UnderCrime: La verdadera visión v 1.5 (abramos la Jaula de Faraday)
Epoch: 1268931600Localización: 40.4521,-36927
SpeakerPonente: Juan Carlos Ruiloba CastillaEmail: [email protected]
• Veintiocho años en las Fuerzas y Cuerpos deSeguridad del Estado (CNP), de los que los últimosveintiséis años ha estado relacionado con lasNuevas Tecnologías y los últimos siete años comoresponsable del Grupo de Cibercrimen de Barcelona.
• Actualmente, en segunda actividad dentro del CNP,se ha vinculado, para desempeñar su labor deInvestigación Tecnológica, a la empresa Método 3.
218 de marzo de 2010
Truth is not single real, also can be digital! © jU4n(rU1
318 de marzo de 2010
Presentemos la escena
418 de marzo de 2010
Acto 1
518 de marzo de 2010
Vladimir contacta con Tyagunova través del chat de la Red Social love.mail.ru. Vladimir le ofrece la posibilidad de trabajar para una empresa de Soft desde España
Acto 2
618 de marzo de 2010
Manuel se baja de Internet por P2P la última versión de un paquete de Ofimática con Keygen/Patch incluido
Acto 2
718 de marzo de 2010
Y ejecuta el Keygen pese al aviso de seguridad de su Soft de seguridad, si el malware no fuera 0-day (Zero day) se hubiese infectado del mismo modo.
Acto 3
818 de marzo de 2010
Fabián, al cuál tiene problemas con el pago de la hipoteca, recibe un email ofreciéndole una oferta de trabajo
Acto 3
918 de marzo de 2010
Fabián visita la página de la empresa ofertante y rellena los formularios previos al contrato.
Acto 3
1018 de marzo de 2010
Fabián visita la página de la empresa ofertante y ve que tiene que cumplimentar unos formularios con su información
Acto 3
1118 de marzo de 2010
Fabián los cumplimenta y los envía
Acto 4
1218 de marzo de 2010
A Ilva le ofrecen en Moscú unos cuantos rublos por recoger envíos de dinero desde Europa
Acto 5
1318 de marzo de 2010
Aleksei trabaja de programador en San Petersburgo, desarrolla un multiportalmultibancario, además de varios keygens
Acto 6
1418 de marzo de 2010
Victor recibe un email publicitario sobre “little girls”
Acto 6
1518 de marzo de 2010
El Hiperenlace realmente es inapropiado
Acto 6
1618 de marzo de 2010
… y 30 Gb si te unes
Acto 6
1718 de marzo de 2010
Debes efectuar un pago
Acto 6
1818 de marzo de 2010
Y recibes tus credenciales para acceder, pero observemos un detalle… lugar y regalo!!!
Acto 7
1918 de marzo de 2010
Vasiliy monta una empresa de servicios por Internet con sede en Lloret de Mar
Acto 7
2018 de marzo de 2010
Los pagos de los accesos a las páginas inapropiadas se blanqueaban como licencias de software
Acto 7
2118 de marzo de 2010
Otros dominios estaban también preparados
Acto 8
2218 de marzo de 2010
Mariya viaja a Barcelona y con documentación falsa abre varias cuentas bancarias
Acto 9
2318 de marzo de 2010
Juan que tiene un WebSite de su negocio se da cuenta que sus comunicaciones por eMail no funciona correctamente
Acto 9
2418 de marzo de 2010
Bajo el dominio de Juan están alojadas las páginas iniciales de Pornografía Infantil
Acto 9
2518 de marzo de 2010
Dichas páginas llevan a dominios distintos pero de temática similar
PureLola.CN - Pure Child Porn galleries!:
Acto 9
2618 de marzo de 2010
Donde , a su vez, ofrecen la posibilidad de subscripción para acceder a las imágenes
Y ahora hay que empezar a mirar detrás del telón
2718 de marzo de 2010
El desenlace
2818 de marzo de 2010
A Tyagunova, la del chat de mail.ru, le comunican por ICQ que tiene una transferencia en su cuenta y debe empezar a trabajar
El desenlace
2918 de marzo de 2010
El dinero transferido lo envía a Rusia
El desenlace
3018 de marzo de 2010
Tyagunova después de su detención explica el origen
El desenlace
3118 de marzo de 2010
Del mismo modo Fabián, el de la hipoteca, recibe por email la comunicación de un ingreso
Saca la parte a enviar y el resto lo envía
El desenlace
3218 de marzo de 2010
Mariya, la ucraniana de varias filiaciones, se dirige a varias oficinas a sacar dinero
El desenlace
3318 de marzo de 2010
Ilva, recibe en Rusia unas cuantas transferencias
El desenlace
3418 de marzo de 2010
Víctor, el de las páginas de Porno, se descubre que su cuenta bancaria la han realizado varias transferencias
El desenlace
3518 de marzo de 2010
Las transferencias han sido realizadas por Internet, y han ido a Tyagunova, Fabiany a Nataliya.
La dirección IP de las transferencias identifican un domicilio … el de Manuel, aquél que se descargo el Soft de ofimática
El desenlace
3618 de marzo de 2010
El “digital forensic” de las máquinas de Manuel y Fabián nos demuestran que las mismas están comprometidas con malware
El desenlace
3718 de marzo de 2010
Las páginas que alojaba el malware, así como los correos electrónicos enviados por la organización se han realizado a través de Mothership de redes zombies.
Double Flux
3818 de marzo de 2010
Servidor DNS Root
1
2
Servidor .comTLD (Top
Level Domain)
PC de la red BotNet en
funciones de servidor DNS
5
4
3
NODO MotherShipque en Double Flux
funciona como controlador de los PC’s de la BotNet
como de servidor DNS6
Interroga al Servidor DNS del MotherShip
7MotherShip devuelve IP: A.B.C.D
RED BOTNET (miles de PC’s)
9
12
10
11
Home PCconecta a
www.malware.com
8
Hydra Flux
18 de marzo de 2010
Topología Multi-Server Mothership
Ordenador Víctima
Proxys
NameServers
MÁQUINAS ZOMBIES
Mitigación1. Establecer políticas para permitir el bloqueo de TCP 80 y UDP 53 si
es posible en redes user-land. (Por los ISPs)2. Bloquear el acceso al controlador de la infraestructura (mothership,
registro y verificación de disponibilidad), en cuanto seandescubiertos. (ISPs)
3. Mejorar los procedimientos de registro de dominio, y la auditoría denuevos registros para fines fraudulentos. (Registradores)
4. Aumentar la conciencia proveedor de servicios, fomentar elconocimiento de las amenaza, los procesos compartidos yconocimientos. (ISPs)
5. BH-DNS (Blackhole DNS) e inyección de rutas BGP para cargarse alos motherships y el mantenimiento de la infraestructura. (ISPs)
6. Captura y seguimiento pasivo DNS / supervisión para identificar losregistros A y NS para detectar anomalías y cambios continuos,registrandolos en Historiales públicos (ISPs, registradores,profesionales de la seguridad, ...)
4018 de marzo de 2010
El desenlace
4118 de marzo de 2010
Como los S.A. y los Register se involucran en el Crimen
El desenlace
4218 de marzo de 2010
Se entre enlaza toda la actividad
El desenlace
4318 de marzo de 2010
Se entre enlaza toda la actividad
Botnets
4418 de marzo de 2010
Rustock = Costrat1, 3-2 Millones
Mega-D = Ozdok300000-500000
Grum = Tedroo600000-800000
Pushdo = Cutwail = Pushu = Pandex1-1.5 Millones
Lethic
Waledac = Waled = Waledpak
Srizbi = CbePlay = Exchanger
Bobax = Kraken = Oderoor = Hacktool.spammer80000- 120000
Bagle = Beagle = Mitglieder = Lodeight600000-800000
Donbot = Buzus0.8 – 1.2 Millones
Gheg = Tofsee = Mondera150000-200000
Xarvester = Rlsloup = Pixoliz500000-800000
Seguimientos de BotNets. Fuentes sacadas de M86 Security Labs
Maazben200000-300000
Festi100000-200000
Mariposa
Kneber74000
Oficla200000
Botnets
4518 de marzo de 2010
Top Ten Botnets
ZeuS = Zbot = WSNPOEM = NTOS = PRG: precio aproximado 4000 $ por copia¿Cómo combatirlo? SpyEye lo desinstala pero … se instala él => cambio de C&C
Botnets
4618 de marzo de 2010
Spy Eye v1.0: Nuevo producto que nace en Rusia (“magic”) aparece el 2 de enero de 2010.
Botnets
4718 de marzo de 2010
•FormGrabbing: Keylogging avanzado que intercepta información en los exploradores, con soporte para
Firefox, IE, Maxthon y Netscape.
* CC Autofill: Módulo que automatiza el proceso de fraudes de tarjeta de crédito reportando los datos a los
botmasters a través de logs.
•Panel de Administración PHP-MYSQL
* C&C a través de protocolo http , con posibilidad de configurar dos alternativas, así si un dominio es dado
de baja puede mantener el control por la ruta alternativa
* Envío de backups diarios de la base de datos por email
* Cifrado de string-sources del ejecutable
* Grabbing para FTP. Total Commander, Notepad++, FileZilla y otros
* Grabbing para POP3
* Invisibilidad en la lista de procesos, archivo invisible, invisible en autorun (registro)•Zeus killer (a partir de la versión 1.07)* “Grabbing “Basic-access-authentication”. Mayor apropiación de base de autorización (para aplicaciones que utilizan criptografía. Bibliotecas para núcleos de cifrado) (a partir de la versión 1.072). * Alta capacidad de Inyección-WEB con el formato de Zeus. (Soporta IE5-8, Maxthon, etc) Todo-en-uno bot(En cuanto a la versión anterior, que utiliza un cuentagotas) (a partir de versión 1.08)
Capacidades
Botnets
4818 de marzo de 2010
Detección casi nula del cuerpo del bot
Precio última versión, 662 euros con gastos
Botnets
4918 de marzo de 2010
Se dice pero suele pasar
Botnets
5018 de marzo de 2010
Zeus Botnet 1.2.7.8
Botnets
5118 de marzo de 2010
Zeus Botnet 1.2.7.8
Botnets
5218 de marzo de 2010
Zeus Tracker
5318 de marzo de 2010
5418 de marzo de 2010
Zeus Tracker
Zeus Tracker
5518 de marzo de 2010
Zeus Tracker
5618 de marzo de 2010
Zero-Day
5718 de marzo de 2010
Si no nos adelantamos…
Scareware
5818 de marzo de 2010
Falsos positivos…
… con el mismo interes
Blended Threat
5918 de marzo de 2010
Mezcla de amenazas
Varios escenarios
Múltiple amenaza en un solo vector, un troyano que tiene capaacidades de Worm
Única amenaza y múltiples vectores, un troyano entra vía email y apertura una puerta futura para infección y destrucción.
Direct Message (DM) y Twiter Bots
6018 de marzo de 2010
Scam en Direct Message en Redes sociales como Twiter
1- Unfollow todos los seguidores. Menuda opción!!!2. Desactive su DM eMails. Solo reducirá el número.3- Utilice un administrador de Twiter. Ayudará a filtrar, como Tweetdeck or Socialite.4. No lea su DMs. Poner el correo en el fondo del twitter ya que la mayoría de programas utilizados por los spammer no tienen reconocedor de OCR.5- Bloquear al usuario/s. Hará que al final Twitterle suspenda la cuenta.6- Bienvenido al hermitaño, haga su Twiter privado7- Utilice el boton de SPAM, si realmente esta seguro que es un spammer.
Soft malicioso
6118 de marzo de 2010
FlashForward
6218 de marzo de 2010
Crecimiento del Pharmingatacando las resoluciones
DNS
La explosión de los nuevos dominios TLD
La disponibilidad en línea de los equipos móviles a través de conexiones WiFi, 3/4G, IPv6
Redes Sociales
Evolución Web: Geogle
Chrome y HTML 5
Sofisticación de Troyanos
bancarios
Ataques a Adobe y Flash
BotNets con control peer-to-
peer
Ataques a niños,
adolescentes y ancianos
Soluciones
6318 de marzo de 2010
Las soluciones están en crear Grupos de trabajos orientados en un objetivo común
Proveedores Telecomunicaciones
Víctimas Vendedores de Software y Hardware
ISP’s
Organizaciones de Informes de
Incidentes - CERTs
Medios de Comunicación
Equipos de respuesta de
Incidentes - FIRST
Fuerzas de seguridad del Estado
Titulares de IP’satacadas
INFORMACIÓN
6418 de marzo de 2010
DUDAS