Viernes, Mayo 18, 2012
   
TEXT_SIZE
Iniciar sesión
Domingo, 11 de Diciembre de 2011 12:13

(Video) Análisis, Secuestro y Destrucción de infraestructura Phishing al Banco Santander Featured

Escrito por NOVA
Rate this item
(2 votos)

Tras la recepción de un correo bastante sospechoso, se ha rastreado su procedencia y se ha analizado la infraestructura utilizada por el ciberdelincuente para proceder a su destrucción.

Junto con Pedro Guillén, hemos realizado un ataque a la infraestructura de servidores hackeados por el ciberdelincuente hasta en 4 paises diferentes (España,Israel,Republica checa y Mexico). Las vulnerabilidades encontradas en esta infraestructura se repite y se trata de fallos en Frontpage, mediante inyecciones específicas del tipo:

http://213.8x.x/_vti_bin/_vti_adm/admin.dll
method=open service:3.0.2.1105&service_name=/
5.0.2.5012


method=list documents:5.0.2.5012&service_name=&listHiddenDocs=True&li
stExplorerDocs=True&listRecurse=True&listFiles=True&listFolders=True&listLinkI
nfo=True&listIncludeParent=True&listDerivedT=True&listBorders=True&initialUrl
=

/_vti_bin/_vti_aut/author.dll
method=list documents:5.0.2.5012&service_name=&listHiddenDocs=true&lis
tExplorerDocs=true&listRecurse=false&listFiles=true&listFolders=true&listLinkInf
o=false&listIncludeParent=true&listDerived=false&listBorders=false

Pueden obtenerse una serie de listadode directorios y edición de archivos, las cuales se han usado para localizar las shells que el ciberdelincuente habia alojado previamente y tomar asi control de estos servidores.

Para la ubicación del servidor que recibe los datos del ejecutable santander.exe se ha utilizado un sniffer con el que obtuvimos la ip a la que finalmente los datos se mandaban.

En el ataque al servidor que aloja los datos se pudo obtener acceso aprovechando el mismo tipo de vulnerabilidad descrita con anterioridad y se analizo el código realizado en asp destinado a la recepción de datos y envío a una cuenta de ciorreo gmail a la que se tuvo acceso y se pudo comrobar que ya habia datos recibidos de clientes victima.

La eliminación de esos datos asi como de la infraestructura no garantiza que no vuelva a aparecer al no repararse las vulnerabilidades origen que causan el problema. Tanto es así que durante las horas que duró el proceso de ataque a la infraestructura el ciberdelincuente sustituyo el binario infector.

Acompañamos este artículo con un video explicativo del proceso. Puede verlo mas abajo. http://www.youtube.com/watch?v=Y3ZpWYbsxXM&feature=colike


Last modified on Lunes, 12 de Diciembre de 2011 13:20
Read 581 times Like this? Tweet it to your followers!
Published in Seguridad/Inseguridad Informática
Tagged under
Social sharing
NOVA

NOVA

Miguel Ángel de Castro Simón

Website: www.informaticanova.com

Latest from NOVA

Related items (by tag)

Related Video

More in this category: « Nova Informática y CanalSeguro participan en Jornadas SLCENT 7.0. Rooteo de un servidor infectado con botnet a traves de vulnerabildiad BSQL »
back to top

Seguridad Informática

  • Productos Seguridad Informática
  • Noticias Seguridad Informática
  • Formación: Cursos y manuales Seguridad Informática

Web, Hosting y Posicionamiento

  • Desarrollo y diseño Web, Cms, Tienda Online
  • Planes alojamiento Hosting
  • Posicionamiento, SEO y Alta en buscadores
Suscripción RSS
Noticias Seguridad informática, tutoriales, exploits, formación

Login