SlideShare uma empresa Scribd logo

UnderCrime: La verdadera visión de la ciberdelincuencia

Juan Carlos Ruiloba
Juan Carlos Ruiloba
1 de 64
Baixar para ler offline
UnderCrime: La verdadera visión v 1.5 (abramos la Jaula de Faraday) Epoch: 1268931600 Localización: 40.4521,-36927
Speaker Ponente: Juan Carlos Ruiloba Castilla Email: juancrui@metodo3.es • Veintiocho años en las Fuerzas y Cuerpos de Seguridad del Estado (CNP), de los que los últimos veintiséis años ha estado relacionado con las Nuevas Tecnologías y los últimos siete años como responsable del Grupo de Cibercrimen de Barcelona. • Actualmente, en segunda actividad dentro del CNP, se ha vinculado, para desempeñar su labor de Investigación Tecnológica, a la empresa Método 3. 18 de marzo de 2010 2
Truth is not single real, also can be digital! © jU4n(rU1 18 de marzo de 2010 3
Presentemos la escena 18 de marzo de 2010 4
Acto 1 Vladimir contacta con Tyagunova través del chat de la Red Social love.mail.ru. Vladimir le ofrece la posibilidad de trabajar para una empresa de Soft desde España 18 de marzo de 2010 5
Acto 2 Manuel se baja de Internet por P2P la última versión de un paquete de Ofimática con Keygen/Patch incluido 18 de marzo de 2010 6
Acto 2 Y ejecuta el Keygen pese al aviso de seguridad de su Soft de seguridad, si el malware no fuera 0-day (Zero day) se hubiese infectado del mismo modo. 18 de marzo de 2010 7
Acto 3 Fabián, al cuál tiene problemas con el pago de la hipoteca, recibe un email ofreciéndole una oferta de trabajo 18 de marzo de 2010 8
Acto 3 Fabián visita la página de la empresa ofertante y rellena los formularios previos al contrato. 18 de marzo de 2010 9
Acto 3 Fabián visita la página de la empresa ofertante y ve que tiene que cumplimentar unos formularios con su información 18 de marzo de 2010 10
Acto 3 Fabián los cumplimenta y los envía 18 de marzo de 2010 11
Acto 4 A Ilva le ofrecen en Moscú unos cuantos rublos por recoger envíos de dinero desde Europa 18 de marzo de 2010 12
Acto 5 Aleksei trabaja de programador en San Petersburgo, desarrolla un multiportal multibancario, además de varios keygens 18 de marzo de 2010 13
Acto 6 Victor recibe un email publicitario sobre “little girls” 18 de marzo de 2010 14
Acto 6 El Hiperenlace realmente es inapropiado 18 de marzo de 2010 15
Acto 6 … y 30 Gb si te unes 18 de marzo de 2010 16
Acto 6 Debes efectuar un pago 18 de marzo de 2010 17
Acto 6 Y recibes tus credenciales para acceder, pero observemos un detalle… lugar y regalo!!! 18 de marzo de 2010 18
Acto 7 Vasiliy monta una empresa de servicios por Internet con sede en Lloret de Mar 18 de marzo de 2010 19
Acto 7 Los pagos de los accesos a las páginas inapropiadas se blanqueaban como licencias de software 18 de marzo de 2010 20
Acto 7 Otros dominios estaban también preparados 18 de marzo de 2010 21
Acto 8 Mariya viaja a Barcelona y con documentación falsa abre varias cuentas bancarias 18 de marzo de 2010 22
Acto 9 Juan que tiene un WebSite de su negocio se da cuenta que sus comunicaciones por eMail no funciona correctamente 18 de marzo de 2010 23
Acto 9 Bajo el dominio de Juan están alojadas las páginas iniciales de Pornografía Infantil 18 de marzo de 2010 24
Acto 9 Dichas páginas llevan a dominios distintos pero de temática similar PureLola.CN - Pure Child Porn galleries!: 18 de marzo de 2010 25
Acto 9 Donde , a su vez, ofrecen la posibilidad de subscripción para acceder a las imágenes 18 de marzo de 2010 26
Y ahora hay que empezar a mirar detrás del telón 18 de marzo de 2010 27
El desenlace A Tyagunova, la del chat de mail.ru, le comunican por ICQ que tiene una transferencia en su cuenta y debe empezar a trabajar 18 de marzo de 2010 28
El desenlace El dinero transferido lo envía a Rusia 18 de marzo de 2010 29
El desenlace Tyagunova después de su detención explica el origen 18 de marzo de 2010 30
El desenlace Del mismo modo Fabián, el de la hipoteca, recibe por email la comunicación de un ingreso Saca la parte a enviar y el resto lo envía 18 de marzo de 2010 31
El desenlace Mariya, la ucraniana de varias filiaciones, se dirige a varias oficinas a sacar dinero 18 de marzo de 2010 32
El desenlace Ilva, recibe en Rusia unas cuantas transferencias 18 de marzo de 2010 33
El desenlace Víctor, el de las páginas de Porno, se descubre que su cuenta bancaria la han realizado varias transferencias 18 de marzo de 2010 34
El desenlace Las transferencias han sido realizadas por Internet, y han ido a Tyagunova, Fabian y a Nataliya. La dirección IP de las transferencias identifican un domicilio … el de Manuel, aquél que se descargo el Soft de ofimática 18 de marzo de 2010 35
El desenlace El “digital forensic” de las máquinas de Manuel y Fabián nos demuestran que las mismas están comprometidas con malware 18 de marzo de 2010 36
El desenlace Las páginas que alojaba el malware, así como los correos electrónicos enviados por la organización se han realizado a través de Mothership de redes zombies. 18 de marzo de 2010 37
Servidor DNS Root Double Flux 2 12 Home PC Servidor .com conecta a TLD (Top www.malware.com Level Domain) 9 1 10 4 3 5 11 PC de la red RED BOTNET BotNet en NODO MotherShip (miles de PC’s) funciones de que en Double Flux servidor DNS funciona como 8 controlador de los PC’s de la BotNet MotherShip devuelve IP: A.B.C.D como de servidor DNS 7 6 18 de marzo de 2010 Interroga al Servidor DNS del MotherShip 38
Hydra Flux Topología Multi-Server Mothership MÁQUINAS ZOMBIES Proxys Name Servers Ordenador Víctima 18 de marzo de 2010
Mitigación 1. Establecer políticas para permitir el bloqueo de TCP 80 y UDP 53 si es posible en redes user-land. (Por los ISPs) 2. Bloquear el acceso al controlador de la infraestructura (mothership, registro y verificación de disponibilidad), en cuanto sean descubiertos. (ISPs) 3. Mejorar los procedimientos de registro de dominio, y la auditoría de nuevos registros para fines fraudulentos. (Registradores) 4. Aumentar la conciencia proveedor de servicios, fomentar el conocimiento de las amenaza, los procesos compartidos y conocimientos. (ISPs) 5. BH-DNS (Blackhole DNS) e inyección de rutas BGP para cargarse a los motherships y el mantenimiento de la infraestructura. (ISPs) 6. Captura y seguimiento pasivo DNS / supervisión para identificar los registros A y NS para detectar anomalías y cambios continuos, registrandolos en Historiales públicos (ISPs, registradores, profesionales de la seguridad, ...) 18 de marzo de 2010 40
El desenlace Como los S.A. y los Register se involucran en el Crimen 18 de marzo de 2010 41
El desenlace Se entre enlaza toda la actividad 18 de marzo de 2010 42
El desenlace Se entre enlaza toda la actividad 18 de marzo de 2010 43
Botnets Seguimientos de BotNets. Fuentes sacadas de M86 Security Labs Rustock = Costrat 1, 3-2 Millones Mega-D = Ozdok 300000-500000 Grum = Tedroo 600000-800000 Pushdo = Cutwail = Pushu = Pandex 1-1.5 Millones Lethic Maazben Bobax = Kraken = Oderoor = Hacktool.spammer Waledac = Waled = Waledpak 200000-300000 80000- 120000 Mariposa Donbot = Buzus Bagle = Beagle = Mitglieder = Lodeight 0.8 – 1.2 Millones 600000-800000 Festi Xarvester = Rlsloup = Pixoliz Srizbi = CbePlay = Exchanger 100000-200000 500000-800000 Gheg = Tofsee = Mondera Oficla Kneber 150000-200000 200000 74000 18 de marzo de 2010 44
Botnets Top Ten Botnets ZeuS = Zbot = WSNPOEM = NTOS = PRG: precio aproximado 4000 $ por copia ¿Cómo combatirlo? SpyEye lo desinstala pero … se instala él => cambio de C&C 18 de marzo de 2010 45
Botnets Spy Eye v1.0: Nuevo producto que nace en Rusia (“magic”) aparece el 2 de enero de 2010. 18 de marzo de 2010 46
Capacidades Botnets • FormGrabbing: Keylogging avanzado que intercepta información en los exploradores, con soporte para Firefox, IE, Maxthon y Netscape. * CC Autofill: Módulo que automatiza el proceso de fraudes de tarjeta de crédito reportando los datos a los botmasters a través de logs. • Panel de Administración PHP-MYSQL * C&C a través de protocolo http , con posibilidad de configurar dos alternativas, así si un dominio es dado de baja puede mantener el control por la ruta alternativa * Envío de backups diarios de la base de datos por email * Cifrado de string-sources del ejecutable * Grabbing para FTP. Total Commander, Notepad++, FileZilla y otros * Grabbing para POP3 * Invisibilidad en la lista de procesos, archivo invisible, invisible en autorun (registro) •Zeus killer (a partir de la versión 1.07) * “Grabbing “Basic-access-authentication”. Mayor apropiación de base de autorización (para aplicaciones que utilizan criptografía. Bibliotecas para núcleos de cifrado) (a partir de la versión 1.072). * Alta capacidad de Inyección-WEB con el formato de Zeus. (Soporta IE5-8, Maxthon, etc) Todo-en-uno bot (En cuanto a la versión anterior, que utiliza un cuentagotas) (a partir de versión 1.08) 18 de marzo de 2010 47
Botnets Precio última versión, 662 euros con gastos Detección casi nula del cuerpo del bot 18 de marzo de 2010 48
Botnets Se dice pero suele pasar 18 de marzo de 2010 49
Zeus Botnet 1.2.7.8 Botnets 18 de marzo de 2010 50
Zeus Botnet 1.2.7.8 Botnets 18 de marzo de 2010 51
Botnets 18 de marzo de 2010 52
Zeus Tracker 18 de marzo de 2010 53
Zeus Tracker 18 de marzo de 2010 54
Zeus Tracker 18 de marzo de 2010 55
Zeus Tracker 18 de marzo de 2010 56
Si no nos Zero-Day adelantamos… 18 de marzo de 2010 57
Scareware Falsos positivos… … con el mismo interes 18 de marzo de 2010 58
Blended Threat Mezcla de amenazas Múltiple amenaza en un solo vector, un troyano que tiene capaacidades de Worm Varios escenarios Única amenaza y múltiples vectores, un troyano entra vía email y apertura una puerta futura para infección y destrucción. 18 de marzo de 2010 59
Direct Message (DM) y Twiter Bots Scam en Direct Message en Redes sociales como Twiter 1- Unfollow todos los seguidores. Menuda opción!!! 2. Desactive su DM eMails. Solo reducirá el número. 3- Utilice un administrador de Twiter. Ayudará a filtrar, como Tweetdeck or Socialite. 4. No lea su DMs. Poner el correo en el fondo del twitter ya que la mayoría de programas utilizados por los spammer no tienen reconocedor de OCR. 5- Bloquear al usuario/s. Hará que al final Twitter le suspenda la cuenta. 6- Bienvenido al hermitaño, haga su Twiter privado 7- Utilice el boton de SPAM, si realmente esta seguro que es un spammer. 18 de marzo de 2010 60
Soft malicioso 18 de marzo de 2010 61
FlashForward Crecimiento del Pharming Evolución atacando las La explosión Ataques a Web: Geogle resoluciones de los nuevos Adobe y Flash Chrome y DNS dominios TLD HTML 5 Ataques a BotNets con niños, control peer-to- adolescentes y peer ancianos Sofisticación de Troyanos bancarios Redes Sociales La disponibilidad en línea de los equipos móviles a través de conexiones WiFi, 3/4G, IPv6 18 de marzo de 2010 62
Soluciones Las soluciones están en crear Grupos de trabajos orientados en un objetivo común Víctimas Vendedores de Software y Hardware Proveedores Telecomunicaciones ISP’s Fuerzas de seguridad del Estado INFORMACIÓN Titulares de IP’s atacadas Equipos de respuesta de Medios de Incidentes - FIRST Comunicación Organizaciones de Informes de Incidentes - CERTs 18 de marzo de 2010 63
DUDAS 18 de marzo de 2010 64

Recomendados

Animation5
Animation5Animation5
Animation5Nirut Uthatip
 
Estiramientos de piernas
Estiramientos de piernasEstiramientos de piernas
Estiramientos de piernasalba lobera
 
Dirección General de Tráfico
Dirección General de TráficoDirección General de Tráfico
Dirección General de Tráficoalba lobera
 
Religiones del mundo
Religiones del mundoReligiones del mundo
Religiones del mundoMaribel Sancho Romeu
 
Wireframe
WireframeWireframe
Wireframepatcs
 
Genero en los_procesos_electorales_2009_2010
Genero en los_procesos_electorales_2009_2010Genero en los_procesos_electorales_2009_2010
Genero en los_procesos_electorales_2009_2010Gobernabilidad
 
Monografia - Aplicabilidade do Neuromarketing
Monografia - Aplicabilidade do NeuromarketingMonografia - Aplicabilidade do Neuromarketing
Monografia - Aplicabilidade do NeuromarketingBruno Lamas
 
Raccords à came inox stainless steel cam & groove couplings - fg inox
Raccords à came inox stainless steel cam & groove couplings - fg inoxRaccords à came inox stainless steel cam & groove couplings - fg inox
Raccords à came inox stainless steel cam & groove couplings - fg inoxjeremy marcelino
 

Recomendados

Animation5
Animation5Animation5
Animation5Nirut Uthatip
 
Estiramientos de piernas
Estiramientos de piernasEstiramientos de piernas
Estiramientos de piernasalba lobera
 
Dirección General de Tráfico
Dirección General de TráficoDirección General de Tráfico
Dirección General de Tráficoalba lobera
 
Religiones del mundo
Religiones del mundoReligiones del mundo
Religiones del mundoMaribel Sancho Romeu
 
Wireframe
WireframeWireframe
Wireframepatcs
 
Genero en los_procesos_electorales_2009_2010
Genero en los_procesos_electorales_2009_2010Genero en los_procesos_electorales_2009_2010
Genero en los_procesos_electorales_2009_2010Gobernabilidad
 
Monografia - Aplicabilidade do Neuromarketing
Monografia - Aplicabilidade do NeuromarketingMonografia - Aplicabilidade do Neuromarketing
Monografia - Aplicabilidade do NeuromarketingBruno Lamas
 
Raccords à came inox stainless steel cam & groove couplings - fg inox
Raccords à came inox stainless steel cam & groove couplings - fg inoxRaccords à came inox stainless steel cam & groove couplings - fg inox
Raccords à came inox stainless steel cam & groove couplings - fg inoxjeremy marcelino
 
2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture CodeSkeleton Technologies
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations Rajiv Jayarajah, MAppComm, ACC
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data ScienceChristy Abraham Joy
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

Mais conteúdo relacionado

Destaque

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by HubspotMarius Sescu
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTExpeed Software
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsPixeldarts
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthThinkNow
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfmarketingartwork
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024Neil Kimberley
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)contently
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024Albert Qian
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsKurio // The Social Media Age(ncy)
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Search Engine Journal
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summarySpeakerHub
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next Tessa Mero
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentLily Ray
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesVit Horky
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project managementMindGenius
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...RachelPearson36
 

Destaque (20)

2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot2024 State of Marketing Report – by Hubspot
2024 State of Marketing Report – by Hubspot
 
Everything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPTEverything You Need To Know About ChatGPT
Everything You Need To Know About ChatGPT
 
Product Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage EngineeringsProduct Design Trends in 2024 | Teenage Engineerings
Product Design Trends in 2024 | Teenage Engineerings
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental HealthHow Race, Age and Gender Shape Attitudes Towards Mental Health
How Race, Age and Gender Shape Attitudes Towards Mental Health
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdfAI Trends in Creative Operations 2024 by Artwork Flow.pdf
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
 
Skeleton Culture Code
Skeleton Culture CodeSkeleton Culture Code
Skeleton Culture Code
 
PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024PEPSICO Presentation to CAGNY Conference Feb 2024
PEPSICO Presentation to CAGNY Conference Feb 2024
 
Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)Content Methodology: A Best Practices Report (Webinar)
Content Methodology: A Best Practices Report (Webinar)
 
How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024How to Prepare For a Successful Job Search for 2024
How to Prepare For a Successful Job Search for 2024
 
Social Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie InsightsSocial Media Marketing Trends 2024 // The Global Indie Insights
Social Media Marketing Trends 2024 // The Global Indie Insights
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024Trends In Paid Search: Navigating The Digital Landscape In 2024
Trends In Paid Search: Navigating The Digital Landscape In 2024
 
5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary5 Public speaking tips from TED - Visualized summary
5 Public speaking tips from TED - Visualized summary
 
ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd ChatGPT and the Future of Work - Clark Boyd
ChatGPT and the Future of Work - Clark Boyd
 
Getting into the tech field. what next
Getting into the tech field. what next Getting into the tech field. what next
Getting into the tech field. what next
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search IntentGoogle's Just Not That Into You: Understanding Core Updates & Search Intent
Google's Just Not That Into You: Understanding Core Updates & Search Intent
 
How to have difficult conversations
How to have difficult conversations How to have difficult conversations
How to have difficult conversations
 
Introduction to Data Science
Introduction to Data ScienceIntroduction to Data Science
Introduction to Data Science
 
Time Management & Productivity - Best Practices
Time Management & Productivity - Best PracticesTime Management & Productivity - Best Practices
Time Management & Productivity - Best Practices
 
The six step guide to practical project management
The six step guide to practical project managementThe six step guide to practical project management
The six step guide to practical project management
 
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
 

UnderCrime: La verdadera visión de la ciberdelincuencia

  • 1. UnderCrime: La verdadera visión v 1.5 (abramos la Jaula de Faraday) Epoch: 1268931600 Localización: 40.4521,-36927
  • 2. Speaker Ponente: Juan Carlos Ruiloba Castilla Email: juancrui@metodo3.es • Veintiocho años en las Fuerzas y Cuerpos de Seguridad del Estado (CNP), de los que los últimos veintiséis años ha estado relacionado con las Nuevas Tecnologías y los últimos siete años como responsable del Grupo de Cibercrimen de Barcelona. • Actualmente, en segunda actividad dentro del CNP, se ha vinculado, para desempeñar su labor de Investigación Tecnológica, a la empresa Método 3. 18 de marzo de 2010 2
  • 3. Truth is not single real, also can be digital! © jU4n(rU1 18 de marzo de 2010 3
  • 4. Presentemos la escena 18 de marzo de 2010 4
  • 5. Acto 1 Vladimir contacta con Tyagunova través del chat de la Red Social love.mail.ru. Vladimir le ofrece la posibilidad de trabajar para una empresa de Soft desde España 18 de marzo de 2010 5
  • 6. Acto 2 Manuel se baja de Internet por P2P la última versión de un paquete de Ofimática con Keygen/Patch incluido 18 de marzo de 2010 6
  • 7. Acto 2 Y ejecuta el Keygen pese al aviso de seguridad de su Soft de seguridad, si el malware no fuera 0-day (Zero day) se hubiese infectado del mismo modo. 18 de marzo de 2010 7
  • 8. Acto 3 Fabián, al cuál tiene problemas con el pago de la hipoteca, recibe un email ofreciéndole una oferta de trabajo 18 de marzo de 2010 8
  • 9. Acto 3 Fabián visita la página de la empresa ofertante y rellena los formularios previos al contrato. 18 de marzo de 2010 9
  • 10. Acto 3 Fabián visita la página de la empresa ofertante y ve que tiene que cumplimentar unos formularios con su información 18 de marzo de 2010 10
  • 11. Acto 3 Fabián los cumplimenta y los envía 18 de marzo de 2010 11
  • 12. Acto 4 A Ilva le ofrecen en Moscú unos cuantos rublos por recoger envíos de dinero desde Europa 18 de marzo de 2010 12
  • 13. Acto 5 Aleksei trabaja de programador en San Petersburgo, desarrolla un multiportal multibancario, además de varios keygens 18 de marzo de 2010 13
  • 14. Acto 6 Victor recibe un email publicitario sobre “little girls” 18 de marzo de 2010 14
  • 15. Acto 6 El Hiperenlace realmente es inapropiado 18 de marzo de 2010 15
  • 16. Acto 6 … y 30 Gb si te unes 18 de marzo de 2010 16
  • 17. Acto 6 Debes efectuar un pago 18 de marzo de 2010 17
  • 18. Acto 6 Y recibes tus credenciales para acceder, pero observemos un detalle… lugar y regalo!!! 18 de marzo de 2010 18
  • 19. Acto 7 Vasiliy monta una empresa de servicios por Internet con sede en Lloret de Mar 18 de marzo de 2010 19
  • 20. Acto 7 Los pagos de los accesos a las páginas inapropiadas se blanqueaban como licencias de software 18 de marzo de 2010 20
  • 21. Acto 7 Otros dominios estaban también preparados 18 de marzo de 2010 21
  • 22. Acto 8 Mariya viaja a Barcelona y con documentación falsa abre varias cuentas bancarias 18 de marzo de 2010 22
  • 23. Acto 9 Juan que tiene un WebSite de su negocio se da cuenta que sus comunicaciones por eMail no funciona correctamente 18 de marzo de 2010 23
  • 24. Acto 9 Bajo el dominio de Juan están alojadas las páginas iniciales de Pornografía Infantil 18 de marzo de 2010 24
  • 25. Acto 9 Dichas páginas llevan a dominios distintos pero de temática similar PureLola.CN - Pure Child Porn galleries!: 18 de marzo de 2010 25
  • 26. Acto 9 Donde , a su vez, ofrecen la posibilidad de subscripción para acceder a las imágenes 18 de marzo de 2010 26
  • 27. Y ahora hay que empezar a mirar detrás del telón 18 de marzo de 2010 27
  • 28. El desenlace A Tyagunova, la del chat de mail.ru, le comunican por ICQ que tiene una transferencia en su cuenta y debe empezar a trabajar 18 de marzo de 2010 28
  • 29. El desenlace El dinero transferido lo envía a Rusia 18 de marzo de 2010 29
  • 30. El desenlace Tyagunova después de su detención explica el origen 18 de marzo de 2010 30
  • 31. El desenlace Del mismo modo Fabián, el de la hipoteca, recibe por email la comunicación de un ingreso Saca la parte a enviar y el resto lo envía 18 de marzo de 2010 31
  • 32. El desenlace Mariya, la ucraniana de varias filiaciones, se dirige a varias oficinas a sacar dinero 18 de marzo de 2010 32
  • 33. El desenlace Ilva, recibe en Rusia unas cuantas transferencias 18 de marzo de 2010 33
  • 34. El desenlace Víctor, el de las páginas de Porno, se descubre que su cuenta bancaria la han realizado varias transferencias 18 de marzo de 2010 34
  • 35. El desenlace Las transferencias han sido realizadas por Internet, y han ido a Tyagunova, Fabian y a Nataliya. La dirección IP de las transferencias identifican un domicilio … el de Manuel, aquél que se descargo el Soft de ofimática 18 de marzo de 2010 35
  • 36. El desenlace El “digital forensic” de las máquinas de Manuel y Fabián nos demuestran que las mismas están comprometidas con malware 18 de marzo de 2010 36
  • 37. El desenlace Las páginas que alojaba el malware, así como los correos electrónicos enviados por la organización se han realizado a través de Mothership de redes zombies. 18 de marzo de 2010 37
  • 38. Servidor DNS Root Double Flux 2 12 Home PC Servidor .com conecta a TLD (Top www.malware.com Level Domain) 9 1 10 4 3 5 11 PC de la red RED BOTNET BotNet en NODO MotherShip (miles de PC’s) funciones de que en Double Flux servidor DNS funciona como 8 controlador de los PC’s de la BotNet MotherShip devuelve IP: A.B.C.D como de servidor DNS 7 6 18 de marzo de 2010 Interroga al Servidor DNS del MotherShip 38
  • 39. Hydra Flux Topología Multi-Server Mothership MÁQUINAS ZOMBIES Proxys Name Servers Ordenador Víctima 18 de marzo de 2010
  • 40. Mitigación 1. Establecer políticas para permitir el bloqueo de TCP 80 y UDP 53 si es posible en redes user-land. (Por los ISPs) 2. Bloquear el acceso al controlador de la infraestructura (mothership, registro y verificación de disponibilidad), en cuanto sean descubiertos. (ISPs) 3. Mejorar los procedimientos de registro de dominio, y la auditoría de nuevos registros para fines fraudulentos. (Registradores) 4. Aumentar la conciencia proveedor de servicios, fomentar el conocimiento de las amenaza, los procesos compartidos y conocimientos. (ISPs) 5. BH-DNS (Blackhole DNS) e inyección de rutas BGP para cargarse a los motherships y el mantenimiento de la infraestructura. (ISPs) 6. Captura y seguimiento pasivo DNS / supervisión para identificar los registros A y NS para detectar anomalías y cambios continuos, registrandolos en Historiales públicos (ISPs, registradores, profesionales de la seguridad, ...) 18 de marzo de 2010 40
  • 41. El desenlace Como los S.A. y los Register se involucran en el Crimen 18 de marzo de 2010 41
  • 42. El desenlace Se entre enlaza toda la actividad 18 de marzo de 2010 42
  • 43. El desenlace Se entre enlaza toda la actividad 18 de marzo de 2010 43
  • 44. Botnets Seguimientos de BotNets. Fuentes sacadas de M86 Security Labs Rustock = Costrat 1, 3-2 Millones Mega-D = Ozdok 300000-500000 Grum = Tedroo 600000-800000 Pushdo = Cutwail = Pushu = Pandex 1-1.5 Millones Lethic Maazben Bobax = Kraken = Oderoor = Hacktool.spammer Waledac = Waled = Waledpak 200000-300000 80000- 120000 Mariposa Donbot = Buzus Bagle = Beagle = Mitglieder = Lodeight 0.8 – 1.2 Millones 600000-800000 Festi Xarvester = Rlsloup = Pixoliz Srizbi = CbePlay = Exchanger 100000-200000 500000-800000 Gheg = Tofsee = Mondera Oficla Kneber 150000-200000 200000 74000 18 de marzo de 2010 44
  • 45. Botnets Top Ten Botnets ZeuS = Zbot = WSNPOEM = NTOS = PRG: precio aproximado 4000 $ por copia ¿Cómo combatirlo? SpyEye lo desinstala pero … se instala él => cambio de C&C 18 de marzo de 2010 45
  • 46. Botnets Spy Eye v1.0: Nuevo producto que nace en Rusia (“magic”) aparece el 2 de enero de 2010. 18 de marzo de 2010 46
  • 47. Capacidades Botnets • FormGrabbing: Keylogging avanzado que intercepta información en los exploradores, con soporte para Firefox, IE, Maxthon y Netscape. * CC Autofill: Módulo que automatiza el proceso de fraudes de tarjeta de crédito reportando los datos a los botmasters a través de logs. • Panel de Administración PHP-MYSQL * C&C a través de protocolo http , con posibilidad de configurar dos alternativas, así si un dominio es dado de baja puede mantener el control por la ruta alternativa * Envío de backups diarios de la base de datos por email * Cifrado de string-sources del ejecutable * Grabbing para FTP. Total Commander, Notepad++, FileZilla y otros * Grabbing para POP3 * Invisibilidad en la lista de procesos, archivo invisible, invisible en autorun (registro) •Zeus killer (a partir de la versión 1.07) * “Grabbing “Basic-access-authentication”. Mayor apropiación de base de autorización (para aplicaciones que utilizan criptografía. Bibliotecas para núcleos de cifrado) (a partir de la versión 1.072). * Alta capacidad de Inyección-WEB con el formato de Zeus. (Soporta IE5-8, Maxthon, etc) Todo-en-uno bot (En cuanto a la versión anterior, que utiliza un cuentagotas) (a partir de versión 1.08) 18 de marzo de 2010 47
  • 48. Botnets Precio última versión, 662 euros con gastos Detección casi nula del cuerpo del bot 18 de marzo de 2010 48
  • 49. Botnets Se dice pero suele pasar 18 de marzo de 2010 49
  • 50. Zeus Botnet 1.2.7.8 Botnets 18 de marzo de 2010 50
  • 51. Zeus Botnet 1.2.7.8 Botnets 18 de marzo de 2010 51
  • 52. Botnets 18 de marzo de 2010 52
  • 53. Zeus Tracker 18 de marzo de 2010 53
  • 54. Zeus Tracker 18 de marzo de 2010 54
  • 55. Zeus Tracker 18 de marzo de 2010 55
  • 56. Zeus Tracker 18 de marzo de 2010 56
  • 57. Si no nos Zero-Day adelantamos… 18 de marzo de 2010 57
  • 58. Scareware Falsos positivos… … con el mismo interes 18 de marzo de 2010 58
  • 59. Blended Threat Mezcla de amenazas Múltiple amenaza en un solo vector, un troyano que tiene capaacidades de Worm Varios escenarios Única amenaza y múltiples vectores, un troyano entra vía email y apertura una puerta futura para infección y destrucción. 18 de marzo de 2010 59
  • 60. Direct Message (DM) y Twiter Bots Scam en Direct Message en Redes sociales como Twiter 1- Unfollow todos los seguidores. Menuda opción!!! 2. Desactive su DM eMails. Solo reducirá el número. 3- Utilice un administrador de Twiter. Ayudará a filtrar, como Tweetdeck or Socialite. 4. No lea su DMs. Poner el correo en el fondo del twitter ya que la mayoría de programas utilizados por los spammer no tienen reconocedor de OCR. 5- Bloquear al usuario/s. Hará que al final Twitter le suspenda la cuenta. 6- Bienvenido al hermitaño, haga su Twiter privado 7- Utilice el boton de SPAM, si realmente esta seguro que es un spammer. 18 de marzo de 2010 60
  • 61. Soft malicioso 18 de marzo de 2010 61
  • 62. FlashForward Crecimiento del Pharming Evolución atacando las La explosión Ataques a Web: Geogle resoluciones de los nuevos Adobe y Flash Chrome y DNS dominios TLD HTML 5 Ataques a BotNets con niños, control peer-to- adolescentes y peer ancianos Sofisticación de Troyanos bancarios Redes Sociales La disponibilidad en línea de los equipos móviles a través de conexiones WiFi, 3/4G, IPv6 18 de marzo de 2010 62
  • 63. Soluciones Las soluciones están en crear Grupos de trabajos orientados en un objetivo común Víctimas Vendedores de Software y Hardware Proveedores Telecomunicaciones ISP’s Fuerzas de seguridad del Estado INFORMACIÓN Titulares de IP’s atacadas Equipos de respuesta de Medios de Incidentes - FIRST Comunicación Organizaciones de Informes de Incidentes - CERTs 18 de marzo de 2010 63
  • 64. DUDAS 18 de marzo de 2010 64