Transcript IPv6 Malware
In IPv6 steckt doch der Wurm!
thorsten jäger
security consultant - international [email protected]
In IPv6 steckt doch der Wurm!
thorsten jäger
security consultant - international [email protected]
Seit 2004 bei Fortinet Consulting & Engineering EMEA & SEA F.I.A.T. Member seit 2005 Social Network www.xing.de
Agenda Malware / Schadsoftware.biz
Malware on Steroids Umgang mit Malware
schadsoftware.biz
Warum gibt es Schadsoftware Wer verbreitet Schadsoftware Wie verbreitet sich Schadsoftware
Warum ?
• Hochprofitabel • Geringes Risiko Kein direkter „Objekt“ Kontakt Mobil, sehr attraktiv für Schwellenländer • Milliarden Industrie
Wer ?
• Geldgierige • Kriminelle • Geldgierige Kriminelle Polizeiliche Kriminalstatisik 2009 • Phising +64% • „Ausspähen, Abfangen von Daten“ +48%, bei 7% weniger Aufklärungsquote • Spionage
Wie ?
• • Infektion von Hosts über Vektoren Email, http, Web 2.0 und Social Networks, Instant-Messaging, P2P, Adobe PDF, Google-Docs, Voice-over-IP Ausnutzen von Schwachstellen (Exploit) Schwachstellen in der Technik und „Social Exploits“ • • • Installation Malware / Schadsoftware Selbstständiges Weiterverbreiten der Schadsoftware Kontrolle über den Hosts (Botnetz) Kommerzialisierung des „Botnetzes“ • SPAM-Hosts (100.000 Hosts mit je 1.000 emails/std) 100.000.000 SPAMs • • Ausspähen von KK, Paypal, ebay Weiterversenden von Malware, DDoS Attacken und Erpressung
Wie ?
• Marktplätze IRC (IRC v6), ICQ, Websites Gute Forschungsarbeiten dazu verfügbar „Dirty Money on the Wire“. Guillaume Lovet, FORTINET „Underground Economy“. Thorsten Holz, TU Wien
„Catch of the Day“ Menu • Sehr guter 0-day Exploit ~500-1000$ • Guter Exploit 20$ • Gestohlene Kreditkartennummer mit Code 2$ • Gestohlene Kreditkartennummer mit PIN 20$. Rabattstufen • Baukasten für Trojaner 500-1000$ • Mietpreis für ein DDoS Botnet (100.000 Zombies) ab 500$/h • Mietpreis 1.Mio SPAM mit Malware ca 20$ • Software as a Service, SaaS.
Malware in IPv6 – aus Alt mach Neu
Alte Malware
• Verbreitet sich Protokoll unabhängig (I LOVE YOU) • Virus, Exploit
Pimped Malware
• • IPv6 Erweiterungen in Würmern. Beispiel: ZEUS (https://zeustracker.abuse.ch
/)
IPv6 Malware
• • Malware die spezifische IPv6 Eigenschaften nutzt IPv6 Exploits (Stacks oder Parser)
Malware in IPv6 – the bad news • Bad news • Viele Schadsoftware ist schon IPv6 fähig • Abhängig vom Vektor • Probleme durch „Dual Stack“ • Bad news • Fast jeder Exploit ist IPv6 tauglich
Malware in IPv6 • Bad news • Starker Anstieg von SPAM • Damit verbunden stärkere Verbreitung von Malware • Direkte Erreichbarkeit der Hosts • Mehr Gewicht auf Firewall Konfiguration als in der NAT Welt
Malware in IPv6 – not so bad news • Heute ist kein Wurm aktiv der sich über IPv6 verbreitet • Noch nicht . . . . .
• Bad news • Mit dem Businesscase kommt IPv6 spezifische Malware
For IPv6 only • Tunnelprotokolle • Teredo et al • Blacklisting • Personal Firewall • LAN versus WAN • IPv4 zu IPv6 • Generisch IPsec • Stack hickups. OS-Stack, Application-Stack, Parser . . .
For your IPv6 only • Von Fast-Flux zu Hyper-Fast-Flux Netzen • Home-Router Exploitation Quelle: abuse.ch. Fastflux Netz
For your IPv6 only- LAN • Lokaler Service Provider • Router Solicitation, Duplicate Address Detection • .....
• Gute Tools zum kreativen Umgang mit IPv6 im LAN • THC IPV6 Attack Suite • fakerouter6 – sendet neue Router Advts. • dos-newipv6 – antwortet auf jede Neighbor Solicitation (DAD) • .....
Danke 2 128 • Brute Detection / Scanning von Hosts • Mit heutigen Tools unmöglich • Money rulez. Und Kreativität auch.
Malware mit Migrationshintergrund • Dual-stack Lösungen mit Dual-brain Admins • Admins müssen sich dem 2. Protokoll bewusst sein • Organisatorische Trennung, Netz vs Content • Anpassen der Content Security Systeme • Intrusion-Prevention, Application-Control, Proxy, Anti-Virus . . .
• Einsatz von Multifunction-/UTM Firewalls • Andernfalls droht ein Produkteoverkill (Vekoren x2) • Intelligente Firewalls • Erkennen und Blocken von Tunneln
Malware mit Migrationshintergrund • Zentraler Punkt für IPv4 und IPv6 Security • Wenn auch Dual-stack • Administrativ integriert • Beispiel: Mailgateway oder Proxy • Besonderer Schutz der DNS Infrastruktur • Höhere Bedeutung bei IPv6