Trabajo de investigacion: Operación link azul

Iniciado por sadfud, Octubre 07, 2016, 05:39:04 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Octubre 07, 2016, 05:39:04 PM
Buenas underc0deanos;



*Esta entrada es la parte final de un proceso de investigación. En ningún momento de la misma se ha visto comprometida la información de ningún equipo.*

En esta entrada presentare un trabajo de investigación; el objetivo es comprobar la vulnerabilidad de los usuarios a una posible infección, en este caso usando como vector de ataque el hackeo a linkedin.

Para ello cree un pequeño programa en vb.net  simulando ser una herramienta para comprobar si la cuenta del usuario había sido publicada a través de su dirección de e-mail.

El programa en cuestion es el siguiente:





El programa es pura fachada evidentemente y no comprueba absolutamente nada.

Primera parte de la operación link azul:

Elegí 2000 email aleatorios de la base de datos de linkedin (seleccioné 1000 de España, para formar una estadística a parte)

El vector de infección para la propagación del programa fue un e-mail con dirección falsa y un archivo adjunto.



Como veis, nada sofisticado, sin invertir casi nada en la parte de ingeniería social.

Funcionamiento del archivo cebo:

El archivo simplemente crea un pequeño script en vbs para visitar una web sin abrir el navegador.

Código: vb
Set IE = CreateObject("InternetExplorer.Application")
IE.Visible = False
IE.Navigate "URL"


*Los créditos del script van en este caso para Adwind. Allí donde estés, un saludo  ;)

Cuando el usuario "comprueba su email" el programa simplemente ejecuta el archivo y lo borra.

Resultados:

Los resultados realmente me sorprendieron, empezaremos primero por los de España:

De 1000 emails enviados la web donde se recopilaban las ips y se pintaba el mapa, registro ni mas ni menos que 435



Esto nos deja el escalofriante dato de que un 43,5% de los usuarios ejecutaron y "comprobaron" su email.

En total el numero de usuarios afectados del total de 2000 fueron 1231 un 61,55%.

En el top 5 de paises se encuentran



En total hubo usuarios afectados en 62 paises

Como se puede observar en el mapa, los países mas afectados en su mayoría han sido de habla hispana, quizás si el mensaje hubiera estado escrito en ingles la cosa habría cambiado.

Conclusiones:

Al recopilar resultados me quede realmente sorprendido, no esperaba tener un ratio de infección de mas del 10-20%, pero la realidad a triplicado mis expectativas. Ante esto creo que hay mucho que reflexionar, que hubiera pasado si en vez de un script para realizar una conexión, el archivo fueses un ransomware, o un spyware, o cualquier tipo de malware? Realmente es la gente tan vulnerable? Eso parece... Por cuanto tiempo serán las personas el eslabón mas débil de la cadena? Me temo que siempre sera así. Afortunadamente desde organismos como INCIBE (No tienes permitido ver los links. Registrarse o Entrar a mi cuenta) se lleva a cabo una ardua tarea de conciencian sobre el uso responsable de la tecnología; y bajo mi punto de vista este es el camino que mas hay que trabajar en la lucha contra el cibercrimen, la educación, es la base de todo, y en la tecnología no iba a ser menos.

Por ultimo quiero lanzar también una critica a todas las compañías de antivirus, estoy convencido que muchas habrán recibido la muestra, en la web que recopilaba las visitas se indicaba que todo era una investigación y que si algún investigador de seguridad, ya fuera de alguna empresa o independiente , llegaba ahí, que contactase. Nadie lo hizo. Ademas, la campaña fue lanzada a principios de Julio, han tenido dos meses para mover ficha, meter el dominio en lista negra... algo.. y este ha sido el resultado:


Eso es todo.

Un saludo.
Mi blog: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si necesitas ayuda, no dudes en mandar MP
Octubre 07, 2016, 08:36:13 PM #1
oww, muy interesante tu investigacion :) aunque hubiera sido divertido ir un poco mas al fondo, como dijiste, infectar y eso a ver que magnitud podia alcanzar el ataque, y poder tener mas estadisticas a evaluar! gracias
Octubre 08, 2016, 08:39:27 PM #2

La investigación verifica que la ingeniería social sigue siendo el vector de ataque por excelencia. Más allá de la difusión de toda la problemática de seguridad, parecería que pasa de todo y así está la cancha.

Pero creo que más grave es, que parecería que las empresas de antivirus no se enteraron o que ningún  experto contactó o tiró de la manta a ver qué había sucedido.

Aunque la había leído en tu blog, me alegra que compartieras tu trabajo en la Comunidad, @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos

Gabriela
Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.
Octubre 09, 2016, 06:58:59 PM #3
SadFud muy ingenioso de tu parte,y como mencionaron arriba la ingenieria social todavia sigue dando resultados buenos jaja. Saludos amigo
Imprimir
Ir Arriba Páginas1
Acciones del Usuario