IPv6 Malware

Report
In IPv6 steckt doch der Wurm!
thorsten jäger
security consultant - international
[email protected]
In IPv6 steckt doch der Wurm!
Seit 2004 bei Fortinet
Consulting & Engineering
EMEA & SEA
F.I.A.T. Member seit 2005
thorsten jäger
security consultant - international
[email protected]
Social Network
www.xing.de
Agenda
Malware / Schadsoftware.biz
Malware on Steroids
Umgang mit Malware
schadsoftware.biz
Warum gibt es Schadsoftware
Wer verbreitet Schadsoftware
Wie verbreitet sich Schadsoftware
Warum ?
• Hochprofitabel
• Geringes Risiko
 Kein direkter „Objekt“ Kontakt
 Mobil, sehr attraktiv für Schwellenländer
• Milliarden Industrie
Wer ?
• Geldgierige
• Kriminelle
• Geldgierige Kriminelle
 Polizeiliche Kriminalstatisik 2009
• Phising +64%
• „Ausspähen, Abfangen von Daten“ +48%, bei 7% weniger Aufklärungsquote
• Spionage
Wie ?
• Infektion von Hosts über Vektoren
 Email, http, Web 2.0 und Social Networks, Instant-Messaging, P2P, Adobe PDF, Google-Docs, Voice-over-IP
• Ausnutzen von Schwachstellen (Exploit)
 Schwachstellen in der Technik und „Social Exploits“
• Installation Malware / Schadsoftware
 Selbstständiges Weiterverbreiten der Schadsoftware
• Kontrolle über den Hosts (Botnetz)
• Kommerzialisierung des „Botnetzes“
• SPAM-Hosts (100.000 Hosts mit je 1.000 emails/std) 100.000.000 SPAMs
• Ausspähen von KK, Paypal, ebay
• Weiterversenden von Malware, DDoS Attacken und Erpressung
Wie ?
• Marktplätze
 IRC (IRC v6), ICQ, Websites
Gute Forschungsarbeiten dazu verfügbar
 „Dirty Money on the Wire“. Guillaume Lovet, FORTINET
 „Underground Economy“. Thorsten Holz, TU Wien
„Catch of the Day“ Menu
• Sehr guter 0-day Exploit ~500-1000$
• Guter Exploit 20$
• Gestohlene Kreditkartennummer mit Code 2$
• Gestohlene Kreditkartennummer mit PIN 20$. Rabattstufen
• Baukasten für Trojaner 500-1000$
• Mietpreis für ein DDoS Botnet (100.000 Zombies) ab 500$/h
• Mietpreis 1.Mio SPAM mit Malware ca 20$
• Software as a Service, SaaS.
Malware in IPv6 – aus Alt mach Neu
Alte Malware
Pimped Malware
IPv6 Malware
• Verbreitet sich Protokollunabhängig (I LOVE YOU)
• IPv6 Erweiterungen in
Würmern.
• Virus, Exploit
• Beispiel: ZEUS
• Malware die spezifische
IPv6 Eigenschaften nutzt
• IPv6 Exploits (Stacks
oder Parser)
(https://zeustracker.abuse.ch
/)
Malware in IPv6 – the bad news
• Bad news
• Viele Schadsoftware ist schon IPv6 fähig
• Abhängig vom Vektor
• Probleme durch „Dual Stack“
• Bad news
• Fast jeder Exploit ist IPv6 tauglich
Malware in IPv6
• Bad news
• Starker Anstieg von SPAM
• Damit verbunden stärkere Verbreitung von Malware
• Direkte Erreichbarkeit der Hosts
• Mehr Gewicht auf Firewall Konfiguration als in der NAT Welt
Malware in IPv6 – not so bad news
• Heute ist kein Wurm aktiv der sich
über IPv6 verbreitet
• Noch nicht . . . . .
• Bad news
• Mit dem Businesscase kommt IPv6 spezifische Malware
For IPv6 only
• Tunnelprotokolle
• Teredo et al
• Blacklisting
• Personal Firewall
• LAN versus WAN
• IPv4 zu IPv6
• Generisch IPsec
• Stack hickups. OS-Stack, Application-Stack, Parser . . .
For your IPv6 only
• Von Fast-Flux zu Hyper-Fast-Flux Netzen
• Home-Router Exploitation
Quelle: abuse.ch. Fastflux Netz
For your IPv6 only- LAN
• Lokaler Service Provider
• Router Solicitation, Duplicate Address Detection
• .....
• Gute Tools zum kreativen Umgang mit IPv6 im LAN
• THC IPV6 Attack Suite
• fakerouter6 – sendet neue Router Advts.
• dos-newipv6 – antwortet auf jede Neighbor Solicitation (DAD)
• .....
Danke 2128
• Brute Detection / Scanning von Hosts
• Mit heutigen Tools unmöglich
• Money rulez. Und Kreativität auch.
Malware mit Migrationshintergrund
• Dual-stack Lösungen mit Dual-brain Admins
• Admins müssen sich dem 2. Protokoll bewusst sein
• Organisatorische Trennung, Netz vs Content
• Anpassen der Content Security Systeme
• Intrusion-Prevention, Application-Control, Proxy, Anti-Virus . . .
• Einsatz von Multifunction-/UTM Firewalls
• Andernfalls droht ein Produkteoverkill (Vekoren x2)
• Intelligente Firewalls
• Erkennen und Blocken von Tunneln
Malware mit Migrationshintergrund
• Zentraler Punkt für IPv4 und IPv6 Security
• Wenn auch Dual-stack
• Administrativ integriert
• Beispiel: Mailgateway oder Proxy
• Besonderer Schutz der DNS Infrastruktur
• Höhere Bedeutung bei IPv6

similar documents