ASFWS 2011 - Malware: quelles limites pour les applications ebanking?

Quelles limites pour les applications de eBanking?

(Avez-vous peur des fantômes?)

présentation pour APPSEC

Sébastien Bischof

Application Security Forum

Western Switzerland

27 octobre 2011 - HEIGVD Yverdon-les-Bainshttp://appsec-forum.ch

Sébastien BischofJean-Marc Bost

27.10.2011

Fantômes ETHiques sur SF1

Ils existent en vrai

Mais ils sont invisibles

Avez-vous peur des fantômes?

Même pour « Ghostbusters »

La preuve

Ils peuvent vous hypnotiser

27.10.2011 Application Security Forum - Western Switzerland - 2011 2

ETH(ical) Hacking sur SF1

4 5 6 7 8 9GC EZ NN 7W

Impossible de

l’OTP!

Impossible de dissocier les données de la transaction et l’OTP!

Selon la déclaration de spécialistes de l’EPF sur la sécurité de ****** e-banking: "Le système de ****** avec son lecteur de carte est à considérer comme sûr, parce qu’il exige une confirmation de transaction pour effectuer un virement vers un compte inconnu."


L’ETH(ical) MITC = Man Inside The Computer


Seule, la victime peut confirmer la transaction

Confirmation?

��







La preuve



L’infection par «troyens» est une réalité

Selon Microsoft, 5% des PC Windows sont infectés (source «Safety Scanner», May 2011)

Au moins 25%, selon Pandalab, avec une majorité de Troyens(source «ActiveScan», Q2 2011)

La Suisse affiche le 2ème taux d’infection le plus bas…… mais à presque 30%

“42 new malware strains created every minute»

… mais à presque 30%

Le troyen est plébiscité par les hackers


Au début, il y a eu le MITM (Man In The Middle)…

MITM• site intermédiaire• pollution DNS• etc …

2006

• etc …

2007


… puis le MITB (Malware In the Browser)…

MITB

2007

2008

MITB• Anserin• Mebroot• Silentbanker


… puis le MI (Malware Inside)

MI• Zeus• Ares• SpyEye

2009

2011


L’efficacité de Zeus et SpyEye en chiffres

– 2009: 1.5 Millions de Spam d’infection vers facebook

– Juin 2009: 74’000 comptes FTP détournés par Zeus

– 2010: au moins 6 millions de £ on été détournées par un gang de 19 personnes en Angleterre

– Oct. 2010: 70 millions US $ par Zeus– Oct. 2010: 70 millions US $ par Zeus

– 3.6 millions de PC infectés aux USA par Zeus

– 2011: 3,2 millions US $ détournés par un jeune russe en 6 mois avec Zeus et SpyEye


Le eBanking n’est pas la seule cible

D’autres sites web peuventfaire l’objet de vols de:- mots de passe- adresses emails- cookies- cartes de crédit- …et même sans les cibler!



Facebook

Google mail

Microsoft

McAfee

Jeu en ligne

Hot mailWindows live



Les copies d’écran et même les captures vidéos permettent de :

- espionner les claviers virtuelsvirtuels

- se tenir au courant des modifications

- espionner la vie privée

- …

toujours sans cibler un site particulier!



… et les connexions ftp







La preuve



MI = Man (ou Malware) Inside


Une transaction dans un formulaire


La transaction détournée par le MI

What You SignIsWhat You See ?

What You SignIsWhat You See

456 FRA 666 666

Not-)

Merci, parfait pour ma transaction! -)

456 FRA 666 666


Ce qui devrait se passer…

GUIMemory

POST

CPT0123456789

TCP9876543210

5000


POST

CPT0123456789

456FRA666666

5000

Ce qui se passe!

GUIMemory


FORM

CPT0123456789

456FRA666666

5000


GUIMemory


FORM

CPT0123456789

456FRA666666

5000

Ce qui se passe!

GUIMemory


Zeus contrôle le browser par injection

réponse

requête

DLL

Le malwarecontrôle le PC

MI DLL


… et pas que le browser

Firefox

Firefox crash reporter

Mise à jour Java







La preuve



Une conception très « professionnelle »

Injection

Collection Configuration

Je suis:• Multifonctions• Configurable• Evolutif• Furtif

• Résilient

Commander & Controller

MaintenanceVictime

Le taux de détection de

SpyEye par les antivirus de

25% [abuse.ch]


Il n’est pas toujours facile de les trouver

Propriétés d’un Rootkit:

� La furtivité

– Stabilité

– Pas de traces

� La persistance pour survivre aux redémarragesaux redémarrages

� La prise de contrôle d’un ordinateur

� Peut cacher ses canaux de communication


Ils peuvent se manifester à tout momentVue globaleVue du disque


Exemple: BootkitVue globaleVue du disque

Altération

Il existe des utilitaires pour flasher le bios depuis un système en cours d’exécution


Et n’importe où!

� Le système travaille avec une représentation virtuelle du hardware sur lequel il est exécuté

� Les programmes exécutés se fient aux informations que leur donne le système.

Vision du système

� Et si l’on changeait la vision du système ?

Process1 Process2 Process

Représentation en mémoire

Réalité physique


Exemple: DKOM

� Les processus sont représentés en mémoire par une structure (EPROCESS)

� DKOM peut, par exemple, cacher un processus de cette cacher un processus de cette liste(idem pour les autres ressources système)

Process1 Process2 ProcessProcess1 Process2


Et si on les combinait ?

� Malware exécuté avant le système d’exploitation

� Le système peut être démarré avec le plus bas niveau de sécurité

� Les routines malicieuses sont démarrées avant le systèmeavant le système

� Le malware contrôle la vision du système

� Difficile à détecter et à s’en débarrasser

� Le système est littéralement hanté







La preuve



Démonstration

Token USB :– Lecteur de carte à puce intégré

– Authentification mutuelle

– Système de mises à jour

– …

+ browser intégré (safeBrowser):+ browser intégré (safeBrowser):– Évite les injections « à la Zeus » en

fournissant ses propres librairies

– Empêche l’exécution du browser normal et des librairies système correspondantes

Mais…


FORM

CPT0123456789

456FRA666666

5000

Tunnel entre les 2 browsers MS API?safeBrowser

Browser du PC

Parsing output remoteThreadParsing output remoteThread


POST

CPT0123456789

456FRA666666

5000

Tunnel entre les 2 browsers MS API?

Browser du PC

safeBrowser

Windows API remoteThreadWindows API remoteThread







La preuve



Une pincée de «Social Engineering» en plus

On peut faire faire ce qu’on veut si on contrôle la vision de l’internaute


ZITMO = Zeus + “Social Engineering”(SPITMO avec SpyEye)

2008: OWASP recommande le SMS…the use of a second factor such as a mobile phone is an excellent low cost alternative…

…is actually stronger than most two factor authentication fobs…

…a single weakness in this model - mobile phone registration and updating

2010: Zeus attaque le SMS#2Origine

#1Numéro publique

Origine incertaine

#3Texte enclair


Revenons aux conclusions de l’ETH(ical) hacking

4 5 6 7 8 9GC EZ NN 7W

Impossible de

l’OTP!

Impossible de dissocier les données de la transaction et l’OTP!

« Selon la déclaration de spécialistes de l’EPF sur la sécurité de ****** e-banking: "Le système de ****** avec son lecteur de carte est à considérer comme sûr, parce qu’il exige une confirmation de transaction pour effectuer un virement vers un compte inconnu." »


Ce cas est-il à l’abris du «Social Engineering»?

4 5 6 7 8 9GC EZ NN 7W

!?

« Ne répondez en aucun cas à une demande de confirmation d’une série de numéros ou de signes – même si la demande semble provenir de ****** »


Le compte à créditer est enregistré sous la référence 456 FRA 666 666 par la banque du destinataire.

Nous vous prions de rentrer les 6 derniers chiffres de ce numéro de référence dans votre calculette puis de rentrer le code de sécurité que vous obtenez ci-dessous pour définitivement valider votre transaction.

Probablement pas…

What You SignIsWhat You See

But…

« Ne répondez en aucun cas à une demande de confirmation d’une série de numéros ou de signes – même si la demande semble provenir de ****** »


WYSIWYS or not WYSIWYSThat is the Question


… des questions?

Pour nous contacter:

Lausanne I Zürich I Bern I Genf I London I Paris I Ho Chi Minh City

Jean-Marc Bost

[email protected]

Lausanne I Zürich I Bern I Genf I London I Paris I Ho Chi Minh City

Sébastien Bischof

[email protected]

SLIDES A TELECHARGER PROCHAINEMENT:

http://slideshare.net/ASF-WS

Explications de la démo - Architecture


Exemple: SpyEye

� SpyEye est une boîte à outils– Avec un kit de génération de chevaux de Troie

– Et une interface de contrôle Web

� Mais il utilise aussi des mécanismes de rootkit.

• Pour se cacher– Il cache ses fichiers en altérant les fonctions du

système

• Pour persister– Il ajoute une entrée dans le registre

� Le taux de détection de SpyEye par les antivirus de 25% selon www.abuse.ch



Firefox du PCSafeBrowser


ASFWS 2011 - Malware: quelles limites pour les applications ebanking?

Technology

Transcript of ASFWS 2011 - Malware: quelles limites pour les applications ebanking?