Date post: | 05-Apr-2015 |
Category: |
Documents |
Upload: | amalger-langenfeld |
View: | 116 times |
Download: | 1 times |
Seit 2004 bei FortinetConsulting & Engineering
EMEA & SEAF.I.A.T. Member seit 2005
Social Networkwww.xing.de
thorsten jägersecurity consultant - [email protected]
In IPv6 steckt doch der Wurm!
Agenda
Malware / Schadsoftware.biz
Malware on Steroids
Umgang mit Malware
schadsoftware.biz
Warum gibt es Schadsoftware
Wer verbreitet Schadsoftware
Wie verbreitet sich Schadsoftware
Warum ?
• Hochprofitabel• Geringes Risiko
Kein direkter „Objekt“ Kontakt Mobil, sehr attraktiv für Schwellenländer
• Milliarden Industrie
Wer ?
• Geldgierige• Kriminelle• Geldgierige Kriminelle
Polizeiliche Kriminalstatisik 2009• Phising +64%• „Ausspähen, Abfangen von Daten“ +48%, bei 7% weniger Aufklärungsquote
• Spionage
Wie ?
• Infektion von Hosts über Vektoren Email, http, Web 2.0 und Social Networks, Instant-Messaging, P2P, Adobe PDF, Google-Docs, Voice-over-IP
• Ausnutzen von Schwachstellen (Exploit) Schwachstellen in der Technik und „Social Exploits“
• Installation Malware / Schadsoftware Selbstständiges Weiterverbreiten der Schadsoftware
• Kontrolle über den Hosts (Botnetz)• Kommerzialisierung des „Botnetzes“
• SPAM-Hosts (100.000 Hosts mit je 1.000 emails/std) 100.000.000 SPAMs• Ausspähen von KK, Paypal, ebay• Weiterversenden von Malware, DDoS Attacken und Erpressung
Wie ?
• Marktplätze IRC (IRC v6), ICQ, Websites
Gute Forschungsarbeiten dazu verfügbar „Dirty Money on the Wire“. Guillaume Lovet, FORTINET „Underground Economy“. Thorsten Holz, TU Wien
„Catch of the Day“ Menu
• Sehr guter 0-day Exploit ~500-1000$• Guter Exploit 20$
• Gestohlene Kreditkartennummer mit Code 2$• Gestohlene Kreditkartennummer mit PIN 20$. Rabattstufen• Baukasten für Trojaner 500-1000$• Mietpreis für ein DDoS Botnet (100.000 Zombies) ab 500$/h• Mietpreis 1.Mio SPAM mit Malware ca 20$• Software as a Service, SaaS.
Malware in IPv6 – aus Alt mach Neu
Alte Malware
• Verbreitet sich Protokoll- unabhängig (I LOVE YOU)
• Virus, Exploit
Pimped Malware
• IPv6 Erweiterungen in Würmern.
• Beispiel: ZEUS (https://zeustracker.abuse.ch/)
IPv6 Malware
• Malware die spezifische IPv6 Eigenschaften nutzt• IPv6 Exploits (Stacks
oder Parser)
Malware in IPv6 – the bad news
• Bad news• Viele Schadsoftware ist schon IPv6 fähig• Abhängig vom Vektor• Probleme durch „Dual Stack“
• Bad news• Fast jeder Exploit ist IPv6 tauglich
Malware in IPv6
• Bad news• Starker Anstieg von SPAM• Damit verbunden stärkere Verbreitung von Malware
• Direkte Erreichbarkeit der Hosts• Mehr Gewicht auf Firewall Konfiguration als in der NAT Welt
Malware in IPv6 – not so bad news
• Heute ist kein Wurm aktiv der sichüber IPv6 verbreitet
• Noch nicht . . . . .
• Bad news• Mit dem Businesscase kommt IPv6 spezifische Malware
For IPv6 only
• Tunnelprotokolle• Teredo et al
• Blacklisting• Personal Firewall• LAN versus WAN• IPv4 zu IPv6
• Generisch IPsec• Stack hickups. OS-Stack, Application-Stack, Parser . . .
For your IPv6 only
• Von Fast-Flux zu Hyper-Fast-Flux Netzen• Home-Router Exploitation
Quelle: abuse.ch. Fastflux Netz
For your IPv6 only- LAN
• Lokaler Service Provider• Router Solicitation, Duplicate Address Detection• .....
• Gute Tools zum kreativen Umgang mit IPv6 im LAN• THC IPV6 Attack Suite
• fakerouter6 – sendet neue Router Advts. • dos-newipv6 – antwortet auf jede Neighbor Solicitation (DAD)• .....
Danke 2128
• Brute Detection / Scanning von Hosts• Mit heutigen Tools unmöglich• Money rulez. Und Kreativität auch.
Malware mit Migrationshintergrund
• Dual-stack Lösungen mit Dual-brain Admins• Admins müssen sich dem 2. Protokoll bewusst sein• Organisatorische Trennung, Netz vs Content
• Anpassen der Content Security Systeme• Intrusion-Prevention, Application-Control, Proxy, Anti-Virus . . .• Einsatz von Multifunction-/UTM Firewalls
• Andernfalls droht ein Produkteoverkill (Vekoren x2)
• Intelligente Firewalls• Erkennen und Blocken von Tunneln
Malware mit Migrationshintergrund
• Zentraler Punkt für IPv4 und IPv6 Security• Wenn auch Dual-stack• Administrativ integriert
• Beispiel: Mailgateway oder Proxy
• Besonderer Schutz der DNS Infrastruktur• Höhere Bedeutung bei IPv6