3. root@kembolle:~# Whoami
Kembolle Amilkar A.K.A Dr O.liverkall
# Tecnologia em Analise e Desenvolvimento de Sistemas;
# Governança de Tecnologia da Informação;
# Gerenciamento de Processo de Negócio e tecnologia da Informação;
# Segurança da Informação [ Conclusão ];
# CTO – Chief Tecnology Officer [ Samuray Consultoria ];
# Analista Segurança da Informação [ Sefaz – MT ];
# The Open Web Application Security Project (OWASP) Cuiabá;
# Brazil Underground Security – 2011;
10. root@kembolle:~# Cibercrimes
Senhas fracas permitiram invasão à TV que anunciou
ataque zumbi nos EUA :
●
●
Enquanto você assiste à televisão, o áudio do programa
original é cortado e, em seu lugar, surge uma voz alertando
um ataque de zumbis nas proximidades. Parece surreal? Isso
aconteceu nos Estados Unidos.
o governo ordenou às emissoras a mudarem as senhas para
o equipamento que as autoridades usam para divulgar
transmissões de emergência através do Sistema de Alerta de
Emergência (EAS, na sigla em inglês).
http://adrenaline.uol.com.br/seguranca/noticias/15564/senha
s-fracas-permitiram-invasao-a-tv-que-anunciou-ataque-zumbi
-nos-eua.html 15/02/2013
11. root@kembolle:~# Cibercrime
Refere-se a toda a actividade onde um
computador ou uma rede de computadores é
utilizada como uma ferramenta, uma base de
ataque ou como meio de crime.
●
E - Crime
●
Cibercrime (Cybercrime)
●
Crime Eletrônico
●
Crime Digital
12. root@kembolle:~# Cibercrime
Quais os Tipos Cibercrimes?
O crime envolvendo computadores abrange um
conjunto de atividades ilegais bastante variado:
●
Falsidade ideológica ( Fakes );
●
Acesso e uso ilegal de dados ( Espionagem );
●
Conteúdo Criminoso ( Pedofilia );
●
Criação de programas dedicado ao crime (backdoor's);
●
Pirataria de Software ( Serial Fishing );
13. root@kembolle:~# Cibercrime
Caracteristicas:
●
●
●
Transnacionalidade: O Cibercrime é um
fenômeno internacional, onde não há fronteiras de
ação e de alcance.
Universalidade: O Cibercrime não escolhe
nações, géneros estatutos sociais, entre outros
factores.
Omnipresença: Hoje em dia, a omnipresença da
tecnologia está no quotidiano dos cidadãos.
14. root@kembolle:~# Cibercrime
Vamos citar 3 Tipos de Criminosos:
Cracker é o termo usado para designar o
indivíduo que pratica a quebra (ou cracking) de
um sistema de segurança, de forma ilegal ou sem
ética.
Este termo foi criado em 1985 por hackers em
defesa contra o uso jornalístico do termo hacker.
16. root@kembolle:~# Cibercrime
Pirata
É aquele que se dedica à apropriação, reprodução,
acumulação e distribuição (em grande escala) de
software protegido por copyright, com fins
lucrativos.
18. root@kembolle:~# - Técnicas de Intrusão
A Owasp hoje possui um top10 de vulnerabilidades mais utilizadas para
realizar exploração de Ambientes “ WEB”
A1-Injection
●
A2-Broken Authentication and Session Management
●
A3-Cross-Site Scripting (XSS)
●
A4-Insecure Direct Object References
●
A5-Security Misconfiguration
●
A6-Sensitive Data Exposure
●
A7-Missing Function Level Access Control
●
A8-Cross-Site Request Forgery (CSRF)
●
A9-Using Components with Known Vulnerabilities
●
A10-Unvalidated Redirects and Forwards
https://www.owasp.org/index.php/Top_10_2013-Top_10
19. root@kembolle:~# - Técnicas de Intrusão
Top 10 Mobile Risks
●
M1: Insecure Data Storage
●
M2: Weak Server Side Controls
●
M3: Insufficient Transport Layer Protection
●
M4: Client Side Injection
●
M5: Poor Authorization and Authentication
●
M6: Improper Session Handling
●
M7: Security Decisions Via Untrusted Inputs
●
M8: Side Channel Data Leakage
●
M9: Broken Cryptography
●
M10: Sensitive Information Disclosure
https://www.owasp.org/index.php/Projects/OWASP_Mobile_Security_Proj
ect_-_Top_Ten_Mobile_Risks
20. root@kembolle:~# - Técnicas de Intrusão
Botnet: são computadores “zumbis”.
●
●
Em suma, são computadores invadidos por um
determinado cracker, que os transforma em
um replicador de informações.
Dessa forma torna-se mais difícil o
rastreamento de computadores que geram
spams e aumentam o alcance das mensagens
propagadas ilegalmente.
23. root@kembolle:~# - Técnicas de Intrusão
Denial of Service (DoS): “Ataque de negação de
serviços” é uma forma de ataque que pretende
impedir o acesso dos usuários a determinados
serviços. Alvos mais frequentes são servidores
web, pois os crackers visam deixar páginas
indisponíveis.
As consequências mais comuns neste caso são:
consumo excessivo de recursos e falhas na
comunicação entre sistema e usuário.
EX: CVE-2013-1896 Denial of Service (DoS)
vulnerability in Apache HTTP Server
28. root@kembolle:~# - Técnicas de Intrusão
Social Engineering (Engenharia Social): é o ato de
manipular pessoas para conseguir informações
confidenciais sobre brechas de segurança .
36. root@kembolle:~# - Técnicas de Intrusão
o app malicioso DroidWhisperer, criado por Kevin McNamee, um pesquisador da área
de segurança da Kindsight. Ele escondeu o malware junto de um Angry Birds e
começou a distribuir o aplicativo em uma loja não oficial.
37. root@kembolle:~# - Técnicas de Intrusão
Sem ser notificado de nada, ele concedia autorização para
capturar áudio do microfone, relatar sua posição exata e
ainda baixar sua lista de contatos, permitindo a utilização
desses dados de uma forma nada benéfica. E tudo isso de
modo silencioso, comandando o aparelho hackeado pela
internet.
No caso do DroidWhisperer, isso tudo é bem simples. Por
meio de um painel de controle é possível ver todos os
aparelhos conectados, acessando o conteúdo enviado por
eles como se acessa um gerenciador de arquivos, tudo via
internet, sem nenhuma conexão cabeada.
48. root@kembolle:~# - Investigação
De: cte@xxx.com.br [mailto:cte@xxx.com.br ]
●
Enviada em: quinta-feira, 5 de setembro de 2013 20:04
●
Para: Sistema CTE - Conhecimento de Transporte Eletrônico
●
Assunto: Cobrança : Prestação em atraso
●
Para melhor visualizar este e-mail clique em Não tenho certeza. Vou verificar
●
Prezado(a) Cliente:
●
Arquivo(s) em Anexo(s): [ Cobranca 2a.via Boleto.pdf ] link
●
Tendo em vista que não nos procurou no prazo estipulado em nossa carta de 24/07/13,
●
comunicamos que o Boleto em questão foi levado a protesto, medida inicial no
●
processo de execução que iremos intentar contra, caso o pagamento não seja
●
efetuado no 1º Cartório de Protesto de Letras e Títulos.
●
Att,
●
Ricardo Garcia,
●
Gerente do Departamento Jurídico.
50. root@kembolle:~# - Investigação
Dentro de acessos.php e acessos.txt tem Mais informações vejamos...
●
Qua - 04/Set/2013 as 20:53:18 – 177.221.27.xx - - - Brazil
●
Qui - 05/Set/2013 as 10:57:29 - 177.221.27.xx - - - Brazil
●
Qui - 05/Set/2013 as 11:56:55 - 186.202.153.xx - - - Brazil
●
Qui - 05/Set/2013 as 15:05:37 - 177.132.247.xx - - Mato Grosso - Brazil
●
Qui - 05/Set/2013 as 15:08:44 - 186.212.206.xx - Curitiba - Paraná - Brazil
●
Qui - 05/Set/2013 as 15:11:08 - 177.54.98.xx - - - Brazil
●
Qui - 05/Set/2013 as 15:14:03 - 200.205.104.xx - - São Paulo - Brazil
●
Qui - 05/Set/2013 as 15:14:40 - 200.198.51.xx - - - Brazil
●
Qui - 05/Set/2013 as 15:17:05 - 201.92.118.xx - Bauru - São Paulo - Brazil
●
Qui - 05/Set/2013 as 15:17:11 - 177.139.165.xx - - São Paulo - Brazil
●
51. root@kembolle:~# - Investigação
0x01- http://jorgetadeuslp.com/css/acessos.php
0x02- http://jorgetadeuslp.com/css/acessos.txt
É lista enorme de pessoas que já baixarão e
executarão o “ terra.php “ ..
Continuando....
53. root@kembolle:~# - Investigação
É apenas um redirect para arquivo malicioso.....Bom chegamos a
Hospedagem do Arquivo , Vamos dar uma analisada:
●
GET /css/Boleto.2a.via.arquivo.anexos.visualizar.zip HTTP/1.1
●
Host: tadeuforense.pusku.com
●
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US;
rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13
●
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
●
Accept-Language: en-us,en;q=0.5
●
Accept-Encoding: gzip,deflate
●
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
●
Keep-Alive: 115
●
Connection: keep-alive
●
Certo então vamos ao Browser ver o que tem por la!? (:
59. root@kembolle:~# - Investigação
Ele gera vários arquivos e retorna insert’s nos registros e temporários.
http://recrutinha2016.com/adm/contador.php
:Label1
@echo off
del C:Users005757~1DesktopBOLETO~1.VISBOLETO~1.EXE
if Exist C:Users005757~1DesktopBOLETO~1.VISBOLETO~1.EXE
goto Label1
Call C:Users005757~1DesktopBOLETO~1.VISBOLETO~1.EXE
del C:Users005757~1DesktopBOLETO~1.VISBOLETO~1.bat
Exit
60. root@kembolle:~# - Investigação
Conclusão:
# Este arquivo é um “Loader” criado em Delphi para realizar execução de
vários arquivos maliciosos.
Caracteristicas Backdoor:
# Possui varias bibliotecas de Keylogger’s e Screenlogger para coleta de
informações bancárias;
# Realiza alteração de DNS para servidores ( Pharming )
( C:WINDOWSsystem32driversetcHosts );
# é criado arquivo Call
C:Users005757~1DesktopBOLETO~1.VISBOLETO~1.EXE que
funciona como Botnet para enventuais ataques de negação de serviço.
71. root@kembolle:~# - Como se proteger?
IDS e IPS?
# nmap -P0 -sI 1.1.1.1:1234 192.1.2.3
O Parametro -P0 -sl é uma
técnica de varredura para
esconder seu IP :D Seguindo
o exemplo, usa uma técnica de
varredura ociosa. Ele utiliza a
porta 1234 no IP 1.1.1.1 como
como um zumbi para fazer a
varredura de acolhimento –
192.1.2.3 ( alvo );
72. root@kembolle:~# - Como se proteger?
Honeypoth ?????
Oh yeah! I love IT! :D
http://map.honeynet.org
73. root@kembolle:~# - Metodologias [OWASP]
A Open Web Application Security Project
(OWASP) é uma entidade sem fins lucrativos e
de reconhecimento internacional, que contribui
para a melhoria da segurança de softwares
aplicativos reunindo informações importantes
que permitem avaliar riscos de segurança e
combater formas de ataques através da
internet.
74. root@kembolle:~# - Metodologias [OWASP]
Os estudos e documentos da OWASP são
disponibilizadas para toda a comunidade
internacional, e adotados como referência
por entidades como U.S. Defense
Information Systems Agency (DISA), U.S.
Federal Trade Commission, várias
empresas e organizações mundiais das
áreas de Tecnologia, Auditoria e Segurança,
e também pelo PCI Council.
75. root@kembolle:~# - Metodologias [OWASP]
A OWASP utiliza uma metodologia baseada na
classificação do risco (Risk Rating Methodology) para
priorizar sua lista Top 10, que é mantida atualizada
periodicamente a partir de pesquisas e estatísticas sobre
ataques identificados em todo o mundo.
Além de identificar os ataques de maior risco, a OWASP
faz várias recomendações de segurança para que cada
um daqueles ataques sejam evitados a partir das etapas
do desenvolvimento das aplicações.