juan carlos ruiloba - undercrime: (d&v) multitécnicas antiforensic: abramos la jaula de faraday...
DESCRIPTION
En esta ponencia se intentará sacar a relucir que a veces acotamos demasiado los problemas, dividiendolos en subproblemas para resolverlos más fácilmente y con ello perdemos la visión real.Las redes delincuenciales aplican esta misma técnica contra nosotros para llevarnos a su camino por saturación de complejidad, “Divide et impera” (D&V), incrementando la sofisticación y planteando múltiples problemas, múltiples objetivos, múltiples sistemas de enmascaramiento, múltiples países destinatarios de los ataques, múltiples hechos delictivos, múltiples orígenes de ataques, múltiples factores que damos como premisas validas que luego se convierten el falseadores de los resultados.No olvidemos que entre esa multiplicidad delincuencial se encuentra la Pornografía Infantil, y que esos menores son reales y nos debemos a ellos, por muchas técnicas que empleen (Hydra Flux, Botnets, 0days, Scareware, Blended Threats, DM y otra muchas que aparecerán). Así que estamos obligados, por los menores, a que la guerra Hacker Vs.Hacker se decante en el lado del bien.TRANSCRIPT
![Page 1: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/1.jpg)
UnderCrime: La verdadera visión v 1.5 (abramos la Jaula de Faraday)
Epoch: 1268931600Localización: 40.4521,-36927
![Page 2: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/2.jpg)
SpeakerPonente: Juan Carlos Ruiloba CastillaEmail: [email protected]
• Veintiocho años en las Fuerzas y Cuerpos deSeguridad del Estado (CNP), de los que los últimosveintiséis años ha estado relacionado con lasNuevas Tecnologías y los últimos siete años comoresponsable del Grupo de Cibercrimen de Barcelona.
• Actualmente, en segunda actividad dentro del CNP,se ha vinculado, para desempeñar su labor deInvestigación Tecnológica, a la empresa Método 3.
218 de marzo de 2010
![Page 3: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/3.jpg)
Truth is not single real, also can be digital! © jU4n(rU1
318 de marzo de 2010
![Page 4: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/4.jpg)
Presentemos la escena
418 de marzo de 2010
![Page 5: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/5.jpg)
Acto 1
518 de marzo de 2010
Vladimir contacta con Tyagunova través del chat de la Red Social love.mail.ru. Vladimir le ofrece la posibilidad de trabajar para una empresa de Soft desde España
![Page 6: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/6.jpg)
Acto 2
618 de marzo de 2010
Manuel se baja de Internet por P2P la última versión de un paquete de Ofimática con Keygen/Patch incluido
![Page 7: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/7.jpg)
Acto 2
718 de marzo de 2010
Y ejecuta el Keygen pese al aviso de seguridad de su Soft de seguridad, si el malware no fuera 0-day (Zero day) se hubiese infectado del mismo modo.
![Page 8: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/8.jpg)
Acto 3
818 de marzo de 2010
Fabián, al cuál tiene problemas con el pago de la hipoteca, recibe un email ofreciéndole una oferta de trabajo
![Page 9: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/9.jpg)
Acto 3
918 de marzo de 2010
Fabián visita la página de la empresa ofertante y rellena los formularios previos al contrato.
![Page 10: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/10.jpg)
Acto 3
1018 de marzo de 2010
Fabián visita la página de la empresa ofertante y ve que tiene que cumplimentar unos formularios con su información
![Page 11: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/11.jpg)
Acto 3
1118 de marzo de 2010
Fabián los cumplimenta y los envía
![Page 12: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/12.jpg)
Acto 4
1218 de marzo de 2010
A Ilva le ofrecen en Moscú unos cuantos rublos por recoger envíos de dinero desde Europa
![Page 13: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/13.jpg)
Acto 5
1318 de marzo de 2010
Aleksei trabaja de programador en San Petersburgo, desarrolla un multiportalmultibancario, además de varios keygens
![Page 14: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/14.jpg)
Acto 6
1418 de marzo de 2010
Victor recibe un email publicitario sobre “little girls”
![Page 15: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/15.jpg)
Acto 6
1518 de marzo de 2010
El Hiperenlace realmente es inapropiado
![Page 16: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/16.jpg)
Acto 6
1618 de marzo de 2010
… y 30 Gb si te unes
![Page 17: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/17.jpg)
Acto 6
1718 de marzo de 2010
Debes efectuar un pago
![Page 18: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/18.jpg)
Acto 6
1818 de marzo de 2010
Y recibes tus credenciales para acceder, pero observemos un detalle… lugar y regalo!!!
![Page 19: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/19.jpg)
Acto 7
1918 de marzo de 2010
Vasiliy monta una empresa de servicios por Internet con sede en Lloret de Mar
![Page 20: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/20.jpg)
Acto 7
2018 de marzo de 2010
Los pagos de los accesos a las páginas inapropiadas se blanqueaban como licencias de software
![Page 21: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/21.jpg)
Acto 7
2118 de marzo de 2010
Otros dominios estaban también preparados
![Page 22: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/22.jpg)
Acto 8
2218 de marzo de 2010
Mariya viaja a Barcelona y con documentación falsa abre varias cuentas bancarias
![Page 23: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/23.jpg)
Acto 9
2318 de marzo de 2010
Juan que tiene un WebSite de su negocio se da cuenta que sus comunicaciones por eMail no funciona correctamente
![Page 24: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/24.jpg)
Acto 9
2418 de marzo de 2010
Bajo el dominio de Juan están alojadas las páginas iniciales de Pornografía Infantil
![Page 25: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/25.jpg)
Acto 9
2518 de marzo de 2010
Dichas páginas llevan a dominios distintos pero de temática similar
PureLola.CN - Pure Child Porn galleries!:
![Page 26: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/26.jpg)
Acto 9
2618 de marzo de 2010
Donde , a su vez, ofrecen la posibilidad de subscripción para acceder a las imágenes
![Page 27: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/27.jpg)
Y ahora hay que empezar a mirar detrás del telón
2718 de marzo de 2010
![Page 28: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/28.jpg)
El desenlace
2818 de marzo de 2010
A Tyagunova, la del chat de mail.ru, le comunican por ICQ que tiene una transferencia en su cuenta y debe empezar a trabajar
![Page 29: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/29.jpg)
El desenlace
2918 de marzo de 2010
El dinero transferido lo envía a Rusia
![Page 30: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/30.jpg)
El desenlace
3018 de marzo de 2010
Tyagunova después de su detención explica el origen
![Page 31: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/31.jpg)
El desenlace
3118 de marzo de 2010
Del mismo modo Fabián, el de la hipoteca, recibe por email la comunicación de un ingreso
Saca la parte a enviar y el resto lo envía
![Page 32: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/32.jpg)
El desenlace
3218 de marzo de 2010
Mariya, la ucraniana de varias filiaciones, se dirige a varias oficinas a sacar dinero
![Page 33: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/33.jpg)
El desenlace
3318 de marzo de 2010
Ilva, recibe en Rusia unas cuantas transferencias
![Page 34: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/34.jpg)
El desenlace
3418 de marzo de 2010
Víctor, el de las páginas de Porno, se descubre que su cuenta bancaria la han realizado varias transferencias
![Page 35: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/35.jpg)
El desenlace
3518 de marzo de 2010
Las transferencias han sido realizadas por Internet, y han ido a Tyagunova, Fabiany a Nataliya.
La dirección IP de las transferencias identifican un domicilio … el de Manuel, aquél que se descargo el Soft de ofimática
![Page 36: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/36.jpg)
El desenlace
3618 de marzo de 2010
El “digital forensic” de las máquinas de Manuel y Fabián nos demuestran que las mismas están comprometidas con malware
![Page 37: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/37.jpg)
El desenlace
3718 de marzo de 2010
Las páginas que alojaba el malware, así como los correos electrónicos enviados por la organización se han realizado a través de Mothership de redes zombies.
![Page 38: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/38.jpg)
Double Flux
3818 de marzo de 2010
Servidor DNS Root
1
2
Servidor .comTLD (Top
Level Domain)
PC de la red BotNet en
funciones de servidor DNS
5
4
3
NODO MotherShipque en Double Flux
funciona como controlador de los PC’s de la BotNet
como de servidor DNS6
Interroga al Servidor DNS del MotherShip
7MotherShip devuelve IP: A.B.C.D
RED BOTNET (miles de PC’s)
9
12
10
11
Home PCconecta a
www.malware.com
8
![Page 39: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/39.jpg)
Hydra Flux
18 de marzo de 2010
Topología Multi-Server Mothership
Ordenador Víctima
Proxys
NameServers
MÁQUINAS ZOMBIES
![Page 40: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/40.jpg)
Mitigación1. Establecer políticas para permitir el bloqueo de TCP 80 y UDP 53 si
es posible en redes user-land. (Por los ISPs)2. Bloquear el acceso al controlador de la infraestructura (mothership,
registro y verificación de disponibilidad), en cuanto seandescubiertos. (ISPs)
3. Mejorar los procedimientos de registro de dominio, y la auditoría denuevos registros para fines fraudulentos. (Registradores)
4. Aumentar la conciencia proveedor de servicios, fomentar elconocimiento de las amenaza, los procesos compartidos yconocimientos. (ISPs)
5. BH-DNS (Blackhole DNS) e inyección de rutas BGP para cargarse alos motherships y el mantenimiento de la infraestructura. (ISPs)
6. Captura y seguimiento pasivo DNS / supervisión para identificar losregistros A y NS para detectar anomalías y cambios continuos,registrandolos en Historiales públicos (ISPs, registradores,profesionales de la seguridad, ...)
4018 de marzo de 2010
![Page 41: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/41.jpg)
El desenlace
4118 de marzo de 2010
Como los S.A. y los Register se involucran en el Crimen
![Page 42: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/42.jpg)
El desenlace
4218 de marzo de 2010
Se entre enlaza toda la actividad
![Page 43: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/43.jpg)
El desenlace
4318 de marzo de 2010
Se entre enlaza toda la actividad
![Page 44: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/44.jpg)
Botnets
4418 de marzo de 2010
Rustock = Costrat1, 3-2 Millones
Mega-D = Ozdok300000-500000
Grum = Tedroo600000-800000
Pushdo = Cutwail = Pushu = Pandex1-1.5 Millones
Lethic
Waledac = Waled = Waledpak
Srizbi = CbePlay = Exchanger
Bobax = Kraken = Oderoor = Hacktool.spammer80000- 120000
Bagle = Beagle = Mitglieder = Lodeight600000-800000
Donbot = Buzus0.8 – 1.2 Millones
Gheg = Tofsee = Mondera150000-200000
Xarvester = Rlsloup = Pixoliz500000-800000
Seguimientos de BotNets. Fuentes sacadas de M86 Security Labs
Maazben200000-300000
Festi100000-200000
Mariposa
Kneber74000
Oficla200000
![Page 45: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/45.jpg)
Botnets
4518 de marzo de 2010
Top Ten Botnets
ZeuS = Zbot = WSNPOEM = NTOS = PRG: precio aproximado 4000 $ por copia¿Cómo combatirlo? SpyEye lo desinstala pero … se instala él => cambio de C&C
![Page 46: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/46.jpg)
Botnets
4618 de marzo de 2010
Spy Eye v1.0: Nuevo producto que nace en Rusia (“magic”) aparece el 2 de enero de 2010.
![Page 47: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/47.jpg)
Botnets
4718 de marzo de 2010
•FormGrabbing: Keylogging avanzado que intercepta información en los exploradores, con soporte para
Firefox, IE, Maxthon y Netscape.
* CC Autofill: Módulo que automatiza el proceso de fraudes de tarjeta de crédito reportando los datos a los
botmasters a través de logs.
•Panel de Administración PHP-MYSQL
* C&C a través de protocolo http , con posibilidad de configurar dos alternativas, así si un dominio es dado
de baja puede mantener el control por la ruta alternativa
* Envío de backups diarios de la base de datos por email
* Cifrado de string-sources del ejecutable
* Grabbing para FTP. Total Commander, Notepad++, FileZilla y otros
* Grabbing para POP3
* Invisibilidad en la lista de procesos, archivo invisible, invisible en autorun (registro)•Zeus killer (a partir de la versión 1.07)* “Grabbing “Basic-access-authentication”. Mayor apropiación de base de autorización (para aplicaciones que utilizan criptografía. Bibliotecas para núcleos de cifrado) (a partir de la versión 1.072). * Alta capacidad de Inyección-WEB con el formato de Zeus. (Soporta IE5-8, Maxthon, etc) Todo-en-uno bot(En cuanto a la versión anterior, que utiliza un cuentagotas) (a partir de versión 1.08)
Capacidades
![Page 48: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/48.jpg)
Botnets
4818 de marzo de 2010
Detección casi nula del cuerpo del bot
Precio última versión, 662 euros con gastos
![Page 49: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/49.jpg)
Botnets
4918 de marzo de 2010
Se dice pero suele pasar
![Page 50: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/50.jpg)
Botnets
5018 de marzo de 2010
Zeus Botnet 1.2.7.8
![Page 51: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/51.jpg)
Botnets
5118 de marzo de 2010
Zeus Botnet 1.2.7.8
![Page 52: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/52.jpg)
Botnets
5218 de marzo de 2010
![Page 53: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/53.jpg)
Zeus Tracker
5318 de marzo de 2010
![Page 54: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/54.jpg)
5418 de marzo de 2010
Zeus Tracker
![Page 55: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/55.jpg)
Zeus Tracker
5518 de marzo de 2010
![Page 56: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/56.jpg)
Zeus Tracker
5618 de marzo de 2010
![Page 57: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/57.jpg)
Zero-Day
5718 de marzo de 2010
Si no nos adelantamos…
![Page 58: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/58.jpg)
Scareware
5818 de marzo de 2010
Falsos positivos…
… con el mismo interes
![Page 59: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/59.jpg)
Blended Threat
5918 de marzo de 2010
Mezcla de amenazas
Varios escenarios
Múltiple amenaza en un solo vector, un troyano que tiene capaacidades de Worm
Única amenaza y múltiples vectores, un troyano entra vía email y apertura una puerta futura para infección y destrucción.
![Page 60: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/60.jpg)
Direct Message (DM) y Twiter Bots
6018 de marzo de 2010
Scam en Direct Message en Redes sociales como Twiter
1- Unfollow todos los seguidores. Menuda opción!!!2. Desactive su DM eMails. Solo reducirá el número.3- Utilice un administrador de Twiter. Ayudará a filtrar, como Tweetdeck or Socialite.4. No lea su DMs. Poner el correo en el fondo del twitter ya que la mayoría de programas utilizados por los spammer no tienen reconocedor de OCR.5- Bloquear al usuario/s. Hará que al final Twitterle suspenda la cuenta.6- Bienvenido al hermitaño, haga su Twiter privado7- Utilice el boton de SPAM, si realmente esta seguro que es un spammer.
![Page 61: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/61.jpg)
Soft malicioso
6118 de marzo de 2010
![Page 62: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/62.jpg)
FlashForward
6218 de marzo de 2010
Crecimiento del Pharmingatacando las resoluciones
DNS
La explosión de los nuevos dominios TLD
La disponibilidad en línea de los equipos móviles a través de conexiones WiFi, 3/4G, IPv6
Redes Sociales
Evolución Web: Geogle
Chrome y HTML 5
Sofisticación de Troyanos
bancarios
Ataques a Adobe y Flash
BotNets con control peer-to-
peer
Ataques a niños,
adolescentes y ancianos
![Page 63: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/63.jpg)
Soluciones
6318 de marzo de 2010
Las soluciones están en crear Grupos de trabajos orientados en un objetivo común
Proveedores Telecomunicaciones
Víctimas Vendedores de Software y Hardware
ISP’s
Organizaciones de Informes de
Incidentes - CERTs
Medios de Comunicación
Equipos de respuesta de
Incidentes - FIRST
Fuerzas de seguridad del Estado
Titulares de IP’satacadas
INFORMACIÓN
![Page 64: Juan Carlos Ruiloba - UnderCrime: (D&V) Multitécnicas AntiForensic: abramos la Jaula de Faraday [RootedCON 2010]](https://reader037.vdocuments.pub/reader037/viewer/2022103017/557bcf75d8b42a700d8b5322/html5/thumbnails/64.jpg)
6418 de marzo de 2010
DUDAS