David Barroso - Un gentil viaje al interior de las extorsiones mediante DDoS [Rooted CON 2013]

1,553 views

Published on

Cuando leemos alguna noticia sobre denegaciones de ataque distribuido (DDoS) en los últimos años siempre nos viene a la mente Anonymous. Pero la realidad es que muchos grupos están utilizando los ataques de DDoS como medida de extorsión financiera a pequeñas y medianas empresas, haciéndoles la vida imposible en Internet.

Lo más interesante del escenario no sólo es la parte técnica utilizada, sino los métodos y procedimientos utilizados para conseguir sus fines.

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,553
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

David Barroso - Un gentil viaje al interior de las extorsiones mediante DDoS [Rooted CON 2013]

  1. 1. Un gentil viaje alinterior de lasextorsionesmediante DDoS
  2. 2. Telefonicaextorsión.(Del lat. extorsĭo, -ōnis).1. f. Amenaza de pública difamación o daño semejante que se hace contra alguien, a fin de obtener de él dinero u otro provecho.2. f. Presión que, mediante amenazas,se ejerce sobre alguien para obligarlea obrar en determinado sentido.Fuente: RAE
  3. 3. TelefonicaSi no me das 3.000euros atacaremostu web y estarásfuera de internetdurante laspróximassemanas.
  4. 4. Telefonica
  5. 5. Telefonica
  6. 6. Telefonica
  7. 7. Telefonica
  8. 8. Telefonica
  9. 9. Telefonica
  10. 10. Telefonica
  11. 11. Telefonica
  12. 12. Telefonica
  13. 13. Telefonica
  14. 14. Telefonica
  15. 15. Telefonica
  16. 16. Telefonica
  17. 17. Telefonica
  18. 18. Telefonica
  19. 19. Telefonica
  20. 20. Telefonica
  21. 21. Telefonica
  22. 22. Telefonica
  23. 23. Telefonica
  24. 24. Telefonica
  25. 25. Telefonica
  26. 26. Telefonica
  27. 27. Telefonica
  28. 28. Telefonica
  29. 29. Telefonica
  30. 30. TelefonicaEmpresas afectadas• Foros • Salud• Farmacias • Electrónica• Pornografía • Joyas• Automóviles • Lotería• Relojes de • Viajes réplica • Juego online• Juego online • Pymes• Diseño web • Etc.• Deportes
  31. 31. Telefonica
  32. 32. TelefonicaEstadísticas4 meses monitorizando96 C&C Monitorizados23 días de vida media de un C&C3.354 URL atacadas 80 53 Puertos atacados 22 21 3306 110
  33. 33. .si, 1 .ua, 50 .cc, 7 .name, 2 Telefonica.info, 7 .com, 7 Sitios atacados .us, 1 .at, 1 .ch, 1 IP, 209 .tv, 57 .biz, 3 .de, 5 88 .org, 290 .net, .su, 5 .kz, 2.cz, 4 .bg, 4 .ru, 2617
  34. 34. TelefonicaRussKill/DirtJumper/PandoraEnero 2009: RussKillMayo 2011: DirtJumperJulio 2011: DDoS As a Service conDirtJumperAbril 2012: Pandora y Di-BoTNet
  35. 35. Telefonica
  36. 36. TelefonicaRussKill/DirtJumper/PandoraAutor: sokolSocio: †SHYLLER†™Foros: shopworld.biz y damagelab.orgPrecio: $150-$1000Builder (win32) + PHP C&C
  37. 37. TelefonicaRussKill/DirtJumper/PandoraVector de Infección: spam, exploit kits(BlackHole), fake downloads, pay-per-installInfección del sistema:1. Como un servicio de Windows2. En el WinlogonIPv6, AntiVM, AntiDebug, infección porUSB
  38. 38. TelefonicaRussKill/DirtJumper/PandoraComunicación: POST al C&C (variablek)01|300|150http://www.victima.com01 Comando a ejecutar300 Hilos en paralelo150 segundos en ‘calling home’
  39. 39. TelefonicaRussKill/DirtJumperComandos:X1 HTTP FloodX2 Synchronous FloodX3 Downloading FloodX4 POST FloodX5 Multipurpose Flood (light)X6 Multipurpose Flood (full)X=0 IniciarX=1 Parar
  40. 40. TelefonicaPandoraComandos:X1 HTTP MinX2 HTTP DownloadX3 HTTP ComboX4 Socket ConnectX5 Max FloodX=0 IniciarX=1 Parar
  41. 41. Telefonica 05, 2Estadísticas Ataques 04, 74 más utilizados 01, 148 03, 25 02, 17
  42. 42. TelefonicaReferer y User-AgentMozilla/4.0 (compatible; FastCrawler3 support-fastcrawler3 @.No)Mozilla/4.0 (compatible; GPU p2p crawler http://gpu..net /search_engine.php)Mozilla/4.0 (compatible; grub-client-0.3.x; Crawl your own stuffwith http://grub.org)Mozilla/4.0 (compatible; ibisBrowser)Mozilla/4.0 (compatible; IE-Favorites-Check-0.5)Mozilla/4.0 (compatible; KeepNI web site monitor)Mozilla/4.0 (compatible; Lotus-Notes/5.0; Windows-NT)Mozilla/4.0 (compatible; MSIE 4.01; Mac_PowerPC)Mozilla/4.0 (compatible; MSIE 4.01; Vonna.com bot)Mozilla/4.0 (compatible; MSIE 4.01; Windows CE; MSNCompanion 2.0; 800x600; Compaq)
  43. 43. Telefonica
  44. 44. Telefonica
  45. 45. Telefonica
  46. 46. Telefonica
  47. 47. Telefonica
  48. 48. Telefonica
  49. 49. Telefonica
  50. 50. Telefonica
  51. 51. Telefonica
  52. 52. Telefonica
  53. 53. Telefonica
  54. 54. Telefonica
  55. 55. Telefonica
  56. 56. Telefonica
  57. 57. Telefonica
  58. 58. TelefonicaOtros ataques vistosAtaques de Amplificación(DNS, SNMP)R-U-D-YApache KillerSSL RenegotiationXerxes Redes Sociales y TOR
  59. 59. TelefonicaConclusionesNo pagues nuncaBusca protección y asesoramientoDenunciaLa ley obliga a resistir frente a laextorsiónLa persona que extorsiona puedecaerle una pena de 1 a 5 años(artículo 243 del CP )
  60. 60. ¿Preguntas?David Barroso@lostinsecurity

×