César Lorenzana
Javier Rodríguez
Grupo Delitos Telemá<cos (U.C.O.)
RootedCON V
Madrid, Marzo 2014
2
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
•  ¿Qué es el GDT? -­‐ ¿Qué hacemos?
INTRODUCCIÓN
• Obje<vo
• Incidente
• Res...
3
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
4
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
S
ÁTICOS
Fraude
Electrónico
Malware
Intrusiones
Robo IdenLdad
5
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
6
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
7
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
•  ParLculares
•  Empresas
• Gobiernos
GesLón
Telecomunicaciones
•  España
• ...
8
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Todo iba muy bien …
……….Hasta que un buen día
9
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
El Departamento de Altas
recibe un correo de una
delegación sobre datos
de nu...
10
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
¿Y que se hace con un fichero adjunto vía
email, desde una dirección que no
c...
11
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Obviamente……
¡¡EJECUTARLO!!
….Es que el AV me
dice que está
“limpio”….
12
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
¡¡¡¡¡¡¡ FAIL !!!!!!!
13
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
14
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
15
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
RESULTADOS ATAQUE
16
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
17
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
18
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
19
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
20
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Análisis posible impacto en el
ISP
• Daños sufridos??
• Alta Líneas fraudule...
21
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
GDT……
al rescate !!!
22
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Obtención de evidencias
23
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Adquisición memoria
RAM.
•  Equipo encendido/apagado.
Clonado discos duros.
...
24
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Análisis Memoria RAM
25
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Se busca:
Procesos ocultos. Match de firmas. Etc
Herramientas usadas:
Volagli...
26
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  Descubrimiento en varias máquinas de proceso
denominado “update”.
  Asocia...
27
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
We feel like them !
28
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Análisis PCAP
29
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Se busca:
Conexiones entrantes/salientes. Match de firmas SNORT.
Herramientas...
30
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  Conexiones a múltiples dominios e Ips.
IPs y dominios de.
–  Francia.
–  U...
31
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Análisis Disposi<vos Externos
32
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  En general, memorias USB.
–  No os podéis imaginar la de cosas que se cone...
33
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Eso sí…
  No os podéis imaginar lo que conecta la gente al
ordenador !!
34
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  Objetivos:
–  Extraer muestras en HDs para su análisis.
•  Análisis estáti...
35
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  Se extrae el binario.
–  Archivos de Programa/update.exe
–  P.E Windows.
–...
36
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Crypter
37
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  Herramienta del tipo RAT.
–  Remote Administration Tool.
  Reverse connect...
38
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  Es capaz de evitar su ejecución en entornos
virtualizados.
–  Técnicas ant...
39
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  Se encuentran varios emails de clientes que
adjuntan PDFs.
  Los equipos u...
40
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
OSINT
41
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  Herramientas:
–  Maltego.
  Objetivos:
–  Buscar información los dominios ...
42
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  Se encuentran referencias:
–  Sitios paste:
•  Varias Ips pertencen a serv...
43
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Conclusiones
  Malware del tipo RAT, sin mucha sofisticación, que
permite to...
44
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Y recordad…
  Cuidado con lo que abrimos !!
45
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Francia
USA
UK
Ucrania
LÍNEAS DE INVESTIGACIÓN
46
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
47
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
CONEXIONES PROCEDENTES
DE LOCUTORIOS EN ESPAÑA
• Pfffff……. ¿y ahora que?
48
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Posible amenaza a
Infraestructura Crígca
• Ataque Dirigido???
• Espionaje???...
49
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
50
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Como monegzar el control de
una TELCO??
• Anulación Facturas?
• Cambio Tarif...
51
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Primeros pasos
Cuantas Líneas se dieron de
alta por ese “socio”
Terminales s...
52
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
• Tráfico Llamadas
• Códigos IMEI vinculados a las SIM fraudulentas
• Lugares...
53
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
54
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
LOCUTORIOS
VENTA SIM Y
TERMINALES
RECEPTOR
DINERO
FRAUDE
55
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Conclusiones
Mismos Locutorios vinculados aL RAT
Lugar de Venta de las SIM
T...
56
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
57
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
ASÍN DE FACIL……
58
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
59
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
60
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
…..otra vez hemos ganado !!
61
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
RESPONSABLE
INCIDENTE
INVESTIGACIÓN
TECNOLÓGICA
PREGUNTAS??
gdt@no<ficaciones.guardiacivil.es
www.gdt.guardiacivil.es
Grupo de Delitos Telema<cos
@GDTGuardiaCivil
GrupoDelitosTelema<c...
Upcoming SlideShare
Loading in …5
×

Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]

1,142 views

Published on

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,142
On SlideShare
0
From Embeds
0
Number of Embeds
34
Actions
Shares
0
Downloads
24
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]

  1. 1. César Lorenzana Javier Rodríguez Grupo Delitos Telemá<cos (U.C.O.) RootedCON V Madrid, Marzo 2014
  2. 2. 2 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March •  ¿Qué es el GDT? -­‐ ¿Qué hacemos? INTRODUCCIÓN • Obje<vo • Incidente • Resultados Descripción del ataque •  TTECNOLÓGICA vs TRADICIONAL INVESTIGACIÓN CONCLUSIONES
  3. 3. 3 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  4. 4. 4 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March S ÁTICOS Fraude Electrónico Malware Intrusiones Robo IdenLdad
  5. 5. 5 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  6. 6. 6 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  7. 7. 7 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March •  ParLculares •  Empresas • Gobiernos GesLón Telecomunicaciones •  España •  Europa •  América Presencia Internacional •  Delegaciones -­‐ Franquicias. •  Unas 30.000 estaciones de trabajo. •  VPNs, varios sites web, bases de datos, etc. Infraestructura
  8. 8. 8 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Todo iba muy bien … ……….Hasta que un buen día
  9. 9. 9 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March El Departamento de Altas recibe un correo de una delegación sobre datos de nuevos clientes
  10. 10. 10 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March ¿Y que se hace con un fichero adjunto vía email, desde una dirección que no conocemos, con un adjunto con extensión pdf.exe con un icono muy raro?
  11. 11. 11 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Obviamente…… ¡¡EJECUTARLO!! ….Es que el AV me dice que está “limpio”….
  12. 12. 12 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March ¡¡¡¡¡¡¡ FAIL !!!!!!!
  13. 13. 13 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  14. 14. 14 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  15. 15. 15 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March RESULTADOS ATAQUE
  16. 16. 16 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  17. 17. 17 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  18. 18. 18 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  19. 19. 19 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  20. 20. 20 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Análisis posible impacto en el ISP • Daños sufridos?? • Alta Líneas fraudulentas?? • Modificación Facturación?? WTF???....... Tenemos un APT!!!
  21. 21. 21 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March GDT…… al rescate !!!
  22. 22. 22 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Obtención de evidencias
  23. 23. 23 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Adquisición memoria RAM. •  Equipo encendido/apagado. Clonado discos duros. •  Clonadora. •  DD (Duplicate Disk). Clonado medios externos. •  DD (Duplicate Disk). Obtención de pcap en “vivo”. •  Swich -­‐> Port Mirroring. Obtención de evidencias
  24. 24. 24 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Análisis Memoria RAM
  25. 25. 25 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Se busca: Procesos ocultos. Match de firmas. Etc Herramientas usadas: Volaglity. Yara Rules. Malfind Volcado RAM máquinas Windows XP/7. Análisis Memoria RAM (II)
  26. 26. 26 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Descubrimiento en varias máquinas de proceso denominado “update”.   Asociado a binario update.exe. –  Volcado binario. Path: Archivos de Programa/update.exe   Match yara rules.   Resultando ser un malware comercial, identificado como Cibergate.   ;-) Resultados Análisis RAM
  27. 27. 27 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March We feel like them !
  28. 28. 28 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Análisis PCAP
  29. 29. 29 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Se busca: Conexiones entrantes/salientes. Match de firmas SNORT. Herramientas. Xplico/Networkminer Snort Se analizan los pcaps obtenidos de los equipos. Análisis PCAP
  30. 30. 30 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Conexiones a múltiples dominios e Ips. IPs y dominios de. –  Francia. –  USA. –  UK. –  Ucrania. –  Ninguno de España.   Puerto 81/tcp. Conexiones E/S PCAP
  31. 31. 31 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Análisis Disposi<vos Externos
  32. 32. 32 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   En general, memorias USB. –  No os podéis imaginar la de cosas que se conectan en un ordenador. –  Extracción de IDs dispositivos conectados a los equipos. •  setupapi.log •  HKEY_LOCAL_MACHINESYSTEMCurrentControlSet EnumUSBSTOR   Recuperación borrados. •  Encase •  Foremost.   Conclusión: –  No se encuentra nada concluyente. –  Se descarta el vector vía USB. Análisis Disposi<vos Externos
  33. 33. 33 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Eso sí…   No os podéis imaginar lo que conecta la gente al ordenador !!
  34. 34. 34 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Objetivos: –  Extraer muestras en HDs para su análisis. •  Análisis estático. •  Análisis dinámico. –  Detectar vector de infección.   Herramientas: –  Virtualizador. –  Sysinternals Tools. –  GDT tools. –  OllyDBG. –  Otras. Análisis HD´s
  35. 35. 35 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Se extrae el binario. –  Archivos de Programa/update.exe –  P.E Windows. –  200 kb. –  Sin packer. Crypter. –  Basado en Open Source Crypter.   Análisis VT –  Match en 4/48 AVs. (Troyan Generic). –  “Casi” FUD. Análisis HD´s
  36. 36. 36 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Crypter
  37. 37. 37 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Herramienta del tipo RAT. –  Remote Administration Tool.   Reverse connection.   Inyección en procesos del SO. Upload/Donwload ficheros. Keylogger.   Acceso a webcam. Password recovery tools. –  Navegadores. Caracterís<cas Malware
  38. 38. 38 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Es capaz de evitar su ejecución en entornos virtualizados. –  Técnicas anti-detección VM.   Es capaz de detectar debuggers. –  IsDebuggerPresent. •  Técnica para parchear función: –  Mov EAX.0 –  Retn Delay en su ejecución. Protecciones Malware
  39. 39. 39 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Se encuentran varios emails de clientes que adjuntan PDFs.   Los equipos usan versiones vulnerables de Adobe Reader.   El pdf es ejecutado, se abre el PDF y además, ejecuta el binario incrustado.   CVE-2010-0188 (Adobe)   Los atacantes conocen la operativa interna de la empresa. Vectores de Infección
  40. 40. 40 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March OSINT
  41. 41. 41 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Herramientas: –  Maltego.   Objetivos: –  Buscar información los dominios e IPs extraídas durante el análisis. –  Dibujar mapa de Ips/Dominios. –  Buscar relaciones entre ellos. OSINT (II)
  42. 42. 42 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Se encuentran referencias: –  Sitios paste: •  Varias Ips pertencen a servers RPD vulnerados. –  Otros: •  Servidores de terceros vulnerados. •  Diversos nicks (foros) relacionados con esas Ips. –  Blacklist •  Varios dominios en listas negras de spam. OSINT (III)
  43. 43. 43 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Conclusiones   Malware del tipo RAT, sin mucha sofisticación, que permite total acceso a los equipos infectados.   Vector de infección clásico: mediante la explotación de vulns en Adobe PDF. –  PDF = Penetration Document Format ;-)   Conexiones a múltiples Ips/Dominios. –  Usando estructuras ya vulneradas, al objeto de dificultar su detección.   Sigue sorprendiendo la “facilidad” para evadir Avs.
  44. 44. 44 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Y recordad…   Cuidado con lo que abrimos !!
  45. 45. 45 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Francia USA UK Ucrania LÍNEAS DE INVESTIGACIÓN
  46. 46. 46 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  47. 47. 47 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March CONEXIONES PROCEDENTES DE LOCUTORIOS EN ESPAÑA • Pfffff……. ¿y ahora que?
  48. 48. 48 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Posible amenaza a Infraestructura Crígca • Ataque Dirigido??? • Espionaje??? Demos una oportunidad a la invesggación tradicional
  49. 49. 49 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  50. 50. 50 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Como monegzar el control de una TELCO?? • Anulación Facturas? • Cambio Tarifas? • Altas Fraudulentas? Adquisición de terminales “subvencionados”
  51. 51. 51 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Primeros pasos Cuantas Líneas se dieron de alta por ese “socio” Terminales subvencionados por ese “socio” Listados de Llamadas
  52. 52. 52 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March • Tráfico Llamadas • Códigos IMEI vinculados a las SIM fraudulentas • Lugares de envío de tarjetas SIM “preacLvas” • Datos “clientes” y transacciones bancarias ANÁLISIS DE LOS DATOS LOCALIZACIÓN LUGARES ENTREGA • Determinar: • Quién gana? • Cuánto gana? TITULARES LINEAS 80X-­‐90X
  53. 53. 53 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  54. 54. 54 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March LOCUTORIOS VENTA SIM Y TERMINALES RECEPTOR DINERO FRAUDE
  55. 55. 55 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Conclusiones Mismos Locutorios vinculados aL RAT Lugar de Venta de las SIM Titulares&Ingresos Líneas 80X-­‐90X ……………oh oh!
  56. 56. 56 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  57. 57. 57 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March ASÍN DE FACIL……
  58. 58. 58 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  59. 59. 59 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  60. 60. 60 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March …..otra vez hemos ganado !!
  61. 61. 61 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March RESPONSABLE INCIDENTE INVESTIGACIÓN TECNOLÓGICA
  62. 62. PREGUNTAS??
  63. 63. gdt@no<ficaciones.guardiacivil.es www.gdt.guardiacivil.es Grupo de Delitos Telema<cos @GDTGuardiaCivil GrupoDelitosTelema<cos

×