Malvertising:una minaccia in espansione

Giacomo Milani (giacomo83m@gmail.com)Andrea Minigozzi (andrea@fantaghost.com)

$whoami (Giacomo Milani)

ictforum14$ finger –-info giacomo83m@gmail.com

Giacomo Milani (giacomo83m)Home: Finmeccanica G-CERT Manager

Details:Responsabile CERT Finmeccanica, inizia nel 2002 la suacarriera professionale nella sicurezza informatica con losviluppo di network analyzer in ambiente Linux/FreeBSDseguita da consulenze come libero professionista svolgendoattività di Vulnerability Assessment e Penetration Testing .Attualmente si occupa di Incident Management e MalwareAnalysis.Membro ISC2 Italy Chapter

$whoami (Andrea Minigozzi)

ictforum14$ finger –-info andrea@fantaghost.com

Andrea Minigozzi (FantaGhost)Home: AgustaWestland IT Security Analyst

Details:Approccia il mondo delle reti con un Videotel nel 1988, dopoaver speso ore sul suo fido Sinclair ZX Spectrum 48K. Dal1999 si occupa di ICT Security. Attualmente certificatoCISSP ed OPST ha competenze in ambito SIEM, MalwareAnalysis, Incident Response, Computer and Network Forensics,PenTesting e Vulnerability Assessment.E’ contribution writer per la sezione Ventuno di VareseNewsed ha sviluppato il tool open-source FGscanner.Membro Clusit ed ISC2 Italy Chapter.

Agenda

Definizione e contesto

I numeri dell’advertising su web

Timeline Attacchi

Le prime reazioni

Metodologie di attacco ai Publisher

Impatti e Conseguenze

In-App ADS exploiting

Difesa e Prevenzione - Inserzionisti

Difesa e Prevenzione – Corporate

Difesa e Prevenzione – Utenti

Domande / Risposte - Contatti

Il Malvertising, unione delle parole inglesi malware e advertising, consiste

nell’inserire codice malevolo all’interno di legittimi circuiti di pubblicità online.

Fonte: http://www.anti-malvertising.com/

Malvertsing: definizione

Numeri di visite ai circuiti web advertising riferiti all’anno 2012

Fonte: http://www.quantcast.com

Adblade 209.3 milioni

Google 156.1 milioni

Facebook 148.3 milioni

Meebo 136.8 milioni

Vibrant media 136.1 milioni

Undertone 125.2 milioni

Ask Network 90 milioni

Kontera 75.5 milioni

Click Booth 43 milioni

AOL 40.8 milioni

LinkedIn 39.4 milioni

Web Advertising: i numeri

The ads revenues involved are significant, with

the Bloomberg newswire noting that online advertisers spent £25.5

billion (US$ 42.8 billion) in the US last year (2013)– exceeding the

total for broadcast TV. (SC Magazine UK)

Timeline attacchi (primo semestre 2014)

16 Giugno 2014

deviantART

23 Giugno 2014

Syrian Electronic

Army

3 Luglio 2014

Bitcoin Phising

ADS

6 Agosto 2014

New Malvertising

Attack

23 Settembre

2014

Malvertising

Is 9 Time

Bigger

Timeline attacchi (secondo semestre 2014)

29 Settembre 2014

Google Doubleclick

Le prime azioni di contrasto

Metodologie di attacco ai Publisher

Gli attaccanti usano diverse tecniche per aggiungere contenuti malevoli negli

ads di siti legittimi:

Fonte: http://resources.infosecinstitute.com/malvertising-growing-threat-start-2014/

ACQUISTO DIRETTO (a volte con carte di credito

rubate)

CIRCUITI DI SCAMBIO ADS

VULNERABILITA’ TECNOLOGICHE

Vettori di infezione

Una volta compromesso il circuito di Ads, gli attaccanti si concentrano sugli

utenti, utilizzando due vettori:

Hacking

Viene compromesso il circuito della distribuzione

advertising, tramite un attacco diretto. Una volta preso il

controllo dell’infrastruttura si trasforma un contenuto di un

inserzionista legittimo inserendo un codice malevolo quale

frame, redirect della pagina, utilizzando exploit kit che

sfruttano vulnerabilità di plugin ad esempio java/flash.

Social Engineering

Utilizzando una falsa identità ci si registra ad un circuito

pubblicitario ed, in prima fase, si distribuiscono contenuti

validi. Una volta ottenuta una buona reputazione, si

cambiano i contenuti con quelli malevoli.

Gli impatti

Reputazione dei siti web

Anche i siti considerati sicuri possono diventare veicolo di

infezione

Targeting Attack

E’ possibile selezionare accuratamente i bersagli della

campagna di diffusione malware sfruttando la capacità

intrinseca di profiling dei circuiti ADS

Diffusione

Non è più l’utente che naviga verso il malware ma viceversa. Il

malware si troverà sui siti che l’utente bersaglio visita

normalmente

Invisibilità

L’attaccante non è direttamente esposto verso il bersaglio.

Spesso non è visibile nemmeno al circuito ADS stesso

La maggior parte degli ADS contenuti nelle app sono visualizzati tramite

l’interfaccia WebView di Android. Ad inizio 2014 è stata scoperta una

vulnerabilità grave nel codice di questa interfaccia che può essere sfruttata

tramite Malvertising. A distanza di mesi il 73% dei dispositivi Android in

circolazione risulta ancora vulnerabile (Android < 4.2)...GoogleGlass compresi !

In-App ADS Exploiting (CVE-2014-6041)

Google ha introdotto nei dispositivi Android la

conferma del click per In-App ADS

Difesa e Prevenzione - Utenti

Aggiornare il Browser e Sistema Operativo

Installare un plugin per il blocco degli ADS

(per esempio ADBlock Plus, noscript, ecc...)

Utilizzare ed aggiornare il proprio antivirus

Segnalare comportamenti anomali:

http://www.google.com/safebrowsing/report_badware/

Non cliccare sulle inserzioni pubblicitarie se non strettamente necessario

Difesa e Prevenzione - Corporate

Inserire la categoria «Advertising» nei sistemi di Web Filtering / Proxy

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Malvertising Redirection to

Exploit Kit"; flow:established,to_server; content:"/ajs.php?zoneid="; http_uri; fast_pattern:only;

pcre:"/\/ajs.php\?zoneid=[0-9]+/U"; classtype:trojan-activity; sid:xxxx; rev:1;)

alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Malvertising Redirection to

Exploit Kit"; flow:established,to_server; content:"/afr.php?zoneid="; http_uri; fast_pattern:only;

pcre:"/\/afr.php\?zoneid=[0-9]+/U"; classtype:trojan-activity; sid:xxxx; rev:1;)

http://permalink.gmane.org/gmane.comp.security.ids.snort.emerging-sigs/21992

Browser Sandboxing / Browser Virtualization

Difesa e Prevenzione - Inserzionisti

Porre particolare attenzione ai partner commerciali per i quali si pubblicano

contenuti. Si consiglia di effettuare un’attività di background checking sul sito Anti-

Malvertising che censisce le realtà coinvolte in passato su questo tipo di incidenti:

http://www.anti-malvertising.com/ResearchEngine

Verificare i domini utilizzati attraverso il servizio WHOIS, guardando come e dove sono

registrati

Effettuare attività di formazione per educare l’utenza e i tecnici a riconoscere

l’attacco in modo da per potere intervenire con tempestività.

Adottare strategie commerciali che incentivano l’acquisto di grandi volumi di spazio

pubblicitario rispetto ai piccoli volumi.

Domande e Risposte - Contatti

Giacomo Milani (giacomo83m)

giacomo83m@gmail.com

Andrea Minigozzi (FantaGhost)

andrea@fantaghost.com

http://www.festivalict.com/i-relatori-2014/