En esta ponencia se intentará sacar a relucir que a veces acotamos demasiado los problemas, dividiendolos en subproblemas para resolverlos más fácilmente y con ello perdemos la visión real.
Las redes delincuenciales aplican esta misma técnica contra nosotros para llevarnos a su camino por saturación de complejidad, “Divide et impera” (D&V), incrementando la sofisticación y planteando múltiples problemas, múltiples objetivos, múltiples sistemas de enmascaramiento, múltiples países destinatarios de los ataques, múltiples hechos delictivos, múltiples orígenes de ataques, múltiples factores que damos como premisas validas que luego se convierten el falseadores de los resultados.
No olvidemos que entre esa multiplicidad delincuencial se encuentra la Pornografía Infantil, y que esos menores son reales y nos debemos a ellos, por muchas técnicas que empleen (Hydra Flux, Botnets, 0days, Scareware, Blended Threats, DM y otra muchas que aparecerán). Así que estamos obligados, por los menores, a que la guerra Hacker Vs.Hacker se decante en el lado del bien.
UnderCrime: La verdadera visión de la ciberdelincuencia
1. UnderCrime: La verdadera visión v 1.5
(abramos la Jaula de Faraday)
Epoch: 1268931600
Localización: 40.4521,-36927
2. Speaker
Ponente: Juan Carlos Ruiloba Castilla
Email: juancrui@metodo3.es
• Veintiocho años en las Fuerzas y Cuerpos de
Seguridad del Estado (CNP), de los que los últimos
veintiséis años ha estado relacionado con las
Nuevas Tecnologías y los últimos siete años como
responsable del Grupo de Cibercrimen de Barcelona.
• Actualmente, en segunda actividad dentro del CNP,
se ha vinculado, para desempeñar su labor de
Investigación Tecnológica, a la empresa Método 3.
18 de marzo de 2010 2
5. Acto 1
Vladimir contacta con Tyagunova través del chat de la Red
Social love.mail.ru. Vladimir le ofrece la posibilidad de trabajar
para una empresa de Soft desde España
18 de marzo de 2010 5
6. Acto 2
Manuel se baja de Internet por P2P la última versión de un paquete de Ofimática
con Keygen/Patch incluido
18 de marzo de 2010 6
7. Acto 2
Y ejecuta el Keygen pese al aviso de seguridad de su Soft de seguridad, si el
malware no fuera 0-day (Zero day) se hubiese infectado del mismo modo.
18 de marzo de 2010 7
8. Acto 3
Fabián, al cuál tiene problemas con el pago de la hipoteca, recibe un email
ofreciéndole una oferta de trabajo
18 de marzo de 2010 8
9. Acto 3
Fabián visita la página de la empresa ofertante y rellena los formularios previos al
contrato.
18 de marzo de 2010 9
10. Acto 3
Fabián visita la página de la empresa ofertante y ve que tiene que cumplimentar
unos formularios con su información
18 de marzo de 2010 10
11. Acto 3
Fabián los cumplimenta y los envía
18 de marzo de 2010 11
12. Acto 4
A Ilva le ofrecen en Moscú unos cuantos rublos por recoger envíos de dinero desde
Europa
18 de marzo de 2010 12
13. Acto 5
Aleksei trabaja de programador en San Petersburgo, desarrolla un multiportal
multibancario, además de varios keygens
18 de marzo de 2010 13
14. Acto 6
Victor recibe un email publicitario sobre “little girls”
18 de marzo de 2010 14
15. Acto 6
El Hiperenlace realmente es inapropiado
18 de marzo de 2010 15
16. Acto 6
… y 30 Gb si te unes
18 de marzo de 2010 16
17. Acto 6
Debes efectuar un pago
18 de marzo de 2010 17
18. Acto 6
Y recibes tus credenciales para acceder, pero observemos un detalle… lugar y
regalo!!!
18 de marzo de 2010 18
19. Acto 7
Vasiliy monta una empresa de servicios por Internet con sede en Lloret de Mar
18 de marzo de 2010 19
20. Acto 7
Los pagos de los accesos a las páginas inapropiadas se blanqueaban como licencias
de software
18 de marzo de 2010 20
21. Acto 7
Otros dominios estaban también preparados
18 de marzo de 2010 21
22. Acto 8
Mariya viaja a Barcelona y con documentación falsa abre varias cuentas bancarias
18 de marzo de 2010 22
23. Acto 9
Juan que tiene un WebSite de su negocio se da cuenta que sus comunicaciones por
eMail no funciona correctamente
18 de marzo de 2010 23
24. Acto 9
Bajo el dominio de Juan están alojadas las páginas iniciales de Pornografía Infantil
18 de marzo de 2010 24
25. Acto 9
Dichas páginas llevan a dominios distintos pero de temática similar
PureLola.CN - Pure Child Porn galleries!:
18 de marzo de 2010 25
26. Acto 9
Donde , a su vez, ofrecen la posibilidad de subscripción para acceder a las imágenes
18 de marzo de 2010 26
27. Y ahora hay que empezar a mirar detrás del
telón
18 de marzo de 2010 27
28. El desenlace
A Tyagunova, la del chat de mail.ru, le comunican por ICQ que tiene una
transferencia en su cuenta y debe empezar a trabajar
18 de marzo de 2010 28
29. El desenlace
El dinero transferido lo envía a Rusia
18 de marzo de 2010 29
30. El desenlace
Tyagunova después de su detención explica el origen
18 de marzo de 2010 30
31. El desenlace
Del mismo modo Fabián, el de la hipoteca, recibe por email la comunicación de un
ingreso
Saca la parte a enviar y el resto lo envía
18 de marzo de 2010 31
32. El desenlace
Mariya, la ucraniana de varias filiaciones, se dirige a varias oficinas a sacar dinero
18 de marzo de 2010 32
33. El desenlace
Ilva, recibe en Rusia unas cuantas transferencias
18 de marzo de 2010 33
34. El desenlace
Víctor, el de las páginas de Porno, se descubre que su cuenta bancaria la han
realizado varias transferencias
18 de marzo de 2010 34
35. El desenlace
Las transferencias han sido realizadas por Internet, y han ido a Tyagunova, Fabian
y a Nataliya.
La dirección IP de las transferencias identifican un domicilio … el
de Manuel, aquél que se descargo el Soft de ofimática
18 de marzo de 2010 35
36. El desenlace
El “digital forensic” de las máquinas de Manuel y Fabián nos demuestran que las
mismas están comprometidas con malware
18 de marzo de 2010 36
37. El desenlace
Las páginas que alojaba el malware, así como los correos electrónicos enviados por
la organización se han realizado a través de Mothership de redes zombies.
18 de marzo de 2010 37
38. Servidor DNS Root
Double Flux
2
12 Home PC Servidor .com
conecta a TLD (Top
www.malware.com Level Domain)
9 1
10
4
3
5
11 PC de la red
RED BOTNET BotNet en
NODO MotherShip (miles de PC’s) funciones de
que en Double Flux servidor DNS
funciona como 8
controlador de los
PC’s de la BotNet MotherShip devuelve IP: A.B.C.D
como de servidor DNS 7
6
18 de marzo de 2010 Interroga al Servidor DNS del MotherShip 38
39. Hydra Flux
Topología Multi-Server
Mothership
MÁQUINAS ZOMBIES
Proxys
Name
Servers
Ordenador Víctima
18 de marzo de 2010
40. Mitigación
1. Establecer políticas para permitir el bloqueo de TCP 80 y UDP 53 si
es posible en redes user-land. (Por los ISPs)
2. Bloquear el acceso al controlador de la infraestructura (mothership,
registro y verificación de disponibilidad), en cuanto sean
descubiertos. (ISPs)
3. Mejorar los procedimientos de registro de dominio, y la auditoría de
nuevos registros para fines fraudulentos. (Registradores)
4. Aumentar la conciencia proveedor de servicios, fomentar el
conocimiento de las amenaza, los procesos compartidos y
conocimientos. (ISPs)
5. BH-DNS (Blackhole DNS) e inyección de rutas BGP para cargarse a
los motherships y el mantenimiento de la infraestructura. (ISPs)
6. Captura y seguimiento pasivo DNS / supervisión para identificar los
registros A y NS para detectar anomalías y cambios continuos,
registrandolos en Historiales públicos (ISPs, registradores,
profesionales de la seguridad, ...)
18 de marzo de 2010 40
41. El desenlace
Como los S.A. y los Register se involucran en el Crimen
18 de marzo de 2010 41
42. El desenlace
Se entre enlaza toda la actividad
18 de marzo de 2010 42
43. El desenlace
Se entre enlaza toda la actividad
18 de marzo de 2010 43
45. Botnets
Top Ten Botnets
ZeuS = Zbot = WSNPOEM = NTOS = PRG: precio aproximado 4000 $ por copia
¿Cómo combatirlo? SpyEye lo desinstala pero … se instala él => cambio de C&C
18 de marzo de 2010 45
46. Botnets
Spy Eye v1.0: Nuevo producto que nace en Rusia
(“magic”) aparece el 2 de enero de 2010.
18 de marzo de 2010 46
47. Capacidades Botnets
• FormGrabbing: Keylogging avanzado que intercepta información en los exploradores, con soporte para
Firefox, IE, Maxthon y Netscape.
* CC Autofill: Módulo que automatiza el proceso de fraudes de tarjeta de crédito reportando los datos a los
botmasters a través de logs.
• Panel de Administración PHP-MYSQL
* C&C a través de protocolo http , con posibilidad de configurar dos alternativas, así si un dominio es dado
de baja puede mantener el control por la ruta alternativa
* Envío de backups diarios de la base de datos por email
* Cifrado de string-sources del ejecutable
* Grabbing para FTP. Total Commander, Notepad++, FileZilla y otros
* Grabbing para POP3
* Invisibilidad en la lista de procesos, archivo invisible, invisible en autorun (registro)
•Zeus killer (a partir de la versión 1.07)
* “Grabbing “Basic-access-authentication”. Mayor apropiación de base de autorización (para aplicaciones
que utilizan criptografía. Bibliotecas para núcleos de cifrado) (a partir de la versión 1.072).
* Alta capacidad de Inyección-WEB con el formato de Zeus. (Soporta IE5-8, Maxthon, etc) Todo-en-uno bot
(En cuanto a la versión anterior, que utiliza un cuentagotas) (a partir de versión 1.08)
18 de marzo de 2010 47
48. Botnets
Precio última versión,
662 euros con gastos
Detección casi nula
del cuerpo del bot
18 de marzo de 2010 48
49. Botnets
Se dice pero suele pasar
18 de marzo de 2010 49
57. Si no nos Zero-Day
adelantamos…
18 de marzo de 2010 57
58. Scareware
Falsos
positivos…
… con el mismo
interes
18 de marzo de 2010 58
59. Blended Threat
Mezcla de amenazas
Múltiple amenaza en un solo vector, un troyano que tiene capaacidades de
Worm
Varios escenarios
Única amenaza y múltiples vectores, un troyano entra vía email y apertura una
puerta futura para infección y destrucción.
18 de marzo de 2010 59
60. Direct Message (DM) y Twiter Bots
Scam en Direct Message en Redes sociales como Twiter
1- Unfollow todos los seguidores. Menuda opción!!!
2. Desactive su DM eMails. Solo reducirá el número.
3- Utilice un administrador de Twiter. Ayudará a
filtrar, como Tweetdeck or Socialite.
4. No lea su DMs. Poner el correo en el fondo del
twitter ya que la mayoría de programas utilizados
por los spammer no tienen reconocedor de OCR.
5- Bloquear al usuario/s. Hará que al final Twitter
le suspenda la cuenta.
6- Bienvenido al hermitaño, haga su Twiter privado
7- Utilice el boton de SPAM, si realmente esta
seguro que es un spammer.
18 de marzo de 2010 60
62. FlashForward
Crecimiento
del Pharming Evolución
atacando las La explosión Ataques a
Web: Geogle
resoluciones de los nuevos Adobe y Flash
Chrome y
DNS dominios TLD
HTML 5
Ataques a
BotNets con
niños,
control peer-to-
adolescentes y
peer
ancianos
Sofisticación
de Troyanos
bancarios Redes
Sociales
La disponibilidad en línea de los
equipos móviles a través de
conexiones WiFi, 3/4G, IPv6
18 de marzo de 2010 62
63. Soluciones
Las soluciones están en crear Grupos de trabajos orientados en un objetivo común
Víctimas Vendedores de
Software y Hardware
Proveedores
Telecomunicaciones
ISP’s
Fuerzas de
seguridad del Estado
INFORMACIÓN Titulares de IP’s
atacadas
Equipos de
respuesta de Medios de
Incidentes - FIRST Comunicación
Organizaciones de
Informes de
Incidentes - CERTs
18 de marzo de 2010 63