quien se ha comido mi cpu? - notpinkcon...mayo 2017; dockerhub (docker123321) drive-by-download...
TRANSCRIPT
Quien se ha comido mi CPU?
Ruth Barbacil25yo Human
Estudiante Ingeniería en Sistemas de Información UTN FRBA
3 años en infosec
Threat Analyst @ Deloitte
Análisis y “Hunting” de malware y campañas, IOCs, TTPs profiling c/ ATT&CK framework, IR; etc.
@33root
AGENDAcryptojacking y algo más
usos legitimos y codigo publico
blockchain y cRYPTOMONEDAS: Bitcoin vs. Altcoins.
2Mercados de la Deep Web y su influencia.
cibercrimen
Conclusión
Disclaimer
CRYPTOJACKING Y ALGO MAS
CRYPTOJACKING
Source: https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-jun-2018.pdf
Utilizar los recursos de la víctima para minar criptomonedas.
Tipos:● Browser based● Drive-by-download
Coinminers ITW:2017-Q4 = 400.000 muestras2018-Q1 = 2.900.000 muestras
STARBUCKS ARGENTINA
Source: https://twitter.com/imnoah/status/936948776119537665
Coinhive @ STARBUCKS
Mayo 2017; DockerHub (docker123321)
Drive-by-download
Descargados 5 millones de veces; 630 XMR al año (estimado).
Related Attacks
● CVE-2018-7600 (Drupalgeddon 2.0)● CVE-2017-10271 (Oracle WebLogic Server )● Misconfigured Docker and Kubernetes installations
(TCP/2375 and TCP/2376, TCP/8080)
DOCKER CONTAINERS MALICIOSOS
Source: https://www.fortinet.com/blog/threat-research/yet-another-crypto-mining-botnet.html@CommeConvenuBD
Cryptojacking en ANDROID
Source: https://securelist.com/jack-of-all-trades/83470/https://blog.trendmicro.com/trendlabs-security-intelligence/monero-mining-hiddenminer-android-malware-can-potentially-cause-device-failure/#
Google Play Update APP - 3rd party app marketPermisos de AdminOculto en el menúPrincipales afectados: India y ChinaDefense Evasion: Android Emulator Detector (Github)Google Security Issue - Solved 2016, 09
HiddenMiner para Android (Marzo 2018)
Trojan.AndroidOS.Loapi (Diciembre 2017)Campañas de advertisingSimula Scan (AV version)Defense Evasion: Lista negra de programas desde C2Si el usuario las instala o ejecuta de , alerta“Malware”Varios modulos (sms, ads, proxy, etc)Version Android para mining XMR
https://securelist.com/jack-of-all-trades/83470/
Trojan.AndroidOS.Loapi (Diciembre 2017)Cryptojacking en ANDROID
Cryptojacking en IOTADB.Miner
XMR MININGPuerto 5555 (ADB Debug Interface) (including Amazon Fire)Actua cómo worm (Lateral Movement)5000 dispositivos en 1hrPrincipales Afectados: China, Corea del SurSimilitud con Mirai
Source: http://blog.netlab.360.com/early-warning-adb-miner-a-mining-botnet-utilizing-android-adb-is-now-rapidly-spreading/
HiddenBee MINERJulio 2018
Malvertising en sitios para adultos
Drive-By-Download
Principal afectado: Asia
Bootkit
Via Underminer Exploit Kit
TCP Tunnel (para dificultar análisis)
Source: https://blog.malwarebytes.com/threat-analysis/2018/07/hidden-bee-miner-delivered-via-improved-drive-by-download-toolkit/
Infección masiva en dispositivos MIKROTIKAgosto 2018
CoinHive
CVE-2018-14847
Mikrotik 6.29 to 6.43rc3
Parcheado el 23 de abril
WiNBOX Service - RMS
Puerto 8291
Brasil ISP
200.000 infectados - XMR MINING BOTNETSource: https://www.trustwave.com/Resources/SpiderLabs-Blog/Mass-MikroTik-Router-Infection-%E2%80%93-First-we-cryptojack-Brazil,-then-we-take-the-World-/
Usos legitimos
PirateBay (2016)
Usos legitimos de criptominado
Usos legitimos de criptominado
CARIDAD
Usos legitimos de criptominado
codigo publico
MINERS PUBLICOS
MINERS PUBLICOS
Source: https://coinhive.com/documentation/miner
Coinhive
Septiembre 2017
CoinhiveMINERS PUBLICOS
Source: https://coinhive.com/
XMRigMINERS PUBLICOS
BLOCKCHAIN Y CRIPTOMONEDAS
BLOCKCHAIN != BITCOIN
2008/2009 (Bitcoin - Satoshi nakamoto)
“How to Time-Stamp a Digital Document”. Haber and Stornetta 1991.
Smart contracts
Gestión de propiedad intelectual
Criptomonedas
Diferentes DLT (Distributed ledger technology o Registro de transacciones distribuido)
el que? TL;DR
Blockchain
DataHash del bloqueHash del bloque anterior
Enero 2009
6 confirmaciones para completar una transacciòn * 10’ (promedio) por bloque minado = 60’ para confirmar transacción
Anónimo
Pùblicos (origen, destino, monto)
Alta trazabilidad
Barrera de entrada alta (ASIC)
Cryptomonedas
Bitcoin (BTC) Monero (XMR)Abril 2014
10 confirmaciones para completar una transacciòn [2’- 3]’ por bloque minado = [20’-30’] para confirmar transacción
Anónimo
Privacidad por diseño
ASIC-resistant
Barrera de entrada baja
Influencia de mercados de la deep web
MERCADOS DE LA DEEP WEB Silkroad y Bitcoin
MERCADOS DE LA DEEP WEB Silkroad y Bitcoin
Source: https://www.wired.com/story/monero-privacy/
Bitcoin mixers, tumblers and chain hoopping
SOURCE: https://info.ciphertrace.com/crypto-aml-report-q218
MERCADOS DE LA DEEP WEB
MERCADOS DE LA DEEP WEB Silkroad y Bitcoin
Source: https://www.wired.com/2017/01/monero-drug-dealers-cryptocurrency-choice-fire/
MERCADOS DE LA DEEP WEB Hansa, alphabay y monero
CIBERCRIMEN
Source: https://info.ciphertrace.com/crypto-aml-report-q218
Lazarus haobao campaignAbril 2017 - Febrero 2018Lazarus / Hidden CobraBitcoinstealing phishing campaign—HaoBao
Victimas: ● Organizaciones financieras● Cryptocurrency exchanges● Usuarios de Bitcoin
Initial Access: Spearphishing (Busqueda de trabajo/Recruiting) con Attachment (.HWP)Ingles y Coreano
HKEY_CURRENT_USER\Software\Bitcoin\Bitcoin-Qt
Source: https://securingtomorrow.mcafee.com/mcafee-labs/lazarus-resurfaces-targets-global-banks-bitcoin-users/
???
Source: https://ethereumworldnews.com/bithumb-hacked-30-million-in-cryptocurrency-stolen/
???
Source: https://ethereumworldnews.com/bithumb-hacked-30-million-in-cryptocurrency-stolen/
???
Source: https://www.coindesk.com/south-korean-bitcoin-exchange-declare-bankruptcy-hack/
ANDARIEL mining sent to pyongyang
Source: https://www.bloomberg.com/news/articles/2018-01-02/north-korean-hackers-hijack-computers-to-mine-cryptocurrencies
Conclusiónpatch!
iMPROVE!
LEARN FROM OTHER PEOPLES MISTAKES!
LEARN FROM YOUR MISTAKES!
KNOW YOURSELF!
Quien se ha comido mi CPU?
@33root