L`industria del M alw are

Fabrizio Cassoni
•
•
•
•
•
Chi erano i primi virus writer
Che tipo di virus scrivevano
L’era moderna: i worm
Diffondere virus per denaro
Le strategie di difesa con F-Secure
• Primo virus per PC IBM:
Brain (1986)
• Prevalenza dei virus per file
e Boot Sector / MBR
• Tempi di diffusione calcolati
in mesi
• Motivazioni e messaggi
spesso goliardici
• L’opinione generale era che Win95 avrebbe causato
l’estinzione dei virus
• I file-virus per DOS avevano limitate funzionalità in
Win95
• I virus del boot erano sterili, ma potevano comunque
attaccare un disco fisso
• Non ci volle molto perché il primo virus Win95
apparisse...
!
• Boza (alias Bizatch) portò
fama e prestigio al gruppo
australiano VLAD
• “From the old school to the
new..”
• Mai veramente diffuso, ma
ottenne grande interesse dei
media
!
•
•
•
•
•
•
Goliardia
Vandalismo
Desiderio di fama
Sperimentazione
Incoscienza
Rabbia
"
#
• La dura lezione appresa dal
sig. David L. Smith:
– Mai vantarsi in giro di
aver scritto “Melissa”
• Programmatore per
professione, VicodinES nel
tempo libero
• 30enne, buona posizione
sociale, istruito: per l’epoca,
un virus-writer atipico
• Arrestato nell’aprile 1999
!
$$$
!
• I virus possono essere sofisticati, ma sono lenti nella
diffusione (scambio di file e dischetti)
• Nell’era di Internet, prevalgono i Worm
• In un mondo connesso, la Rete e i suoi servizi sono il
veicolo di diffusione
• Il fine è il controllo: infettare migliaia di macchine nel
giro di pochi minuti
%&'
• Code Red, Nimda, Slammer,
Blaster, Sasser…
• Ottimizzati per la velocità di
propagazione
• Pandemici, fino a infettare il
100% di macchine
vulnerabili sulla Rete
• Spesso senza Payload, ma
sempre dannosi per il traffico
generato
(
)
!
• Dal 2002 in poi, lo Spam inizia a diventare un
problema serio
• Il 2003 è l’anno del boom
• Lo Spamming genera profitti per chi lo pratica, a
basso costo e con poco sforzo
• Non sappiamo molto sulle Spam-Gang
• Sappiamo che lo spammer viene pagato a
percentuale sulla risposta alle mail che invia
!
• La ricerca di open relay
diventa fondamentale
• L’utilizzo di altre macchine
come proxy smtp rende lo
spammer meno rintracciabile
• Meglio ancora se sono PC di
home users
• Il PC compromesso viene
utilizzato come “trampolino
di lancio” per lo spam
!!
Spammer
Peter
(Proxy)
*
• Qual è il mezzo più veloce per trasformare la
macchina di un utente in un proxy aperto?
• …ovviamente un worm!
–
–
–
–
I worm si propagano autonomamente
Possono installarsi e scaricare altro software
La fonte originaria è difficile da rintracciare
Nessun bisogno di hacking per compromettere una
macchina
*
+,
!
• Fizzer, Mimail, Sobig hanno mostrato come utilizzare
un worm per creare una spam-machine
• Ma il dominatore della scena è MyDoom (gennaio
2004)
• Noto ai media per il suo attacco DDoS contro
sco.com e microsoft.com
+
• Dopo l’installazione,
MyDoom si diffonde come
un qualunque mail worm
• Lancia attacchi DDoS
• L’analisi delle prime
macchine infette mostrava
però il vero scopo del worm
+
!
• MyDoom si collega ad alcuni
siti Web e scarica un TrojanProxy chiamato Mitglieder
• Mitglieder trasforma il PC
infetto in un proxy di posta,
in grado di rispedire Spam a
comando
•
•
•
•
Mentre MyDoom si propaga, compare Bagle
Codice differente, ma payload simile
Anche Bagle installa segretamente Mitglieder
Stessi autori?
!
!-
• MyDoom e Bagle nascono con uno scopo ben
preciso
• Servono all’industria dello Spam per creare strumenti
da utilizzare e sfruttare
• Non c’è altra giustificazione per l’impiego di
Mitglieder
• MyDoom e Bagle sono operazioni commerciali
• I virus writer vedono ora la possibilità di guadagnare
soldi con le loro creazioni
)
.+,
• MyDoom e Bagle sono
dominanti sulla rete, ma
all’improvviso compare
Netsky
• E’ un worm anomalo, che
dopo l’installazione, ricerca e
rimuove Bagle e MyDoom
• Il nuovo worm è firmato da
un gruppo che si autodefinisce “The SkyNet” (una
citazione dal film Terminator,
probabilmente)
• Nelle intenzioni dell’autore,
Netsky è una risposta ai
worm “cattivi”
• Ma è una risposta sbagliata,
perché genera ulteriore
caos, traffico di rete e costi
per gli utenti
/
!
• Gli autori di MyDoom e Bagle sono ovviamente
arrabbiati con Netsky
• Inizia uno scambio di insulti fra i tre VXers
• I messaggi sono nascosti nel codice delle
innumerevoli varianti dei 3 worm
Netsky.R: Bagle is a shitty guy, he opens a backdoor,
and he makes a lot of money.
Netsky not., Netsky is Skynet, a good software,
Good guys behind it. Believe me, or not.
We will release thousands of our Skynet versions,
as long as Bagle is there
Bagle.J: Hey, NetSky,
f*ck off you bitch, don't
ruine our bussiness,
wanna start a war?
•
•
0
• Nel giro di poche settimane,
escono decine di varianti dei
tre worm
• Ognuna di esse contiene
minacce e insulti per i rivali
• Netsky.G invita Bagle e
MyDoom ad un incontro
faccia a faccia
• La situazione è senza
precedenti: 3 worm, con
numerose varianti, tutte
ugualmente diffuse
•
•
•
•
•
•
Fri 23.1.2004:
Tue 27.1.2004:
Mon 16.2.2004:
Mon 16.2.2004:
Tue 17.2.2004:
Wed 18.2.2004:
•
•
•
•
•
Tue 24.2.2004:
Wed 25.2.2004:
Fri 27.2.2004:
Sat 28.2.2004:
Sat 28.2.2004:
Sun 29.2.2004:
•
•
•
•
•
•
•
•
•
•
•
•
•
Mon 1.3.2004:
Mon 1.3.2004:
Mon 1.3.2004:
Tue 2.3.2004:
Tue 2.3.2004:
Tue 2.3.2004:
Tue 2.3.2004:
Wed 3.3.2004:
Wed 3.3.2004:
Wed 3.3.2004:
Thu 4.3.2004:
Fri 5.3.2004:
Sun 7.3.2004:
•
Bagle.A
Mydoom.A •
•
Netsky.A •
Mydoom.E •
•
Bagle.B
Netsky.B •
•
Mydoom.F •
Netsky.C •
Bagle.C
•
Bagle.D
•
Bagle.E
•
Netsky.D •
•
Bagle.F
•
Bagle.G
•
Netsky.E •
Bagle.H
•
Bagle.I
•
Netsky.F •
Bagle.J
•
Mydoom.G •
Bagle.K
•
Mydoom.H •
Netsky.G •
Netsky.H •
Netsky.I
•
•
Mon 8.3.2004:
Mon 8.3.2004:
Tue 9.3.2004:
Wed 10.3.2004:
Thu 11.3.2004:
Tue 11.3.2004:
Thu 13.3.2004:
Thu 13.3.2004:
Sat 15.3.2004:
Mon 17.3.2004:
Tue 18.3.2004:
Thu 18.3.2004:
Thu 18.3.2004:
Thu 18.3.2004:
Sun 21.3.2004:
Fri 26.3.2004:
Mon 29.3.2004:
Mon 29.3.2004:
Wed 31.3.2004:
Mon 5.4.2004:
Mon 5.4.2004:
Tue 6.4.2004:
Thu 8.4.2004:
Tue 13.4.2004:
Wed 14.4.2004:
Thu 15.4.2004:
Fri 16.4.2004:
Mon 19.4.2004:
Tue 20.4.2004:
Wed 21.4.2004:
Netsky.J
Netsky.K
Bagle.L
Netsky.L
Netsky.M
Bagle.M
Bagle.N
Bagle.O
Bagle.P
Netsky.O
Bagle.Q
Bagle.R
Bagle.S
Bagle.T
Netsky.P
Bagle.U
Bagle.V
Netsky.Q
Netsky.R
Netsky.S
Bagle.W
Netsky.T
Netsky.U
Mydoom.I
Netsky.V
Netsky.W
Mydoom.J
Netsky.X
Netsky.Y
Netsky.Z
• L’autore di Netsky inizia a
combattere anche contro i
siti di P2P e Warez
• Alcune varianti di Netsky
lanciano attacchi DDoS
contro eMule, eDonkey e
Kazaa
• Chiaramente, SkyNet ha
iniziato una propria guerra
personale contro i “cattivi”
della Rete
• Le vere vittime però sono gli
utenti, che ricevono sempre
più mail infette
• Le ultime varianti di Netsky
contengono minacce contro
Bin Laden e Bush,
ringraziamenti al CCC e a
Russia e Cecoslovacchia e
“perle di saggezza” su come
evitare le infezioni
• E’ chiaro che “SkyNet”
segue con attenzione quello
che i media dicono di lui, e
ne è compiaciuto
• 1° maggio: “SkyNet” rilascia Sasser
• Network Worm che si propaga su macchine affette
dalla LSASS vulnerability
1
2
• Mentre Sasser diventa il
worm più diffuso al mondo, il
18enne Sven Jaschan (GER)
viene arrestato in diretta TV
• Accusato di essere l’autore di
Netsky e Sasser, confessa
• 18 settembre, l’azienda
tedesca SecurePoint gli offre
un lavoro
• La motivazione fornita alla
stampa è che SecurePoint ha
deciso di dare una seconda
possibilità a un giovane che
ha sbagliato
!
• Sven Jaschen, auto-proclamato Robin Hood della
Rete, viene arrestato
• Ancora non sappiamo chi siano i responsabili per
MyDoom e Bagle
• Bagle.AS scoperto il 28 settembre
• Molte varianti dei tre worm sono tuttora in
circolazione
.
+1
((
• Ora esiste un business che unisce malware e spam
• Il denaro come nuova motivazione per i VXers
• Con un incentivo così forte, possiamo sperare che
spam e virus scompaiano da soli?
• Oltre a questo, adware e spyware sono in crescita
• L’interesse economico sta pervadendo ogni aspetto
del problema-malware
I nuovi prodotti F-Secure:
• Approccio più globale ai
problemi attuali
–
–
–
–
–
–
–
Anti-Virus
Anti-Spam
Anti-Adware
Anti-Spyware
Anti-Dialer
Personal Firewall
Parental Control