Siguiendo la pista a un pederasta en la red

Diario de un pederasta Pedro Sánchez Http://conexioninversa.blogspot.com

Whoami
He trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5) y diversas metodologías de seguridad. También colaboro sobre seguridad y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guadia Civil y la Brigada de Investigación Tecnológica de la policia nacional. También he participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación nato secret. Actualmente soy miembro de la Spanish Honeynet Project y trabajo como Information Security and Forensics Consultant para dos grandes compañías como Bitdefender y Google inc.

http://conexioninversa.blogspot.com

Ayer recordábamos El malware tiene muchas formas

Y vimos con volatility que se podía obtener el .EXE

Instalación de un laboratorio Los sistemas más conocidos de virtualización: * VMWare * Windows Virtual PC * Microsoft Virtual PC * VirtualBox 1

Instala herramientas de análisis de comportamiento. Para ello necesitaremos utilidades que nos muestren/monitoricen: El sistema de ficheros y el registro (Windows): Process Monitor , Capture BAT o alguna otra herramienta que nos muestre que ficheros o partes del registro toca el malware. Los procesos: Process Explorer, Process Hacker , etc. Aquí necesitamos ver como se mueve el proceso en memoria, que proceso/s crea, etc. La red: WireShark, SmartSniff, etc. Esnifar la red por supuesto para controlar que tipo de peticiones hace, protocolo y destino de las mismas. Cambios en el sistema: RegShot . También es deseable hacer una copia del sistema y después de soltar al bicho, comparar el estado de antes y después para ver las diferencias. 2

herramientas de análisis de código Ahora viene lo más divertido, ver que demonios hace el software, como funciona, como piensa y que decisiones toma en base a que factores. Desensambladores / depuradores: OllyDbg, IDA Pro, Immunity Debugger , etc. . Volcadores de memoria: LordPE, OllyDump , etc. 3

herramientas de análisis online Hacer uso de herramientas disponibles en la red también te puede arrojar mucha luz a tu análisis. * Anubis * CWSandbox * Joebox * Norman Sandbox * ThreatExpert 4

CaptureBAT.EXE Suelo emplear:

Suelo emplear:

Pero...si quieres algo de verdad

En resumen el troyano hace:
Crea una carpeta temporal con un nombre aleatorio en la máquina infectada
Se conecta a las URLs y se descarga un fichero llamado bru.exe que inhabilita una lista de antivirus conocidos
Su actividad es la siguiente:
Su resolución de nombres es: ns1.4chan.org, ns2.mydyndns.org, ns3.mydyndns.org,
Se conecta por HTTP: 204.152.204.166/AF33FROKLIM550101
Se descarga el fichero hot.rar en la carpeta aleatoria y lo descomprime (contiene alto nivel sexual con menores)
En los ficheros analizados hace referencia a cierto blogs con contenido de menores y pornografía infantil

[email_address]

[email_address]
En tarragona reciben una denuncia de unos padres cuya menor ha tenido relaciones sexuales con un adulto. Disponen de más denuncias sobre acoso desde esta dirección de correo.
Se solicitan los datos previa petición judicial a Hotmail
El análisis de las cabeceras de correo indican en muchos de ellos que proviene de un cibercafé.

LA TRAMPA

LA TRAMPA
PLAN A:
Se intenta tomar el router para su monitorización
PLAN B:
Se sustituye la wifi por otra de las mismas características (con un sniffer)

A partir de aquí...
Se pasa al plan B
Se utilizo NetWinnes y Whireshark filtrando las ip's sospechosas
Se obtuvo evidencias de envío de correos con contenido sexual explicito,acoso y acceso a blogs con pornografía infantil

GRACIAS...
Más en:
Http://conexioninversa.blogspot.com
Http://www.malwarecity.com
http://twitter.com/#!/ConexionInversa
[email_address]

Siguiendo la pista a un pederasta en la red

by Eventos Creativos on Jul 12, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

Statistics

Siguiendo la pista a un pederasta en la red — Presentation Transcript