Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

iPhone + Botnets = Fun

4,032 views

Published on

A presentation about how an iPhone can easily be converted into a ZeuS-like infected mobile that connects to a C&C and steals your private data.

Published in: Technology
  • Be the first to comment

iPhone + Botnets = Fun

  1. 1. iPhone + Botnets = Fun El ascenso y caída de un imperio Congreso de Seguridad ~ Rooted CON’2010 Autor: David Barroso
  2. 2. Objetivos <ul><li>Conozcamos un poco más a ZeuS </li></ul><ul><li>Comprobemos la privacidad de nuestro iPhone </li></ul><ul><li>Programemos para el iPhone </li></ul><ul><ul><li>Xcode / gcc </li></ul></ul><ul><ul><li>ldid </li></ul></ul><ul><ul><li>Ravel-arm </li></ul></ul><ul><ul><li>Class-dump-z </li></ul></ul><ul><ul><li>Radare2  </li></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  3. 3. La Historia <ul><li>Nuestro personaje </li></ul><ul><li>Cómo intentó infectar millones de iPhones </li></ul><ul><ul><li>En quién se fijó </li></ul></ul><ul><ul><li>Cómo lo hizo </li></ul></ul><ul><ul><li>Cómo acabó </li></ul></ul><ul><li>Conclusiones </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  4. 4. Aviso <ul><li>La presentación contiene datos reales y datos de ciencia-ficción </li></ul><ul><li>En caso de duda, siga el principio de la Navaja de Occam </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  5. 5. Nuestro personaje <ul><li>Nombre: Homer </li></ul><ul><li>Edad: 38 </li></ul><ul><li>Ocupación: Inspector de Seguridad </li></ul><ul><li>Lugar: Springfield </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  6. 6. Springfield Shopper Congreso de Seguridad ~ Rooted CON’2010
  7. 7. Mariposa Congreso de Seguridad ~ Rooted CON’2010
  8. 8. Hmmmm Congreso de Seguridad ~ Rooted CON’2010
  9. 9. Idea Congreso de Seguridad ~ Rooted CON’2010
  10. 10. Ser el amo de millones de ordenadores Congreso de Seguridad ~ Rooted CON’2010
  11. 11. Congreso de Seguridad ~ Rooted CON’2010
  12. 12. Congreso de Seguridad ~ Rooted CON’2010
  13. 13. Be Cool Congreso de Seguridad ~ Rooted CON’2010
  14. 14. iPhone e iPad Congreso de Seguridad ~ Rooted CON’2010
  15. 15. iBoard e iMat Congreso de Seguridad ~ Rooted CON’2010
  16. 16. iPhone Congreso de Seguridad ~ Rooted CON’2010 Fuente: Wikipedia
  17. 17. iPhone Congreso de Seguridad ~ Rooted CON’2010
  18. 18. Tienda de donuts Congreso de Seguridad ~ Rooted CON’2010
  19. 19. Encuentro con A-Z Congreso de Seguridad ~ Rooted CON’2010
  20. 20. Zhiguli Sedan Congreso de Seguridad ~ Rooted CON’2010
  21. 21. Mercedes SLR Congreso de Seguridad ~ Rooted CON’2010
  22. 22. ZeuS - Precio <ul><li>ZeuS Kit 1.3.4 ($3000 - $4000) </li></ul><ul><ul><li>Licencia por hardware </li></ul></ul><ul><li>Backconnect ($1500) </li></ul><ul><li>Firefox form grabber ($2000) </li></ul><ul><li>Soporte Jabber ($500) </li></ul><ul><li>VNC ($10000) </li></ul><ul><li>Windows Vista/Windows 7 ($2000) </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  23. 23. ZeuS Builder Congreso de Seguridad ~ Rooted CON’2010
  24. 24. ZeuS no infecta <ul><li>Spam </li></ul><ul><li>Drive-by downloads </li></ul><ul><li>Web 2.0 infections </li></ul><ul><li>Pay-per-install </li></ul><ul><li>Falsos codecs </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  25. 25. Tienda de donuts Congreso de Seguridad ~ Rooted CON’2010
  26. 26. Ikee Worm <ul><li>Primer código malicioso para iPhone </li></ul><ul><li>Ashley Towns, 21 años </li></ul><ul><li>Australia </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  27. 27. SSH Scanning Congreso de Seguridad ~ Rooted CON’2010
  28. 28. Ikee Worm <ul><li>Ikee iPhone Worm (alpine): </li></ul><ul><ul><li>“ <ikee> Secondly I was quite amazed by the number of people who didn't RTFM and change their default passwords.” </li></ul></ul><ul><li>Segundo iPhone Worm (ohshit!): </li></ul><ul><ul><li>Roba información </li></ul></ul><ul><ul><li>Es una botnet con dos C&C </li></ul></ul><ul><ul><li>Afecta a bancos holandeses </li></ul></ul><ul><ul><li>Ya no es sólo un script de prueba sino que tiene un proceso malicioso (sshd) </li></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  29. 29. Aunque… <ul><li>Libtiff exploit – ImageIO Framework (Tavis Ormandy) </li></ul><ul><ul><li>MobileSafari iPhone Mac OS X (1.00, 1.01, 1.02, 1.1.1) </li></ul></ul><ul><li>SMS Exploit (Charlie Miller & Collin Mulliner) </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  30. 30. Aunque… Congreso de Seguridad ~ Rooted CON’2010
  31. 31. Aunque… Congreso de Seguridad ~ Rooted CON’2010
  32. 32. Idea Congreso de Seguridad ~ Rooted CON’2010
  33. 33. iOrchard <ul><li>iOrchard = Botnet de iPhones </li></ul>Congreso de Seguridad ~ Rooted CON’2010 Basada en ZeuS
  34. 34. Coming soon <ul><li>ZeuS </li></ul><ul><li>vs </li></ul><ul><li>iOrchard </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  35. 35. ZeuS – Conexión al C&C Congreso de Seguridad ~ Rooted CON’2010
  36. 36. ZeuS – C&C Congreso de Seguridad ~ Rooted CON’2010
  37. 37. ZeuS – C&C Congreso de Seguridad ~ Rooted CON’2010
  38. 38. ZeuS – C&C Congreso de Seguridad ~ Rooted CON’2010
  39. 39. ZeuS – Comunicación <ul><li>Binario tiene una clave RC4 de 256 bytes </li></ul><ul><li>Pide su fichero de cfg.bin que está cifrado </li></ul><ul><li>Cifra sus comunicaciones con el C&C con esa clave </li></ul><ul><li>Contacta con gate.php para el envío de datos y recepción de órdenes </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  40. 40. ZeuS – Comunicación Congreso de Seguridad ~ Rooted CON’2010
  41. 41. ZeuS – Comunicación Congreso de Seguridad ~ Rooted CON’2010
  42. 42. Un primer intento <ul><li>A poor man’s Zeus Client </li></ul><ul><li>a.k.a. </li></ul><ul><li>Yet Another Frankestein script </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  43. 43. YAFS Congreso de Seguridad ~ Rooted CON’2010 1. Coge un binario de ZeuSTracker 2. Saca la clave RC4 3. Coge el cfg.bin y descifralo 4. Conecta al C&P como iPhone
  44. 44. Un segundo intento <ul><li>iOrchard </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  45. 45. iOrchard– C&C Congreso de Seguridad ~ Rooted CON’2010
  46. 46. iOrchard– C&C Congreso de Seguridad ~ Rooted CON’2010
  47. 47. iOrchard– C&C Congreso de Seguridad ~ Rooted CON’2010 <ul><li>Basado en LAMP (como casi todos) </li></ul><ul><li>Fuerte uso de javascript (mootools) </li></ul>
  48. 48. ZeuS – Cifrado (antiguo) Congreso de Seguridad ~ Rooted CON’2010
  49. 49. ZeuS – Cifrado <ul><li>ZeuS utiliza el algoritmo RC4 con claves de 256 bytes </li></ul><ul><ul><li>Enviar datos robados </li></ul></ul><ul><ul><li>Contactar con el C&C </li></ul></ul><ul><ul><li>Recibir ordenes </li></ul></ul><ul><li>El fichero de configuración está cifrado con la clave única (unas 1200) </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  50. 50. iOrchard– Cifrado <ul><li>Algoritmos disponibles </li></ul><ul><ul><li>enum { </li></ul></ul><ul><ul><li> kCCAlgorithmAES128, </li></ul></ul><ul><ul><li> kCCAlgorithmDES, </li></ul></ul><ul><ul><li> kCCAlgorithm3DES, </li></ul></ul><ul><ul><li> kCCAlgorithmCAST, </li></ul></ul><ul><ul><li> kCCAlgorithmRC4, </li></ul></ul><ul><ul><li> kCCAlgorithmRC2 </li></ul></ul><ul><ul><li>}; </li></ul></ul>Congreso de Seguridad ~ Rooted CON’2010 CCCrypt(encryptOrDecrypt, kCCAlgorithmRC4, kCCOptionPKCS7Padding, vkey, //&quot;123456789012345678901234&quot;, //key kCCKeySizeDES, vinitVec, //&quot;init Vec&quot;, //iv, vplainText, //&quot;Your Name&quot;, //plainText, plainTextBufferSize, (void *)bufferPtr, bufferPtrSize, &movedBytes);
  51. 51. ZeuS – Supervivencia <ul><li>HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

&quot;Userinit&quot; = &quot;C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32sdra64.exe </li></ul><ul><li>HKLMSoftwareMicrosoftWindowsCurrentVersionRun

&quot;Userinit&quot; = &quot;C:Documents and SettingsuserApplication Datasdra64.exe&quot; </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  52. 52. iOrchard– Supervivencia <ul><li>LaunchDaemons </li></ul><ul><ul><li>/System/Library/LaunchDaemons/ </li></ul></ul><ul><ul><li><?xml version=&quot;1.0&quot; encoding=&quot;UTF-8&quot;?> </li></ul></ul><ul><ul><li><!DOCTYPE plist PUBLIC &quot;-//Apple//DTD PLIST 1.0//EN&quot; &quot;http://www.apple.com/DTDs/PropertyList-1.0.dtd&quot;> </li></ul></ul><ul><ul><li><plist version=&quot;1.0&quot;> </li></ul></ul><ul><ul><li><dict> </li></ul></ul><ul><ul><li><key>Label</key> </li></ul></ul><ul><ul><li><string>com.simpsons.iorchard</string> </li></ul></ul><ul><ul><li><key>Program</key> </li></ul></ul><ul><ul><li><string>/usr/bin/iorchard</string> </li></ul></ul><ul><ul><li><key>StandardErrorPath</key> </li></ul></ul><ul><ul><li><string>/dev/null</string> </li></ul></ul><ul><ul><li><key>OnDemand</key> </li></ul></ul><ul><ul><li><false/> </li></ul></ul><ul><ul><li></dict> </li></ul></ul><ul><ul><li></plist> </li></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  53. 53. ZeuS – Información privada <ul><li>Roba credenciales almacenados en el Windows Protected Storage </li></ul><ul><li>Roba certificados X.509 </li></ul><ul><li>Roba credenciales FTP y POP3 </li></ul><ul><li>Roba cookies HTTP y Flash </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  54. 54. D’oh! <ul><li>INSERT INTO `botnet_reports_100308`(`id`, `bot_id`, `botnet`, `bot_version`, `path_source`, `path_dest`, `time_system`, `time_tick`, `time_localbias`, `os_version`, `language_id`, `process_name`, `process_user`, `type`, `context`, `ipv4`, `country`, `rtime`) VALUES ('4', 'computer_69fdf7_0042159a', '-- default --', '16910849', 'https://www.firstbankofspringfield/CustomerAuthentication/data.aspx?c=c', '', '1268088924', '4718000', '7200', '^E^A( </li></ul><ul><li>^C^A^A', '1033', 'C:rogram Filesnternet Explorerexplore.exe', 'COMPUTER-69FDF7dministrator', '12', 'https://www.firstbankof/CustomerAuthentication/data.aspx?c=c </li></ul><ul><li>Referer: https://www.playboy.com/ </li></ul><ul><li>Keys: https://www.firstbankofspringfield/MyAccounts/MyAccounts.aspx* </li></ul><ul><li>Data: user=nedflanders passwd=1234acme </li></ul><ul><li>pmdata=', '71.212.10.15', 'US', '1268088453'); </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  55. 55. iOrchard– Información privada <ul><li>Direcciones de correo </li></ul><ul><ul><li>/var/mobile/Library/Preferences/com.apple.accountsettings.plist </li></ul></ul><ul><ul><ul><li>POP3, IMAP, Gmail, MobileMe, etc. </li></ul></ul></ul><ul><ul><li>No está la contraseña (PSKeychainUtilities) </li></ul></ul><ul><ul><ul><li>/private/var/Keychains/keychain-2.db </li></ul></ul></ul><ul><ul><ul><li>1||||||||||||||homer@mrx.com||mail.mrx.com|smtp||25||<t?????hT Sj??]6=?|apple </li></ul></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  56. 56. iOrchard– Información privada <ul><li>SMS </li></ul><ul><ul><li>/private/var/mobile/Library/SMS/sms.db </li></ul></ul><ul><ul><li>sqlite> select * from message; </li></ul></ul><ul><ul><li>581|605234312|1268480030|&quot;Hola David, soy Homer. Oye, llamame por favor cuando puedas, vale? Venga, hasta luego.&quot; - via SpinVox. Recuerda: DictaSMS es gratis. Solo se cobra al que te llama si te deja msj. |2|0||230|0|0|0|0||es|||1|| </li></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  57. 57. iOrchard– Información privada <ul><li>Llamadas </li></ul><ul><ul><li>/System/Library/PrivateFrameworks/AppSupport.framework/calldata.db </li></ul></ul><ul><ul><li>/private/var/mobile/Library/CallHistory/call_history.db </li></ul></ul><ul><ul><li>sqlite> select * from call; </li></ul></ul><ul><ul><li>1357|0097142925822|1268039168|0|5|1659 </li></ul></ul><ul><ul><li>1358|943324191|1268039290|77|5|-1 </li></ul></ul><ul><ul><li>1359|+971503515393|1268040783|0|131077|-1 </li></ul></ul><ul><ul><li>1360|+971333495251|1268040824|810|5|-1 </li></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  58. 58. iOrchard– Información privada <ul><li>Contactos </li></ul><ul><ul><li>NSArray *people = (NSArray *)ABAddressBookCopyArrayOfAllPeople(addressBook); </li></ul></ul><ul><ul><li>/private/var/mobile/Library/AddressBook/AddressBook.sqlitedb </li></ul></ul><ul><ul><li>sqlite> select * from ABPerson; </li></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  59. 59. iOrchard– Información privada <ul><li>Eventos y tareas </li></ul><ul><ul><li>/private/var/mobile/Library/Calendar/Calendar.sqlitedb </li></ul></ul><ul><ul><li>sqlite> .tables </li></ul></ul><ul><ul><li>Alarm OccurrenceCache </li></ul></ul><ul><ul><li>AlarmChanges OccurrenceCacheDays </li></ul></ul><ul><ul><li>Attendee Participant </li></ul></ul><ul><ul><li>AttendeeChanges Recurrence </li></ul></ul><ul><ul><li>Calendar RecurrenceChanges </li></ul></ul><ul><ul><li>CalendarChanges Store </li></ul></ul><ul><ul><li>Event Task </li></ul></ul><ul><ul><li>EventChanges TaskChanges </li></ul></ul><ul><ul><li>EventExceptionDate _SqliteDatabaseProperties </li></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  60. 60. iOrchard– Información privada <ul><li>Redes Wireless </li></ul><ul><ul><li>/Library/Preferences/SystemConfiguration/com.apple.wifi.plist </li></ul></ul><ul><ul><ul><li>SSID_STR </li></ul></ul></ul><ul><ul><ul><li>lastJoined </li></ul></ul></ul><ul><ul><ul><li>lastAutoJoined </li></ul></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  61. 61. iOrchard– Información privada <ul><li>Datos del teléfono </li></ul><ul><ul><li>/var/mobile/Library/Preferences/com.apple.commcenter.plist </li></ul></ul><ul><ul><ul><li>ICCID, IMSI, SBFormattedPhoneNumber </li></ul></ul></ul><ul><ul><li>/var/mobile/Library/Preferences/com.apple.mobilephone.settings.plist </li></ul></ul><ul><ul><ul><li>call-forwarding-number </li></ul></ul></ul><ul><ul><li>/var/mobile/Library/Preferences/com.apple.mobilephone.plist </li></ul></ul><ul><ul><ul><li>DialerSavedNumber </li></ul></ul></ul><ul><ul><ul><li>AddressBookLastDialedUid </li></ul></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  62. 62. iOrchard– Información privada <ul><li>Fotografías </li></ul><ul><ul><li>/var/mobile/Media/DCIM/100APPLE </li></ul></ul><ul><ul><ul><li>JPG y PNG </li></ul></ul></ul><ul><ul><ul><li>Longitud y latitud </li></ul></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  63. 63. iOrchard– Información privada <ul><li>Localización geográfica </li></ul><ul><ul><li>/var/mobile/Library/Preferences/com.apple.Maps.plist </li></ul></ul><ul><ul><ul><li>UserLocation with date </li></ul></ul></ul><ul><ul><ul><li>/var/mobile/Library/Preferences/com.apple.preferences.datetime.plist </li></ul></ul></ul><ul><ul><ul><ul><li>Timezone </li></ul></ul></ul></ul><ul><ul><li>/var/mobile/Library/Preferences/com.apple.weather.plist </li></ul></ul><ul><ul><ul><li>Tiempo en ciudades </li></ul></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  64. 64. iOrchard– Información privada <ul><li>Búsquedas recientes </li></ul><ul><ul><li>/var/mobile/Library/Preferences/com.apple.mobilesafari.plist </li></ul></ul><ul><ul><ul><li>RecentSearches </li></ul></ul></ul><ul><ul><li>/var/mobile/Library/Preferences/com.apple.youtube.plistTimezone </li></ul></ul><ul><ul><ul><li>Bookmarks, History, lastSearch </li></ul></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  65. 65. iOrchard– Información privada <ul><li>Keyboard Cache </li></ul><ul><ul><li>/var/mobile/Library/Keyboard/ </li></ul></ul><ul><ul><ul><li>dynamic-text.dat </li></ul></ul></ul><ul><ul><ul><li>es_ES-dynamic-text.dat </li></ul></ul></ul><ul><li>Imagenes cacheadas </li></ul><ul><ul><ul><li>/private/var/mobile/Library/Caches/Snapshots </li></ul></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  66. 66. ZeuS – Robo de credenciales <ul><li>Hooks típicos en ring3 : </li></ul><ul><ul><li>wininet.dll </li></ul></ul><ul><ul><ul><li>HttpSendRequestW </li></ul></ul></ul><ul><ul><ul><li>HttpSendRequestA </li></ul></ul></ul><ul><ul><ul><li>HttpSendRequestExW </li></ul></ul></ul><ul><ul><ul><li>HttpSendRequestExA </li></ul></ul></ul><ul><ul><ul><li>InternetReadFile </li></ul></ul></ul><ul><ul><ul><li>InternetReadFileExW </li></ul></ul></ul><ul><ul><ul><li>InternetReadFileExA </li></ul></ul></ul><ul><ul><ul><li>InternetQueryDataAvailable </li></ul></ul></ul><ul><ul><ul><li>InternetCloseHandle </li></ul></ul></ul><ul><ul><ul><li>HttpQueryInfoA </li></ul></ul></ul><ul><ul><ul><li>HttpQueryInfoW </li></ul></ul></ul>Congreso de Seguridad ~ Rooted CON’2010 <ul><li>ws2_32.dll </li></ul><ul><li>send </li></ul><ul><li>sendto </li></ul><ul><li>WSASend </li></ul><ul><li>WSASendTo </li></ul><ul><li>closesocket </li></ul>
  67. 67. ZeuS – Robo de credenciales <ul><li>Hooks típicos en ring3 : </li></ul><ul><ul><li>user32.dll </li></ul></ul><ul><ul><li>GetMessageW </li></ul></ul><ul><ul><li>GetMessageA </li></ul></ul><ul><ul><li>PeekMessageA </li></ul></ul><ul><ul><li>PeekMessageW </li></ul></ul><ul><ul><li>GetClipboardData </li></ul></ul><ul><ul><li>TranslateMessage </li></ul></ul><ul><ul><li>crypt32.dll </li></ul></ul><ul><ul><li>PFXImportCertStore </li></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  68. 68. iOrchard– Robo de credenciales <ul><li>Hagamos lo mismo que en los cajeros automáticos </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  69. 69. iOrchard– Robo de credenciales <ul><li>Hagamos lo mismo que en los cajeros automáticos </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  70. 70. iOrchard– Robo de credenciales <ul><li>Teclado en el iPhone </li></ul><ul><ul><li>UIKeyboardLayout (UIView) </li></ul></ul><ul><ul><ul><li>UIKeyboardLayoutRoman </li></ul></ul></ul><ul><ul><li>UIKeyboardInputManager </li></ul></ul><ul><ul><ul><li>UIKeyboardInputManagerAlphabet (hook predicción) </li></ul></ul></ul><ul><ul><li>Para hacer hooks: </li></ul></ul><ul><ul><ul><li>MobileSubstrate </li></ul></ul></ul><ul><ul><ul><ul><li>void MSHookFunction(void* function, void* replacement, void** p_original); </li></ul></ul></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  71. 71. ZeuS – Kill OS <ul><li>Nethell: </li></ul><ul><ul><li>Borra NTDETECT.COM y ntldr </li></ul></ul><ul><li>InfoStealer: </li></ul><ul><ul><li>Borra drivers*.sys </li></ul></ul><ul><ul><li>Borra algunas claves (HKLMMicrosoftWindows NTCurrentVersionWinlogon: Shell = Explorer.exe </li></ul></ul><ul><li>ZeuS: </li></ul><ul><ul><li>Borra HKCU, HKLMSoftware y HKLMSystem </li></ul></ul><ul><li>Glacial Dracon: </li></ul><ul><ul><li>del /A:S /Q /F C:.* </li></ul></ul><ul><ul><li>del /S /Q %SYSTEMROOT% %PROGRAMFILES% </li></ul></ul>Congreso de Seguridad ~ Rooted CON’2010
  72. 72. iOrchard– Kill OS <ul><li>rm –rf / </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  73. 73. iOrchard– Acceso por VNC <ul><li>$10000 en ZeuS </li></ul><ul><li>Open Source en iOrchard ($0) </li></ul><ul><li>Integrando Veency, un servidor VNC disponible en Cydia </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  74. 74. Objetivo conseguido Congreso de Seguridad ~ Rooted CON’2010
  75. 75. Veamos los resultados <ul><li>Después de varias oleadas de infecciones masivas… </li></ul><ul><li>… y de una intensa actividad de compra, alquiler y venta </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  76. 76. ZeuS – ZeusTracker Congreso de Seguridad ~ Rooted CON’2010
  77. 77. iOrchard– iOrchardTracker Congreso de Seguridad ~ Rooted CON’2010
  78. 78. Conclusiones <ul><li>Hay unos 40 millones de iPhone </li></ul><ul><ul><li>10% jailbreak </li></ul></ul><ul><li>Infección es simple </li></ul><ul><ul><li>Contraseña por defecto </li></ul></ul><ul><li>Acceso total a los datos privados </li></ul><ul><ul><li>Acceso a tu entidad financiera </li></ul></ul><ul><ul><li>Spear phishing </li></ul></ul><ul><li>Conectividad 24x7 </li></ul><ul><li>Copiemos las características de un caso de éxito </li></ul><ul><li>Vigila tu iPod/iPhone/iPad </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  79. 79. Congreso de Seguridad ~ Rooted CON’2010 ¿Cómo acabó todo? ¿Qué pasó con Homer y su iOrchard?
  80. 80. D’oh! <ul><li>INSERT INTO `botnet_reports_100308`(`id`, `bot_id`, `botnet`, `bot_version`, `path_source`, `path_dest`, `time_system`, `time_tick`, `time_localbias`, `os_version`, `language_id`, `process_name`, `process_user`, `type`, `context`, `ipv4`, `country`, `rtime`) VALUES ('4', 'computer_69fdf7_0042159a', '-- default --', '16910849', 'https://www.firstbankofspringfield/CustomerAuthentication/data.aspx?c=c', '', '1268088924', '4718000', '7200', '^E^A( </li></ul><ul><li>^C^A^A', '1033', 'C:rogram Filesnternet Explorerexplore.exe', 'COMPUTER-69FDF7dministrator', '12', 'https://www.firstbankof/CustomerAuthentication/data.aspx?c=c </li></ul><ul><li>Referer: https://www.playboy.com/ </li></ul><ul><li>Keys: https://www.firstbankofspringfield/MyAccounts/MyAccounts.aspx* </li></ul><ul><li>Data: user=nedflanders passwd=1234acme </li></ul><ul><li>pmdata=', '71.212.10.15', 'US', '1268088453'); </li></ul>Congreso de Seguridad ~ Rooted CON’2010
  81. 81. ¿Cómo acabó todo? Congreso de Seguridad ~ Rooted CON’2010
  82. 82. ¿Cómo acabó todo? Congreso de Seguridad ~ Rooted CON’2010
  83. 83. ¿Cómo acabó todo? Congreso de Seguridad ~ Rooted CON’2010
  84. 84. Gracias a: S21sec e-crime Jay Freeman (saurik) Nicolas Seriot (iPhone privacy) KennyTM (Keyboard hooks) Homer – Matt Groening David Barroso [email_address] Congreso de Seguridad ~ Rooted CON’2010 @ lostinsecurity

×