juan carlos ruiloba - undercrime: (d&v) multitécnicas antiforensic: abramos la jaula de faraday...

UnderCrime: La verdadera visión v 1.5 (abramos la Jaula de Faraday)

Epoch: 1268931600Localización: 40.4521,-36927

SpeakerPonente: Juan Carlos Ruiloba CastillaEmail: juancrui@metodo3.es

• Veintiocho años en las Fuerzas y Cuerpos deSeguridad del Estado (CNP), de los que los últimosveintiséis años ha estado relacionado con lasNuevas Tecnologías y los últimos siete años comoresponsable del Grupo de Cibercrimen de Barcelona.

• Actualmente, en segunda actividad dentro del CNP,se ha vinculado, para desempeñar su labor deInvestigación Tecnológica, a la empresa Método 3.

218 de marzo de 2010

Truth is not single real, also can be digital! © jU4n(rU1

318 de marzo de 2010

Presentemos la escena

418 de marzo de 2010

Acto 1

518 de marzo de 2010

Vladimir contacta con Tyagunova través del chat de la Red Social love.mail.ru. Vladimir le ofrece la posibilidad de trabajar para una empresa de Soft desde España

Acto 2

618 de marzo de 2010

Manuel se baja de Internet por P2P la última versión de un paquete de Ofimática con Keygen/Patch incluido

Acto 2

718 de marzo de 2010

Y ejecuta el Keygen pese al aviso de seguridad de su Soft de seguridad, si el malware no fuera 0-day (Zero day) se hubiese infectado del mismo modo.

Acto 3

818 de marzo de 2010

Fabián, al cuál tiene problemas con el pago de la hipoteca, recibe un email ofreciéndole una oferta de trabajo

Acto 3

918 de marzo de 2010

Fabián visita la página de la empresa ofertante y rellena los formularios previos al contrato.

Acto 3

1018 de marzo de 2010

Fabián visita la página de la empresa ofertante y ve que tiene que cumplimentar unos formularios con su información

Acto 3

1118 de marzo de 2010

Fabián los cumplimenta y los envía

Acto 4

1218 de marzo de 2010

A Ilva le ofrecen en Moscú unos cuantos rublos por recoger envíos de dinero desde Europa

Acto 5

1318 de marzo de 2010

Aleksei trabaja de programador en San Petersburgo, desarrolla un multiportalmultibancario, además de varios keygens

Acto 6

1418 de marzo de 2010

Victor recibe un email publicitario sobre “little girls”

Acto 6

1518 de marzo de 2010

El Hiperenlace realmente es inapropiado

Acto 6

1618 de marzo de 2010

… y 30 Gb si te unes

Acto 6

1718 de marzo de 2010

Debes efectuar un pago

Acto 6

1818 de marzo de 2010

Y recibes tus credenciales para acceder, pero observemos un detalle… lugar y regalo!!!

Acto 7

1918 de marzo de 2010

Vasiliy monta una empresa de servicios por Internet con sede en Lloret de Mar

Acto 7

2018 de marzo de 2010

Los pagos de los accesos a las páginas inapropiadas se blanqueaban como licencias de software

Acto 7

2118 de marzo de 2010

Otros dominios estaban también preparados

Acto 8

2218 de marzo de 2010

Mariya viaja a Barcelona y con documentación falsa abre varias cuentas bancarias

Acto 9

2318 de marzo de 2010

Juan que tiene un WebSite de su negocio se da cuenta que sus comunicaciones por eMail no funciona correctamente

Acto 9

2418 de marzo de 2010

Bajo el dominio de Juan están alojadas las páginas iniciales de Pornografía Infantil

Acto 9

2518 de marzo de 2010

Dichas páginas llevan a dominios distintos pero de temática similar

PureLola.CN - Pure Child Porn galleries!:

Acto 9

2618 de marzo de 2010

Donde , a su vez, ofrecen la posibilidad de subscripción para acceder a las imágenes

Y ahora hay que empezar a mirar detrás del telón

2718 de marzo de 2010

El desenlace

2818 de marzo de 2010

A Tyagunova, la del chat de mail.ru, le comunican por ICQ que tiene una transferencia en su cuenta y debe empezar a trabajar

El desenlace

2918 de marzo de 2010

El dinero transferido lo envía a Rusia

El desenlace

3018 de marzo de 2010

Tyagunova después de su detención explica el origen

El desenlace

3118 de marzo de 2010

Del mismo modo Fabián, el de la hipoteca, recibe por email la comunicación de un ingreso

Saca la parte a enviar y el resto lo envía

El desenlace

3218 de marzo de 2010

Mariya, la ucraniana de varias filiaciones, se dirige a varias oficinas a sacar dinero

El desenlace

3318 de marzo de 2010

Ilva, recibe en Rusia unas cuantas transferencias

El desenlace

3418 de marzo de 2010

Víctor, el de las páginas de Porno, se descubre que su cuenta bancaria la han realizado varias transferencias

El desenlace

3518 de marzo de 2010

Las transferencias han sido realizadas por Internet, y han ido a Tyagunova, Fabiany a Nataliya.

La dirección IP de las transferencias identifican un domicilio … el de Manuel, aquél que se descargo el Soft de ofimática

El desenlace

3618 de marzo de 2010

El “digital forensic” de las máquinas de Manuel y Fabián nos demuestran que las mismas están comprometidas con malware

El desenlace

3718 de marzo de 2010

Las páginas que alojaba el malware, así como los correos electrónicos enviados por la organización se han realizado a través de Mothership de redes zombies.

Double Flux

3818 de marzo de 2010

Servidor DNS Root

1

2

Servidor .comTLD (Top

Level Domain)

PC de la red BotNet en

funciones de servidor DNS

5

4

3

NODO MotherShipque en Double Flux

funciona como controlador de los PC’s de la BotNet

como de servidor DNS6

Interroga al Servidor DNS del MotherShip

7MotherShip devuelve IP: A.B.C.D

RED BOTNET (miles de PC’s)

9

12

10

11

Home PCconecta a

www.malware.com

8

Hydra Flux

18 de marzo de 2010

Topología Multi-Server Mothership

Ordenador Víctima

Proxys

NameServers

MÁQUINAS ZOMBIES

Mitigación1. Establecer políticas para permitir el bloqueo de TCP 80 y UDP 53 si

es posible en redes user-land. (Por los ISPs)2. Bloquear el acceso al controlador de la infraestructura (mothership,

registro y verificación de disponibilidad), en cuanto seandescubiertos. (ISPs)

3. Mejorar los procedimientos de registro de dominio, y la auditoría denuevos registros para fines fraudulentos. (Registradores)

4. Aumentar la conciencia proveedor de servicios, fomentar elconocimiento de las amenaza, los procesos compartidos yconocimientos. (ISPs)

5. BH-DNS (Blackhole DNS) e inyección de rutas BGP para cargarse alos motherships y el mantenimiento de la infraestructura. (ISPs)

6. Captura y seguimiento pasivo DNS / supervisión para identificar losregistros A y NS para detectar anomalías y cambios continuos,registrandolos en Historiales públicos (ISPs, registradores,profesionales de la seguridad, ...)

4018 de marzo de 2010

El desenlace

4118 de marzo de 2010

Como los S.A. y los Register se involucran en el Crimen

El desenlace

4218 de marzo de 2010

Se entre enlaza toda la actividad

El desenlace

4318 de marzo de 2010

Se entre enlaza toda la actividad

Botnets

4418 de marzo de 2010

Rustock = Costrat1, 3-2 Millones

Mega-D = Ozdok300000-500000

Grum = Tedroo600000-800000

Pushdo = Cutwail = Pushu = Pandex1-1.5 Millones

Lethic

Waledac = Waled = Waledpak

Srizbi = CbePlay = Exchanger

Bobax = Kraken = Oderoor = Hacktool.spammer80000- 120000

Bagle = Beagle = Mitglieder = Lodeight600000-800000

Donbot = Buzus0.8 – 1.2 Millones

Gheg = Tofsee = Mondera150000-200000

Xarvester = Rlsloup = Pixoliz500000-800000

Seguimientos de BotNets. Fuentes sacadas de M86 Security Labs

Maazben200000-300000

Festi100000-200000

Mariposa

Kneber74000

Oficla200000

Botnets

4518 de marzo de 2010

Top Ten Botnets

ZeuS = Zbot = WSNPOEM = NTOS = PRG: precio aproximado 4000 $ por copia¿Cómo combatirlo? SpyEye lo desinstala pero … se instala él => cambio de C&C

Botnets

4618 de marzo de 2010

Spy Eye v1.0: Nuevo producto que nace en Rusia (“magic”) aparece el 2 de enero de 2010.

Botnets

4718 de marzo de 2010

•FormGrabbing: Keylogging avanzado que intercepta información en los exploradores, con soporte para

Firefox, IE, Maxthon y Netscape.

* CC Autofill: Módulo que automatiza el proceso de fraudes de tarjeta de crédito reportando los datos a los

botmasters a través de logs.

•Panel de Administración PHP-MYSQL

* C&C a través de protocolo http , con posibilidad de configurar dos alternativas, así si un dominio es dado

de baja puede mantener el control por la ruta alternativa

* Envío de backups diarios de la base de datos por email

* Cifrado de string-sources del ejecutable

* Grabbing para FTP. Total Commander, Notepad++, FileZilla y otros

* Grabbing para POP3

* Invisibilidad en la lista de procesos, archivo invisible, invisible en autorun (registro)•Zeus killer (a partir de la versión 1.07)* “Grabbing “Basic-access-authentication”. Mayor apropiación de base de autorización (para aplicaciones que utilizan criptografía. Bibliotecas para núcleos de cifrado) (a partir de la versión 1.072). * Alta capacidad de Inyección-WEB con el formato de Zeus. (Soporta IE5-8, Maxthon, etc) Todo-en-uno bot(En cuanto a la versión anterior, que utiliza un cuentagotas) (a partir de versión 1.08)

Capacidades

Botnets

4818 de marzo de 2010

Detección casi nula del cuerpo del bot

Precio última versión, 662 euros con gastos

Botnets

4918 de marzo de 2010

Se dice pero suele pasar

Botnets

5018 de marzo de 2010

Zeus Botnet 1.2.7.8

Botnets

5118 de marzo de 2010

Zeus Botnet 1.2.7.8

Botnets

5218 de marzo de 2010

Zeus Tracker

5318 de marzo de 2010

5418 de marzo de 2010

Zeus Tracker

Zeus Tracker

5518 de marzo de 2010

Zeus Tracker

5618 de marzo de 2010

Zero-Day

5718 de marzo de 2010

Si no nos adelantamos…

Scareware

5818 de marzo de 2010

Falsos positivos…

… con el mismo interes

Blended Threat

5918 de marzo de 2010

Mezcla de amenazas

Varios escenarios

Múltiple amenaza en un solo vector, un troyano que tiene capaacidades de Worm

Única amenaza y múltiples vectores, un troyano entra vía email y apertura una puerta futura para infección y destrucción.

Direct Message (DM) y Twiter Bots

6018 de marzo de 2010

Scam en Direct Message en Redes sociales como Twiter

1- Unfollow todos los seguidores. Menuda opción!!!2. Desactive su DM eMails. Solo reducirá el número.3- Utilice un administrador de Twiter. Ayudará a filtrar, como Tweetdeck or Socialite.4. No lea su DMs. Poner el correo en el fondo del twitter ya que la mayoría de programas utilizados por los spammer no tienen reconocedor de OCR.5- Bloquear al usuario/s. Hará que al final Twitterle suspenda la cuenta.6- Bienvenido al hermitaño, haga su Twiter privado7- Utilice el boton de SPAM, si realmente esta seguro que es un spammer.

Soft malicioso

6118 de marzo de 2010

FlashForward

6218 de marzo de 2010

Crecimiento del Pharmingatacando las resoluciones

DNS

La explosión de los nuevos dominios TLD

La disponibilidad en línea de los equipos móviles a través de conexiones WiFi, 3/4G, IPv6

Redes Sociales

Evolución Web: Geogle

Chrome y HTML 5

Sofisticación de Troyanos

bancarios

Ataques a Adobe y Flash

BotNets con control peer-to-

peer

Ataques a niños,

adolescentes y ancianos

Soluciones

6318 de marzo de 2010

Las soluciones están en crear Grupos de trabajos orientados en un objetivo común

Proveedores Telecomunicaciones

Víctimas Vendedores de Software y Hardware

ISP’s

Organizaciones de Informes de

Incidentes - CERTs

Medios de Comunicación

Equipos de respuesta de

Incidentes - FIRST

Fuerzas de seguridad del Estado

Titulares de IP’satacadas

INFORMACIÓN

6418 de marzo de 2010

DUDAS