miércoles, 24 de abril de 2013

Móviles - BoTneT

En la conferencia de Shmoocon 2011, hubo una expositora interesante que se enfrento al público con el tema de seguridad a nivel de móviles, y bueno en este pequeño he decido hablar un poco de este importante tema que poco a poco esta teniendo un impacto muy persistente en la actualidad.

Para entender este campo, primero debemos entender claramente las definiciones de cada parte de esta estructura.

Vamos a iniciar comprendiendo el sistema de comando y control para teléfonos inteligentes basados ​​en botnets utilizando SMS. La aplicación bot se encuentra por debajo de la capa de aplicaciones de teléfonos inteligentes en el sistema operativo base y es transparente para los usuarios de teléfonos inteligentes. 



1.-Smartphones - BoTneTs


Hoy en dia los teléfonos inteligentes son cada vez más inprecindibles en nuestra vida cotidiana , por ende se convierten en blancos atractivos para las infecciones de botnet. Muchas de las plataformas de teléfonos inteligentes más vendidos comunes se basan en sistemas operativos de PC. Esto hace que la transición de malware de PC basado en el desarrollo de software malicioso para teléfonos inteligentes basados ​​casi trivial. Smartphone de malware y botnets, específicamente se han observado tanto en la investigación de seguridad y en la naturaleza. Talvez dentro de unos años el mercado de virus que hay en el entorno de las pc se translade al campo de los moviles.





2.- SMS Mando y Control.



Para poder tener el control de una Botnet(comando y control) deben aplicarse métodos que de tal manera  se evite la detección de la infección por los usuarios de teléfonos inteligentes. Los métodos tradicionales basados ​​en IP de comando y control de botnets son aplicables a las plataformas de teléfonos inteligentes. Sin embargo, las comunicaciones basadas en IP tienen el efecto secundario de drenaje de la batería inteligente. La pérdida significativa de la batería nos conlleva al grave riesgo de detección.

En una red peer to peer (Punto a Punto) una botnet tradicional esta basada en IP, un bot infectado regularmente inicia una conexión para comprobar si hay nuevas instrucciones de su maestro. Los teléfonos inteligentes no tienen direcciones IP públicas. Sin una dirección IP pública de un servidor de comando y control no puede iniciar una conexión con un bot cuando las instrucciones se encuentran disponibles. Así, cualquier comando basada en IP y sistema de control para teléfonos inteligentes requeriría este tipo de sistema de votación donde los smartphones visite regularmente para ver las instrucciones.




3.- Implementación del BoT


La pila de telefonía de un teléfono inteligente gestiona las comunicaciones entre el módem GSM y el procesador de aplicaciones. Convenios de denominación y aplicación difieren de plataforma en plataforma
pero por lo general un controlador serial multiplexado línea de módem que traduce las instrucciones entre la llamadas aplicación API y módem GSM comandos AT.



La aplicación SMS fuzzing que es para múltiples plataformas de teléfonos inteligentes, y que actúan como un proxy entre el controlador del módem y la capa de aplicación (smartphone). Esto permite inyectar mensajes SMS en los teléfonos inteligentes sin alertar a los transportistas, y de incurrir en cargos basados ​​en SMS. En lugar de ser transparente para las compañías celulares, la meta es tener comunicaciones en la botnet, siendo transparente para los usuarios de teléfonos inteligentes. Después de haber encontrado dificultades en interceptar las comunicaciones SMS, constantemente antes de ser presentado al usuario de la capa de aplicación, se ha utilizado una técnica similar para interceptar las comunicaciones SMS antes de que lleguen a la capa de aplicación. Como la aplicación es un bot en el sistema operativo, base por debajo de la pila de capa de aplicación de telefonía, todas las comunicaciones GSM serán interceptadas antes de ser presentado al usuario. Esto permite que los mensajes SMS (botnet) relacionados a ser interceptada y nunca entregado a la capa de aplicación.





Para evitar ser detectado, además de ocultar mensajes SMS relacionados con la botnet del usuario, la botnet no relacionan mensajes SMS  y los otros mensajes GSM tienen que pasar hasta en el momento oportuno para el usuario. Para hacer demorar los insignificantes servicios de servicios insignificante la primera funcionalidad realizada por la aplicación bot es comprobar el código de  SMS- Deliver GSM code (+CMT). Todos los paquetes no GSM SMS, a continuación, se pasaron inmediatamente a la capa de aplicación. A continuación, la aplicación bot se compruebe el paquete SMS-Entrega de llaves botnet.

Si  las claves válidan la autenticación del mensaje SMS como instrucciones válidos de la botnet, se pasa el mensaje SMS hasta la capa de aplicación y se entrega al usuario normalmente. Por lo tanto la funcionalidad normal de teléfono inteligente es de ninguna manera interrumpida por la presencia de la aplicación bot.



Las instrucciones de la Botnet se incluyen en SMS-Entregar paquete PDU en los datos de usuario.El campo de datos del usuario incluye en el presente mensaje al usuario cuando se recibe un mensaje SMS codificado en 7 bits de GSM.

Datos del usuario : E 8 3 2 9 B F D 4 6 9 7 D 9 E C 3 7

Esto se traduce en la hellohello mensaje cuando se descodifica.

Una botnet con instrucciones SMS debería incluir instrucciones comprensibles para la aplicación bot.





4.- Estructura de la BoTneT


La estructura de una botnet se organiza en tres niveles para maximizar la seguridad y la solidez de la botnet. 

El primer nivel está formado por los robots maestros que son manejados directamente por los pastores de bots. Estos robots no están obligados a ser los robots en absoluto; infección con la aplicación bot no es necesario. No hay ningún requisito de que estos teléfonos sean teléfonos inteligentes o incluso teléfonos celulares en absoluto. PC con módem GSM o cuentas de Google Voice sería suficiente. Bots maestros deben tener números de teléfono cambian con regularidad para reducir al mínimo el riesgo de detección




El segundo nivel de la botnet es de los robots centinelas. El centinela contra los robots actúan como proxies entre el maestro bots y la masa de la botnet. Estos bots se debe confiar en los teléfonos inteligentes que han estado en la botnet sin ser detectado durante un tiempo significativo. Al principio del ciclo de vida de un botnet, si desea, puede utilizar los teléfonos bajo su propio control para llenar este papel y después promover los robots esclavos a los robots centinelas. 




El tercer nivel de la botnet es de los robots esclavos. Los Smartphones más infectados en la botnet estarán en este nivel. Estos bots reciben instrucciones del centinela.




5.- Métodos de Infección


Un método de infección es la explotación de root remoto. Un teléfono infectado explota un teléfono vulnerable e infecta con la aplicación de bot. Sin embargo, la explotación local es también un vector de ataque viable para la infección botnet.

Otro método sería crear una aplicación aparentemente inofensiva para los teléfonos inteligentes Android y subirlo en el mercado de Android, asi esta aplicación se aprovechará del modelo de confianza de Android con el fin de infectar teléfonos que instalan la aplicación. Pocas horas después de haber subido la aplicación, cientos de usuarios se verán infectados. Desde nuestra aplicación bot vamos a  requerir privilegios de root, necesitaremos explotar una vulnerabilidad en una aplicación para hacer una escala local de privilegios.


Además, los usuarios de teléfonos inteligentes que han roto la seguridad de sus teléfonos y han logrado acceder al sistema operativo, pueden estar tentados a instalar una aplicación con funcionalidad de bot con privilegios de root. Ambos métodos de infección local se basan en la falta de sensibilización por parte de los usuarios al instalar aplicaciones de están alojadas en sitios no autorizados.

Hoy en día, por ejemplo, la plataforma de teléfonos inteligentes Android, antes de instalar una aplicación proporciona una lista de las funciones que la aplicación requiere tener acceso, esta lista es presentada al usuario para su aprobación. Sin embargo, puesto que la aplicación bot funciona a nivel de la raíz, y una aplicación infectada se podría instalar, ya que no requiere acceso a SMS u otras funciones GSM. El robot todavía será capaz de acceder a SMS sin alertar al usuario.


También es muy común descargar una aplicación mediante los códigos QR ya que al escanear uno de estos códigos, posteriormente se va ejecutar una descarga de la cual podría ser una aplicación maliciosa, para mitigar esta posible infección hay que ser muy cuidado con los privilegios le damos a cada aplicación que instalamos.

Tras la infección de un teléfono inteligente, este tiene que registrarse con el pastor de robots que se incluirán en la estructura botnet. 


6.- Servicios de la BoTneT  


Como las capacidades de smartphones hoy en dia son muy similares a las PCs de escritorio, por lo tanto las botnets de teléfonos inteligentes serán capaces de realizar todas las funciones de una botnet tradicional. Como por ejemplo :


  • Participación en una ataque de denegación de servicio distribuido (DDoS)

 Las conexiones IP a través de la red celular son más lentas que las conexiones WiFi y DSL visto en una PC de escritorio, por lo tanto el impacto del ataque seria de cierta forma limitado, por lo tanto para los  smartphones a participar en el ataque DDoS no tendría mucho éxito.

Sin embargomuchos teléfonos inteligentes tienen la opción de unirse a una red WiFi disponible, por lo tanto los soportes de conexiones a Internet seran más rápidos basados ​​en una base regular. En este nivel podemos decir que no está fuera del reino de la posibilidad de ver los ataques DDoS perpetrados por un grupo grande de smartphones infectados en el futuro.


  • Envío de Spam

El poder de las botnets tradicionales es el envío de mensajes de spam a través de correo electrónico. Las botnets en Smartphone pueden hacer lo mismosin embargo, los teléfonos inteligentes tienen una única vía de ataque para el spam en las funciones GSM. Como se ha señalado antes GSM se comparan con una conexión a Internet con una dirección IP pública sin filtrado o firewall a nivel de teléfono. Cualquier mensaje SMS válidos que se recibe será entregado al usuario. Por lo tanto los bots podrán expandir la botnet de teléfonos inteligentes para enviar correo no deseado basado en SMS. 

  • Robo de identidad

Esta tambien seria otra cualidad de las botnet tradicionales, ya que podriamos robar sessiones de aplicaciones que los usuarios infectados usan a diario. Luego de haber ingresado nuestros datos para poder acceder a la aplicación, nuestra movil infectado enviara un mensaje SMS a nuestro centinela (en el caso de ser un robot esclavo ), para posteriormente ser enviador a la central de la botnet. De esta forma nuestra información podría llegar a manos de terceros.


  • Ataque al Servicio GSM 

Existe la posibilidad de usar botnets diseñadas con celulares para atacar el servicio GSM. Esta es también una funcionalidad viable para una red de bots de teléfono inteligente. Una infección a gran escala podría dar lugar a una cantidad suficiente tráfico GSM falsa para degradar el servicio a los usuarios legítimos. Esto combinado con la funcionalidad GPS de los teléfonos inteligentes podría ser utilizado para causar una denegación de servicio del servicio GSM en un determinado lugar geográfico durante una situación de crisis, que sirve para escalar el impacto.




Bueno para ya terminar este pequeño post, voy a mostrar una pequeña fracción del video que se presento como prueba de concepto para Botnets en smartphone a través de SMS.




Como podemos observar esta botnet esta formanda por 3 moviles, un master , un centinela y un robot esclavo.


Bueno en esta ocasión no he podido hacer la prueba por mi mismo ya que no dispongo de móviles inteligentes (mucho menos mas de un móvil), talvez mas adelante puede hacer una pequeña demostración.....^_^


Bueno espero que este pequeño post les halla enseñado un poco acerca de la seguridad en móviles, porque al parecer este va ser el nuevo campo para la ciberdelicuentes, asi que hay que estar bien informado para no ser un posible víctima.

Creo que ya no tengo nada mas que adicionar..... Así que me despido y sera hasta otra oportunidad......Nos vemos.






P.D : Dedico este post a esa chica que me hizo ver que había algo bueno porque seguir en esta escena del Hacking , solo puedo darte las gracias y decirte cuanto te admiro.....G.... ^_^





No hay comentarios:

Publicar un comentario