cibercrimes - unic seminfo2013

Cibercrimes - Técnicas, Proteção e Investigação.

Tópicos!!

- Apresentação

- Cibercrimes

- Técnicas de Intrusão

- Investigação

- Como se proteger?

- Metodologias [OWASP]

- Questions?Contact

root@kembolle:~# Whoami

Kembolle Amilkar A.K.A Dr O.liverkall

# Tecnologia em Analise e Desenvolvimento de Sistemas;

# Governança de Tecnologia da Informação;

# Gerenciamento de Processo de Negócio e tecnologia da Informação;

# Segurança da Informação [ Conclusão ];

# CTO – Chief Tecnology Officer [ Samuray Consultoria ];

# Analista Segurança da Informação [ Sefaz – MT ];

# The Open Web Application Security Project (OWASP) Cuiabá;

# Brazil Underground Security – 2011;

mailto:root@kembolle

root@kembolle:~# Gosto Disso!! :)


root@kembolle:~# Já fiz Isso!!! :D


root@kembolle:~# Hoje trabalho com isso! :D


root@kembolle:~# Cibercrimes

O mundo mudou muito..............

Antes, usava-se dinamite para roubar bancos :O

Hoje em dia, usam-se ......



Senhas!! :D



Nossa não me diga ??



Senhas fracas permitiram invasão à TV que anunciou ataque zumbi nos EUA :

● Enquanto você assiste à televisão, o áudio do programa original é cortado e, em seu lugar, surge uma voz alertando um ataque de zumbis nas proximidades. Parece surreal? Isso aconteceu nos Estados Unidos.

● o governo ordenou às emissoras a mudarem as senhas para o equipamento que as autoridades usam para divulgar transmissões de emergência através do Sistema de Alerta de Emergência (EAS, na sigla em inglês).

http://adrenaline.uol.com.br/seguranca/noticias/15564/senhas-fracas-permitiram-invasao-a-tv-que-anunciou-ataque-zumbi-nos-eua.html 15/02/2013


root@kembolle:~# Cibercrime

Refere-se a toda a actividade onde um computador ou uma rede de computadores é utilizada como uma ferramenta, uma base de ataque ou como meio de crime.

● E - Crime

● Cibercrime (Cybercrime)

● Crime Eletrônico● Crime Digital



Quais os Tipos Cibercrimes?

O crime envolvendo computadores abrange um conjunto de atividades ilegais bastante variado:

● Falsidade ideológica ( Fakes );● Acesso e uso ilegal de dados ( Espionagem );● Conteúdo Criminoso ( Pedofilia );● Criação de programas dedicado ao crime (backdoor's);● Pirataria de Software ( Serial Fishing );



Caracteristicas:

● Transnacionalidade: O Cibercrime é um fenômeno internacional, onde não há fronteiras de ação e de alcance.

● Universalidade: O Cibercrime não escolhe nações, géneros estatutos sociais, entre outros factores.

● Omnipresença: Hoje em dia, a omnipresença da tecnologia está no quotidiano dos cidadãos.



Vamos citar 3 Tipos de Criminosos:

Cracker é o termo usado para designar o indivíduo que pratica a quebra (ou cracking) de um sistema de segurança, de forma ilegal ou sem ética.

Este termo foi criado em 1985 por hackers em defesa contra o uso jornalístico do termo hacker.


root@kembolle:~# CibercrimePhreaker

Phreaker é o nome dado aos hackers de telefonia. (Phone+Freak ou Phreak).É o uso indevido de linhas telefônicas, fixas ou celulares.


root@kembolle:~# CibercrimePirata

É aquele que se dedica à apropriação, reprodução, acumulação e distribuição (em grande escala) de software protegido por copyright, com fins lucrativos.


root@kembolle:~# - Técnicas de Intrusão



A Owasp hoje possui um top10 de vulnerabilidades mais utilizadas para realizar exploração de Ambientes “ WEB”

A1-Injection

● A2-Broken Authentication and Session Management

● A3-Cross-Site Scripting (XSS)

● A4-Insecure Direct Object References

● A5-Security Misconfiguration

● A6-Sensitive Data Exposure

● A7-Missing Function Level Access Control

● A8-Cross-Site Request Forgery (CSRF)

● A9-Using Components with Known Vulnerabilities

● A10-Unvalidated Redirects and Forwards

https://www.owasp.org/index.php/Top_10_2013-Top_10


https://www.owasp.org/index.php/Top_10_2013-Top_10


Top 10 Mobile Risks ● M1: Insecure Data Storage

● M2: Weak Server Side Controls

● M3: Insufficient Transport Layer Protection

● M4: Client Side Injection

● M5: Poor Authorization and Authentication

● M6: Improper Session Handling

● M7: Security Decisions Via Untrusted Inputs

● M8: Side Channel Data Leakage

● M9: Broken Cryptography

● M10: Sensitive Information Disclosure

https://www.owasp.org/index.php/Projects/OWASP_Mobile_Security_Project_-_Top_Ten_Mobile_Risks





Botnet: são computadores “zumbis”. ● Em suma, são computadores invadidos por um

determinado cracker, que os transforma em um replicador de informações.

● Dessa forma torna-se mais difícil o rastreamento de computadores que geram spams e aumentam o alcance das mensagens propagadas ilegalmente.



Denial of Service (DoS): “Ataque de negação de serviços” é uma forma de ataque que pretende impedir o acesso dos usuários a determinados serviços. Alvos mais frequentes são servidores web, pois os crackers visam deixar páginas indisponíveis.

As consequências mais comuns neste caso são: consumo excessivo de recursos e falhas na comunicação entre sistema e usuário.

EX: CVE-2013-1896 Denial of Service (DoS) vulnerability in Apache HTTP Server



Logstalgia - Website Access Log Visualization [VIDEO]


DDOS on the VideoLAN downloads infrastructure [VIDEO]



http://www.digitalattackmap.com/



Tá …

e quais as outras possíveis vertentes após ataque?


http://www.digitalattackmap.com/


Social Engineering (Engenharia Social): é o ato de manipular pessoas para conseguir informações confidenciais sobre brechas de segurança .



….E os smartphones?



o app malicioso DroidWhisperer, criado por Kevin McNamee, um pesquisador da área de segurança da Kindsight. Ele escondeu o malware junto de um Angry Birds e começou a distribuir o aplicativo em uma loja não oficial.



Sem ser notificado de nada, ele concedia autorização para capturar áudio do microfone, relatar sua posição exata e ainda baixar sua lista de contatos, permitindo a utilização desses dados de uma forma nada benéfica. E tudo isso de modo silencioso, comandando o aparelho hackeado pela internet.

No caso do DroidWhisperer, isso tudo é bem simples. Por meio de um painel de controle é possível ver todos os aparelhos conectados, acessando o conteúdo enviado por eles como se acessa um gerenciador de arquivos, tudo via internet, sem nenhuma conexão cabeada.



Metasploit Iphone :D



Fing - Network Tools



Intercepter NG – Sniffer ToolboX :)



Wardriving Mobile .. Oh YEAH! :D



Cantena lata de toddy



Wardrive



Owasp LiveCD [ Vmware (: ]



Metasploit Framework [ Vmware ]


root@kembolle:~# - Investigação

De: [email protected] [mailto:[email protected] ]● Enviada em: quinta-feira, 5 de setembro de 2013 20:04● Para: Sistema CTE - Conhecimento de Transporte Eletrônico● Assunto: Cobrança : Prestação em atraso● Para melhor visualizar este e-mail clique em Não tenho certeza. Vou verificar

● Prezado(a) Cliente: ● Arquivo(s) em Anexo(s): [ Cobranca 2a.via Boleto.pdf ] link ● Tendo em vista que não nos procurou no prazo estipulado em nossa carta de 24/07/13, ● comunicamos que o Boleto em questão foi levado a protesto, medida inicial no ● processo de execução que iremos intentar contra, caso o pagamento não seja ● efetuado no 1º Cartório de Protesto de Letras e Títulos.

● Att, ● Ricardo Garcia, ● Gerente do Departamento Jurídico.



Link Principal: http://abre.ai/sbz

Redireciona para: http://jorgetadeuslp.com/css/terra.php

Diretórios Terra.php


mailto:[email protected]


Dentro de acessos.php e acessos.txt tem Mais informações vejamos...

● Qua - 04/Set/2013 as 20:53:18 – 177.221.27.xx - - - Brazil

● Qui - 05/Set/2013 as 10:57:29 - 177.221.27.xx - - - Brazil


● Qui - 05/Set/2013 as 15:05:37 - 177.132.247.xx - - Mato Grosso - Brazil

● Qui - 05/Set/2013 as 15:08:44 - 186.212.206.xx - Curitiba - Paraná - Brazil


● Qui - 05/Set/2013 as 15:14:03 - 200.205.104.xx - - São Paulo - Brazil


● Qui - 05/Set/2013 as 15:17:05 - 201.92.118.xx - Bauru - São Paulo - Brazil

● Qui - 05/Set/2013 as 15:17:11 - 177.139.165.xx - - São Paulo - Brazil

●



0x01- http://jorgetadeuslp.com/css/acessos.php

0x02- http://jorgetadeuslp.com/css/acessos.txt

É lista enorme de pessoas que já baixarão e executarão o “ terra.php “ ..

Continuando....



É apenas um redirect para arquivo malicioso.....Bom chegamos a Hospedagem do Arquivo , Vamos dar uma analisada:

● GET /css/Boleto.2a.via.arquivo.anexos.visualizar.zip HTTP/1.1● Host: tadeuforense.pusku.com● User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US;

rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13● Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8● Accept-Language: en-us,en;q=0.5● Accept-Encoding: gzip,deflate● Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7● Keep-Alive: 115● Connection: keep-alive● Certo então vamos ao Browser ver o que tem por la!? (:



● O atacante criou uma conta em servidor que não tem proteção, vejamos o diretório CSS



Link: http://tadeuforense.pusku.com/css/● Bingo chegamos no arquivo e no domínio!!! Show hein.. Vamos analisar os

arquivos!● Disassembly binaries:● Disassembled code [Offset: 0x00000000]● ------------------------------------------------------------● 0x00000000 dec ebp● 0x00000001 pop edx● 0x00000002 push eax● 0x00000003 add [edx], al● 0x00000005 add [eax], al● 0x00000007 add [eax+eax], al


root@kembolle:~# - Investigação Temos aqui Dados do Arquivo Descompilado:



Ele gera vários arquivos e retorna insert’s nos registros e temporários.http://recrutinha2016.com/adm/contador.php

:Label1

@echo off

del C:\Users\005757~1\Desktop\BOLETO~1.VIS\BOLETO~1.EXE

if Exist C:\Users\005757~1\Desktop\BOLETO~1.VIS\BOLETO~1.EXE goto Label1

Call C:\Users\005757~1\Desktop\BOLETO~1.VIS\BOLETO~1.EXE

del C:\Users\005757~1\Desktop\BOLETO~1.VIS\BOLETO~1.bat

Exit


Conclusão: # Este arquivo é um “Loader” criado em Delphi para realizar execução de vários arquivos maliciosos.

Caracteristicas Backdoor: # Possui varias bibliotecas de Keylogger’s e Screenlogger para coleta de informações bancárias; # Realiza alteração de DNS para servidores ( Pharming ) ( C:\WINDOWS\system32\drivers\etc\Hosts ); # é criado arquivo Call C:\Users\005757~1\Desktop\BOLETO~1.VIS\BOLETO~1.EXE que funciona como Botnet para enventuais ataques de negação de serviço.


http://recrutinha2016.com/adm/contador.php

root@kembolle:~# - Como se proteger?

1º Monitorar …..



2º Monitorar ….. e



3º Monitorar …..


root@kembolle:~# - Ferramentas

Hcon Security Testing Framework (HconSTF)

http://www.hcon.in/index.html



● HTTPS Everywhere

● WOT

● Adblock Plus blocks

● NoScript

● RequestPolicy

● QuickJava

● Netcraft Toolbar

● SQL Inject Me

● Xss Injecte Me

● Firecat (FIREFOX CATALOG OF AUDITING EXTENSIONS )


http://www.hcon.in/index.html


Nicter = Network Incident analysis Center for Tactical Emergency Response



Nicter = Network Incident analysis Center for Tactical Emergency Response [VIDEO]



Antivirus???Veil – A Payload Generator to Bypass Antivirus



Firewall ????



Anti-Spywares e Adwares????



IDS e IPS?# nmap -P0 -sI 1.1.1.1:1234 192.1.2.3

O Parametro -P0 -sl é uma técnica de varredura para esconder seu IP :D Seguindo o exemplo, usa uma técnica de varredura ociosa. Ele utiliza a porta 1234 no IP 1.1.1.1 como como um zumbi para fazer a varredura de acolhimento – 192.1.2.3 ( alvo );



Honeypoth ?????

Oh yeah! I love IT! :D

http://map.honeynet.org


root@kembolle:~# - Metodologias [OWASP]

A Open Web Application Security Project (OWASP) é uma entidade sem fins lucrativos e de reconhecimento internacional, que contribui para a melhoria da segurança de softwares aplicativos reunindo informações importantes que permitem avaliar riscos de segurança e combater formas de ataques através da internet.


http://map.honeynet.org/


Os estudos e documentos da OWASP são disponibilizadas para toda a comunidade internacional, e adotados como referência por entidades como U.S. Defense Information Systems Agency (DISA), U.S. Federal Trade Commission, várias empresas e organizações mundiais das áreas de Tecnologia, Auditoria e Segurança, e também pelo PCI Council.



A OWASP utiliza uma metodologia baseada na classificação do risco (Risk Rating Methodology) para priorizar sua lista Top 10, que é mantida atualizada periodicamente a partir de pesquisas e estatísticas sobre ataques identificados em todo o mundo.

Além de identificar os ataques de maior risco, a OWASP faz várias recomendações de segurança para que cada um daqueles ataques sejam evitados a partir das etapas do desenvolvimento das aplicações.



https://www.owasp.org/index.php/Cuiaba


Questions?


https://www.owasp.org/index.php/Cuiaba

Questions?Contact

Kembolle Amilkar

Home: www.kembolle.com.br

Email: [email protected] [email protected]

[email protected]

cibercrimes - unic seminfo2013

Technology