*[ Internet, escenario de cibercrimenes] Autor: David Barroso Fecha: 18 de Marzo de 2010

(1)

Autor: David Barroso

Fecha: 18 de Marzo de 2010

(2)

Pág. 2

Tag cloud

botnets

bullet-proof hosting

infection kits

C&C

P2P cifrado

sandbox

anti-debugging fraude

economía sumergida phishing pharming spam

mulas

DDoS

iframe business stealth code

(3)

Pág. 3

(4)

Pág. 4

1. Robo de información

Fraude

Control de dominios

(5)

Pág. 5

2. Control de activos

Hosting

Envío de SP

(6)

Pág. 6

3. Otro tipo de daños

ClickF

raud

Pay per Install

Iframe Business

(7)

10 posibles razones de los delitos

1.  Cada vez somos más vulnerables al crimen en Internet

2.  La frecuencia de los incidentes es mayor, así como su sofistificación

3.  No existe una base legal bien definida

4.  El carácter distribuido de los incidentes genera problemas de jurisdicción

5.  No existen estructuras funcionales de cooperación

6.  Hoy en día, no está clara la responsabilidad de los incidentes

7.  La concienciación de los usuarios es mínima

8.  El crimen organizado cuenta con multitud de recursos

9.  El anonimato y la facilidad de “operar” en Internet

(8)

Pág. 8

(9)

Página 9

2009 Robos de Bancos (FBI) 1645 Casos denunciados

15 Millones de dolares robados

3 Personas muertas (todos ladrones)

2009 Estadisticas de Phishing (Gartner) 5 Millones de estadounidenses afectados 1755 Millones de dolares perdidos

Ningun muerto

El cibercrimen resulta mas atractivo para las organizaciones

criminales

(10)

Motivos

"   Económicos (mass attacks)

•  Phishing, pharming, vishing, SMSing, scam

•  Click-fraud

•  Pump & Dump

•  Iframe and DDoS business "   Religiosos (dirigidos)

•  Dinamarca vs mundo islámico "   Políticos (dirigidos/mass)

•  USA, China, Corea, Israel, …

•  Rusia vs Estonia "   Industriales (dirigidos)

•  Ciberespionaje: CEO, secretarias

(11)

Pág. 11

(12)

Mariposa

(13)

Pág. 13

Quiero ser el amo de

13

(14)

Mariposa - Butterfly

(15)

(16)

Pág. 16

1. Elige tu método

(17)

Métodos de infección más comunes

Pág. 17 Pág. 17



Vulnerabilidades Remotas



Blaster, Sasser, W32.Gimmiv.A



Attachments de correo



Dinamarca vs mundo islámico



Descargas maliciosas



P2P



Propagación por IM, USB



Visitando una web



Vulnerabilidades en navegadores y sus plugins



Vulnerabilidades en otros clientes (Acrobat, Winamp,

(18)

(19)

(20)

(21)

(22)

Pág. 22

¿Cómo infecto una web?

(23)

Pág. 23

MPack

Servidor Web legítimo (www.midominio.com)

Panel Control de Exploits

Panel Control de Botnets

Elexploit hace que se conecte a otra web para descargar el troyano y contabilizar estadísticas El troyano se conecta con su master Servidor Web de Exploits El atacante

compromete una web

y le inyecta un iframe Atacante

iFRAME

El usuario se conecta a una página web normal

(con el iframe) Usuario

El usuario es redirigido a una web que tiene un exploit para navegadores

(24)

Pág. 24

Primera opción

(25)

(26)

(27)

Pág. 27

SQL Injection

(28)

(29)

(30)

(31)

(32)

A tener en cuenta



¿Qué es lo que quiero conseguir?



¡¡Centra tus esfuerzos!!



Ejemplo: páginas españolas



SEO y posicionamiento



Alexa Ranking



No todo es infectar



Muchas veces interesa sólo posicionar



Típico en comentarios de blogs o foros



Más peligroso cuando está inyectado en el contenido

(ej. <noscript>)

(33)

Pág. 33

Segunda opción

(34)

(35)

(36)

(37)

(38)

(39)

(40)

Pág. 40

2. Elige tu infection kit

preferido

(41)

(42)

(43)

(44)

Pág. 44

3. Elige tu backend (C&C)

preferido

(45)

Pág. 45

(46)

Mariposa - Butterfly

(47)

Mariposa - Butterfly

(48)

Pág. 48

(49)

Bullet-proof hosting



Un poco más caro ($$$)



Controlado por mafias



Protegidos por gobiernos



Russian Business Network (RBN)



Hong-Kong, Argentina, Panamá



Turquía, Rusia, Ucrania, Corea, ...



No siempre es bueno un blackholing



Pagos online (WebMoney, MoneyGram, WestFargo, …).



Contacto: ICQ

(50)

(51)

(52)

(53)

(54)

Pág. 54

(55)

¿Qué necesitamos?

1. Método de infección

2. Infection kit

3. Backend

4. Código maligno

5. Hosting

Pág. 55

(56)

No tiene precio (priceless)

Pág. 56

Mariposa DIY 1.000

€

Hosting 500

€

Infection kit 500

€

Varios 500

€

Total 13 millones

(57)

(58)

Pág. 58

(59)

Pág. 59

Capas en el modelo MaaS

1. Capa de Red (3-4 OSI layer)

2. Capa de Aplicación (7 OSI layer)

3. Capa de la infección (client exploits): una

posible capa 8

4. Capa cliente(código malicioso que se ejecuta

en la máquina infectada): de alguna forma una

capa 9

1 2 3 4

Cada capa necesita diferentes herramientas y procedimientos

Es necesario correlar toda la información de cada capa para entender

la amenaza

(60)

(61)

Resumen

(62)

Resumen

1.  Cada vez somos más vulnerables al crimen en

Internet

2.  La frecuencia de los incidentes es mayor, así como

su sofistificación

3.  No existe una base legal bien definida

4.  El carácter distribuido de los incidentes genera

problemas de jurisdicción

5.  No existen estructuras funcionales de cooperación

6.  Hoy en día, no está clara la responsabilidad de los

incidentes

7.  La concienciación de los usuarios es mínima

8.  El crimen organizado cuenta con multitud de

recursos

9.  El anonimato y la facilidad de “operar” en Internet

10. Necesitamos nuevas herramientas, servicios y

(63)

Muchas gracias

Pág. 63

David Barroso

S21sec e-crime Director

[email protected] http://blog.s21sec.com