botnet e crimeware-as-a-serviceinformaticagiuridica.unipv.it/convegni/2012/gentili.pdfbotnet e...

BOTNET E CRIMEWARE-AS-A-SERVICEL’evoluzione del business nelle organizzazioni criminali

1Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

Emanuele Gentili

OBBIETTIVI DELLA RELAZIONE

2

I) Mostrare dati che possano far capire concretamente la diffusione “censita” del fenomeno delle botnet

II) Analizzare l’evoluzione della criminalità organizzata dal punto di vista del business

III) Individuare vettori e tecniche di attacco su utenti consumer

Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminali

Emanuele Gentili - http://www.twitter.com/emgent

BOTNET, DEVICES E NUMERI

3Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

La proliferazione tecnologica delle botnet

BOTNET E DEVICE

4Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

BOTNET: MACRO AREE

5Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

Botnet che attaccano Personal ComputerRequisiti: Macchine che ospitano dati personali.Utilizzo: Furto di credenziali, attacchi di tipo ddos.

Botnet che attaccano Palmari, Tablet, SmartphoneRequisiti: Macchine che ospitano dati strettamente personali e familiari.Utilizzo: Furto di credenziali ed informazioni personali e familiari, attacchi di tipo ddos.

Botnet che attaccano ServerRequisiti: Macchine che ospitano servizi web dinamici, forum o soluzioni web based enterprise.Utilizzo: Attacchi di tipo Ddos, Warez share, Phishing, Spam, server ponte per altri attacchi.

Botnet che attaccano RouterRequisiti: Router Linux based.Utilizzo: Furto di credenziali, attacchi di tipo ddos.

BOTNET: MACRO AREE DI DARK BUSINESS

6Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

5%5%

20%

25%

45%

Finance Servizi DDos Vendita di Informazioni ADV Altro

CASO REALE DI ANALISI

7Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

C&C rilevati dal nostro sistema di cyber intelligence per quanto concerne un “ceppo” di botnet che attacca router consumer.

22/11/2012

E TU? SEI SICURO DI NON FAR PARTE DI UNA BOTNET?

8Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

BOTNET AS A PRODUCT

9Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

L’acquisto di un kit al mercato nero

COMPOSIZIONE DELL’INVESTIMENTO

10Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

KIT complessivo

Builder C&CCrimeKit

Supporto Remoto (opzionale)

Crypter

COMPOSIZIONE DELL’INVESTIMENTO

11Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

Builder

COMPOSIZIONE DELL’INVESTIMENTO

12Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

C&C

COMPOSIZIONE DELL’INVESTIMENTO

13Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

CrimeKit

COSTO COMPLETO DELL’INVESTIMENTO

14Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

Builder + C&C = 700 $Crimepack = 500 $Supporto Remoto = 200 $Crypter = 100 $= 1500 $+ costo server offshore (~60$ mese)

BOTNET AS A SERVICE

15Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

Dark business senza dover pensare a come nascondersi

COMPOSIZIONE DELL’INVESTIMENTO

16Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

Servizio Complessivo

C&Ccon downloader CrimeKit

Supporto Remoto Costante

COMPOSIZIONE DELL’INVESTIMENTO

17Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

C&C con Downloader

COMPOSIZIONE DELL’INVESTIMENTO

18Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

CrimeKit

COSTO COMPLETO DELL’INVESTIMENTO

19Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

60$ SIX MONTHS!

80$ LIFETIME!

IL MERCATO

20Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

Metodologia di approccio nella vendita dell’ As A Service

PROMOZIONE SERVIZI DI DDOS

21Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

MARKETING SERVIZI DDOS

22Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

DDOS: IL SERVIZIO GARANTITO

23Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

REAL LIFE INVESTIGATION

24Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

BOTNET SERVER ORIENTED

25Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

BOTNET COMMAND & CONTROL

26Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

CENSORED

BOTNET & ZOMBIE LIVE ANALYSIS

27Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

CENSORED

28Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

CONCLUSIONI

29Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

DOMANDE ?

30Presi nella Rete - Analisi e Contrasto della Criminalità Informatica - 23 Novembre 2012

Botnet e Crimeware-as-a-service: L’evoluzione del business nelle organizzazioni criminaliEmanuele Gentili - http://www.twitter.com/emgent

GRAZIE PER L’ATTENZIONE.

Emanuele Gentilie.gentili@tigersecurity.it

www.tigersecurity.it

http://twitter.com/emgent