto. 

Se la risposta Investigativa (IR) del team lavora su una serie di impegni, solo quelli che comportano un dato confermato compromesso sono rappresentate in questo rapporto. Per contribuire a garantire un contributo certo e costante, tutti i ricercatori utilizzano la Verizon Enterprise Risk and Incident Sharing Metrics Framework (VERIS) per registrare i dati causa e altri particolari utili. Le informazioni raccolte da VERIS vengono utilizzate è poi sottoposte ai membri del team RISK Intelligence per l'ulteriore validazione e analisi. Durante il processo di aggregazione, le informazioni riguardanti l'identità delle vittime di violazione sono state rimosse dal repository di dati del case. 

Forme di grabber keylogger sono stati osservati nei due terzi dei casi, quasi raddoppiadi rispetto all'anno precedente. Disponibili in commercio software di keylogging, come Perfect Keylogger e Ardamax Keylogger, sono liberamente disponibili sul web e pienamente funzionanti. Versioni pirata distribuiti sulle reti P2P e siti torrent. Queste utilità consentono anche l'attaccante di costruire un pacchetto pre-configurato di installazione remota, che sarà distribuito in un sistema di destinazione. Essi presentano molti tipi di capacità anti-forense, come nascondersi da un elenco o processi in esecuzione, e la manipolazione dei timestamp dei suoi componenti e file di output.


Gli aggressori possono personalizzare il software per creare file di output con nomi di file definiti dall'utente, che consentono l'utilizzo di nomi di file legittimi di Windows. Esistono anche altre caratteristiche, come la cifratura dei file di output e metodi di esfiltrazione automatici via e-mail o FTP anche esistere. Storicamente, i criminali utilizzano questi tipi di keylogger a causa di queste caratteristiche e la facilità di configurazione. I keylogger sono comuni anche nella famiglia di malware Zeus utilizzati per indirizzare i consumatori o credenziali di merchant banking per le applicazioni online. 

Interessante il fatto che una vittima su due (consumer o business) subisce la perdita di credenziali bancarie valide, e una banca è vittima quando l'attaccante utilizza il furto di credenziali per eseguire una transazione fraudolenta. Molte volte questo comporta un bonifico bancario su un conto di fuori degli Stati Uniti, dove i fondi di denaro scompaiono rapidamente nelle mani di multinazionali. 

Backdoor avviano connessioni in uscita dal sistema infetto per aggirare i firewall e altri controlli di sicurezza. Verizon ha visto vari tipi di backdoor in tutte le sue indagini, alcune delle quali facilitano l'accesso interattivo a distanza Tunneling SSH (tunnel cifrato) che impiegano la porta RDP 3.389 per trasmettere ad un indirizzo IP configurato per l'attaccante, e altri che comunicano tramite una applicazione "client" la cui comunicazione viene accettata dal sistema infetto. 

Gli aggressori distribuiscono quest'ultimo tipo di backdoor usando un "server" eseguibile su un sistema di destinazione, che comunicano con una applicazione "client" sul sistema dell'utente malintenzionato. Queste backdoor sono spesso configurate per comunicare sulle porte comunemente utilizzate come 80, 443, o 22 per nascondere il traffico sospetto da amministratori di sistema.


Le backdoor sono descritte nella comunità hacker come lo strumento di amministrazione remota (RAT) e sono immediatamente disponibili sul web e attraverso forum di hacking. In generale, gli antivirus (AV) classificano il RAT come Trojan di accesso remoto, tuttavia versioni commerciali non-free di questi strumenti esistono e sono pubblicizzate dagli sviluppatori per aggirare gli AV. Questi "Server" standalone eseguibili sono in genere configurati e realizzati utilizzando una GUI basata su applicazione "client" con specificate le opzioni attaccanti incorporati nel file eseguibile. 

Queste tipi di backdoor contengono comunemente il trasferimento dei file e la funzionalità di keylogging come così come altre tecniche anti-forense, come il suo traffico crittografato, la protezione tramite password e le funzionalità di cancellazione sicura. Le componenti keylogging di queste backdoor permettono ai criminali di acquisire le credenziali di autenticazione e li usano per le successive e / o ampliati attacchi contro le reti aziendali. Un gruppo particolare di criminalità organizzata ha utilizzato il medesimo backdoor / keylogger su oltre 100 diverse organizzazioni. 

Il phishing non è nuovo come strumento, ma sembra aver trovato una certa attenzione rinnovata nella comunità criminale. Piuttosto che la tipica e-mail esca per cambiare la vostra password bancaria, fonti esternevengono utilizzate più spesso per ottenere un punto d'appoggio nell'ambiente della vittima attraverso il malware in allegato. 

Questa tattica, ovviamente, non è nuova, sembra aver subito semplicemente un crescita accelerata. Le piccole e medie aziende rappresentano il principale bersaglio di attacchi da parte degli hacker, che preferiscono lanciare attacchi estremamente automatizzati e ripetibili contro questi bersagli piu' vulnerabili. L'hacking (50%) e il malware (49%) restano il metodo di attacco piu' diffuso: in particolare il malware sarebbe stato responsabile dell'80% dei dati persi.

Nessun commento:

Posta un commento