security summit rome 2011
Post on 19-Oct-2014
1.091 Views
Preview:
DESCRIPTION
TRANSCRIPT
Copyright 2011 © The OWASP FoundationPermission is granted to copy, distribute and/or modify this document under the terms of the OWASP License.
The OWASP Foundation
OWASP
http://www.owasp.org
Metodologia per la simulazione degli attacchi e per l’ analisi delle minaccie contro le applicazioni web
Marco Morana OWASP
Security Summit Roma 9 Giugno 2011
OWASP
What is OWASP?
2
OWASP 3
Agenda Della Presentazione
PARTE I: I nuovi scenari di attacco ai siti web: dati e statistiche
PARTE II: La metodologia per la simulazione degli attacchi e delle minaccie
PARTE III: Esempio dell’uso delle methodologia per l’analisi delle minaccie, attachi e calcolo dei rischi causati da banking-malware
OWASP 4
PARTE I: I nuovi scenari di attacco: dati e statistiche
OWASP
Il cambiamento dello scenario delle minaccie alle applicazioni
5
Lo scenario delle minaccie e’ cambiato drammaticamente rispetto a dieci anni fa, alcuni esempi: Gli attori di attacco sono motivati dal denaro (e.g. furto
di dati di carta di cerdito per vendita, frodi finanziarie) Gli attori di attacco fanno parte del crimine
organizzato (e.g. spie dei segreti/proprieta’ intelletuale e gruppi terroristici)
I target sono le aziende e in particolare il settore finanza
SOURCE: Cisco: Threat Control and Containment: New Strategies For A Changed Threat Landscape
OWASP
Dati sulle minaccie del malware e hacking
6
Contribuiscono alla maggioranza delle perdita dei dati (2010)
Source: Verizon Data Breach investigation Report: http://www.verizonbusiness.com/Products/security/dbir/
Cosituiscono le minaccie principali per tipologia di attacco
OWASP
I targets delle minaccie malware e hacking
7
I siti e le applicazioni web costituiscono la percentuale piu alta presa di mira dagli attacchi di malware e hacking
I tipi di dati piu’ a rischio sono dati sensibili (e.g. carte di credito)
Source: Verizon Data Breach investigation Report: http://www.verizonbusiness.com/Products/security/dbir/
OWASP 8
CyberCrime & Doing Time A Blog about Cyber Crime and related Justice issues: http://garwarner.blogspot.com
Gli Attori Delle Minaccie Dietro Gli Attacchi di Hacking e Malware
Il presunto hacker si e’ appena svegliato e sorseggiando il caffe (o tea o magari vodka) inizia la sua giornata di lavoro con una bella lista di indirizzi IP di computer compromessi e di logins per autenticarsi ai siti. Lo step successivo consiste nel spendere alcune ore a distibuire malware nei PC compromessi e rivedere la lista dei PC della settimana scorsa per aggiornarsi sui dati collezionati.Dopo di che’ e ‘ ora di andare a casa ad accudire moglie e figli.
OWASP
Sherlock Holmes vs. Dr Jerkill/Mr Hyde
9
OWASP
L’ approccio al rischio “conosco ma non faccio nulla”
OWASP
L’ approccio al rischio “Paura Incertezza e Dubbio” Paura di essere fuori norma
=> multe e restrizioni e controlli (e.g. SEC, PCI etc)
Paura di perdere la reputazione => nel caso di perdita di dati sensibili, forzato a notificare il pubblico (SB 1386)
Paura di cause penali => nel caso la vittima della frode e’ il business-cliente invece che l’utente
Incerto sulle cause e le conseguenze=> Siamo noi il target? Se lo siamo quanto denaro potremmo perdere?
Dubbi sulla efficacia delle contro misure=> Non ci fidiamo delle nostre mezzi, processi e persone
OWASP
L’ approccio al rischio “come antagonista a chi il rischio lo deve mitigate” “Noi vs. Loro”
(Dept. Sicurezza vs. Dev/IT/Business Units): Mitigazione
faccendo ricorso alla pillola magica
Non c’e dimostrazione di come gli attachi avvengono e impattano i business
Non c’e’ nessun incentivo a collaborare fra chi il rischio lo identifica e chi lo deve mitigare con le contromisure
OWASP 13
L’ approccio al rischio ”Persone, Processi e Technologie” Personale preparato e
qualificato per rispondere agli incidenti
Processi adequati per l’identificazione degli errori di design e le vulnerabilita’ che vengono sfruttati dagli hackers
Technologie e contromisure per la mitigazione delle minaccie del malware e hackers
OWASP 14
PARTE II-Introduzione al metodo di Threat Modeling PASTA™ (Process for Attack Simulation and Threat
Analysis)
OWASP
La Methodologia Per L’Analisi Delle Minaccie [Application] Threat Modeling
Un processo strategico che punta a considerare le minaccie, i possibili scenari di attacco e le vulnerabilita che possono essere sfruttate nell’ambiente applicativo con lo scopo di gestire rischi e livelli di impatto.
Si focalizza su diversi aspetti per la mitigazione delle minaccie: Architettura & Software (design) Gli assetti a rischio (dati, server, applicazioni) Prospettiva di attacco o di difesa
Si basa su diversi metodologie per la determinazione delle minaccie e correlazione con le vulnerabilita’
OWASP
Metodologia Threat Modeling di OWASP
Methodolgia simplificata: Focalizzata
sulle minaccie al software
Non include l’analisi ed il calcolo dei rischi
L’analisi delle minaccie e’ fatta a diversi livelli
OWASP Threat Risk Modeling http://www.owasp.org/index.php/Threat_Risk_Modeling
OWASP
Metodologia Threat Modeling STRIDE di Microsoft
17
User/Browser
HTTPsRequest
HTTPsResponses
DM
Z (U
ser/Web
Server B
ou
nd
ary)
Message XML/JMS
Web Server
ApplicationServer
Application Calls (.do)
Messaging Bus
Authentication Credential
Store
Restricted
Netw
ork
(Ap
p &
DB
Server/F
inan
cial S
erver B
ou
nd
ary)
Application Responses
Auth Data
ServiceMessage
Response
SQL Query Call/JDBC
Intern
al (Web
Server/ A
pp
& D
B S
erver Bo
un
dary
)
Financial Transaction Processing MainFrame
Financial Transactions (ACH, wires
external transfer)
MFA RBA/Fraud
DetectionXML/HTTPS
XML/HTTPS
I. Spoofing
II. Repudiation
I. Tampering
II. Repudiation
III. Info Disclosure
IV. Denial OF service
OWASP
Limitazioni Delle Metodologie Di Threat Modeling Usate Oggi Diverse metodologie ma nessuna e’ adottata a
larga scala STRIDE & DREAD non sono metodologie ma modelli per la
classificazione delle minaccie e dei rischi Limitate nello scopo (e.g. assetto, attacco,
software, security centriche) non tutti gli approcci considerano l’analisi degli errori di design
Limitate nell’adozione nella SDLC sopratutto rispetto ad altre attivita (e.g. review codice sicuro, pen testing)
Non sono parte dei processi di InfoSec (e.g. information security risk management, fraud, incident response)
Processi soggettivi ed ad-hoc si basano sull’esperienza di chi fa l’analisi SMEs (Subject Matter Experts)/Security Architects/Consultants
OWASP
La ricetta per la P.A.S.T.A™ Threat Modeling Si focalizza sugli
asset di business come target degli attacchi
Include tutti i processi per la (e.g. intelligence) mitigazione strategica dei rischi
Si basa sulla analisi degli scenari di attacco
Si focalizza nelle minimizzazione dei rischi delle applicazioni e degli impatti per il business
OWASP
The P.A.S.T.A™ Threat Modeling Methodology
20
• Identify Business Objectives• Identify Security & Compliance Requirements
• Business Impact Analysis 1. Define Objectives
• Capture the boundaries of the technical environment• Capture Infrastructure | Application | Software
Dependencies
2. Define Technical Scope
• Identify Use Cases | Defin App Entry Points & Trust levels
• Identify Actors | Assets| Services | Roles| Data Sources
• Data Flow Diagramming (DFDs) | Trust Boundaries
3. Application Decomposition
• Probabilistic Attack Scenarios Analysis• Regression Analysis on Security Events
• Threat Intelligence Correlation & Analytics4. Threat Analysis
• Queries of Existing Vulnerability Reports & Issues Tracking
• Threat to Existing Vulnerability Mapping Using Threat Trees
• Design Flaw Analysis Using Use & Abuse Cases • Scorings (CVSS/ CWSS) | Enumerations (CWE/CVE)
5. Vulnerability & Weaknesses Analysis
• Attack Surface Analysis• Attack Tree Development | Attack Library Mgt• Attack to Vulnerability & Exploit Analysis using
Attack Trees
6. Attack Modeling
• Qualify & quantify business impact• Countermeasure Identification & Residual Risk
Analysis• ID risk mitigation strategies
7. Risk & Impact Analysis
OWASP
Gli utenti della metodologia P.A.S.T.A™
21
Business managers che in questo modo possono incorporare i requisiti di sicurezza per mitigare i rischi
Architetti delle applications che cosi possono identificare gli errori del design e identificare le contromisure per rimediarli e per proteggere i dati e gli assets
Sviluppatori che cosi possono capire se il software e’ vulnerabile ed esposto agli attacchi
Security testers che possono usare i casi di use e abuso e le librerie di attacco per testare l’applicazione
Project managers che cosi possono gestire la remediazione dei diffetti in modo piu’ efficace
CISO che cosi possono prendere decisioni su come mitigate i rischi a livello applicativo
OWASP 22
PART III-Uso della methodologia PASTA™ per l’analisi delle minaccie, attacchi e dei
rischi del banking-malware
OWASP
Gli steps della analisi del banking malware usando la metodologia P.A.S.T.A.
23
I. Documentazione dei requisiti per l’analisi dei rischi delle minaccie banking malware, attachi e vulnerabilita’
II. Definizione dello scopo tecnico dell’ analisi III. Analisi della sicurezza del sito dal punto di vista
dei controlli di sicurezza a livello architetturale e di funzione
IV. Studio e analisi delle minaccie dai dati di intelligence
V. Analisi delle vulnerabilita’ che possono essere sfruttate dalle minaccie per causare un impatto
VI.Modelli degli scenari di attaccoVII.Formulazione della strategia per la mitigazione
del rischio e per la riduzione dell’ impatto a livello di business
OWASP 24
STAGE I Definizione Degli Obbiettivi di Sicurezza e
Del Business: “Cattura dei requisiti per l’ analisi e la gestione dei rischi di banking
malware”
OWASP
Analisi Preliminare Degli Impatti
Impatti per l’azienda/business Perdita di denaro a causa di frodi (e.g.
transferimento illegale di denaro) e perdita di dati sensibili del cliente
Non responabilita’ legale per frodi contro clienti-business e’ causa di azioni legali da parte degli stessi
Perdita di reputazione/immagine a causa della notificazione al pubblico della perdita dei dati sensibili dei clienti, questo ha anche un impatto sulla fedelta’ dei clienti
Non in regola con la legge e la regolamentazione di sicurezza (e.g. PCI-DSS, FFIEC/OCC, GLBA, SB 1386, FACT Act, PATRIOT Act) e’ causa di multe e controlli costosi compliance
Impatti per I clienti Furto di login per l’accesso a siti di on-line
banking Furto dei dati sensibili Perdita di denaro dal conto nel caso di conti
aziendali/privati
OWASP
Obbiettivi Dell’ Analisi e Requisiti Di Sicurezza e di Regolamentazione
Project Business Objective Security and Compliance RequirementPerform an application risk assessment to analyze malware banking attacks
Risk assessment need to assess risk from attacker perspective and identify on-line banking transactions targeted by the attacks
Identify application controls and processes in place to mitigate the threat
Conduct architecture risk analysis to identify the application security controls in place and the effectiveness of these controls. Review current scope for vulnerability and risk assessments.
Comply with FACT Act of 2003 and FFIEC guidelines for authentication in the banking environment
Develop a written program that identifies and detects the relevant warning signs – or “red flags” – of identity theft. Perform a risk assessment of online banking high risk transactions such as transfer of money and access of Sensitive Customer Information
Analyze attacks and the targets that include data and high risk transactions
Analyze attack vectors used for acquisition of customers’PII, logging credentials and other sensitive information. Analyze attacks against user account modifications, financial transactions (e.g. wires, bill-pay), new account linkages
Identify a Risk Mitigation Strategy That Includes Detective and Preventive Controls/Processes
Include stakeholders from Intelligence, IS, Fraud/Risk, Legal, Business, Engineering/Architecture. Identify application countermeasures that include preventive, detective (e.g. monitoring) and compensating controls against malware-based banking Trojan attacks
OWASP 27
STAGE II Definizione dello Scope Tecnico Dell’Analisi
”Definizione dello scopo di threat modeling relativo ai requisiti dell’analisi”
OWASP
Profilo Della Applicazione In Scopo Dell’ Analisi: Sito Online Banking
Application Profile: Online Banking Application
General Description
The online banking application allows customers to perform banking activities such as financial transactions over the internet. The type of transactions supported by the application includes bill payments, wires, funds transfers between customer’s own accounts and other bank institutions, account balance-inquires, transaction inquires, bank statements, new bank accounts loan and credit card applications. New online customers can register an online account using existing debit card, PIN and account information. Customers authenticate to the application using username and password and different types of Multi Factor Authentication (MFA) and Risk Based Authentication (RBA)
Application Type Internet
Data Classification
Public, Non Confidential, Sensitive and Confidential PII
Inherent Risk HIGH
High Risk Transactions
YES
User roles Visitor, customer, administrator, customer support representative
Number of users 3 million registered customers
OWASP
Definizione Dello Scopo Tecnico Dell’Analisi Informazione estratta dai documenti di progetto:
Componenti della applicazione web in funzione dei livelli funzionali (presentazione, logica, dati)
Topologia della rete (firewall, servers, routers etc) Protocolli e processi che sono parte dell’
architettura “end to end” (diagrammi del flow dei dati)
Scenari e funzioni d’uso (diagrammi di sequenza)
Modello della applicazione in supporto dell’analisi: Gli assets dell’ applicazione (e.g. dati/servizi a
diverse sezioni della architettura applicativa) I controlli di sicurezza dell’applicazione
(autenticazione, autorizzazione, crittografia, gestione della session, validazione dell’input, archivio e logs)
Le interazioni fra l’utente e l’applicazione per le varie transazioni web (e.g. login, registrazione, query dei dati etc)
OWASP 30
Scopo della Architettura: On-line Banking Application Architecture Diagram
OWASP
Transazioni di On-Line Banking in Scopo Per L’Analisi
31
Identifica le transazioni on-line che sono possibili targets per malware e hacking (e.g. transazioni ad alto rischio): Funzioni di login (e.g. registrazione, reset userId/pwd) Funzioni per la gestione del profilo (e.g. cambio del
profilo/account email, indirizzo, telefono etc) Funzioni di autenticazione con fattore multi-factor Transazioni riguardandi validazione del customer
con dati sensibili (e.g. validazione di CCN#, CVV, ACC# and PINs for registrazione e per apertura di conto)
Accesso a dati confidenziali e sensibili (e.g. ACC#, CCN#, SSN, DOB)
Transazioni bancarie as alto rischio: Transfermienti di denaro a conti esterni ACH Bonifici, Pagamenti
OWASP 32
STAGE III Analisi dell’ applicazione:”Identificazione dei controlli di protezione dei dati/assets e efficacia del controlli stessi nella mitiazione del rischio di
attacchi da banking malware”
OWASP
Analisi del data flow di processo della applicazione di Online Banking
33
User/Browser
HTTPsRequest
HTTPsResponses
DM
Z (U
ser/Web
Server B
ou
nd
ary)
Message XML/JMS
Web Server
ApplicationServer
Application Calls (.do)
Messaging Bus
Authentication Credential
Store
Restricted
Netw
ork
(Ap
p &
DB
Server/F
inan
cial S
erver B
ou
nd
ary)
Application Responses
Auth Data
ServiceMessage
Response
SQL Query Call/JDBC
Intern
al (Web
Server/ A
pp
& D
B S
erver Bo
un
dary
)
Financial Transaction Processing MainFrame
Financial Transactions (ACH, wires
external transfer)
MFA RBA/Fraud
DetectionXML/HTTPS
XML/HTTPS
OWASP
Analisi Dell Efficacia Dei Controlli di Sicurezza a Livello delle Transazioni Online
34
OWASP 35
STAGE IV Identificazione Delle Fonti Di Intelligence
Per L’Analisi delle Minaccie: “Identificazione ed elaborazione di informazioni sulle minaccie dalle fonti di intelligence al fine di poter analizzare gli scenari e vetori di attacco
usati dal banking malware“
OWASP
Identificazione Delle Fonti Di Intelligence Fonti esterne di
informazioni su attacchi di banking malware
Fonti interne, per esempio da frodi e attacchi/incidenti (SIRT)
Fonti di informazione publica e a pagamento: APWG CERT Digital PhisNet FS-ISAC IC3 Internet Fraud Alerts
(ifraudalert.org)
Trusteer UK Payments Administration Verizon Verisign iDefense Zeus Tracker
Esempio di cosa si puo apprendere dalle fonti di intelligence:1)Un nuovo banking trojan e’ distribuito via siti
vulnerabili a iniezione di data in frames oppoure via spear phishing direttamente ai clienti di banca (targeted)
2)Il malware inietta codice HTML nel browser durante una sessione autenticata di on-line banking ai fini di rubare dati sensibili dall’utente
3)Il malware comunica con il server botnet Commando e Controllo C&C
4)Il C&C serve codice al trojan e permette all’hacker di condurre transazioni impersonando l’utente
5)Il malware mantiene li conto bancario “in balance” per non essere notato dai sistemi anti-frode
OWASP
Domini target del Zeus trojan
Dati Statistici Sui Banking Trojan Targets
Source
OWASP
Trends di Banking Malware
OWASP
Scenario di Attacco Del Banking Malware
39
OWASP
Esempi Di Incidenti Di Banking Malware Riportati Dagli Utenti
40
OWASP
Esempi Di Vettori Di Attacco Estratti Dall’Intelligence
41
OWASP
Profilo Di Minaccia Del Banking Malware
42
1. E’ configurabile per diversi target di banche
2. Utilizza diversi tipi di attacco per infettare il PC utente/browser
3. Accetta e manda comandi al command control server
4. Evade le difese di client e applicazione come Anti-Virus, SS/TLS, MFA C/Q e fraud detection systems
5. Inietta codice HTML nel browser della vittima al fine di catturare conti, logins, data i sensitibili in sessione autenticata
6. Ruba is certificati di autenticazione7. Ruba input alla tastiera usando
key-loggers e form grabbers8. Permette all hacker di transferire
denaro dal conto vittima
OWASP 43
STAGE VAnalisi delle vulnerabilita’:
Analisi delle vulnereabilita’ e dei gap dei cotnrolli di sicurezza che sono sfrutatte per
condurre gli attacchi
OWASP
Correlazione Delle Minaccie di Banking Malware con lo sfruttamento delle vulnerabilita’
44
Minaccie di Social Engineering/Phishing Sfruttano debolezze in anti-phishing controls (e.g. EV SSL) Mancanza di informazione al client circa minaccie di banking
malware Minaccie di imposessamento delle login e dati sensibili
Mancanza di protezione dei dati (e.g. unsecure cookies, tokens, unsecured secrets and certificates for authentication)
Injection di malware via Iframe, SQL inj vulns (e.g. per il dropping),
Errori di implementazione di autorizzazione Error nella logica di validazione del customer (e.g. PINs, ACC#)
Minaccie verso transazioni ad alto rischio (bonifici) Sfruttano errori dell’implementazione e progetto di
authenticazione delle transazione (e.g. MFA bypass, weak authentication)
Vulnerabilita’ session management della transazione (e.g. session fixation, session riding/CSRF)
Vulnerabilita in non repudiazione (e.g. one-way SSL)
OWASP
Vulnerabilita’ Client- Servers A Livello Architettura
45
Data TierIs the layer responsible for data storage and retrieval from a database or file systemQuery commands or messages are processed by the DB server, retrieved from the datasourceand passed back to the lo the logical tier for processing before being presented to the user
Presentation TierRepresents the top most level of the application. The purpose of this tier is to translate commands from the user interfaceinto data for processing to other tiers and
present back the processed data
Logic TierThis layer processes commands and makes decisions based upon the application business logic It also moves and processes data
between the presentation and the data tier
`
browser
`
browser
Storage
Servers
Query
Servers
Account#, Balance,
Transaction History
> Get MY Account Info And Account
Activity
> Account#:***8765Balance: 45,780 $Last Transaction:
5/25/09
Database
Weak Anti-Phishing and
Anti-UI- Spoofing Controls
& WarningsBrowser
Vulnerabilities & Flaws
Authentication, Authorization, Identification
and Session Mgmt. Vulnerabilities
and Design Flaws
Flaws and Vulnerabilities
While Protecting
Data/Transaction
Confidentiality and Integrity
OWASP
Top Malware Propagation Vulnerabilities
46
OWASP
Vulnerabilta’ potenzialmente sfruttate da banking malware
Black Box
Testing
White Box
Testing
OWASP 48
STAGE VIModello Degli Attacchi:
“Modello degli attacchi di banking malware”
OWASP
Analisi Banking Malware Con Attack Trees
49
Fraudster
Drive-by Download/Malicious Ads
Man In The Browser
Phishing Email, FaceBook Social
Engineering
Upload Malware on Vulnerable Site
Attack Victim’s Vulnerable Browser
Steals Keystrokes with
Key-logger
Modifies UI Rendered By The
Browser
Phish User To Click Link With Malware
Upload Banking Malware on
Customer’s Pc
Harvest Confidential Data/Credentials From
Victim
Steal Digital Certificates For Authentication
Sends Stolen Data to Fraudster’s
Collection Server
Money Transferred From Mule to
Fraudster
Use Stolen Banking Credentials/
Challenge C/Q
Remote Access To Compromised PC
Through Proxy
Logs into Victim’s Online Bank
Account
Fraudster
Perform Un-authorized Money Transfer to Mule
Redirect Users To Malicious Sites
Delete Cookies Forcing to Login To
Steal Logins
OWASP
Analisi di Attacco a Login Con Use and Abuse Cases
50
UserFraudster
Login With UserID password over SSL
Includes
Includes
Enter Challenge Question (C/Q) to authenticate
transaction
Includes
Threatens
Enter One Time Password (OTP) to authenticate
transaction
Includes
Capture C/Qs in transit and authenticate on behalf of userThreatens
Key logger/From grabber captures keystrokes
incl. credentials
Includes
Drops Banking Malware on victims/PC
Includes
Threatens
Includes
Communicate with fraudster C&C
Includes
Capture OTP on web channel
and authenticate on behalf of the user
Trust connection by IP and machine tagging/browser
attributes
Threatens
Includes
Includes
Man In The Browser Injected HTML to capture C/Q
Threatens
Set IP with Proxy/MiTM to same IP gelocation
of the victim
Hijacks SessionIDs, Cookies, Machine Tagging
Includes
Threatens
OWASP
Attacchi Alle Transazioni e Sfruttamento Di Vulnerabilita’
51
OWASP
Threat Modeling Con ThreatModeler™
52
OWASP 53
STAGE VII Analisi dei Rischi e Degli Impatti: “Identificazione della strategia per la
mitigazione del rischio del banking malware”
OWASP
Fattori Per L’Analisi Del Rischio
54
Le minaccie (le cause) hacker prende di mira on-line banking application per i dati e per condurre frodi (transferimento non autorizzato di denaro)
Le vulnerabilita’ (debolezze dell’applicazione) Errori nel design di autenticazione e session management; Vulnerabilita’ in garantire confidenzialita’ e integrity dei dati; mancanza di logs e di tracciabilita’ degli eventi e azioni degli hackers sui sistemi
L’impatto tecnico (compromissione dei controlli) By-passamento di authenticazione multi-fattore (Challenge/Questions, KBA, OTPs;) By-passamento iogica di identificazione del client prima di autorizzare transazioni; Compromissione delle web forms al fine di ottenere dati dall’utente. Abuso session di autenticazione.
L’impatto per il business (perdita denaro) Perdite per Frodi/transferimento di denaro a mules; Perdita di data sensibili; Azioni legali per copertura danni account; Multe per non essere a norma con standards di sicurezza
OWASP
Factori Per Il Calcolo Del Rischio
Calcolo del rischio basandosi su modelli oggettivi: Qualitativo (e.g. Likelihood x Impact
(H, M, L), Threat Source (STRIDE) x Severity (DREAD), Threat X Vulnerability X Impact (OWASP))
Quantitativo (e.g. ALE = SLE X ARO) Strategia di mitigazione holistica
e multi-layer Controlli per prevenzione e
detection Contromisure a diversi livelli (e.g.
browser web application, infrastructure)
Processi di Governance (e.g. risk based testing, improved fraud detection, threat analysis, cyber intelligence)
55
OWASP
Banking Malware: Application Risk Framework
Threat Agents & Motives
Misuses and Attack Vectors
Security Weaknesses
Countermeasures
Technical Impacts
Business Impacts
Hacker Dropper of Malware
Attacker targets vulnerable sites to upload malware for drive by download
Input validation vulnerabilities allowing for Frame injection of fraudster's URL, file upload via flaws exploits and SQL injection attacks
Identification and remediation of common injection vulnerabilities and data /input validation flaws
Site integrity is violated, visitors of the site get malware downloaded via malicious ads
Reputation loss. Money loss/site taken down, lawsuits
Fraudster attacking bank customers and institutions
Attacker target banking customer with phishing to exploit browser vulnerabilities and upload banking trojan keylogger on his PC/browser
Phishing and social engineering attacks via different channels (email, Facebook, SMS). Lack of customer information about banking malware threats, lack of site to user trust controls (e.g. EV SSL)
Consumer education campaigns, EV-SSL certificates to prove authenticity, site to user controls, browser controls
Once user selects malicious link, JS on client, install banking malware/trojan compromising the browser
Fraud, money losses, reputation loss, data breach disclosure,
Banking malware harvest s viictim’s account/data
Banking malware/trojan, inject HTML form fields in session using MiTB attack , keylogger to stead data, sends data to C&C and receives commands
Browser vulns. allowing MiTB, gaps in anti-automation detection controls, virtual keyboard bypassed by form grabbing
Customer education on spoofed Uis, anti-forgey controls, CAPTCHA, Man present controls, anti-forgery controls
Once customer enter extra data in the HTML form it is sent to C&C: loss of data confidentiality and data integrity since outside application control
Loss of customer PII, credentials, PII. Reputational loss via public disclosure of breach, Compliance audit lawsuits, account replacement cost
Fraudster attacking bank customers and institutions
Attacker sends and receives data to banking malware to perform un-authorized financial transactions using MiTM and session riding attacks
Authentication flaws in protecting transaction with adequate strength, session management flaws and vulnerabilities (e.g. session riding/CSFR, fixation), non-repudiation flaws
Architecture risk analysis to identify flaws, OOBA, OOBV, transaction signatures, fraud detection/monitoring, event correlation from logs
Loss of data confidentiality and transaction integrity, session hijacking, missing logging, detection/monitoring and fraud alerts
Money losses associated to fraud from money transfers. Lawsuits compliance/audit risks
OWASP
Contromisure per la mitigazione del rischio
57
ALERTA & MONITORAGGIO
Sistemi di monitoraggio e alerta frodi Anomaly detection Identificazione di cookies e
di variables settate dal malware
Logs delle sessions/transactions
Controlli anti-automation, man vs.script/botnet Catturano il profile del
browser e gli eventi CAPTCHA
Alerts al cliente via SMSNotifica in tempo reale di azioni sul conto
PREVENZIONE Misure Anti
Contraffazione UI/HTML Watermarks nelle web
forms che sono difficili da riprodurre
Informazioni al clienti al fine di identificare pagine web contraffate dal malware
Authentificazione/Verifica Fuori Canale On-Line (e.g. SMS) Cellulare riceve
richiesta di conferma della transazione on-line. Uso di tokens per firmare la transazione
OWASP 58
Q&Q U E S T I O N SA N S W E R S
top related