PDF de programación - Hacking as a Service: HaaS

Hacking as a Service: HaaS

La plataforma fraudulenta de mayor
crecimiento en la Web 2.0


Carlos G. Gonzalez

Senior Director, Sales Engineering

Hacking-as-a-Service: HaaS

• InfoSecurity (15 Nov, 2012):

– “HaaS: Un grupo rentando accesos a servidores de empresas

Fortune 500, como Cisco, toman ventajas de claves débiles para
entregar accesos fáciles. A pesar de su descubrimiento hace tres de
semanas, el servicio parece tener mucha fuerza, el ultimo conteo fue
de casi 17,000 computadores globalmente.”



Hacking-as-a-Service: Un patrón alarmante

• McAfee en su reporte de predicción de amenazas para el 2013,

dice que la demanda por los servicios de hacking de los
criminales ciberneticos aumentaran.


– “Por mucho tiempo, los criminales cibernéticos han participado en
foros públicos para discutir y hacer negocios con otros criminales.
En estas reuniones, no soto venden el software sino que también se
venden los servicios. Criminales cibernéticos profesionales, ven
estos como una perdida de tiempo y confidencialidad (cada trato
necesita contacto directo con el cliente quien pudiese ser un agente
en cubierto), y una perdida de dinero (el comprador trata de negociar
un precio mas bajo),“



– “Por estas razones, el numero de invitaciones privada a foros

criminales que tienen costos de registro y garantías han
aumentado.”



Hacking-as-a-Service o Crimeware-as-a-Service

• Compuestos por

 Exploit Packs (Paquetes de Exploits)
 Botnets
 Proxies as a service
 Spam
 DDoS as a Service
 Bullet Proof Hosting
 Fake Pharma

• Recent past

 Prices for crimeware as a Service (oldies)

5

Hacking-as-a-Service o Crimeware-as-a-Service

Exploit packs

Un exploit pack (o BEP - Browser
Exploit Pack) es un toolkit que
automatiza la explotación de
vulnerabilidades en el lado del
cliente. Es generalmente entregado
como un paquete de archivos
exploit de PHP y HTML (incluyendo
JAVA, PDF, Navegadores, Adobe
Flash Player, etc.) diseñado para
atacar el SO, browser y otras
aplicaciones en el lado del cliente.

Kahu Security
(http://www.kahusecurity.com/2012/wild-wild-west-
062012/)

6

Hacking-as-a-Service o Crimeware-as-a-Service

Eleonore Exploit Pack de Exmanoize

Eleonore es un paquete de código malicioso ofrecido a la
venta en el mercado negro desde el 2009. Contiene una
colección de exploits los cuales pueden ser usados para
alterar paginas web. Cuando ejecutado, si la pagina es
visitada por un sistema vulnerable, la carga del exploit es
ejecutada. El paquete también provee la habilidad de control
y comando para administrar los sistemas comprometidos.

7

Hacking-as-a-Service o Crimeware-as-a-Service

Eleonore Exploit Pack de ExManoize



9
0
0
2



0
1
0
2



1
1
0
2



2
1
0
2

Junio 2009
v1.0 to v1.3

$599

v1.4 to v1.6

v1.6 to v1.8

Deciembre 2011
V1.8.91

$2200

8

Crimeware as a Service

Black Hole Exploit Pack de Paunch



0
1
0
2



1
1
0
2



2
1
0
2

Septiembre 2010
v1.0.0 beta

by Legacy

v1.1.0 to v1.2.1

v1.2.2 & v1.2.3

En las Noticias…

• Abril 6, 2011: Sitio Web USPS.gov
infectado con Blackhole Exploit Kit;

• Mayo 13, 2011: Visitantes a Geek.com

atacados por Blackhole Exploit Kit;
• Ago. 28 to 31, 2011: Investigadores
detectan miles de sitios WordPress
infectados con Black Hole;

• Nov. 2, 2011: Blackhole Exploit Kit

ataca el sitio WampServer;

• Feb. 12, 2012:Cryptome Infectado con

el ToolKit Blackhole;

• Mayo 31, 2012: Links en el sitio web

de TSA en los EEUU llevan al
Blackhole exploit kit.

9

Crimeware as a Service – 2012

Exploit Toolkits


LinuQ
(July 2011)

Bleeding Life V3
(August 2011)

Phoenix Exploit Kit 3.1
(March 2012)


BlackHole Exploit Kit 1.2.1
(November 2011 – Russia))

Eleonore V1.8.91
(December 2011 - Russia)

Zhi Zhu
(February 2012 - China)

Gong Da Pack
(February 2012 - China)

Description


Between bot and exploit pack, this package is designed to compromise
linux servers. In its public version, it should use 4 PMA vulnerabilities
(CVE-2009-1148/1151)
$200 (public version) - $1,500 (with private exploit)
A kit with 10 exploits.
Price for new buyers: $1,000. A $250 discount is offered for previous
buyers
The V3 version included the Java Rhino exploit (CVE-2011-3544). This
latest includes Java Atomic (CVE-2012-0507).
$2,200 (single domain) - $2,700 (multithreaded domain)

It also includes Java Rhino (CVE-2011-3544).
Annual license: $1,500 – 1 week renting on Blackhole servers: $200

This update includes Java Rhino (CVE-2011-3544) and 5 other 2011
exploits. $2,200

Five exploits of which WMP MIDI (CVE-2012-0003).


Three exploits of which WMP MIDI (CVE-2012-0003).

10

Crimeware as a Service

Botnets

Una red de bots es una red infectada de computadores bajo
control remoto por un cibercriminal en línea. El usa esta red
para enviar spam, lanzar ataques de Denegación de Servicio
o distribuir código malicioso financiero. El puede alquilar esta
red a otro criminal.

11

Actividad Global de BOTNETs

• McAfee monitorea la actividad de botnets y sus servidores de control

mientras se plagan por el Internet. Los sistemas protegidos por las
soluciones McAfee al igual que los dispositivos de seguridad de redes
envían información al McAfee Global Threat Intelligence (GTI) en la
nube, y junto con la amplia colección de binarios de código malicioso
e investigación proactiva, McAfee tiene una visión clara de las
amenazas globales de botnet



Crimeware as a Service

Ciencia de Zeus: Zeus y sus sucesores, SpyEye, ICE IX y Citadel
son primeramente usados para robar credenciales financieras en
line. Disponibles para la venta, Estos contienen un constructor
que puede generar un bot ejecutable asociado a un administrador.

Panel usado para administrar
información acerca del botnet y
tareas que deben ser realizadas.
Pueden ser completadas por
módulos opcionales para
maximizar su poder malicioso

13

Crimeware as a Service

Zeus lineage



8
0
0
2



9
0
0
2



0
1
0
2



1
1
0
2



2
1
0
2

Since 2006
Zeus

Zeus by Monstr, Slavik
$3 000 < Price < $4 000
V2.0.8.9 - Code disclosed in April 2011

Since Dec 2009
SpyEye

SpyEye by Gribodemon, Harderman
$500 < Price < $1 000 (V1.2, Q2-2010)

Since Jan 2011
Zeus+SpyEye

Merged version in January 2011
Price ≈ $4 000 (V1.2, Q2-2010)

Since mid-2011
ICE IX

Since Dec 2011
Citadel

ICE IX by nvidiag
Prices $600 / $1 800 (V1.0.2, Aug 2011)

Citadel by Aquabox
V1.3.3 (March 2012): $2 399

14

Crimeware as a Service – 2012

Botnet (Command &
Control Toolkits)

Description

Darkness by SVAS/Noncenz
(DDOS bot)

DDOS bot
From $450 to $999 according to the package - Sources - ~3500-5000$

Citadel

THOR by TheGrimReap3r

Carberp

Zeus/SpyEye variant. Financial botnet.
Bot builder + admin panel - $2399 + a $125 monthly “rent” (December
2011 price)
Automatic update facilities for antivirus evasion - $395. Each update is
charged $15
Multipurpose P2P botnet.
$8000 for the package without modules. Discount of $1500 for the first
5 buyers (March 2012 price).
Expected modules under development are: advanced botkiller, DDoS,
formgrabber, keylogger/password stealer and mass mailer.
Financial botnet
Loader + grabbers + all the basic functionality (except for the fact that
below) - $2500 (March 2012 price)
Anything above + Backconnect 500 connections + IE/FF inject - $5000
Anything above + Hidden browser (similar to VNC) - $8000

May 2011

15

Proxies as a Service

Awmprowy.net

En Septiembre 2011, Brian Krebs analizo algunas actividades
asociadas al botnet TDSS y particularmente a awmprowy.net.
Estos proxies de servicios se presentaron como “Los proxies
anónimos mas rápidos”. Antes que este mercado subterráneo
desapareciera logramos obtener algunos precios.

Proxies HTTP/SOCKS (http, https, socks4, socks5)



Costo (Sin e-mail)

Costo (Con e-mail)

Numero de IPs para poder
accederlo

Numero of procesos

Semi

Annual

Mensual/
Limitado

Mensual/
Ilimitado

65$

-

95$

350$

195$

550$

Ilimitado-90 Dias

500$

1400$

Each user gets full access to the whole base on private HTTP/SOCKS (that

is why many proxies get to the blacklists)

350

unlimited

16

Proxies as a Service

Awmprowy.net

Exclusive/individual proxies (for anonymous browsing, ICQ and FTP; for online-games
like casino, poker and roulette. These proxies are given in one hands only)


Exclusive-100 Exclusive-200 Exclusive-500

Amount proxy

Amount of changes in the list per day

Automatic substitution of “dead” proxies
by choosing a priority country

Cost



Week
2 weeks
30 days

Proxy simultaneously

Amount of changes in the list per day



Cost


2 weeks
30 days

100

50

90$
160$
290$

200

100

ALL
RU

US/CA

160$
290$
550$

500

200

300$
550$
1000$

Individual-5

Individual-15

Individual-30

5

30

40$
60$

15

50

60$
100$

17

30

100

100$
160$

Proxies as a Service

Awmprowy.net

Personal proxies (They are browser proxies to anonymously access porno sites,
entertainment resources for online casinos, payment systems and other sites that
block access for certain countries)


Two weeks

Day

Monthly

Cost (traffic unlimited)

Number of IPs to access from

Duration

3$

1

day

15$

3

14 days

25$

3

30 days

Private HTTP proxies (to profit from a static IP from the country you need. To improve
performance in mailing campaign)


Elementary Advanced Professional Unlimited Unlimited-90

Cost per month

Term

Number of IPs to access
from

Number of threads per
account

35$

50$

1

2

100

200

month

60$

3

400

18

95$

3

240$

90 d