Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download...
Transcript of Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download...
![Page 1: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/1.jpg)
Quien se ha comido mi CPU?
![Page 2: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/2.jpg)
Ruth Barbacil25yo Human
Estudiante Ingeniería en Sistemas de Información UTN FRBA
3 años en infosec
Threat Analyst @ Deloitte
Análisis y “Hunting” de malware y campañas, IOCs, TTPs profiling c/ ATT&CK framework, IR; etc.
@33root
![Page 3: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/3.jpg)
AGENDAcryptojacking y algo más
usos legitimos y codigo publico
blockchain y cRYPTOMONEDAS: Bitcoin vs. Altcoins.
2Mercados de la Deep Web y su influencia.
cibercrimen
Conclusión
![Page 4: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/4.jpg)
Disclaimer
![Page 5: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/5.jpg)
CRYPTOJACKING Y ALGO MAS
![Page 6: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/6.jpg)
CRYPTOJACKING
Source: https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-jun-2018.pdf
Utilizar los recursos de la víctima para minar criptomonedas.
Tipos:● Browser based● Drive-by-download
Coinminers ITW:2017-Q4 = 400.000 muestras2018-Q1 = 2.900.000 muestras
![Page 7: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/7.jpg)
STARBUCKS ARGENTINA
Source: https://twitter.com/imnoah/status/936948776119537665
Coinhive @ STARBUCKS
![Page 8: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/8.jpg)
Mayo 2017; DockerHub (docker123321)
Drive-by-download
Descargados 5 millones de veces; 630 XMR al año (estimado).
Related Attacks
● CVE-2018-7600 (Drupalgeddon 2.0)● CVE-2017-10271 (Oracle WebLogic Server )● Misconfigured Docker and Kubernetes installations
(TCP/2375 and TCP/2376, TCP/8080)
DOCKER CONTAINERS MALICIOSOS
Source: https://www.fortinet.com/blog/threat-research/yet-another-crypto-mining-botnet.html@CommeConvenuBD
![Page 9: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/9.jpg)
Cryptojacking en ANDROID
Source: https://securelist.com/jack-of-all-trades/83470/https://blog.trendmicro.com/trendlabs-security-intelligence/monero-mining-hiddenminer-android-malware-can-potentially-cause-device-failure/#
Google Play Update APP - 3rd party app marketPermisos de AdminOculto en el menúPrincipales afectados: India y ChinaDefense Evasion: Android Emulator Detector (Github)Google Security Issue - Solved 2016, 09
HiddenMiner para Android (Marzo 2018)
Trojan.AndroidOS.Loapi (Diciembre 2017)Campañas de advertisingSimula Scan (AV version)Defense Evasion: Lista negra de programas desde C2Si el usuario las instala o ejecuta de , alerta“Malware”Varios modulos (sms, ads, proxy, etc)Version Android para mining XMR
![Page 10: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/10.jpg)
https://securelist.com/jack-of-all-trades/83470/
Trojan.AndroidOS.Loapi (Diciembre 2017)Cryptojacking en ANDROID
![Page 11: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/11.jpg)
Cryptojacking en IOTADB.Miner
XMR MININGPuerto 5555 (ADB Debug Interface) (including Amazon Fire)Actua cómo worm (Lateral Movement)5000 dispositivos en 1hrPrincipales Afectados: China, Corea del SurSimilitud con Mirai
Source: http://blog.netlab.360.com/early-warning-adb-miner-a-mining-botnet-utilizing-android-adb-is-now-rapidly-spreading/
![Page 12: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/12.jpg)
HiddenBee MINERJulio 2018
Malvertising en sitios para adultos
Drive-By-Download
Principal afectado: Asia
Bootkit
Via Underminer Exploit Kit
TCP Tunnel (para dificultar análisis)
Source: https://blog.malwarebytes.com/threat-analysis/2018/07/hidden-bee-miner-delivered-via-improved-drive-by-download-toolkit/
![Page 13: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/13.jpg)
Infección masiva en dispositivos MIKROTIKAgosto 2018
CoinHive
CVE-2018-14847
Mikrotik 6.29 to 6.43rc3
Parcheado el 23 de abril
WiNBOX Service - RMS
Puerto 8291
Brasil ISP
200.000 infectados - XMR MINING BOTNETSource: https://www.trustwave.com/Resources/SpiderLabs-Blog/Mass-MikroTik-Router-Infection-%E2%80%93-First-we-cryptojack-Brazil,-then-we-take-the-World-/
![Page 14: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/14.jpg)
Usos legitimos
![Page 15: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/15.jpg)
PirateBay (2016)
Usos legitimos de criptominado
![Page 16: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/16.jpg)
Usos legitimos de criptominado
CARIDAD
![Page 17: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/17.jpg)
Usos legitimos de criptominado
![Page 18: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/18.jpg)
codigo publico
![Page 19: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/19.jpg)
MINERS PUBLICOS
![Page 20: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/20.jpg)
MINERS PUBLICOS
Source: https://coinhive.com/documentation/miner
Coinhive
Septiembre 2017
![Page 21: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/21.jpg)
CoinhiveMINERS PUBLICOS
Source: https://coinhive.com/
![Page 22: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/22.jpg)
XMRigMINERS PUBLICOS
![Page 23: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/23.jpg)
BLOCKCHAIN Y CRIPTOMONEDAS
![Page 24: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/24.jpg)
BLOCKCHAIN != BITCOIN
2008/2009 (Bitcoin - Satoshi nakamoto)
“How to Time-Stamp a Digital Document”. Haber and Stornetta 1991.
Smart contracts
Gestión de propiedad intelectual
Criptomonedas
Diferentes DLT (Distributed ledger technology o Registro de transacciones distribuido)
el que? TL;DR
Blockchain
DataHash del bloqueHash del bloque anterior
![Page 25: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/25.jpg)
Enero 2009
6 confirmaciones para completar una transacciòn * 10’ (promedio) por bloque minado = 60’ para confirmar transacción
Anónimo
Pùblicos (origen, destino, monto)
Alta trazabilidad
Barrera de entrada alta (ASIC)
Cryptomonedas
Bitcoin (BTC) Monero (XMR)Abril 2014
10 confirmaciones para completar una transacciòn [2’- 3]’ por bloque minado = [20’-30’] para confirmar transacción
Anónimo
Privacidad por diseño
ASIC-resistant
Barrera de entrada baja
![Page 26: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/26.jpg)
Influencia de mercados de la deep web
![Page 27: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/27.jpg)
MERCADOS DE LA DEEP WEB Silkroad y Bitcoin
![Page 28: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/28.jpg)
MERCADOS DE LA DEEP WEB Silkroad y Bitcoin
Source: https://www.wired.com/story/monero-privacy/
![Page 29: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/29.jpg)
Bitcoin mixers, tumblers and chain hoopping
SOURCE: https://info.ciphertrace.com/crypto-aml-report-q218
MERCADOS DE LA DEEP WEB
![Page 30: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/30.jpg)
MERCADOS DE LA DEEP WEB Silkroad y Bitcoin
![Page 31: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/31.jpg)
Source: https://www.wired.com/2017/01/monero-drug-dealers-cryptocurrency-choice-fire/
MERCADOS DE LA DEEP WEB Hansa, alphabay y monero
![Page 32: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/32.jpg)
CIBERCRIMEN
Source: https://info.ciphertrace.com/crypto-aml-report-q218
![Page 33: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/33.jpg)
Lazarus haobao campaignAbril 2017 - Febrero 2018Lazarus / Hidden CobraBitcoinstealing phishing campaign—HaoBao
Victimas: ● Organizaciones financieras● Cryptocurrency exchanges● Usuarios de Bitcoin
Initial Access: Spearphishing (Busqueda de trabajo/Recruiting) con Attachment (.HWP)Ingles y Coreano
HKEY_CURRENT_USER\Software\Bitcoin\Bitcoin-Qt
Source: https://securingtomorrow.mcafee.com/mcafee-labs/lazarus-resurfaces-targets-global-banks-bitcoin-users/
![Page 34: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/34.jpg)
???
Source: https://ethereumworldnews.com/bithumb-hacked-30-million-in-cryptocurrency-stolen/
![Page 35: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/35.jpg)
???
Source: https://ethereumworldnews.com/bithumb-hacked-30-million-in-cryptocurrency-stolen/
![Page 36: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/36.jpg)
???
Source: https://www.coindesk.com/south-korean-bitcoin-exchange-declare-bankruptcy-hack/
![Page 37: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/37.jpg)
ANDARIEL mining sent to pyongyang
Source: https://www.bloomberg.com/news/articles/2018-01-02/north-korean-hackers-hijack-computers-to-mine-cryptocurrencies
![Page 38: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/38.jpg)
Conclusiónpatch!
iMPROVE!
LEARN FROM OTHER PEOPLES MISTAKES!
LEARN FROM YOUR MISTAKES!
KNOW YOURSELF!
![Page 39: Quien se ha comido mi CPU? - NotPinkCon...Mayo 2017; DockerHub (docker123321) Drive-by-download Descargados 5 millones de veces; 630 XMR al año (estimado). Related Attacks CVE-2018-7600](https://reader034.fdocuments.es/reader034/viewer/2022042613/5f9688d1dc1c2b1756499a82/html5/thumbnails/39.jpg)
Quien se ha comido mi CPU?
@33root