Este documento proporciona una introducción a los recursos de la economía sumergida en Internet, incluyendo cómo funcionan las botnets, los métodos de infección comunes, los kits de infección, los paneles de control y el código malicioso. También discute cómo las personas y las organizaciones pueden protegerse, como mantener los sistemas actualizados y utilizar cortafuegos y antivirus.

1. [Recursos de la (cyber)economía
sumergida]*
A Coruña, 29 de Octubre 2008
Jornadas Seguridad Informática 2008
Facultad de Informática de A Coruña
David Barroso, S21sec eCrime Director
2008 S 21sec

2. Tag cloud
botnets bullet-proof hosting infection kits
C&C P2P cifrado sandbox anti-debugging fraude
economía sumergida phishing pharming spam
mulas DDoS iframe business stealth code
código malicioso
Pág. 2

3. Pág. 3

4. Nuevos negocios (I)

5. Nuevos negocios (II)

6. <Introducción>
Pág. 6

7. Botnet
Red de activos comprometidos controlados
Pág. 7

8. Objetivos
Pág. 8

9. web
es Co
i on ntrol
e cc de do
Inf minio
s
1. Robo de información
Esp
i ona
je ude
Ind Fra
ust
ria
l
Pág. 9

10. oS
DD Envío
de SP
AM
2. Control de activos
Pas
a rel
a y ing
pro Host
tec
ció
n
Pág. 10

11. ts
en
em
ac
Def DoS
3. Otro tipo de daños
Cha
n taj aud tall
es kFr Ins
por Clic er ess
cif Pay p Busin
rad ame
o fr
I
Pág. 11

12. e-crime
Pág. 12

13. Los 10 Factores clave del e-crime
Situación de mercado:
1. Cada vez somos más vulnerables al crimen en
Internet, al terrorismo y a las amenazas
geopolíticas
2. La frecuencia de los incidentes es mayor, así
como su sofistificación
3. No existe una base legal bien definida
4. El carácter distribuido de los incidentes genera
problemas de jurisdicción
5. No existen estructuras funcionales de cooperación
6. Hoy en día los incidentes tienen una
responsabilidad difusa •Uno de cada 3
ordenadores
7. La concienciación de los usuarios es mínima está infectado
8. El crimen organizado y el ciberterrorismo cuenta
con multitud de recursos •Cada incidente
9. El anonimato y la facilidad de “operar” en afecta a 20.000
Internet máquinas
10. Necesitamos nuevas herramientas, servicios y como media
formación para hacer frente a estas amenazas
Pág. 13

14. La Evolución del e-Crime
Pág. 14

15. Motivos
 Económicos (mass attacks)
 Phishing, pharming, vishing, SMSing, scam
 Click-fraud
 Pump & Dump
 Iframe and DDoS business
 Religiosos (dirigidos)
 Dinamarca vs mundo islámico
 Políticos (dirigidos/mass)
 USA, China, Corea, Israel, …
 Rusia vs Estonia
 Industriales (dirigidos)
 Ciberespionaje: CEO, secretarias
Pág. 15

16. </Introducción>
Pág. 16

17. Botnets Crash Course
Pág. 17

18. 1. Elige tu método
de infección
Pág. 18

19. Métodos de infección más comunes
 Visitando una web
 Vulnerabilidades en navegadores y sus plugins
 Vulnerabilidades en otros clientes (Acrobat, Winamp,
Office, Quicktime, Flash, …) Archivos malignos!!! Pág. 19

20. ¿Cómo infecto una web?
O ¿cómo redirijo a los visitantes a la página que yo quiera?
Pág. 20

21. MPack
El atacante
compromete una
web y le inyecta un Atacante
iframe
El troyano
se conecta
con su Panel Control
master
de Botnets
iFRAME
Servidor Web Servidor Web legítimo
de Exploits (www.midominio. com)
El usuario es redirigido a
una web que tiene un
exploit para navegadores Panel Control
de Exploits
Elexploit hace que se
El usuario se conecta a conecte a otra web para
una página web normal
(con el iframe) Usuario descargar el troyano y
contabilizar estadísticas
Pág. 21

22. Primera opción
Dificultad: fácil
Pág. 22

23. Pág. 23

24. Pág. 24

25. SQL Injection
Dificultad: fácil
Pág. 25

26. Pág. 26

27. Pág. 27

28. Pág. 28

29. Pág. 29

30. A tener en cuenta
 ¿Qué es lo que quiero conseguir?
 ¡¡Centra tus esfuerzos!!
 Ejemplo: páginas españolas
 SEO y posicionamiento
 Alexa Ranking
 No todo es infectar
 Muchas veces interesa sólo posicionar
 Típico en comentarios de blogs o foros
 Más peligroso cuando está inyectado en el contenido
(ej. <noscript>)
Pág. 30

31. Segunda opción
Dificultad: media
Pág. 31

32. Pág. 32

33. Pág. 33

34. Pág. 34

35. Pág. 35

36. Pág. 36

37. Pág. 37

38. Pág. 38

39. 2. Elige tu infection kit
preferido
99% LAMP: Linux + Apache + Mysql + PHP
Pág. 39

40. Pág. 40

41. Pág. 41

42. Pág. 42

43. Pág. 43

44. Pág. 44

45. Exploits
Exploit Patch Añadido a MPack ID
Firefox 1.5, Opera 14/02/2006 24/09/2006 MS06-006
7.x
IE 6 11/04/2006 24/09/2006 MS06-014
Windows 2000 08/08/2006 24/09/2006 MS06-044
MMC
WebViewFolderIco 10/10/2006 13/03/2007 MS06-057
n
IE XML Overflow 11/11/2006 20/12/2006 MS06-071
WinZip ActiveX 14/11/2006 13/03/2007 CVE-2006-5198
Overflow
QuickTime 02/01/2007 13/03/2007 CVE-2007-0015
Overflow
ANI Overflow 04/04/2007 03/04/2007 MS07-017

46. 3. Elige tu backend (C&C)
preferido
99% LAMP: Linux + Apache + Mysql + PHP
Pág. 46

47. Pág. 47

48. Pág. 48

49. Pág. 49

50. Pág. 50

51. Pág. 51

52. Pág. 52

53. Pág. 53

54. Pág. 54

55. Pág. 55

56. Pág. 56

57. Pág. 57

58. Pág. 58

62. Pág. 62

63. 4. Elige tu código maligno
Pág. 63

64. Ejemplo típico: Wnspoem
Pág. 64

65. Hooks tipicos en el sistema
 Ntdll.dll
 NtCreateThread
 LdrLoadDll
 LdrGetProcedureAddress
 NtQueryDirectoryFile
 wsock32.dll
 send
 sendto
 Closesocket
 ws2_32.dll
 send
 sendto
 WSASend
 WSASendTo
 Closesocket Pág. 65

66. Hooks tipicos en el sistema (II)
 wininet.dll
 HttpSendRequestW
 HttpSendRequestA
 HttpSendRequestExW
 HttpSendRequestExA
 InternetReadFile
 InternetReadFileExW
 InternetReadFileExA
 InternetQueryDataAvailable
 InternetCloseHandle
 HttpQueryInfoA
 HttpQueryInfoW
 user32.dll
 GetMessageW
 GetMessageA
 PeekMessageA
 PeekMessageW
 GetClipboardData
 crypt32.dll Pág. 66
 PFXImportCertStore

67. Ejemplo comunicación cifrada (Sinowal)
http://givui.com/3AEFBA
86C8B89862/MGJmlW
UXX1Rkf8V+6n7wFFFi
JsXRwhy1
Pág. 67

68. 5. Elige tu hosting favorito
Pág. 68

69. Bullet-proof hosting
 Un poco más caro ($$$)
 Controlado por mafias
 Protegidos por gobiernos
 Russian Business Network (RBN)
 Hong-Kong, Argentina, Panamá
 Turquía, Rusia, Ucrania, Corea, ...
 No siempre es bueno un blackholing
 Pagos online (WebMoney, MoneyGram,
WestFargo, …). Contacto: ICQ Pág. 69

70. Resumiendo…
Pág. 70

71. Se necesita:
1. Método de infección
2. Infection kit
3. Backend
4. Código maligno
5. Hosting
Pág. 71

72. MaaS??
Pág. 72

73. MaaS: Malware as a Service O
Capas en el modelo L
ER
U I MaaS
1.Capa de Red L QOSI layer)
A
1 2 3 4
(3-4
EN 8
2.Capa de Aplicación (7 OSI layer)
3.Capa de la infección (client exploits): una
Á cliente(código malicioso que se ejecuta
ST
posible capa
4.Capa
E en la máquina infectada): de alguna forma una
O capa 9
OD TA
T N
VE
Cada capa necesita diferentes herramientas y procedimientos
Es necesario correlar toda la información de cada capa para entender
la amenaza
Pág. 73

74. Otros aspectos interesantes
 Evolución: IRC – HTTP- P2P (Storm)
 HA: Fast-flux (single y double)
 C&C Dinámicos: dominios pseudoaleatorios
 Redes VPN (OpenVPN)
 Proxies inversos (nginx)
 Código malicioso^H^H^H^H^Hgno
 Capacidad de sobrevivir
 Comunicación con su master
 Cifrado: débil (90% XOR)
 Rizando el rizo: Rustock.C (Sept 2007-Mayo 2008) Pág. 74

75. ¿Cómo puede afectarme?
Pág. 75

76. ¿Cómo puede afectarme?
 Una botnet puede, entre otras cosas:
 Hacer que infecte a mis visitantes web
 Recibir un DDoS o participar en uno
 Posicionar webs fraudulentas (y que me quiten
de los buscadores)
 Hacer que mis máquinas alojen malware,
phishing o pornografía infantil
 Utilizar mis máquinas para cometer otros
delitos (ej: fraude)
 Utilizar mis máquinas para enviar SPAM
Pág. 76

77. ¿Cómo puede afectarme (II)?
 Una botnet puede:
 Pedirme dinero por descrifrar mis archivos
(Ransomware)
 Hacer que enriquezca a un tercero (clickfraud)
 Formatear mi sistema operativo
 Hacer que infecte a mis vecinos (ARP
Spoofing)
 Hacer que intente infectar masivamente
(Internet noise)
Pág. 77

78. Cómo puedo protegerme?
Pág. 78

79. ¿Cómo puedo protegerme?
 A nivel de máquina:
 Ingress y egress filtering (cortafuegos
personal)
 Sistemas operativos actualizados
 Control de ejecutables: antivirus, hijackthis,
autoruns, …
 Sentido común
Pág. 79

80. ¿Cómo puedo protegerme (II)?
 A nivel de organización:
 Ingress y egress filtering (cortafuegos , IDS,
filtrado de contenidos)
 Sistemas operativos actualizados
 Formación y concienciación
 Protección del desktop (perímetro asegurado)
 Revisión de los eventos
 Sentido común
Pág. 80

81. ¿Preguntas?

82. [Muchas Gracias]*
David Barroso
dbarroso@s21sec.com
http://blog.s21sec.com
2008 S 21sec