David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
Upcoming SlideShare
Loading in...5
×
 

David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]

on

  • 3,758 views

 

Statistics

Views

Total Views
3,758
Views on SlideShare
3,487
Embed Views
271

Actions

Likes
0
Downloads
179
Comments
0

3 Embeds 271

http://www.dragonjar.org 213
http://www.slideshare.net 57
http://feeds.feedburner.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    David Barroso - iPhone + Botnets = FUN! [RootedCON 2010] David Barroso - iPhone + Botnets = FUN! [RootedCON 2010] Presentation Transcript

    • iPhone + Botnets = Fun El ascenso y caída de un imperio Autor: David Barroso Congreso de Seguridad ~ Rooted CON’2010
    • Agenda •  Nuestro personaje •  Cómo intentó infectar millones de iPhones – En quién se fijó – Cómo lo hizo – Cómo acabó •  Conclusiones Congreso de Seguridad ~ Rooted CON’2010 2
    • Aviso La presentación contiene datos reales y datos de ciencia-ficción En caso de duda, siga el principio de la Navaja de Occam Congreso de Seguridad ~ Rooted CON’2010 3
    • Nuestro personaje •  Nombre: Homer •  Edad: 38 •  Ocupación: Inspector de Seguridad •  Lugar: Springfield Congreso de Seguridad ~ Rooted CON’2010 4
    • Springfield Shopper Congreso de Seguridad ~ Rooted CON’2010 5
    • Mariposa Congreso de Seguridad ~ Rooted CON’2010
    • Hmmmm Congreso de Seguridad ~ Rooted CON’2010 7
    • Idea Congreso de Seguridad ~ Rooted CON’2010 8
    • Ser el amo de millones de ordenadores Congreso de Seguridad ~ Rooted CON’2010 9
    • Congreso de Seguridad ~ Rooted CON’2010 10
    • Congreso de Seguridad ~ Rooted CON’2010 11
    • Be Cool Congreso de Seguridad ~ Rooted CON’2010 12
    • iPhone e iPad Congreso de Seguridad ~ Rooted CON’2010 13
    • iBoard e iMat Congreso de Seguridad ~ Rooted CON’2010 14
    • iPhone Fuente: Wikipedia Congreso de Seguridad ~ Rooted CON’2010 15
    • Tienda de donuts Congreso de Seguridad ~ Rooted CON’2010 16
    • Encuentro con A-Z Congreso de Seguridad ~ Rooted CON’2010 17
    • Zhiguli Sedan Congreso de Seguridad ~ Rooted CON’2010 18
    • Mercedes SLR Congreso de Seguridad ~ Rooted CON’2010 19
    • ZeuS - Precio •  ZeuS Kit 1.3.4 ($3000 - $4000) – Licencia por hardware •  Backconnect ($1500) •  Firefox form grabber ($2000) •  Soporte Jabber ($500) •  VNC ($10000) •  Windows Vista/Windows 7 ($2000) Congreso de Seguridad ~ Rooted CON’2010 20
    • ZeuS Builder Congreso de Seguridad ~ Rooted CON’2010 21
    • ZeuS no infecta •  Spam •  Drive-by downloads •  Web 2.0 infections •  Pay-per-install •  Falsos codecs Congreso de Seguridad ~ Rooted CON’2010 22
    • Tienda de donuts Congreso de Seguridad ~ Rooted CON’2010 23
    • Ikee Worm •  Primer código malicioso para iPhone •  Ashley Towns, 21 años •  Australia Congreso de Seguridad ~ Rooted CON’2010 24
    • SSH Scanning Congreso de Seguridad ~ Rooted CON’2010 25
    • Ikee Worm •  Ikee iPhone Worm (alpine): “<ikee> Secondly I was quite amazed by the number of people who didn't RTFM and change their default passwords.” •  Segundo iPhone Worm (ohshit!): – Roba información – Es una botnet con dos C&C – Afecta a bancos holandeses – Ya no es sólo un script de prueba sino que tiene un proceso malicioso (sshd) Congreso de Seguridad ~ Rooted CON’2010 26
    • Idea Congreso de Seguridad ~ Rooted CON’2010 27
    • iOrchard iOrchard = Botnet de iPhones Basada en ZeuS Congreso de Seguridad ~ Rooted CON’2010 28
    • Coming soon ZeuS vs iOrchard Congreso de Seguridad ~ Rooted CON’2010 29
    • ZeuS – Conexión al C&C Congreso de Seguridad ~ Rooted CON’2010 30
    • ZeuS – C&C Congreso de Seguridad ~ Rooted CON’2010 31
    • ZeuS – C&C Congreso de Seguridad ~ Rooted CON’2010 32
    • ZeuS – C&C Congreso de Seguridad ~ Rooted CON’2010 33
    • iOrchard– C&C Congreso de Seguridad ~ Rooted CON’2010 34
    • iOrchard– C&C Congreso de Seguridad ~ Rooted CON’2010 35
    • iOrchard– C&C •  Basado en LAMP (como casi todos) •  Fuerte uso de javascript (mootools) Congreso de Seguridad ~ Rooted CON’2010 36
    • ZeuS – Cifrado (antiguo) Congreso de Seguridad ~ Rooted CON’2010 37
    • ZeuS – Cifrado •  ZeuS utiliza el algoritmo RC4 con claves de 256 bytes –  Enviar datos robados –  Contactar con el C&C –  Recibir ordenes •  El fichero de configuración está cifrado con la clave única (unas 1200) Congreso de Seguridad ~ Rooted CON’2010 38
    • iOrchard– Cifrado •  Algoritmos disponibles enum { kCCAlgorithmAES128, kCCAlgorithmDES, CCCrypt(encryptOrDecrypt, kCCAlgorithm3DES, kCCAlgorithmRC4, kCCAlgorithmCAST, kCCOptionPKCS7Padding, kCCAlgorithmRC4, vkey, //"123456789012345678901234", //key kCCKeySizeDES, kCCAlgorithmRC2 vinitVec, //"init Vec", //iv, }; vplainText, //"Your Name", //plainText, plainTextBufferSize, (void *)bufferPtr, bufferPtrSize, &movedBytes); Congreso de Seguridad ~ Rooted CON’2010 39
    • ZeuS – Supervivencia •  HKLMSoftwareMicrosoftWindows NTCurrentVersion Winlogon "Userinit" = "C:WINDOWSsystem32userinit.exe,C: WINDOWSsystem32sdra64.exe •  HKLMSoftwareMicrosoftWindowsCurrentVersionRun "Userinit" = "C:Documents and SettingsuserApplication Datasdra64.exe" Congreso de Seguridad ~ Rooted CON’2010 40
    • iOrchard– Supervivencia •  LaunchDaemons – /System/Library/LaunchDaemons/ <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/ PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>Label</key> <string>com.simpsons.iorchard</string> <key>Program</key> <string>/usr/bin/iorchard</string> <key>StandardErrorPath</key> <string>/dev/null</string> <key>OnDemand</key> <false/> </dict> </plist> Congreso de Seguridad ~ Rooted CON’2010 41
    • ZeuS – Información privada •  Roba credenciales almacenados en el Windows Protected Storage •  Roba certificados X.509 •  Roba credenciales FTP y POP3 •  Roba cookies HTTP y Flash Congreso de Seguridad ~ Rooted CON’2010 42
    • iOrchard– Información privada •  Direcciones de correo – /var/mobile/Library/Preferences/ com.apple.accountsettings.plist •  POP3, IMAP, Gmail, MobileMe, etc. – No está la contraseña (PSKeychainUtilities) •  /private/var/Keychains/keychain-2.db 1||||||||||||||homer@mrx.com||mail.mrx.com|smtp||25||<t?????hT Sj??]6=?|apple Congreso de Seguridad ~ Rooted CON’2010 43
    • iOrchard– Información privada •  SMS – /private/var/mobile/Library/SMS/sms.db sqlite> select * from message; 581|605234312|1268480030|"Hola David, soy Homer. Oye, llamame por favor cuando puedas, vale? Venga, hasta luego." - via SpinVox. Recuerda: DictaSMS es gratis. Solo se cobra al que te llama si te deja msj. |2|0|| 230|0|0|0|0||es|||1|| Congreso de Seguridad ~ Rooted CON’2010 44
    • iOrchard– Información privada •  Llamadas – /System/Library/PrivateFrameworks/ AppSupport.framework/calldata.db – /private/var/mobile/Library/CallHistory/call_history.db sqlite> select * from call; 1357|0097142925822|1268039168|0|5|1659 1358|943324191|1268039290|77|5|-1 1359|+971503515393|1268040783|0|131077|-1 1360|+971333495251|1268040824|810|5|-1 Congreso de Seguridad ~ Rooted CON’2010 45
    • iOrchard– Información privada •  Contactos –  NSArray *people = (NSArray *)ABAddressBookCopyArrayOfAllPeople(addressBoo k); – /private/var/mobile/Library/AddressBook/ AddressBook.sqlitedb sqlite> select * from ABPerson; Congreso de Seguridad ~ Rooted CON’2010 46
    • iOrchard– Información privada •  Eventos y tareas – /private/var/mobile/Library/Calendar/Calendar.sqlitedb sqlite> .tables Alarm OccurrenceCache AlarmChanges OccurrenceCacheDays Attendee Participant AttendeeChanges Recurrence Calendar RecurrenceChanges CalendarChanges Store Event Task EventChanges TaskChanges EventExceptionDate _SqliteDatabaseProperties Congreso de Seguridad ~ Rooted CON’2010 47
    • iOrchard– Información privada •  Redes Wireless – /Library/Preferences/SystemConfiguration/ com.apple.wifi.plist •  SSID_STR •  lastJoined •  lastAutoJoined Congreso de Seguridad ~ Rooted CON’2010 48
    • iOrchard– Información privada •  Datos del teléfono – /var/mobile/Library/Preferences/ com.apple.commcenter.plist •  ICCID, IMSI, SBFormattedPhoneNumber – /var/mobile/Library/Preferences/ com.apple.mobilephone.settings.plist •  call-forwarding-number – /var/mobile/Library/Preferences/ com.apple.mobilephone.plist •  DialerSavedNumber •  AddressBookLastDialedUid Congreso de Seguridad ~ Rooted CON’2010 49
    • iOrchard– Información privada •  Fotografías – /var/mobile/Media/DCIM/100APPLE •  JPG y PNG •  Longitud y latitud Congreso de Seguridad ~ Rooted CON’2010 50
    • iOrchard– Información privada •  Localización geográfica – /var/mobile/Library/Preferences/com.apple.Maps.plist •  UserLocation with date •  /var/mobile/Library/Preferences/ com.apple.preferences.datetime.plist –  Timezone – /var/mobile/Library/Preferences/ com.apple.weather.plist •  Tiempo en ciudades Congreso de Seguridad ~ Rooted CON’2010 51
    • iOrchard– Información privada •  Búsquedas recientes – /var/mobile/Library/Preferences/ com.apple.mobilesafari.plist •  RecentSearches – /var/mobile/Library/Preferences/ com.apple.youtube.plistTimezone •  Bookmarks, History, lastSearch Congreso de Seguridad ~ Rooted CON’2010 52
    • iOrchard– Información privada •  Keyboard Cache – /var/mobile/Library/Keyboard/ •  dynamic-text.dat •  es_ES-dynamic-text.dat •  Imagenes cacheadas •  /private/var/mobile/Library/Caches/Snapshots Congreso de Seguridad ~ Rooted CON’2010 53
    • ZeuS – Robo de credenciales •  Hooks típicos en ring3: wininet.dll ws2_32.dll •  HttpSendRequestW • send •  HttpSendRequestA • sendto • WSASend •  HttpSendRequestExW • WSASendTo •  HttpSendRequestExA • closesocket •  InternetReadFile •  InternetReadFileExW •  InternetReadFileExA •  InternetQueryDataAvailable •  InternetCloseHandle •  HttpQueryInfoA •  HttpQueryInfoW Congreso de Seguridad ~ Rooted CON’2010 54
    • ZeuS – Robo de credenciales •  Hooks típicos en ring3: user32.dll –  GetMessageW –  GetMessageA –  PeekMessageA –  PeekMessageW –  GetClipboardData –  TranslateMessage crypt32.dll –  PFXImportCertStore Congreso de Seguridad ~ Rooted CON’2010 55
    • iOrchard– Robo de credenciales •  Hagamos lo mismo que en los cajeros automáticos Congreso de Seguridad ~ Rooted CON’2010 56
    • iOrchard– Robo de credenciales •  Hagamos lo mismo que en los cajeros automáticos Congreso de Seguridad ~ Rooted CON’2010 57
    • iOrchard– Robo de credenciales •  Teclado en el iPhone – UIKeyboardLayout (UIView) •  UIKeyboardLayoutRoman – UIKeyboardInputManager •  UIKeyboardInputManagerAlphabet (hook predicción) – Para hacer hooks: •  MobileSubstrate –  void MSHookFunction(void* function, void* replacement, void** p_original); Congreso de Seguridad ~ Rooted CON’2010 58
    • ZeuS – Kill OS •  Nethell: –  Borra NTDETECT.COM y ntldr •  InfoStealer: –  Borra drivers*.sys –  Borra algunas claves (HKLMMicrosoftWindows NT CurrentVersionWinlogon: Shell = Explorer.exe •  ZeuS: –  Borra HKCU, HKLMSoftware y HKLMSystem •  Glacial Dracon: –  del /A:S /Q /F C:*.* –  del /S /Q %SYSTEMROOT% %PROGRAMFILES% Congreso de Seguridad ~ Rooted CON’2010 59
    • iOrchard– Kill OS •  rm –rf / Congreso de Seguridad ~ Rooted CON’2010 60
    • iOrchard– Acceso por VNC •  $10000 en ZeuS •  Open Source en iOrchard ($0) •  Integrando Veency, un servidor VNC disponible en Cydia Congreso de Seguridad ~ Rooted CON’2010 61
    • Objetivo conseguido Congreso de Seguridad ~ Rooted CON’2010 62
    • Veamos los resultados Después de varias oleadas de infecciones masivas… … y de una intensa actividad de compra, alquiler y venta Congreso de Seguridad ~ Rooted CON’2010 63
    • ZeuS – ZeusTracker Congreso de Seguridad ~ Rooted CON’2010 64
    • iOrchard– iOrchardTracker Congreso de Seguridad ~ Rooted CON’2010 65
    • Conclusiones •  Hay unos 40 millones de iPhone –  10% jailbreak •  Infección es simple –  Contraseña por defecto •  Acceso total a los datos privados –  Acceso a tu entidad financiera –  Spear phishing •  Conectividad 24x7 •  Copiemos las características de un caso de éxito •  Vigila tu iPod/iPhone/iPad Congreso de Seguridad ~ Rooted CON’2010 66
    • ¿Cómo acabó todo? ¿Qué pasó con Homer y su iOrchard? Congreso de Seguridad ~ Rooted CON’2010 67
    • ¿Cómo acabó todo? Congreso de Seguridad ~ Rooted CON’2010 68
    • ¿Cómo acabó todo? Congreso de Seguridad ~ Rooted CON’2010 69
    • ¿Cómo acabó todo? Congreso de Seguridad ~ Rooted CON’2010 70
    • Gracias a: S21sec e-crime Jay Freeman (saurik) Nicolas Seriot (iPhone privacy) KennyTM (Keyboard hooks) Homer – Matt Groening David Barroso tomac@yersinia.net @lostinsecurity Congreso de Seguridad ~ Rooted CON’2010