200 likes | 335 Views
In IPv6 steckt doch der Wurm!. thorsten jäger security consultant - international tjaeger@fortinet.com. In IPv6 steckt doch der Wurm!. Seit 2004 bei Fortinet Consulting & Engineering EMEA & SEA F.I.A.T. Member seit 2005 Social Network www.xing.de. thorsten jäger
E N D
In IPv6 steckt doch der Wurm! thorsten jäger security consultant - international tjaeger@fortinet.com
In IPv6 steckt doch der Wurm! Seit 2004 bei Fortinet Consulting & Engineering EMEA & SEA F.I.A.T. Member seit 2005 Social Network www.xing.de thorsten jäger security consultant - international tjaeger@fortinet.com
Agenda Malware / Schadsoftware.biz Malware on Steroids Umgang mit Malware
schadsoftware.biz Warum gibt es Schadsoftware Wer verbreitet Schadsoftware Wie verbreitet sich Schadsoftware
Warum ? • Hochprofitabel • Geringes Risiko • Kein direkter „Objekt“ Kontakt • Mobil, sehr attraktiv für Schwellenländer • Milliarden Industrie
Wer ? • Geldgierige • Kriminelle • Geldgierige Kriminelle • Polizeiliche Kriminalstatisik 2009 • Phising +64% • „Ausspähen, Abfangen von Daten“ +48%, bei 7% weniger Aufklärungsquote • Spionage
Wie ? • Infektion von Hosts über Vektoren • Email, http, Web 2.0 und Social Networks, Instant-Messaging, P2P, Adobe PDF, Google-Docs, Voice-over-IP • Ausnutzen von Schwachstellen (Exploit) • Schwachstellen in der Technik und „Social Exploits“ • Installation Malware / Schadsoftware • Selbstständiges Weiterverbreiten der Schadsoftware • Kontrolle über den Hosts (Botnetz) • Kommerzialisierung des „Botnetzes“ • SPAM-Hosts (100.000 Hosts mit je 1.000 emails/std) 100.000.000 SPAMs • Ausspähen von KK, Paypal, ebay • Weiterversenden von Malware, DDoS Attacken und Erpressung
Wie ? • Marktplätze • IRC (IRC v6), ICQ, Websites Gute Forschungsarbeiten dazu verfügbar • „Dirty Money on the Wire“. Guillaume Lovet, FORTINET • „Underground Economy“. Thorsten Holz, TU Wien
„Catch of the Day“ Menu • Sehr guter 0-day Exploit ~500-1000$ • Guter Exploit 20$ • Gestohlene Kreditkartennummer mit Code 2$ • Gestohlene Kreditkartennummer mit PIN 20$. Rabattstufen • Baukasten für Trojaner 500-1000$ • Mietpreis für ein DDoS Botnet (100.000 Zombies) ab 500$/h • Mietpreis 1.Mio SPAM mit Malware ca 20$ • Software as a Service, SaaS.
Malware in IPv6 – aus Alt mach Neu IPv6 Malware Pimped Malware Alte Malware • Verbreitet sich Protokoll- unabhängig (I LOVE YOU) • Virus, Exploit • Malware die spezifische IPv6 Eigenschaften nutzt • IPv6 Exploits (Stacks oder Parser) • IPv6 Erweiterungen in Würmern. • Beispiel: ZEUS (https://zeustracker.abuse.ch/)
Malware in IPv6 – the bad news • Bad news • Viele Schadsoftware ist schon IPv6 fähig • Abhängig vom Vektor • Probleme durch „Dual Stack“ • Bad news • Fast jeder Exploit ist IPv6 tauglich
Malware in IPv6 • Bad news • Starker Anstieg von SPAM • Damit verbunden stärkere Verbreitung von Malware • Direkte Erreichbarkeit der Hosts • Mehr Gewicht auf Firewall Konfiguration als in der NAT Welt
Malware in IPv6 – not so bad news • Heute ist kein Wurm aktiv der sichüber IPv6 verbreitet • Noch nicht . . . . . • Bad news • Mit dem Businesscase kommt IPv6 spezifische Malware
For IPv6 only • Tunnelprotokolle • Teredo et al • Blacklisting • Personal Firewall • LAN versus WAN • IPv4 zu IPv6 • Generisch IPsec • Stack hickups. OS-Stack, Application-Stack, Parser . . .
For your IPv6 only • Von Fast-Flux zu Hyper-Fast-Flux Netzen • Home-Router Exploitation Quelle: abuse.ch. Fastflux Netz
For your IPv6 only- LAN • Lokaler Service Provider • Router Solicitation, Duplicate Address Detection • ..... • Gute Tools zum kreativen Umgang mit IPv6 im LAN • THC IPV6 Attack Suite • fakerouter6 – sendet neue Router Advts. • dos-newipv6 – antwortet auf jede Neighbor Solicitation (DAD) • .....
Danke 2128 • Brute Detection / Scanning von Hosts • Mit heutigen Tools unmöglich • Money rulez. Und Kreativität auch.
Malware mit Migrationshintergrund • Dual-stack Lösungen mit Dual-brain Admins • Admins müssen sich dem 2. Protokoll bewusst sein • Organisatorische Trennung, Netz vs Content • Anpassen der Content Security Systeme • Intrusion-Prevention, Application-Control, Proxy, Anti-Virus . . . • Einsatz von Multifunction-/UTM Firewalls • Andernfalls droht ein Produkteoverkill (Vekoren x2) • Intelligente Firewalls • Erkennen und Blocken von Tunneln
Malware mit Migrationshintergrund • Zentraler Punkt für IPv4 und IPv6 Security • Wenn auch Dual-stack • Administrativ integriert • Beispiel: Mailgateway oder Proxy • Besonderer Schutz der DNS Infrastruktur • Höhere Bedeutung bei IPv6