• Save
Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON 2012]
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON 2012]

on

  • 1,452 views

El objetivo de la presentación es el de transmitir al publico, de como funcionan las bandas criminales en internet desde un punto de vista técnico sin dejar de lado una pequeña introducción ...

El objetivo de la presentación es el de transmitir al publico, de como funcionan las bandas criminales en internet desde un punto de vista técnico sin dejar de lado una pequeña introducción historica para los asistentes no familiarizados con el mundo del cibercrimen. Durante la presentación se hablara de los proveedores Offshore más activos e situado en Europa del este. Dicho ISP constituye uno de los recursos más activos del Crimeware mediante el cual se distribuyen una importante cantidad de códigos maliciosos, malware, crimepacks, botnets, iframers, tdsSystems y un largo ETC…. El indice de la presentación tendrá una estructura similar a la siguiente:

Un poco de Historia (Breve introducción al cibercrimen)
Infraestructura enumerando máquinas, dominios, etc? (Como tienen montado el chiringuito)
Dibujo de la organización, responsabilidades…(Vamos a mostrar, nombres, responsabilidades,horarios de trabajo)
Donde compran ellos su infraestructura (es realmente offshore??) (sacaremos algún leak que demuestra nuestras sospechas y se verán contrastadas nuestras suposiciones)
¿Que cuesta ser malo? (Kids Don’t do it!) (Cuanto invierte un malote)
Donde venden y compran servicios.
Servicios más relevantes que ofrecen, trafico, vps, vpn, marketplaces, mulas, etc.. (Cual es el éxito de su servicio) ‘lo prueban por su calidad y se quedan por el servicio técnico’
Análisis de los crimewares encontrados más relevantes y conocidos. Los clasicos Spyeye, Zevs, etc….
Análisis de los crimewares más raros y privados encontrados. (Bazar Bizarro)
Conclusiones y agradecimientos.
El contenido de la ponencia será completamente 100% real. se mantendrá la frescura de los datos en exclusiva para la la RootedCon, de está manera está presentación no se volverá a repetir en ningún congreso Por otro lado se sombrearan los datos que se considere que puedan perjudicar y causar un impacto negativo sobre los mismos. Toda la información que se cite durante la ponencia será con fines educacionales y a pesar de los títulos en ningún momento se incitara a cometer actos delictivos. Todos los datos adquiridos han sido fruto de colaboración empresas y autoridades que nos facilitan la publicación de los datos.

Statistics

Views

Total Views
1,452
Views on SlideShare
1,451
Embed Views
1

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 1

https://si0.twimg.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON 2012] Presentation Transcript

  • 1. ALL#YOUR#CRIMEWARE#ARE# BELONG#TO#US#Frank#Ruiz#Manu#Quintans#
  • 2. ¿Quién es Quién? Frank(Ruiz( Crimeware( Researcher,# durante# estos# úlVmos# años# ha# parVcipado# en# diferentes# invesVgaciones# relacionadas# con# el# cibercrimen.# Además# colabora# acVvamente# con# el# grupo# MalwareIntelligence# donde#podemos#encontrar#algunas#de#sus#invesVgaciones.#En#la#actualidad#trabaja#para#la#compañía# Holandesa#Fox`IT#donde#parVcipa#en#las#invesVgaciones#del#departamento#de#cibercrimen.# ( h.p://malwareint.com(( h.p://fox6it.com( Manu(Quintans( Crimeware(Researcher,(Manu#Quintans#es#Crimeware#Researcher#vinculado#desde#ya#hace#muchos# años# a# la# escena# como# colaborador# de# grupos# como# DTFZine(SP),# DC4420# (UK),# HackVmes.com,# MalwareIntelligence#ha#desarrollado#su#experiencia#en#diferentes#sectores#tecnológicos#adquiriendo# conocimientos#en#diversas#disciplinas.## # En#la#actualidad#se#dedica#a#invesVgar#temas#relacionados#con#Phishing,#Malware,#Hacking,#Botnets# en# el# grupo# de# invesVgación# Malware# Intelligence# y# colabora# con# diferentes# compañías# como# InvesVgador#independiente.( h.p://hack3mes.com(6(h.p://malwareint.com(6(h.p://zeroday.es( ( ((((((((((@groove( 2#
  • 3. Cloud#Tag#
  • 4. Un#poco#de#historia…# Video(disponible(en:#hcp://x90.es/carders#
  • 5. Un#poco#de#historia…# Meanwhile#in#Marbella# Video(disponible(en:#hcp://x90.es/badb#
  • 6. Un#poco#de#historia…#
  • 7. Un#poco#de#historia…#
  • 8. Un#poco#de#historia…#
  • 9. Un#poco#de#historia…#
  • 10. Un#poco#de#historia…#
  • 11. Un#poco#de#historia…#
  • 12. Actualidad#
  • 13. Estructura# Boss# Consilliere# Underboss# CAPO# CAPO# CAPO# Soldiers# Soldiers# Soldiers#
  • 14. Estructura# Boss# Consilliere# Underboss# CAPO# CAPO# CAPO# Soldiers# Soldiers# Soldiers#
  • 15. Estructura# BU#Director# Account#Manager#Partners# Project#Manager# Analyst# Developer# Developer# Developer#
  • 16. Estructura#Nombre( AIM( Responsabilidad( Horario(Boss# boss@jabb# El#Jefe# 12:00#–#03:00#Xanax# xan@jabb# Departamento#de#compras# 12:00#–#04:00#Fuckyea# amish@jabb# Administración# 16:00#–#06:00#Kmbooo# kmv@jabb# Administración# 12:00#–#22:00#Slammer# suck@mydick…# Administración# 03:00#–#15:00#Vaskoblip# blipp@streevab# I+D+i#y#Contacto#con#los#DC# 11:00#–#00:00#Negoso# kpepe@jobsucker# I+D+i#y#Contacto#con#los#DC# 19:00#–#00:00# #Revieweme# eveve@jabb# Dominios,#Alojamiento## 23:00#–#09:00#Kasper# kas@janb# Desarrollo# 18:00##`#04:00#Support# support@server# Bot#de#soporte# 24h##Vlodov# `````````# Finanzas# 12:00#–#03:00#
  • 17. Infraestructura#Más#de#400#servidores#Más#de#5.000#Dominios#5Gb#tráfico#por#día/máquina#
  • 18. Infraestructura# Servicios#de#VPN## La#media#de#trafico#por# servidor#es#de#1TB/Diario.# Servicio#básico#donde#ofrecen# un#2X#VPN#
  • 19. Infraestructura#Servicios#de#VPN#para#clientes#VIP##La#media#de#trafico#por#servidor#es#de#1TB/Diario.#Aprox..#El#servicio#prestado#es#de#mayor#calidad#ofreciendo#un#número#más#elevado#de#conexiones#y#países.#
  • 20. Infraestructura# Servicio#de#VPN#Interno# La#media#de#trafico#por# servidor#es#de#….## Nunca(lo(sabremos…(:)( # Servicio#avanzado#para#los# administradores#y#el#staff#de#la# banda#criminal.#
  • 21. Infraestructura# Red(de(servidores(dedicados(a(Malware(Aproximadamente# unas# 100# máquinas#están# desVnadas# a# la# distribución# y#testeo#de#malware,#venta#y#acVvación#de#licencias.#
  • 22. Infraestructura#Y#tan#solo#2#máquinas#desVnadas…#a#porno.##:`(#
  • 23. Infraestructura#¿Qué(cuesta(ser(malo?( Poco….( El(coste(medio(de(un(servidor(de(las(siguientes( caracterís3cas:( Intel#E2160,4GB,(DC29),#2x250GB#SATA2,#1#x#100Mbps#Full`Duplex,#5000#GB# (Standard#network)## Tiene(un(coste(aproximado(de(unos…..( 40(€/ mes( Impuestos(indirectos(incluidos….(
  • 24. Infraestructura#¿Es realmente offshore?
  • 25. Infraestructura#
  • 26. Infraestructura#
  • 27. Hablemos#de#servicios#
  • 28. SERVICIOS#¿Dónde#venden#sus#servicios?#
  • 29. SERVICIOS# Servicios#que#comercializan#HOSTING DEDICATED SERVERS VPSVPN PROGRAMACIÓN CRIMEWARE
  • 30. SERVICIOS# Servicios#que#comercializan#TRAFICO CLICK FRAUD MARKETPLACESIFRAMES/WEBINJECTS PROXYS/SOCKS/ACCOUNTS BINDERS/CRYPTERS
  • 31. SERVICIOS# Atención#al#cliente#¿cuál(es(el(éxito(de(estos(servicios?( CUSTOMER SERVICES Buenas,(quiero(contratar(2(servidores(dedicados( Hola,(como(has(conseguido(el(jabber?( me(lo(ha(pasado(mi(colegui(superbotmaster( ok,(que(quieres?( 2(servidores(dedicados(y(rapidito(que(quiero(ser(malote!( cuanto(trafico(vas(a(generar?(y(que(vas(a(alojar( es(para(un(spyeye(con(35k(bots(y(el(otro(para(un(exploit(kit.( cuanto(trafico(para(el(exploit(kit?( 3/5K(diarios,(que(con(la(crisis…(ya(sabes..(( ok,(entonces(el(exploit(kit(si(prefieres(lo(podemos(alojar(en(uno( compar3do(que(saldrá(mas(barato.( Sí(usas(algún(3po(de(backconnect(con(spyeye,(deberías(pensar(en( contratar(un(servidor(solo(para(correr(los(daemons(
  • 32. Pero#realmente…#¿Qué#hay#dentro?#
  • 33. CRIMEWARE#MÁS#RELEVANTES# ZEUS#Nuestro#viejo#amigo…# Zevs( FEATURES `#CompaVbilidad#con#Windows# XP,#Vista,#Seven,#2003,#2003R2,# 2008,#2008R2.# `#Backconnect#para##cualquier# servicio#como#FTP,#RDP,# Socks,etc.# `#Intercepción#de#las#peVciones# HTTP#y#HTTPS.# `#Grabber#para#extraer# información#de#los#programas# más#conocidos.# `#Sniffer#que#intercepta#sesiones# POP3#y#FTP.# `#Ejecución#de#scripts#desde#el# panel#de#control.# `#Segregación#en#subbonets.# # MODELO DE COMERCIALIZACIÓN `#Venta#en#foros#privados.# `#Contacto#en#ICQ#o#Jabber.# `#Pagos#a#través#de#Webmoney#y#Liberty#Reserve.##
  • 34. CRIMEWARE#MÁS#RELEVANTES# C&C#Zeus#
  • 35. CRIMEWARE#MÁS#RELEVANTES# EstadísVcas#EstadísVcas#a#nivel#mundial#de#Zevs:#( !  ZeuS#C&C#servers#tracked:#641# !  ZeuS#C&C#servers#online:#206# !  ZeuS#C&C#servers#with#files#online:#42# !  ZeuS#FakeURLs#tracked:#13# !  ZeuS#FakeURLs#online:#4# !  Average#ZeuS#binary#AnVvirus#detecVon#rate:#38.48%#Aún#que#nuestros#amigos#los#malotes,#también#se#las#apañan#para#no#ser#detectados#por#abuse.ch#y#su#ZeusTracker.(
  • 36. CRIMEWARE#MÁS#RELEVANTES#server:~#(cat$zeustracker_block.sh$$#!/bin/bash(#(zeustracker(ips(a=`iptables(9L(9n|grep(62.203.0.0/16`(if([(9n("$a"(](then(( (echo(already(done( (exit(0(Fi(iptables(9I(INPUT(9s(62.203.0.0/16 ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(iptables(9I(INPUT(9s(81.62.0.0/16 ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(iptables(9I(INPUT(9s(85.0.0.0/15( ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(iptables(9I(INPUT(9s(81.63.0.0/16( ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(iptables(9I(INPUT(9s(85.2.0.0/16( ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(iptables(9I(INPUT(9s(83.76.0.0/15 ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(iptables(9I(INPUT(9s(62.202.0.0/16 ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(iptables(9I(INPUT(9s(83.78.0.0/15 ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(iptables(9I(INPUT(9s(85.3.0.0/16( ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP((iptables(9I(INPUT(9s(77.16.27.16( ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(((iptables9save(>(/etc/iptables_rules(server:~#((
  • 37. CRIMEWARE#MÁS#RELEVANTES# C&C#Ice#IX#
  • 38. CRIMEWARE#MÁS#RELEVANTES# C&C#Citadel#
  • 39. CRIMEWARE#MÁS#RELEVANTES# C&C#Zeus#v3##(Murofet)#
  • 40. CRIMEWARE#MÁS#RELEVANTES# Carberp#Y#que#contar#de#ya#el#olvidado# Carberp( FEATURES   C o m p a V b i l i d a d# c o n# Windows#XP,#Vista#y#7.#   Formgrabber.#   Backconnect#Server.#   Sistema#de#plugins.#   FTP#Grabber.#   Bank#Grabber.#   Password#Grabber.#   WebInjects.#   Hidden#Browser#(VNC).#   Loader.#   Screenshots.#   DDoS.#   MiniAV.# MODELO DE COMERCIALIZACIÓN ¿Privado?#
  • 41. CRIMEWARE#MÁS#RELEVANTES# C&C#Carberp#
  • 42. C&C#Carberp#
  • 43. CRIMEWARE#MÁS#RELEVANTES#
  • 44. CRIMEWARE#MÁS#RELEVANTES# C&C#Carberp#
  • 45. CRIMEWARE#MÁS#RELEVANTES# client.vzlom.biz#
  • 46. CRIMEWARE#MÁS#RELEVANTES# SpyEye#Ojo#con#el#ojo!#También#está## Spyeye( FEATURES `#CompaVbilidad#con#Windows# XP,#Vista,#Seven,#2003,#2003R2,# 2008,#2008R2.# `#Interceptación#peVciones# HTTP#y#HTTPS.# `#RDP,#FTP#y#Socks#Backconnect.# `#WebInjects.# `#WebFakes.# `#Sistema#de#plugins.# `#FTP#&#POP3#Traffic#Sniffer.# `  Kill#Zeus.# MODELO DE COMERCIALIZACIÓN `#Venta#en#foros#privados.# `#Contacto#en#ICQ#o#Jabber.# `#Pagos#a#través#de#Webmoney#y#Liberty#Reserve.#
  • 47. CRIMEWARE#MÁS#RELEVANTES# Soporte#
  • 48. CRIMEWARE#MÁS#RELEVANTES# Main#CP#SpyEye#
  • 49. CRIMEWARE#MÁS#RELEVANTES# Formgrabber#CP#SpyEye#
  • 50. CRIMEWARE#MÁS#RELEVANTES# EstadísVcas#EstadísVcas#a#nivel#mundial#de#SpyEye:#( !  SpyEye#C&C#servers#tracked:#432# !  SpyEye#C&C#servers#online:#165# !  SpyEye#C&C#server#with#files#online:#15# !  Average#SpyEye#binary#AnVvirus#detecVon:#25.1%#
  • 51. CRIMEWARE#MÁS#RELEVANTES# Limbo#/#Private#
  • 52. CRIMEWARE#MÁS#RELEVANTES#Feodo#/#Private#
  • 53. CRIMEWARE#MÁS#RELEVANTES# Blackhole#Exploit#Kit#Black#is# Blackhole( FEATURES EstadísVcas#muy#detalladas.# Sistema#personalizado#de# widgets.# API#para#el#uso#de#los#AV# Check#más#conocidos.# Sistema#de#TDS#integrado.# MulV#campaña.# Control#de#seguridad#con# blacklists.# GaranVzado#el#FUD#de#los# exploits.# Personalización#de#los# archivos#y#sus#parámetros.# Cada#Thread#con#su#TDS.# MODELO DE COMERCIALIZACIÓN `#Venta#en#foros#privados.# `#Contacto#en#ICQ#o#Jabber.# `#Pagos#a#través#de#Webmoney#y#Liberty#Reserve.#
  • 54. CRIMEWARE#MÁS#RELEVANTES#
  • 55. CRIMEWARE#MÁS#RELEVANTES#MODELO DE NEGOCIO DE BH
  • 56. Video(disponible(en:#hcp://x90.es/mwint#
  • 57. Conclusiones?# REGULA TU CICLO!NO HABRÁ PAZ PARA LOS MALIGNOS
  • 58. ROCK## &##ROLL!#
  • 59. MOMENTO#PWN!#
  • 60. MOMENTO#PWN!#
  • 61. MOMENTO#PWN!#
  • 62. MOMENTO#PWN!#
  • 63. MOMENTO#PWN!#
  • 64. Referencias#y#agradecimientos#
  • 65. ¿………………………………….?#
  • 66. FIN!#O Mejor dicho… GRACIAS A TODOS!!
  • 67. ALL#YOUR#CRIMEWARE#ARE# BELONG#TO#US#Manu#Quintans#Frank#Ruiz##