Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]

110 views

Published on

Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Roberto Amado - Threat Hunting - Cazando grupos APT [rootedvlc2019]

  1. 1. It’s hunting season
  2. 2. HUNTER!
  3. 3. Arsenal caso ideal ¿Idealmente qué herramientas/fuentes de información se necesitan? • Red: acceso al tráfico de red de lo siguiente • Resoluciones DNS de la organización • Navegación Web (http, https) • Netflow • Otros protocolos como: icmp o netbios. • Endpoint • Monitorización de actividad: SYSMON • Registro antivirus • Capacidades de actuación sobre loa equipos • Servidores • Al menos registro completo de actividad (EventLog/Syslog) • Dispositivos de seguridad • Logs de antivirus, WAF, DLP, etc… • IOCs, TTPs • Estudio previo que identifique las “Joyas de la Corona”
  4. 4. Arsenal caso real En la realidad… Factores no técnicos, digamos políticos… limitan las actuaciones de hunting. Resoluciones DNS de la organización
  5. 5. Hunts DNS Posibles anomalías – Hunts DNS ¿Qué buscar en los registros de resolución DNS? • Dominios que resuelven a 127.0.0.0/8 o ips reservadas 192.168.0.0 • Listar servidores DNS • TOP dominios que resuelven a más Ips (Fastflux) • TOP dominios más largos (max 253) • TOP peticiones resueltas • TOP peticiones no resueltas satisfactoriamente • Peticiones periódicas – usuarios que resuelven un determinado dominio todos los días • TOP dominios con más entropía (Top 11k Alexa es 3.11) • ddqqdwxc232qwsxasd23re131r1234r12ccwef-dq-.muymalo.com • TOP dominios con registro TXT grande/variable • Múltiples subdominios de más de 4 niveles • Ddqqdwx.c232qw.sxasd23re131r1.234r12ccwef-dq-.muymalo.com • Dominios con mayúsculas y minúsculas en su resolución (base64??) • CwqwqShbS5wbA.malicioso.com
  6. 6. Hunts DNS Posibles anomalías – Hunts DNS ¿Qué buscar en los registros de resolución DNS? • Caracteres no permitidos • CwqwqShbS5wbA==.malicioso.com • Uso de punycodes[1] • S2ɡʀupo.com -> xn--s2upo-smc1t • Tipo de petición DNS • Clientes haciendo peticiones TXT (DNS tunneling), AXFR… • TTL bajos (0) • Dominios de creación reciente o/y parecidos a los de la organización • Servicios de DnsDynamico (dyndns, freeddns.org) • Dominios WPAD con gTLD con colisión[2] • Round-robin DNS, balanceo a una IP fuera del ASN. • Distancia de Levenshtein sobre dominios populares • Microsoft, Google, outlook… micorsoft.store
  7. 7. CASO WIRTE
  8. 8. CASO WIRTE
  9. 9. CASO WIRTE inetnum: 185.86.79.0 - 185.86.79.255 netname: UA-GMHOST-NET-79 descr: GMHOST datacentre country: UA org: ORG-AMS18-RIPE admin-c: AM34691-RIPE tech-c: GTC15-RIP Estatus: ASSIGNED PA mnt-by: GMHOST-MNT created: 2016-03-01T10:31:04Z last-modified: 2016-03-01T10:43:02Z source: RIPE organisation: ORG-AMS18-RIPE org-name: Mulgin Alexander Sergeevichor g-type: LIR address: Zavodska 46 address: 29007 address: Khmelnitskiy address: UKRAINE
  10. 10. CASO WIRTE Nos vamos a por el equipo!
  11. 11. CASO WIRTE
  12. 12. CASO WIRTE
  13. 13. CASO WIRTE Temporal del usuario…
  14. 14. CASO WIRTE Análisis del .vbs • Dropea y abre documento Word • Se copia al temporal del usuario
  15. 15. CASO WIRTE Análisis del .vbs • Lanza la puerta trasera con powershell
  16. 16. CASO WIRTE Alertas del antivirus en el equipo
  17. 17. CASO WIRTE Demo de control del equipo
  18. 18. CASO WIRTE Continuando la investigación… Error tipográfico Wirte -> Write sub wirteSCT dim ss dest = path + "ss.s" dest = dest + "ct" ss = "<?XML version=""1.0""?><scriptlet><registration progid=""fdd"" classid=""{F0001111-0000-0000-0000-0000FEEDACDC}""><script language=""JScript""><![CDATA[var r = new ActiveXObject(""WScript.Shell"").Run();]]></script></registration></scriptlet>" wirteFile ss, dest End sub ¿Atribución?
  19. 19. CASO WIRTE Retrohunt en VT-Intel Se identifican 5 documentos más diferentes que cumplen el patrón Wirte • Uno de ellos dirigido aparentemente al Consulado de Kuwait del Consejo de Cooperación de los Estados Árabes del Golfo, organismo altamente importante dentro de los países del Golfo Arábigo. • 2 más subidos desde Palestina. • El autor pretende generar una infección entre los “partner states” de Arabia Saudita, sobre todo a diplomáticos que forman parte del Consejo de Cooperación de los Estados Árabes del Golfo. • Los atacantes además persiguen información con intereses políticos en la zona geográfica de Gaza y Palestina ¿Atribución?
  20. 20. CASO WIRTE Retrohunt en VT-Intel Uno de ellos se hace eco Nick Carr el cual comenta nuestro informe
  21. 21. CASO WIRTE Retrohunt en VT-Intel
  22. 22. CASO WIRTE Los países y grupos APT que podrían estar detrás inicialmente por intereses son: • Iran • Charming Kitten and Copy Kitten • Prince of Persia • Madi • Iran’s Cyber army • APT 34 • Rocket Kitten • Mabna Institute • Siria • SEA (Syrian Electronic Army) • Arabia Saudí • Saudi Arabia crazy hackers • Dahes • Cyber caliphate ¿Atribución? Pero sus TTPs no coinciden con las del atacante por lo que consideramos… Estamos ante un nuevo grupo… WIRTE
  23. 23. CASO WIRTE
  24. 24. BARCELONA BOGOTÁ Llull, 321, 08019 T. (+34) 933 030 060 Calle 89, nº 12-59, T. (+57) 317 647 10 96 info@s2grupo.es www.s2grupo.es www.securityartwork.es www.lab52.es MADRID Velázquez, 150, 2ª planta, 28002 T. (+34) 902 882 992 MÉXICO, D.F. Monte Athos 420 D.F., 11000 México T. (+52) 15521280681 VALENCIA Ramiro de Maeztu 7, 46022 T. (+34) 902 882 992
  25. 25. Referencias • [1] https://www.irongeek.com/homoglyph-attack-generator.php • [2] https://www.ccn-cert.cni.es/documentos-publicos/x-jornadas-stic-ccn-cert/1822-d13-m1-02-s2grupo-roberto-amado/file.html • [3] https://blog.redteam.pl/2019/08/threat-hunting-dns-firewall.html Informe lab52.io caso WIRTE REFERENCIAS https://lab52.io/blog/wirte-group-attacking-the-middle-east/

×