domingo, diciembre 08, 2013

BlackHole y el negocio lucrativo de crear Kits de Exploits

Hay mucha gente que presume de no tener antivirus o no preocuparse de medidas de seguridad más allá del "sentido común". Ese sentido común que le dice que basta con no entrar en sitios webs peligrosos, no ejecutar programas o no seguir enlaces en mensajes de correo electrónico. Eso está bien, pero el sentido común ese sería "on top of", pues ni mucho menos es suficiente con esa medida de protección para vivir al margen del malware.

Una de las cosas que más me gustó del libro que escribieron los especialistas en e-crime Mikel Gastesi (@mgastesi) y Dani Creus fue la explicación en el capítulo titulado "Organización del Ecosistema: Infraestructura y División de Tareas" del libro de Fraude Online: Abierto 24 horas, es cómo describen la profesionalización de cada una de las fases para ganar dinero con el e-crime.

Figura 1: Trabajar en el mundo del cibercrimen

En este ecosistema de cibercriminales hay desde los que se dedican a las tareas puramente técnicas para crear bots, packers, paneles de control de botnets o exploits, hasta los que se ocupan de las tareas puras de gestión, como la negociación de compra de nuevos exploits o la búsqueda de blanqueo de dinero utilizando cualquier sistema, desde el mulero clásico a los esquemas de venta de apps fraudulentas en tiendas como la AppStore.

Para que se puedan conseguir muchos clientes infectados hay que buscar un buen canal de infección, e ir a por víctimas que navegan sin fortificar el sistema operativo usando sólo el "sentido común" o el planteamiento aún más divertido de "yo no tengo nada que les interese" es una de las ideas más lucrativas en la industria del e-crime. Por supuesto, los que se sienten invulnerables porque tienen Mac OS X también son bien recibidos.

Montando la infraestructura

Se comienza consiguiendo controlar servidores web masivamente utilizando exploits o bugs conocidos para las tecnologías web. En estos casos se abusa de bugs de SQL Injection, RFI, LFI, WebShells, contraseñas por defecto, etcétera, etcétera, que sirven para meter al final un código infectado en las webs legítimas que redigirá tráfico hacia "el matadero". Esta fase de infección de páginas webs legítimas consigue que usuarios con mucho "sentido común" queden infectados cuando visitan páginas como la del servicio postal americano o incluso la propia web de Apple, que también se vio infectada en alguna de estas.

Para conseguir el mayor número de víctimas es por tanto necesario tener el mayor número de webs infectadas, para lo que se utilizan equipos profesionales de personas que se dedican a infectar manualmente páginas con mucho tráfico o infectar masivamente usando técnicas de hacking con buscadores y scanners automatizados que usando dorks para Google, Shodan o Bing les permiten dar con servidores propicios para ser infectados.

Figura 2: Apple.com infectada con scripts de redirección en la operación Lizamoon

Si llegado el caso no hay demasiado tráfico de víctimas porque no se han conseguido infectar muchas webs, siempre queda la opción de hacer una campaña de spam enviando enlaces, como se ha hecho con facturas falsas de Apple. Si por el contrario, se ha conseguido un nivel de infección que va más allá del servidor web, entonces los códigos de infección se pueden poner a nivel de componente del servidor web, como hemos visto con varios módulos malicioso de Apache que llevaban a kits de explotación.

Infectando a los clientes

Una vez se ha conseguido controlar el contenido de las páginas web que recibirán los visitantes, se conseguirá poder lanzar la ejecución de exploit para el navegador del cliente. Estos exploits son seleccionados dependiendo de la versión del navegador que esté entregando el cliente. Si resulta que el visitante ocasional ha llegado al matadero con una versión vulnerable de un navegador de Internet para la que el kit de exploits cuenta con el exploit adecuado, entonces tendremos una infección silenciosa con el malware apropiado. Si no, siempre se pueden usar técnicas de ingeniería social.

Figura 3: Fondos anunciados en Darkode para comprar exploits de 0day

Por supuesto, también es necesario contar con buenos exploits, y estos se pueden desarrollar si tienes buenos profesionales, se pueden adaptar porque alguien ha publicado información suficiente para ello o se pueden comprar. En el fantástico blog de Krebs On Security se cuenta como en uno de los foros del cibercrimen se estaban ofreciendo hasta 450.000 USD para comprar exploits de tipo 0day con el objetivo de conseguir más infraestructura de servidor y más exploits para mejorar las infecciones de los clientes. Estos precios no son tantos si nos atenemos a lo que dijo el New York Times, donde se hablaba de que un 0day para iOS se había pagado a 500.000 USD.

Para manejar todo esto se usan los kits de exploits, donde han proliferado muchos a lo largo del tiempo que han ido naciendo y muriendo. Eleonore, Phoenix, Sweet Orange o el famosísimo BlackHole han sido muy utilizados a lo largo del tiempo.

Figura 4: Captura de un panel de BlackHole v.1.0.0


Una vez conseguida la ejecución del programa en el equipo de la víctima, entran otros profesionales del mundo del cibercrimen, como son los que desarrollan los packers y bots para ser indetectables a sistemas antimalware, además de hacerlos resistentes a las guerras de bandas que hay entre los bots para defenderse unos de otros. Aquí se encuentra por encima de todos el famoso Zeus y sus evoluciones creadas a partir de la liberación de su código fuente, como el famoso Citadel.

La detención de "Paunch"

El creador de BlackHole es Paunch, un ruso de 27 años que consiguió generar con ese modelo unos 2.3 millones de USD en unos tres años y tenía un salario de unos 50.000 USD al mes, según cuentan las autoridades rusas que lo detuvieron durante el mes de Octubre de este año.

Figura 5: Paunch, creador de BlackHole, detenido junto con su Porsche

Tras la caída del creador de BlackHole parece que hay un vacío, pero no tardará en llenarse rápidamente ya que existe un negocio en este área demasiado llamativo como para que nadie quiera venir a llenarlo. Los kits de exploits llegaron para quedarse y aunque ahora se exhiba a su creador detenido, hay demasiada gente dispuesta a pagar por tener un sistema automatizado de infección de clientes como para que nadie ofrezca ese servicio, y si no, los propios creadores de los paneles de control de las botnets se ocuparán de financiar estos proyectos.

Saludos Malignos!

9 comentarios:

Guilletronic dijo...

muy interesante como siempre, surgieron varios estudios demostrando el hacking a las ya extendidas contacless card, fuentes:

http://eandt.theiet.org/news/2013/oct/hacking-contactless-card.cfm

http://digital-library.theiet.org/content/journals/10.1049/joe.2013.0087;jsessionid=3bggvbgimjqg9.x-iet-live-01

Anónimo dijo...

Cual es la sensacion de seguridad que te brinda un soft antivirus?
Cual es la sensacion de seguridad que te brinda haber instalado el ultimo update?.

Anónimo dijo...

No tiene nada que ver con el artículo, pero lo escribo aquí porque en uno más antiguo no creo que me lea. Disculpas por adelantado.

Chema, ¿por qué al hacer un MITM con Evil Foca hacéis lo de IPv6? ¿No podría hacerse el ataque igual utilizando todo el rato IPv4?

¡Gracias!

Anónimo dijo...

O sea, que puedes tener bien protegido el ordenador y tal y cual, pero si los malos tienen controlado el servidor, te la pueden liar en una compra online pagada con tarjeta o en un movimento/pago/transferencia online bancario.

Me deja mucho más tranquilo (ironía).

Anónimo dijo...

La filosofía de seguridad basada en sentido común va muy bien para evitar ataques generalizados, cutres, "obvios" ...
Para defenderse de este cibrecrimen tan elaborado del que hablas, ¿existe alguna protección? Porque si la respuesta es "no", o "sí, pero requiere un gran nivel de conocimientos o de inversión económica", prefiero quedarme con mi sentido común (suficiente para cualquier cosa de la que me pueda defender).

Por cierto, hay un par de erratas en el cuarto párrafo: "y ir", "sistemas operativo".

John doe dijo...

Interesante artículo.

SlowBait dijo...

¿Por que "yo no tengo nada que les interese" es un planteamiento muy lucrativo?

pecador de la pradera dijo...

Genial artículo Chema, como la mayoría de artículos..

Aparte del sentido común, usar un sistema operativo de escritorio basado en linux ( ubuntu, debían, mint ) te ofrece realmente más seguridad? O es solo una ilusión? Sería conveniente usar antivirus también en estos casos? Tu lo usas?

Anónimo dijo...

"pecador de la pradera dijo...

Genial artículo Chema, como la mayoría de artículos..

Aparte del sentido común, usar un sistema operativo de escritorio basado en linux ( ubuntu, debían, mint ) te ofrece realmente más seguridad? O es solo una ilusión? Sería conveniente usar antivirus también en estos casos? Tu lo usas?"

usar otro sistema operativo no te salvará, se puede programar un host ("virus" o como se le quiera llamar) para cualquier otra plataforma ademas de windows, e infectar en fucnion del o.s. del que clickea en los links con los exploits.

p.d: chemalonso vuelvete al hacker.net, creo que por alla te iba mejor :D

saludos

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares