Incident Response, Security and Forensics"

.

jueves, 29 de septiembre de 2011

El fraude-ware te vigila. Otro de APT


Hola lectores,

Parece ser que el último post sobre ataques persistentes ha tenido bastante movimiento y muchos de vosotros me habéis solicitado en muchos correos mas detalles sobre este nuevo tipo de ataque. Como todavía no puedo facilitaros mas información voy a dar una visión mas general de como es el mapa de este tipo de ataques.

Durante muchos años, los piratas informáticos operan desde China  (sean o no responsables) y han estado atacando a un gran número de sistemas comerciales y gubernamentales aquí en España y en el extranjero.

En la última conferencia de la NcN en Barcelona, hablé veladamente de ello y quisiera destacar una entrevista en el periódico el País que le hizo a Luis Jiménez, responsable de la seguridad electrónica del servicio de inteligencia del CNI y en la que cito literalmente lo que dijo:  "España fue blanco de más de 40 ataques "graves", varias instituciones clave fueron tocadas. Cuatro de los 40 ataques alcanzaron al CNI: dos de ellos, al Centro Criptológico Nacional."

Extracto de la entrevista


Otra de las perlas es este gazapo de la televisión estatal China que en una emisión en directo del canal 7 (CCTV 7) en el Instituto Militar del PCCh (partido comunista) muestran en una pantalla los ataques dirigidos a través de Internet a sitios Web.

En la pantalla se puede mal apreciar una dirección IP: 138.26.72.17


Que buscando por geo-localizacion nos encontramos esto:


¿Que estarán haciendo los Chinos en Alabama?

Vamos mas claro y en botella 'agua'.

MAPA DE ACTORES

Viendo los diferentes casos en los que he colaborado mas o menos podría decir que existen varios escenarios:
  • Mafias - Advanced Persistent Threats
  • Espionaje Industrial - Advanced Persistent Threats
  • Ciberguerra - Advanced Persistent Threats
De ahora en adelante APT, vamos a empezar con la primera:

MAFIAS - APT

Su objetivo es obtener beneficios económicos de forma rápida atacando y/o troyanizando al usuario de una entidad financiera. Como si de una empresa se tratase, consiguen realizar toda una cadena de desarrollo, producción , venta y explotación.


En la imagen anterior aparecen los siguientes actores:

Desarrollador de exploits:  Es la persona(as) que disponen de la técnica suficiente para la elaboración del malware, no tiene que ser una persona y muchas veces se compone de un equipo que va de tres a cinco programadores. Su precio oscila entre los 10.000€ y 20.000€ dependiendo si desarrolla un 0 Day o consigue un malware indetectable en el tiempo. También se cobra más si es remoto y todavía más caro si afecta a los navegadores de los usuarios.

Vendedor de exploits & packs: Al igual que el desarrollador de exploits puede ser desde una persona a un equipo. En los casos que he visto pueden ser los mismos integrantes del equipo que desarrolla una forma 'paquetizada' de su producto. También son los que dan 'soporte' a la venta y/o actualizaciones. Pueden ganar entre 1.000€ y 3.000€ dependiendo de su integración y conocimiento del producto con los desarrolladores.

Vendedor de Bots: Vendría a ser la figura del 'account manager' de cualquier empresa normal, controlan el canal de venta y aunque parezca mentira, su producto estrella no es la venta de 'bots', es la venta de identidad digital, obviamente robada anteriormente. Con esta identidad falsifican tarjetas de crédito y compran dominios que a su vez hospedan y venden. Su figura en todo este proceso es ser transparente, por no decir invisible. Es muy difícil involucrarlo ante la justicia por falta de evidencias. También se dedican a la venta de pornografía infantil. 
Es el actor que más dinero gana de la cadena dada su versatilidad en 'otros productos'.

Botmaster y Recolector de cuentas: Son los compradores finales, que pueden ser las mismas mafias que han 'contratado' el desarrollo del 'producto' o bien entidades menores como grupos organizados o pequeñas mafias. El recolector de cuentas puede ser una persona o grupo que dispone de una gran base de datos de cuentas de correo, preferiblemente de entidades financieras. Su posición es arriesgada dado que son la cabeza visible del ataque o de la gestión del panel de control.

Muleros: Como ya sabréis son los encargados de obtener el dinero fisicamente desde su propia cuenta corriente quedando un margen disponible del montante para el. Suelen ser los primeros que las fuerzas de seguridad atrapan dada su exposición fisicamente a la hora de personarse en la entidad financiera.

Víctimas: 'Sin comentarios'. 

ESPIONAJE INDUSTRIAL - APT

Muy de moda hoy en día sobre todo en epoca de crisis. Muchas empresas no tienen lo suficiente para invertir en I+D y sale mas rentable 'fotocopiarselo' a la competencia.

Su objetivo es disponer de más información que la competencia y aquí entramos en la guerra de guerrillas, vale todo desde información financiera, documentos confidenciales y planos hasta información privada y si es comprometedora mucho mejor. Esto les da ventaja en la carrera.


Los actores apenas han cambiado, tan solo desaparece el vendedor de bots dado que su relación es ahora mucho mas directa y confidencial entre los que piden 'hazme un troyano para la empresa x' y los que lo desarrollan. Los precios aumentan dado que su exposición es mas directa y facil de poder llegar a descubrir (dependiendo de como es la empresa).

Tan solo destacar o diferenciar que la información obtenida no tiene valor en el mercado solo beneficia a la empresa que lo contrata. Los actores y el canal de distribución es idéntico que en la primera imagen.

CIBERGUERRA - APT

LLeva años durmiendo veladamente, aunque la realidad es que ha despertado con fuerza. Aquí los amos o por lo menos los mas señalados como ciber-agresores es China.

El anonimato difumina al enemigo y la complejidad de las redes hace imposible controlar el alcance de una acción ofensiva.

Se ha visto en los ataques contra Estonia, contra Georgia y en julio de 2009, contra Corea del Sur y Estados Unidos: los ataques no venían de un solo sitio sino de decenas, incluidos los países víctimas. Eran ordenadores personales secuestrados mediante malware que esconden la verdadera identidad del enemigo.

El objetivo de estos hackers de los distintos países no es otro que disponer de información y tener control de actividades, información diplomática y si llega el caso el poder de activar o desactivar ciertas defensas de los países atacados.



Aquí los actores al igual que las anteriores imágenes varían poco, salvo que son 'financiados' por los ejércitos especializados. En este caso la cadena de distribución llega hasta el botmaster.

También otro nuevo escenario entra a formar parte de la vida cotidiana. El grupo Anonymous empieza a atacar tanto a gobiernos, instituciones y empresas privadas con objeto de reivindicar un cambio en la sociedad.

Por lo tanto el mapa queda de la siguiente forma:



Como vemos hay muchos componentes y quízas me olvide alguno, pero podemos decir que están casi todos, muchos de ellos son los que están dejando en ridículo a fuerzas de seguridad, empresas y hasta los mismos Gobiernos. La batalla no ha hecho más que comenzar.

Siguiendo con el anterior post sobre APT he querido mostrar un curioso ataque que duró cierto tiempo y que nos tuvo un mes bastante ocupaditos.

 MAFIA - Advanced Persistent Threats - ·Vigila que te vigilan"

Bueno, dado este punto vamos a ver un caso real de un ataque APT sobre una entidad financiera. Este caso lo suelo exponer con un vídeo cuando estoy dando alguna conferencia. En el post voy a poner solo pantallas dado que el vídeo carece de explicación y por lo tanto es más difícil entenderlo. También decir que este ataque ya no tiene efecto dado que se han tomado las medidas oportunas y por otro lado los números de cuenta de las pantallas ya no existen. 

Este caso es lo que se denomina un ataque a medida y realizado en exclusiva para una determinada entidad financiera, es decir los atacantes se han tomado la molestia de ir a una oficina bancaria y abrir una cuenta para ver el funcionamiento de la banca electrónica. Para ello habrán analizado las entradas y salidas, la gestión de errores, vulnerabilidad si las hubiera, etc. etc.

Una vez observado el funcionamiento el equipo APT se pone a desarrollar el malware.

OBJETIVO:  Conseguir dinero de una forma fácil. 

MODUS OPERANDI:  Cuando se realiza una trasferencia económica de una cuenta a otra, el malware cambia la cuenta de destino por un 'pool' de número de cuentas maliciosas o de muleros ubicados en otros países. ¡¡Ahí es ná!!

DISTRIBUCION: Utilizan el método clásico del Phising

TIPO DE MALWARE: En concreto este 'bicho' (realmente no es un malware sería mejor llamarlo 'fraudeware') no es detectado por ningún antivirus por una cosa que es obvia, realmente las acciones del 'bicho' no crean procesos ocultos, ni ficheros, ni almacena contraseñas, tan solo modifica el post de envio, por lo tanto es innocuo, incoloro e inodoro para los antivirus. (simplemente perfecto).

EMPEZAMOS!!

Vamos a ver su funcionamiento una vez ejecutado el 'fraudeware' desde el punto de vista de aplicación y simulando ser la victima.

Inciamos sesión en la banca electrónica en cuestión, obteniendo la siguiente pantalla con la posición global, es decir nuestras cuentas y tarjetas de crédito.

 Posición Global

Una vez en este punto, nos proponemos realizar una transferencia a una cuenta conocida. Es decir pasamos 1.000€ de la cuenta total a la cuenta limitada.
Pantalla de transferencia

En este paso, lanzamos Tamper Data, para capturar y poder ver si se modifican los parámetros del post. Aquí se ha realizado con esta utilidad para su comprensión y entendimiento, pero la realidad es que estuvimos varios días monitorizando, procesos, comunicaciones y análizando tráfico "por un tubo".

Pantalla del Tamper Data

Una vez lanzado, Tamper Data nos muestra en el mismo momento de pulsar el botón 'confirmar' los campos que van a ser enviados y entre ellos el campo 'cuentaDestino' que contiene un número de cuenta que nada tiene que ver con el puesto en la cuenta de abono . Es decir el número de cuenta de abono '*52 07006*', es sustituido por un número de cuenta con destino en Rumanía.


En este paso y como en casi todas las bancas electrónicas se nos pide la operación de firma, es decir o bien una posición de la tarjeta de coordenadas, un token o una clave de un sólo uso que se puede enviar al móvil.

El usuario confiado y dado que ve en pantalla (que no en el post de envío) un número de cuenta corriente conocido procede a utilizarlo y pulsar la confirmación. Es aquí donde desaparecen 1.000€

Como decia anteriormente, está técnica ya no es funcional para los piratas dado que la entidad puso medidas correctoras, pero eso ya será en otro post, que hoy vengo de viaje y estoy algo cansado.

1 comentarios:

mmm, la modificación de los valores de POST, la realizan con web-injects? hooking?

gracias