Hay mucha gente que presume de no tener antivirus o no preocuparse de medidas de seguridad más allá del "sentido común". Ese sentido común que le dice que basta con no entrar en sitios webs peligrosos, no ejecutar programas o no seguir enlaces en mensajes de correo electrónico. Eso está bien, pero el sentido común ese sería "on top of", pues ni mucho menos es suficiente con esa medida de protección para vivir al margen del malware.
Una de las cosas que más me gustó del libro que escribieron los especialistas en e-crime Mikel Gastesi (@mgastesi) y Dani Creus fue la explicación en el capítulo titulado "Organización del Ecosistema: Infraestructura y División de Tareas" del libro de Fraude Online: Abierto 24 horas, es cómo describen la profesionalización de cada una de las fases para ganar dinero con el e-crime.
En este ecosistema de cibercriminales hay desde los que se dedican a las tareas puramente técnicas para crear bots, packers, paneles de control de botnets o exploits, hasta los que se ocupan de las tareas puras de gestión, como la negociación de compra de nuevos exploits o la búsqueda de blanqueo de dinero utilizando cualquier sistema, desde el mulero clásico a los esquemas de venta de apps fraudulentas en tiendas como la AppStore.
Para que se puedan conseguir muchos clientes infectados hay que buscar un buen canal de infección, y ir a por víctimas que navegan sin fortificar el sistemas operativo usando sólo el "sentido común" o el planteamiento aún más divertido de "yo no tengo nada que les interese" es una de las ideas más lucrativas en la industria del e-crime. Por supuesto, los que se sienten invulnerables porque tienen Mac OS X también son bien recibidos.
Montando la infraestructura
Se comienza consiguiendo controlar servidores web masivamente utilizando exploits o bugs conocidos para las tecnologías web. En estos casos se abusa de bugs de SQL Injection, RFI, LFI, WebShells, contraseñas por defecto, etcétera, etcétera, que sirven para meter al final un código infectado en las webs legítimas que redigirá tráfico hacia "el matadero". Esta fase de infección de páginas webs legítimas consigue que usuarios con mucho "sentido común" queden infectados cuando visitan páginas como la del servicio postal americano o incluso la propia web de Apple, que también se vio infectada en alguna de estas.
Para conseguir el mayor número de víctimas es por tanto necesario tener el mayor número de webs infectadas, para lo que se utilizan equipos profesionales de personas que se dedican a infectar manualmente páginas con mucho tráfico o infectar masivamente usando técnicas de hacking con buscadores y scanners automatizados que usando dorks para Google, Shodan o Bing les permiten dar con servidores propicios para ser infectados.
Figura 2: Apple.com infectada con scripts de redirección en la operación Lizamoon |
Si llegado el caso no hay demasiado tráfico de víctimas porque no se han conseguido infectar muchas webs, siempre queda la opción de hacer una campaña de spam enviando enlaces, como se ha hecho con facturas falsas de Apple. Si por el contrario, se ha conseguido un nivel de infección que va más allá del servidor web, entonces los códigos de infección se pueden poner a nivel de componente del servidor web, como hemos visto con varios módulos malicioso de Apache que llevaban a kits de explotación.
Infectando a los clientes
Una vez se ha conseguido controlar el contenido de las páginas web que recibirán los visitantes, se conseguirá poder lanzar la ejecución de exploit para el navegador del cliente. Estos exploits son seleccionados dependiendo de la versión del navegador que esté entregando el cliente. Si resulta que el visitante ocasional ha llegado al matadero con una versión vulnerable de un navegador de Internet para la que el kit de exploits cuenta con el exploit adecuado, entonces tendremos una infección silenciosa con el malware apropiado. Si no, siempre se pueden usar técnicas de ingeniería social.
Figura 3: Fondos anunciados en Darkode para comprar exploits de 0day |
Por supuesto, también es necesario contar con buenos exploits, y estos se pueden desarrollar si tienes buenos profesionales, se pueden adaptar porque alguien ha publicado información suficiente para ello o se pueden comprar. En el fantástico blog de Krebs On Security se cuenta como en uno de los foros del cibercrimen se estaban ofreciendo hasta 450.000 USD para comprar exploits de tipo 0day con el objetivo de conseguir más infraestructura de servidor y más exploits para mejorar las infecciones de los clientes. Estos precios no son tantos si nos atenemos a lo que dijo el New York Times, donde se hablaba de que un 0day para iOS se había pagado a 500.000 USD.
Para manejar todo esto se usan los kits de exploits, donde han proliferado muchos a lo largo del tiempo que han ido naciendo y muriendo. Eleonore, Phoenix, Sweet Orange o el famosísimo BlackHole han sido muy utilizados a lo largo del tiempo.
Figura 4: Captura de un panel de BlackHole v.1.0.0 |
Una vez conseguida la ejecución del programa en el equipo de la víctima, entran otros profesionales del mundo del cibercrimen, como son los que desarrollan los packers y bots para ser indetectables a sistemas antimalware, además de hacerlos resistentes a las guerras de bandas que hay entre los bots para defenderse unos de otros. Aquí se encuentra por encima de todos el famoso Zeus y sus evoluciones creadas a partir de la liberación de su código fuente, como el famoso Citadel.
La detención de "Paunch"
El creador de BlackHole es Paunch, un ruso de 27 años que consiguió generar con ese modelo unos 2.3 millones de USD en unos tres años y tenía un salario de unos 50.000 USD al mes, según cuentan las autoridades rusas que lo detuvieron durante el mes de Octubre de este año.
Figura 5: Paunch, creador de BlackHole, detenido junto con su Porsche |
Tras la caída del creador de BlackHole parece que hay un vacío, pero no tardará en llenarse rápidamente ya que existe un negocio en este área demasiado llamativo como para que nadie quiera venir a llenarlo. Los kits de exploits llegaron para quedarse y aunque ahora se exhiba a su creador detenido, hay demasiada gente dispuesta a pagar por tener un sistema automatizado de infección de clientes como para que nadie ofrezca ese servicio, y si no, los propios creadores de los paneles de control de las botnets se ocuparán de financiar estos proyectos.
No hay comentarios:
Publicar un comentario