Your SlideShare is downloading. ×
Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]

425
views

Published on

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
425
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
13
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. César Lorenzana Javier Rodríguez Grupo Delitos Telemá<cos (U.C.O.) RootedCON V Madrid, Marzo 2014
  • 2. 2 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March •  ¿Qué es el GDT? -­‐ ¿Qué hacemos? INTRODUCCIÓN • Obje<vo • Incidente • Resultados Descripción del ataque •  TTECNOLÓGICA vs TRADICIONAL INVESTIGACIÓN CONCLUSIONES
  • 3. 3 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 4. 4 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March S ÁTICOS Fraude Electrónico Malware Intrusiones Robo IdenLdad
  • 5. 5 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 6. 6 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 7. 7 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March •  ParLculares •  Empresas • Gobiernos GesLón Telecomunicaciones •  España •  Europa •  América Presencia Internacional •  Delegaciones -­‐ Franquicias. •  Unas 30.000 estaciones de trabajo. •  VPNs, varios sites web, bases de datos, etc. Infraestructura
  • 8. 8 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Todo iba muy bien … ……….Hasta que un buen día
  • 9. 9 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March El Departamento de Altas recibe un correo de una delegación sobre datos de nuevos clientes
  • 10. 10 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March ¿Y que se hace con un fichero adjunto vía email, desde una dirección que no conocemos, con un adjunto con extensión pdf.exe con un icono muy raro?
  • 11. 11 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Obviamente…… ¡¡EJECUTARLO!! ….Es que el AV me dice que está “limpio”….
  • 12. 12 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March ¡¡¡¡¡¡¡ FAIL !!!!!!!
  • 13. 13 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 14. 14 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 15. 15 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March RESULTADOS ATAQUE
  • 16. 16 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 17. 17 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 18. 18 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 19. 19 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 20. 20 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Análisis posible impacto en el ISP • Daños sufridos?? • Alta Líneas fraudulentas?? • Modificación Facturación?? WTF???....... Tenemos un APT!!!
  • 21. 21 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March GDT…… al rescate !!!
  • 22. 22 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Obtención de evidencias
  • 23. 23 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Adquisición memoria RAM. •  Equipo encendido/apagado. Clonado discos duros. •  Clonadora. •  DD (Duplicate Disk). Clonado medios externos. •  DD (Duplicate Disk). Obtención de pcap en “vivo”. •  Swich -­‐> Port Mirroring. Obtención de evidencias
  • 24. 24 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Análisis Memoria RAM
  • 25. 25 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Se busca: Procesos ocultos. Match de firmas. Etc Herramientas usadas: Volaglity. Yara Rules. Malfind Volcado RAM máquinas Windows XP/7. Análisis Memoria RAM (II)
  • 26. 26 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Descubrimiento en varias máquinas de proceso denominado “update”.   Asociado a binario update.exe. –  Volcado binario. Path: Archivos de Programa/update.exe   Match yara rules.   Resultando ser un malware comercial, identificado como Cibergate.   ;-) Resultados Análisis RAM
  • 27. 27 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March We feel like them !
  • 28. 28 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Análisis PCAP
  • 29. 29 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Se busca: Conexiones entrantes/salientes. Match de firmas SNORT. Herramientas. Xplico/Networkminer Snort Se analizan los pcaps obtenidos de los equipos. Análisis PCAP
  • 30. 30 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Conexiones a múltiples dominios e Ips. IPs y dominios de. –  Francia. –  USA. –  UK. –  Ucrania. –  Ninguno de España.   Puerto 81/tcp. Conexiones E/S PCAP
  • 31. 31 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Análisis Disposi<vos Externos
  • 32. 32 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   En general, memorias USB. –  No os podéis imaginar la de cosas que se conectan en un ordenador. –  Extracción de IDs dispositivos conectados a los equipos. •  setupapi.log •  HKEY_LOCAL_MACHINESYSTEMCurrentControlSet EnumUSBSTOR   Recuperación borrados. •  Encase •  Foremost.   Conclusión: –  No se encuentra nada concluyente. –  Se descarta el vector vía USB. Análisis Disposi<vos Externos
  • 33. 33 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Eso sí…   No os podéis imaginar lo que conecta la gente al ordenador !!
  • 34. 34 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Objetivos: –  Extraer muestras en HDs para su análisis. •  Análisis estático. •  Análisis dinámico. –  Detectar vector de infección.   Herramientas: –  Virtualizador. –  Sysinternals Tools. –  GDT tools. –  OllyDBG. –  Otras. Análisis HD´s
  • 35. 35 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Se extrae el binario. –  Archivos de Programa/update.exe –  P.E Windows. –  200 kb. –  Sin packer. Crypter. –  Basado en Open Source Crypter.   Análisis VT –  Match en 4/48 AVs. (Troyan Generic). –  “Casi” FUD. Análisis HD´s
  • 36. 36 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Crypter
  • 37. 37 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Herramienta del tipo RAT. –  Remote Administration Tool.   Reverse connection.   Inyección en procesos del SO. Upload/Donwload ficheros. Keylogger.   Acceso a webcam. Password recovery tools. –  Navegadores. Caracterís<cas Malware
  • 38. 38 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Es capaz de evitar su ejecución en entornos virtualizados. –  Técnicas anti-detección VM.   Es capaz de detectar debuggers. –  IsDebuggerPresent. •  Técnica para parchear función: –  Mov EAX.0 –  Retn Delay en su ejecución. Protecciones Malware
  • 39. 39 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Se encuentran varios emails de clientes que adjuntan PDFs.   Los equipos usan versiones vulnerables de Adobe Reader.   El pdf es ejecutado, se abre el PDF y además, ejecuta el binario incrustado.   CVE-2010-0188 (Adobe)   Los atacantes conocen la operativa interna de la empresa. Vectores de Infección
  • 40. 40 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March OSINT
  • 41. 41 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Herramientas: –  Maltego.   Objetivos: –  Buscar información los dominios e IPs extraídas durante el análisis. –  Dibujar mapa de Ips/Dominios. –  Buscar relaciones entre ellos. OSINT (II)
  • 42. 42 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Se encuentran referencias: –  Sitios paste: •  Varias Ips pertencen a servers RPD vulnerados. –  Otros: •  Servidores de terceros vulnerados. •  Diversos nicks (foros) relacionados con esas Ips. –  Blacklist •  Varios dominios en listas negras de spam. OSINT (III)
  • 43. 43 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Conclusiones   Malware del tipo RAT, sin mucha sofisticación, que permite total acceso a los equipos infectados.   Vector de infección clásico: mediante la explotación de vulns en Adobe PDF. –  PDF = Penetration Document Format ;-)   Conexiones a múltiples Ips/Dominios. –  Usando estructuras ya vulneradas, al objeto de dificultar su detección.   Sigue sorprendiendo la “facilidad” para evadir Avs.
  • 44. 44 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Y recordad…   Cuidado con lo que abrimos !!
  • 45. 45 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Francia USA UK Ucrania LÍNEAS DE INVESTIGACIÓN
  • 46. 46 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 47. 47 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March CONEXIONES PROCEDENTES DE LOCUTORIOS EN ESPAÑA • Pfffff……. ¿y ahora que?
  • 48. 48 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Posible amenaza a Infraestructura Crígca • Ataque Dirigido??? • Espionaje??? Demos una oportunidad a la invesggación tradicional
  • 49. 49 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 50. 50 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Como monegzar el control de una TELCO?? • Anulación Facturas? • Cambio Tarifas? • Altas Fraudulentas? Adquisición de terminales “subvencionados”
  • 51. 51 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Primeros pasos Cuantas Líneas se dieron de alta por ese “socio” Terminales subvencionados por ese “socio” Listados de Llamadas
  • 52. 52 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March • Tráfico Llamadas • Códigos IMEI vinculados a las SIM fraudulentas • Lugares de envío de tarjetas SIM “preacLvas” • Datos “clientes” y transacciones bancarias ANÁLISIS DE LOS DATOS LOCALIZACIÓN LUGARES ENTREGA • Determinar: • Quién gana? • Cuánto gana? TITULARES LINEAS 80X-­‐90X
  • 53. 53 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 54. 54 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March LOCUTORIOS VENTA SIM Y TERMINALES RECEPTOR DINERO FRAUDE
  • 55. 55 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Conclusiones Mismos Locutorios vinculados aL RAT Lugar de Venta de las SIM Titulares&Ingresos Líneas 80X-­‐90X ……………oh oh!
  • 56. 56 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 57. 57 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March ASÍN DE FACIL……
  • 58. 58 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 59. 59 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 60. 60 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March …..otra vez hemos ganado !!
  • 61. 61 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March RESPONSABLE INCIDENTE INVESTIGACIÓN TECNOLÓGICA
  • 62. PREGUNTAS??
  • 63. gdt@no<ficaciones.guardiacivil.es www.gdt.guardiacivil.es Grupo de Delitos Telema<cos @GDTGuardiaCivil GrupoDelitosTelema<cos