Malvertising: una minaccia in espansione
-
Upload
fantaghost -
Category
Internet
-
view
110 -
download
1
description
Transcript of Malvertising: una minaccia in espansione
Malvertising:una minaccia in espansione
Giacomo Milani ([email protected])Andrea Minigozzi ([email protected])
$whoami (Giacomo Milani)
ictforum14$ finger –-info [email protected]
Giacomo Milani (giacomo83m)Home: Finmeccanica G-CERT Manager
Details:Responsabile CERT Finmeccanica, inizia nel 2002 la suacarriera professionale nella sicurezza informatica con losviluppo di network analyzer in ambiente Linux/FreeBSDseguita da consulenze come libero professionista svolgendoattività di Vulnerability Assessment e Penetration Testing .Attualmente si occupa di Incident Management e MalwareAnalysis.Membro ISC2 Italy Chapter
$whoami (Andrea Minigozzi)
ictforum14$ finger –-info [email protected]
Andrea Minigozzi (FantaGhost)Home: AgustaWestland IT Security Analyst
Details:Approccia il mondo delle reti con un Videotel nel 1988, dopoaver speso ore sul suo fido Sinclair ZX Spectrum 48K. Dal1999 si occupa di ICT Security. Attualmente certificatoCISSP ed OPST ha competenze in ambito SIEM, MalwareAnalysis, Incident Response, Computer and Network Forensics,PenTesting e Vulnerability Assessment.E’ contribution writer per la sezione Ventuno di VareseNewsed ha sviluppato il tool open-source FGscanner.Membro Clusit ed ISC2 Italy Chapter.
Agenda
Definizione e contesto
I numeri dell’advertising su web
Timeline Attacchi
Le prime reazioni
Metodologie di attacco ai Publisher
Impatti e Conseguenze
In-App ADS exploiting
Difesa e Prevenzione - Inserzionisti
Difesa e Prevenzione – Corporate
Difesa e Prevenzione – Utenti
Domande / Risposte - Contatti
Il Malvertising, unione delle parole inglesi malware e advertising, consiste
nell’inserire codice malevolo all’interno di legittimi circuiti di pubblicità online.
Fonte: http://www.anti-malvertising.com/
Malvertsing: definizione
Numeri di visite ai circuiti web advertising riferiti all’anno 2012
Fonte: http://www.quantcast.com
Adblade 209.3 milioni
Google 156.1 milioni
Facebook 148.3 milioni
Meebo 136.8 milioni
Vibrant media 136.1 milioni
Undertone 125.2 milioni
Ask Network 90 milioni
Kontera 75.5 milioni
Click Booth 43 milioni
AOL 40.8 milioni
LinkedIn 39.4 milioni
Web Advertising: i numeri
The ads revenues involved are significant, with
the Bloomberg newswire noting that online advertisers spent £25.5
billion (US$ 42.8 billion) in the US last year (2013)– exceeding the
total for broadcast TV. (SC Magazine UK)
Timeline attacchi (primo semestre 2014)
16 Giugno 2014
deviantART
23 Giugno 2014
Syrian Electronic
Army
3 Luglio 2014
Bitcoin Phising
ADS
6 Agosto 2014
New Malvertising
Attack
23 Settembre
2014
Malvertising
Is 9 Time
Bigger
Timeline attacchi (secondo semestre 2014)
29 Settembre 2014
Google Doubleclick
Le prime azioni di contrasto
Metodologie di attacco ai Publisher
Gli attaccanti usano diverse tecniche per aggiungere contenuti malevoli negli
ads di siti legittimi:
Fonte: http://resources.infosecinstitute.com/malvertising-growing-threat-start-2014/
ACQUISTO DIRETTO (a volte con carte di credito
rubate)
CIRCUITI DI SCAMBIO ADS
VULNERABILITA’ TECNOLOGICHE
Vettori di infezione
Una volta compromesso il circuito di Ads, gli attaccanti si concentrano sugli
utenti, utilizzando due vettori:
Hacking
Viene compromesso il circuito della distribuzione
advertising, tramite un attacco diretto. Una volta preso il
controllo dell’infrastruttura si trasforma un contenuto di un
inserzionista legittimo inserendo un codice malevolo quale
frame, redirect della pagina, utilizzando exploit kit che
sfruttano vulnerabilità di plugin ad esempio java/flash.
Social Engineering
Utilizzando una falsa identità ci si registra ad un circuito
pubblicitario ed, in prima fase, si distribuiscono contenuti
validi. Una volta ottenuta una buona reputazione, si
cambiano i contenuti con quelli malevoli.
Gli impatti
Reputazione dei siti web
Anche i siti considerati sicuri possono diventare veicolo di
infezione
Targeting Attack
E’ possibile selezionare accuratamente i bersagli della
campagna di diffusione malware sfruttando la capacità
intrinseca di profiling dei circuiti ADS
Diffusione
Non è più l’utente che naviga verso il malware ma viceversa. Il
malware si troverà sui siti che l’utente bersaglio visita
normalmente
Invisibilità
L’attaccante non è direttamente esposto verso il bersaglio.
Spesso non è visibile nemmeno al circuito ADS stesso
La maggior parte degli ADS contenuti nelle app sono visualizzati tramite
l’interfaccia WebView di Android. Ad inizio 2014 è stata scoperta una
vulnerabilità grave nel codice di questa interfaccia che può essere sfruttata
tramite Malvertising. A distanza di mesi il 73% dei dispositivi Android in
circolazione risulta ancora vulnerabile (Android < 4.2)...GoogleGlass compresi !
In-App ADS Exploiting (CVE-2014-6041)
Google ha introdotto nei dispositivi Android la
conferma del click per In-App ADS
Difesa e Prevenzione - Utenti
Aggiornare il Browser e Sistema Operativo
Installare un plugin per il blocco degli ADS
(per esempio ADBlock Plus, noscript, ecc...)
Utilizzare ed aggiornare il proprio antivirus
Segnalare comportamenti anomali:
http://www.google.com/safebrowsing/report_badware/
Non cliccare sulle inserzioni pubblicitarie se non strettamente necessario
Difesa e Prevenzione - Corporate
Inserire la categoria «Advertising» nei sistemi di Web Filtering / Proxy
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Malvertising Redirection to
Exploit Kit"; flow:established,to_server; content:"/ajs.php?zoneid="; http_uri; fast_pattern:only;
pcre:"/\/ajs.php\?zoneid=[0-9]+/U"; classtype:trojan-activity; sid:xxxx; rev:1;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Malvertising Redirection to
Exploit Kit"; flow:established,to_server; content:"/afr.php?zoneid="; http_uri; fast_pattern:only;
pcre:"/\/afr.php\?zoneid=[0-9]+/U"; classtype:trojan-activity; sid:xxxx; rev:1;)
http://permalink.gmane.org/gmane.comp.security.ids.snort.emerging-sigs/21992
Browser Sandboxing / Browser Virtualization
Difesa e Prevenzione - Inserzionisti
Porre particolare attenzione ai partner commerciali per i quali si pubblicano
contenuti. Si consiglia di effettuare un’attività di background checking sul sito Anti-
Malvertising che censisce le realtà coinvolte in passato su questo tipo di incidenti:
http://www.anti-malvertising.com/ResearchEngine
Verificare i domini utilizzati attraverso il servizio WHOIS, guardando come e dove sono
registrati
Effettuare attività di formazione per educare l’utenza e i tecnici a riconoscere
l’attacco in modo da per potere intervenire con tempestività.
Adottare strategie commerciali che incentivano l’acquisto di grandi volumi di spazio
pubblicitario rispetto ai piccoli volumi.
Domande e Risposte - Contatti
Giacomo Milani (giacomo83m)
Andrea Minigozzi (FantaGhost)
http://www.festivalict.com/i-relatori-2014/