In IPv6 steckt doch der Wurm!

thorsten jäger

security consultant - international [email protected]

In IPv6 steckt doch der Wurm!

thorsten jäger

security consultant - international [email protected]

Seit 2004 bei Fortinet Consulting & Engineering EMEA & SEA F.I.A.T. Member seit 2005 Social Network www.xing.de

Agenda Malware / Schadsoftware.biz

Malware on Steroids Umgang mit Malware

schadsoftware.biz

Warum gibt es Schadsoftware Wer verbreitet Schadsoftware Wie verbreitet sich Schadsoftware

Warum ?

• Hochprofitabel • Geringes Risiko  Kein direkter „Objekt“ Kontakt  Mobil, sehr attraktiv für Schwellenländer • Milliarden Industrie

Wer ?

• Geldgierige • Kriminelle • Geldgierige Kriminelle  Polizeiliche Kriminalstatisik 2009 • Phising +64% • „Ausspähen, Abfangen von Daten“ +48%, bei 7% weniger Aufklärungsquote • Spionage

Wie ?

• • Infektion von Hosts über Vektoren  Email, http, Web 2.0 und Social Networks, Instant-Messaging, P2P, Adobe PDF, Google-Docs, Voice-over-IP Ausnutzen von Schwachstellen (Exploit)  Schwachstellen in der Technik und „Social Exploits“ • • • Installation Malware / Schadsoftware  Selbstständiges Weiterverbreiten der Schadsoftware Kontrolle über den Hosts (Botnetz) Kommerzialisierung des „Botnetzes“ • SPAM-Hosts (100.000 Hosts mit je 1.000 emails/std) 100.000.000 SPAMs • • Ausspähen von KK, Paypal, ebay Weiterversenden von Malware, DDoS Attacken und Erpressung

Wie ?

• Marktplätze  IRC (IRC v6), ICQ, Websites Gute Forschungsarbeiten dazu verfügbar  „Dirty Money on the Wire“. Guillaume Lovet, FORTINET  „Underground Economy“. Thorsten Holz, TU Wien

„Catch of the Day“ Menu • Sehr guter 0-day Exploit ~500-1000$ • Guter Exploit 20$ • Gestohlene Kreditkartennummer mit Code 2$ • Gestohlene Kreditkartennummer mit PIN 20$. Rabattstufen • Baukasten für Trojaner 500-1000$ • Mietpreis für ein DDoS Botnet (100.000 Zombies) ab 500$/h • Mietpreis 1.Mio SPAM mit Malware ca 20$ • Software as a Service, SaaS.

Malware in IPv6 – aus Alt mach Neu

Alte Malware

• Verbreitet sich Protokoll unabhängig (I LOVE YOU) • Virus, Exploit

Pimped Malware

• • IPv6 Erweiterungen in Würmern. Beispiel: ZEUS (https://zeustracker.abuse.ch

/)

IPv6 Malware

• • Malware die spezifische IPv6 Eigenschaften nutzt IPv6 Exploits (Stacks oder Parser)

Malware in IPv6 – the bad news • Bad news • Viele Schadsoftware ist schon IPv6 fähig • Abhängig vom Vektor • Probleme durch „Dual Stack“ • Bad news • Fast jeder Exploit ist IPv6 tauglich

Malware in IPv6 • Bad news • Starker Anstieg von SPAM • Damit verbunden stärkere Verbreitung von Malware • Direkte Erreichbarkeit der Hosts • Mehr Gewicht auf Firewall Konfiguration als in der NAT Welt

Malware in IPv6 – not so bad news • Heute ist kein Wurm aktiv der sich über IPv6 verbreitet • Noch nicht . . . . .

• Bad news • Mit dem Businesscase kommt IPv6 spezifische Malware

For IPv6 only • Tunnelprotokolle • Teredo et al • Blacklisting • Personal Firewall • LAN versus WAN • IPv4 zu IPv6 • Generisch IPsec • Stack hickups. OS-Stack, Application-Stack, Parser . . .

For your IPv6 only • Von Fast-Flux zu Hyper-Fast-Flux Netzen • Home-Router Exploitation Quelle: abuse.ch. Fastflux Netz

For your IPv6 only- LAN • Lokaler Service Provider • Router Solicitation, Duplicate Address Detection • .....

• Gute Tools zum kreativen Umgang mit IPv6 im LAN • THC IPV6 Attack Suite • fakerouter6 – sendet neue Router Advts. • dos-newipv6 – antwortet auf jede Neighbor Solicitation (DAD) • .....

Danke 2 128 • Brute Detection / Scanning von Hosts • Mit heutigen Tools unmöglich • Money rulez. Und Kreativität auch.

Malware mit Migrationshintergrund • Dual-stack Lösungen mit Dual-brain Admins • Admins müssen sich dem 2. Protokoll bewusst sein • Organisatorische Trennung, Netz vs Content • Anpassen der Content Security Systeme • Intrusion-Prevention, Application-Control, Proxy, Anti-Virus . . .

• Einsatz von Multifunction-/UTM Firewalls • Andernfalls droht ein Produkteoverkill (Vekoren x2) • Intelligente Firewalls • Erkennen und Blocken von Tunneln

Malware mit Migrationshintergrund • Zentraler Punkt für IPv4 und IPv6 Security • Wenn auch Dual-stack • Administrativ integriert • Beispiel: Mailgateway oder Proxy • Besonderer Schutz der DNS Infrastruktur • Höhere Bedeutung bei IPv6