3. Historia y agradecimientos
Anterior estudio y experiencia para empresa privada
Generación de APT real
Legalidad del APT
Lecciones aprendidas y extrapolación
Thanks to:
– Yago Jesús… Tons of thanks!
– Grupo de Delitos Telemáticos de la Guardia Civil
Sector público: soy ciudadano
Hasta el Ministerio y más allá…!!!
4. Disclaimer
Para llevar a cabo esta charla, durante la ejecución
de la investigación, se cometieron varias
irregularidades.
El objetivo de la misma es meramente académico,
sin intención de herir ninguna sensibilidad, ni
ridiculizar a nadie
No hagáis esto en casa!!!
7. Planificando el APT
El objetivo y su perfil
El punto de entrada
Un perfil con historia creible
Correo electrónico
Vida en redes sociales: Facebook, LinkedIN, Twitter?,
Whatsapp?
Web personal con venenos
8. Material inicial
Ordenador
Disco duro cifrado de host -> Filevault/Bitlocker/
LUKS/¿Truecrypt?
Distribución Live de usar y tirar en máquina virtual
Tarjeta de red wireless externa + cambio de
dirección MAC
Random Agent Spoofer
KeePassX
9. Más Material Necesario
Terminal telefónico (IMEI no asociado)
– Smartphone
– Tienda de segunda mano
– Tienda de accesorios para móviles
!
Tarjeta SIM
– Prepago
– DNI
– Ingeniería Social
– else… para SMS
– http://sms-verification.com
– http://receivefreesms.com
10. Recursos necesarios… y anonimización
!
Correo electrónico
!
Cuenta en BitCoins
!
UKASH 2 Bitcoins
!
Canal cifrado, anónimo y sin logs
!
Free website!
11. Máquina de salto
Máquina virtual guest con FS cifrado,… sobre sistema de
ficheros cifrado en el host
Squid configurado en modo anónimo
VPN hacia iPredator:
– Ruta directa hacia iPredator mediante gateway normal
– Default gateway en el extremo del túnel
– Firewall entrante en interfaz tun0
Opcional: ¿Acceso encapsulado mediante TOR?
Navegación local a través de proxy con Random Agent
Spoofer
13. Creamos un perfil LinkedIN
Siempre a través de VPN
Comprobación de dirección IP, antes de cualquier cosa
Navegación en “modo porno”
Tráfico de relleno variado: emule
Nos piden una dirección de correo electrónico
Perfil:
– Nombre: Sugerente, no común,… pero sin pasarse
– Nuestra foto
– Presente y pasado
Veneno: Sitio web personal
14. ¿Hasta dónde quiero llegar?
Preparación de la web maliciosa
– Fecha
– Dirección IP
– Referer
– User agent
– Versiones de:
• Java
• Flash
• Quicktime
!
• Shockwave
• WMP
• Silverlight
• RealPlayer
• IEComponent
• ActiveX
• PDFjs
15. Plugins detector (I)
http://www.pinlady.net/PluginDetect/download
<script type="text/javascript" src="hello.js"></script>
<div style="position:relative;">
<div id="plugindetect" style=“position:absolute; left:0px; top:0px;”></div>
!
<script type="text/javascript">!
var ip = "<?php echo $_SERVER['SERVER_ADDR']; ?>";!
var user_agent = "<?php echo $_SERVER['HTTP_USER_AGENT']; ?>";!
var referrer = "<?php echo $_SERVER['HTTP_REFERER']; ?>";!
!
var today = new Date();!
var dd = today.getDate();!
var mm = today.getMonth()+1; //Enero empieza en 0!
var yyyy = today.getFullYear();!
var hh = today.getHours();!
var min = today.getMinutes();!
var seg = today.getSeconds ();
16. Plugins detector (II)
if (dd<10) { dd=‘0'+ dd } !
if (mm<10) { mm=‘0’+ mm } !
if (hh<10) { hh=‘0'+ hh }!
if (min<10) { min ='0'+ min }!
if (seg<10) { seg ='0'+ seg }!
var datetime = dd + "/"+ mm + "/" + yyyy + " "+ hh + ":" + min + ":" + seg;
var width = screen.width;
var height = screen.height;
var flashversion = PluginDetect.getVersion("Flash");
var Java= PluginDetect.getVersion("Java");
var Quicktime = PluginDetect.getVersion("Quicktime");
var Shockwave = PluginDetect.getVersion("Shockwave");
var WMP = PluginDetect.getVersion("WMP");
var Silverlight = PluginDetect.getVersion("Silverlight");
var RealPlayer = PluginDetect.getVersion("RealPlayer");
var IEcomponent = PluginDetect.getVersion("IEcomponent");
var ActiveX = PluginDetect.getVersion("ActiveX");
var PDFjs = PluginDetect.getVersion("PDF.js");
var keep= datetime+ "|IP: " + ip + "|User-Agent " + user_agent + "|Resolution: " +
width +"x"+ height + "|Referer: " + referrer + "|Java: " + Java + "|Flashversion: "+
flashversion + "|Quicktime: " + Quicktime + "|Shockwave: " + Shockwave + "|WMP: " +
WMP + "|Silverlight: " + Silverlight + "|RealPlayer: " + RealPlayer + "|IEComponent: "
+ IEcomponent + "|ActiveX: " + ActiveX + "|PDFjs: " + PDFjs+"n"
18. stats.txt
29/06/2014 14:42:01|IP: 31.170.162.223|User-Agent Mozilla/5.0
(Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/537.36 (KHTML, like
Gecko) Chrome/35.0.1916.153 Safari/537.36 OPR/22.0.1471.70|
Referer: |Javanull|Flashversion 13,0,0,0|Quicktime 7,7,3,0|
Shockwave 12,1,0,0|WMP null|Silverlight 5,1,30317,0|RealPlayer
null|IEComponent null|ActiveX null|PDFjs null
| como separador de campos
Importable en Excel
19.
20.
21. Estrategia LinkedIN
Horarios de funcionarios
– 8:00 - 15:00 -> Mayor probabilidad de PC corporativo
– 15:00 - XX:XX -> Dispositivo móvil
Dificultad de búsquedas
Visita de perfiles
Target al Ministerio deseado… abriendo el abanico
Generación de confianza: contactos de ambos sexos, contactos de vidas
pasadas (trabajos anteriores, alumnos del colegio, skills y hobbies, etc,…)
Adición a grupos relacionados + Google hacking
Contactos recomendados
Inconveniente añadido: Vacaciones de verano…
22. Anécdotas LinkedIN
Los DMs
– El desconfiado/suspicaz
– El curioso extrovertido
El linkedin addict!
El que pica el anzuelo
Los “endorsements”
Las felicitaciones por mi actividad
Los múltiples “acojonos”
27. • HTML puro
!
• Borrado metadatos en las fotos (sean o no sean
tuyas)
!
• Redacción adecuada al perfil psicológico del
personaje representado
!
• Faltas de ortografía sutiles
Mi blog
34. Lo que “podría” haber hecho: lo fácil
use auxiliary/server/browser_autopwn
35. En base al navegador según user_agent, redirección adecuada
– Windows: Java, Flash, Silverlight,…
– IOS:
– Phishing por time-out
– Poner en title una URL válida,…
– Android:
– use exploit/android/browser/
webview_addjavascriptinterface (CVE-2013-4710)
– USSD -> <iframe> tel: </iframe>
Lo que “podría” haber hecho: personalizado
41. Hasta pronto!! (Tres años y un día)Disclaimers y Conclusiones
Para llevar a cabo esta charla, durante la ejecución
de la investigación, se cometieron varias
irregularidades
El objetivo de la misma es meramente académico (y
para esta conferencia), sin intención de herir ninguna
sensibilidad, ni ridiculizar a nadie
He cedido todo el material y explicaciones con mayor
detalle al Grupo de Delitos Telemáticos de la Guardia
Civil