Botnet como arma

de control total

Lic. Cristian Borghello, CISSP CCSK MVP

www.segu-info.com.ar
info@segu-info.com.ar
@seguinfo
@CursosSeguInfo

Sobre Cristian Borghello

Licenciado en Sistemas UTN desde 2000

Desarrollador desde los 8 aos
CISSP (Certified Information Systems Security
Professional) desde 2008
Microsoft MVP Security (Most Valuable
Professional) desde 2010
CCSK (Certificate of Cloud Security Knowledge)
desde 2014
Creador y Director de Segu-Info
Consultor independiente en Seguridad de la
Informacin

www.segu-info.com.ar 1
 Relacin Spam y Malware

El spam es un medio eficaz, eficiente y barato

para propagar malware
Gran parte del spam actual se difunde a travs
de botnet
Ofrece anonimicidad al delincuente
El malware actual instala un servidor SMTP
propio para enviar correos desde los equipos
infectados
Es parte fundamental del circuito delictivo

Spam Malware

Correo de Amazon?

Archivo .EXE.ZIP

www.segu-info.com.ar 2
 Phishing

Phishing: acrnimo de Password Harvesting

Fishing (recoleccin y pesca de contraseas)
Actividad que intenta obtener de forma
fraudulenta, informacin personal sensible
(datos personales, contraseas, PIN, tarjetas
de crdito, etc.) a travs de la simulacin de
identidad de un entidad conocida por la
vctima (spoofing)
El mtodo principal utilizado es el engao a
travs de tcnicas de Ingeniera Social

?
Casos enviados: 19.479 - Casos verificados: 13.892 - Votos: 78.908
no hay nmeros (estadsticas) por
Aparece un caso de Phishing cada 2 min.
Tiempoeso no hay
promedio casos 2 hs
de verificacin:
Fuente: www.phishtank.com

www.segu-info.com.ar 3
 Pasos del Phishing

1. El delincuente crea el sitio web falso

2. Lo aloja en servidores vulnerados o gratuitos
3. Enva spam a usuarios al azar (segn su BD)
4. El usuario recibe el correo electrnico
5. Hace clic en el enlace del correo electrnico y
es direccionado al sitio web falso
6. Ingresa su informacin en el formulario
7. Recibe un mensaje de error, o es direccionado
al sitio web real
8. La informacin est en poder del delincuente

Caractersticas de un correo falso

Asunto con gravedad
Spoofing de Remitente
Imagen de la entidad
afectada
Ausencia del nombre
del receptor

Errores gramaticales
Errores de ortografa
Supuesto enlace a
la entidad

Enlace al sitio falso

www.segu-info.com.ar 4
 Scam

Scam: engao que busca provocar algn perjuicio

patrimonial a travs de transacciones financieras
con la vctima
El atacante lucra de forma directa con la vctima
a travs de dichas transacciones
La vctima generalmente cree que ganar algo
de las acciones realizadas
Tambin se los conoce como Carta nigeriana,
el cuento del to y estafas 419
Tipos de scam: https://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-754.pdf
Casos reales: http://www.bobbear.co.uk/

http://blog.segu-info.com.ar/search/label/scam
http://blog.segu-info.com.ar/2010/02/relato-de-una-estafa-scam.html

www.segu-info.com.ar 5
 Reclutamiento de mulas

Mulas o muleros: personas que blanquean o lavan

dinero fraudulento, habitualmente sin saberlo
1. El estafador recluta a la mula mediante oferta gana
mucho y trabaja poco
2. La vctima proporciona sus datos bancarios
3. El estafador deposita en la cuenta dinero que procede de
actividades delictivas (virtuales o fsicas)
4. El estafado es autorizado por el estafador a retener una
comisin de ese dinero ingresado (10%) y mueve el resto
otra cuenta/medio que le proporciona el estafador
5. La sucesin de cuentas hacen irrastreable la procedencia
del dinero y del estafador

Botnet

Conjunto de sistemas infectados y

que son controlados por un sistema
central y que generalmente tiene un
objetivo financiero y econmico
La supercomputadora ms potente
del mundo est en lnea
Ph.D. Peter Guttmann

Bot proviene de "robot, programa o agente que

realiza una tarea simulando acciones humanas

www.segu-info.com.ar 6
 Otras definiciones

Bot/Zombie: nombre que recibe cada sistema

controlado
Botmaster/Botherder: persona que controla
y/o es dueo y responsable de la botnet
C&C (Comando & Control): punto central de
control desde donde el botmaster opera la
botnet
Se utiliza el principio del poder del cmputo
distribuido para efectuar tareas dainas

Objetivos de una Botnet

Robar credenciales financieras/bancarias

Enviar de spam
Realizar ataques de denegacin de servicio distribuido (DDoS)
Construir servidores web para alojar material pornogrfico y
pedoflico
Construir servidores web para ataques de phishing
Redes privadas de intercambio de material ilegal (warez,
cracks, seriales, etc)
Distribucin e instalacin de nuevo malware
Abuso de publicidad online como Adsense
Manipulacin de juegos online
Imaginacin!!

www.segu-info.com.ar 7
 Capas de una Botnet

http://www.enisa.europa.eu/act/res/botnets/botnets-measurement-detection-
disinfection-and-defence/at_download/fullReport

Negocios, solo eso

Las botnets se convirtieron en una economa virtual con

clientes finales, revendedores, distribuidores, etc.
El creador de malware vende su producto o servicio al
creador de la botnet
El botmaster alquila o vende la red
El spammer distribuye ms correo con publicidad
Cualquier delincuente puede almacenar su informacin en
equipos de usuarios infectados
Cualquiera puede utilizar la red para realizar DDoS
Las empresas venden los productos publicitados
Cualquiera de ellos distribuye ms malware infectando
ms equipos y retroalimentando el sistema

www.segu-info.com.ar 8
 Nuevos servicios

Malware as a Service (MaaS): modelo para difundir e

instalar malware a medida a travs de Internet,
generalmente mediante inyeccin de cdigo en
sitios web
Criminal to Criminal (CtC): servicios y negocios
criminales realizados virtualmente
CyberCrime as a Service (CaaS): modelo de negocio
para recolectar, comprar y vender informacin
obtenida en forma fraudulenta en Internet
Modelo de organizaciones criminales centradas en el malware
y distribuidas en Internet para generar ingresos rpidos

Un robo masivo

CyberVor acumul 4,5 mil millones de registros de

credenciales robadas
1.200 millones de credenciales nicas
Robaron ms de 420.000 sitios web y FTP

http://blog.segu-info.com.ar/2014/08/cybervor-roban-12-mil-millones-de.html

www.segu-info.com.ar 9
 Malware y exploits

Conficker: aprovecha un 0-Day en un servicio de

Windows. Fue solucionado con la actualizacin
MS08-067
Stuxnet: utiliza cuatro vulnerabilidades 0-Day
Duqu: aprovecha de un 0-Day en el Kernel
Slapper: familia de gusanos de Linux que
aprovechan una vulnerabilidad en OpenSSL
Cada da aparecen vulnerabilidades y 0-Day para
cualquier plataforma y aplicacin

Exploit Packs (I)

Exploit Packs: paquetes comerciales con gran

cantidad de exploits funcionales y utilizados
Exploit Packs
para infectar Adrenalin
Black Hole Exploit Pack
CrimePack
Eleonore Exploit Pack
Firepack
Incognito
Just Exploit
iPack Exploit
Liberty Exploit System
Mpack (creado por RBN)
NeoSploit
Nuclear Exploit Pack
Phoenix Exploits Kit
SEOSploit Pack
Siberia Exploit Pack
YES Exploit System
Zhi Zhu
http://contagiodump.blogspot.com.ar/2010/06/overview-of-exploit-packs-update.html

www.segu-info.com.ar 10
 Exploit Packs (II)
Ao Exploit Descripcin
Ao 2006 Exploit
CVE-2006-0003 IE6 COM CreateObject Code Execution Descripcin
2012 CVE-2006-0003Flash
CVE-2012-1535
2006 Player before
Microsoft 11.3.300.271
Data Access Components on Windows
(MDAC)and 11.2.202.238 on Linux
MS06-014
2012 CVE-2012-1723
CVE-2007-0071JAVA Remote
Integer Code Execution
overflow in Adobe Flash Player 9
2012 CVE-2012-1876
2007 CVE-2007-5659IE 6-10 IE Col Element Remote Code Execution Vulnerability
PDF Exploits
2012 CVE-2012-1880
2007 CVE-2007-5755IE InsertRow
AOL RadioRemote Code Overflow
AmpX Buffer Execution Vulnerability
2012 CVE-2012-1889
CVE-2008-2463IE XML
Bundlememory corruption
of ActiveX exploits
2012 CVE-2012-3683
CVE-2008-2992Safari
AdobeWebkit < 6 memory
Reader Javascriptcorruption
Printf Buffer Overflow
2012 CVE-2012-4681
2008 CVE-2008-4844Java < 7u6 JAVA
Internet crafted
Explorer applet
7 XML that bypasses SecurityManager restrictions
Exploit
2012 CVE-2009-0355IE 6-8
CVE-2012-4792 Firefox 3.5/1.4/1.5vulnerability,
Use-after-free exploits inCDwnBindInfo object
2012 CVE-2009-0806IE 6-9
CVE-2012-4969 IEPeers Remote Code
Use-after-free Executionin the CMshtmlEd::Exec function in mshtml.dll
vulnerability
2012 2009 CVE-2009-0927JAX-WS
CVE-2012-5076 Adobe<Java
Reader
7u8Collab GetIcon Code Execution
JAVA Arbitrary
2012 2009 CVE-2009-1136PDFOWC
CVE-2012-0775 Spreadsheet
< 9.51 and < 10.1.3 Memory
JAVA TheCorruption
JavaScript implementation
2012 2009 CVE-2009-1869IE 6-10
CVE-2012-1876 Integer overflowRemote
IE Element in the AVM2 abcFile parser
Code Execution in Adobe Flash Player
Vulnerability
2013 2009 CVE-2009-3269WIN
CVE-2012-1889 Opera
XP-7,TN3270
Srv2003-2008 Microsoft XML Core Services 3.0, 4.0, 5.0, and 6.0
2013 2009 CVE-2009-3867JAVA:
CVE-2013-0431 JREabuses
getSoundBank
the JMX Stack BOF
classes from a Java Applet
2013 CVE-2010-0188JAVA
CVE-2013-0437 Adobe Acrobat vulnerability
Unspecified LibTIFF Integer in Overflow
the Java Runtime Environment (JRE)
2013 2010 CVE-2010-0746FLASH
CVE-2013-0634 JavaBuffer
SMB overflow in Adobe Flash Player via crafted SWF content
2013 2010 CVE-2010-0806IE 8IE7
CVE-2013-1347 IE Uninitialized Memory
Microsoft Internet Corruption
Explorer 8 improper object handling in memory
2013 2010 CVE-2010-08406u45
CVE-2013-2465 Java Runtime
JAVA Memory Environment
CorruptionTrusted
Vulnerability
2013 2010 CVE-2010-0842IE <10
CVE-2013-2551 Oracle Java MixerSequencer
IE Use-after-free Object
vulnerability in GM
IE 6 Song
-10
2013 2010 CVE-2010-0886Silverlight
CVE-2013-0074/3896 Java Deployment Toolkit
< 5.1.20913.0 Component
Double Dereference Vulnerability and SL 5 < 5.1.20913.0
2013 2010 CVE-2010-1423
CVE-2013-3918 Oracle Java Argument Injection Vulnerability
IE < 10 IE InformationCardSigninHelper VulnerabiliIty
2013 2010 CVE-2010-1885IE <11
CVE-2013-3897 Windows Help and Support
IE Use-after-free Center Protocol Handler Vulnerability
VulnerabiliIty
2013 2010 CVE-2010-3552
CVE-2013-5329 Java11.9.900.117
Flash Skyline Plug-in component
Memory in Oracle Java SE
Corruption
2010 CVE-2010-3971 Internet Explorer Recursive CSS Import Vulnerability

Vendo, vendo

www.segu-info.com.ar 11
 Drive-by-Download
Proceso por el cual se explotan vulnerabilidades, se
descarga y/o ejecuta malware a travs de scripts
inyectados en pginas web

Watering Hole Attack

A travs de un script inyectado en una pgina, se
redirige a la vctima a un sitio de explotacin.
El sitio comprometido se utiliza como trampoln
para llevar a cabo ataques de espionaje, quedando
a la espera de usuarios que lo visiten

www.segu-info.com.ar 12
 BrutPOS

La botnet BrutPoS tiene como objetivo robar

informacin de pago de sistemas PoS y otros
lugares donde se almacenan datos de pago
Los sistemas infectados son servidores RDP
mal asegurados y/o con contraseas dbiles
Los servidores RDP fueron accedidos con
usuario administrador y contraseas como
posy Password1

http://blog.segu-info.com.ar/2014/07/brutpos-botnet-que-ataca-rdp-y-pos.html
http://www.fireeye.com/blog/technical/botnet-activities-research/2014/07/brutpos-rdp-
bruteforcing-botnet-targeting-pos-systems.html

GameOver Zeus y Cryptolocker

A diferencia de versiones anteriores de Zeus, con

un C&C, la versin GameOver Zeus posee una
infraestructura descentralizada mediante una
red Peer-to-Peer
Los comandos pueden provenir de cualquier
sistema infectado, dificultando su localizacin
Uno de los objetivos es propagar CryptoLocker,
un ramsonware que cifra archivos y luego pide
un rescate en dinero para entregar las claves

http://blog.segu-info.com.ar/2014/06/fbi-desbarata-botnet-game-over-zeus-
goz.html

www.segu-info.com.ar 13
 GameOver Zeus y Cryptolocker

GameOver Zeus y Cryptolocker

http://www.fbi.gov/news/stories/2014/june/gameover-zeus-botnet-
disrupted/documents/gameover-zeus-and-cryptolocker-poster-pdf

www.segu-info.com.ar 14
 GameOver Zeus y Cryptolocker

www.segu-info.com.ar 15
 Mercado
local

www.segu-info.com.ar 16
 Prevencin
Empresas de Fuerzas del
Usuarios ISPs
Seguridad Orden
Mejorar la
Limpiar y actualizar Filtrar las amenazas Buscar y arrestar a
proteccin de los
los sistemas en el trfico de red los delincuentes
sistemas

Reducir los riesgos de infeccin

Colaborar para la obtencin de datos

Investigar el cibercrimen
El atacante no debe ser
mas inteligente que la
proteccin, solo ms Analizar las estructuras internas
inteligente que la vctima
Dar de baja los C&C

En Internet no pasa todo lo

que debera slo porque

No hay suficientes
delincuentes y ganas

www.segu-info.com.ar 17
 Agradecimientos

A la Comunidad de Segu-Info
que todos los das [nos] aporta
conocimiento a travs de los
distintos grupos de discusin

GRACIAS!
Lic. Cristian Borghello, CISSP CCSK MVP
www.segu-info.com.ar
info@segu-info.com.ar
@seguinfo
@CursosSeguInfo

www.segu-info.com.ar 18