HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software...
-
Upload
nguyenngoc -
Category
Documents
-
view
220 -
download
2
Transcript of HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software...
![Page 1: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/1.jpg)
HISTORIA DE UNA
EXTORSIÓN
César Lorenzana González / Javier Rodríguez
Guardia Civil
Grupo Delitos Telemáticos (U.C.O.) NcN2012
![Page 2: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/2.jpg)
![Page 3: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/3.jpg)
![Page 4: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/4.jpg)
DROGAS
DELINCUENCIA
ORGANIZADA
DELINCUENCIA
ECONÓMICA
GRUPO DELITOS
TELEMÁTICOS
GRUPO
APOYO
U,s TERRRITORIALES
U.O.P.J. (EDITE,s)
JEFATURA DE
POLICÍA JUDICIAL
JEFATURA DE
POLICÍA JUDICIAL
LABORATORIO
CRIMINALÍSTICA UNIDAD CENTRAL
OPERATIVA
SECCIÓN
DELINCUENCIA
ESPECIALIZADA
LA GUARDIA y LOS DELITOS TECNOLÓGICOS.
UNIDAD
TÉCNICA
SERVICIO DE
INFORMACIÓN
GRUPO DE
CIBERTERRORISMO
DEPARTAMENTO
DE ELECTRÓNICA
E INFORMÁTICA
JEFATURA DE
INFORMACIÓN
![Page 5: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/5.jpg)
GRUPO DELITOS
TELEMÁTICOS
AREA INVESTIGACIÓN
EQUIPO 1
EQUIPO 2
EQUIPO 3
AREA TÉCNICA
I + D + I
SOPORTE
PLANA MAYOR
![Page 6: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/6.jpg)
CONVENIO DE CIBERDELINCUENCIA
Budapest, 23 de noviembre de 2001
Aquellos cuyo objeto o instrumento del delito son
los datos o sistemas informáticos.
DELITO INFORMÁTICO
![Page 7: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/7.jpg)
“'Todo el arte de la guerra se basa en el engaño”
![Page 8: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/8.jpg)
![Page 9: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/9.jpg)
![Page 10: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/10.jpg)
• Aplicaciones
• Servicios
• Conectividad
Desarrollo de software.
• España
• Europa
• América Latina
Tamaño mediano.
• Gran facturación
• Por el nicho de mercado que ocupa (Comunicaciones).
Clientes importantes y Reconocidos
• Dos CPDs.
• Unas 300 estaciones de trabajo.
• VPNs, varios sites web, bases de datos, etc. Infraestructura.
![Page 11: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/11.jpg)
Todo iba muy bien …
……….Hasta que un buen día
![Page 12: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/12.jpg)
El Departamento Comercial recibe un email, del que parece ser un cliente, que
además adjunta un fichero, supuestamente con varias dudas
comerciales.
![Page 13: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/13.jpg)
¿Y que se hace con un fichero adjunto vía email, desde una dirección que no
conocemos, con un adjunto con extensión pdf.exe con un icono muy raro?
![Page 14: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/14.jpg)
Obviamente……
¡¡¡EJECUTARLO !!!
….Es que el AV me dice que está
“limpio”….
![Page 15: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/15.jpg)
¡¡¡¡¡¡¡ FAIL !!!!!!!
![Page 16: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/16.jpg)
Una nueva historia de un APT...
![Page 17: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/17.jpg)
Extorsión
![Page 18: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/18.jpg)
GDT al rescate……!!!
Están desesperados Están desesperados
No saben que hacer No saben que hacer
Están muy desesperados Están muy desesperados
Realmente, no tienen ni idea de que ha pasado Realmente, no tienen ni idea de que ha pasado
![Page 19: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/19.jpg)
Por curiosidad, se hecha un vistazo a sus sites web.
• 5 SQL-i en 5 sites distintos.
• 2 XSS (uno persistente) en su web principal.
• User/pass SSH…(hasta aquí podemos leer..).
Con esto nos hacemos una idea de que nos vamos a encontrar.
![Page 20: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/20.jpg)
Una vez desplazado el GDT a la Sede Central de la Empresa…
• El CEO ha recibido más emails, el atacante ha tenido acceso a su correo personal.
• El CEO y otros directos, sospechan que sus equipos personales han sido vulnerados.
Una vez desplazado el GDT a la Sede Central de la Empresa…
• El CEO ha recibido más emails, el atacante ha tenido acceso a su correo personal.
• El CEO y otros directos, sospechan que sus equipos personales han sido vulnerados.
Están pasando por el momento psicosis.
Están pasando por el momento psicosis.
![Page 21: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/21.jpg)
La estimación de pérdidas, era millonaria.
Se trataba de un proyecto de I+D muy importante.
Al CEO se le comunica que, una empresa de la competencia, ha recibido un email desde SU dirección
corporativa, que contiene información comercial confidencial.
![Page 22: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/22.jpg)
Se recibe un nuevo email, a la cuenta del CEO
• Atancante pide dinero.
• Atacante amenaza con destruir la infraestructura informática de la empresa.
• Atacante amenaza con publicar información confidencial de la empresa.
Se recibe un nuevo email, a la cuenta del CEO
• Atancante pide dinero.
• Atacante amenaza con destruir la infraestructura informática de la empresa.
• Atacante amenaza con publicar información confidencial de la empresa.
El CEO y el consejo de la empresa, al borde del
colapso mental.
El CEO y el consejo de la empresa, al borde del
colapso mental.
![Page 23: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/23.jpg)
Conclusiones
Acceso total a la infraestructura de la empresa. Acceso total a la infraestructura de la empresa.
Control de mails corporativos. Control de mails corporativos.
Control de Servidores con información crítica. Control de Servidores con información crítica.
La empresa ya no era del CEO, era del intruso. La empresa ya no era del CEO, era del intruso.
Y respecto a la seguridad.. Y respecto a la seguridad..
![Page 24: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/24.jpg)
Conclusiones
Carencia de personal formado en seguridad. Carencia de personal formado en seguridad.
Carencia de plan de respuesta ante incidencias informáticas.
Carencia de plan de respuesta ante incidencias informáticas.
Nula concienciación sobre seguridad informática Nula concienciación sobre seguridad informática
Por tanto:
• Ausencia de medidas activas de seguridad.
• Ni integridad, ni confidencialidad, ni disponibilidad.
Por tanto:
• Ausencia de medidas activas de seguridad.
• Ni integridad, ni confidencialidad, ni disponibilidad.
![Page 25: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/25.jpg)
Eso sí, ……..cumplían la UNE-ISO/IEC 27001
¿?¿?
![Page 26: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/26.jpg)
Primeras gestiones
Se les recomienda un bastionado básico de sus sistemas.
Se proponen medidas para mitigar, en lo posible, nuevos
accesos no autorizados.
Contratar experto en seguridad informática,……..que en España
hay muchos y muy buenos.
![Page 27: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/27.jpg)
• Denuncia (amenazas, injurias, estafas, …)
• Oficio (pornografía infantil, apologías racismo y xenofobia, …)
• Problemática:
• Desistimiento por imagen corporativa o desconfianza judicial.
• Cuantificación daños (auditorías externas)
CONOCIMIENTO DEL DELITO
VERIFICACIÓN DE LOS HECHOS (denuncia falsa)
• Problemática:
• Contenidos dinámicos (web, foros, blogs, …)
• Copias impresas de correos electrónicos
COPIA DE CONTENIDOS
![Page 28: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/28.jpg)
Lo han formateado todo Aún así, se realiza algún volcado. Aún así, se realiza algún volcado.
Logs Entrega logs servidores. Entrega logs servidores.
Binario Entrega mail y binario. Entrega mail y binario.
Emails Entrega emails extorsión. Entrega emails extorsión.
Petición de evidencias
![Page 29: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/29.jpg)
• Análisis de evidencias
• Búsqueda de información y referencias identificativas
• Resolución de “datos de tráfico”
INVESTIGACIÓN TECNOLÓGICA
• Identificación y localización
• Vigilancias
• Interceptación de telecomunicaciones
• Análisis Documental
Ó
Á
![Page 30: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/30.jpg)
![Page 31: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/31.jpg)
Bypass AVs Bypass AVs
El binario evade la detección de Avs
• Reconocer malware mediante firma conocida.
• Binario debe ser conocido por AV.
ScanTime:
• Reconocer malware mediante heurística.
• AVs realizan hooking de APIs conocidas.
• AVs ejecutan binario en sandbox propia.
RunTime:
![Page 32: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/32.jpg)
Análisis técnico-policial
• Estático = Características del P.E.
• Dinámico = Muestra en “vivo”.
Estático vs Dinámico Estático vs Dinámico
![Page 33: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/33.jpg)
Análisis técnico-policial (ESTÁTICO)
• ¿Cómo está hecho?.
• ¿Qué puede hacer?.
• ¿Cómo lo hace?.
Un primer acercamiento al binario.
• Empaquetado.
• Técnicas antidebug.
• Ofuscación strings.
• Ninja skills.
Principales “problemas”:
![Page 34: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/34.jpg)
Análisis técnico-policial (ESTÁTICO)
• ¿Cómo está hecho?.
• ¿Qué puede hacer?.
• ¿Cómo lo hace?.
Un primer acercamiento al binario.
• Empaquetado.
• Técnicas antidebug.
• Ofuscación strings.
• Ninja skills.
Principales “problemas”:
![Page 35: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/35.jpg)
• 00h = Cabecera. // Mark Zbikowski
• 024h = EntryPoint *
• 00h = Cabecera. // Mark Zbikowski
• 024h = EntryPoint *
Header
• .text.
• .data.
• .bss.
• .text.
• .data.
• .bss.
Sections:
Análisis técnico-policial (ESTÁTICO)
![Page 36: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/36.jpg)
Análisis técnico-policial (ESTÁTICO)
![Page 37: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/37.jpg)
NO packer
NO ofuscación.
Análisis técnico-policial (ESTÁTICO)
![Page 38: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/38.jpg)
No parece estar empaquetado (¿?). No parece estar empaquetado (¿?).
• C:\Archivos de programa\Microsoft Visual Studio\VB98\VB6.OLB
• cmSocket
• cmSocket_CloseSck
• cmSocket_Connect
• cmSocket_ConnectionRequest
• cmSocket_SendProgress
• RemotePort
• RemoteHost
• RemoteHostIP
• URLDownloadToFileA
• GetCurrentProcess
Strings de posible interés: Strings de posible interés:
Análisis técnico-policial (ESTÁTICO)
![Page 39: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/39.jpg)
Header // Sections
![Page 40: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/40.jpg)
Header // Sections
![Page 41: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/41.jpg)
Dependencias
![Page 42: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/42.jpg)
Al estar realizado en VB, es posible su descompilado.
• Se trata de un RAT.
• Simula ser un software de gestión de conexiones a una BD.
• El engaño al AV es realmente burdo, pero efectivo.
El estudio del código no es relevante para la investigación, pero sí aporta nuevos datos.
Descompilado
![Page 43: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/43.jpg)
Análisis técnico-policial (DINÁMICO)
• Laboratorio de VMs.
• Laboratorio equipos “físicos”.
Entorno controlado para pruebas.
• Análisis automático vs manual.
• Detección VMs.
• Detección software forense.
• Ninja skills.
Principales “problemas”.
![Page 44: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/44.jpg)
Ollydbg
![Page 45: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/45.jpg)
Análisis técnico-policial (DINÁMICO)
En definitiva, infección tradicional.
Crea un fichero tmp.
Modifica estado de Firewall.
Modifica Registro
Key \\Registry\\USER\.... Key \\Registry\\USER\.... Key \\REGISTRY\\MACHINE\\... Key \\REGISTRY\\MACHINE\\...
Crea un mutex.
Crea un proceso nuevo, llamado winx.exe
![Page 46: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/46.jpg)
Realiza una query DNS a un dominio en concreto. (no-ip.org). Realiza una query DNS a un dominio en concreto. (no-ip.org).
• Envía datos fichero en tmp.
• Establece conexión tcp -> Puerto 81.
Si hay respuesta Si hay respuesta
• No actividad de red.
Si no hay respuesta Si no hay respuesta
Análisis técnico-policial (DINÁMICO-CONEXIONES)
![Page 47: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/47.jpg)
![Page 48: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/48.jpg)
Teorías: Atacante accede a
binario. Atacante accede a
binario. Atacante “husmea” a
su objetivo. Atacante “husmea” a
su objetivo. OWNEADO EL
GDT????? OWNEADO EL
GDT????? SALIÓ
CORRIENDO ??? SALIÓ
CORRIENDO ???
Típico comportamiento RAT
Varias IPs realizan NUEVAS conexiones, para acceso al equipo que analizaba la muestra.
EL SUCESO
![Page 49: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/49.jpg)
WTF????
![Page 50: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/50.jpg)
EVIDENCIAS
IPs cabeceras correos electrónicos. IPs cabeceras correos electrónicos.
IPs conexión binario
• Entrantes.
• Salientes.
IPs conexión binario
• Entrantes.
• Salientes.
Logs de servidores. Logs de servidores.
Las primeras teorías sobre el “atacante”.. Las primeras teorías sobre el “atacante”..
![Page 51: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/51.jpg)
Un breve tiempo después..
Se refuerzan las teorías sobre el posible atacante.
La empresa nos avisa.
URL apuntando a un binario.
Simula ser spam.
Se recibe un email en la empresa, de un ex trabajador.
![Page 52: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/52.jpg)
Estudio de la URL Estudio de la URL
URL a servidor fuera de España.
Servidor en blacklist, por posible distribución de malware.
El binario ya no se encontraba cuando accedimos al server.
Posible servidor vulnerado.
Nueva evidencia: URL
![Page 53: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/53.jpg)
Resolución de IPs Resolución de IPs
• Casualidad????……….
• ex trabajador vive en esa zona.
Las distintas IPs apuntan a una zona concreta de España.
• Gestiones operativas.
• Consulta bases de datos policiales.
• Elaboración de un plan de actuación.
La importancia de la investigación policial clásica.
![Page 54: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/54.jpg)
WiFi
![Page 55: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/55.jpg)
Escenario
¿Qué hay en la zona?.
• Wifis “inseguras”.
• Dispositivos conectados.
¿Qué hay en la zona?.
• Wifis “inseguras”.
• Dispositivos conectados.
Tareas operativas.
• Domicilios.
• ¿Coincide el perfil del atacante con los perfiles de los titulares ADSL?.
![Page 56: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/56.jpg)
Paquetes Críticos IEEE 802.11
• Sincronización AP Beacons
• Cliente busca APs conocidos. Probe Request
• Respuesta AP a Probe Request. Probe Response
• Cliente anuncia conexión a AP. Association Request
• SI/NO AP a cliente Aso. Request. Association Respons
• AP “desconecta” clientes Disassociation
• Autenticación Cliente - APs Authentication
• AP elimina conexión cliente. Deauthentication
![Page 57: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/57.jpg)
Three Way Handsake
![Page 58: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/58.jpg)
• Definido en los RFC.
• ¿Cuántos clientes peticionan dos o más redes?.
• ¿Cuántos clientes peticionan dos o más redes de la zona?
Estudio de los Probe Request de los clientes. Estudio de los Probe Request de los clientes.
Entonces..¿como lo analizamos?
![Page 59: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/59.jpg)
Estudio de las Asociaciones de clientes – AP.
• ¿Qué clientes están conectados a un AP?.
Comparamos:
• Partimos de la base de un AP por domicilio.
• ¿MAC del cliente conocido por titular ADSL?.
Análisis IEEE 802.11
![Page 60: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/60.jpg)
Resultados
Varias MAC se conectan a los APs identificados en mandamientos judiciales. Varias MAC se conectan a los APs identificados en mandamientos judiciales.
Estas MACs, no son de dispositivos conocidos por los titulares ADSL. Estas MACs, no son de dispositivos conocidos por los titulares ADSL.
Una de MACs está vinculada a todos los AP´s investigados……………………………..y a otro más Una de MACs está vinculada a todos los AP´s investigados……………………………..y a otro más
……………DOMICILIO EX-TRABAJADOR ……………DOMICILIO EX-TRABAJADOR
![Page 61: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/61.jpg)
Joer que buenos somos !!
![Page 62: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/62.jpg)
![Page 63: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/63.jpg)
Intervención de dispositivos
informáticos.
Obtención de indicios que
vinculen equipo y usuario
![Page 64: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/64.jpg)
CLONADO
EQUIPOS
DISPOSITIVOS
PRECINTO
INTEGRIDAD
![Page 65: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/65.jpg)
• Dispositivos Hardware (logicube, Image master, …)
• Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, …)
¿CÓMO?
• Juzgado
• Sede policial
• Domicilio del sospechoso
¿DÓNDE?
• Durante el registro
• A la finalización del registro
• En los días siguientes
¿CUÁNDO?
![Page 66: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/66.jpg)
METODOLOGÍA EXPERIENCIA ANALISIS
DATO INFORMÁTICO
HECHO DELICTIVO
USUARIO
RELACIÓN DIRECTA
DEDUCCIÓN
Proceso documentado de localización, identificación
e interpretación de todos los datos y archivos
informáticos que se relacionan con un hecho
concreto investigado y con la autoría de un usuario.
![Page 67: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/67.jpg)
¿Que nos encontramos?
Dos VMWARE ESXi, con 15 máquinas virtuales.
Un servidor FreeBSD (Apache).
Tres equipos portátiles (Windows // Linux).
Cuatro teléfonos móviles.
Documentación sobre desarrollo malware.
•El que más nos gustó, desarrollo bootkits.
![Page 68: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/68.jpg)
La Oficina
![Page 69: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/69.jpg)
Las Herramientas
![Page 70: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/70.jpg)
Aparece en un HD externo información confidencial de
la empresa.
Aparecen copias de los mails enviados al CEO.
Dos de sus equipos portátiles coinciden con las MAC del
estudio 802.11.
La Primera en al FRENTE…
![Page 71: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/71.jpg)
…..que buenos somos !!
¡¡¡¡Otra Vez!!!!
![Page 72: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/72.jpg)
DATO INFORMÁTICO
HECHO DELICTIVO RELACIÓN DIRECTA
Datos en el PC
• En un documento, aparecen referencias a la URL que, simulando ser spam y apuntado a un binario, envió a la empresa.
• No aparece ningún binario.
• Pero sí archivos con los pass de las wifis de sus vecinos.
![Page 73: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/73.jpg)
DATO INFORMÁTICO
USUARIODEDUCCIÓN
Manifestación Detenido
• El ex trabajador reconoce los hechos.
• El binario lo borró, nunca apareció.
• ¿Su motivación?.
• Diferencias con el CEO.
• Dinero.
![Page 74: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/74.jpg)
…..esta vez hemos ganado !!
Si es cierto….
![Page 75: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/75.jpg)
ANÁLISIS ON-LINE
INFORME TÉCNICO POLICIAL
ANÁLISIS FORENSE
ESFUERZO
EFICACIA
![Page 76: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/76.jpg)
Equipos informáticos intervenidos
Backups o copias de ficheros de información
Dispositivos de almacenamiento
Documentación intervenida
![Page 77: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/77.jpg)
Descripción evidencias
electrónicas
Traducción del lenguaje técnico
![Page 78: HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, ...](https://reader030.fdocumento.com/reader030/viewer/2022021512/5afc54e47f8b9a8b4d8bff72/html5/thumbnails/78.jpg)
PREGUNTAS……