eCrime ' Las nuevas amenazas

1
eCrime .- Las nuevas amenazas

• Modelos de negocio

Alfonso del Castillo Jurado S21sec Mexico
2
Agenda

• Los 10 factores del e-crime
• Algunos números
• Nuevas amenazas
• Motivos
• MaaS Malware as a Service
• Nuevos negocios
• Nuestro equipo
• Nuestros Servicios
• Preguntas

3
Ponente

• Ingeniero Informático Sistemas (UPM), CISA.
• Experto en Seguridad, eCrime
• Ponente en Securmática, Infosecurity, Techday,
• Director de Operaciones de S21sec últimos 4 años
• Director de Desarrollo Corporativo (Ahora
  México)

4
Los 10 factores del e-crime
5
Los 10 factores

• Cada vez somos más vulnerables al crimen en
  Internet
• La frecuencia de los incidentes es mayor, así
  como su sofistificación
• No existe una base legal bien definida
• El carácter distribuido de los incidentes genera
  problemas de jurisdicción
• No existen estructuras funcionales de cooperación
• Hoy en día, no está clara la responsabilidad de
  los incidentes

6
Los 10 factores

• La concienciación de los usuarios es mínima
• El crimen organizado cuenta con multitud de
  recursos
• El anonimato y la facilidad de operar en
  Internet
• Necesitamos nuevas herramientas, servicios y
  capacitación para hacer frente

7
Algunos números

• Uno de cada tres ordenadores está infectado
• Cada incidente global media de 20.000 máquinas
  infectadas
• Número de incidentes globales 3.000
• Google 10 de las páginas son maliciosas
• Antivirus reconocen que no pueden soportar el
  ritmo miles de nuevos códigos dañinos al día
• Durante 2007, se calcula que hubo miles de
  ataques de ciberespionaje
• Cada incidente investigado por S21sec media de
  4Gb de datos capturados

8
Casos de fraude 2005-2008
9
Casos Phishing 2007
10
Casos de Troyanos 2006-2008
11
Nuevas Amenazas

• Somos conscientes de la información presente en
  Internet?
• Fugas de información
• Abuso de marca
• Atentados contra el honor e imagen
• El Fraude no sólo está afectando a las entidades
  financieras
• eCommerce
• Robo de identidades (y su conexión con el
  terrorismo)
• ISP clientes infectados (SPAM, ataques, botnets)
• Gobiernos

Estas bandas tienen una gran cantidad de
recursos, técnicas cada vez más avanzadas, los
incidentes cada vez más difíciles de manejar
saben muy bien lo que están haciendo
12
Nuevas Amenazas (II)

• Los casos de phishing son sólo la punta del
  iceberg
• Click Fraud / Pay por install
• Iframe business, SEO
• Botnets SPAM, DDoS, proxy
• Conexión con fraude real e incluso terrorismo
• Relacionado con el código malicioso
• No existe la solución perfecta, las antiguas no
  sirven
• Drive-by exploits combinados con SEO
• Ataques muy dirigidos usando vulnerabilidades no
  conocidas (Microsoft Office)
• Globalización Europa del Este, China y Brasil
  (conexiones)
• Países emergentes con ataques focalizados pero ya
  se intuyen expansiones (Asia)
• No es necesario tener conocimientos, fáciles de
  adquirir (webfile!!!)
• TDS, Agent, Barracuda, d1ez, DDOS Admin, ZeuS,
  FTP-Toolz, IcePack, Infector, Metaphiser, Mpack,
  Multiexploits, Neosploit, Apophis, Pinch,
  RDMaster, Snatch, Socks Proxy Panel, Traffic Pro,
  VisualB, WebStats, WW Loader, Zunker, Zupacha,
• Luchas internas debido a la no confianza
  (backdoored)

13
Motivos

• Económicos (mass attacks)
• Phishing, pharming, vishing, SMSing, scam
• Click-fraud
• Pump Dump
• Iframe and DDoS business
• Religiosos (dirigidos)
• Dinamarca vs mundo islámico
• Políticos (dirigidos/mass)
• USA, China, Corea, Israel,
• Rusia vs Estonia
• Industriales (dirigidos)
• Ciberespionaje CEO, secretarias

14
Motivos
15
Motivos
Los gobiernos se están tomando muy en serio el
peligro de la seguridad informática y los ataques
a empresas e instituciones oficiales. Alemania
en concreto, según el semanario "Der Spiegel" ha
sufrido ataques chinos en los últimos meses que
han afectado a numerosos ordenadores del gobierno
alemán, en la forma de troyanos que supuestamente
habrían enviado cientos de Gigabytes hacia el
extremo oriente. Desde que se descubrieron
internamente en Mayo, los expertos IT del
gobierno alemán supervisaron el tráfico generado
por los troyanos e impidieron el envío de 160
Gigabytes hacia su destino final.
16
Motivos
Ya en el mes de febrero 2007 este mismo semanario
publicaba una noticia advirtiendo del gran
incremento de ataques chinos a medianas empresas
alemanas, especialmente de medicamentos, piezas
de automóvil,... Según este mismo articulo, las
empresas medianas son especialmente vulnerables
por no disponer de las medidas de seguridad
adecuadas. Se cita como factores de riesgo
adicional la telefonía por Internet e incluso la
información al alcance de becarios. Para muestra
las siguientes fotos en las que se puede apreciar
el supuesto plagio de un autobús MAN Starliner
completo.
17
Motivos económicos
18
Motivos económicos

• Phishing, pharming, vishing, SMSing,
• Entidades financieras
• Gobiernos
• Pagos online
• Juegos online
• Subastas online
• Redes sociales
• Se busca al eslabón más débil de la cadena
• Ingenieria Social

19
MaaS Malware as a Service

• Capas en el modelo MaaS
• Capa de Red (3-4 OSI layer)
• Capa de Aplicación (7 OSI layer)
• Capa de la infección (client exploits) una
  posible capa 8
• Capa cliente(código malicioso que se ejecuta en
  la máquina infectada) de alguna forma una capa 9

1
2
3
4
Cada capa necesita diferentes herramientas y
procedimientos Es necesario correlar toda la
información de cada capa para entender la amenaza
20
MaaS Capa de Red

• Capa de red
• Bullet-proof hosting RBN, HostFresh, Abdullah,
• Fast-flux bajo TTL. Single y Double
• Redes VPN
• Proxies inversos (nginx)

21
MaaS capa de Aplicación

• Paneles de control donde se controla todo
• Información robada
• Órdenes que se envían a las máquinas
• Ataques de DDoS
• Generalmente, LAMP (LinuxApacheMysqlPHP)
• Alrededor de 1000 pero muchas veces accesibles
  en sitios públicos (backdoors)
• Evolución IRC HTTP P2P (Storm)

22
CC Example (I)
23
CC Example (I)
24
CC Example (I)
25
CC Example (I)
26
CC Example (I)
27
CC Example (I)
28
CC Example (I)
29
CC Example (I)
30
CC Example (I)
31
CC Example (II)
32
CC Example (II)
33
CC Example (II)
34
CC Example (III)
35
CC Example (III)
36
CC Example (III)
37
CC Example (III)
38
CC Example (III)
39
CC Example (III)
40
CC Example (III)
41
CC Example (III)
42
CC Example (III)
43
MaaS Capa infección

• Propagación
• Ads maliciosos
• SEO malicioso
• Mass SQL Injection
• Vulnerabilidades en aplicaciones web (SQL
  Injection, XSS, )
• Credenciales FTP
• ARP Spoofing
• Objetivo
• Client side exploits Office, Browsers, Acrobat,
  Quicktime, WinZip,

44
MaaS Capa infección
MPack
45
MPack
46
MPack
47
AdPack
48
IcePack
49
MaaS Capa código malicioso

• Objetivos
• Robo de información
• Control de la computadora
• Técnicas
• Inyección procesos
• Anti-todo (sandbox)
• BHO HTML Injection
• Updates
• Stealth

50
Información robada

• Credenciales almacenadas
• Mail (Outlook, Notes, Thunderbird, )
• Certificados (claves privadas y públicas)
• Credenciales acceso VPN
• Información enviada por el browser
• Logins y passwords
• Webmails
• Intranet
• Cookies

51
Nuevos Negocios
52
Nuevos Negocios
53
Nuestro equipo
Fuentes externas Listas privadas BTF, DPN, APWG,
NCFTA, ENISA, LE, iDefense, Microsoft,
VeriSign Reuniones internacionales
Virtual Teams
54
Nuestros Servicios

• Servicios de fraude
• Deteccion
• Remediación
• Servicios de WebMalware
• Detección
• Protección
• Servicios de Vigilancia Digital
• Protección de marca
• Protección de personas
• Servicios de Inteligencia
• Capacitación

55
Resumen

• La amenaza es real. Diversos motivos
• Globalidad de los ataques. Carácter distribuido
• Es necesario contar con herramientas,
  procedimientos y capacitación específica
• La Seguridad como la entendíamos hasta ahora ha
  cambiado
• Cortafuegos, AV, IDS, son válidos, pero
  añadamos más capas

56
Preguntas?
57
Pedro Sanciprian (Director General S21sec
Mexico) psanciprian_at_s21sec.com Alfonso del
Castillo (Director Desarrollo Corporativo) acastil
lo_at_s21sec.com
eCrime .- Las nuevas amenazas
Modelos de negocio