[ Botnets 2.0: adquiriendo el control de Internet ]* Getafe, 27 de Octubre 2008 Asegur@IT IV David Barroso, S21sec eCrime ...
Tag cloud <ul><li>b otnets  bullet-proof hosting  infection kits   C&C  P2P cifrado  sandbox  anti-debugging fraude econom...
Tag cloud Asegur@IT IV <ul><li>b otnets  bullet-proof hosting  infection kits   C&C  P2P cifrado  sandbox  anti-debugging ...
Pág.  <Introducción>
Pág.  Botnet Red de activos comprometidos controlados
Pág.  Objetivos
Pág.  1. Robo de información Infecciones web Fraude Espionaje Industrial Control de dominios
Pág.  2. Control de activos DDoS Hosting Pasarela y protección Envío de SPAM
Pág.  3. Otro tipo de daños Defacements ClickFraud Pay per Install Iframe Business Chantajes por cifrado DoS
Pág.  e -crime
Los 10 Factores clave del e-crime <ul><li>Situación de mercado: </li></ul><ul><li>Cada vez somos  más vulnerables  al crim...
La Evolución del e-Crime Pág.
Pág.  <ul><li>Económicos (mass attacks) </li></ul><ul><ul><li>Phishing, pharming, vishing, SMSing, scam </li></ul></ul><ul...
Pág.  </Introducción>
Pág.  Botnets Crash Course
Pág.  <ul><li>Elige tu método  </li></ul><ul><li>d e infección  </li></ul>
Pág.  Pág.  Métodos de infección más comunes <ul><li>Visitando una web </li></ul><ul><ul><li>Vulnerabilidades en navegador...
Pág.  ¿Cómo infecto una web? O  ¿cómo redirijo a los visitantes a la página que yo quiera?
Pág.  MPack Servidor Web legítimo (www.midominio. com ) Panel Control de Exploits Panel Control de Botnets Elexploit hace ...
Pág.  Primera opción Dificultad: fácil
Pág.
Pág.
Pág.  SQL Injection Dificultad: fácil
Pág.
Pág.
Pág.
Pág.
Pág.  Pág.  <ul><li>¿Qué es lo que quiero conseguir? </li></ul><ul><ul><li>¡¡Centra tus esfuerzos!! </li></ul></ul><ul><ul...
Pág.  Segunda opción Dificultad: media
Pág.
Pág.
Pág.
Pág.
Pág.
Pág.
Pág.  <ul><li>Elige tu infection kit </li></ul><ul><li>p referido </li></ul><ul><li>99% LAMP: Linux + Apache + Mysql + PHP...
Pág.
Pág.
Pág.
Pág.
Pág.  <ul><li>Elige tu backend (C&C) </li></ul><ul><li>p referido </li></ul><ul><li>99% LAMP: Linux + Apache + Mysql + PHP...
Pág.
Pág.
Pág.
Pág.
Pág.
Pág.
Pág.
Pág.
Pág.
Pág.
Pág.
Pág.
Pág.
Pág.  <ul><li>Elige tu código maligno </li></ul>
Pág.  Ejemplo típico: Wnspoem
Pág.  Pág.  <ul><li>Ntdll.dll </li></ul><ul><ul><li>NtCreateThread </li></ul></ul><ul><ul><li>LdrLoadDll </li></ul></ul><u...
Pág.  Pág.  <ul><li>wininet.dll </li></ul><ul><ul><li>HttpSendRequestW  </li></ul></ul><ul><ul><li>HttpSendRequestA  </li>...
Pág.  Pág.  <ul><ul><li>http://givui.com/ 3AEFBA86C8B89862 / MGJmlWUXX1Rkf8V+6n7wFFFiJsXRwhy1 </li></ul></ul>Ejemplo comun...
Pág.  <ul><li>Elige tu hosting favorito </li></ul>
Pág.  Pág.  <ul><li>Un poco más caro ($$$) </li></ul><ul><li>Controlado por mafias </li></ul><ul><li>Protegidos por gobier...
Pág.  Resumiendo …
Pág.  <ul><li>Se necesita: </li></ul><ul><li>Método de infección </li></ul><ul><li>Infection kit </li></ul><ul><li>Backend...
Pág.  MaaS??
Pág.  <ul><li>Capas en el modelo MaaS </li></ul><ul><li>Capa de Red (3-4 OSI layer) </li></ul><ul><li>Capa de Aplicación (...
Pág.  Pág.  <ul><li>Evolución: IRC – HTTP- P2P (Storm) </li></ul><ul><li>HA: Fast-flux (single y double) </li></ul><ul><li...
Pág.  ¿Cómo puede afectarme?
Pág.  Pág.  <ul><li>Una botnet puede, entre otras cosas: </li></ul><ul><ul><li>Hacer que infecte a mis visitantes web </li...
Pág.  Pág.  <ul><li>Una botnet puede: </li></ul><ul><ul><li>Pedirme dinero por descrifrar mis archivos (Ransomware) </li><...
Pág.  ¿Cómo puedo protegerme?
Pág.  Pág.  <ul><li>A nivel de máquina: </li></ul><ul><ul><li>Ingress y egress filtering (cortafuegos personal) </li></ul>...
Pág.  Pág.  <ul><li>A nivel de máquina: </li></ul><ul><ul><li>Ingress y egress filtering (cortafuegos personal) </li></ul>...
¿Preguntas?
David Barroso [email_address] http://blog.s21sec.com [ Muchas Gracias ]*
Próxima SlideShare
Cargando en…5
×

Asegúr@IT IV - Botnets 2.0

3.046 visualizaciones

Publicado el

Charla impartida por David Barroso el día 27 de Octubre de 2008 en Getafe (Madrid), dentro del Evento Asegúr@IT IV.

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
3.046
En SlideShare
0
De insertados
0
Número de insertados
1.086
Acciones
Compartido
0
Descargas
0
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Asegúr@IT IV - Botnets 2.0

  1. 1. [ Botnets 2.0: adquiriendo el control de Internet ]* Getafe, 27 de Octubre 2008 Asegur@IT IV David Barroso, S21sec eCrime Director
  2. 2. Tag cloud <ul><li>b otnets bullet-proof hosting infection kits C&C P2P cifrado sandbox anti-debugging fraude economía sumergida phishing pharming spam mulas DDoS iframe business stealth code código malicioso </li></ul>Pág.
  3. 3. Tag cloud Asegur@IT IV <ul><li>b otnets bullet-proof hosting infection kits C&C P2P cifrado sandbox anti-debugging fraude economía sumergida phishing pharming spam mulas DDoS iframe business stealth code </li></ul>Pág. código maligno
  4. 4. Pág. <Introducción>
  5. 5. Pág. Botnet Red de activos comprometidos controlados
  6. 6. Pág. Objetivos
  7. 7. Pág. 1. Robo de información Infecciones web Fraude Espionaje Industrial Control de dominios
  8. 8. Pág. 2. Control de activos DDoS Hosting Pasarela y protección Envío de SPAM
  9. 9. Pág. 3. Otro tipo de daños Defacements ClickFraud Pay per Install Iframe Business Chantajes por cifrado DoS
  10. 10. Pág. e -crime
  11. 11. Los 10 Factores clave del e-crime <ul><li>Situación de mercado: </li></ul><ul><li>Cada vez somos más vulnerables al crimen en Internet, al terrorismo y a las amenazas geopolíticas </li></ul><ul><li>La frecuencia de los incidentes es mayor , así como su sofistificación </li></ul><ul><li>No existe una base legal bien definida </li></ul><ul><li>El carácter distribuido de los incidentes genera problemas de jurisdicción </li></ul><ul><li>No existen estructuras funcionales de cooperación </li></ul><ul><li>Hoy en día los incidentes tienen una responsabilidad difusa </li></ul><ul><li>La concienciación de los usuarios es mínima </li></ul><ul><li>El crimen organizado y el ciberterrorismo cuenta con multitud de recursos </li></ul><ul><li>El anonimato y la facilidad de “operar” en Internet </li></ul><ul><li>Necesitamos nuevas herramientas , servicios y formación para hacer frente a estas amenazas </li></ul>Pág. <ul><li>Uno de cada 3 ordenadores está infectado </li></ul><ul><li>Cada incidente afecta a 20.000 máquinas como media </li></ul>
  12. 12. La Evolución del e-Crime Pág.
  13. 13. Pág. <ul><li>Económicos (mass attacks) </li></ul><ul><ul><li>Phishing, pharming, vishing, SMSing, scam </li></ul></ul><ul><ul><li>Click-fraud </li></ul></ul><ul><ul><li>Pump & Dump </li></ul></ul><ul><ul><li>Iframe and DDoS business </li></ul></ul><ul><li>Religiosos (dirigidos) </li></ul><ul><ul><li>Dinamarca vs mundo islámico </li></ul></ul><ul><li>Políticos (dirigidos/mass) </li></ul><ul><ul><li>USA, China, Corea, Israel, … </li></ul></ul><ul><ul><li>Rusia vs Estonia </li></ul></ul><ul><li>Industriales (dirigidos) </li></ul><ul><ul><li>Ciberespionaje: CEO, secretarias </li></ul></ul>Motivos
  14. 14. Pág. </Introducción>
  15. 15. Pág. Botnets Crash Course
  16. 16. Pág. <ul><li>Elige tu método </li></ul><ul><li>d e infección </li></ul>
  17. 17. Pág. Pág. Métodos de infección más comunes <ul><li>Visitando una web </li></ul><ul><ul><li>Vulnerabilidades en navegadores y sus plugins </li></ul></ul><ul><ul><li>Vulnerabilidades en otros clientes (Acrobat, Winamp, Office, Quicktime, Flash, …) Archivos malignos!!! </li></ul></ul>
  18. 18. Pág. ¿Cómo infecto una web? O ¿cómo redirijo a los visitantes a la página que yo quiera?
  19. 19. Pág. MPack Servidor Web legítimo (www.midominio. com ) Panel Control de Exploits Panel Control de Botnets Elexploit hace que se conecte a otra web para descargar el troyano y contabilizar estadísticas El troyano se conecta con su master Servidor Web de Exploits El atacante compromete una web y le inyecta un iframe Atacante iFRAME El usuario se conecta a una p ágina web normal (con el iframe) Usuario El usuario es redirigido a una web que tiene un exploit para navegadores
  20. 20. Pág. Primera opción Dificultad: fácil
  21. 21. Pág.
  22. 22. Pág.
  23. 23. Pág. SQL Injection Dificultad: fácil
  24. 24. Pág.
  25. 25. Pág.
  26. 26. Pág.
  27. 27. Pág.
  28. 28. Pág. Pág. <ul><li>¿Qué es lo que quiero conseguir? </li></ul><ul><ul><li>¡¡Centra tus esfuerzos!! </li></ul></ul><ul><ul><li>Ejemplo: páginas españolas </li></ul></ul><ul><li>SEO y posicionamiento </li></ul><ul><ul><li>Alexa Ranking </li></ul></ul><ul><li>No todo es infectar </li></ul><ul><ul><li>Muchas veces interesa sólo posicionar </li></ul></ul><ul><ul><li>Típico en comentarios de blogs o foros </li></ul></ul><ul><ul><li>Más peligroso cuando está inyectado en el contenido (ej. <noscript>) </li></ul></ul>A tener en cuenta
  29. 29. Pág. Segunda opción Dificultad: media
  30. 30. Pág.
  31. 31. Pág.
  32. 32. Pág.
  33. 33. Pág.
  34. 34. Pág.
  35. 35. Pág.
  36. 36. Pág. <ul><li>Elige tu infection kit </li></ul><ul><li>p referido </li></ul><ul><li>99% LAMP: Linux + Apache + Mysql + PHP </li></ul>
  37. 37. Pág.
  38. 38. Pág.
  39. 39. Pág.
  40. 40. Pág.
  41. 41. Pág. <ul><li>Elige tu backend (C&C) </li></ul><ul><li>p referido </li></ul><ul><li>99% LAMP: Linux + Apache + Mysql + PHP </li></ul>
  42. 42. Pág.
  43. 43. Pág.
  44. 44. Pág.
  45. 45. Pág.
  46. 46. Pág.
  47. 47. Pág.
  48. 48. Pág.
  49. 49. Pág.
  50. 50. Pág.
  51. 51. Pág.
  52. 52. Pág.
  53. 53. Pág.
  54. 54. Pág.
  55. 55. Pág. <ul><li>Elige tu código maligno </li></ul>
  56. 56. Pág. Ejemplo típico: Wnspoem
  57. 57. Pág. Pág. <ul><li>Ntdll.dll </li></ul><ul><ul><li>NtCreateThread </li></ul></ul><ul><ul><li>LdrLoadDll </li></ul></ul><ul><ul><li>LdrGetProcedureAddress </li></ul></ul><ul><ul><li>NtQueryDirectoryFile </li></ul></ul><ul><li>wsock32.dll </li></ul><ul><ul><li>send </li></ul></ul><ul><ul><li>sendto </li></ul></ul><ul><ul><li>Closesocket </li></ul></ul><ul><li>ws2_32.dll </li></ul><ul><ul><li>send </li></ul></ul><ul><ul><li>sendto </li></ul></ul><ul><ul><li>WSASend </li></ul></ul><ul><ul><li>WSASendTo </li></ul></ul><ul><ul><li>Closesocket </li></ul></ul>Hooks t i picos en el sistema
  58. 58. Pág. Pág. <ul><li>wininet.dll </li></ul><ul><ul><li>HttpSendRequestW </li></ul></ul><ul><ul><li>HttpSendRequestA </li></ul></ul><ul><ul><li>HttpSendRequestExW </li></ul></ul><ul><ul><li>HttpSendRequestExA </li></ul></ul><ul><ul><li>InternetReadFile </li></ul></ul><ul><ul><li>InternetReadFileExW </li></ul></ul><ul><ul><li>InternetReadFileExA </li></ul></ul><ul><ul><li>InternetQueryDataAvailable </li></ul></ul><ul><ul><li>InternetCloseHandle </li></ul></ul><ul><ul><li>HttpQueryInfoA </li></ul></ul><ul><ul><li>HttpQueryInfoW </li></ul></ul><ul><li>user32.dll </li></ul><ul><ul><li>GetMessageW </li></ul></ul><ul><ul><li>GetMessageA </li></ul></ul><ul><ul><li>PeekMessageA </li></ul></ul><ul><ul><li>PeekMessageW </li></ul></ul><ul><ul><li>GetClipboardData </li></ul></ul><ul><li>crypt32.dll </li></ul><ul><ul><li>PFXImportCertStore </li></ul></ul>Hooks t i picos en el sistema (II)
  59. 59. Pág. Pág. <ul><ul><li>http://givui.com/ 3AEFBA86C8B89862 / MGJmlWUXX1Rkf8V+6n7wFFFiJsXRwhy1 </li></ul></ul>Ejemplo comunicación cifrada (Sinowal)
  60. 60. Pág. <ul><li>Elige tu hosting favorito </li></ul>
  61. 61. Pág. Pág. <ul><li>Un poco más caro ($$$) </li></ul><ul><li>Controlado por mafias </li></ul><ul><li>Protegidos por gobiernos </li></ul><ul><li>Russian Business Network (RBN) </li></ul><ul><li>Hong-Kong, Argentina, Panamá </li></ul><ul><li>Turquía, Rusia, Ucrania, Corea, ... </li></ul><ul><li>No siempre es bueno un blackholing </li></ul><ul><li>Pagos online (WebMoney, MoneyGram, WestFargo, …). Contacto: ICQ </li></ul>Bullet-proof hosting
  62. 62. Pág. Resumiendo …
  63. 63. Pág. <ul><li>Se necesita: </li></ul><ul><li>Método de infección </li></ul><ul><li>Infection kit </li></ul><ul><li>Backend </li></ul><ul><li>Código maligno </li></ul><ul><li>Hosting </li></ul>
  64. 64. Pág. MaaS??
  65. 65. Pág. <ul><li>Capas en el modelo MaaS </li></ul><ul><li>Capa de Red (3-4 OSI layer) </li></ul><ul><li>Capa de Aplicación (7 OSI layer) </li></ul><ul><li>Capa de la infección (client exploits): una posible capa 8 </li></ul><ul><li>Capa cliente(código malicioso que se ejecuta en la máquina infectada): de alguna forma una capa 9 </li></ul>1 2 3 4 Cada capa necesita diferentes herramientas y procedimientos Es necesario correlar toda la información de cada capa para entender la amenaza MaaS: Malware as a Service TODO ESTÁ EN ALQUILER O VENTA
  66. 66. Pág. Pág. <ul><li>Evolución: IRC – HTTP- P2P (Storm) </li></ul><ul><li>HA: Fast-flux (single y double) </li></ul><ul><li>C&C Dinámicos: dominios pseudoaleatorios </li></ul><ul><li>Redes VPN (OpenVPN) </li></ul><ul><li>Proxies inversos (nginx) </li></ul><ul><li>Código malicioso^H^H^H^H^Hgno </li></ul><ul><ul><li>Capacidad de sobrevivir </li></ul></ul><ul><ul><li>Comunicación con su master </li></ul></ul><ul><li>Cifrado: débil (90% XOR) </li></ul><ul><li>Rizando el rizo: Rustock.C (Sept 2007-Mayo 2008) </li></ul>Otros aspectos interesantes
  67. 67. Pág. ¿Cómo puede afectarme?
  68. 68. Pág. Pág. <ul><li>Una botnet puede, entre otras cosas: </li></ul><ul><ul><li>Hacer que infecte a mis visitantes web </li></ul></ul><ul><ul><li>Recibir un DDoS o participar en uno </li></ul></ul><ul><ul><li>Posicionar webs fraudulentas (y que me quiten de los buscadores) </li></ul></ul><ul><ul><li>Hacer que mis máquinas alojen malware, phishing o pornografía infantil </li></ul></ul><ul><ul><li>Utilizar mis máquinas para cometer otros delitos (ej: fraude) </li></ul></ul><ul><ul><li>Utilizar mis máquinas para enviar SPAM </li></ul></ul>¿Cómo puede afectarme?
  69. 69. Pág. Pág. <ul><li>Una botnet puede: </li></ul><ul><ul><li>Pedirme dinero por descrifrar mis archivos (Ransomware) </li></ul></ul><ul><ul><li>Hacer que enriquezca a un tercero (clickfraud) </li></ul></ul><ul><ul><li>Formatear mi sistema operativo </li></ul></ul><ul><ul><li>Hacer que infecte a mis vecinos (ARP Spoofing) </li></ul></ul><ul><ul><li>Hacer que intente infectar masivamente (Internet noise) </li></ul></ul>¿Cómo puede afectarme (II)?
  70. 70. Pág. ¿Cómo puedo protegerme?
  71. 71. Pág. Pág. <ul><li>A nivel de máquina: </li></ul><ul><ul><li>Ingress y egress filtering (cortafuegos personal) </li></ul></ul><ul><ul><li>Sistemas operativos actualizados </li></ul></ul><ul><ul><li>Control de ejecutables: antivirus, hijackthis, autoruns, … </li></ul></ul><ul><ul><li>Sentido común </li></ul></ul>¿Cómo puedo protegerme?
  72. 72. Pág. Pág. <ul><li>A nivel de máquina: </li></ul><ul><ul><li>Ingress y egress filtering (cortafuegos personal) </li></ul></ul><ul><ul><li>Sistemas operativos actualizados </li></ul></ul><ul><ul><li>Control de ejecutables: antivirus, hijackthis, autoruns, … </li></ul></ul><ul><ul><li>Revisión de los eventos </li></ul></ul><ul><ul><li>Sentido común </li></ul></ul>¿Cómo puedo protegerme (II)?
  73. 73. ¿Preguntas?
  74. 74. David Barroso [email_address] http://blog.s21sec.com [ Muchas Gracias ]*

×