NETinfo Magnus Persson Epost: Telefon: 046 –
Netinfo Trojaner och botnet – Stuxnet – Zeus Attacker mot DNS
Trojaner och botnet Stuxnet Mycket specialiserad Begränsad geografisk spridning Extremt komplex kod Var dold ett år
Trojaner och botnet
Stuxnet är designad att förändra kod i PLC Riktar sig mot Simatics Step7 Målet är att ta över styr och reglerutrustning Sprider sig bl.a. via USB-minnen Mest sofistikerade trojanen
Trojaner och botnet Sprider sig på flera olika sätt Utnyttjar fyra 0-day exploits Döljer sig väl Avaktiverar skydd Har många funktioner Väldigt riktad
Trojaner och botnet Zeus eller Zbot Stjäl information, lösenord, mm. Enkelt att hantera Click-click GUI Bygg din egen trojan
Trojaner och botnet Zeus är kommersiell programvara Startkit för $700 - $4000 All programvara för ett eget botnet Och en licensnyckel 44% marknadsandel
Trojaner och botnet
Man skräddarsyr sin egen trojan Målet är oftast att komma över pengar Man väljer metod för att sprida den Oftast spam eller ”drive-by download”
Trojaner och botnet Har ”keylogger” inbyggd Avläser sparade lösenord Raderar cookies, tvinga fram inloggningar Bankinloggning, Paypal, mm Stjäl certifikat Adderar kod på webbsidor
Trojaner och botnet Cirka 50 % via PDF Trojanen ”Fakeupver” stänger av uppdateringar JavaScript och ActiveX.
Trojaner och botnet Hur kan en webbsida infekteras? Säkerhetshål i webbapplikationer Hackad webbserver Stulet konto Annonser Användargenererat innehåll ”Bulletproof hosting”
Trojaner och botnet De topp-100 värsta webbplatserna –I snitt malware-attacker per webbplats –40% har fler än attacker 50% har pornografiskt innehåll Totalt är 1.3 miljoner webbplatser smittade Med olika typer av malware Smittade annonser ligger i snitt ute 11.5 dagar
Trojaner och botnet 3.6 milj. Zeus-infekterade datorer i USA Endast 25-50% detekteras av antivirus
Trojaner och botnet
Oktober 2010 häktades över 100 personer Östeuropa, USA och Europa Används Zeus för att tömma bankkonton Har stulit mer än $70 miljoner
Attacker mot DNS DNSfrågor kommer utifrån Spoofade adresser –DNSserver = –Frågor från – 255 Huvudsakligen efterfrågas kinesiska domäner Även mot andra på SUNET
NETinfo FRÅGOR?