malvertising: una minaccia in espansione
DESCRIPTION
Negli ultimi dodici mesi le minacce provenienti dal web hanno una nuova piattaforma di diffusione: i circuiti di Web Advertising. Sempre più internet publisher, siano essi blogger o aziende, offrono parte del proprio spazio web per la pubblicazione di inserzioni pubblicitarie al fine di ottenere profitti. Gran parte dei siti web che visitiamo quotidianamente propongono offerte basate sui nostri interessi, le nostre ricerche e le nostre abitudini, permettendo all'inserzionista di essere estremamente efficace. Questa caratteristica viene però sempre più sfruttata anche per distribuire malware e codice malevolo.TRANSCRIPT
![Page 1: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/1.jpg)
Malvertising:una minaccia in espansione
Giacomo Milani ([email protected])Andrea Minigozzi ([email protected])
![Page 2: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/2.jpg)
$whoami (Giacomo Milani)
ictforum14$ finger –-info [email protected]
Giacomo Milani (giacomo83m)Home: Finmeccanica G-CERT Manager
Details:Responsabile CERT Finmeccanica, inizia nel 2002 la suacarriera professionale nella sicurezza informatica con losviluppo di network analyzer in ambiente Linux/FreeBSDseguita da consulenze come libero professionista svolgendoattività di Vulnerability Assessment e Penetration Testing .Attualmente si occupa di Incident Management e MalwareAnalysis.Membro ISC2 Italy Chapter
![Page 3: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/3.jpg)
$whoami (Andrea Minigozzi)
ictforum14$ finger –-info [email protected]
Andrea Minigozzi (FantaGhost)Home: AgustaWestland IT Security Analyst
Details:Approccia il mondo delle reti con un Videotel nel 1988, dopoaver speso ore sul suo fido Sinclair ZX Spectrum 48K. Dal1999 si occupa di ICT Security. Attualmente certificatoCISSP ed OPST ha competenze in ambito SIEM, MalwareAnalysis, Incident Response, Computer and Network Forensics,PenTesting e Vulnerability Assessment.E’ contribution writer per la sezione Ventuno di VareseNewsed ha sviluppato il tool open-source FGscanner.Membro Clusit ed ISC2 Italy Chapter.
![Page 4: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/4.jpg)
Agenda
Definizione e contesto
I numeri dell’advertising su web
Timeline Attacchi
Le prime reazioni
Metodologie di attacco ai Publisher
Impatti e Conseguenze
In-App ADS exploiting
Difesa e Prevenzione - Inserzionisti
Difesa e Prevenzione – Corporate
Difesa e Prevenzione – Utenti
Domande / Risposte - Contatti
![Page 5: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/5.jpg)
Il Malvertising, unione delle parole inglesi malware e advertising, consiste
nell’inserire codice malevolo all’interno di legittimi circuiti di pubblicità online.
Fonte: http://www.anti-malvertising.com/
Malvertsing: definizione
![Page 6: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/6.jpg)
Numeri di visite ai circuiti web advertising riferiti all’anno 2012
Fonte: http://www.quantcast.com
Adblade 209.3 milioni
Google 156.1 milioni
Facebook 148.3 milioni
Meebo 136.8 milioni
Vibrant media 136.1 milioni
Undertone 125.2 milioni
Ask Network 90 milioni
Kontera 75.5 milioni
Click Booth 43 milioni
AOL 40.8 milioni
LinkedIn 39.4 milioni
Web Advertising: i numeri
The ads revenues involved are significant, with
the Bloomberg newswire noting that online advertisers spent £25.5
billion (US$ 42.8 billion) in the US last year (2013)– exceeding the
total for broadcast TV. (SC Magazine UK)
![Page 7: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/7.jpg)
Timeline attacchi (primo semestre 2014)
![Page 8: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/8.jpg)
16 Giugno 2014
deviantART
23 Giugno 2014
Syrian Electronic
Army
3 Luglio 2014
Bitcoin Phising
ADS
6 Agosto 2014
New Malvertising
Attack
23 Settembre
2014
Malvertising
Is 9 Time
Bigger
Timeline attacchi (secondo semestre 2014)
29 Settembre 2014
Google Doubleclick
![Page 9: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/9.jpg)
Le prime azioni di contrasto
![Page 10: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/10.jpg)
Metodologie di attacco ai Publisher
Gli attaccanti usano diverse tecniche per aggiungere contenuti malevoli negli
ads di siti legittimi:
Fonte: http://resources.infosecinstitute.com/malvertising-growing-threat-start-2014/
ACQUISTO DIRETTO (a volte con carte di credito
rubate)
CIRCUITI DI SCAMBIO ADS
VULNERABILITA’ TECNOLOGICHE
![Page 11: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/11.jpg)
Vettori di infezione
Una volta compromesso il circuito di Ads, gli attaccanti si concentrano sugli
utenti, utilizzando due vettori:
Hacking
Viene compromesso il circuito della distribuzione
advertising, tramite un attacco diretto. Una volta preso il
controllo dell’infrastruttura si trasforma un contenuto di un
inserzionista legittimo inserendo un codice malevolo quale
frame, redirect della pagina, utilizzando exploit kit che
sfruttano vulnerabilità di plugin ad esempio java/flash.
Social Engineering
Utilizzando una falsa identità ci si registra ad un circuito
pubblicitario ed, in prima fase, si distribuiscono contenuti
validi. Una volta ottenuta una buona reputazione, si
cambiano i contenuti con quelli malevoli.
![Page 12: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/12.jpg)
Gli impatti
Reputazione dei siti web
Anche i siti considerati sicuri possono diventare veicolo di
infezione
Targeting Attack
E’ possibile selezionare accuratamente i bersagli della
campagna di diffusione malware sfruttando la capacità
intrinseca di profiling dei circuiti ADS
Diffusione
Non è più l’utente che naviga verso il malware ma viceversa. Il
malware si troverà sui siti che l’utente bersaglio visita
normalmente
Invisibilità
L’attaccante non è direttamente esposto verso il bersaglio.
Spesso non è visibile nemmeno al circuito ADS stesso
![Page 13: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/13.jpg)
La maggior parte degli ADS contenuti nelle app sono visualizzati tramite
l’interfaccia WebView di Android. Ad inizio 2014 è stata scoperta una
vulnerabilità grave nel codice di questa interfaccia che può essere sfruttata
tramite Malvertising. A distanza di mesi il 73% dei dispositivi Android in
circolazione risulta ancora vulnerabile (Android < 4.2)...GoogleGlass compresi !
In-App ADS Exploiting (CVE-2014-6041)
Google ha introdotto nei dispositivi Android la
conferma del click per In-App ADS
![Page 14: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/14.jpg)
Difesa e Prevenzione - Utenti
Aggiornare il Browser e Sistema Operativo
Installare un plugin per il blocco degli ADS
(per esempio ADBlock Plus, noscript, ecc...)
Utilizzare ed aggiornare il proprio antivirus
Segnalare comportamenti anomali:
http://www.google.com/safebrowsing/report_badware/
Non cliccare sulle inserzioni pubblicitarie se non strettamente necessario
![Page 15: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/15.jpg)
Difesa e Prevenzione - Corporate
Inserire la categoria «Advertising» nei sistemi di Web Filtering / Proxy
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Malvertising Redirection to
Exploit Kit"; flow:established,to_server; content:"/ajs.php?zoneid="; http_uri; fast_pattern:only;
pcre:"/\/ajs.php\?zoneid=[0-9]+/U"; classtype:trojan-activity; sid:xxxx; rev:1;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:"Malvertising Redirection to
Exploit Kit"; flow:established,to_server; content:"/afr.php?zoneid="; http_uri; fast_pattern:only;
pcre:"/\/afr.php\?zoneid=[0-9]+/U"; classtype:trojan-activity; sid:xxxx; rev:1;)
http://permalink.gmane.org/gmane.comp.security.ids.snort.emerging-sigs/21992
Browser Sandboxing / Browser Virtualization
![Page 16: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/16.jpg)
Difesa e Prevenzione - Inserzionisti
Porre particolare attenzione ai partner commerciali per i quali si pubblicano
contenuti. Si consiglia di effettuare un’attività di background checking sul sito Anti-
Malvertising che censisce le realtà coinvolte in passato su questo tipo di incidenti:
http://www.anti-malvertising.com/ResearchEngine
Verificare i domini utilizzati attraverso il servizio WHOIS, guardando come e dove sono
registrati
Effettuare attività di formazione per educare l’utenza e i tecnici a riconoscere
l’attacco in modo da per potere intervenire con tempestività.
Adottare strategie commerciali che incentivano l’acquisto di grandi volumi di spazio
pubblicitario rispetto ai piccoli volumi.
![Page 17: Malvertising: una minaccia in espansione](https://reader034.vdocuments.mx/reader034/viewer/2022052316/559b89f91a28ab7f158b469c/html5/thumbnails/17.jpg)
Domande e Risposte - Contatti
Giacomo Milani (giacomo83m)
Andrea Minigozzi (FantaGhost)
http://www.festivalict.com/i-relatori-2014/