Successfully reported this slideshow.
Your SlideShare is downloading. ×

Gremlin Botnets: El club de los poetas muertos

Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Ad
Upcoming SlideShare
Shuabang Botnet
Shuabang Botnet
Loading in …3
×

Check these out next

1 of 27 Ad

Gremlin Botnets: El club de los poetas muertos

Download to read offline

Charla impartida por Chema Alonso en la RootedCON 2020 sobre las Gremlin Botnets. Tienes el artículo completo en la URL: https://www.elladodelmal.com/2020/03/el-club-de-los-poetas-muertos-parte-1.html

Puedes contactar con Chema Alonso en https://www.mypublicinbox.com/ChemaAlonso

Charla impartida por Chema Alonso en la RootedCON 2020 sobre las Gremlin Botnets. Tienes el artículo completo en la URL: https://www.elladodelmal.com/2020/03/el-club-de-los-poetas-muertos-parte-1.html

Puedes contactar con Chema Alonso en https://www.mypublicinbox.com/ChemaAlonso

Advertisement
Advertisement

More Related Content

Similar to Gremlin Botnets: El club de los poetas muertos (20)

More from Chema Alonso (20)

Advertisement

Recently uploaded (20)

Gremlin Botnets: El club de los poetas muertos

  1. 1. El club de los poetas muertos PARTE 1 de 6 Chema Alonso (@ChemaAlonso) (https://www.MyPublicInbox.com/ChemaAlonso)
  2. 2. Hace mucho tiempo…”La FOCA es una Botnet” https://www.elladodelmal.com/2010/12/la-foca-es-una-botnet.html
  3. 3. FOCA BOTNET Command & Control IMG con Payload (Esteganografía) Payload (IP+Command) GET IMG + ANSWER ANSWER Gremlim FOCA
  4. 4. Esteganografía (comandos) Es muy difícil detectar alguna información que está escondida en una imagen pequeña sin reversing.
  5. 5. Gremlin Apps: Cut Rope Christmas
  6. 6. Gremlin Apps: Cut Rope Christmas Es una App que trabaja de manera cordial y fiable hasta que un evento la transforma. La condición de transformación puede ser de diferente tipo: Un evento/dato externo leído, Una actualización del código, Robo de app, Compra de app.
  7. 7. Gremlin Apps: Crecimiento inorgánico (de Battery Saver a Rogue AV) 1.- Volumen 2.- Permisos 3.- Público objetivo https://www.elladodelmal.com/2015/01/la-venta-de- apps-al-cibercrimen.html
  8. 8. Idea de negocio: APT Provider con una botnet de apps • Crear una botnet de Apps maliciosas que accedan a quién eres y te vendan cómo objetivo. • Saber quién tiene instalada esa APP: • Cuentas: Twitter, Facebook, etc… • Número de teléfono: WhatsApp, Telegram, 2FA, Account Recovery. • E-mail: Login. • Saber todo sobre esa persona usando OSINT • Dirty Business Card. • Volver maliciosa tu Gremlin App en un APT Dirigido • Se active solo una instancia de la botnet. • Esteganografía para envío de commandos. • Aprovechamiento de permisos para ejecución de commandos.
  9. 9. Tacyt: Apps en Android & permisos
  10. 10. Permisos para acceso a número de Teléfono • Cuando una aplicación se instala en un teléfono Android, solicita una serie de privilegios de acceso que el usuario debe aprobar • Entre los datos que suelen recolectar este tipo de aplicaciones, deben encontrarse algunos que permitan identificar a la víctima de manera unívoca, de tal manera, que en cualquier momento se pueda realizar un ataque dirigido contra ella • <uses-permission android:name="android.permission.READ_PHONE_STATE"/> • <uses-permission android:name="android.permission.READ_PHONE_NUMBERS "/>
  11. 11. Permisos para acceso a número de Teléfono y cuentas • TelephonyManager es una técnica para acceder al teléfono almacenado en la SIM • AccountsManager puede coger información sensible de otras cuentas (twitter, telegram, google…)
  12. 12. Version Codename API Distribution(%) Total Afectados Gingerbread 10 0,3 61,30 % < 8.0 2.3.3 -2.3.7 Ice Cream Sandwich 15 0,3 4.0.3 -4.0.4 4.1.x Jelly Bean 16 1,2 4.2.x 17 1,5 4.3 18 0,5 4.4 KitKat 19 6,9 5.0 Lollipop 21 3 5.1 22 11,5 6.0 Marshmallow 23 16,9 7.0 Nougat 24 11,4 7.1 25 7,8 8.0 Oreo 26 12,9 8.1 27 15,4 9 Pie 28 10,4 Casi un 62% de dispositivos tienen una versión anterior a Android 8, se puede acceder a datos sensibles de otras cuentas (e-mail, twitter…) Cuota de versiones de Android instalados con acceso a Accounts
  13. 13. ¿Y si no hay permisos? Login con e-mail o Oauth nos vale. • Permite acceder a cuentas e-mail • Oauth: Permie acceder a más datos pero necesitas crear app en Google. NOTA: RootedCON 2016 SAPPO
  14. 14. Dirty Business Card
  15. 15. Gremlin apps: Seleccionando los permisos adecuados permissionName:"android.permission.GET_ACCOUNTS" permissionName:"android.permission.INTERNET" permissionName:"android.permission.READ_EXTERNAL_STORAG E" permissionName:"android.permission.READ_PHONE_STATE" permissionName:"android.permission.ACCESS_NETWORK_STATE
  16. 16. Gremlin apps: Seleccionando los objetivos adecuados
  17. 17. mASAPP. Control de parque de apps en venta
  18. 18. Gremlim Apps: Uso de permisos de forma silenciosa • Nadie sospecha de que una app tenga un permiso si puede asociarle un uso que pueda explicar. • Ej: Metro App pide acceso a cámara para reportar fotos. • Uso coincidente de permisos • Ej: Pokemon Go y toma de fotos. • Infección de compiladores • Ej: XCodeGhost • https://github.com/XcodeGhostSource/XcodeGhost • Modificación de Xcode para inyectar dinámicamente un payload en tiempo de compilación • Afectadas varias aplicaciones en China por no descargar el programa en la web oficial (debido a la ralentización de la red china) y usar un mirror.
  19. 19. Quiz App: Creando nuestra Botnet de Gremlin Apps • Quiz App es un ejemplo. • Quiz App pretende ser un juego de ¿qué te gusta más? • Se comporta de forma racional hasta que algo externo altera su comportamiento. • Se usa esteganografía para “ocultar” los comandos que alteran su comportamiento.
  20. 20. Quizz App: Creando nuestra Botnet de Gremlin Apps Se vuelve maliciosa aquella App que lea un e-mail, Phone # o Twiiter que sea suyo.
  21. 21. Transferencia a través de exfiltración (banner) Quizz App: Creando nuestra Botnet de Gremlin Apps
  22. 22. Quizz App: Creando nuestra Botnet de Gremlin Apps Uso de permisos de forma silenciosa y oportunista en función de uso de persmisos.
  23. 23. “Robando” Apps • ¿Qué ocurre con las cuentas de desarrollador cuando uno se muere? • ¿Cuándo caducan? • ¿Se pueden volver a registrar? • ¿Se puede robar una app? PROVEEDOR EXPIRA Gmail 9 meses* AOL Mail 3 meses FastMail Hasta fin de pago GMX Mail 6 meses o fin de pago Hushmail 3 semanas o hasta fin de pago ICloud Nunca Lycos 1 mes Mail.com 6 meses o hasta fin de pago Mail.ru 6 meses o hasta fin de pago Mailfence 7 meses (gratis) o nunca(versión de pago) Outlook.com (live mail/Hotmail) 270 dias ProtonMail 3 meses Rackspace Hasta final de pago Rediffmail 3 meses Runbox Hasta fin de pago Tutanota Nunca Yahoo! 12 meses Yandex Mail 24 meses Zoho 4 meses o hasta fin de pago
  24. 24. Tacyt: Cuentas de desarrolladores “huérfanas” • Estudio de la cantidad de cuentas de desarrollador con direcciones de e-mail caducadas. • Se pueden volver a registrar y recuperar cuenta de desarrollador Google. • Cuantas instalaciones se ven afectadas. • Para realizar esta prueba de concepto se ha seleccionado un proveedor determinado Outlook, y una muestra de 217 cuentas de correo electrónico distintas. 0 50 100 150 200 250 Cuentas sin caducar Cuentas caducadas Cuentas sin caducar Cuentas caducadas Total 209 8 Cuentas caducadas Outlook
  25. 25. El club de los poetas muertos Cuenta de correo Apps# Nombre de las apps Donloads# XXXXXcolla@outlook.com 12 1.Insta Mirror 1,256,150 2.Insta Face 3.Insta Eyes 4.Face Blender 5.Insta Effects 6.Insta Collage 7.Insta Color 8.Animal Face 9.Insta Frames 10.Photo Shape for Instagram 11.Insta Camera 12.Insta Square XXXXXXloperapps@outlook. com 1 1.Download Video Downloader Free 1,000,000 XXXXXenes@outlook.com 1 1.Imágenes para Whatsapp 1,000,000 XXXXXXnloader@outlook.co m 1 1.IDM+ Download Manager free 500,000 XXXXXtudios@outlook.com 1 1.Super Artie World 500,000 XXXXXkit4u@outlook.com 12 346,200 2.Military Armor Mod Installer 3.Poke Cube Mod Installer 4.Elsa Mod Installer 5.RhanCandia Elevator Installer 6.Instant Structure Mod Instaler 7.Better Lucky Blocks Installer 8.AutomatedCraft Mod Installer 9.Christmas Bosses Mod Installer 10.MineKart Mod Installer 11.Security Camera Mod Installer 12.Morph Victim Mod Installer XXXXXX.sp@outlook.com 1 1.Video player for android 100,000 XXXXXX.rocha@outlook.co m 6 1.Quiz Millonario Español Gratis 152,000 2.Millionaire 3.Millionaire Quiz English 4.Quiz Milionario Italiano 5.Millionnaire Quiz Français 8 cuentas = 4,854,350descargas
  26. 26. El club de los poetas muertos. Toma de control.
  27. 27. Conclusiones & Preguntas • Cada app puede hacer en tu sistema todo lo que los permisos permitan. • La confianza en las compañías detrás es relevante. • Gestionar la seguridad de los ejecutivos/empleados de una empresa implica gestionar la seguridad del parque de apps que se instalan en sus dispositivos. • Toda app puede volverse maliciosa por: • Un desarrollador malicioso • La app es vulnerable • La app se vende • La app se roba https://www.mypublicinbox.com/ChemaAlonso

×