El objetivo de la presentación es el de transmitir al publico, de como funcionan las bandas criminales en internet desde un punto de vista técnico sin dejar de lado una pequeña introducción historica para los asistentes no familiarizados con el mundo del cibercrimen. Durante la presentación se hablara de los proveedores Offshore más activos e situado en Europa del este. Dicho ISP constituye uno de los recursos más activos del Crimeware mediante el cual se distribuyen una importante cantidad de códigos maliciosos, malware, crimepacks, botnets, iframers, tdsSystems y un largo ETC…. El indice de la presentación tendrá una estructura similar a la siguiente: Un poco de Historia (Breve introducción al cibercrimen) Infraestructura enumerando máquinas, dominios, etc? (Como tienen montado el chiringuito) Dibujo de la organización, responsabilidades…(Vamos a mostrar, nombres, responsabilidades,horarios de trabajo) Donde compran ellos su infraestructura (es realmente offshore??) (sacaremos algún leak que demuestra nuestras sospechas y se verán contrastadas nuestras suposiciones) ¿Que cuesta ser malo? (Kids Don’t do it!) (Cuanto invierte un malote) Donde venden y compran servicios. Servicios más relevantes que ofrecen, trafico, vps, vpn, marketplaces, mulas, etc.. (Cual es el éxito de su servicio) ‘lo prueban por su calidad y se quedan por el servicio técnico’ Análisis de los crimewares encontrados más relevantes y conocidos. Los clasicos Spyeye, Zevs, etc…. Análisis de los crimewares más raros y privados encontrados. (Bazar Bizarro) Conclusiones y agradecimientos. El contenido de la ponencia será completamente 100% real. se mantendrá la frescura de los datos en exclusiva para la la RootedCon, de está manera está presentación no se volverá a repetir en ningún congreso Por otro lado se sombrearan los datos que se considere que puedan perjudicar y causar un impacto negativo sobre los mismos. Toda la información que se cite durante la ponencia será con fines educacionales y a pesar de los títulos en ningún momento se incitara a cometer actos delictivos. Todos los datos adquiridos han sido fruto de colaboración empresas y autoridades que nos facilitan la publicación de los datos.

1. ALL#YOUR#CRIMEWARE#ARE#
BELONG#TO#US#
Frank#Ruiz#
Manu#Quintans#

2. ¿Quién es Quién?
Frank(Ruiz(
Crimeware( Researcher,# durante# estos# úlVmos# años# ha# parVcipado# en# diferentes# invesVgaciones#
relacionadas# con# el# cibercrimen.# Además# colabora# acVvamente# con# el# grupo# MalwareIntelligence#
donde#podemos#encontrar#algunas#de#sus#invesVgaciones.#En#la#actualidad#trabaja#para#la#compañía#
Holandesa#Fox`IT#donde#parVcipa#en#las#invesVgaciones#del#departamento#de#cibercrimen.#
(
h.p://malwareint.com((
h.p://fox6it.com(
Manu(Quintans(
Crimeware(Researcher,(Manu#Quintans#es#Crimeware#Researcher#vinculado#desde#ya#hace#muchos#
años# a# la# escena# como# colaborador# de# grupos# como# DTFZine(SP),# DC4420# (UK),# HackVmes.com,#
MalwareIntelligence#ha#desarrollado#su#experiencia#en#diferentes#sectores#tecnológicos#adquiriendo#
conocimientos#en#diversas#disciplinas.##
#
En#la#actualidad#se#dedica#a#invesVgar#temas#relacionados#con#Phishing,#Malware,#Hacking,#Botnets#
en# el# grupo# de# invesVgación# Malware# Intelligence# y# colabora# con# diferentes# compañías# como#
InvesVgador#independiente.(
h.p://hack3mes.com(6(h.p://malwareint.com(6(h.p://zeroday.es(
(
((((((((((@groove(
2#

3. Cloud#Tag#

4. Un#poco#de#historia…#
Video(disponible(en:#hcp://x90.es/carders#

5. Un#poco#de#historia…#
Meanwhile#in#Marbella#
Video(disponible(en:#hcp://x90.es/badb#

6. Un#poco#de#historia…#

7. Un#poco#de#historia…#

8. Un#poco#de#historia…#

9. Un#poco#de#historia…#

10. Un#poco#de#historia…#

11. Un#poco#de#historia…#

12. Actualidad#

13. Estructura#
Boss#
Consilliere#
Underboss#
CAPO# CAPO# CAPO#
Soldiers# Soldiers# Soldiers#

14. Estructura#
Boss#
Consilliere#
Underboss#
CAPO# CAPO# CAPO#
Soldiers# Soldiers# Soldiers#

15. Estructura#
BU#Director#
Account#Manager#
Partners#
Project#Manager# Analyst#
Developer# Developer#
Developer#

16. Estructura#
Nombre( AIM( Responsabilidad( Horario(
Boss# boss@jabb# El#Jefe# 12:00#–#03:00#
Xanax# xan@jabb# Departamento#de#compras# 12:00#–#04:00#
Fuckyea# amish@jabb# Administración# 16:00#–#06:00#
Kmbooo# kmv@jabb# Administración# 12:00#–#22:00#
Slammer# suck@mydick…# Administración# 03:00#–#15:00#
Vaskoblip# blipp@streevab# I+D+i#y#Contacto#con#los#DC# 11:00#–#00:00#
Negoso# kpepe@jobsucker# I+D+i#y#Contacto#con#los#DC# 19:00#–#00:00#
#
Revieweme# eveve@jabb# Dominios,#Alojamiento## 23:00#–#09:00#
Kasper# kas@janb# Desarrollo# 18:00##`#04:00#
Support# support@server# Bot#de#soporte# 24h##
Vlodov# `````````# Finanzas# 12:00#–#03:00#

17. Infraestructura#
Más#de#400#servidores#
Más#de#5.000#Dominios#
5Gb#tráfico#por#día/
máquina#

18. Infraestructura#
Servicios#de#VPN##
La#media#de#trafico#por#
servidor#es#de#1TB/Diario.#
Servicio#básico#donde#ofrecen#
un#2X#VPN#

19. Infraestructura#
Servicios#de#VPN#para#
clientes#VIP##
La#media#de#trafico#por#
servidor#es#de#1TB/Diario.#
Aprox..#
El#servicio#prestado#es#de#
mayor#calidad#ofreciendo#un#
número#más#elevado#de#
conexiones#y#países.#

20. Infraestructura#
Servicio#de#VPN#Interno#
La#media#de#trafico#por#
servidor#es#de#….##
Nunca(lo(sabremos…(:)(
#
Servicio#avanzado#para#los#
administradores#y#el#staff#de#la#
banda#criminal.#

21. Infraestructura#
Red(de(servidores(dedicados(a(Malware(
Aproximadamente# unas# 100# máquinas#
están# desVnadas# a# la# distribución# y#
testeo#de#malware,#venta#y#acVvación#de#
licencias.#

22. Infraestructura#
Y#tan#solo#2#máquinas#desVnadas…#
a#porno.##
:`(#

23. Infraestructura#
¿Qué(cuesta(ser(malo?( Poco….(
El(coste(medio(de(un(servidor(de(las(siguientes(
caracterís3cas:(
Intel#E2160,4GB,(DC29),#2x250GB#SATA2,#1#x#100Mbps#Full`Duplex,#5000#GB#
(Standard#network)##
Tiene(un(coste(aproximado(de(unos…..(
40(€/ mes(
Impuestos(indirectos(incluidos….(

24. Infraestructura#
¿Es realmente offshore?

25. Infraestructura#

26. Infraestructura#

27. Hablemos#de#servicios#

28. SERVICIOS#
¿Dónde#venden#sus#servicios?#

29. SERVICIOS#
Servicios#que#comercializan#
HOSTING
DEDICATED SERVERS
VPS
VPN
PROGRAMACIÓN
CRIMEWARE

30. SERVICIOS#
Servicios#que#comercializan#
TRAFICO
CLICK FRAUD
MARKETPLACES
IFRAMES/WEBINJECTS
PROXYS/SOCKS/ACCOUNTS
BINDERS/CRYPTERS

31. SERVICIOS#
Atención#al#cliente#
¿cuál(es(el(éxito(de(estos(servicios?(
CUSTOMER SERVICES
Buenas,(quiero(contratar(2(servidores(dedicados(
Hola,(como(has(conseguido(el(jabber?(
me(lo(ha(pasado(mi(colegui(superbotmaster(
ok,(que(quieres?(
2(servidores(dedicados(y(rapidito(que(quiero(ser(malote!(
cuanto(trafico(vas(a(generar?(y(que(vas(a(alojar(
es(para(un(spyeye(con(35k(bots(y(el(otro(para(un(exploit(kit.(
cuanto(trafico(para(el(exploit(kit?(
3/5K(diarios,(que(con(la(crisis…(ya(sabes..((
ok,(entonces(el(exploit(kit(si(prefieres(lo(podemos(alojar(en(uno(
compar3do(que(saldrá(mas(barato.(
Sí(usas(algún(3po(de(backconnect(con(spyeye,(deberías(pensar(en(
contratar(un(servidor(solo(para(correr(los(daemons(

32. Pero#realmente…#¿Qué#hay#dentro?#

33. CRIMEWARE#MÁS#RELEVANTES#
ZEUS#
Nuestro#viejo#amigo…# Zevs( FEATURES
`#CompaVbilidad#con#Windows#
XP,#Vista,#Seven,#2003,#2003R2,#
2008,#2008R2.#
`#Backconnect#para##cualquier#
servicio#como#FTP,#RDP,#
Socks,etc.#
`#Intercepción#de#las#peVciones#
HTTP#y#HTTPS.#
`#Grabber#para#extraer#
información#de#los#programas#
más#conocidos.#
`#Sniffer#que#intercepta#sesiones#
POP3#y#FTP.#
`#Ejecución#de#scripts#desde#el#
panel#de#control.#
`#Segregación#en#subbonets.#
#
MODELO DE COMERCIALIZACIÓN
`#Venta#en#foros#privados.#
`#Contacto#en#ICQ#o#Jabber.#
`#Pagos#a#través#de#Webmoney#y#Liberty#Reserve.##

34. CRIMEWARE#MÁS#RELEVANTES#
C&C#Zeus#

35. CRIMEWARE#MÁS#RELEVANTES#
EstadísVcas#
EstadísVcas#a#nivel#mundial#de#Zevs:#(
! ZeuS#C&C#servers#tracked:#641#
! ZeuS#C&C#servers#online:#206#
! ZeuS#C&C#servers#with#files#online:#42#
! ZeuS#FakeURLs#tracked:#13#
! ZeuS#FakeURLs#online:#4#
! Average#ZeuS#binary#AnVvirus#detecVon#rate:#38.48%#
Aún#que#nuestros#amigos#los#malotes,#también#se#las#apañan#para#no#ser#detectados#por#
abuse.ch#y#su#ZeusTracker.(

36. CRIMEWARE#MÁS#RELEVANTES#
server:~#(cat$zeustracker_block.sh$$
#!/bin/bash(
#(zeustracker(ips(
a=`iptables(9L(9n|grep(62.203.0.0/16`(
if([(9n("$a"(](
then((
(echo(already(done(
(exit(0(
Fi(
iptables(9I(INPUT(9s(62.203.0.0/16 ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(
iptables(9I(INPUT(9s(81.62.0.0/16 ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(
iptables(9I(INPUT(9s(85.0.0.0/15( ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(
iptables(9I(INPUT(9s(81.63.0.0/16( ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(
iptables(9I(INPUT(9s(85.2.0.0/16( ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(
iptables(9I(INPUT(9s(83.76.0.0/15 ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(
iptables(9I(INPUT(9s(62.202.0.0/16 ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(
iptables(9I(INPUT(9s(83.78.0.0/15 ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(
iptables(9I(INPUT(9s(85.3.0.0/16( ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP((
iptables(9I(INPUT(9s(77.16.27.16( ( (9p(tcp(9m(multiport(99dports(80,443(9j(DROP(
(
(
iptables9save(>(/etc/iptables_rules(
server:~#((

37. CRIMEWARE#MÁS#RELEVANTES#
C&C#Ice#IX#

38. CRIMEWARE#MÁS#RELEVANTES#
C&C#Citadel#

39. CRIMEWARE#MÁS#RELEVANTES#
C&C#Zeus#v3##(Murofet)#

40. CRIMEWARE#MÁS#RELEVANTES#
Carberp#
Y#que#contar#de#ya#el#olvidado# Carberp( FEATURES
C o m p a V b i l i d a d# c o n#
Windows#XP,#Vista#y#7.#
Formgrabber.#
Backconnect#Server.#
Sistema#de#plugins.#
FTP#Grabber.#
Bank#Grabber.#
Password#Grabber.#
WebInjects.#
Hidden#Browser#(VNC).#
Loader.#
Screenshots.#
DDoS.#
MiniAV.#
MODELO DE COMERCIALIZACIÓN
¿Privado?#

41. CRIMEWARE#MÁS#RELEVANTES#
C&C#Carberp#

42. C&C#Carberp#

43. CRIMEWARE#MÁS#RELEVANTES#

44. CRIMEWARE#MÁS#RELEVANTES#
C&C#Carberp#

45. CRIMEWARE#MÁS#RELEVANTES#
client.vzlom.biz#

46. CRIMEWARE#MÁS#RELEVANTES#
SpyEye#
Ojo#con#el#ojo!#También#está## Spyeye( FEATURES
`#CompaVbilidad#con#Windows#
XP,#Vista,#Seven,#2003,#2003R2,#
2008,#2008R2.#
`#Interceptación#peVciones#
HTTP#y#HTTPS.#
`#RDP,#FTP#y#Socks#Backconnect.#
`#WebInjects.#
`#WebFakes.#
`#Sistema#de#plugins.#
`#FTP#&#POP3#Traffic#Sniffer.#
` Kill#Zeus.#
MODELO DE COMERCIALIZACIÓN
`#Venta#en#foros#privados.#
`#Contacto#en#ICQ#o#Jabber.#
`#Pagos#a#través#de#Webmoney#y#Liberty#Reserve.#

47. CRIMEWARE#MÁS#RELEVANTES#
Soporte#

48. CRIMEWARE#MÁS#RELEVANTES#
Main#CP#SpyEye#

49. CRIMEWARE#MÁS#RELEVANTES#
Formgrabber#CP#SpyEye#

50. CRIMEWARE#MÁS#RELEVANTES#
EstadísVcas#
EstadísVcas#a#nivel#mundial#de#SpyEye:#(
! SpyEye#C&C#servers#tracked:#432#
! SpyEye#C&C#servers#online:#165#
! SpyEye#C&C#server#with#files#online:#15#
! Average#SpyEye#binary#AnVvirus#detecVon:#25.1%#

51. CRIMEWARE#MÁS#RELEVANTES#
Limbo#/#Private#

52. CRIMEWARE#MÁS#RELEVANTES#
Feodo#/#Private#

53. CRIMEWARE#MÁS#RELEVANTES#
Blackhole#Exploit#Kit#
Black#is# Blackhole( FEATURES
EstadísVcas#muy#detalladas.#
Sistema#personalizado#de#
widgets.#
API#para#el#uso#de#los#AV#
Check#más#conocidos.#
Sistema#de#TDS#integrado.#
MulV#campaña.#
Control#de#seguridad#con#
blacklists.#
GaranVzado#el#FUD#de#los#
exploits.#
Personalización#de#los#
archivos#y#sus#parámetros.#
Cada#Thread#con#su#TDS.#
MODELO DE COMERCIALIZACIÓN
`#Venta#en#foros#privados.#
`#Contacto#en#ICQ#o#Jabber.#
`#Pagos#a#través#de#Webmoney#y#Liberty#Reserve.#

54. CRIMEWARE#MÁS#RELEVANTES#

55. CRIMEWARE#MÁS#RELEVANTES#
MODELO DE NEGOCIO DE BH

56. Video(disponible(en:#hcp://x90.es/mwint#

57. Conclusiones?#
REGULA TU CICLO!
NO HABRÁ PAZ PARA
LOS MALIGNOS

58. ROCK##
&#
#ROLL!#

59. MOMENTO#PWN!#

60. MOMENTO#PWN!#

61. MOMENTO#PWN!#

62. MOMENTO#PWN!#

63. MOMENTO#PWN!#

64. Referencias#y#agradecimientos#

65. ¿………………………………….?#

66. FIN!#
O Mejor dicho…
GRACIAS A
TODOS!!

67. ALL#YOUR#CRIMEWARE#ARE#
BELONG#TO#US#
Manu#Quintans#
Frank#Ruiz#
#