Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Siguiendo la pista a un pederasta en la red

1,537 views

Published on

Charla impartida por Pedro Sánchez, en el I Curso de Verano de Informática Forense de la Universidad de A Coruña.

Published in: Technology

Siguiendo la pista a un pederasta en la red

  1. 1. Diario de un pederasta Pedro Sánchez Http://conexioninversa.blogspot.com
  2. 2. Whoami <ul><li>He trabajado en importantes empresas como consultor especializado en Computer Forensics, Honeynets, detección de intrusiones, redes trampa y pen-testing. He implantado normas ISO 27001, CMMI (nivel 5) y diversas metodologías de seguridad. También colaboro sobre seguridad y análisis forense informático con diversas organizaciones comerciales y con las fuerzas de seguridad del estado, especialmente con el Grupo de Delitos Telemáticos de la Guadia Civil y la Brigada de Investigación Tecnológica de la policia nacional. También he participado en las jornadas JWID/CWID organizadas por el ministerio de defensa, en donde obtuve la certificación nato secret. Actualmente soy miembro de la Spanish Honeynet Project y trabajo como Information Security and Forensics Consultant para dos grandes compañías como Bitdefender y Google inc. </li></ul>
  3. 3. http://conexioninversa.blogspot.com
  4. 6. Ayer recordábamos El malware tiene muchas formas
  5. 7. Y vimos con volatility que se podía obtener el .EXE
  6. 8. Instalación de un laboratorio Los sistemas más conocidos de virtualización: * VMWare * Windows Virtual PC * Microsoft Virtual PC * VirtualBox 1
  7. 9. Instala herramientas de análisis de comportamiento. Para ello necesitaremos utilidades que nos muestren/monitoricen: El sistema de ficheros y el registro (Windows): Process Monitor , Capture BAT o alguna otra herramienta que nos muestre que ficheros o partes del registro toca el malware. Los procesos: Process Explorer, Process Hacker , etc. Aquí necesitamos ver como se mueve el proceso en memoria, que proceso/s crea, etc. La red: WireShark, SmartSniff, etc. Esnifar la red por supuesto para controlar que tipo de peticiones hace, protocolo y destino de las mismas. Cambios en el sistema: RegShot . También es deseable hacer una copia del sistema y después de soltar al bicho, comparar el estado de antes y después para ver las diferencias. 2
  8. 10. herramientas de análisis de código Ahora viene lo más divertido, ver que demonios hace el software, como funciona, como piensa y que decisiones toma en base a que factores. Desensambladores / depuradores: OllyDbg, IDA Pro, Immunity Debugger , etc. . Volcadores de memoria: LordPE, OllyDump , etc. 3
  9. 11. herramientas de análisis online Hacer uso de herramientas disponibles en la red también te puede arrojar mucha luz a tu análisis. * Anubis * CWSandbox * Joebox * Norman Sandbox * ThreatExpert 4
  10. 12. CaptureBAT.EXE Suelo emplear:
  11. 13. Suelo emplear:
  12. 16. Pero...si quieres algo de verdad
  13. 18. En resumen el troyano hace: <ul><li>Crea una carpeta temporal con un nombre aleatorio en la máquina infectada </li></ul><ul><li>Se conecta a las URLs y se descarga un fichero llamado bru.exe que inhabilita una lista de antivirus conocidos </li></ul><ul><li>Su actividad es la siguiente: </li></ul><ul><li>Su resolución de nombres es: ns1.4chan.org, ns2.mydyndns.org, ns3.mydyndns.org, </li></ul><ul><li>Se conecta por HTTP: 204.152.204.166/AF33FROKLIM550101 </li></ul><ul><li>Se descarga el fichero hot.rar en la carpeta aleatoria y lo descomprime (contiene alto nivel sexual con menores) </li></ul><ul><li>En los ficheros analizados hace referencia a cierto blogs con contenido de menores y pornografía infantil </li></ul>
  14. 24. [email_address]
  15. 25. [email_address] <ul><li>En tarragona reciben una denuncia de unos padres cuya menor ha tenido relaciones sexuales con un adulto. Disponen de más denuncias sobre acoso desde esta dirección de correo. </li></ul><ul><li>Se solicitan los datos previa petición judicial a Hotmail </li></ul><ul><li>El análisis de las cabeceras de correo indican en muchos de ellos que proviene de un cibercafé. </li></ul>
  16. 26. LA TRAMPA
  17. 27. LA TRAMPA <ul><li>PLAN A: </li></ul><ul><li>Se intenta tomar el router para su monitorización </li></ul><ul><li>PLAN B: </li></ul><ul><li>Se sustituye la wifi por otra de las mismas características (con un sniffer) </li></ul>
  18. 31. A partir de aquí... <ul><li>Se pasa al plan B </li></ul><ul><li>Se utilizo NetWinnes y Whireshark filtrando las ip's sospechosas </li></ul><ul><li>Se obtuvo evidencias de envío de correos con contenido sexual explicito,acoso y acceso a blogs con pornografía infantil </li></ul>
  19. 33. <ul><li>GRACIAS... </li></ul><ul><li>Más en: </li></ul><ul><li>Http://conexioninversa.blogspot.com </li></ul><ul><li>Http://www.malwarecity.com </li></ul><ul><li>http://twitter.com/#!/ConexionInversa </li></ul><ul><li>[email_address] </li></ul>

×