Malware Threats und Trend

November 16, 2012

Toralv Dirro

McAfee Labs EMEA Security Strategist

Mid-1980’s 2005 Today 2003

Historische Entwicklung der Bedrohung

Bragging Rights....

• 1999 .....

• Als Back Orifice big news war

• AV Produkte noch nach Viren suchten

• Hacker für ihre „15 Miunujtes of Fame“ in Webseiten einbrachen

....und einige meinten die Welt geht wegen Y2K unter

November 16, 2012 4

Motivation Gestern

And then Devil said: Let there be money

Source: Chat Interview with the Dream Coders Team, the developers of MPack

http://www.robertlemos.com/2007/07/23/mpack-interview-chat-sessions-posted/

Mid-1980’s 2005 Today 2003

Historische Entwicklung der Bedrohung

Geringes Risiko + Hoher Profit -> Crime

8 November 16, 2012 8

Cyber Crime – der treibende Faktor

Malware Growth (Main Variations)

200,000

400,000

100,000

300,000

500,000

2003 2004 2005 2006 2000 2001 2002 2007

Source: McAfee Labs

Virus and Bots PUP Trojan

9 November 16, 2012

2003 2004 2005 2006 2000 2001 2002 2007

Malware Growth (Main Variations)

400,000

800,000

200,000

600,000

1,000,000

1,200,000

1,400,000

1,600,000

1,800,000

2,000,000

2,200,000

Virus and Bots PUP Trojan

Cyber Crime – der treibende Faktor

2008

Source: McAfee Labs

10 November 16, 2012 10

2008

Virus and Bots PUP Trojan

Cyber Crime – der treibende Faktor

Malware Growth (Main Variations)

2,400,000

2,600,000

2,800,000

3,000,000

3,200,000

400,000

800,000

200,000

600,000

1,000,000

1,200,000

1,400,000

1,600,000

1,800,000

2,000,000

2,200,000

2009

Source: McAfee Labs

Malware Wachstum

Newly Discovered Malware Samples

0

1.000.000

2.000.000

3.000.000

4.000.000

5.000.000

6.000.000

7.000.000

8.000.000

9.000.000

10.000.000

Unique Malware

Der Malware Markt Trojan- und Exploit-Kits leicht verfügbar

Zeus: Werdegang eines Trojan Kit

Mergers and Accquisitions: SpyEye & Zeus

Zunehmend fortschrittlicher

0

50.000

100.000

150.000

200.000

250.000

300.000

350.000

400.000

Unique Rootkit Malware

BIOS Rootkits

Win32/Wador.A – A BIOS rootkit spreading in China

Source: Virus Bulletin (October issue)

The BIOS rootkit is the most complex type of rootkit we have come across so far.

It is hardware dependent, and an attacker must have extensive knowledge of the

computer – including software and hardware – in order to create one. It comprises

the following five components:

• BIOS ROM flasher

• Malicious BIOS ROM payload

• Infected MBR

• Infected WINLOGON.EXE/WININIT.EXE

• Protected malware code in track 0.

It is not easy to clean a computer infected with this malware, but there is some

good news. First, after the destruction wreaked by CIH, many BIOS vendors

started providing double BIOS in order to defend against this type of attack.

Second, not many computers have AWARD BIOS installed nowadays, because

more and more modern computers use EFI to interface between hardware and

software. So the potential scope for this form of attack may not be very great.

Ransomware übernimmt

OS X can‘t get Windows Malware –

but OS X Malware

• FakeAlert (aka Fake-AV, Scareware) major outbreak last year

– By far not the first, but too widespread to be ignored

• OSX/FlashFake (Flashback) hitting 600k+ victims

– Counted by „UUID“ – some say numbers may be higher

– Exploiting CVE-2012-0507 in a drive-by-download attack

• Fix provided by Oracle on Feb, 14th, not timely made available by Apple

• SabPub

– Exploiting same vuln to infect

– Linked to TARGETED ATTACKS against Tibetan Groups (on OS X)

– Linked to „LuckyCat“ TARGETED campaigns against Japan and India

Mac OS

0

100

200

300

400

500

600

700

Q1-07Q2-07Q3-07Q4-07Q1-08Q2-08Q3-08Q4-08Q1-09Q2-09Q3-09Q4-09Q1-10Q2-10Q3-10Q4-10Q1-11Q2-11Q3-11Q4-11Q1-12Q2-12Q3-12

Unique Mac Malware

Ransomware Wachstum

0

50.000

100.000

150.000

200.000

250.000

Q3-07 Q4-07 Q1-08 Q2-08 Q3-08 Q4-08 Q1-09 Q2-09 Q3-09 Q4-09 Q1-10 Q2-10 Q3-10 Q4-10 Q1-11 Q2-11 Q3-11 Q4-11 Q1-12 Q2-12 Q3-12

Unique Ransomware Malware

Android Malware nach Quartalen

22

0

10

20

30

40

50

60

70

80

90

100

Q1 10 Q2 10 Q3 10 Q4 10 Q1 11 Q2 11 Q3 11

Mobile Malware

New mobile malware samples declined modestly in Q2, but are rising sharply again in Q3. Android

malware samples now comprise more than 90% of all known mobile malware.

New Mobile Malware Samples

-

1.000

2.000

3.000

4.000

5.000

6.000

7.000

8.000

9.000

Q1 2011 Q2 2011 Q3 2011 Q4 2011 Q1 2012 Q2 2012 Q3 2012

Also nur ein Android Problem?

• Restriktiver, geschlossener „Marketplace“ vs. Offene Struktur

• Datenverluste durch reguläre, geprüfte Apps

– „Path“ Desaster

– Keinerlei Schutz auf i* möglich, Apple erlaubt z.B. kein AV

• Sicherheitslücken ermöglichen Angriffe auf alle Systeme

– Jailbreak, Root

– The making of the Focus 11 Apple iPad Hack

• http://www.mcafee.com/us/resources/white-papers/wp-apple-ipad-hack.pdf

McAfee Pub: “Dissecting Operation High

Roller”

Operation High Roller Raises Financial Fraud Stakes

Source: http://www.mcafee.com/us/resources/reports/rp-operation-high-roller.pdf

McAfee and Guardian Analytics have uncovered a highly sophisticated,

global financial services fraud campaign that has reached clients at 60

banks. The fraudsters’ objective was to siphon large amounts from high-

balance accounts using recent improvements to two families of malicious

software: Zeus and SpyEye. Server logs viewed by the researchers saw

commands from the fraud rings to transfer a total of $78 million, including

$130,000 from one account. (The banks may have been able to block some

of those transactions.)

Malicious URLs

0

500.000

1.000.000

1.500.000

2.000.000

2.500.000

3.000.000

3.500.000

4.000.000

FEB2012

MAR2012

APR2012

MAY2012

JUN2012

New Bad-Reputation URLs

New URLs

Associated Domains

New Malware URLs 94.2%

New Phishing URLs 3.9%

New Spam Email URLs

1.2%

Others 0.7%

Others 5.8%

Distribution of New Bad-Reputation URLs

Mid-1980’s 2005 Today 2003

Historische Entwicklung der Bedrohung

SECURITY

BIST DAS ZIEL

Operation NIGHT DRAGON

Was war anders?

“Night Dragon”

Global Energy Cyberattacks

• Benannt durch McAfee im Januar 2011

• Langfristig angelegter, gezielter Angriff

gegen globale Öl, Energie und

Petrochemie Unternehmen

– 5 bestätigte Opfer, bis zu einem

Dutzend vermutet

– Gigabytes an Dokumenten über

Öl/Gas Felder, Explorationsdaten,

u.v.m. kompromittiert

• C&C Server und Quelle der Angriffe von

IP Adressen in China, Irland und den

Niederlanden

“Night Dragon”

findet statt

McAfee korreliert die

Angriffsaktivitäten

Über verschiedene Opfer

Und erkennt einen

Zusammenhang zur

Gesamtoperation

Ende 2009 Jan 2011

Angriff erkannt, Opfern

wird geholfen

Frühjahr 2010

Victim’s Country of Origin Victim

Count

USA 49

Canada 4

South Korea 3

Taiwan 3

Japan 2

Switzerland 2

United Kingdom 2

Indonesia 1

Vietnam 1

Denmark 1

Singapore 1

Hong Kong 1

Germany 1

India 1

RAT

22 6 13 13 4 12

U.S. Federal Gov. 6

U.S. State Gov. 5

U.S. County Gov. 3

Canadian Gov. 2

South Korean Gov. 1

Vietnam Gov. 1

Taiwan Gov. 1

U.S. Gov. Contractor 1

United Nations 1

Indian Gov. 1

Construction/

Heavy Industry 3

Steel Industry 1

Energy 1

Solar Power 1

Electronics Industry 3

Computer Security 2

Information

Technology 2

Satellite

Communications 2

News Media 2

Information

Services 1

Communications

Technology 1

Defense Contractor 13 Real Estate 2

Accounting

Industry 2

Agriculture 1

Insurance 1

International Sports 5

Economics/Trade 2

Think Tanks 2

International

Government/

Economics/Trade 1

Political non-profit 1

U.S. National

Security Non-profit 1

Operation Shady Rat

Typischer Ablauf eines Spionage Angriffs

Internet

USERS &

PARTNERS

SaaS

BRANCH

OFFICE

CORPORATE

LAN

Social Engineering, gezielte Malware Angriffe • Phishing Email (Maliziöse PDF, DOC, etc. oder Links) • “Candy drops” am Gelände (USB Stick, DVD’s, Kamera) • Physischer Zugang (Reinigungsdienst, Service,, etc.)

Reconnaissance • Organisation aufklären (Ziele identifizieren)

• Social reconnaissance (Email, IM, Soziale Netzwerkeetc.)

• Suche nach Schwachstellen (Webserver/OS/DNS/Netzwerk,etc.)

Social Engineering leicht gemacht

About 1,660 results

About 15,100 results

Weitere Untersuchung der Ergebnisse führte schnell zu Facebook

Profilen, Twitter Accounts (einige mit Location Services aktiviert) und

FourSquare

Typischer Ablauf eines Spionage Angriffs

Internet

USERS &

PARTNERS

SaaS

BRANCH

OFFICE

CORPORATE

LAN

Zugang permanent beibehalten • Malware modifizieren um Erkennung zu vermeiden

• Installieren von weiteren potentiellen Zugängen

• Monitoring von Netzwerk, Benutzern und Daten

Ziele erreichen • Extrahieren von Intellectual Property, etc.

• Installieren von Trojanern in source code

• Kontrolle kritischer Systeme

Command & Control Infrastruktur etablieren •Installation von Tools (Keylogger, Trojaner, etc.)

•Tunnel zum C&C etablieren (encrypted SSL)

•Einsatz von Remote Administration Toola (RAT)

Hintertüren etablieren • Befehle auf Zielen ausführen

• Erlangen höherer Zugriffsrechte, zusätzliche Malware

• Durch Netz bewegen und weitere Hintertüren einrichten

Social Engineering, gezielte Malware Angriffe • Phishing Email (Maliziöse PDF, DOC, etc. oder Links) • “Candy drops” am Gelände (USB Stick, DVD’s, Kamera) • Physischer Zugang (Reinigungsdienst, Service,, etc.)

Reconnaissance • Organisation aufklären (Ziele identifizieren)

• Social reconnaissance (Email, IM, Soziale Netzwerkeetc.)

• Suche nach Schwachstellen (Webserver/OS/DNS/Netzwerk,etc.)

Stuxnet: Angriff auf SCADA

• Discovered in July 2010 by VirusBlokAda company in Minsk, Belarus

• First seen in Iran, Indonesia, India – now spread worldwide

• Targets Siemens WinCC and SIMATIC Process Control System (PCS7)

• Using four 0-day vulnerabilities plus Conficker (MS08-067)

– Shortcut icon vulnerability (CVE-2010-2568/MS10-046) – affecting every

version of Windows since Windows 2000 (even Win95)

– Design flaw in Print Spooler (MS10-061/CVE-2010-2729)

– Two privilege escalations exploits [win32k.sys]

• A user opens a folder that contains the .lnk template files (.pif files also vulnerable)

• Rootkit drivers signed with valid certificates (Realtek and Jmicron)

• UPX packed, XOR encoded everywhere

• Once loaded, queries Siemens database with known default password

• Connected to C&C servers, sending sensitive data

• Manipulating the database to control the HMI output and manipulating the PLC’s

Und jetzt auch noch Duqu…

Vermutlich die selbe Gruppe, die Stuxnet entwickelt hat

– Grosse Teile des Codes ähnlich/identisch

• Ähnlicher Treiber Code für injection Techniken genutzt

• Ähnliche Entschlüsselungen

• Rootkit Funktionalität

– Opfer im Nahen Osten (nicht nur)

– CA – Cmedia gestohlenes Zertifikat zum signieren in einem Fall benutzt,

selber Business District wie die Zertifikate von Stuxnet

Andere Ziele und Funktionen

– CA’s eines der Ziele

– Spionage

– Keine PLC Funktionalität

• Vermutlich gleiches „Frame-Work“

Appetite for Destruction

• Einige Fälle in denen die Angreifer scheinbar nur danach aus waren

maximalen Schaden anzurichten

– Motive unklar, Gegenstand vieler Spekulationen

• Zu einem vorbestimmten Zeitpunkt macht Malware Rechner

unbrauchbar

• Wie „überlebt“ ein Unternehmen, wenn 50% oder 90% Rechner

unbrauchbar sind???

Questions?

Jetzt ist es Oktober 2012, geht die

Welt im Dezember unter?

Ich habe jedenfalls keinen neuen

Maya Kalender mehr bekommen

McAfee Labs Reports

• Quarterly Threats Reports

– Update on developments and trends seen in a quarter

• Threat Predicitions

– Yearly report on expected threats

• White Papers

– Covering a broad range of research topics

• Q2 Threats Report (September, 4th)

• Risk and Compliance Outlook Report (May, 21st)

• „Operation High Roller“ (June, 27th)

• Just google for „McAfee Labs White Paper“

• http://www.mcafee.com/apps/view-all/publications.aspx?tf=mcafee_labs