0
UnderCrime: La verdadera visión v 1.5
   (abramos la Jaula de Faraday)




  Epoch: 1268931600
  Localización: 40.4521,-36...
Speaker
         Ponente:     Juan Carlos Ruiloba Castilla
         Email:       juancrui@metodo3.es

         • Veintioch...
Truth is not single real, also can be digital!
                     © jU4n(rU1




18 de marzo de 2010                    ...
Presentemos la escena




18 de marzo de 2010                           4
Acto 1
     Vladimir contacta con Tyagunova través del chat de la Red
     Social love.mail.ru. Vladimir le ofrece la posi...
Acto 2
     Manuel se baja de Internet por P2P la última versión de un paquete de Ofimática
     con Keygen/Patch incluido...
Acto 2
     Y ejecuta el Keygen pese al aviso de seguridad de su Soft de seguridad, si el
     malware no fuera 0-day (Zer...
Acto 3
     Fabián, al cuál tiene problemas con el pago de la hipoteca, recibe un email
     ofreciéndole una oferta de tr...
Acto 3
     Fabián visita la página de la empresa ofertante y rellena los formularios previos al
     contrato.




18 de ...
Acto 3
     Fabián visita la página de la empresa ofertante y ve que tiene que cumplimentar
     unos formularios con su i...
Acto 3
     Fabián los cumplimenta y los envía




18 de marzo de 2010                                11
Acto 4
     A Ilva le ofrecen en Moscú unos cuantos rublos por recoger envíos de dinero desde
     Europa




18 de marzo ...
Acto 5
     Aleksei trabaja de programador en San Petersburgo, desarrolla un multiportal
     multibancario, además de var...
Acto 6
     Victor recibe un email publicitario sobre “little girls”




18 de marzo de 2010                              ...
Acto 6
     El Hiperenlace realmente es inapropiado




18 de marzo de 2010                            15
Acto 6
     … y 30 Gb si te unes




18 de marzo de 2010                  16
Acto 6
     Debes efectuar un pago




18 de marzo de 2010                    17
Acto 6
     Y recibes tus credenciales para acceder, pero observemos un detalle… lugar y
     regalo!!!




18 de marzo de...
Acto 7
     Vasiliy monta una empresa de servicios por Internet con sede en Lloret de Mar




18 de marzo de 2010         ...
Acto 7
     Los pagos de los accesos a las páginas inapropiadas se blanqueaban como licencias
     de software




18 de m...
Acto 7
     Otros dominios estaban también preparados




18 de marzo de 2010                              21
Acto 8
     Mariya viaja a Barcelona y con documentación falsa abre varias cuentas bancarias




18 de marzo de 2010      ...
Acto 9
     Juan que tiene un WebSite de su negocio se da cuenta que sus comunicaciones por
     eMail no funciona correct...
Acto 9
     Bajo el dominio de Juan están alojadas las páginas iniciales de Pornografía Infantil




18 de marzo de 2010  ...
Acto 9
     Dichas páginas llevan a dominios distintos pero de temática similar




               PureLola.CN - Pure Chil...
Acto 9
     Donde , a su vez, ofrecen la posibilidad de subscripción para acceder a las imágenes




18 de marzo de 2010  ...
Y ahora hay que empezar a mirar detrás del
   telón




18 de marzo de 2010                         27
El desenlace
     A Tyagunova, la del chat de mail.ru, le comunican por ICQ que tiene una
     transferencia en su cuenta ...
El desenlace
     El dinero transferido lo envía a Rusia




18 de marzo de 2010                              29
El desenlace
     Tyagunova después de su detención explica el origen




18 de marzo de 2010                             ...
El desenlace
     Del mismo modo Fabián, el de la hipoteca, recibe por email la comunicación de un
     ingreso




      ...
El desenlace
     Mariya, la ucraniana de varias filiaciones, se dirige a varias oficinas a sacar dinero




18 de marzo d...
El desenlace
     Ilva, recibe en Rusia unas cuantas transferencias




18 de marzo de 2010                               ...
El desenlace
     Víctor, el de las páginas de Porno, se descubre que su cuenta bancaria la han
     realizado varias tran...
El desenlace
     Las transferencias han sido realizadas por Internet, y han ido a Tyagunova, Fabian
     y a Nataliya.

 ...
El desenlace
     El “digital forensic” de las máquinas de Manuel y Fabián nos demuestran que las
     mismas están compro...
El desenlace
     Las páginas que alojaba el malware, así como los correos electrónicos enviados por
     la organización ...
Servidor DNS Root
                                       Double Flux
                                                     ...
Hydra Flux
                                             Topología Multi-Server
                                           ...
Mitigación
1.     Establecer políticas para permitir el bloqueo de TCP 80 y UDP 53 si
       es posible en redes user-land...
El desenlace
     Como los S.A. y los Register se involucran en el Crimen




18 de marzo de 2010                         ...
El desenlace
     Se entre enlaza toda la actividad




18 de marzo de 2010                              42
El desenlace
     Se entre enlaza toda la actividad




18 de marzo de 2010                              43
Botnets
       Seguimientos de BotNets. Fuentes sacadas de M86 Security Labs
                                             ...
Botnets
      Top Ten Botnets




       ZeuS = Zbot = WSNPOEM = NTOS = PRG: precio aproximado 4000 $ por copia
       ¿Có...
Botnets
    Spy Eye v1.0: Nuevo producto que nace en Rusia
    (“magic”) aparece el 2 de enero de 2010.




18 de marzo de...
Capacidades                              Botnets
     •   FormGrabbing: Keylogging avanzado que intercepta información en ...
Botnets




                         Precio última versión,
                         662 euros con gastos

   Detección ca...
Botnets
     Se dice          pero suele pasar




18 de marzo de 2010                      49
Zeus Botnet 1.2.7.8   Botnets




18 de marzo de 2010               50
Zeus Botnet 1.2.7.8   Botnets




18 de marzo de 2010               51
Botnets




18 de marzo de 2010             52
Zeus Tracker




18 de marzo de 2010                  53
Zeus Tracker




18 de marzo de 2010                  54
Zeus Tracker




18 de marzo de 2010                  55
Zeus Tracker




18 de marzo de 2010                  56
Si no nos        Zero-Day
     adelantamos…




18 de marzo de 2010              57
Scareware
    Falsos
    positivos…




                                  … con el mismo
                                 ...
Blended Threat
    Mezcla de amenazas

                         Múltiple amenaza en un solo vector, un troyano que tiene c...
Direct Message (DM) y Twiter Bots
    Scam en Direct Message en Redes sociales como Twiter




                           ...
Soft malicioso




18 de marzo de 2010                    61
FlashForward
        Crecimiento
        del Pharming                  Evolución
        atacando las                     ...
Soluciones
     Las soluciones están en crear Grupos de trabajos orientados en un objetivo común

                        ...
DUDAS




18 de marzo de 2010           64
Upcoming SlideShare
Loading in...5
×

Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]

2,307

Published on

En esta ponencia se intentará sacar a relucir que a veces acotamos demasiado los problemas, dividiendolos en subproblemas para resolverlos más fácilmente y con ello perdemos la visión real.

Las redes delincuenciales aplican esta misma técnica contra nosotros para llevarnos a su camino por saturación de complejidad, “Divide et impera” (D&V), incrementando la sofisticación y planteando múltiples problemas, múltiples objetivos, múltiples sistemas de enmascaramiento, múltiples países destinatarios de los ataques, múltiples hechos delictivos, múltiples orígenes de ataques, múltiples factores que damos como premisas validas que luego se convierten el falseadores de los resultados.

No olvidemos que entre esa multiplicidad delincuencial se encuentra la Pornografía Infantil, y que esos menores son reales y nos debemos a ellos, por muchas técnicas que empleen (Hydra Flux, Botnets, 0days, Scareware, Blended Threats, DM y otra muchas que aparecerán). Así que estamos obligados, por los menores, a que la guerra Hacker Vs.Hacker se decante en el lado del bien.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,307
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
198
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]"

  1. 1. UnderCrime: La verdadera visión v 1.5 (abramos la Jaula de Faraday) Epoch: 1268931600 Localización: 40.4521,-36927
  2. 2. Speaker Ponente: Juan Carlos Ruiloba Castilla Email: juancrui@metodo3.es • Veintiocho años en las Fuerzas y Cuerpos de Seguridad del Estado (CNP), de los que los últimos veintiséis años ha estado relacionado con las Nuevas Tecnologías y los últimos siete años como responsable del Grupo de Cibercrimen de Barcelona. • Actualmente, en segunda actividad dentro del CNP, se ha vinculado, para desempeñar su labor de Investigación Tecnológica, a la empresa Método 3. 18 de marzo de 2010 2
  3. 3. Truth is not single real, also can be digital! © jU4n(rU1 18 de marzo de 2010 3
  4. 4. Presentemos la escena 18 de marzo de 2010 4
  5. 5. Acto 1 Vladimir contacta con Tyagunova través del chat de la Red Social love.mail.ru. Vladimir le ofrece la posibilidad de trabajar para una empresa de Soft desde España 18 de marzo de 2010 5
  6. 6. Acto 2 Manuel se baja de Internet por P2P la última versión de un paquete de Ofimática con Keygen/Patch incluido 18 de marzo de 2010 6
  7. 7. Acto 2 Y ejecuta el Keygen pese al aviso de seguridad de su Soft de seguridad, si el malware no fuera 0-day (Zero day) se hubiese infectado del mismo modo. 18 de marzo de 2010 7
  8. 8. Acto 3 Fabián, al cuál tiene problemas con el pago de la hipoteca, recibe un email ofreciéndole una oferta de trabajo 18 de marzo de 2010 8
  9. 9. Acto 3 Fabián visita la página de la empresa ofertante y rellena los formularios previos al contrato. 18 de marzo de 2010 9
  10. 10. Acto 3 Fabián visita la página de la empresa ofertante y ve que tiene que cumplimentar unos formularios con su información 18 de marzo de 2010 10
  11. 11. Acto 3 Fabián los cumplimenta y los envía 18 de marzo de 2010 11
  12. 12. Acto 4 A Ilva le ofrecen en Moscú unos cuantos rublos por recoger envíos de dinero desde Europa 18 de marzo de 2010 12
  13. 13. Acto 5 Aleksei trabaja de programador en San Petersburgo, desarrolla un multiportal multibancario, además de varios keygens 18 de marzo de 2010 13
  14. 14. Acto 6 Victor recibe un email publicitario sobre “little girls” 18 de marzo de 2010 14
  15. 15. Acto 6 El Hiperenlace realmente es inapropiado 18 de marzo de 2010 15
  16. 16. Acto 6 … y 30 Gb si te unes 18 de marzo de 2010 16
  17. 17. Acto 6 Debes efectuar un pago 18 de marzo de 2010 17
  18. 18. Acto 6 Y recibes tus credenciales para acceder, pero observemos un detalle… lugar y regalo!!! 18 de marzo de 2010 18
  19. 19. Acto 7 Vasiliy monta una empresa de servicios por Internet con sede en Lloret de Mar 18 de marzo de 2010 19
  20. 20. Acto 7 Los pagos de los accesos a las páginas inapropiadas se blanqueaban como licencias de software 18 de marzo de 2010 20
  21. 21. Acto 7 Otros dominios estaban también preparados 18 de marzo de 2010 21
  22. 22. Acto 8 Mariya viaja a Barcelona y con documentación falsa abre varias cuentas bancarias 18 de marzo de 2010 22
  23. 23. Acto 9 Juan que tiene un WebSite de su negocio se da cuenta que sus comunicaciones por eMail no funciona correctamente 18 de marzo de 2010 23
  24. 24. Acto 9 Bajo el dominio de Juan están alojadas las páginas iniciales de Pornografía Infantil 18 de marzo de 2010 24
  25. 25. Acto 9 Dichas páginas llevan a dominios distintos pero de temática similar PureLola.CN - Pure Child Porn galleries!: 18 de marzo de 2010 25
  26. 26. Acto 9 Donde , a su vez, ofrecen la posibilidad de subscripción para acceder a las imágenes 18 de marzo de 2010 26
  27. 27. Y ahora hay que empezar a mirar detrás del telón 18 de marzo de 2010 27
  28. 28. El desenlace A Tyagunova, la del chat de mail.ru, le comunican por ICQ que tiene una transferencia en su cuenta y debe empezar a trabajar 18 de marzo de 2010 28
  29. 29. El desenlace El dinero transferido lo envía a Rusia 18 de marzo de 2010 29
  30. 30. El desenlace Tyagunova después de su detención explica el origen 18 de marzo de 2010 30
  31. 31. El desenlace Del mismo modo Fabián, el de la hipoteca, recibe por email la comunicación de un ingreso Saca la parte a enviar y el resto lo envía 18 de marzo de 2010 31
  32. 32. El desenlace Mariya, la ucraniana de varias filiaciones, se dirige a varias oficinas a sacar dinero 18 de marzo de 2010 32
  33. 33. El desenlace Ilva, recibe en Rusia unas cuantas transferencias 18 de marzo de 2010 33
  34. 34. El desenlace Víctor, el de las páginas de Porno, se descubre que su cuenta bancaria la han realizado varias transferencias 18 de marzo de 2010 34
  35. 35. El desenlace Las transferencias han sido realizadas por Internet, y han ido a Tyagunova, Fabian y a Nataliya. La dirección IP de las transferencias identifican un domicilio … el de Manuel, aquél que se descargo el Soft de ofimática 18 de marzo de 2010 35
  36. 36. El desenlace El “digital forensic” de las máquinas de Manuel y Fabián nos demuestran que las mismas están comprometidas con malware 18 de marzo de 2010 36
  37. 37. El desenlace Las páginas que alojaba el malware, así como los correos electrónicos enviados por la organización se han realizado a través de Mothership de redes zombies. 18 de marzo de 2010 37
  38. 38. Servidor DNS Root Double Flux 2 12 Home PC Servidor .com conecta a TLD (Top www.malware.com Level Domain) 9 1 10 4 3 5 11 PC de la red RED BOTNET BotNet en NODO MotherShip (miles de PC’s) funciones de que en Double Flux servidor DNS funciona como 8 controlador de los PC’s de la BotNet MotherShip devuelve IP: A.B.C.D como de servidor DNS 7 6 18 de marzo de 2010 Interroga al Servidor DNS del MotherShip 38
  39. 39. Hydra Flux Topología Multi-Server Mothership MÁQUINAS ZOMBIES Proxys Name Servers Ordenador Víctima 18 de marzo de 2010
  40. 40. Mitigación 1. Establecer políticas para permitir el bloqueo de TCP 80 y UDP 53 si es posible en redes user-land. (Por los ISPs) 2. Bloquear el acceso al controlador de la infraestructura (mothership, registro y verificación de disponibilidad), en cuanto sean descubiertos. (ISPs) 3. Mejorar los procedimientos de registro de dominio, y la auditoría de nuevos registros para fines fraudulentos. (Registradores) 4. Aumentar la conciencia proveedor de servicios, fomentar el conocimiento de las amenaza, los procesos compartidos y conocimientos. (ISPs) 5. BH-DNS (Blackhole DNS) e inyección de rutas BGP para cargarse a los motherships y el mantenimiento de la infraestructura. (ISPs) 6. Captura y seguimiento pasivo DNS / supervisión para identificar los registros A y NS para detectar anomalías y cambios continuos, registrandolos en Historiales públicos (ISPs, registradores, profesionales de la seguridad, ...) 18 de marzo de 2010 40
  41. 41. El desenlace Como los S.A. y los Register se involucran en el Crimen 18 de marzo de 2010 41
  42. 42. El desenlace Se entre enlaza toda la actividad 18 de marzo de 2010 42
  43. 43. El desenlace Se entre enlaza toda la actividad 18 de marzo de 2010 43
  44. 44. Botnets Seguimientos de BotNets. Fuentes sacadas de M86 Security Labs Rustock = Costrat 1, 3-2 Millones Mega-D = Ozdok 300000-500000 Grum = Tedroo 600000-800000 Pushdo = Cutwail = Pushu = Pandex 1-1.5 Millones Lethic Maazben Bobax = Kraken = Oderoor = Hacktool.spammer Waledac = Waled = Waledpak 200000-300000 80000- 120000 Mariposa Donbot = Buzus Bagle = Beagle = Mitglieder = Lodeight 0.8 – 1.2 Millones 600000-800000 Festi Xarvester = Rlsloup = Pixoliz Srizbi = CbePlay = Exchanger 100000-200000 500000-800000 Gheg = Tofsee = Mondera Oficla Kneber 150000-200000 200000 74000 18 de marzo de 2010 44
  45. 45. Botnets Top Ten Botnets ZeuS = Zbot = WSNPOEM = NTOS = PRG: precio aproximado 4000 $ por copia ¿Cómo combatirlo? SpyEye lo desinstala pero … se instala él => cambio de C&C 18 de marzo de 2010 45
  46. 46. Botnets Spy Eye v1.0: Nuevo producto que nace en Rusia (“magic”) aparece el 2 de enero de 2010. 18 de marzo de 2010 46
  47. 47. Capacidades Botnets • FormGrabbing: Keylogging avanzado que intercepta información en los exploradores, con soporte para Firefox, IE, Maxthon y Netscape. * CC Autofill: Módulo que automatiza el proceso de fraudes de tarjeta de crédito reportando los datos a los botmasters a través de logs. • Panel de Administración PHP-MYSQL * C&C a través de protocolo http , con posibilidad de configurar dos alternativas, así si un dominio es dado de baja puede mantener el control por la ruta alternativa * Envío de backups diarios de la base de datos por email * Cifrado de string-sources del ejecutable * Grabbing para FTP. Total Commander, Notepad++, FileZilla y otros * Grabbing para POP3 * Invisibilidad en la lista de procesos, archivo invisible, invisible en autorun (registro) •Zeus killer (a partir de la versión 1.07) * “Grabbing “Basic-access-authentication”. Mayor apropiación de base de autorización (para aplicaciones que utilizan criptografía. Bibliotecas para núcleos de cifrado) (a partir de la versión 1.072). * Alta capacidad de Inyección-WEB con el formato de Zeus. (Soporta IE5-8, Maxthon, etc) Todo-en-uno bot (En cuanto a la versión anterior, que utiliza un cuentagotas) (a partir de versión 1.08) 18 de marzo de 2010 47
  48. 48. Botnets Precio última versión, 662 euros con gastos Detección casi nula del cuerpo del bot 18 de marzo de 2010 48
  49. 49. Botnets Se dice pero suele pasar 18 de marzo de 2010 49
  50. 50. Zeus Botnet 1.2.7.8 Botnets 18 de marzo de 2010 50
  51. 51. Zeus Botnet 1.2.7.8 Botnets 18 de marzo de 2010 51
  52. 52. Botnets 18 de marzo de 2010 52
  53. 53. Zeus Tracker 18 de marzo de 2010 53
  54. 54. Zeus Tracker 18 de marzo de 2010 54
  55. 55. Zeus Tracker 18 de marzo de 2010 55
  56. 56. Zeus Tracker 18 de marzo de 2010 56
  57. 57. Si no nos Zero-Day adelantamos… 18 de marzo de 2010 57
  58. 58. Scareware Falsos positivos… … con el mismo interes 18 de marzo de 2010 58
  59. 59. Blended Threat Mezcla de amenazas Múltiple amenaza en un solo vector, un troyano que tiene capaacidades de Worm Varios escenarios Única amenaza y múltiples vectores, un troyano entra vía email y apertura una puerta futura para infección y destrucción. 18 de marzo de 2010 59
  60. 60. Direct Message (DM) y Twiter Bots Scam en Direct Message en Redes sociales como Twiter 1- Unfollow todos los seguidores. Menuda opción!!! 2. Desactive su DM eMails. Solo reducirá el número. 3- Utilice un administrador de Twiter. Ayudará a filtrar, como Tweetdeck or Socialite. 4. No lea su DMs. Poner el correo en el fondo del twitter ya que la mayoría de programas utilizados por los spammer no tienen reconocedor de OCR. 5- Bloquear al usuario/s. Hará que al final Twitter le suspenda la cuenta. 6- Bienvenido al hermitaño, haga su Twiter privado 7- Utilice el boton de SPAM, si realmente esta seguro que es un spammer. 18 de marzo de 2010 60
  61. 61. Soft malicioso 18 de marzo de 2010 61
  62. 62. FlashForward Crecimiento del Pharming Evolución atacando las La explosión Ataques a Web: Geogle resoluciones de los nuevos Adobe y Flash Chrome y DNS dominios TLD HTML 5 Ataques a BotNets con niños, control peer-to- adolescentes y peer ancianos Sofisticación de Troyanos bancarios Redes Sociales La disponibilidad en línea de los equipos móviles a través de conexiones WiFi, 3/4G, IPv6 18 de marzo de 2010 62
  63. 63. Soluciones Las soluciones están en crear Grupos de trabajos orientados en un objetivo común Víctimas Vendedores de Software y Hardware Proveedores Telecomunicaciones ISP’s Fuerzas de seguridad del Estado INFORMACIÓN Titulares de IP’s atacadas Equipos de respuesta de Medios de Incidentes - FIRST Comunicación Organizaciones de Informes de Incidentes - CERTs 18 de marzo de 2010 63
  64. 64. DUDAS 18 de marzo de 2010 64
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×