thorsten jägersecurity consultant - internationaltjaeger@fortinet.com

In IPv6 steckt doch der Wurm!

Seit 2004 bei FortinetConsulting & Engineering

EMEA & SEAF.I.A.T. Member seit 2005

Social Networkwww.xing.de

thorsten jägersecurity consultant - internationaltjaeger@fortinet.com

In IPv6 steckt doch der Wurm!

Agenda

Malware / Schadsoftware.biz

Malware on Steroids

Umgang mit Malware

schadsoftware.biz

Warum gibt es Schadsoftware

Wer verbreitet Schadsoftware

Wie verbreitet sich Schadsoftware

Warum ?

• Hochprofitabel• Geringes Risiko

Kein direkter „Objekt“ Kontakt Mobil, sehr attraktiv für Schwellenländer

• Milliarden Industrie

Wer ?

• Geldgierige• Kriminelle• Geldgierige Kriminelle

Polizeiliche Kriminalstatisik 2009• Phising +64%• „Ausspähen, Abfangen von Daten“ +48%, bei 7% weniger Aufklärungsquote

• Spionage

Wie ?

• Infektion von Hosts über Vektoren Email, http, Web 2.0 und Social Networks, Instant-Messaging, P2P, Adobe PDF, Google-Docs, Voice-over-IP

• Ausnutzen von Schwachstellen (Exploit) Schwachstellen in der Technik und „Social Exploits“

• Installation Malware / Schadsoftware Selbstständiges Weiterverbreiten der Schadsoftware

• Kontrolle über den Hosts (Botnetz)• Kommerzialisierung des „Botnetzes“

• SPAM-Hosts (100.000 Hosts mit je 1.000 emails/std) 100.000.000 SPAMs• Ausspähen von KK, Paypal, ebay• Weiterversenden von Malware, DDoS Attacken und Erpressung

Wie ?

• Marktplätze IRC (IRC v6), ICQ, Websites

Gute Forschungsarbeiten dazu verfügbar „Dirty Money on the Wire“. Guillaume Lovet, FORTINET „Underground Economy“. Thorsten Holz, TU Wien

„Catch of the Day“ Menu

• Sehr guter 0-day Exploit ~500-1000$• Guter Exploit 20$

• Gestohlene Kreditkartennummer mit Code 2$• Gestohlene Kreditkartennummer mit PIN 20$. Rabattstufen• Baukasten für Trojaner 500-1000$• Mietpreis für ein DDoS Botnet (100.000 Zombies) ab 500$/h• Mietpreis 1.Mio SPAM mit Malware ca 20$• Software as a Service, SaaS.

Malware in IPv6 – aus Alt mach Neu

Alte Malware

• Verbreitet sich Protokoll- unabhängig (I LOVE YOU)

• Virus, Exploit

Pimped Malware

• IPv6 Erweiterungen in Würmern.

• Beispiel: ZEUS (https://zeustracker.abuse.ch/)

IPv6 Malware

• Malware die spezifische IPv6 Eigenschaften nutzt• IPv6 Exploits (Stacks

oder Parser)

Malware in IPv6 – the bad news

• Bad news• Viele Schadsoftware ist schon IPv6 fähig• Abhängig vom Vektor• Probleme durch „Dual Stack“

• Bad news• Fast jeder Exploit ist IPv6 tauglich

Malware in IPv6

• Bad news• Starker Anstieg von SPAM• Damit verbunden stärkere Verbreitung von Malware

• Direkte Erreichbarkeit der Hosts• Mehr Gewicht auf Firewall Konfiguration als in der NAT Welt

Malware in IPv6 – not so bad news

• Heute ist kein Wurm aktiv der sichüber IPv6 verbreitet

• Noch nicht . . . . .

• Bad news• Mit dem Businesscase kommt IPv6 spezifische Malware

For IPv6 only

• Tunnelprotokolle• Teredo et al

• Blacklisting• Personal Firewall• LAN versus WAN• IPv4 zu IPv6

• Generisch IPsec• Stack hickups. OS-Stack, Application-Stack, Parser . . .

For your IPv6 only

• Von Fast-Flux zu Hyper-Fast-Flux Netzen• Home-Router Exploitation

Quelle: abuse.ch. Fastflux Netz

For your IPv6 only- LAN

• Lokaler Service Provider• Router Solicitation, Duplicate Address Detection• .....

• Gute Tools zum kreativen Umgang mit IPv6 im LAN• THC IPV6 Attack Suite

• fakerouter6 – sendet neue Router Advts. • dos-newipv6 – antwortet auf jede Neighbor Solicitation (DAD)• .....

Danke 2128

• Brute Detection / Scanning von Hosts• Mit heutigen Tools unmöglich• Money rulez. Und Kreativität auch.

Malware mit Migrationshintergrund

• Dual-stack Lösungen mit Dual-brain Admins• Admins müssen sich dem 2. Protokoll bewusst sein• Organisatorische Trennung, Netz vs Content

• Anpassen der Content Security Systeme• Intrusion-Prevention, Application-Control, Proxy, Anti-Virus . . .• Einsatz von Multifunction-/UTM Firewalls

• Andernfalls droht ein Produkteoverkill (Vekoren x2)

• Intelligente Firewalls• Erkennen und Blocken von Tunneln

Malware mit Migrationshintergrund

• Zentraler Punkt für IPv4 und IPv6 Security• Wenn auch Dual-stack• Administrativ integriert

• Beispiel: Mailgateway oder Proxy

• Besonderer Schutz der DNS Infrastruktur• Höhere Bedeutung bei IPv6