eCrime .- Las nuevas amenazas

1. eCrime .- Las nuevas amenazas Modelos de negocio Alfonso del Castillo Jurado S21sec Mexico

2. Agenda • Los 10 factores del e-crime • Algunos números • Nuevas amenazas • Motivos • MaaS: Malware as a Service • Nuevos negocios • Nuestro equipo • Nuestros Servicios • Preguntas

3. Ponente • Ingeniero Informático Sistemas (UPM), CISA. • Experto en Seguridad, eCrime • Ponente en Securmática, Infosecurity, Techday, … • Director de Operaciones de S21sec últimos 4 años • Director de Desarrollo Corporativo (Ahora … México)

4. Los 10 factores del e-crime

5. Los 10 factores • Cada vez somos más vulnerables al crimen en Internet • La frecuencia de los incidentes es mayor, así como su sofistificación • No existe una base legal bien definida • El carácter distribuido de los incidentes genera problemas de jurisdicción • No existen estructuras funcionales de cooperación • Hoy en día, no está clara la responsabilidad de los incidentes

6. Los 10 factores • La concienciación de los usuarios es mínima • El crimen organizado cuenta con multitud de recursos • El anonimato y la facilidad de “operar” en Internet • Necesitamos nuevas herramientas, servicios y capacitación para hacer frente

7. Algunos números • Uno de cada tres ordenadores está infectado • Cada incidente global: media de 20.000 máquinas infectadas • Número de incidentes globales: 3.000 • Google: 10% de las páginas son maliciosas • Antivirus: reconocen que no pueden soportar el ritmo: miles de nuevos códigos dañinos al día • Durante 2007, se calcula que hubo miles de ataques de ciberespionaje Cada incidente investigado por S21sec: media de 4Gb de datos capturados

8. Casos de fraude 2005-2008

9. Casos Phishing 2007

10. Casos de Troyanos 2006-2008

11. Nuevas Amenazas • ¿Somos conscientes de la información presente en Internet? • Fugas de información • Abuso de marca • Atentados contra el honor e imagen • El Fraude no sólo está afectando a las entidades financieras • eCommerce • Robo de identidades (y su conexión con el terrorismo) • ISP: clientes infectados (SPAM, ataques, botnets) • Gobiernos • Estasbandastienenunagrancantidad de recursos, técnicascadavezmásavanzadas, los incidentescadavezmásdifíciles de manejar: sabenmuybien lo queestánhaciendo

12. Nuevas Amenazas (II) • Los casos de phishing son sólo la punta del iceberg • Click Fraud / Pay por install • Iframe business, SEO • Botnets: SPAM, DDoS, proxy • Conexión con fraude ‘real’ e incluso terrorismo • Relacionado con el código malicioso: • No existe la solución perfecta, las antiguas no sirven • Drive-by exploits combinados con SEO • Ataques muy dirigidos usando vulnerabilidades no conocidas (Microsoft Office) • Globalización: Europa del Este, China y Brasil (conexiones) • Países emergentes con ataques focalizados pero ya se intuyen expansiones (Asia) • No es necesario tener conocimientos, fáciles de adquirir (webfile!!!) • TDS, Agent, Barracuda, d1ez, DDOS Admin, ZeuS, FTP-Toolz, IcePack, Infector, Metaphiser, Mpack, Multiexploits, Neosploit, Apophis, Pinch, RDMaster, Snatch, Socks Proxy Panel, Traffic Pro, VisualB, WebStats, WW Loader, Zunker, Zupacha, … • Luchas internas debido a la no confianza (backdoored)

13. Motivos • Económicos (mass attacks) • Phishing, pharming, vishing, SMSing, scam • Click-fraud • Pump & Dump • Iframe and DDoS business • Religiosos (dirigidos) • Dinamarca vs mundo islámico • Políticos (dirigidos/mass) • USA, China, Corea, Israel, … • Rusia vs Estonia • Industriales (dirigidos) • Ciberespionaje: CEO, secretarias

14. Motivos

15. Motivos Los gobiernos se están tomando muy en serio el peligro de la seguridad informática y los ataques a empresas e instituciones oficiales. Alemania en concreto, según el semanario "Der Spiegel" ha sufrido ataques chinos en los últimos meses que han afectado a numerosos ordenadores del gobierno alemán, en la forma de troyanos que supuestamente habrían enviado cientos de Gigabytes hacia el extremo oriente. Desde que se descubrieron internamente en Mayo, los expertos IT del gobierno alemán supervisaron el tráfico generado por los troyanos e impidieron el envío de 160 Gigabytes hacia su destino final.

16. Motivos Ya en el mes de febrero 2007 este mismo semanario publicaba una noticia advirtiendo del gran incremento de ataques chinos a medianas empresas alemanas, especialmente de medicamentos, piezas de automóvil,... Según este mismo articulo, las empresas medianas son especialmente vulnerables por no disponer de las medidas de seguridad adecuadas. Se cita como factores de riesgo adicional la telefonía por Internet e incluso la información al alcance de becarios. Para muestra las siguientes fotos en las que se puede apreciar el supuesto plagio de un autobús MAN Starliner completo.

17. Motivos económicos

18. Motivos económicos • Phishing, pharming, vishing, SMSing, … • Entidades financieras • Gobiernos • Pagos online • Juegos online • Subastas online • Redes sociales • Se busca al eslabón más débil de la cadena • Ingenieria Social

19. MaaS: Malware as a Service Capas en el modelo MaaS Capa de Red (3-4 OSI layer) Capa de Aplicación (7 OSI layer) Capa de la infección (client exploits): una posible capa 8 Capa cliente(código malicioso que se ejecuta en la máquina infectada): de alguna forma una capa 9 1 2 3 4 Cada capa necesita diferentes herramientas y procedimientos Es necesario correlar toda la información de cada capa para entender la amenaza

20. MaaS: Capa de Red • Capa de red • Bullet-proof hosting: RBN, HostFresh, Abdullah, … • Fast-flux: bajo TTL. Single y Double • Redes VPN • Proxies inversos (nginx)

21. MaaS: capa de Aplicación • Paneles de control donde se controla todo • Información robada • Órdenes que se envían a las máquinas • Ataques de DDoS • Generalmente, LAMP (Linux+Apache+Mysql+PHP) • Alrededor de $1000 pero muchas veces accesibles en sitios públicos (backdoors) • Evolución: IRC + HTTP+ P2P (Storm)

22. C&C Example (I)

23. C&C Example (I)

24. C&C Example (I)

25. C&C Example (I)

26. C&C Example (I)

27. C&C Example (I)

28. C&C Example (I)

29. C&C Example (I)

30. C&C Example (I)

31. C&C Example (II)

32. C&C Example (II)

33. C&C Example (II)

34. C&C Example (III)

35. C&C Example (III)

36. C&C Example (III)

37. C&C Example (III)

38. C&C Example (III)

39. C&C Example (III)

40. C&C Example (III)

41. C&C Example (III)

42. C&C Example (III)

43. MaaS: Capa infección • Propagación • Ads maliciosos • SEO malicioso • Mass SQL Injection • Vulnerabilidades en aplicaciones web (SQL Injection, XSS, …) • Credenciales FTP • ARP Spoofing • Objetivo • Client side exploits: Office, Browsers, Acrobat, Quicktime, WinZip, …

44. El atacante compromete una web y le inyecta un iframe Atacante El troyano se conecta con su master Panel Control de Botnets iFRAME Servidor Web legítimo (www.midominio.com) Servidor Webde Exploits El usuario es redirigido a una web que tiene un exploit para navegadores Panel Control de Exploits Elexploit hace que se conecte a otra web para descargar el troyano y contabilizar estadísticas El usuario se conecta a una página web normal (con el iframe) Usuario MaaS: Capa infección MPack

45. MPack

46. MPack

47. AdPack

48. IcePack

49. MaaS: Capa código malicioso • Objetivos • Robo de información • Control de la computadora • Técnicas • Inyección procesos • Anti-todo (sandbox) • BHO + HTML Injection • Updates • Stealth

50. Información robada • Credenciales almacenadas: • Mail (Outlook, Notes, Thunderbird, …) • Certificados (claves privadas y públicas) • Credenciales acceso VPN • … • Información enviada por el browser • Logins y passwords • Webmails • Intranet • Cookies • …