juan carlos ruiloba - undercrime: (d&v) multitécnicas antiforensic: abramos la jaula de faraday...

UnderCrime: La verdadera visión v 1.5 (abramos la Jaula de Faraday)

Epoch: 1268931600Localización: 40.4521,-36927

SpeakerPonente: Juan Carlos Ruiloba CastillaEmail: [email protected]

• Veintiocho años en las Fuerzas y Cuerpos deSeguridad del Estado (CNP), de los que los últimosveintiséis años ha estado relacionado con lasNuevas Tecnologías y los últimos siete años comoresponsable del Grupo de Cibercrimen de Barcelona.

• Actualmente, en segunda actividad dentro del CNP,se ha vinculado, para desempeñar su labor deInvestigación Tecnológica, a la empresa Método 3.

218 de marzo de 2010

Truth is not single real, also can be digital! © jU4n(rU1


Presentemos la escena


Acto 1


Vladimir contacta con Tyagunova través del chat de la Red Social love.mail.ru. Vladimir le ofrece la posibilidad de trabajar para una empresa de Soft desde España

Acto 2


Manuel se baja de Internet por P2P la última versión de un paquete de Ofimática con Keygen/Patch incluido

Acto 2


Y ejecuta el Keygen pese al aviso de seguridad de su Soft de seguridad, si el malware no fuera 0-day (Zero day) se hubiese infectado del mismo modo.

http://go2.wordpress.com/?id=725X1342&site=windowstips.wordpress.com&url=http://windowstips.files.wordpress.com/2007/11/oday.jpg

Acto 3


Fabián, al cuál tiene problemas con el pago de la hipoteca, recibe un email ofreciéndole una oferta de trabajo

Acto 3


Fabián visita la página de la empresa ofertante y rellena los formularios previos al contrato.

Acto 3


Fabián visita la página de la empresa ofertante y ve que tiene que cumplimentar unos formularios con su información

Acto 3


Fabián los cumplimenta y los envía

Acto 4


A Ilva le ofrecen en Moscú unos cuantos rublos por recoger envíos de dinero desde Europa

Acto 5


Aleksei trabaja de programador en San Petersburgo, desarrolla un multiportalmultibancario, además de varios keygens

Acto 6


Victor recibe un email publicitario sobre “little girls”

Acto 6


El Hiperenlace realmente es inapropiado

Acto 6


… y 30 Gb si te unes

Acto 6


Debes efectuar un pago

Acto 6


Y recibes tus credenciales para acceder, pero observemos un detalle… lugar y regalo!!!

Acto 7


Vasiliy monta una empresa de servicios por Internet con sede en Lloret de Mar

Acto 7


Los pagos de los accesos a las páginas inapropiadas se blanqueaban como licencias de software

Acto 7


Otros dominios estaban también preparados

Acto 8


Mariya viaja a Barcelona y con documentación falsa abre varias cuentas bancarias

Acto 9


Juan que tiene un WebSite de su negocio se da cuenta que sus comunicaciones por eMail no funciona correctamente

Acto 9


Bajo el dominio de Juan están alojadas las páginas iniciales de Pornografía Infantil

Acto 9


Dichas páginas llevan a dominios distintos pero de temática similar

PureLola.CN - Pure Child Porn galleries!:

Acto 9


Donde , a su vez, ofrecen la posibilidad de subscripción para acceder a las imágenes

Y ahora hay que empezar a mirar detrás del telón


El desenlace


A Tyagunova, la del chat de mail.ru, le comunican por ICQ que tiene una transferencia en su cuenta y debe empezar a trabajar

El desenlace


El dinero transferido lo envía a Rusia

El desenlace


Tyagunova después de su detención explica el origen

El desenlace


Del mismo modo Fabián, el de la hipoteca, recibe por email la comunicación de un ingreso

Saca la parte a enviar y el resto lo envía

El desenlace


Mariya, la ucraniana de varias filiaciones, se dirige a varias oficinas a sacar dinero

El desenlace


Ilva, recibe en Rusia unas cuantas transferencias

El desenlace


Víctor, el de las páginas de Porno, se descubre que su cuenta bancaria la han realizado varias transferencias

El desenlace


Las transferencias han sido realizadas por Internet, y han ido a Tyagunova, Fabiany a Nataliya.

La dirección IP de las transferencias identifican un domicilio … el de Manuel, aquél que se descargo el Soft de ofimática

El desenlace


El “digital forensic” de las máquinas de Manuel y Fabián nos demuestran que las mismas están comprometidas con malware

El desenlace


Las páginas que alojaba el malware, así como los correos electrónicos enviados por la organización se han realizado a través de Mothership de redes zombies.

Double Flux


Servidor DNS Root

1

2

Servidor .comTLD (Top

Level Domain)

PC de la red BotNet en

funciones de servidor DNS

5

4

3

NODO MotherShipque en Double Flux

funciona como controlador de los PC’s de la BotNet

como de servidor DNS6

Interroga al Servidor DNS del MotherShip

7MotherShip devuelve IP: A.B.C.D

RED BOTNET (miles de PC’s)

9

12

10

11

Home PCconecta a

www.malware.com

8

Hydra Flux

18 de marzo de 2010

Topología Multi-Server Mothership

Ordenador Víctima

Proxys

NameServers

MÁQUINAS ZOMBIES

Mitigación1. Establecer políticas para permitir el bloqueo de TCP 80 y UDP 53 si

es posible en redes user-land. (Por los ISPs)2. Bloquear el acceso al controlador de la infraestructura (mothership,

registro y verificación de disponibilidad), en cuanto seandescubiertos. (ISPs)

3. Mejorar los procedimientos de registro de dominio, y la auditoría denuevos registros para fines fraudulentos. (Registradores)

4. Aumentar la conciencia proveedor de servicios, fomentar elconocimiento de las amenaza, los procesos compartidos yconocimientos. (ISPs)

5. BH-DNS (Blackhole DNS) e inyección de rutas BGP para cargarse alos motherships y el mantenimiento de la infraestructura. (ISPs)

6. Captura y seguimiento pasivo DNS / supervisión para identificar losregistros A y NS para detectar anomalías y cambios continuos,registrandolos en Historiales públicos (ISPs, registradores,profesionales de la seguridad, ...)


El desenlace


Como los S.A. y los Register se involucran en el Crimen

El desenlace


Se entre enlaza toda la actividad

Botnets


Rustock = Costrat1, 3-2 Millones

Mega-D = Ozdok300000-500000

Grum = Tedroo600000-800000

Pushdo = Cutwail = Pushu = Pandex1-1.5 Millones

Lethic

Waledac = Waled = Waledpak

Srizbi = CbePlay = Exchanger

Bobax = Kraken = Oderoor = Hacktool.spammer80000- 120000

Bagle = Beagle = Mitglieder = Lodeight600000-800000

Donbot = Buzus0.8 – 1.2 Millones

Gheg = Tofsee = Mondera150000-200000

Xarvester = Rlsloup = Pixoliz500000-800000

Seguimientos de BotNets. Fuentes sacadas de M86 Security Labs

Maazben200000-300000

Festi100000-200000

Mariposa

Kneber74000

Oficla200000

Botnets


Top Ten Botnets

ZeuS = Zbot = WSNPOEM = NTOS = PRG: precio aproximado 4000 $ por copia¿Cómo combatirlo? SpyEye lo desinstala pero … se instala él => cambio de C&C

Botnets


Spy Eye v1.0: Nuevo producto que nace en Rusia (“magic”) aparece el 2 de enero de 2010.

Botnets


•FormGrabbing: Keylogging avanzado que intercepta información en los exploradores, con soporte para

Firefox, IE, Maxthon y Netscape.

* CC Autofill: Módulo que automatiza el proceso de fraudes de tarjeta de crédito reportando los datos a los

botmasters a través de logs.

•Panel de Administración PHP-MYSQL

* C&C a través de protocolo http , con posibilidad de configurar dos alternativas, así si un dominio es dado

de baja puede mantener el control por la ruta alternativa

* Envío de backups diarios de la base de datos por email

* Cifrado de string-sources del ejecutable

* Grabbing para FTP. Total Commander, Notepad++, FileZilla y otros

* Grabbing para POP3

* Invisibilidad en la lista de procesos, archivo invisible, invisible en autorun (registro)•Zeus killer (a partir de la versión 1.07)* “Grabbing “Basic-access-authentication”. Mayor apropiación de base de autorización (para aplicaciones que utilizan criptografía. Bibliotecas para núcleos de cifrado) (a partir de la versión 1.072). * Alta capacidad de Inyección-WEB con el formato de Zeus. (Soporta IE5-8, Maxthon, etc) Todo-en-uno bot(En cuanto a la versión anterior, que utiliza un cuentagotas) (a partir de versión 1.08)

Capacidades

Botnets


Detección casi nula del cuerpo del bot

Precio última versión, 662 euros con gastos

Botnets


Se dice pero suele pasar

Botnets


Zeus Botnet 1.2.7.8

Botnets


Zeus Tracker


Zero-Day


Si no nos adelantamos…

Scareware


Falsos positivos…

… con el mismo interes

Blended Threat


Mezcla de amenazas

Varios escenarios

Múltiple amenaza en un solo vector, un troyano que tiene capaacidades de Worm

Única amenaza y múltiples vectores, un troyano entra vía email y apertura una puerta futura para infección y destrucción.

Direct Message (DM) y Twiter Bots


Scam en Direct Message en Redes sociales como Twiter

1- Unfollow todos los seguidores. Menuda opción!!!2. Desactive su DM eMails. Solo reducirá el número.3- Utilice un administrador de Twiter. Ayudará a filtrar, como Tweetdeck or Socialite.4. No lea su DMs. Poner el correo en el fondo del twitter ya que la mayoría de programas utilizados por los spammer no tienen reconocedor de OCR.5- Bloquear al usuario/s. Hará que al final Twitterle suspenda la cuenta.6- Bienvenido al hermitaño, haga su Twiter privado7- Utilice el boton de SPAM, si realmente esta seguro que es un spammer.

Soft malicioso


FlashForward


Crecimiento del Pharmingatacando las resoluciones

DNS

La explosión de los nuevos dominios TLD

La disponibilidad en línea de los equipos móviles a través de conexiones WiFi, 3/4G, IPv6

Redes Sociales

Evolución Web: Geogle

Chrome y HTML 5

Sofisticación de Troyanos

bancarios

Ataques a Adobe y Flash

BotNets con control peer-to-

peer

Ataques a niños,

adolescentes y ancianos

Soluciones


Las soluciones están en crear Grupos de trabajos orientados en un objetivo común

Proveedores Telecomunicaciones

Víctimas Vendedores de Software y Hardware

ISP’s

Organizaciones de Informes de

Incidentes - CERTs

Medios de Comunicación

Equipos de respuesta de

Incidentes - FIRST

Fuerzas de seguridad del Estado

Titulares de IP’satacadas

INFORMACIÓN


DUDAS

juan carlos ruiloba - undercrime: (d&v) multitécnicas antiforensic: abramos la jaula de faraday...

Technology