irC2

Study of banking malware analyzes underground economy

Wed, 7 Jan 2009 10:37:36 +0100

By Marcia Savage, Features Editor Information Security magazine
29 Dec 2008 | SearchFinancialSecurity.com

SearchFinancialSecurity.com
A recent study of keyloggers and banking Trojans provides a view into the underground economy of stolen bank account credentials, passwords and credit card numbers.

The study, published earlier this month by Thorsten Holz, Markus Engelberth and Felix Freiling at the University of Mannheim in Germany, analyzed malware designed to steal sensitive information from infected machines. The researchers developed techniques for studying the "dropzones" -- servers that are used by attackers to store stolen information.
Over a seven-month period, they were able to access more than 70 unique dropzones and found about 33GB of stolen data from more than 170,000 compromised machines. Among the stolen data, the researchers found more than 10,700 stolen online bank account credentials, about 149,000 stolen email passwords, and 5,600 full credit card details.
Using a Symantec Corp. study, the researchers estimated the potential value of the stolen credentials at several millions of dollars. Symantec released a report in November on the value of stolen data.
"The results of analyzing the potential income of an attacker indicate that an attacker can earn several hundred dollars per day based on impersonation attacks with keyloggers -- a seemingly lucrative business." Holz, one of the founders of the German Honeynet Project, wrote in the Honeyblog.
SearchSecurity radio:

The analysis also showed that nearly one-third of the infected machines are located in either Russia or the U.S.
Researchers looked in detail at two pieces of malware -- ZeuS/Wsnpoem and Limbo/Nethell -- that fall into a class of attacks they call impersonation attacks, where criminals want to steal a credential in order to impersonate a victim at a banking or other website. The attack channel for the ZeuS/Wsnpoem family of malware is spam that contains a keylogger as an attachment, while Limbo/Nethell malware often lures victims to malicious websites, according to the study.
Due to the sensitive nature of the data collected in the study, the research team gave it to AusCERT, the national Computer Emergency Response Team for Australia, Holz noted in his blog posting.
He also said the best ways to protect against the threats described in the study are patching, not clicking on all links and attachments, and using two-factor authentication when conducting bank transactions.

(bron)

< vorige volgende >

terug

Can Applications Become Identity-Stateless

Tue, 18 Nov 2008 09:03:38 +0100

Over time, we evolve our thinking about different aspects of the identity management market by sharing thoughts internally at Burton Group within the IdPS team – evidenced by the way we discuss the importance of relationship management, which really came together earlier this summer. Another way to accelerate this process is to get out of the office and exchange ideas in person with peers and colleagues in the industry. This past week I had the chance to spend some time with my old friend Felix Gaehtgens and we talked a lot about identity management – but this was after we settled any arguments about Belgian chocolate, Cuban cigars, fine teas, Belgian beer, and politics. Well, maybe we didn’t settle anything but just argued some more…
One of the questions Felix and I were trying to answer was: can we just stop doing user provisioning? It costs a tremendous amount of money, time, and effort to buy and implement provisioning systems – is there another way to approach this? The root cause, of course, is that applications, operating systems, etc typically require a local identity and security context – and provisioning is the way the industry establishes that context by creating accounts and setting entitlements on the local system or platform. Even contemporary applications excessively embed IdM functionality, and identity data into business applications. We can excuse legacy application developers this offense, but why does the approach persist? For several years, the industry has promoted the use of shared infrastructure services for IdM functions – but only a moderate level of success has been achieved when compared to the potential. Maybe the industry needs to consider a different concept that explains the goal state better – we settled on “stateless” as a possibly better descriptor to use.
The idea came into clearer focus the next day when I was invited to join the folks from SURFnet for a session to brainstorm how they should change the SURFfederatie service to meet future demands of the higher education market in a changing world. I was fortunate enough to be joined by identity luminaries Eve Maler and Andre Durand in this effort and it was a great session. Based on conversation during a breakout meeting, I thought we should start suggesting that applications should be stateless, from an identity perspective. That is, application designers should start with the premise that no identity data is stored locally (there will be reasonable exceptions) and this information, data, and policies are resolved during the run time process. Applications that can go any time to an explicit identity service doesn't need to be provisioned; it just needs to be connected. Therefore, if you start with the premise that applications are identity-stateless, you need to consider what identity services are required for fulfillment. Many applications in use today do not perform authentication locally – this is quite common. If applications are truly identity-stateless, we can take it a lot further.
Eventually the conversation will get around to the composition and level of abstraction for the above mentioned identity services. I’ll leave that topic to my colleague Kevin Kampman, who will be providing the latest update next week at Catalyst in Prague.

(bron)

< vorige volgende >

terug

Internet Attacks Grow More Potent

Tue, 11 Nov 2008 06:34:28 +0100

Attackers bent on shutting down large Web sites — even the operators that run the backbone of the Internet — are arming themselves with what are effectively vast digital fire hoses capable of overwhelming the world’s largest networks, according to a new report on online security.

By John Markoff

In these attacks, computer networks are hijacked to form so-called botnets that spray random packets of data in huge streams over the Internet. The deluge of data is meant to bring down Web sites and entire corporate networks. Known as distributed denial of service, or D.D.O.S., attacks, such cyberweapons are now routinely used during political and military conflicts, as in Estonia in 2007 during a political fight with Russia, and in the Georgian-Russian war last summer. Such attacks are also being used in blackmail schemes and political conflicts, as well as for general malicious mischief.
A survey of 70 of the largest Internet operators in North America, South America, Europe and Asia found that malicious attacks were rising sharply and that the individual attacks were growing more powerful and sophisticated, according to the Worldwide Infrastructure Security Report. This report is produced annually by Arbor Networks, a company in Lexington, Mass., that provides tools for monitoring the performance of networks.

The report, which will be released Tuesday, shows that the largest attacks have grown steadily in size to over 40 gigabits, from less than half a megabit, over the last seven years. The largest network connections generally available today carry 10 gigabits of data, meaning that they can be overwhelmed by the most powerful attackers.
The Arbor Networks researchers said a 40-gigabit attack took place this year when two rival criminal cybergangs began quarreling over control of an online Ponzi scheme. “This was, initially, criminal-on-criminal crime though obviously the greatest damage was inflicted on the infrastructure used by the criminals,” the network operator wrote in a note on the attack.
The attack employed a method called reflective amplification, which allowed a relatively small number of attack computers to generate a huge stream of data toward a victim. The technique has been in use since 2006.

“We’re definitely seeing more targeted attacks toward e-commerce sites,” said Danny McPherson, chief security officer for Arbor Networks. “Most enterprises are connected to the Internet with a one-gigabit connection or less. Even a two-gigabit D.D.O.S. attack will take them offline.”
Large network operators that run the backbone of the Internet have tried to avoid the problem by building excess capacity into their networks, said Edward G. Amoroso, the chief security officer of AT&T. He likened the approach to a large shock absorber, but said he still worried about the growing scale of the attacks.

“We have a big shock absorber,” he said. “It works, but it’s not going to work if there’s some Pearl Harbor event.”
Over all, the operators reported they were growing more able to respond to D.D.O.S. attacks because of improved collaboration among service providers.
According to the Arbor Networks report, the network operators said the largest botnets — which in some cases encompass millions of “zombie” computers — continue to “outpace containment efforts and infrastructure investment.”

Despite a drastic increase in the number of attacks, the percentage referred to law enforcement authorities declined. The report said 58 percent of the Internet service providers had referred no instances to law enforcement in the last 12 months. When asked why there were so few referrals, 29 percent said law enforcement had limited capabilities, 26 percent said they expected their customers to report illegal activities and 17 percent said there was “little or no utility” in reporting attacks.

(bron)

< vorige volgende >

terug

Onderzoekers demonstreren aanval via TCP-lek

Tue, 28 Oct 2008 07:18:45 +0100

Op een beveiligingsconferentie in Helsinki hebben onderzoekers aangetoond dat ze eenvoudig internetdiensten onderuit kunnen halen. Cisco onderkent het probleem.

door Brenno de Winter

Het drie weken geleden onthulde basale lek in het TCP/IP-protocol is echt en bewezen riskant. De beveiligingsexperts Robert E. Lee en Jack C. Louis van Outpost24 toonden hun ontdekking op de beveiligingsconferentie T2 tijdens een lezing over het platleggen van systemen. Zij beschreven eerst de geschiedenis van Denial-of-Service-aanvallen om vervolgens op het nieuwe van hun ontdekking in te gaan zonder daarbij gedetailleerde uitleg te geven.

Totale uitputting
Volgens Lee is het unieke aan de aanval dat de meeste aanvallen op systemen ook veel capaciteit op de computer van de aanvaller vragen of een massale inzet van machines nodig maakt. Hier is dat niet het geval en ‘worden de bronnen volledig uitgeput totdat de dienst of het systeem niet meer werkt’.

"Er zijn veel bronnen in de kernel die aan te spreken zijn zoals timers, tellers, geheugen en je kunt zelfs applicaties aanvallen", vertelt Louis om zich te verdedigen tegen speculatie op internet dat hun ontdekking een herhaling van zetten zou zijn. Zo benadrukt hij dat het gebruik van verbindingsgegevens als SYN-cookies niet het probleem zijn.

"De reden dat we SYN-cookies gebruiken is dat het onze aanval efficiënter maakt en niets anders dan dat", betoogt Louis. "Als je de verbinding eenmaal hebt en je kunt met minder resources toe dan is dat beter. Maar de eigenlijke aanval heeft daar niets mee te maken. Het voordeel is dat als je eenmaal een verbinding hebt dan heb je veel onbeschermde bronnen tot je beschikking." Volgens de beveiligingsexpert heeft hun aanval vooral daarmee te maken.

Demonstratie Sockstress
Tijdens de lezing werd als onderbouwing de Sockstress gedemonstreerd. De tool is volgens de makers een raamwerk, waarmee verbindingen mensen kunnen opzetten en aanvallen uitvoeren. Lee zegt vijf scenario's te hebben omgezet in een plugin, maar dat er meerdere aan toe te voegen zijn.

Als eerste demonstratie toonden de onderzoekers een aanval op een webserver op Linux, die binnen tien seconden onderuit ging toen de tool werd gedraaid. Daarbij viel op dat de rest van de machine geen indicaties vertoonde dat er een aanval gaande was en het systeem gewoon functioneerde. Ook was er nagenoeg geen aanslag op het netwerk. "Je hebt het over ongeveer vijf connecties per seconde", stelt Lee.

Windows in de tang
De tweede aanval werd gedaan tegen een Windows-werkstation, waarop uw verslaggever gevraagd werd Pinball te spelen en ondertussen de systeembronnen in de gaten te houden. Tijdens de demonstratie was er nagenoeg geen netwerkverkeer, maar het geheugen liep gedurende twee minuten vol. Uiteindelijk reageerde het systeem nog maar amper.

"Wat hier precies gebeurt weten wij ook niet, maar wij vermoeden dat Windows stukken van de kernel (de kern van het besturingssysteem - red.) tijdelijk op schijf opslaat", vertelt Louis. "We zijn de aanval gestopt, maar het systeem zal zich niet herstellen. Tenminste niet in 24 uur; dat is het langste dat we gewacht hebben."

Grote risico's
Meer details willen de onderzoekers niet publiek maken, omdat er momenteel nog geen oplossing beschikbaar is. "Iedereen die een webdienst draait loopt gevaar", zegt Lee tegenover Webwereld. "Wat je kunt doen is verkeer filteren en slecht een beperkte groep adressen tot de server toelaten. Maar daar hebben maar heel weinig partijen iets aan."

Verder is er weinig verweer mogelijk en zijn de risico's groot. Lee vertelt dat niet alleen de machine die wordt aangevallen gevaar loopt, maar ook het netwerk er naartoe. "We hebben een keer een test op afstand gedaan en kwamen er achter dat ook een andere infrastructuur werd getroffen."

Wel zijn de onderzoekers hoopvol dat er uiteindelijk een oplossing zal komen. "Na bekendmaking van de problematiek hebben we met veel mensen gesproken. Tussen de ideeën zaten een paar heel briljante waar nu verder naar wordt gekeken", zegt Lee. "Toch vergt dat nog wel wat onderzoek."

Erkenning CERT en Cisco
Het Finse Computer Emergency Response Team, dat de afhandeling van de problematiek coördineert, vertelde voorafgaand aan de lezing dit jaar niet meer een oplossing te verwachten. Uiteindelijk hopen ze dat er volgend jaar technische details te geven zijn. Op de website staat een mededeling van gelijke strekking.

Ondertussen krijgen de onderzoekers ook bevestiging van het bedrijfsleven. Cisco erkent de problemen en zegt aan oplossingen te werken.

De problemen werden drie weken geleden door Webwereld onthuld, maar waren de onderzoekers al drie jaar bekend. Met de stap om publiek te gaan wilden Lee en Louis de problematiek op de kaart zetten en gaan werken aan een oplossing. Volgens de experts gaat dat nu goed. Wel stellen ze overweldigd te zijn door de massale media-aandacht voor hun vondst.

(bron)

< vorige volgende >

terug