SlideShare a Scribd company logo

Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]

RootedCON
RootedCON
Technology
1 of 63
Download to read offline
César Lorenzana Javier Rodríguez Grupo Delitos Telemá<cos (U.C.O.) RootedCON V Madrid, Marzo 2014
2 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March •  ¿Qué es el GDT? -­‐ ¿Qué hacemos? INTRODUCCIÓN • Obje<vo • Incidente • Resultados Descripción del ataque •  TTECNOLÓGICA vs TRADICIONAL INVESTIGACIÓN CONCLUSIONES
3 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
4 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March S ÁTICOS Fraude Electrónico Malware Intrusiones Robo IdenLdad
5 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
6 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
7 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March •  ParLculares •  Empresas • Gobiernos GesLón Telecomunicaciones •  España •  Europa •  América Presencia Internacional •  Delegaciones -­‐ Franquicias. •  Unas 30.000 estaciones de trabajo. •  VPNs, varios sites web, bases de datos, etc. Infraestructura
8 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Todo iba muy bien … ……….Hasta que un buen día
9 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March El Departamento de Altas recibe un correo de una delegación sobre datos de nuevos clientes
10 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March ¿Y que se hace con un fichero adjunto vía email, desde una dirección que no conocemos, con un adjunto con extensión pdf.exe con un icono muy raro?
11 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Obviamente…… ¡¡EJECUTARLO!! ….Es que el AV me dice que está “limpio”….
12 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March ¡¡¡¡¡¡¡ FAIL !!!!!!!
13 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
14 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
15 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March RESULTADOS ATAQUE
16 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
17 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
18 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
19 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
20 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Análisis posible impacto en el ISP • Daños sufridos?? • Alta Líneas fraudulentas?? • Modificación Facturación?? WTF???....... Tenemos un APT!!!
21 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March GDT…… al rescate !!!
22 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Obtención de evidencias
23 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Adquisición memoria RAM. •  Equipo encendido/apagado. Clonado discos duros. •  Clonadora. •  DD (Duplicate Disk). Clonado medios externos. •  DD (Duplicate Disk). Obtención de pcap en “vivo”. •  Swich -­‐> Port Mirroring. Obtención de evidencias
24 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Análisis Memoria RAM
25 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Se busca: Procesos ocultos. Match de firmas. Etc Herramientas usadas: Volaglity. Yara Rules. Malfind Volcado RAM máquinas Windows XP/7. Análisis Memoria RAM (II)
26 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Descubrimiento en varias máquinas de proceso denominado “update”.   Asociado a binario update.exe. –  Volcado binario. Path: Archivos de Programa/update.exe   Match yara rules.   Resultando ser un malware comercial, identificado como Cibergate.   ;-) Resultados Análisis RAM
27 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March We feel like them !
28 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Análisis PCAP
29 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Se busca: Conexiones entrantes/salientes. Match de firmas SNORT. Herramientas. Xplico/Networkminer Snort Se analizan los pcaps obtenidos de los equipos. Análisis PCAP
30 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Conexiones a múltiples dominios e Ips. IPs y dominios de. –  Francia. –  USA. –  UK. –  Ucrania. –  Ninguno de España.   Puerto 81/tcp. Conexiones E/S PCAP
31 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Análisis Disposi<vos Externos
32 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   En general, memorias USB. –  No os podéis imaginar la de cosas que se conectan en un ordenador. –  Extracción de IDs dispositivos conectados a los equipos. •  setupapi.log •  HKEY_LOCAL_MACHINESYSTEMCurrentControlSet EnumUSBSTOR   Recuperación borrados. •  Encase •  Foremost.   Conclusión: –  No se encuentra nada concluyente. –  Se descarta el vector vía USB. Análisis Disposi<vos Externos
33 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Eso sí…   No os podéis imaginar lo que conecta la gente al ordenador !!
34 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Objetivos: –  Extraer muestras en HDs para su análisis. •  Análisis estático. •  Análisis dinámico. –  Detectar vector de infección.   Herramientas: –  Virtualizador. –  Sysinternals Tools. –  GDT tools. –  OllyDBG. –  Otras. Análisis HD´s
35 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Se extrae el binario. –  Archivos de Programa/update.exe –  P.E Windows. –  200 kb. –  Sin packer. Crypter. –  Basado en Open Source Crypter.   Análisis VT –  Match en 4/48 AVs. (Troyan Generic). –  “Casi” FUD. Análisis HD´s
36 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Crypter
37 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Herramienta del tipo RAT. –  Remote Administration Tool.   Reverse connection.   Inyección en procesos del SO. Upload/Donwload ficheros. Keylogger.   Acceso a webcam. Password recovery tools. –  Navegadores. Caracterís<cas Malware
38 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Es capaz de evitar su ejecución en entornos virtualizados. –  Técnicas anti-detección VM.   Es capaz de detectar debuggers. –  IsDebuggerPresent. •  Técnica para parchear función: –  Mov EAX.0 –  Retn Delay en su ejecución. Protecciones Malware
39 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Se encuentran varios emails de clientes que adjuntan PDFs.   Los equipos usan versiones vulnerables de Adobe Reader.   El pdf es ejecutado, se abre el PDF y además, ejecuta el binario incrustado.   CVE-2010-0188 (Adobe)   Los atacantes conocen la operativa interna de la empresa. Vectores de Infección
40 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March OSINT
41 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Herramientas: –  Maltego.   Objetivos: –  Buscar información los dominios e IPs extraídas durante el análisis. –  Dibujar mapa de Ips/Dominios. –  Buscar relaciones entre ellos. OSINT (II)
42 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Se encuentran referencias: –  Sitios paste: •  Varias Ips pertencen a servers RPD vulnerados. –  Otros: •  Servidores de terceros vulnerados. •  Diversos nicks (foros) relacionados con esas Ips. –  Blacklist •  Varios dominios en listas negras de spam. OSINT (III)
43 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Conclusiones   Malware del tipo RAT, sin mucha sofisticación, que permite total acceso a los equipos infectados.   Vector de infección clásico: mediante la explotación de vulns en Adobe PDF. –  PDF = Penetration Document Format ;-)   Conexiones a múltiples Ips/Dominios. –  Usando estructuras ya vulneradas, al objeto de dificultar su detección.   Sigue sorprendiendo la “facilidad” para evadir Avs.
44 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Y recordad…   Cuidado con lo que abrimos !!
45 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Francia USA UK Ucrania LÍNEAS DE INVESTIGACIÓN
46 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
47 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March CONEXIONES PROCEDENTES DE LOCUTORIOS EN ESPAÑA • Pfffff……. ¿y ahora que?
48 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Posible amenaza a Infraestructura Crígca • Ataque Dirigido??? • Espionaje??? Demos una oportunidad a la invesggación tradicional
49 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
50 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Como monegzar el control de una TELCO?? • Anulación Facturas? • Cambio Tarifas? • Altas Fraudulentas? Adquisición de terminales “subvencionados”
51 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Primeros pasos Cuantas Líneas se dieron de alta por ese “socio” Terminales subvencionados por ese “socio” Listados de Llamadas
52 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March • Tráfico Llamadas • Códigos IMEI vinculados a las SIM fraudulentas • Lugares de envío de tarjetas SIM “preacLvas” • Datos “clientes” y transacciones bancarias ANÁLISIS DE LOS DATOS LOCALIZACIÓN LUGARES ENTREGA • Determinar: • Quién gana? • Cuánto gana? TITULARES LINEAS 80X-­‐90X
53 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
54 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March LOCUTORIOS VENTA SIM Y TERMINALES RECEPTOR DINERO FRAUDE
55 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Conclusiones Mismos Locutorios vinculados aL RAT Lugar de Venta de las SIM Titulares&Ingresos Líneas 80X-­‐90X ……………oh oh!
56 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
57 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March ASÍN DE FACIL……
58 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
59 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
60 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March …..otra vez hemos ganado !!
61 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March RESPONSABLE INCIDENTE INVESTIGACIÓN TECNOLÓGICA
PREGUNTAS??
gdt@no<ficaciones.guardiacivil.es www.gdt.guardiacivil.es Grupo de Delitos Telema<cos @GDTGuardiaCivil GrupoDelitosTelema<cos

Recommended

Aladdin Gurbanov – Magnetic Road [Rooted CON 2014]
Aladdin Gurbanov – Magnetic Road [Rooted CON 2014]Aladdin Gurbanov – Magnetic Road [Rooted CON 2014]
Aladdin Gurbanov – Magnetic Road [Rooted CON 2014]RootedCON
 
Alberto Cita - Skype Sin Levita. Un análisis de seguridad y privacidad [Roote...
Alberto Cita - Skype Sin Levita. Un análisis de seguridad y privacidad [Roote...Alberto Cita - Skype Sin Levita. Un análisis de seguridad y privacidad [Roote...
Alberto Cita - Skype Sin Levita. Un análisis de seguridad y privacidad [Roote...RootedCON
 
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...RootedCON
 
Captura de tráfico WiFi en modo monitor [Rooted CON 2014]
Captura de tráfico WiFi en modo monitor [Rooted CON 2014]Captura de tráfico WiFi en modo monitor [Rooted CON 2014]
Captura de tráfico WiFi en modo monitor [Rooted CON 2014]RootedCON
 
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...RootedCON
 
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]RootedCON
 
Roberto Baratta – Monetización de seguridad: de más con menos a más con nada ...
Roberto Baratta – Monetización de seguridad: de más con menos a más con nada ...Roberto Baratta – Monetización de seguridad: de más con menos a más con nada ...
Roberto Baratta – Monetización de seguridad: de más con menos a más con nada ...RootedCON
 
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]RootedCON
 

Recommended

Aladdin Gurbanov – Magnetic Road [Rooted CON 2014]
Aladdin Gurbanov – Magnetic Road [Rooted CON 2014]Aladdin Gurbanov – Magnetic Road [Rooted CON 2014]
Aladdin Gurbanov – Magnetic Road [Rooted CON 2014]RootedCON
 
Alberto Cita - Skype Sin Levita. Un análisis de seguridad y privacidad [Roote...
Alberto Cita - Skype Sin Levita. Un análisis de seguridad y privacidad [Roote...Alberto Cita - Skype Sin Levita. Un análisis de seguridad y privacidad [Roote...
Alberto Cita - Skype Sin Levita. Un análisis de seguridad y privacidad [Roote...RootedCON
 
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...
Pablo González & Juan Antonio Calles – Cyberwar: Looking for… touchdown! [Roo...RootedCON
 
Captura de tráfico WiFi en modo monitor [Rooted CON 2014]
Captura de tráfico WiFi en modo monitor [Rooted CON 2014]Captura de tráfico WiFi en modo monitor [Rooted CON 2014]
Captura de tráfico WiFi en modo monitor [Rooted CON 2014]RootedCON
 
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...
Jose Luis Verdeguer & Víctor Seva – Secure Communications System [Rooted CON ...RootedCON
 
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]RootedCON
 
Roberto Baratta – Monetización de seguridad: de más con menos a más con nada ...
Roberto Baratta – Monetización de seguridad: de más con menos a más con nada ...Roberto Baratta – Monetización de seguridad: de más con menos a más con nada ...
Roberto Baratta – Monetización de seguridad: de más con menos a más con nada ...RootedCON
 
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]RootedCON
 
Jorge Bermúdez - Botnets y troyanos: los artículos 197 y 264 CP llevados a la...
Jorge Bermúdez - Botnets y troyanos: los artículos 197 y 264 CP llevados a la...Jorge Bermúdez - Botnets y troyanos: los artículos 197 y 264 CP llevados a la...
Jorge Bermúdez - Botnets y troyanos: los artículos 197 y 264 CP llevados a la...RootedCON
 
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...RootedCON
 
Layakk - Atacando 3G Vol. 2 [rootedvlc2]
Layakk - Atacando 3G Vol. 2 [rootedvlc2]Layakk - Atacando 3G Vol. 2 [rootedvlc2]
Layakk - Atacando 3G Vol. 2 [rootedvlc2]RootedCON
 
Jose Selvi - Adaptando exploits para evitar la frustración [RootedSatellite V...
Jose Selvi - Adaptando exploits para evitar la frustración [RootedSatellite V...Jose Selvi - Adaptando exploits para evitar la frustración [RootedSatellite V...
Jose Selvi - Adaptando exploits para evitar la frustración [RootedSatellite V...RootedCON
 
Chema Alonso - Dorking, Pentesting & Hacking con Android Apps [rootedvlc2]
Chema Alonso - Dorking, Pentesting & Hacking con Android Apps [rootedvlc2]Chema Alonso - Dorking, Pentesting & Hacking con Android Apps [rootedvlc2]
Chema Alonso - Dorking, Pentesting & Hacking con Android Apps [rootedvlc2]RootedCON
 
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]RootedCON
 
Jorge Ramió - RSA cumple 36 años y se le ha caducado el carné joven [Rooted C...
Jorge Ramió - RSA cumple 36 años y se le ha caducado el carné joven [Rooted C...Jorge Ramió - RSA cumple 36 años y se le ha caducado el carné joven [Rooted C...
Jorge Ramió - RSA cumple 36 años y se le ha caducado el carné joven [Rooted C...RootedCON
 
Raul Siles - iOS: Regreso al futuro [Rooted CON 2014]
Raul Siles - iOS: Regreso al futuro [Rooted CON 2014]Raul Siles - iOS: Regreso al futuro [Rooted CON 2014]
Raul Siles - iOS: Regreso al futuro [Rooted CON 2014]RootedCON
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]RootedCON
 
Pablo San Emeterio - How to protect your hot pics with WHF [RootedSatellite V...
Pablo San Emeterio - How to protect your hot pics with WHF [RootedSatellite V...Pablo San Emeterio - How to protect your hot pics with WHF [RootedSatellite V...
Pablo San Emeterio - How to protect your hot pics with WHF [RootedSatellite V...RootedCON
 
David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]
David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]
David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]RootedCON
 
RootedSatellite Valencia - Charla inaugural [RootedSatellite Valencia]
RootedSatellite Valencia - Charla inaugural [RootedSatellite Valencia]RootedSatellite Valencia - Charla inaugural [RootedSatellite Valencia]
RootedSatellite Valencia - Charla inaugural [RootedSatellite Valencia]RootedCON
 
Pau Oliva – Bypassing wifi pay-walls with Android [Rooted CON 2014]
Pau Oliva – Bypassing wifi pay-walls with Android [Rooted CON 2014]Pau Oliva – Bypassing wifi pay-walls with Android [Rooted CON 2014]
Pau Oliva – Bypassing wifi pay-walls with Android [Rooted CON 2014]RootedCON
 
Cesar Lorenzana - Picoletos en Rootedland [RootedSatellite Valencia]
Cesar Lorenzana - Picoletos en Rootedland [RootedSatellite Valencia]Cesar Lorenzana - Picoletos en Rootedland [RootedSatellite Valencia]
Cesar Lorenzana - Picoletos en Rootedland [RootedSatellite Valencia]RootedCON
 
Manu Quintans & Frank Ruiz – 50 shades of crimeware [Rooted CON 2014]
Manu Quintans & Frank Ruiz – 50 shades of crimeware [Rooted CON 2014]Manu Quintans & Frank Ruiz – 50 shades of crimeware [Rooted CON 2014]
Manu Quintans & Frank Ruiz – 50 shades of crimeware [Rooted CON 2014]RootedCON
 
Lorenzo Martínez - Cooking an APT in the paranoid way [RootedSatellite Valen...
Lorenzo Martínez - Cooking an APT in the paranoid way [RootedSatellite Valen...Lorenzo Martínez - Cooking an APT in the paranoid way [RootedSatellite Valen...
Lorenzo Martínez - Cooking an APT in the paranoid way [RootedSatellite Valen...RootedCON
 
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...RootedCON
 
Alfonso Muñoz – Ocultación de comunicaciones en lenguaje natural [Rooted CON ...
Alfonso Muñoz – Ocultación de comunicaciones en lenguaje natural [Rooted CON ...Alfonso Muñoz – Ocultación de comunicaciones en lenguaje natural [Rooted CON ...
Alfonso Muñoz – Ocultación de comunicaciones en lenguaje natural [Rooted CON ...RootedCON
 
Conferencia de apertura [Rooted CON 2014]
Conferencia de apertura [Rooted CON 2014]Conferencia de apertura [Rooted CON 2014]
Conferencia de apertura [Rooted CON 2014]RootedCON
 
Juan Vazquez & Julián Vilas – Tú a Barcelona y yo a Tejas, a patadas con mi S...
Juan Vazquez & Julián Vilas – Tú a Barcelona y yo a Tejas, a patadas con mi S...Juan Vazquez & Julián Vilas – Tú a Barcelona y yo a Tejas, a patadas con mi S...
Juan Vazquez & Julián Vilas – Tú a Barcelona y yo a Tejas, a patadas con mi S...RootedCON
 
2014-03 - RootedCon 2014 - Secure Communication System
2014-03 - RootedCon 2014 - Secure Communication System2014-03 - RootedCon 2014 - Secure Communication System
2014-03 - RootedCon 2014 - Secure Communication SystemJose Luis Verdeguer Navarro
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]RootedCON
 

More Related Content

Viewers also liked

Jorge Bermúdez - Botnets y troyanos: los artículos 197 y 264 CP llevados a la...
Jorge Bermúdez - Botnets y troyanos: los artículos 197 y 264 CP llevados a la...Jorge Bermúdez - Botnets y troyanos: los artículos 197 y 264 CP llevados a la...
Jorge Bermúdez - Botnets y troyanos: los artículos 197 y 264 CP llevados a la...RootedCON
 
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...RootedCON
 
Layakk - Atacando 3G Vol. 2 [rootedvlc2]
Layakk - Atacando 3G Vol. 2 [rootedvlc2]Layakk - Atacando 3G Vol. 2 [rootedvlc2]
Layakk - Atacando 3G Vol. 2 [rootedvlc2]RootedCON
 
Jose Selvi - Adaptando exploits para evitar la frustración [RootedSatellite V...
Jose Selvi - Adaptando exploits para evitar la frustración [RootedSatellite V...Jose Selvi - Adaptando exploits para evitar la frustración [RootedSatellite V...
Jose Selvi - Adaptando exploits para evitar la frustración [RootedSatellite V...RootedCON
 
Chema Alonso - Dorking, Pentesting & Hacking con Android Apps [rootedvlc2]
Chema Alonso - Dorking, Pentesting & Hacking con Android Apps [rootedvlc2]Chema Alonso - Dorking, Pentesting & Hacking con Android Apps [rootedvlc2]
Chema Alonso - Dorking, Pentesting & Hacking con Android Apps [rootedvlc2]RootedCON
 
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]RootedCON
 
Jorge Ramió - RSA cumple 36 años y se le ha caducado el carné joven [Rooted C...
Jorge Ramió - RSA cumple 36 años y se le ha caducado el carné joven [Rooted C...Jorge Ramió - RSA cumple 36 años y se le ha caducado el carné joven [Rooted C...
Jorge Ramió - RSA cumple 36 años y se le ha caducado el carné joven [Rooted C...RootedCON
 
Raul Siles - iOS: Regreso al futuro [Rooted CON 2014]
Raul Siles - iOS: Regreso al futuro [Rooted CON 2014]Raul Siles - iOS: Regreso al futuro [Rooted CON 2014]
Raul Siles - iOS: Regreso al futuro [Rooted CON 2014]RootedCON
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]RootedCON
 
Pablo San Emeterio - How to protect your hot pics with WHF [RootedSatellite V...
Pablo San Emeterio - How to protect your hot pics with WHF [RootedSatellite V...Pablo San Emeterio - How to protect your hot pics with WHF [RootedSatellite V...
Pablo San Emeterio - How to protect your hot pics with WHF [RootedSatellite V...RootedCON
 
David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]
David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]
David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]RootedCON
 
RootedSatellite Valencia - Charla inaugural [RootedSatellite Valencia]
RootedSatellite Valencia - Charla inaugural [RootedSatellite Valencia]RootedSatellite Valencia - Charla inaugural [RootedSatellite Valencia]
RootedSatellite Valencia - Charla inaugural [RootedSatellite Valencia]RootedCON
 
Pau Oliva – Bypassing wifi pay-walls with Android [Rooted CON 2014]
Pau Oliva – Bypassing wifi pay-walls with Android [Rooted CON 2014]Pau Oliva – Bypassing wifi pay-walls with Android [Rooted CON 2014]
Pau Oliva – Bypassing wifi pay-walls with Android [Rooted CON 2014]RootedCON
 
Cesar Lorenzana - Picoletos en Rootedland [RootedSatellite Valencia]
Cesar Lorenzana - Picoletos en Rootedland [RootedSatellite Valencia]Cesar Lorenzana - Picoletos en Rootedland [RootedSatellite Valencia]
Cesar Lorenzana - Picoletos en Rootedland [RootedSatellite Valencia]RootedCON
 
Manu Quintans & Frank Ruiz – 50 shades of crimeware [Rooted CON 2014]
Manu Quintans & Frank Ruiz – 50 shades of crimeware [Rooted CON 2014]Manu Quintans & Frank Ruiz – 50 shades of crimeware [Rooted CON 2014]
Manu Quintans & Frank Ruiz – 50 shades of crimeware [Rooted CON 2014]RootedCON
 
Lorenzo Martínez - Cooking an APT in the paranoid way [RootedSatellite Valen...
Lorenzo Martínez - Cooking an APT in the paranoid way [RootedSatellite Valen...Lorenzo Martínez - Cooking an APT in the paranoid way [RootedSatellite Valen...
Lorenzo Martínez - Cooking an APT in the paranoid way [RootedSatellite Valen...RootedCON
 
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...RootedCON
 
Alfonso Muñoz – Ocultación de comunicaciones en lenguaje natural [Rooted CON ...
Alfonso Muñoz – Ocultación de comunicaciones en lenguaje natural [Rooted CON ...Alfonso Muñoz – Ocultación de comunicaciones en lenguaje natural [Rooted CON ...
Alfonso Muñoz – Ocultación de comunicaciones en lenguaje natural [Rooted CON ...RootedCON
 
Conferencia de apertura [Rooted CON 2014]
Conferencia de apertura [Rooted CON 2014]Conferencia de apertura [Rooted CON 2014]
Conferencia de apertura [Rooted CON 2014]RootedCON
 
Juan Vazquez & Julián Vilas – Tú a Barcelona y yo a Tejas, a patadas con mi S...
Juan Vazquez & Julián Vilas – Tú a Barcelona y yo a Tejas, a patadas con mi S...Juan Vazquez & Julián Vilas – Tú a Barcelona y yo a Tejas, a patadas con mi S...
Juan Vazquez & Julián Vilas – Tú a Barcelona y yo a Tejas, a patadas con mi S...RootedCON
 

Viewers also liked (20)

Jorge Bermúdez - Botnets y troyanos: los artículos 197 y 264 CP llevados a la...
Jorge Bermúdez - Botnets y troyanos: los artículos 197 y 264 CP llevados a la...Jorge Bermúdez - Botnets y troyanos: los artículos 197 y 264 CP llevados a la...
Jorge Bermúdez - Botnets y troyanos: los artículos 197 y 264 CP llevados a la...
 
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
 
Layakk - Atacando 3G Vol. 2 [rootedvlc2]
Layakk - Atacando 3G Vol. 2 [rootedvlc2]Layakk - Atacando 3G Vol. 2 [rootedvlc2]
Layakk - Atacando 3G Vol. 2 [rootedvlc2]
 
Jose Selvi - Adaptando exploits para evitar la frustración [RootedSatellite V...
Jose Selvi - Adaptando exploits para evitar la frustración [RootedSatellite V...Jose Selvi - Adaptando exploits para evitar la frustración [RootedSatellite V...
Jose Selvi - Adaptando exploits para evitar la frustración [RootedSatellite V...
 
Chema Alonso - Dorking, Pentesting & Hacking con Android Apps [rootedvlc2]
Chema Alonso - Dorking, Pentesting & Hacking con Android Apps [rootedvlc2]Chema Alonso - Dorking, Pentesting & Hacking con Android Apps [rootedvlc2]
Chema Alonso - Dorking, Pentesting & Hacking con Android Apps [rootedvlc2]
 
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
Leonardo Nve - Explotando cambios en servidores DNS [RootedSatellite Valencia]
 
Jorge Ramió - RSA cumple 36 años y se le ha caducado el carné joven [Rooted C...
Jorge Ramió - RSA cumple 36 años y se le ha caducado el carné joven [Rooted C...Jorge Ramió - RSA cumple 36 años y se le ha caducado el carné joven [Rooted C...
Jorge Ramió - RSA cumple 36 años y se le ha caducado el carné joven [Rooted C...
 
Raul Siles - iOS: Regreso al futuro [Rooted CON 2014]
Raul Siles - iOS: Regreso al futuro [Rooted CON 2014]Raul Siles - iOS: Regreso al futuro [Rooted CON 2014]
Raul Siles - iOS: Regreso al futuro [Rooted CON 2014]
 
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
Javier Saez - Una panorámica sobre la seguridad en entornos web [rootedvlc2]
 
Pablo San Emeterio - How to protect your hot pics with WHF [RootedSatellite V...
Pablo San Emeterio - How to protect your hot pics with WHF [RootedSatellite V...Pablo San Emeterio - How to protect your hot pics with WHF [RootedSatellite V...
Pablo San Emeterio - How to protect your hot pics with WHF [RootedSatellite V...
 
David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]
David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]
David Pérez y José Pico - I wanna jam it wid you [RootedSatellite Valencia]
 
RootedSatellite Valencia - Charla inaugural [RootedSatellite Valencia]
RootedSatellite Valencia - Charla inaugural [RootedSatellite Valencia]RootedSatellite Valencia - Charla inaugural [RootedSatellite Valencia]
RootedSatellite Valencia - Charla inaugural [RootedSatellite Valencia]
 
Pau Oliva – Bypassing wifi pay-walls with Android [Rooted CON 2014]
Pau Oliva – Bypassing wifi pay-walls with Android [Rooted CON 2014]Pau Oliva – Bypassing wifi pay-walls with Android [Rooted CON 2014]
Pau Oliva – Bypassing wifi pay-walls with Android [Rooted CON 2014]
 
Cesar Lorenzana - Picoletos en Rootedland [RootedSatellite Valencia]
Cesar Lorenzana - Picoletos en Rootedland [RootedSatellite Valencia]Cesar Lorenzana - Picoletos en Rootedland [RootedSatellite Valencia]
Cesar Lorenzana - Picoletos en Rootedland [RootedSatellite Valencia]
 
Manu Quintans & Frank Ruiz – 50 shades of crimeware [Rooted CON 2014]
Manu Quintans & Frank Ruiz – 50 shades of crimeware [Rooted CON 2014]Manu Quintans & Frank Ruiz – 50 shades of crimeware [Rooted CON 2014]
Manu Quintans & Frank Ruiz – 50 shades of crimeware [Rooted CON 2014]
 
Lorenzo Martínez - Cooking an APT in the paranoid way [RootedSatellite Valen...
Lorenzo Martínez - Cooking an APT in the paranoid way [RootedSatellite Valen...Lorenzo Martínez - Cooking an APT in the paranoid way [RootedSatellite Valen...
Lorenzo Martínez - Cooking an APT in the paranoid way [RootedSatellite Valen...
 
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
Pablo San Emeterio López & Jaime Sánchez – WhatsApp, mentiras y cintas de vid...
 
Alfonso Muñoz – Ocultación de comunicaciones en lenguaje natural [Rooted CON ...
Alfonso Muñoz – Ocultación de comunicaciones en lenguaje natural [Rooted CON ...Alfonso Muñoz – Ocultación de comunicaciones en lenguaje natural [Rooted CON ...
Alfonso Muñoz – Ocultación de comunicaciones en lenguaje natural [Rooted CON ...
 
Conferencia de apertura [Rooted CON 2014]
Conferencia de apertura [Rooted CON 2014]Conferencia de apertura [Rooted CON 2014]
Conferencia de apertura [Rooted CON 2014]
 
Juan Vazquez & Julián Vilas – Tú a Barcelona y yo a Tejas, a patadas con mi S...
Juan Vazquez & Julián Vilas – Tú a Barcelona y yo a Tejas, a patadas con mi S...Juan Vazquez & Julián Vilas – Tú a Barcelona y yo a Tejas, a patadas con mi S...
Juan Vazquez & Julián Vilas – Tú a Barcelona y yo a Tejas, a patadas con mi S...
 

Similar to Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]

2014-03 - RootedCon 2014 - Secure Communication System
2014-03 - RootedCon 2014 - Secure Communication System2014-03 - RootedCon 2014 - Secure Communication System
2014-03 - RootedCon 2014 - Secure Communication SystemJose Luis Verdeguer Navarro
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]RootedCON
 
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínCPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínWebsec México, S.C.
 
FUNDAMENTOS DE LA INFOMATICA - SESION 03
FUNDAMENTOS DE LA INFOMATICA - SESION 03FUNDAMENTOS DE LA INFOMATICA - SESION 03
FUNDAMENTOS DE LA INFOMATICA - SESION 03INFORMATICA_FAYN
 
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]RootedCON
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]RootedCON
 
Manual de procedimiento1.0 gin
Manual de procedimiento1.0 ginManual de procedimiento1.0 gin
Manual de procedimiento1.0 ginSofia Loya Cruz
 
T3ch fest leganes_final
T3ch fest leganes_finalT3ch fest leganes_final
T3ch fest leganes_finalRober Garamo
 
Unidad tematica 2 salida de informacion
Unidad tematica 2 salida de informacionUnidad tematica 2 salida de informacion
Unidad tematica 2 salida de informacionANA MILENA OLAYA ARIAS
 
Diseño de salidas - Joseph Vizueta
Diseño de salidas - Joseph VizuetaDiseño de salidas - Joseph Vizueta
Diseño de salidas - Joseph VizuetaJosephVizueta
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...Websec México, S.C.
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolosBlanca Rodriguez
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolosBlanca Rodriguez
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridadoscar lopez
 
Conectando a la red telefónica: Dispositivos Openvox
Conectando a la red telefónica: Dispositivos OpenvoxConectando a la red telefónica: Dispositivos Openvox
Conectando a la red telefónica: Dispositivos OpenvoxPaloSanto Solutions
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Whatsapp: mentiras y cintas de video RootedCON 2014
Whatsapp: mentiras y cintas de video RootedCON 2014Whatsapp: mentiras y cintas de video RootedCON 2014
Whatsapp: mentiras y cintas de video RootedCON 2014Jaime Sánchez
 

Similar to Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014] (20)

2014-03 - RootedCon 2014 - Secure Communication System
2014-03 - RootedCon 2014 - Secure Communication System2014-03 - RootedCon 2014 - Secure Communication System
2014-03 - RootedCon 2014 - Secure Communication System
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
 
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro JoaquínCPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
CPMX5 - Explotación masiva de vulnerabilidades en ruteadores por Pedro Joaquín
 
FUNDAMENTOS DE LA INFOMATICA - SESION 03
FUNDAMENTOS DE LA INFOMATICA - SESION 03FUNDAMENTOS DE LA INFOMATICA - SESION 03
FUNDAMENTOS DE LA INFOMATICA - SESION 03
 
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
José Pico & David Pérez – Atacando 3G [Rooted CON 2014]
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
 
Informe tecnico
Informe tecnicoInforme tecnico
Informe tecnico
 
Manual de procedimiento1.0 gin
Manual de procedimiento1.0 ginManual de procedimiento1.0 gin
Manual de procedimiento1.0 gin
 
T3ch fest leganes_final
T3ch fest leganes_finalT3ch fest leganes_final
T3ch fest leganes_final
 
Unidad tematica 2 salida de informacion
Unidad tematica 2 salida de informacionUnidad tematica 2 salida de informacion
Unidad tematica 2 salida de informacion
 
Trabajo didactico
Trabajo didacticoTrabajo didactico
Trabajo didactico
 
Diseño de salidas - Joseph Vizueta
Diseño de salidas - Joseph VizuetaDiseño de salidas - Joseph Vizueta
Diseño de salidas - Joseph Vizueta
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
 
Analizadores de protocolos
Analizadores de protocolosAnalizadores de protocolos
Analizadores de protocolos
 
Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridad
 
Conectando a la red telefónica: Dispositivos Openvox
Conectando a la red telefónica: Dispositivos OpenvoxConectando a la red telefónica: Dispositivos Openvox
Conectando a la red telefónica: Dispositivos Openvox
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Whatsapp: mentiras y cintas de video RootedCON 2014
Whatsapp: mentiras y cintas de video RootedCON 2014Whatsapp: mentiras y cintas de video RootedCON 2014
Whatsapp: mentiras y cintas de video RootedCON 2014
 
Seguridad en la red
Seguridad en la red Seguridad en la red
Seguridad en la red
 

More from RootedCON

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRootedCON
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRootedCON
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRootedCON
 

More from RootedCON (20)

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 

Recently uploaded

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 

Recently uploaded (13)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 

Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]

  • 1. César Lorenzana Javier Rodríguez Grupo Delitos Telemá<cos (U.C.O.) RootedCON V Madrid, Marzo 2014
  • 2. 2 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March •  ¿Qué es el GDT? -­‐ ¿Qué hacemos? INTRODUCCIÓN • Obje<vo • Incidente • Resultados Descripción del ataque •  TTECNOLÓGICA vs TRADICIONAL INVESTIGACIÓN CONCLUSIONES
  • 3. 3 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 4. 4 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March S ÁTICOS Fraude Electrónico Malware Intrusiones Robo IdenLdad
  • 5. 5 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 6. 6 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 7. 7 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March •  ParLculares •  Empresas • Gobiernos GesLón Telecomunicaciones •  España •  Europa •  América Presencia Internacional •  Delegaciones -­‐ Franquicias. •  Unas 30.000 estaciones de trabajo. •  VPNs, varios sites web, bases de datos, etc. Infraestructura
  • 8. 8 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Todo iba muy bien … ……….Hasta que un buen día
  • 9. 9 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March El Departamento de Altas recibe un correo de una delegación sobre datos de nuevos clientes
  • 10. 10 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March ¿Y que se hace con un fichero adjunto vía email, desde una dirección que no conocemos, con un adjunto con extensión pdf.exe con un icono muy raro?
  • 11. 11 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Obviamente…… ¡¡EJECUTARLO!! ….Es que el AV me dice que está “limpio”….
  • 12. 12 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March ¡¡¡¡¡¡¡ FAIL !!!!!!!
  • 13. 13 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 14. 14 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 15. 15 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March RESULTADOS ATAQUE
  • 16. 16 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 17. 17 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 18. 18 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 19. 19 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 20. 20 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Análisis posible impacto en el ISP • Daños sufridos?? • Alta Líneas fraudulentas?? • Modificación Facturación?? WTF???....... Tenemos un APT!!!
  • 21. 21 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March GDT…… al rescate !!!
  • 22. 22 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Obtención de evidencias
  • 23. 23 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Adquisición memoria RAM. •  Equipo encendido/apagado. Clonado discos duros. •  Clonadora. •  DD (Duplicate Disk). Clonado medios externos. •  DD (Duplicate Disk). Obtención de pcap en “vivo”. •  Swich -­‐> Port Mirroring. Obtención de evidencias
  • 24. 24 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Análisis Memoria RAM
  • 25. 25 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Se busca: Procesos ocultos. Match de firmas. Etc Herramientas usadas: Volaglity. Yara Rules. Malfind Volcado RAM máquinas Windows XP/7. Análisis Memoria RAM (II)
  • 26. 26 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Descubrimiento en varias máquinas de proceso denominado “update”.   Asociado a binario update.exe. –  Volcado binario. Path: Archivos de Programa/update.exe   Match yara rules.   Resultando ser un malware comercial, identificado como Cibergate.   ;-) Resultados Análisis RAM
  • 27. 27 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March We feel like them !
  • 28. 28 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Análisis PCAP
  • 29. 29 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Se busca: Conexiones entrantes/salientes. Match de firmas SNORT. Herramientas. Xplico/Networkminer Snort Se analizan los pcaps obtenidos de los equipos. Análisis PCAP
  • 30. 30 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Conexiones a múltiples dominios e Ips. IPs y dominios de. –  Francia. –  USA. –  UK. –  Ucrania. –  Ninguno de España.   Puerto 81/tcp. Conexiones E/S PCAP
  • 31. 31 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Análisis Disposi<vos Externos
  • 32. 32 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   En general, memorias USB. –  No os podéis imaginar la de cosas que se conectan en un ordenador. –  Extracción de IDs dispositivos conectados a los equipos. •  setupapi.log •  HKEY_LOCAL_MACHINESYSTEMCurrentControlSet EnumUSBSTOR   Recuperación borrados. •  Encase •  Foremost.   Conclusión: –  No se encuentra nada concluyente. –  Se descarta el vector vía USB. Análisis Disposi<vos Externos
  • 33. 33 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Eso sí…   No os podéis imaginar lo que conecta la gente al ordenador !!
  • 34. 34 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Objetivos: –  Extraer muestras en HDs para su análisis. •  Análisis estático. •  Análisis dinámico. –  Detectar vector de infección.   Herramientas: –  Virtualizador. –  Sysinternals Tools. –  GDT tools. –  OllyDBG. –  Otras. Análisis HD´s
  • 35. 35 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Se extrae el binario. –  Archivos de Programa/update.exe –  P.E Windows. –  200 kb. –  Sin packer. Crypter. –  Basado en Open Source Crypter.   Análisis VT –  Match en 4/48 AVs. (Troyan Generic). –  “Casi” FUD. Análisis HD´s
  • 36. 36 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Crypter
  • 37. 37 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Herramienta del tipo RAT. –  Remote Administration Tool.   Reverse connection.   Inyección en procesos del SO. Upload/Donwload ficheros. Keylogger.   Acceso a webcam. Password recovery tools. –  Navegadores. Caracterís<cas Malware
  • 38. 38 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Es capaz de evitar su ejecución en entornos virtualizados. –  Técnicas anti-detección VM.   Es capaz de detectar debuggers. –  IsDebuggerPresent. •  Técnica para parchear función: –  Mov EAX.0 –  Retn Delay en su ejecución. Protecciones Malware
  • 39. 39 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Se encuentran varios emails de clientes que adjuntan PDFs.   Los equipos usan versiones vulnerables de Adobe Reader.   El pdf es ejecutado, se abre el PDF y además, ejecuta el binario incrustado.   CVE-2010-0188 (Adobe)   Los atacantes conocen la operativa interna de la empresa. Vectores de Infección
  • 40. 40 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March OSINT
  • 41. 41 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Herramientas: –  Maltego.   Objetivos: –  Buscar información los dominios e IPs extraídas durante el análisis. –  Dibujar mapa de Ips/Dominios. –  Buscar relaciones entre ellos. OSINT (II)
  • 42. 42 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March   Se encuentran referencias: –  Sitios paste: •  Varias Ips pertencen a servers RPD vulnerados. –  Otros: •  Servidores de terceros vulnerados. •  Diversos nicks (foros) relacionados con esas Ips. –  Blacklist •  Varios dominios en listas negras de spam. OSINT (III)
  • 43. 43 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Conclusiones   Malware del tipo RAT, sin mucha sofisticación, que permite total acceso a los equipos infectados.   Vector de infección clásico: mediante la explotación de vulns en Adobe PDF. –  PDF = Penetration Document Format ;-)   Conexiones a múltiples Ips/Dominios. –  Usando estructuras ya vulneradas, al objeto de dificultar su detección.   Sigue sorprendiendo la “facilidad” para evadir Avs.
  • 44. 44 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Y recordad…   Cuidado con lo que abrimos !!
  • 45. 45 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Francia USA UK Ucrania LÍNEAS DE INVESTIGACIÓN
  • 46. 46 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 47. 47 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March CONEXIONES PROCEDENTES DE LOCUTORIOS EN ESPAÑA • Pfffff……. ¿y ahora que?
  • 48. 48 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Posible amenaza a Infraestructura Crígca • Ataque Dirigido??? • Espionaje??? Demos una oportunidad a la invesggación tradicional
  • 49. 49 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 50. 50 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Como monegzar el control de una TELCO?? • Anulación Facturas? • Cambio Tarifas? • Altas Fraudulentas? Adquisición de terminales “subvencionados”
  • 51. 51 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Primeros pasos Cuantas Líneas se dieron de alta por ese “socio” Terminales subvencionados por ese “socio” Listados de Llamadas
  • 52. 52 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March • Tráfico Llamadas • Códigos IMEI vinculados a las SIM fraudulentas • Lugares de envío de tarjetas SIM “preacLvas” • Datos “clientes” y transacciones bancarias ANÁLISIS DE LOS DATOS LOCALIZACIÓN LUGARES ENTREGA • Determinar: • Quién gana? • Cuánto gana? TITULARES LINEAS 80X-­‐90X
  • 53. 53 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 54. 54 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March LOCUTORIOS VENTA SIM Y TERMINALES RECEPTOR DINERO FRAUDE
  • 55. 55 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March Conclusiones Mismos Locutorios vinculados aL RAT Lugar de Venta de las SIM Titulares&Ingresos Líneas 80X-­‐90X ……………oh oh!
  • 56. 56 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 57. 57 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March ASÍN DE FACIL……
  • 58. 58 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 59. 59 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
  • 60. 60 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March …..otra vez hemos ganado !!
  • 61. 61 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March RESPONSABLE INCIDENTE INVESTIGACIÓN TECNOLÓGICA
  • 63. gdt@no<ficaciones.guardiacivil.es www.gdt.guardiacivil.es Grupo de Delitos Telema<cos @GDTGuardiaCivil GrupoDelitosTelema<cos