César Lorenzana
Javier Rodríguez
Grupo Delitos Telemáticos (U.C.O.)
NnCON 2013
Albacete, Octubre 2013
• ¿Qué es el GDT? - ¿Qué hacemos?
INTRODUCCIÓN
• Canales, Actores, y Procedimiento
EVOLUCIÓN COMUNICACIONES
• Canales, Actores, y Procedimiento
SITUACIÓN ACTUAL
FUTURO???
INDICE
Guardia Civil vs. Cibercrimen
UNIDAD TÉCNICA DE PJ
SECCIÓN TECNOLÓGICOS
EDITE´s
SERVICIO CRIMINALÍSTICA
DEPARTAMENTO INGENIERIA
UNIDAD CENTRAL
OPERATIVA
TRÁFICO DROGAS
DELINCUENCIA EONÓMICA
PERSONAS
DELITOS TELEMÁTICOS
Jefatura de Policía Judicial
Fraude Electrónico
Malware
Intrusiones
Robo Identidad
Correo Postal
Telégrafo
Teléfono
Móviles
Internet
Smartphones
ADSL
SEGURIDAD
Y LA LEY??????????
QUE OPINA SOBRE ESTO?
OBTENCION DATOS VOLATILES
REGISTRO REMOTO
BUEN-WARE
Herramienta de Intervención
Remota
SONDA
• Binario / Ejecutable
• Alojado en Equipo a Monitorizar
SERVIDOR
• C&C de toda la vida
Protecciones
Análisis estático.
Análisis dinámico.
Tráfico cifrado
Anti-VM Anti-Sandbox Bypass AV
• Comerciales vs Privados.
• En general, introducen una nueva sección en el binario, cifran y mueven el EP.
• Otros cifran todo el binario.
• Técnicas anti-dump (evitar volcado proceso a disco)
Uso de packers.
• XOR (?).
• Strings ofuscadas.
• Algo “más” que msfencode.
Uso de ofuscación
• Técnica de reconstrucción Poliformísmo / Metaformismo
• Comerciales vs Privados.
• runPE (dynamic forking)
• Método muy popular para evadir AVs.
Uso de crypters.
• Tools propias del software virtualizador.
Detección de VMs.
• Rellenar con código inservible.
• Generar “ruido” Padding.
• Cálculo de lo que tardan en ejecutarse las instrucciones.
• “Anti-Reversing a ojo de buen cubero”
• GetProcessTimes
Tiempo y latencia
• Puntos de interrupción en memoria.
• Puntos de interrupción en hardware.
Uso de métodos anti-
debug
• Búsqueda por nombre-ventana.
• Búsqueda por patrón de bytes.
• Búsqueda por ejecúción proceso. • Búsqueda de soft instalado.
• Olly, IDA, Otras (gdb, etc).
Detección herramientas
• Debugger reemplaza byte por CC y lanza int3
• Si se ejecuta, salta a excepción controlada por el depurador
• Busca en lista de breakpoints y busca el breakpoint
• Reemplaza el byte mencionado
• Obtenemos la “parada de la ejecución”
• IsDebuggerPresent
• CheckRemoteDebuggerPresent APIs
• NtQueryInformationProcess
• NtGlobalFlag Procesos
• SEH (Structured Excepcion Handler)
• VEH (Vectored Excepcion Handler)
• *IMPORTANTE
Control de excepciones
int main()
{
.
.
CheckRemoteDebuggerPresent( GetCurrentProcess(), &bDebugged );
if( bDebugged )
std::cout << "Being debugged!" << std::endl;
else
std::cout << "Not being debugged!" << std::endl;
Sleep( 1000 );
}
return 0;
}
CONCLUSIONES
¡¡¡ATENTOS!!!, ………. por favor
VaporWare Group Solutions S.L.
Sede - Islas Caimán.
Target - Venta de kits de “buenware”
Precio - Ver wikileads
OBJETIVO
En una dictadura
cualquiera…..varios
activistas reciben un
correo electrónico.
Ese correo electrónico,
contiene una foto, con ese
nombre
Todo iba muy bien …
Opción A
• Abrir el fichero
Opción B
• Lo sube a virustotal
Opción C • .....
De repente………. un buen día
Se lo manda a un reverser !
¿A que se dedica un reverser?
Protecciones frente a debuggers
.text:00401683 finit
.text:00401686 fld ds:tbyte_40168E
.text:0040168C jmp short locret_401698
———————————————————————
.text:0040168E tbyte_40168E dt 9.2233720368547758075e18
———————————————————————
.text:00401698 locret_401698:
.text:00401698 retn
Detección de breakpoints
Vía PEB (Process Enviroment Block) -> Detecta dirección DbgBreakPoint
Crea permisos 777.
Escribe un NOP.
mueve a una dirección random
Otras (Deattach debugger)
Evade AV
Que tampoco es tan dificil…
Llama a ZwQuerySystemInformation
Llama get ProcessInformation
Recorre lista de procesos y busca AV.
Todo muy bien pero..
Se ejecutaba en una VM. (¿?)
Guarda la información en disco máquina infectada
Cifra en AES-256 (Bien !!!!!!)
La clave es predecible (Mal !!!!!)
Grosso modo, la hora de infección
Se conecta a varias IPs.
• Entre ellas, al CPD de VaporWare Group Solutions S.L
Haciendo un WhoIs de
esa IP.
• Aparece a nombre de VaporWare Group Solutions S.L
• Contacto Administrativo CEO.
Y por si fuera poco ..
¡¡¡ Mal !!!!
¡¡¡ Peor !!!!
Me suena esta historia …..
ESTO NO SE HACE ASÍ O Si ????
Y vosotros??... ;-)
www.gdt.guardiacivil.es
Grupo de Delitos Telematicos
@GDTGuardiaCivil
GrupoDelitosTelematicos
Top Related