El documento aborda la creciente amenaza de las botnets, destacando su capacidad para controlar grandes redes de dispositivos comprometidos y causar diversos tipos de daños, como robos de información y ataques DDoS. Se enfatiza la vulnerabilidad de los sistemas frente al cibercrimen y la necesidad de nuevas herramientas y formación para combatir estas amenazas. Además, se discuten diversos métodos de infección y estrategias de control utilizadas por los cibercriminales para operar de manera efectiva.

1. [ Botnets 2.0: adquiriendo el control de Internet ]* Getafe, 27 de Octubre 2008 Asegur@IT IV David Barroso, S21sec eCrime Director

2. Tag cloud b otnets bullet-proof hosting infection kits C&C P2P cifrado sandbox anti-debugging fraude economía sumergida phishing pharming spam mulas DDoS iframe business stealth code código malicioso Pág.

3. Tag cloud Asegur@IT IV b otnets bullet-proof hosting infection kits C&C P2P cifrado sandbox anti-debugging fraude economía sumergida phishing pharming spam mulas DDoS iframe business stealth code Pág. código maligno

4. Pág. <Introducción>

5. Pág. Botnet Red de activos comprometidos controlados

6. Pág. Objetivos

7. Pág. 1. Robo de información Infecciones web Fraude Espionaje Industrial Control de dominios

8. Pág. 2. Control de activos DDoS Hosting Pasarela y protección Envío de SPAM

9. Pág. 3. Otro tipo de daños Defacements ClickFraud Pay per Install Iframe Business Chantajes por cifrado DoS

10. Pág. e -crime

11. Los 10 Factores clave del e-crime Situación de mercado: Cada vez somos más vulnerables al crimen en Internet, al terrorismo y a las amenazas geopolíticas La frecuencia de los incidentes es mayor , así como su sofistificación No existe una base legal bien definida El carácter distribuido de los incidentes genera problemas de jurisdicción No existen estructuras funcionales de cooperación Hoy en día los incidentes tienen una responsabilidad difusa La concienciación de los usuarios es mínima El crimen organizado y el ciberterrorismo cuenta con multitud de recursos El anonimato y la facilidad de “operar” en Internet Necesitamos nuevas herramientas , servicios y formación para hacer frente a estas amenazas Pág. Uno de cada 3 ordenadores está infectado Cada incidente afecta a 20.000 máquinas como media

12. La Evolución del e-Crime Pág.

13. Pág. Económicos (mass attacks) Phishing, pharming, vishing, SMSing, scam Click-fraud Pump & Dump Iframe and DDoS business Religiosos (dirigidos) Dinamarca vs mundo islámico Políticos (dirigidos/mass) USA, China, Corea, Israel, … Rusia vs Estonia Industriales (dirigidos) Ciberespionaje: CEO, secretarias Motivos

14. Pág. </Introducción>

15. Pág. Botnets Crash Course

16. Pág. Elige tu método d e infección

17. Pág. Pág. Métodos de infección más comunes Visitando una web Vulnerabilidades en navegadores y sus plugins Vulnerabilidades en otros clientes (Acrobat, Winamp, Office, Quicktime, Flash, …) Archivos malignos!!!

18. Pág. ¿Cómo infecto una web? O ¿cómo redirijo a los visitantes a la página que yo quiera?

19. Pág. MPack Servidor Web legítimo (www.midominio. com ) Panel Control de Exploits Panel Control de Botnets Elexploit hace que se conecte a otra web para descargar el troyano y contabilizar estadísticas El troyano se conecta con su master Servidor Web de Exploits El atacante compromete una web y le inyecta un iframe Atacante iFRAME El usuario se conecta a una p ágina web normal (con el iframe) Usuario El usuario es redirigido a una web que tiene un exploit para navegadores

20. Pág. Primera opción Dificultad: fácil

21. Pág.

22. Pág.

23. Pág. SQL Injection Dificultad: fácil

24. Pág.

25. Pág.

26. Pág.

27. Pág.

28. Pág. Pág. ¿Qué es lo que quiero conseguir? ¡¡Centra tus esfuerzos!! Ejemplo: páginas españolas SEO y posicionamiento Alexa Ranking No todo es infectar Muchas veces interesa sólo posicionar Típico en comentarios de blogs o foros Más peligroso cuando está inyectado en el contenido (ej. <noscript>) A tener en cuenta

29. Pág. Segunda opción Dificultad: media

30. Pág.

31. Pág.

32. Pág.

33. Pág.

34. Pág.

35. Pág.

36. Pág. Elige tu infection kit p referido 99% LAMP: Linux + Apache + Mysql + PHP

37. Pág.

38. Pág.

39. Pág.

40. Pág.

41. Pág. Elige tu backend (C&C) p referido 99% LAMP: Linux + Apache + Mysql + PHP

42. Pág.

43. Pág.

44. Pág.

45. Pág.

46. Pág.

47. Pág.

48. Pág.

49. Pág.

50. Pág.

51. Pág.

52. Pág.

53. Pág.

54. Pág.

55. Pág. Elige tu código maligno

56. Pág. Ejemplo típico: Wnspoem

57. Pág. Pág. Ntdll.dll NtCreateThread LdrLoadDll LdrGetProcedureAddress NtQueryDirectoryFile wsock32.dll send sendto Closesocket ws2_32.dll send sendto WSASend WSASendTo Closesocket Hooks t i picos en el sistema

58. Pág. Pág. wininet.dll HttpSendRequestW HttpSendRequestA HttpSendRequestExW HttpSendRequestExA InternetReadFile InternetReadFileExW InternetReadFileExA InternetQueryDataAvailable InternetCloseHandle HttpQueryInfoA HttpQueryInfoW user32.dll GetMessageW GetMessageA PeekMessageA PeekMessageW GetClipboardData crypt32.dll PFXImportCertStore Hooks t i picos en el sistema (II)

59. Pág. Pág. http://givui.com/ 3AEFBA86C8B89862 / MGJmlWUXX1Rkf8V+6n7wFFFiJsXRwhy1 Ejemplo comunicación cifrada (Sinowal)

60. Pág. Elige tu hosting favorito

61. Pág. Pág. Un poco más caro ($$$) Controlado por mafias Protegidos por gobiernos Russian Business Network (RBN) Hong-Kong, Argentina, Panamá Turquía, Rusia, Ucrania, Corea, ... No siempre es bueno un blackholing Pagos online (WebMoney, MoneyGram, WestFargo, …). Contacto: ICQ Bullet-proof hosting

62. Pág. Resumiendo …

63. Pág. Se necesita: Método de infección Infection kit Backend Código maligno Hosting

64. Pág. MaaS??

65. Pág. Capas en el modelo MaaS Capa de Red (3-4 OSI layer) Capa de Aplicación (7 OSI layer) Capa de la infección (client exploits): una posible capa 8 Capa cliente(código malicioso que se ejecuta en la máquina infectada): de alguna forma una capa 9 1 2 3 4 Cada capa necesita diferentes herramientas y procedimientos Es necesario correlar toda la información de cada capa para entender la amenaza MaaS: Malware as a Service TODO ESTÁ EN ALQUILER O VENTA

66. Pág. Pág. Evolución: IRC – HTTP- P2P (Storm) HA: Fast-flux (single y double) C&C Dinámicos: dominios pseudoaleatorios Redes VPN (OpenVPN) Proxies inversos (nginx) Código malicioso^H^H^H^H^Hgno Capacidad de sobrevivir Comunicación con su master Cifrado: débil (90% XOR) Rizando el rizo: Rustock.C (Sept 2007-Mayo 2008) Otros aspectos interesantes

67. Pág. ¿Cómo puede afectarme?

68. Pág. Pág. Una botnet puede, entre otras cosas: Hacer que infecte a mis visitantes web Recibir un DDoS o participar en uno Posicionar webs fraudulentas (y que me quiten de los buscadores) Hacer que mis máquinas alojen malware, phishing o pornografía infantil Utilizar mis máquinas para cometer otros delitos (ej: fraude) Utilizar mis máquinas para enviar SPAM ¿Cómo puede afectarme?

69. Pág. Pág. Una botnet puede: Pedirme dinero por descrifrar mis archivos (Ransomware) Hacer que enriquezca a un tercero (clickfraud) Formatear mi sistema operativo Hacer que infecte a mis vecinos (ARP Spoofing) Hacer que intente infectar masivamente (Internet noise) ¿Cómo puede afectarme (II)?

70. Pág. ¿Cómo puedo protegerme?

71. Pág. Pág. A nivel de máquina: Ingress y egress filtering (cortafuegos personal) Sistemas operativos actualizados Control de ejecutables: antivirus, hijackthis, autoruns, … Sentido común ¿Cómo puedo protegerme?

72. Pág. Pág. A nivel de máquina: Ingress y egress filtering (cortafuegos personal) Sistemas operativos actualizados Control de ejecutables: antivirus, hijackthis, autoruns, … Revisión de los eventos Sentido común ¿Cómo puedo protegerme (II)?

73. ¿Preguntas?

74. David Barroso [email_address] http://blog.s21sec.com [ Muchas Gracias ]*