David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]

iPhone + Botnets = Fun El ascenso y caída de un imperio Autor: David Barroso Congreso de Seguridad ~ Rooted CON’2010

Agenda • Nuestro personaje • Cómo intentó infectar millones de iPhones – En quién se fijó – Cómo lo hizo – Cómo acabó • Conclusiones Congreso de Seguridad ~ Rooted CON’2010 2

Aviso La presentación contiene datos reales y datos de ciencia-ficción En caso de duda, siga el principio de la Navaja de Occam Congreso de Seguridad ~ Rooted CON’2010 3

Nuestro personaje • Nombre: Homer • Edad: 38 • Ocupación: Inspector de Seguridad • Lugar: Springfield Congreso de Seguridad ~ Rooted CON’2010 4

Springfield Shopper Congreso de Seguridad ~ Rooted CON’2010 5

Mariposa Congreso de Seguridad ~ Rooted CON’2010

Hmmmm Congreso de Seguridad ~ Rooted CON’2010 7

Idea Congreso de Seguridad ~ Rooted CON’2010 8

Ser el amo de millones de ordenadores Congreso de Seguridad ~ Rooted CON’2010 9

Congreso de Seguridad ~ Rooted CON’2010 10

Congreso de Seguridad ~ Rooted CON’2010 11

Be Cool Congreso de Seguridad ~ Rooted CON’2010 12

iPhone e iPad Congreso de Seguridad ~ Rooted CON’2010 13

iBoard e iMat Congreso de Seguridad ~ Rooted CON’2010 14

iPhone Fuente: Wikipedia Congreso de Seguridad ~ Rooted CON’2010 15

Tienda de donuts Congreso de Seguridad ~ Rooted CON’2010 16

Encuentro con A-Z Congreso de Seguridad ~ Rooted CON’2010 17

Zhiguli Sedan Congreso de Seguridad ~ Rooted CON’2010 18

Mercedes SLR Congreso de Seguridad ~ Rooted CON’2010 19

ZeuS - Precio • ZeuS Kit 1.3.4 ($3000 - $4000) – Licencia por hardware • Backconnect ($1500) • Firefox form grabber ($2000) • Soporte Jabber ($500) • VNC ($10000) • Windows Vista/Windows 7 ($2000) Congreso de Seguridad ~ Rooted CON’2010 20

ZeuS Builder Congreso de Seguridad ~ Rooted CON’2010 21

ZeuS no infecta • Spam • Drive-by downloads • Web 2.0 infections • Pay-per-install • Falsos codecs Congreso de Seguridad ~ Rooted CON’2010 22

Tienda de donuts Congreso de Seguridad ~ Rooted CON’2010 23

Ikee Worm • Primer código malicioso para iPhone • Ashley Towns, 21 años • Australia Congreso de Seguridad ~ Rooted CON’2010 24

SSH Scanning Congreso de Seguridad ~ Rooted CON’2010 25

Ikee Worm • Ikee iPhone Worm (alpine): “<ikee> Secondly I was quite amazed by the number of people who didn't RTFM and change their default passwords.” • Segundo iPhone Worm (ohshit!): – Roba información – Es una botnet con dos C&C – Afecta a bancos holandeses – Ya no es sólo un script de prueba sino que tiene un proceso malicioso (sshd) Congreso de Seguridad ~ Rooted CON’2010 26

Idea Congreso de Seguridad ~ Rooted CON’2010 27

iOrchard iOrchard = Botnet de iPhones Basada en ZeuS Congreso de Seguridad ~ Rooted CON’2010 28

Coming soon ZeuS vs iOrchard Congreso de Seguridad ~ Rooted CON’2010 29

ZeuS – Conexión al C&C Congreso de Seguridad ~ Rooted CON’2010 30

ZeuS – C&C Congreso de Seguridad ~ Rooted CON’2010 31

iOrchard– C&C Congreso de Seguridad ~ Rooted CON’2010 34

iOrchard– C&C Congreso de Seguridad ~ Rooted CON’2010 35

iOrchard– C&C • Basado en LAMP (como casi todos) • Fuerte uso de javascript (mootools) Congreso de Seguridad ~ Rooted CON’2010 36

ZeuS – Cifrado (antiguo) Congreso de Seguridad ~ Rooted CON’2010 37

ZeuS – Cifrado • ZeuS utiliza el algoritmo RC4 con claves de 256 bytes – Enviar datos robados – Contactar con el C&C – Recibir ordenes • El fichero de configuración está cifrado con la clave única (unas 1200) Congreso de Seguridad ~ Rooted CON’2010 38

iOrchard– Cifrado • Algoritmos disponibles enum { kCCAlgorithmAES128, kCCAlgorithmDES, CCCrypt(encryptOrDecrypt, kCCAlgorithm3DES, kCCAlgorithmRC4, kCCAlgorithmCAST, kCCOptionPKCS7Padding, kCCAlgorithmRC4, vkey, //"123456789012345678901234", //key kCCKeySizeDES, kCCAlgorithmRC2 vinitVec, //"init Vec", //iv, }; vplainText, //"Your Name", //plainText, plainTextBufferSize, (void *)bufferPtr, bufferPtrSize, &movedBytes); Congreso de Seguridad ~ Rooted CON’2010 39

ZeuS – Supervivencia • HKLMSoftwareMicrosoftWindows NTCurrentVersion Winlogon "Userinit" = "C:WINDOWSsystem32userinit.exe,C: WINDOWSsystem32sdra64.exe • HKLMSoftwareMicrosoftWindowsCurrentVersionRun "Userinit" = "C:Documents and SettingsuserApplication Datasdra64.exe" Congreso de Seguridad ~ Rooted CON’2010 40

iOrchard– Supervivencia • LaunchDaemons – /System/Library/LaunchDaemons/ <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/ PropertyList-1.0.dtd"> <plist version="1.0"> <dict> <key>Label</key> <string>com.simpsons.iorchard</string> <key>Program</key> <string>/usr/bin/iorchard</string> <key>StandardErrorPath</key> <string>/dev/null</string> <key>OnDemand</key> <false/> </dict> </plist> Congreso de Seguridad ~ Rooted CON’2010 41

ZeuS – Información privada • Roba credenciales almacenados en el Windows Protected Storage • Roba certificados X.509 • Roba credenciales FTP y POP3 • Roba cookies HTTP y Flash Congreso de Seguridad ~ Rooted CON’2010 42

iOrchard– Información privada • Direcciones de correo – /var/mobile/Library/Preferences/ com.apple.accountsettings.plist • POP3, IMAP, Gmail, MobileMe, etc. – No está la contraseña (PSKeychainUtilities) • /private/var/Keychains/keychain-2.db 1||||||||||||||homer@mrx.com||mail.mrx.com|smtp||25||<t?????hT Sj??]6=?|apple Congreso de Seguridad ~ Rooted CON’2010 43

iOrchard– Información privada • SMS – /private/var/mobile/Library/SMS/sms.db sqlite> select * from message; 581|605234312|1268480030|"Hola David, soy Homer. Oye, llamame por favor cuando puedas, vale? Venga, hasta luego." - via SpinVox. Recuerda: DictaSMS es gratis. Solo se cobra al que te llama si te deja msj. |2|0|| 230|0|0|0|0||es|||1|| Congreso de Seguridad ~ Rooted CON’2010 44

iOrchard– Información privada • Llamadas – /System/Library/PrivateFrameworks/ AppSupport.framework/calldata.db – /private/var/mobile/Library/CallHistory/call_history.db sqlite> select * from call; 1357|0097142925822|1268039168|0|5|1659 1358|943324191|1268039290|77|5|-1 1359|+971503515393|1268040783|0|131077|-1 1360|+971333495251|1268040824|810|5|-1 Congreso de Seguridad ~ Rooted CON’2010 45

iOrchard– Información privada • Contactos – NSArray *people = (NSArray *)ABAddressBookCopyArrayOfAllPeople(addressBoo k); – /private/var/mobile/Library/AddressBook/ AddressBook.sqlitedb sqlite> select * from ABPerson; Congreso de Seguridad ~ Rooted CON’2010 46

iOrchard– Información privada • Eventos y tareas – /private/var/mobile/Library/Calendar/Calendar.sqlitedb sqlite> .tables Alarm OccurrenceCache AlarmChanges OccurrenceCacheDays Attendee Participant AttendeeChanges Recurrence Calendar RecurrenceChanges CalendarChanges Store Event Task EventChanges TaskChanges EventExceptionDate _SqliteDatabaseProperties Congreso de Seguridad ~ Rooted CON’2010 47

iOrchard– Información privada • Redes Wireless – /Library/Preferences/SystemConfiguration/ com.apple.wifi.plist • SSID_STR • lastJoined • lastAutoJoined Congreso de Seguridad ~ Rooted CON’2010 48

iOrchard– Información privada • Datos del teléfono – /var/mobile/Library/Preferences/ com.apple.commcenter.plist • ICCID, IMSI, SBFormattedPhoneNumber – /var/mobile/Library/Preferences/ com.apple.mobilephone.settings.plist • call-forwarding-number – /var/mobile/Library/Preferences/ com.apple.mobilephone.plist • DialerSavedNumber • AddressBookLastDialedUid Congreso de Seguridad ~ Rooted CON’2010 49

iOrchard– Información privada • Fotografías – /var/mobile/Media/DCIM/100APPLE • JPG y PNG • Longitud y latitud Congreso de Seguridad ~ Rooted CON’2010 50

iOrchard– Información privada • Localización geográfica – /var/mobile/Library/Preferences/com.apple.Maps.plist • UserLocation with date • /var/mobile/Library/Preferences/ com.apple.preferences.datetime.plist – Timezone – /var/mobile/Library/Preferences/ com.apple.weather.plist • Tiempo en ciudades Congreso de Seguridad ~ Rooted CON’2010 51

iOrchard– Información privada • Búsquedas recientes – /var/mobile/Library/Preferences/ com.apple.mobilesafari.plist • RecentSearches – /var/mobile/Library/Preferences/ com.apple.youtube.plistTimezone • Bookmarks, History, lastSearch Congreso de Seguridad ~ Rooted CON’2010 52

iOrchard– Información privada • Keyboard Cache – /var/mobile/Library/Keyboard/ • dynamic-text.dat • es_ES-dynamic-text.dat • Imagenes cacheadas • /private/var/mobile/Library/Caches/Snapshots Congreso de Seguridad ~ Rooted CON’2010 53

ZeuS – Robo de credenciales • Hooks típicos en ring3: wininet.dll ws2_32.dll • HttpSendRequestW • send • HttpSendRequestA • sendto • WSASend • HttpSendRequestExW • WSASendTo • HttpSendRequestExA • closesocket • InternetReadFile • InternetReadFileExW • InternetReadFileExA • InternetQueryDataAvailable • InternetCloseHandle • HttpQueryInfoA • HttpQueryInfoW Congreso de Seguridad ~ Rooted CON’2010 54

ZeuS – Robo de credenciales • Hooks típicos en ring3: user32.dll – GetMessageW – GetMessageA – PeekMessageA – PeekMessageW – GetClipboardData – TranslateMessage crypt32.dll – PFXImportCertStore Congreso de Seguridad ~ Rooted CON’2010 55

iOrchard– Robo de credenciales • Hagamos lo mismo que en los cajeros automáticos Congreso de Seguridad ~ Rooted CON’2010 56

iOrchard– Robo de credenciales • Hagamos lo mismo que en los cajeros automáticos Congreso de Seguridad ~ Rooted CON’2010 57

iOrchard– Robo de credenciales • Teclado en el iPhone – UIKeyboardLayout (UIView) • UIKeyboardLayoutRoman – UIKeyboardInputManager • UIKeyboardInputManagerAlphabet (hook predicción) – Para hacer hooks: • MobileSubstrate – void MSHookFunction(void* function, void* replacement, void** p_original); Congreso de Seguridad ~ Rooted CON’2010 58

ZeuS – Kill OS • Nethell: – Borra NTDETECT.COM y ntldr • InfoStealer: – Borra drivers*.sys – Borra algunas claves (HKLMMicrosoftWindows NT CurrentVersionWinlogon: Shell = Explorer.exe • ZeuS: – Borra HKCU, HKLMSoftware y HKLMSystem • Glacial Dracon: – del /A:S /Q /F C:*.* – del /S /Q %SYSTEMROOT% %PROGRAMFILES% Congreso de Seguridad ~ Rooted CON’2010 59

iOrchard– Kill OS • rm –rf / Congreso de Seguridad ~ Rooted CON’2010 60

iOrchard– Acceso por VNC • $10000 en ZeuS • Open Source en iOrchard ($0) • Integrando Veency, un servidor VNC disponible en Cydia Congreso de Seguridad ~ Rooted CON’2010 61

Objetivo conseguido Congreso de Seguridad ~ Rooted CON’2010 62

Veamos los resultados Después de varias oleadas de infecciones masivas… … y de una intensa actividad de compra, alquiler y venta Congreso de Seguridad ~ Rooted CON’2010 63

ZeuS – ZeusTracker Congreso de Seguridad ~ Rooted CON’2010 64

iOrchard– iOrchardTracker Congreso de Seguridad ~ Rooted CON’2010 65

Conclusiones • Hay unos 40 millones de iPhone – 10% jailbreak • Infección es simple – Contraseña por defecto • Acceso total a los datos privados – Acceso a tu entidad financiera – Spear phishing • Conectividad 24x7 • Copiemos las características de un caso de éxito • Vigila tu iPod/iPhone/iPad Congreso de Seguridad ~ Rooted CON’2010 66

¿Cómo acabó todo? ¿Qué pasó con Homer y su iOrchard? Congreso de Seguridad ~ Rooted CON’2010 67

¿Cómo acabó todo? Congreso de Seguridad ~ Rooted CON’2010 68

Gracias a: S21sec e-crime Jay Freeman (saurik) Nicolas Seriot (iPhone privacy) KennyTM (Keyboard hooks) Homer – Matt Groening David Barroso tomac@yersinia.net @lostinsecurity Congreso de Seguridad ~ Rooted CON’2010

http://www.dragonjar.org	196
http://www.slideshare.net	57
http://feeds.feedburner.com	1

David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]

by RootedCON on Mar 28, 2010

Accessibility

Categories

Upload Details

Usage Rights

3 Embeds 254

Statistics

David Barroso - iPhone + Botnets = FUN! [RootedCON 2010] Presentation Transcript