Publicado el 1 de Abril del 2018
789 visualizaciones desde el 1 de Abril del 2018
5,5 MB
59 paginas
Creado hace 11a (27/02/2013)
Hacking as a Service: HaaS
La plataforma fraudulenta de mayor
crecimiento en la Web 2.0
Carlos G. Gonzalez
Senior Director, Sales Engineering
Hacking-as-a-Service: HaaS
• InfoSecurity (15 Nov, 2012):
– “HaaS: Un grupo rentando accesos a servidores de empresas
Fortune 500, como Cisco, toman ventajas de claves débiles para
entregar accesos fáciles. A pesar de su descubrimiento hace tres de
semanas, el servicio parece tener mucha fuerza, el ultimo conteo fue
de casi 17,000 computadores globalmente.”
Hacking-as-a-Service: Un patrón alarmante
• McAfee en su reporte de predicción de amenazas para el 2013,
dice que la demanda por los servicios de hacking de los
criminales ciberneticos aumentaran.
– “Por mucho tiempo, los criminales cibernéticos han participado en
foros públicos para discutir y hacer negocios con otros criminales.
En estas reuniones, no soto venden el software sino que también se
venden los servicios. Criminales cibernéticos profesionales, ven
estos como una perdida de tiempo y confidencialidad (cada trato
necesita contacto directo con el cliente quien pudiese ser un agente
en cubierto), y una perdida de dinero (el comprador trata de negociar
un precio mas bajo),“
– “Por estas razones, el numero de invitaciones privada a foros
criminales que tienen costos de registro y garantías han
aumentado.”
Hacking-as-a-Service o Crimeware-as-a-Service
• Compuestos por
Exploit Packs (Paquetes de Exploits)
Botnets
Proxies as a service
Spam
DDoS as a Service
Bullet Proof Hosting
Fake Pharma
• Recent past
Prices for crimeware as a Service (oldies)
5
Hacking-as-a-Service o Crimeware-as-a-Service
Exploit packs
Un exploit pack (o BEP - Browser
Exploit Pack) es un toolkit que
automatiza la explotación de
vulnerabilidades en el lado del
cliente. Es generalmente entregado
como un paquete de archivos
exploit de PHP y HTML (incluyendo
JAVA, PDF, Navegadores, Adobe
Flash Player, etc.) diseñado para
atacar el SO, browser y otras
aplicaciones en el lado del cliente.
Kahu Security
(http://www.kahusecurity.com/2012/wild-wild-west-
062012/)
6
Hacking-as-a-Service o Crimeware-as-a-Service
Eleonore Exploit Pack de Exmanoize
Eleonore es un paquete de código malicioso ofrecido a la
venta en el mercado negro desde el 2009. Contiene una
colección de exploits los cuales pueden ser usados para
alterar paginas web. Cuando ejecutado, si la pagina es
visitada por un sistema vulnerable, la carga del exploit es
ejecutada. El paquete también provee la habilidad de control
y comando para administrar los sistemas comprometidos.
7
Hacking-as-a-Service o Crimeware-as-a-Service
Eleonore Exploit Pack de ExManoize
9
0
0
2
0
1
0
2
1
1
0
2
2
1
0
2
Junio 2009
v1.0 to v1.3
$599
v1.4 to v1.6
v1.6 to v1.8
Deciembre 2011
V1.8.91
$2200
8
Crimeware as a Service
Black Hole Exploit Pack de Paunch
0
1
0
2
1
1
0
2
2
1
0
2
Septiembre 2010
v1.0.0 beta
by Legacy
v1.1.0 to v1.2.1
v1.2.2 & v1.2.3
En las Noticias…
• Abril 6, 2011: Sitio Web USPS.gov
infectado con Blackhole Exploit Kit;
• Mayo 13, 2011: Visitantes a Geek.com
atacados por Blackhole Exploit Kit;
• Ago. 28 to 31, 2011: Investigadores
detectan miles de sitios WordPress
infectados con Black Hole;
• Nov. 2, 2011: Blackhole Exploit Kit
ataca el sitio WampServer;
• Feb. 12, 2012:Cryptome Infectado con
el ToolKit Blackhole;
• Mayo 31, 2012: Links en el sitio web
de TSA en los EEUU llevan al
Blackhole exploit kit.
9
Crimeware as a Service – 2012
Exploit Toolkits
LinuQ
(July 2011)
Bleeding Life V3
(August 2011)
Phoenix Exploit Kit 3.1
(March 2012)
BlackHole Exploit Kit 1.2.1
(November 2011 – Russia))
Eleonore V1.8.91
(December 2011 - Russia)
Zhi Zhu
(February 2012 - China)
Gong Da Pack
(February 2012 - China)
Description
Between bot and exploit pack, this package is designed to compromise
linux servers. In its public version, it should use 4 PMA vulnerabilities
(CVE-2009-1148/1151)
$200 (public version) - $1,500 (with private exploit)
A kit with 10 exploits.
Price for new buyers: $1,000. A $250 discount is offered for previous
buyers
The V3 version included the Java Rhino exploit (CVE-2011-3544). This
latest includes Java Atomic (CVE-2012-0507).
$2,200 (single domain) - $2,700 (multithreaded domain)
It also includes Java Rhino (CVE-2011-3544).
Annual license: $1,500 – 1 week renting on Blackhole servers: $200
This update includes Java Rhino (CVE-2011-3544) and 5 other 2011
exploits. $2,200
Five exploits of which WMP MIDI (CVE-2012-0003).
Three exploits of which WMP MIDI (CVE-2012-0003).
10
Crimeware as a Service
Botnets
Una red de bots es una red infectada de computadores bajo
control remoto por un cibercriminal en línea. El usa esta red
para enviar spam, lanzar ataques de Denegación de Servicio
o distribuir código malicioso financiero. El puede alquilar esta
red a otro criminal.
11
Actividad Global de BOTNETs
• McAfee monitorea la actividad de botnets y sus servidores de control
mientras se plagan por el Internet. Los sistemas protegidos por las
soluciones McAfee al igual que los dispositivos de seguridad de redes
envían información al McAfee Global Threat Intelligence (GTI) en la
nube, y junto con la amplia colección de binarios de código malicioso
e investigación proactiva, McAfee tiene una visión clara de las
amenazas globales de botnet
Crimeware as a Service
Ciencia de Zeus: Zeus y sus sucesores, SpyEye, ICE IX y Citadel
son primeramente usados para robar credenciales financieras en
line. Disponibles para la venta, Estos contienen un constructor
que puede generar un bot ejecutable asociado a un administrador.
Panel usado para administrar
información acerca del botnet y
tareas que deben ser realizadas.
Pueden ser completadas por
módulos opcionales para
maximizar su poder malicioso
13
Crimeware as a Service
Zeus lineage
8
0
0
2
9
0
0
2
0
1
0
2
1
1
0
2
2
1
0
2
Since 2006
Zeus
Zeus by Monstr, Slavik
$3 000 < Price < $4 000
V2.0.8.9 - Code disclosed in April 2011
Since Dec 2009
SpyEye
SpyEye by Gribodemon, Harderman
$500 < Price < $1 000 (V1.2, Q2-2010)
Since Jan 2011
Zeus+SpyEye
Merged version in January 2011
Price ≈ $4 000 (V1.2, Q2-2010)
Since mid-2011
ICE IX
Since Dec 2011
Citadel
ICE IX by nvidiag
Prices $600 / $1 800 (V1.0.2, Aug 2011)
Citadel by Aquabox
V1.3.3 (March 2012): $2 399
14
Crimeware as a Service – 2012
Botnet (Command &
Control Toolkits)
Description
Darkness by SVAS/Noncenz
(DDOS bot)
DDOS bot
From $450 to $999 according to the package - Sources - ~3500-5000$
Citadel
THOR by TheGrimReap3r
Carberp
Zeus/SpyEye variant. Financial botnet.
Bot builder + admin panel - $2399 + a $125 monthly “rent” (December
2011 price)
Automatic update facilities for antivirus evasion - $395. Each update is
charged $15
Multipurpose P2P botnet.
$8000 for the package without modules. Discount of $1500 for the first
5 buyers (March 2012 price).
Expected modules under development are: advanced botkiller, DDoS,
formgrabber, keylogger/password stealer and mass mailer.
Financial botnet
Loader + grabbers + all the basic functionality (except for the fact that
below) - $2500 (March 2012 price)
Anything above + Backconnect 500 connections + IE/FF inject - $5000
Anything above + Hidden browser (similar to VNC) - $8000
May 2011
15
Proxies as a Service
Awmprowy.net
En Septiembre 2011, Brian Krebs analizo algunas actividades
asociadas al botnet TDSS y particularmente a awmprowy.net.
Estos proxies de servicios se presentaron como “Los proxies
anónimos mas rápidos”. Antes que este mercado subterráneo
desapareciera logramos obtener algunos precios.
Proxies HTTP/SOCKS (http, https, socks4, socks5)
Costo (Sin e-mail)
Costo (Con e-mail)
Numero de IPs para poder
accederlo
Numero of procesos
Semi
Annual
Mensual/
Limitado
Mensual/
Ilimitado
65$
-
95$
350$
195$
550$
Ilimitado-90 Dias
500$
1400$
Each user gets full access to the whole base on private HTTP/SOCKS (that
is why many proxies get to the blacklists)
350
unlimited
16
Proxies as a Service
Awmprowy.net
Exclusive/individual proxies (for anonymous browsing, ICQ and FTP; for online-games
like casino, poker and roulette. These proxies are given in one hands only)
Exclusive-100 Exclusive-200 Exclusive-500
Amount proxy
Amount of changes in the list per day
Automatic substitution of “dead” proxies
by choosing a priority country
Cost
Week
2 weeks
30 days
Proxy simultaneously
Amount of changes in the list per day
Cost
2 weeks
30 days
100
50
90$
160$
290$
200
100
ALL
RU
US/CA
160$
290$
550$
500
200
300$
550$
1000$
Individual-5
Individual-15
Individual-30
5
30
40$
60$
15
50
60$
100$
17
30
100
100$
160$
Proxies as a Service
Awmprowy.net
Personal proxies (They are browser proxies to anonymously access porno sites,
entertainment resources for online casinos, payment systems and other sites that
block access for certain countries)
Two weeks
Day
Monthly
Cost (traffic unlimited)
Number of IPs to access from
Duration
3$
1
day
15$
3
14 days
25$
3
30 days
Private HTTP proxies (to profit from a static IP from the country you need. To improve
performance in mailing campaign)
Elementary Advanced Professional Unlimited Unlimited-90
Cost per month
Term
Number of IPs to access
from
Number of threads per
account
35$
50$
1
2
100
200
month
60$
3
400
18
95$
3
240$
90 d
Comentarios de: Hacking as a Service: HaaS (0)
No hay comentarios