CHARLA EN IRC RTM - BANKING ONLINE by root3d

----------------------------------------------------------------------------[ banking on line]--------------------------------------------------------------------

13-12-08 - servidor irc: irc.zonartm.org #rtm -------------------------------------------------------------------------------------- www.zonartm.org

(05:30:36) root3d: el banking online (es el titulo disfrazado de lo ke voy a explicar)
(05:30:52) root3d: se trata de lo ke viene sucediendo en mexico
(05:30:57) root3d: -.- !!
(05:31:15) root3d: existe mucho fraude en internet especialmente en mexico
(05:31:32) root3d: debido a que la cultura de los usuarios es leve
(05:31:42) root3d: y las actualizaciones de OS no sirven de nada
(05:31:43) root3d: xq causa ?
(05:31:55) root3d: tienen algo ke siempre los va a vulnerar
(05:32:00) root3d: se trata primero bajo la plataforma de WINDOWS
(05:32:14) root3d: el archivo llamado HOSTS
(05:32:33) root3d: el fraude (despues del phishing) nace gracias a este archivo
(05:32:42) root3d: y que se le ha denomidado PHARMING
(05:33:11) root3d: ejemplo: WINDOWS XP (sp ....N )
(05:33:23) root3d: ese archivito al ser escrito ejemplo:
(05:33:33) root3d: 45.44.3.1 www.banamex.com o
(05:33:45) root3d: 12.13.14.15 www.bancomer.com
(05:34:07) root3d: lo que hace IE es consultar mucho a ese archivito HOSTS
(05:34:34) root3d: y al ser escrito con cadenas que el atacante desea ocasion el fraude ....
(05:34:36) root3d: como ?
(05:34:51) root3d: que pasa cuando pongo www.banamex.com en mi navegador y mi archivo hosts esta escrito ?
(05:35:08) root3d: lo que hace "windows" es ver primero el archivo hosts
(05:35:16) root3d: y tomar el ip de www.banamex.com :O
(05:35:32) root3d: en pocas palabras vamos a una IP* que no es la verdadera
(05:35:36) root3d: y que hay en esa IP?
(05:35:47) root3d: obviamnete una pagina "identica" a la original
(05:35:58) root3d: es asi con ese ejemplo como se inicia el pharming
(05:36:07) root3d: Han pasado semanas
(05:36:31) root3d: meses y a?os para que los programadores de malware "contratados" por usuarios que desean estafar
(05:36:43) root3d: mejoran sus tecnicas para modificar claramente ese archivo hosts
(05:36:51) root3d: Ahora la pregunta es
(05:36:59) root3d: ?Como me modifican mi archivo hosts?
(05:37:09) root3d: parte I: Ing. Social
(05:37:33) root3d: la forma mas com?n de enga?ar a un usuario normal es mediante el CORREO ELECTRONICO*
(05:37:55) root3d: esa es la forma mas potente que existe hoy en d?a en mexico
(05:38:12) root3d: y que cada d?a se estafa a mucha gente en la red.
(05:38:22) root3d: ?C?mo me envian correo electronico?
(05:38:39) root3d: Parte II: Los maILERS
(05:38:53) root3d: -_-!
(05:39:02) root3d: los mailers no son mas que esto
(05:39:05) root3d: un mailer.php
(05:39:07) root3d: que hace eso ?
(05:39:25) root3d: consulta normalmente a la funcion mail para que el servidor donde esta alojado el archivo envie
(05:39:40) root3d: MASIVAMENTE* la informaci?n que el atacante desea
(05:40:04) root3d: y casi en la mayor?a de veces siempre se pide que descarguen un archivo al usuario.
(05:40:22) root3d: ?Pero C?mo suben ese mailer.php a un servidor par enviar correos masivamente?
(05:40:35) root3d: Aqu? viene el tema de los fallos en el server*
(05:40:46) root3d: Normalmente se usa fallos RFI
(05:41:02) root3d: o bugs encontrados a "mano" que permitan "upload" archivos
(05:41:16) root3d: y lo que hacen es colgar una shell....
(05:41:19) root3d: :s shell ?
(05:41:22) root3d: si una shell
(05:41:24) root3d: que es eso ?
(05:41:35) root3d: El nombre t?cnico no es el correcto pero se trata de un archivo
(05:41:44) root3d: muy conocido por casi la mayoria que esta aki
(05:41:54) root3d: puede ser un c99.php o un r57.php (no voy a explicar eso)
(05:42:11) root3d: lo que hacen es subir ese archivo y a trav?s del mismo subir el mailer.php
(05:42:24) root3d: y ....http://hacked_host/mailer.php <--- se le llama mailer
(05:42:33) root3d: que tiene la siguiente nformacion
(05:42:38) root3d: direccion de quien envia:
(05:42:43) root3d: nombre de quien envia:
(05:42:46) root3d: asunto:
(05:42:55) root3d: archivo adjunto: (opcional)
(05:43:03) root3d: cuerpo:
(05:43:07) root3d: y la lista de correos:
(05:43:29) root3d: .... y es mendiante esa forma que se envian los correos y se capturan victimas....
(05:43:45) root3d: Parte III: LOS SCAMS
(05:43:51) root3d: que es un scam ?
(05:44:16) root3d: es sencillamente una p?gina "identica" de una identidad bancaria, paypal , WU , hotmail ...
(05:44:22) root3d: de la cual queremos sacar informacion
(05:44:27) root3d: como por ejemplo:
(05:44:32) root3d: cuanta bancaria, clave ....
(05:44:41) root3d: correo , clave (hotmail),etc.
(05:45:04) root3d: Entonces conocimiento cierta informacion que capturo de la victima
(05:45:08) root3d: puedo estafar, falsificar datos, robar identidad, etc.
(05:45:32) root3d: Es EXTREMADAMENTE PELIGROSO lo que viene sucediendo
(05:46:07) root3d: y lo que se vienen haciendo es mejorar la seguridad d?ndole cierto grado de conocimiento al usuario
(05:46:28) root3d: que usa internet. scammed = estafado
(05:46:35) root3d: siguiendo con el punto
(05:46:43) root3d: Parte IV : Tecnicas
(05:47:09) root3d: Disculpen lo latoso que pueda ser pero voy a dar ciertas tecnicas que se usan hoy mayormente para
------------------------ el fraude mexicano
(05:47:29) root3d: Una de ellas fue echa por mi aqu? va el ejemplo:
(05:47:40) root3d: DNS_INFECTED
(05:48:12) root3d: "Debo resaltar que esta tecnica la vendi no para estafar"
(05:48:23) root3d: La pregunta es la siguiente
(05:48:53) root3d: Si infecto 1000 personas en un d?a c?mo hago para qu? esas 1000 personas sigan infectadas?
(05:48:59) root3d: la pregunta continua
(05:49:10) root3d: las infecte asi : 128.1.1.1 www.banamex.com
(05:49:26) root3d: que pasar?a si esa ip : 128.1.1.1 se cae, la tumban o reportan ?
(05:49:32) root3d: como conservo los infectados ??
(05:49:45) root3d: pues la tecnica consiste en que al momento de programar el exe haga lo siguiente
(05:49:57) root3d: creo un DNS gratuito: crypkey.gay.com
(05:50:07) vendetta: xD
(05:50:08) ***crypkey -.-
(05:50:10) root3d: y hago que cada cierto tiempo consulte el IP
(05:50:20) root3d: ejemplo: 128.1.1.1 (lo tiene)
(05:50:26) root3d: si al momento que el ip cambia
(05:50:39) root3d: entonces REESCRIBO EL ARCHIVO HOSTS
(05:50:45) root3d: en caso contrario no hago nada
(05:50:51) root3d: aunque parezca simple
(05:51:12) root3d: eso no permitira que los infectados se pierdan
(05:51:25) crypkey: Nota: tambien conocido lo de root3d para algunos admins, que creo que solo Roa es: como
------------------------ DNS Failover, pero bueno a mayor escala.
(05:51:51) root3d: tecnica # 2
(05:52:10) root3d: HOSTS_ONLINE
(05:52:48) root3d: Esa tecnica consiste en que al momento de programar mi exe -> consulte un archivo hosts.php
----------------------- (que estara alojado en una web) privada obviamente para que no se caiga
(05:53:04) root3d: y que cada cierto tiempo modifique el hosts con las cadenas que les ponga en el php
(05:53:06) root3d: ejemplo:
(05:53:11) root3d: si el hosts.php tiene
(05:53:16) root3d: 1.2.3.4 www.banamex.com
(05:53:21) root3d: 3.4.5.6 www.bancomer.com
(05:53:27) root3d: e infecte 20000 pcs
(05:53:35) root3d: y kiero sacar logins de hotmail
(05:53:39) root3d: lo que hago es
(05:53:47) root3d: modificar el hosts.php
(05:53:56) root3d: 7.8.9.0 www.hotmail.com
(05:54:18) root3d: y automaticamente los infectados entraran al scam ( 7.8.9.0) y conseguire correos y pass
(05:54:24) root3d: y si quiero "limpiarlos"
(05:54:28) root3d: dejo en blanco el hosts.php
(05:54:44) root3d: Nota: AL final de la conf dejare los 2 codigos ke explique
(05:54:47) root3d: estan en vb.6.0
(05:54:55) root3d: el de dns_infected y el de hosts_online
(05:55:21) root3d: es con fin didactico para que entiendan
(05:55:29) root3d: weno seguimos robando xD
(05:55:32) root3d: digo hablando
(05:55:54) root3d: unas de las formas mas impresionantes que existen son las "botnets"
(05:56:13) root3d: tambi?n dejare un codigo mio en vb 6.0 de botnet
(05:56:24) root3d: para infecten jueguen y "saken datos"
(05:56:28) root3d: en qu? consiste?
(05:56:44) root3d: bot.exe ------< conecta algun lado ?
(05:57:01) root3d: (es un ejemplo didacto no kiero ser tecnico ni hacer diagramas)
(05:57:10) root3d: es un exe que normalmente se conectara a un server de IRC
(05:57:17) root3d: hay a traves de web
(05:57:29) root3d: y que se conectan en aplications
(05:57:36) root3d: como un cliente servidor (inverso)
(05:57:47) root3d: la conexion no es directa porke el bot.exe
(05:57:52) root3d: busca a donde conectarse
(05:58:12) root3d: (para mas informacion hay un video de botnets que hice)
(05:58:19) root3d: (y un tutorial de rxbot)
(05:58:26) ***vendetta says: el video esta en la web -> www.zonartm.org
(05:58:47) root3d: Otra clase de malware que se viene profundizando en mexico
(05:58:54) root3d: es un "troyano de coordenadas"
(05:59:15) root3d: se programa de manera que se "sobreescriba" al usuario:password
(05:59:20) root3d: de la pagina que quiera sacar datos
(05:59:42) root3d: Este troyano es uno de los que normalmente ningun usuario experto podria darse cuenta
(05:59:58) root3d: xq captura la informacion online desde el https:// de la web
(06:00:19) root3d: porque solamente se sobrescribe a cierto form que quiero sakar
(06:00:35) root3d: La pregunta de oro sera como parar el fraude ?
(06:00:57) root3d: Pues espero que mi proyecto lo termine para el ezine 6
(06:01:24) root3d: se trata de un malware que monitoree todo las entidades que el usuario visita
(06:01:36) root3d: (con un panel de opciones: bancos, correos , etc)
(06:01:43) root3d: y que no solo capture modificaciones en hosts
(06:01:59) root3d: sino en el propio DNS <--- de conexiones de red en windows
(06:02:15) root3d: xq si el dns primario o secundario son cambiados, que ocurre?
(06:02:30) root3d: que tambien nos pueden redireccionar
(06:02:38) root3d: veamos unos ejemplos
(06:02:45) root3d: para que no se aburran :$
(06:03:05) root3d: que pasaria si un atacante
(06:03:12) root3d: tiene en su scan 4.5.6.7
(06:03:19) root3d: y no kiere ke en el index
(06:03:23) root3d: se vea la pagina fraudulenta
(06:03:33) root3d: que se prodia hacer
(06:03:57) root3d: vamos hacer un ejemplo
(06:04:31) root3d: 1 minuto
(06:05:16) root3d: todo esto es con fines didacticos
(06:05:30) root3d: la mejor manera de preparar a un usuario es que conozcan como le roban
(06:05:30) root3d: ^^
(06:06:25) root3d: sigamos
(06:06:27) root3d: ahora les paso el ip
(06:06:48) root3d: 190.40.58.88
(06:06:58) root3d: obviamente un usuario normal
(06:06:59) root3d: su papa
(06:07:02) root3d: el contador de la oficina
(06:07:07) root3d: no va a bajar un scanner
(06:07:13) root3d: y se podra analizar las carpetas
(06:07:18) root3d: -.- pa ver donde tengo el scam
(06:07:32) root3d: entonces cuando entran se ve en blanco.
(06:07:44) root3d: pero existe una manera de ocultar.
(06:07:51) root3d: Nota: Esto funciona cuando ya tengo infectado al usuario
(06:08:08) root3d: (osea su hosts modificado)
(06:08:15) root3d: ---------------
(06:08:22) root3d: xD no me deja poner
(06:08:29) root3d: <?
(06:08:30) root3d: if ( ($_SERVER['HTTP_HOST'])=="www.bancomer.com" || (($_SERVER['HTTP_HOST'])=="www.bancomer.com.mx") || (($_SERVER['HTTP_HOST'])=="bancomer.com.mx") || (($_SERVER['HTTP_HOST'])=="bancomer.com"))
(06:08:30) root3d: {
(06:08:30) root3d: echo "<title>Bancomer</title>";
(06:08:30) root3d: echo "<frameset cols='100%'>" ;
(06:08:30) root3d: echo "<frame src='http://www.bancomer.com.mx/zonartm123_343423423/'" ;
(06:08:30) root3d: echo "</frameset>" ;
(06:08:30) root3d: }
(06:08:30) root3d: ?>
(06:08:36) root3d: ahi esta el index.php
(06:09:17) root3d: http://190.40.58.88/zonartm123_343423423/index.html
(06:09:20) root3d: si se dan cuenta
(06:09:35) root3d: es ahi donde se tiene la pagina fraudulenta
(06:09:36) root3d: osea solo cuando el usuario escriba en su navegador
(06:09:58) root3d: www.bancomer.com O www.bancomer.com.mx , ....
(06:10:05) root3d: se va a redireccionar a http://www.bancomer.com.mx/zonartm123_343423423/
(06:10:48) root3d: The Apache2.2 service is stopping.
(06:11:14) root3d: y asi es como normalmente se usan varias formas de proteger el scam de los servidores donde se alojan
(06:11:28) root3d: Concentrandonos en la banca-online
(06:11:39) root3d: la estafa es una problema que crece de la mano con el malware
(06:11:57) root3d: hay muchas formas que existen
(06:12:23) root3d: espero que esta introduccion sirva para los usuarios menos avanzados de conocer como ocurre un fraude comun
(06:12:39) root3d: ahora si desean preguntas mientras le paso los srcs a vendetta la pueden hacer
(06:13:10) cristian: como resuelves el problema del ssl?
(06:13:33) root3d: vamos por partes
(06:13:50) root3d: si modificas el hosts 13.14.15.16 www.banamex.com
(06:14:00) root3d: y entras https://13.14.15.16
(06:14:07) root3d: obviamnete el certificado es INCORRECTO
(06:14:19) root3d: y el usuario se dara cuenta (en IE7 > )
(06:14:23) root3d: peroooooooooooo
(06:14:35) root3d: por eso se usa los troyanos con coordenadas
(06:14:39) root3d: para que desde la misma pagina real
(06:14:43) root3d: capturen los datos
(06:14:53) Psymera: pero tmb hay otra forma XD
(06:14:57) Psymera: bueno varias XD
(06:15:02) root3d: (yep)
(06:15:06) cristian: la pagina fake contacta a la real para traer el certificado?
(06:15:30) hkm: he visto malware que crea la pagina de forma local, es mas duradero digamos, que depende de un server
-------------------------(IP) que pueden dar de baja?
(06:15:58) root3d: ese es un `pharming 127.0.0.1
(06:16:05) root3d: pero tiene un problema :D
(06:16:29) root3d: porke usa un servidor web peque?o abajo del reloj
(06:16:43) root3d: ke pasa si en una empresa usan un squid que banean puertos a la escucha ?
(06:16:59) Roa: muchos recomiendan usar los DNS de OPENDNS
(06:17:00) Psymera: para eso inyectas el puerto en un proceso xP
(06:17:04) Roa: mmm es correcto eso?
(06:17:17) Roa: que protegen contra pharming y demas show que acabas de explicar?
(06:17:20) steel: Tengo una pregunta, si tengo acceso fisico a varias computadoras, hay forma de envenenar todo el DNS en conjunto de una subred para hacer este redirect del hosts en win2?
(06:17:26) root3d: esto es un tema intro , :D kisiera ampliar porke es muy interesante
(06:17:36) root3d: siiiiii steel

Road Technology Minds Security Group - 2008