Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON 2012]

1,652 views

Published on

El objetivo de la presentación es el de transmitir al publico, de como funcionan las bandas criminales en internet desde un punto de vista técnico sin dejar de lado una pequeña introducción historica para los asistentes no familiarizados con el mundo del cibercrimen. Durante la presentación se hablara de los proveedores Offshore más activos e situado en Europa del este. Dicho ISP constituye uno de los recursos más activos del Crimeware mediante el cual se distribuyen una importante cantidad de códigos maliciosos, malware, crimepacks, botnets, iframers, tdsSystems y un largo ETC…. El indice de la presentación tendrá una estructura similar a la siguiente:

Un poco de Historia (Breve introducción al cibercrimen)
Infraestructura enumerando máquinas, dominios, etc? (Como tienen montado el chiringuito)
Dibujo de la organización, responsabilidades…(Vamos a mostrar, nombres, responsabilidades,horarios de trabajo)
Donde compran ellos su infraestructura (es realmente offshore??) (sacaremos algún leak que demuestra nuestras sospechas y se verán contrastadas nuestras suposiciones)
¿Que cuesta ser malo? (Kids Don’t do it!) (Cuanto invierte un malote)
Donde venden y compran servicios.
Servicios más relevantes que ofrecen, trafico, vps, vpn, marketplaces, mulas, etc.. (Cual es el éxito de su servicio) ‘lo prueban por su calidad y se quedan por el servicio técnico’
Análisis de los crimewares encontrados más relevantes y conocidos. Los clasicos Spyeye, Zevs, etc….
Análisis de los crimewares más raros y privados encontrados. (Bazar Bizarro)
Conclusiones y agradecimientos.
El contenido de la ponencia será completamente 100% real. se mantendrá la frescura de los datos en exclusiva para la la RootedCon, de está manera está presentación no se volverá a repetir en ningún congreso Por otro lado se sombrearan los datos que se considere que puedan perjudicar y causar un impacto negativo sobre los mismos. Toda la información que se cite durante la ponencia será con fines educacionales y a pesar de los títulos en ningún momento se incitara a cometer actos delictivos. Todos los datos adquiridos han sido fruto de colaboración empresas y autoridades que nos facilitan la publicación de los datos.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,652
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Manu Quintans y Frank Ruiz - All Your Crimeware Are Belong To Us! [RootedCON 2012]

  1. 1. ALL#YOUR#CRIMEWARE#ARE# BELONG#TO#US#Frank#Ruiz#Manu#Quintans#
  2. 2. ¿Quién es Quién? Frank(Ruiz( Crimeware( Researcher,# durante# estos# úlVmos# años# ha# parVcipado# en# diferentes# invesVgaciones# relacionadas# con# el# cibercrimen.# Además# colabora# acVvamente# con# el# grupo# MalwareIntelligence# donde#podemos#encontrar#algunas#de#sus#invesVgaciones.#En#la#actualidad#trabaja#para#la#compañía# Holandesa#Fox`IT#donde#parVcipa#en#las#invesVgaciones#del#departamento#de#cibercrimen.# ( h.p://malwareint.com(( h.p://fox6it.com( Manu(Quintans( Crimeware(Researcher,(Manu#Quintans#es#Crimeware#Researcher#vinculado#desde#ya#hace#muchos# años# a# la# escena# como# colaborador# de# grupos# como# DTFZine(SP),# DC4420# (UK),# HackVmes.com,# MalwareIntelligence#ha#desarrollado#su#experiencia#en#diferentes#sectores#tecnológicos#adquiriendo# conocimientos#en#diversas#disciplinas.## # En#la#actualidad#se#dedica#a#invesVgar#temas#relacionados#con#Phishing,#Malware,#Hacking,#Botnets# en# el# grupo# de# invesVgación# Malware# Intelligence# y# colabora# con# diferentes# compañías# como# InvesVgador#independiente.( h.p://hack3mes.com(6(h.p://malwareint.com(6(h.p://zeroday.es( ( ((((((((((@groove( 2#
  3. 3. Cloud#Tag#
  4. 4. Un#poco#de#historia…# Video(disponible(en:#hcp://x90.es/carders#
  5. 5. Un#poco#de#historia…# Meanwhile#in#Marbella# Video(disponible(en:#hcp://x90.es/badb#
  6. 6. Un#poco#de#historia…#
  7. 7. Un#poco#de#historia…#
  8. 8. Un#poco#de#historia…#
  9. 9. Un#poco#de#historia…#
  10. 10. Un#poco#de#historia…#
  11. 11. Un#poco#de#historia…#
  12. 12. Actualidad#
  13. 13. Estructura# Boss# Consilliere# Underboss# CAPO# CAPO# CAPO# Soldiers# Soldiers# Soldiers#
  14. 14. Estructura# Boss# Consilliere# Underboss# CAPO# CAPO# CAPO# Soldiers# Soldiers# Soldiers#
  15. 15. Estructura# BU#Director# Account#Manager#Partners# Project#Manager# Analyst# Developer# Developer# Developer#
  16. 16. Estructura#Nombre( AIM( Responsabilidad( Horario(Boss# boss@jabb# El#Jefe# 12:00#–#03:00#Xanax# xan@jabb# Departamento#de#compras# 12:00#–#04:00#Fuckyea# amish@jabb# Administración# 16:00#–#06:00#Kmbooo# kmv@jabb# Administración# 12:00#–#22:00#Slammer# suck@mydick…# Administración# 03:00#–#15:00#Vaskoblip# blipp@streevab# I+D+i#y#Contacto#con#los#DC# 11:00#–#00:00#Negoso# kpepe@jobsucker# I+D+i#y#Contacto#con#los#DC# 19:00#–#00:00# #Revieweme# eveve@jabb# Dominios,#Alojamiento## 23:00#–#09:00#Kasper# kas@janb# Desarrollo# 18:00##`#04:00#Support# support@server# Bot#de#soporte# 24h##Vlodov# `````````# Finanzas# 12:00#–#03:00#
  17. 17. Infraestructura#Más#de#400#servidores#Más#de#5.000#Dominios#5Gb#tráfico#por#día/máquina#
  18. 18. Infraestructura# Servicios#de#VPN## La#media#de#trafico#por# servidor#es#de#1TB/Diario.# Servicio#básico#donde#ofrecen# un#2X#VPN#
  19. 19. Infraestructura#Servicios#de#VPN#para#clientes#VIP##La#media#de#trafico#por#servidor#es#de#1TB/Diario.#Aprox..#El#servicio#prestado#es#de#mayor#calidad#ofreciendo#un#número#más#elevado#de#conexiones#y#países.#
  20. 20. Infraestructura# Servicio#de#VPN#Interno# La#media#de#trafico#por# servidor#es#de#….## Nunca(lo(sabremos…(:)( # Servicio#avanzado#para#los# administradores#y#el#staff#de#la# banda#criminal.#
  21. 21. Infraestructura# Red(de(servidores(dedicados(a(Malware(Aproximadamente# unas# 100# máquinas#están# desVnadas# a# la# distribución# y#testeo#de#malware,#venta#y#acVvación#de#licencias.#
  22. 22. Infraestructura#Y#tan#solo#2#máquinas#desVnadas…#a#porno.##:`(#
  23. 23. Infraestructura#¿Qué(cuesta(ser(malo?( Poco….( El(coste(medio(de(un(servidor(de(las(siguientes( caracterís3cas:( Intel#E2160,4GB,(DC29),#2x250GB#SATA2,#1#x#100Mbps#Full`Duplex,#5000#GB# (Standard#network)## Tiene(un(coste(aproximado(de(unos…..( 40(€/ mes( Impuestos(indirectos(incluidos….(
  24. 24. Infraestructura#¿Es realmente offshore?
  25. 25. Infraestructura#
  26. 26. Infraestructura#
  27. 27. Hablemos#de#servicios#
  28. 28. SERVICIOS#¿Dónde#venden#sus#servicios?#
  29. 29. SERVICIOS# Servicios#que#comercializan#HOSTING DEDICATED SERVERS VPSVPN PROGRAMACIÓN CRIMEWARE
  30. 30. SERVICIOS# Servicios#que#comercializan#TRAFICO CLICK FRAUD MARKETPLACESIFRAMES/WEBINJECTS PROXYS/SOCKS/ACCOUNTS BINDERS/CRYPTERS
  31. 31. SERVICIOS# Atención#al#cliente#¿cuál(es(el(éxito(de(estos(servicios?( CUSTOMER SERVICES Buenas,(quiero(contratar(2(servidores(dedicados( Hola,(como(has(conseguido(el(jabber?( me(lo(ha(pasado(mi(colegui(superbotmaster( ok,(que(quieres?( 2(servidores(dedicados(y(rapidito(que(quiero(ser(malote!( cuanto(trafico(vas(a(generar?(y(que(vas(a(alojar( es(para(un(spyeye(con(35k(bots(y(el(otro(para(un(exploit(kit.( cuanto(trafico(para(el(exploit(kit?( 3/5K(diarios,(que(con(la(crisis…(ya(sabes..(( ok,(entonces(el(exploit(kit(si(prefieres(lo(podemos(alojar(en(uno( compar3do(que(saldrá(mas(barato.( Sí(usas(algún(3po(de(backconnect(con(spyeye,(deberías(pensar(en( contratar(un(servidor(solo(para(correr(los(daemons(
  32. 32. Pero#realmente…#¿Qué#hay#dentro?#
  33. 33. CRIMEWARE#MÁS#RELEVANTES# ZEUS#Nuestro#viejo#amigo…# Zevs( FEATURES `#CompaVbilidad#con#Windows# XP,#Vista,#Seven,#2003,#2003R2,# 2008,#2008R2.# `#Backconnect#para##cualquier# servicio#como#FTP,#RDP,# Socks,etc.# `#Intercepción#de#las#peVciones# HTTP#y#HTTPS.# `#Grabber#para#extraer# información#de#los#programas# más#conocidos.# `#Sniffer#que#intercepta#sesiones# POP3#y#FTP.# `#Ejecución#de#scripts#desde#el# panel#de#control.# `#Segregación#en#subbonets.# # MODELO DE COMERCIALIZACIÓN `#Venta#en#foros#privados.# `#Contacto#en#ICQ#o#Jabber.# `#Pagos#a#través#de#Webmoney#y#Liberty#Reserve.##
  34. 34. CRIMEWARE#MÁS#RELEVANTES# C&C#Zeus#
  35. 35. CRIMEWARE#MÁS#RELEVANTES# EstadísVcas#EstadísVcas#a#nivel#mundial#de#Zevs:#( !  ZeuS#C&C#servers#tracked:#641# !  ZeuS#C&C#servers#online:#206# !  ZeuS#C&C#servers#with#files#online:#42# !  ZeuS#FakeURLs#tracked:#13# !  ZeuS#FakeURLs#online:#4# !  Average#ZeuS#binary#AnVvirus#detecVon#rate:#38.48%#Aún#que#nuestros#amigos#los#malotes,#también#se#las#apañan#para#no#ser#detectados#por#abuse.ch#y#su#ZeusTracker.(
  36. 36. CRIMEWARE#MÁS#RELEVANTES#server:~#(cat$zeustracker_block.sh$$#!/bin/bash(#(zeustracker(ips(a=`iptables(9L(9n|grep(62.203.0.0/16`(if([(9n("$a"(](then(( (echo(already(done( (exit(0(Fi(iptables(9I(INPUT(9s(62.203.0.0/16 ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(iptables(9I(INPUT(9s(81.62.0.0/16 ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(iptables(9I(INPUT(9s(85.0.0.0/15( ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(iptables(9I(INPUT(9s(81.63.0.0/16( ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(iptables(9I(INPUT(9s(85.2.0.0/16( ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(iptables(9I(INPUT(9s(83.76.0.0/15 ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(iptables(9I(INPUT(9s(62.202.0.0/16 ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(iptables(9I(INPUT(9s(83.78.0.0/15 ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(iptables(9I(INPUT(9s(85.3.0.0/16( ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP((iptables(9I(INPUT(9s(77.16.27.16( ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(((iptables9save(>(/etc/iptables_rules(server:~#((
  37. 37. CRIMEWARE#MÁS#RELEVANTES# C&C#Ice#IX#
  38. 38. CRIMEWARE#MÁS#RELEVANTES# C&C#Citadel#
  39. 39. CRIMEWARE#MÁS#RELEVANTES# C&C#Zeus#v3##(Murofet)#
  40. 40. CRIMEWARE#MÁS#RELEVANTES# Carberp#Y#que#contar#de#ya#el#olvidado# Carberp( FEATURES   C o m p a V b i l i d a d# c o n# Windows#XP,#Vista#y#7.#   Formgrabber.#   Backconnect#Server.#   Sistema#de#plugins.#   FTP#Grabber.#   Bank#Grabber.#   Password#Grabber.#   WebInjects.#   Hidden#Browser#(VNC).#   Loader.#   Screenshots.#   DDoS.#   MiniAV.# MODELO DE COMERCIALIZACIÓN ¿Privado?#
  41. 41. CRIMEWARE#MÁS#RELEVANTES# C&C#Carberp#
  42. 42. C&C#Carberp#
  43. 43. CRIMEWARE#MÁS#RELEVANTES#
  44. 44. CRIMEWARE#MÁS#RELEVANTES# C&C#Carberp#
  45. 45. CRIMEWARE#MÁS#RELEVANTES# client.vzlom.biz#
  46. 46. CRIMEWARE#MÁS#RELEVANTES# SpyEye#Ojo#con#el#ojo!#También#está## Spyeye( FEATURES `#CompaVbilidad#con#Windows# XP,#Vista,#Seven,#2003,#2003R2,# 2008,#2008R2.# `#Interceptación#peVciones# HTTP#y#HTTPS.# `#RDP,#FTP#y#Socks#Backconnect.# `#WebInjects.# `#WebFakes.# `#Sistema#de#plugins.# `#FTP#&#POP3#Traffic#Sniffer.# `  Kill#Zeus.# MODELO DE COMERCIALIZACIÓN `#Venta#en#foros#privados.# `#Contacto#en#ICQ#o#Jabber.# `#Pagos#a#través#de#Webmoney#y#Liberty#Reserve.#
  47. 47. CRIMEWARE#MÁS#RELEVANTES# Soporte#
  48. 48. CRIMEWARE#MÁS#RELEVANTES# Main#CP#SpyEye#
  49. 49. CRIMEWARE#MÁS#RELEVANTES# Formgrabber#CP#SpyEye#
  50. 50. CRIMEWARE#MÁS#RELEVANTES# EstadísVcas#EstadísVcas#a#nivel#mundial#de#SpyEye:#( !  SpyEye#C&C#servers#tracked:#432# !  SpyEye#C&C#servers#online:#165# !  SpyEye#C&C#server#with#files#online:#15# !  Average#SpyEye#binary#AnVvirus#detecVon:#25.1%#
  51. 51. CRIMEWARE#MÁS#RELEVANTES# Limbo#/#Private#
  52. 52. CRIMEWARE#MÁS#RELEVANTES#Feodo#/#Private#
  53. 53. CRIMEWARE#MÁS#RELEVANTES# Blackhole#Exploit#Kit#Black#is# Blackhole( FEATURES EstadísVcas#muy#detalladas.# Sistema#personalizado#de# widgets.# API#para#el#uso#de#los#AV# Check#más#conocidos.# Sistema#de#TDS#integrado.# MulV#campaña.# Control#de#seguridad#con# blacklists.# GaranVzado#el#FUD#de#los# exploits.# Personalización#de#los# archivos#y#sus#parámetros.# Cada#Thread#con#su#TDS.# MODELO DE COMERCIALIZACIÓN `#Venta#en#foros#privados.# `#Contacto#en#ICQ#o#Jabber.# `#Pagos#a#través#de#Webmoney#y#Liberty#Reserve.#
  54. 54. CRIMEWARE#MÁS#RELEVANTES#
  55. 55. CRIMEWARE#MÁS#RELEVANTES#MODELO DE NEGOCIO DE BH
  56. 56. Video(disponible(en:#hcp://x90.es/mwint#
  57. 57. Conclusiones?# REGULA TU CICLO!NO HABRÁ PAZ PARA LOS MALIGNOS
  58. 58. ROCK## &##ROLL!#
  59. 59. MOMENTO#PWN!#
  60. 60. MOMENTO#PWN!#
  61. 61. MOMENTO#PWN!#
  62. 62. MOMENTO#PWN!#
  63. 63. MOMENTO#PWN!#
  64. 64. Referencias#y#agradecimientos#
  65. 65. ¿………………………………….?#
  66. 66. FIN!#O Mejor dicho… GRACIAS A TODOS!!
  67. 67. ALL#YOUR#CRIMEWARE#ARE# BELONG#TO#US#Manu#Quintans#Frank#Ruiz##

×