Upload
kembolle-amilkar-esp
View
170
Download
4
Embed Size (px)
DESCRIPTION
Palestra sobre ferramentas e Técnicas de ataques Cyberneticos, Utilizados em 2013 e aplicações para " monitoração" .
Citation preview
Cibercrimes - Técnicas, Proteção e Investigação.
Tópicos!!
- Apresentação
- Cibercrimes
- Técnicas de Intrusão
- Investigação
- Como se proteger?
- Metodologias [OWASP]
- Questions?Contact
root@kembolle:~# Whoami
Kembolle Amilkar A.K.A Dr O.liverkall
# Tecnologia em Analise e Desenvolvimento de Sistemas;
# Governança de Tecnologia da Informação;
# Gerenciamento de Processo de Negócio e tecnologia da Informação;
# Segurança da Informação [ Conclusão ];
# CTO – Chief Tecnology Officer [ Samuray Consultoria ];
# Analista Segurança da Informação [ Sefaz – MT ];
# The Open Web Application Security Project (OWASP) Cuiabá;
# Brazil Underground Security – 2011;
root@kembolle:~# Gosto Disso!! :)
root@kembolle:~# Já fiz Isso!!! :D
root@kembolle:~# Hoje trabalho com isso! :D
root@kembolle:~# Cibercrimes
O mundo mudou muito..............
Antes, usava-se dinamite para roubar bancos :O
Hoje em dia, usam-se ......
root@kembolle:~# Cibercrimes
Senhas fracas permitiram invasão à TV que anunciou ataque zumbi nos EUA :
● Enquanto você assiste à televisão, o áudio do programa original é cortado e, em seu lugar, surge uma voz alertando um ataque de zumbis nas proximidades. Parece surreal? Isso aconteceu nos Estados Unidos.
● o governo ordenou às emissoras a mudarem as senhas para o equipamento que as autoridades usam para divulgar transmissões de emergência através do Sistema de Alerta de Emergência (EAS, na sigla em inglês).
http://adrenaline.uol.com.br/seguranca/noticias/15564/senhas-fracas-permitiram-invasao-a-tv-que-anunciou-ataque-zumbi-nos-eua.html 15/02/2013
root@kembolle:~# Cibercrime
Refere-se a toda a actividade onde um computador ou uma rede de computadores é utilizada como uma ferramenta, uma base de ataque ou como meio de crime.
● E - Crime
● Cibercrime (Cybercrime)
● Crime Eletrônico● Crime Digital
root@kembolle:~# Cibercrime
Quais os Tipos Cibercrimes?
O crime envolvendo computadores abrange um conjunto de atividades ilegais bastante variado:
● Falsidade ideológica ( Fakes );● Acesso e uso ilegal de dados ( Espionagem );● Conteúdo Criminoso ( Pedofilia );● Criação de programas dedicado ao crime (backdoor's);● Pirataria de Software ( Serial Fishing );
root@kembolle:~# Cibercrime
Caracteristicas:
● Transnacionalidade: O Cibercrime é um fenômeno internacional, onde não há fronteiras de ação e de alcance.
● Universalidade: O Cibercrime não escolhe nações, géneros estatutos sociais, entre outros factores.
● Omnipresença: Hoje em dia, a omnipresença da tecnologia está no quotidiano dos cidadãos.
root@kembolle:~# Cibercrime
Vamos citar 3 Tipos de Criminosos:
Cracker é o termo usado para designar o indivíduo que pratica a quebra (ou cracking) de um sistema de segurança, de forma ilegal ou sem ética.
Este termo foi criado em 1985 por hackers em defesa contra o uso jornalístico do termo hacker.
root@kembolle:~# CibercrimePhreaker
Phreaker é o nome dado aos hackers de telefonia. (Phone+Freak ou Phreak).É o uso indevido de linhas telefônicas, fixas ou celulares.
root@kembolle:~# CibercrimePirata
É aquele que se dedica à apropriação, reprodução, acumulação e distribuição (em grande escala) de software protegido por copyright, com fins lucrativos.
root@kembolle:~# - Técnicas de Intrusão
root@kembolle:~# - Técnicas de Intrusão
A Owasp hoje possui um top10 de vulnerabilidades mais utilizadas para realizar exploração de Ambientes “ WEB”
A1-Injection
● A2-Broken Authentication and Session Management
● A3-Cross-Site Scripting (XSS)
● A4-Insecure Direct Object References
● A5-Security Misconfiguration
● A6-Sensitive Data Exposure
● A7-Missing Function Level Access Control
● A8-Cross-Site Request Forgery (CSRF)
● A9-Using Components with Known Vulnerabilities
● A10-Unvalidated Redirects and Forwards
https://www.owasp.org/index.php/Top_10_2013-Top_10
root@kembolle:~# - Técnicas de Intrusão
Top 10 Mobile Risks ● M1: Insecure Data Storage
● M2: Weak Server Side Controls
● M3: Insufficient Transport Layer Protection
● M4: Client Side Injection
● M5: Poor Authorization and Authentication
● M6: Improper Session Handling
● M7: Security Decisions Via Untrusted Inputs
● M8: Side Channel Data Leakage
● M9: Broken Cryptography
● M10: Sensitive Information Disclosure
https://www.owasp.org/index.php/Projects/OWASP_Mobile_Security_Project_-_Top_Ten_Mobile_Risks
root@kembolle:~# - Técnicas de Intrusão
Botnet: são computadores “zumbis”. ● Em suma, são computadores invadidos por um
determinado cracker, que os transforma em um replicador de informações.
● Dessa forma torna-se mais difícil o rastreamento de computadores que geram spams e aumentam o alcance das mensagens propagadas ilegalmente.
root@kembolle:~# - Técnicas de Intrusão
root@kembolle:~# - Técnicas de Intrusão
root@kembolle:~# - Técnicas de Intrusão
Denial of Service (DoS): “Ataque de negação de serviços” é uma forma de ataque que pretende impedir o acesso dos usuários a determinados serviços. Alvos mais frequentes são servidores web, pois os crackers visam deixar páginas indisponíveis.
As consequências mais comuns neste caso são: consumo excessivo de recursos e falhas na comunicação entre sistema e usuário.
EX: CVE-2013-1896 Denial of Service (DoS) vulnerability in Apache HTTP Server
root@kembolle:~# - Técnicas de Intrusão
Logstalgia - Website Access Log Visualization [VIDEO]
root@kembolle:~# - Técnicas de Intrusão
DDOS on the VideoLAN downloads infrastructure [VIDEO]
root@kembolle:~# - Técnicas de Intrusão
Tá …
e quais as outras possíveis vertentes após ataque?
root@kembolle:~# - Técnicas de Intrusão
Social Engineering (Engenharia Social): é o ato de manipular pessoas para conseguir informações confidenciais sobre brechas de segurança .
root@kembolle:~# - Técnicas de Intrusão
root@kembolle:~# - Técnicas de Intrusão
root@kembolle:~# - Técnicas de Intrusão
root@kembolle:~# - Técnicas de Intrusão
root@kembolle:~# - Técnicas de Intrusão
root@kembolle:~# - Técnicas de Intrusão
root@kembolle:~# - Técnicas de Intrusão
o app malicioso DroidWhisperer, criado por Kevin McNamee, um pesquisador da área de segurança da Kindsight. Ele escondeu o malware junto de um Angry Birds e começou a distribuir o aplicativo em uma loja não oficial.
root@kembolle:~# - Técnicas de Intrusão
Sem ser notificado de nada, ele concedia autorização para capturar áudio do microfone, relatar sua posição exata e ainda baixar sua lista de contatos, permitindo a utilização desses dados de uma forma nada benéfica. E tudo isso de modo silencioso, comandando o aparelho hackeado pela internet.
No caso do DroidWhisperer, isso tudo é bem simples. Por meio de um painel de controle é possível ver todos os aparelhos conectados, acessando o conteúdo enviado por eles como se acessa um gerenciador de arquivos, tudo via internet, sem nenhuma conexão cabeada.
root@kembolle:~# - Técnicas de Intrusão
root@kembolle:~# - Técnicas de Intrusão
root@kembolle:~# - Investigação
De: [email protected] [mailto:[email protected] ]● Enviada em: quinta-feira, 5 de setembro de 2013 20:04● Para: Sistema CTE - Conhecimento de Transporte Eletrônico● Assunto: Cobrança : Prestação em atraso● Para melhor visualizar este e-mail clique em Não tenho certeza. Vou verificar
● Prezado(a) Cliente: ● Arquivo(s) em Anexo(s): [ Cobranca 2a.via Boleto.pdf ] link ● Tendo em vista que não nos procurou no prazo estipulado em nossa carta de 24/07/13, ● comunicamos que o Boleto em questão foi levado a protesto, medida inicial no ● processo de execução que iremos intentar contra, caso o pagamento não seja ● efetuado no 1º Cartório de Protesto de Letras e Títulos.
● Att, ● Ricardo Garcia, ● Gerente do Departamento Jurídico.
root@kembolle:~# - Investigação
Link Principal: http://abre.ai/sbz
Redireciona para: http://jorgetadeuslp.com/css/terra.php
Diretórios Terra.php
root@kembolle:~# - Investigação
Dentro de acessos.php e acessos.txt tem Mais informações vejamos...
● Qua - 04/Set/2013 as 20:53:18 – 177.221.27.xx - - - Brazil
● Qui - 05/Set/2013 as 10:57:29 - 177.221.27.xx - - - Brazil
● Qui - 05/Set/2013 as 11:56:55 - 186.202.153.xx - - - Brazil
● Qui - 05/Set/2013 as 15:05:37 - 177.132.247.xx - - Mato Grosso - Brazil
● Qui - 05/Set/2013 as 15:08:44 - 186.212.206.xx - Curitiba - Paraná - Brazil
● Qui - 05/Set/2013 as 15:11:08 - 177.54.98.xx - - - Brazil
● Qui - 05/Set/2013 as 15:14:03 - 200.205.104.xx - - São Paulo - Brazil
● Qui - 05/Set/2013 as 15:14:40 - 200.198.51.xx - - - Brazil
● Qui - 05/Set/2013 as 15:17:05 - 201.92.118.xx - Bauru - São Paulo - Brazil
● Qui - 05/Set/2013 as 15:17:11 - 177.139.165.xx - - São Paulo - Brazil
●
root@kembolle:~# - Investigação
0x01- http://jorgetadeuslp.com/css/acessos.php
0x02- http://jorgetadeuslp.com/css/acessos.txt
É lista enorme de pessoas que já baixarão e executarão o “ terra.php “ ..
Continuando....
root@kembolle:~# - Investigação
root@kembolle:~# - Investigação
É apenas um redirect para arquivo malicioso.....Bom chegamos a Hospedagem do Arquivo , Vamos dar uma analisada:
● GET /css/Boleto.2a.via.arquivo.anexos.visualizar.zip HTTP/1.1● Host: tadeuforense.pusku.com● User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US;
rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13● Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8● Accept-Language: en-us,en;q=0.5● Accept-Encoding: gzip,deflate● Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7● Keep-Alive: 115● Connection: keep-alive● Certo então vamos ao Browser ver o que tem por la!? (:
root@kembolle:~# - Investigação
root@kembolle:~# - Investigação
● O atacante criou uma conta em servidor que não tem proteção, vejamos o diretório CSS
root@kembolle:~# - Investigação
Link: http://tadeuforense.pusku.com/css/● Bingo chegamos no arquivo e no domínio!!! Show hein.. Vamos analisar os
arquivos!● Disassembly binaries:● Disassembled code [Offset: 0x00000000]● ------------------------------------------------------------● 0x00000000 dec ebp● 0x00000001 pop edx● 0x00000002 push eax● 0x00000003 add [edx], al● 0x00000005 add [eax], al● 0x00000007 add [eax+eax], al
root@kembolle:~# - Investigação Temos aqui Dados do Arquivo Descompilado:
root@kembolle:~# - Investigação
Ele gera vários arquivos e retorna insert’s nos registros e temporários.http://recrutinha2016.com/adm/contador.php
:Label1
@echo off
del C:\Users\005757~1\Desktop\BOLETO~1.VIS\BOLETO~1.EXE
if Exist C:\Users\005757~1\Desktop\BOLETO~1.VIS\BOLETO~1.EXE goto Label1
Call C:\Users\005757~1\Desktop\BOLETO~1.VIS\BOLETO~1.EXE
del C:\Users\005757~1\Desktop\BOLETO~1.VIS\BOLETO~1.bat
Exit
root@kembolle:~# - Investigação
Conclusão: # Este arquivo é um “Loader” criado em Delphi para realizar execução de vários arquivos maliciosos.
Caracteristicas Backdoor: # Possui varias bibliotecas de Keylogger’s e Screenlogger para coleta de informações bancárias; # Realiza alteração de DNS para servidores ( Pharming ) ( C:\WINDOWS\system32\drivers\etc\Hosts ); # é criado arquivo Call C:\Users\005757~1\Desktop\BOLETO~1.VIS\BOLETO~1.EXE que funciona como Botnet para enventuais ataques de negação de serviço.
root@kembolle:~# - Ferramentas
Hcon Security Testing Framework (HconSTF)
http://www.hcon.in/index.html
root@kembolle:~# - Ferramentas
● HTTPS Everywhere
● WOT
● Adblock Plus blocks
● NoScript
● RequestPolicy
● QuickJava
● Netcraft Toolbar
● SQL Inject Me
● Xss Injecte Me
● Firecat (FIREFOX CATALOG OF AUDITING EXTENSIONS )
root@kembolle:~# - Ferramentas
Nicter = Network Incident analysis Center for Tactical Emergency Response
root@kembolle:~# - Ferramentas
Nicter = Network Incident analysis Center for Tactical Emergency Response [VIDEO]
root@kembolle:~# - Como se proteger?
Antivirus???Veil – A Payload Generator to Bypass Antivirus
root@kembolle:~# - Como se proteger?
IDS e IPS?# nmap -P0 -sI 1.1.1.1:1234 192.1.2.3
O Parametro -P0 -sl é uma técnica de varredura para esconder seu IP :D Seguindo o exemplo, usa uma técnica de varredura ociosa. Ele utiliza a porta 1234 no IP 1.1.1.1 como como um zumbi para fazer a varredura de acolhimento – 192.1.2.3 ( alvo );
root@kembolle:~# - Como se proteger?
Honeypoth ?????
Oh yeah! I love IT! :D
http://map.honeynet.org
root@kembolle:~# - Metodologias [OWASP]
A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional, que contribui para a melhoria da segurança de softwares aplicativos reunindo informações importantes que permitem avaliar riscos de segurança e combater formas de ataques através da internet.
root@kembolle:~# - Metodologias [OWASP]
Os estudos e documentos da OWASP são disponibilizadas para toda a comunidade internacional, e adotados como referência por entidades como U.S. Defense Information Systems Agency (DISA), U.S. Federal Trade Commission, várias empresas e organizações mundiais das áreas de Tecnologia, Auditoria e Segurança, e também pelo PCI Council.
root@kembolle:~# - Metodologias [OWASP]
A OWASP utiliza uma metodologia baseada na classificação do risco (Risk Rating Methodology) para priorizar sua lista Top 10, que é mantida atualizada periodicamente a partir de pesquisas e estatísticas sobre ataques identificados em todo o mundo.
Além de identificar os ataques de maior risco, a OWASP faz várias recomendações de segurança para que cada um daqueles ataques sejam evitados a partir das etapas do desenvolvimento das aplicações.
Questions?Contact
Kembolle Amilkar
Home: www.kembolle.com.br