thorsten jäger security consultant - international [email protected] in ipv6 steckt doch der...
TRANSCRIPT
![Page 2: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/2.jpg)
Seit 2004 bei FortinetConsulting & Engineering
EMEA & SEAF.I.A.T. Member seit 2005
Social Networkwww.xing.de
thorsten jägersecurity consultant - [email protected]
In IPv6 steckt doch der Wurm!
![Page 3: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/3.jpg)
Agenda
Malware / Schadsoftware.biz
Malware on Steroids
Umgang mit Malware
![Page 4: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/4.jpg)
schadsoftware.biz
Warum gibt es Schadsoftware
Wer verbreitet Schadsoftware
Wie verbreitet sich Schadsoftware
![Page 5: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/5.jpg)
Warum ?
• Hochprofitabel• Geringes Risiko
Kein direkter „Objekt“ Kontakt Mobil, sehr attraktiv für Schwellenländer
• Milliarden Industrie
![Page 6: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/6.jpg)
Wer ?
• Geldgierige• Kriminelle• Geldgierige Kriminelle
Polizeiliche Kriminalstatisik 2009• Phising +64%• „Ausspähen, Abfangen von Daten“ +48%, bei 7% weniger Aufklärungsquote
• Spionage
![Page 7: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/7.jpg)
Wie ?
• Infektion von Hosts über Vektoren Email, http, Web 2.0 und Social Networks, Instant-Messaging, P2P, Adobe PDF, Google-Docs, Voice-over-IP
• Ausnutzen von Schwachstellen (Exploit) Schwachstellen in der Technik und „Social Exploits“
• Installation Malware / Schadsoftware Selbstständiges Weiterverbreiten der Schadsoftware
• Kontrolle über den Hosts (Botnetz)• Kommerzialisierung des „Botnetzes“
• SPAM-Hosts (100.000 Hosts mit je 1.000 emails/std) 100.000.000 SPAMs• Ausspähen von KK, Paypal, ebay• Weiterversenden von Malware, DDoS Attacken und Erpressung
![Page 8: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/8.jpg)
Wie ?
• Marktplätze IRC (IRC v6), ICQ, Websites
Gute Forschungsarbeiten dazu verfügbar „Dirty Money on the Wire“. Guillaume Lovet, FORTINET „Underground Economy“. Thorsten Holz, TU Wien
![Page 9: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/9.jpg)
„Catch of the Day“ Menu
• Sehr guter 0-day Exploit ~500-1000$• Guter Exploit 20$
• Gestohlene Kreditkartennummer mit Code 2$• Gestohlene Kreditkartennummer mit PIN 20$. Rabattstufen• Baukasten für Trojaner 500-1000$• Mietpreis für ein DDoS Botnet (100.000 Zombies) ab 500$/h• Mietpreis 1.Mio SPAM mit Malware ca 20$• Software as a Service, SaaS.
![Page 10: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/10.jpg)
Malware in IPv6 – aus Alt mach Neu
Alte Malware
• Verbreitet sich Protokoll- unabhängig (I LOVE YOU)
• Virus, Exploit
Pimped Malware
• IPv6 Erweiterungen in Würmern.
• Beispiel: ZEUS (https://zeustracker.abuse.ch/)
IPv6 Malware
• Malware die spezifische IPv6 Eigenschaften nutzt• IPv6 Exploits (Stacks
oder Parser)
![Page 11: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/11.jpg)
Malware in IPv6 – the bad news
• Bad news• Viele Schadsoftware ist schon IPv6 fähig• Abhängig vom Vektor• Probleme durch „Dual Stack“
• Bad news• Fast jeder Exploit ist IPv6 tauglich
![Page 12: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/12.jpg)
Malware in IPv6
• Bad news• Starker Anstieg von SPAM• Damit verbunden stärkere Verbreitung von Malware
• Direkte Erreichbarkeit der Hosts• Mehr Gewicht auf Firewall Konfiguration als in der NAT Welt
![Page 13: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/13.jpg)
Malware in IPv6 – not so bad news
• Heute ist kein Wurm aktiv der sichüber IPv6 verbreitet
• Noch nicht . . . . .
• Bad news• Mit dem Businesscase kommt IPv6 spezifische Malware
![Page 14: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/14.jpg)
For IPv6 only
• Tunnelprotokolle• Teredo et al
• Blacklisting• Personal Firewall• LAN versus WAN• IPv4 zu IPv6
• Generisch IPsec• Stack hickups. OS-Stack, Application-Stack, Parser . . .
![Page 15: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/15.jpg)
For your IPv6 only
• Von Fast-Flux zu Hyper-Fast-Flux Netzen• Home-Router Exploitation
Quelle: abuse.ch. Fastflux Netz
![Page 16: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/16.jpg)
For your IPv6 only- LAN
• Lokaler Service Provider• Router Solicitation, Duplicate Address Detection• .....
• Gute Tools zum kreativen Umgang mit IPv6 im LAN• THC IPV6 Attack Suite
• fakerouter6 – sendet neue Router Advts. • dos-newipv6 – antwortet auf jede Neighbor Solicitation (DAD)• .....
![Page 17: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/17.jpg)
Danke 2128
• Brute Detection / Scanning von Hosts• Mit heutigen Tools unmöglich• Money rulez. Und Kreativität auch.
![Page 18: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/18.jpg)
Malware mit Migrationshintergrund
• Dual-stack Lösungen mit Dual-brain Admins• Admins müssen sich dem 2. Protokoll bewusst sein• Organisatorische Trennung, Netz vs Content
• Anpassen der Content Security Systeme• Intrusion-Prevention, Application-Control, Proxy, Anti-Virus . . .• Einsatz von Multifunction-/UTM Firewalls
• Andernfalls droht ein Produkteoverkill (Vekoren x2)
• Intelligente Firewalls• Erkennen und Blocken von Tunneln
![Page 19: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/19.jpg)
Malware mit Migrationshintergrund
• Zentraler Punkt für IPv4 und IPv6 Security• Wenn auch Dual-stack• Administrativ integriert
• Beispiel: Mailgateway oder Proxy
• Besonderer Schutz der DNS Infrastruktur• Höhere Bedeutung bei IPv6
![Page 20: Thorsten jäger security consultant - international tjaeger@fortinet.com In IPv6 steckt doch der Wurm!](https://reader035.vdocument.in/reader035/viewer/2022081505/55204d7049795902118c1b79/html5/thumbnails/20.jpg)