Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

#SpyFiles - Análisis de #FinFisher y los Conflictos Políticos del Malware-as-a-Service

476 views

Published on

Presentación del trabajo sobre el Leak publicado por WikiLeaks "SpyFiles" acerca del uso de FinFisher, un virus espía (malware/spyware) vendido a gobiernos para espiar a sus propios ciudadanos.
Más información: http://javierferrer.me/finfisher-conflictos-politicos-malware/

Trabajo expuesto el 15/12/2014 en la asignatura de Seguridad Informática de la Facultat d'Informàtica de Barcelona - Universitat Politècnica de Catalunya (FIB-UPC). Llevado a cabo por Jaume López, Marc Vijfschaft y Javier Ferrer.

Published in: Internet
  • Be the first to comment

  • Be the first to like this

#SpyFiles - Análisis de #FinFisher y los Conflictos Políticos del Malware-as-a-Service

  1. 1. SpyFiles Análisis de FinFisher y los Conflictos Políticos del Malware as a Service FIB-UPC / SI 2014/12/15 Javier Ferrer - Jaume López - Marc Vijfschaft
  2. 2. ● Vídeo de la presentación de este trabajo: https://www.youtube.com/watch?v=WUMVmNDckD4 ● Post con más información: http://javierferrer.me/finfisher-conflictos-politicos- malware/ Disclaimer 2
  3. 3. ● Introducción ● SpyFiles ● Análisis Forense ● Conflicto Político ● Conclusión ● Referencias Contenidos 3
  4. 4. Introducción ● WikiLeaks ● Gamma International 4
  5. 5. Introducción > WikiLeaks ● Protección de la fuente ● Proceso de verificación ● Caso Collateral Murder 5
  6. 6. I > Gamma International ● Comercializa FinFisher ● Venta a gobiernos ● “Corporación enemiga de internet” en 2013 por RSF ● Sedes en Alemania y Reino Unido 6
  7. 7. SpyFiles ● Leak WikiLeaks ● Suite FinFisher ○ Infraestructura ○ FinSpy PC 7
  8. 8. SpyFiles > Leak WikiLeaks ● 4 Leaks publicados desde 2011 ● 95 compañías en 25 países 8
  9. 9. SpyFiles > Suite FinFisher ● Malware as a Service ● Software alegal 9
  10. 10. 10
  11. 11. SpyFiles > Infraestructura 11
  12. 12. SpyFiles > FinSpy PC ● Permite control remoto ● Espiar conversaciones de Skype y otros programas de mensajería ● Envío masivo de datos 12
  13. 13. Análisis Forense ● Métodos de infección ● Comportamiento 13
  14. 14. AF > Métodos de Infección ● Email ○ Imagen y comprimidos ○ Right To Left Override ■ Carácter U+202E: “exe.Rajab1.jpg” ■ UTF-8 en ANSI: “gpj.1bajaR.exe” ○ Tras ejecución deja imagen original 14
  15. 15. ● FinFly USB ○ Bootable ○ Infecta MBR AF > Métodos de Infección 15
  16. 16. ● Actualizaciones falsas ○ iTunes ○ Blackberry OS ○ Flash Player ● Plugin Firefox AF > Métodos de Infección 16
  17. 17. AF > Comportamiento ● Ejecuta comportamiento esperado ○ Muestra imagen ○ Progreso de actualización ● Copia ejecutable en carpeta aleatoria de TMP 17
  18. 18. AF > Comportamiento ● Modificación valores RegisterClassExW y CreateWindowExW en IAT mediante User32.dll ● Ollydbg e IDA Pro pasan por alto estas rutinas ● Se puede detectar manualmente 18
  19. 19. AF > Comportamiento 19
  20. 20. AF > Comportamiento ● Inyecta dll para comunicarse con Master ● Código encriptado, XOR para desencriptar 20
  21. 21. Conflicto Político ● Casos reales ● Legislación 21
  22. 22. CP > Casos Reales 22
  23. 23. CP > Casos Reales ● Baréin: Shehab Hashem, activista en la revolución de Baréin de 2011 23
  24. 24. ● Egipto con disidentes durante la Primavera Árabe CP > Casos Reales 24
  25. 25. ● Etiopía con objetivos concretos de la oposición Ginbot 7 y población en general ● En España no hay indicios de uso, no obstante, tenemos el caso SITEL CP > Casos Reales 25
  26. 26. ● Etiopía con objetivos concretos de la oposición Ginbot 7 y población en general ● En España no hay indicios de uso, no obstante, tenemos el caso SITEL CP > Casos Reales 26
  27. 27. CP > Casos Reales 50 millones de € 27
  28. 28. ● Considerar la venta de malware al nivel de la venta de armamento ● Algunas normativas en ciertos estados de EEUU ● No hemos encontrado nada en España CP > Legislación 28
  29. 29. ● Malware que requiere alto nivel de conocimientos ○ Medidas de contra-espionaje ● Legislación no a la altura ● Gobiernos hipócritas ○ Ministro de exteriores Alemán Conclusión 29
  30. 30. ● Introducción ○ [1] WikiLeaks. (2011, Mayo 05). About [Online]. Disponible: https://wikileaks.org/About.html ○ [2] WikiLeaks. WikiLeaks:Tor [Online]. Disponible: https://www.wikileaks.org/wiki/WikiLeaks:Tor ○ [3] WikiLeaks. (2010, Abril 05). Collateral Murder [Online]. Disponible: http://www.collateralmurder.com/ ○ [4] WikiLeaks. (2010, Abril 05). Collateral Murder Video [Online]. Disponible: https://www.youtube.com/watch? v=5rXPrfnU3G0 ○ [5] Gamma Group. (2013). Home Page [Online]. Disponible: https://www.gammagroup.com/Default.aspx ○ [6] Reporters without borders. (2013, Marzo 12). Enemies of the Internet [Online]. Disponible: http://surveillance.rsf. org/en/wp-content/uploads/sites/2/2013/03/enemies-of-the-internet_2013.pdf ○ [7] WikiLeaks. (2011, Diciembre 01). The SpyFiles > List of documents > Company Name > GAMMA [Online]. Disponible: https://wikileaks.org/spyfiles/list/company-name/gamma.html ● SpyFiles ○ [1] Satinfo. (2012, Agosto 21).FinFisher: un Malware “legal” que está siendo utilizado por cuerpos gubernamentales para espiar remotamente a usuarios bajo sospecha [Online.] Disponible: http://www.satinfo.es/blog/2012/finfisher/ ○ [2] WikiLeaks. (2014, Septiembre 15) Remote Monitoring Solutions [Online]. Disponible: https://wikileaks. org/spyfiles4/documents/FinSpy-Catalog.pdf ● Análisis Forense ○ Metodos de infeccion ■ [1] The citizen Lab. (2012, Julio 25). From Bahrain With Love: FinFisher’s Spy Kit Exposed? [Online]. Disponible: https: //citizenlab.org/2012/07/from-bahrain-with-love-finfishers-spy-kit-exposed/ ■ [2] Digits. (2011, Noviembre 21). Surveillance Company Says It Sent Fake iTunes, Flash Updates [Online]. Disponible: http://blogs.wsj.com/digits/2011/11/21/surveillance-company-says-it-sent-fake-itunes-flash-updates-documents- Referencias 30
  31. 31. ● Análisis Forense ○ Comportamiento del virus ■ [1] Coding and Security. (2014, Septiembre 19). FinFisher Malware Dropper Analysis [Online]. Disponible: https: //www.codeandsec.com/FinFisher-Malware-Dropper-Analysis ■ [2] FinFucker (2014, Agosto 24). FinSpy analysis Round 1 [Online]. Disponible: https://finfcuker.wordpress. com/2012/08/ ■ [3] WikiLeaks. (2010, Abril 05). Remote Monitoring & Infections Solutions [Online]. Disponible: https://wikileaks. org/spyfiles/files/0/289_GAMMA-201110-FinSpy.pdf Referencias 31
  32. 32. ● Conflicto Político ○ Casos reales ■ [1] Morgan Marquis-Boire, Bill Marczak, Claudio Guarnieri, y John Scott-Railton. (2013, Marzo 13). You Only Click Twice: FinFisher’s Global Proliferation [Online]. Disponible: https://citizenlab.org/2013/03/you-only-click-twice- finfishers-global-proliferation-2/ ■ [2] Claudio Guarnieri. (2012, Agosto 08). Analysis of the FinFisher Lawful Interception Malware [Online]. Disponible: https://community.rapid7.com/community/infosec/blog/2012/08/08/finfisher ■ [3] Shehab Hashem. (2011, Junio 12). About me [Online]. Disponible: http://acoockie.blogspot.com.es/p/about-me. html ■ [4] John Leyden, The Register (2011, Septiembre 21). UK firm denies supplying spyware to Mubarak's secret police [Online]. Disponible: http://www.theregister.co.uk/2011/09/21/egypt_cyber_spy_controversy/ ■ [5] John Leyden, The Register (2011, Septiembre 21). UK firm denies supplying spyware to Mubarak's secret police [Online]. Disponible: https://www.f-secure.com/weblog/archives/00002114.html ■ [6] WikiLeaks. (2014, Septiembre 15) SpyFiles 4 [Online]. Disponible: https://wikileaks.org/spyfiles4/ ■ [7] Mikko Hypponen, F-Secure (2011, Marzo 08). Egypt, FinFisher Intrusion Tools and Ethics [Online]. Disponible: http://www.theguardian.com/uk/2012/nov/28/offshore-company-directors-military-intelligence ■ [8] John Glenday, The Drum (2013, Octubre 24). US spying row escalates as Angela Merkel claims personal mobile phone was hacked [Online]. Disponible: http://www.thedrum.com/news/2013/10/24/us-spying-row-escalates- angela-merkel-claims-personal-mobile-phone-was-hacked Referencias 32
  33. 33. ● Conflicto Político ○ Casos reales ■ [9] John McCarthy, The Drum (2014, Septiembre 16). Germany's Merkel hypocritical on online privacy with FinFisher spy malware exports, claims Julian Assange in latest Wikileak [Online]. Disponible: http://www.thedrum. com/news/2014/09/16/germanys-merkel-hypocritical-online-privacy-finfisher-spy-malware-exports-claims ■ [10] José Luis Lobo, El Confidencial (2013, Julio 05). ¿Nos espía Rajoy? El Gobierno escruta sin control judicial llamadas y correos electrónicos [Online]. Disponible: http://www.elconfidencial.com/espana/2013/07/05/nos-espia- rajoy-el-gobierno-escruta-sin-control-judicial-llamadas-y-correos-electronicos-124355 ○ Legislación ■ [1] Bloomberg. (2012, Diciembre 31). FinSpy Surveillance Tool Takes Over Computers [Online]. Disponible: http: //www.bloomberg.com/video/finspy-surveillance-tool-takes-over-computers-jEyQ3lz_QwWSMWXFIAl28Q.html ■ [2] National Conference of State Legislatures. (2013, Diciembre 13). State Spyware Laws [Online]. Disponible: http: //www.ncsl.org/research/telecommunications-and-information-technology/state-spyware-laws.aspx ■ [3] Arizona State Legislature (2013, Diciembre 13). Chapter 30 Computer Spyware, Article 1 General Provisions, Prohibited activities; applicability. [Online]. Disponible: http://www.azleg.gov/FormatDocument.asp? inDoc=/ars/44/07302.htm&Title=44&DocType=ARS ■ [4] Fiscal General del Estado (2014, Julio 22). Actividad del Ministerio Fiscal, Capítulo III [Online]. Disponible: https: //www.fiscal.es/fiscal/PA_WebApp_SGNTJ_NFIS/descarga/d4_v1c3.pdf?idFile=61f7b101-ff59-4bac-b944- 5a630529be9f Referencias 33
  34. 34. SpyFiles FIB-UPC / SI 2014/12/15 Javier Ferrer - Jaume López - Marc Vijfschaft ¿Preguntas?

×