lunes, marzo 12, 2012

Owning bad guys & mafia with Javascript botnets (4 de 5)

**************************************************************************************************
- Owning bad guys & mafia with Javascript botnets (1 de 5)
- Owning bad guys & mafia with Javascript botnets (2 de 5)
- Owning bad guys & mafia with Javascript botnets (3 de 5)
- Owning bad guys & mafia with Javascript botnets (4 de 5)
- Owning bad guys & mafia with Javascript botnets (5 de 5)
**************************************************************************************************

¿Quién usa los servidores Proxy de Internet?

Las razones principales para utilizar un Servidor Proxy de Internet suelen ser dos. La primera de ellas es, evidentemente, ocultar la dirección IP de procedencia de la conexión. Este tipo de usuarios busca, sin duda, no dejar la dirección IP de la conexión inicial en un fichero de log que pueda apuntar directamente hacia su persona. La segunda razón suele ser para saltar restricciones de acceso en la red de conexión, es decir, usuarios que quieren saltarse alguna protección que haya en la red de la organización para conectare a sitios no permitidos por el administrador de red.

Con este tipo de motivaciones de base, el tipo de usuarios de nuestro Servidor Proxy fue de lo mas variopinto, dejándonos una buena colección de datos dignos de estudiar profundamente. Entre los más llamativos nos encontramos los siguientes.

Estafadores: El timo del Nigeriano

Uno de los usuarios de este tipo de Servicios Proxy en Internet resultó ser un estafador que se dedicaba a vender supuestas Visas de trabajo para UK en direcciones de la India. Para ello hacía una intensa campaña de Spam desde un correo electrónico solicitando pagos por Westerm Union.

Figura 13: Campaña de estafa por Spam y petición de dinero

Por supuesto, algunos de los receptores de los mensajes eran bastante escépticos y sus respuestas fueron bastante negativas, pero pudimos constatar como algunas personas pagaban y enviaban todos sus datos para la obtención de una Visa que no llegaría jamás.

Figura 14: Víctima enviando toda la documentación requerida

Estafadores: La tía buena con la que ligaste anoche

Otro de los tipos de estafadores con los que nos topamos se dedicaba a mantener perfiles falsos de mujeres en distintas redes sociales de contactos sentimentales. En cada uno de ellos, la ubicación, el nombre y la edad de la mujer era distinto. De hecho, la misma persona mantenía perfiles con distintos tipos de mujeres, lo que le permitía abrir el abanico de víctimas.

Figura 15: Perfil falso 1

Por motivos de espacio os dejo solo un par de los perfiles de todos los que vimos que mantiene el mismo tipo.

Figura 16: Perfil falso 2

Su modelo de negocio era más o menos el mismo. Haciendo una jornada laboral, este alemán se dedica a ligar con la gente y solicitar dinero por Western Union para pagarse el viaje hasta donde vive la víctima y pasar una noche de amor loco. Como tenía muchos encuentros fortuitos, cataloga las conversaciones y las almacena. Algunas son como esta en la que insistentemente solicita el dinero, a cambio de unas supuestas "nicked" (naked) fotos. En el chat se puede ver que, como debe estar chateando con varios a la vez, a veces le juega malas pasadas y pone cosas en su idioma nativo.

Figura 17: Una conversación del estafador

El número de chats, y solicitudes de dinero por Western Union que hacía era altísimo, haciendo de este sistema un auténtico trabajo de horario nocturno.

Estos dos modelos de estafas es alguno de los muchos que vimos, donde pudimos constatar que se hacían todo tipo de estafas, con venta de perros, de vehículos, etc... Una auténtica cantidad de negocios que desconocíamos previamente.

Preocupados por el anonimato

Muchos de los usuarios que entraban a hacer algo "alegal", lo primero que hacían era comprobar su dirección IP en Whatismyip.com o sitios de comprobación de si se es anónimo o no, pero al final, visto lo visto, no solo deberían comprobar su direccionamiento.

Hackers hackeando hackeados

Uno de los temas que no nos llamó la atención, ya que lo esperábamos, fue encontrar a muchos hackers usando Webshells a través de los Servidores Proxy para defacear sitios web. Entre ellos nos quedamos con este que vimos como en tiempo real hacía un defacement.

Figura 18: El defacement del hacker

Cuando analizamos el porqué se había quedado infectado, nos dimos cuenta de que estaba utilizando una webshell troyanizada que cargaba un fichero Javascript para reportar la URL de la webshell. Ese fichero Javascript fue troyanizado por el Servidor Proxy y nos permitió descubrir dónde estaba la shell.

Figura 19: Webshell con la petición del javascript troyano

Hasta el momento, todo lo que se ha obtenido ha sido mediante observación pasiva de navegación, pero... ¿se podría hacer una infección activa seleccionando infectar sitios webs a los que no se haya navegado a través del Servidor Proxy? La respuesta es sí, y la veremos en la última parte del artículo.

Saludos Malignos!

**************************************************************************************************
- Owning bad guys & mafia with Javascript botnets (1 de 5)
- Owning bad guys & mafia with Javascript botnets (2 de 5)
- Owning bad guys & mafia with Javascript botnets (3 de 5)
- Owning bad guys & mafia with Javascript botnets (4 de 5)
- Owning bad guys & mafia with Javascript botnets (5 de 5)
**************************************************************************************************

3 comentarios:

  1. Me estan encantado esta serie de artículos, felicidades. Sin embargo, tengo una duda: si alguna de las víctimas denuncia, y el rastreo de la IP del estafador llega a tu servidor proxy, ¿no será una situación embarazosa el intentar explicar todo esto a los simpáticos señores de verde? ¿No puede traerte problemas?

    ResponderEliminar
  2. Genial! espero con ansias la parte 5

    ResponderEliminar
  3. Chema, oculta mejor la información en las imágenes XDDD

    http://www.t*****p.com/demo/*******/wp-includes/css/casus.php

    :)

    ResponderEliminar