2. 2
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
• ¿Qué es el GDT? -‐ ¿Qué hacemos?
INTRODUCCIÓN
• Obje<vo
• Incidente
• Resultados
Descripción del ataque
• TTECNOLÓGICA vs TRADICIONAL
INVESTIGACIÓN
CONCLUSIONES
7. 7
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
• ParLculares
• Empresas
• Gobiernos
GesLón
Telecomunicaciones
• España
• Europa
• América
Presencia
Internacional
• Delegaciones -‐ Franquicias.
• Unas 30.000 estaciones de trabajo.
• VPNs, varios sites web, bases de datos,
etc.
Infraestructura
8. 8
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Todo iba muy bien …
……….Hasta que un buen día
9. 9
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
El Departamento de Altas
recibe un correo de una
delegación sobre datos
de nuevos clientes
10. 10
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
¿Y que se hace con un fichero adjunto vía
email, desde una dirección que no
conocemos, con un adjunto con extensión
pdf.exe con un icono muy raro?
11. 11
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Obviamente……
¡¡EJECUTARLO!!
….Es que el AV me
dice que está
“limpio”….
20. 20
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Análisis posible impacto en el
ISP
• Daños sufridos??
• Alta Líneas fraudulentas??
• Modificación Facturación??
WTF???.......
Tenemos un APT!!!
23. 23
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Adquisición memoria
RAM.
• Equipo encendido/apagado.
Clonado discos duros.
• Clonadora.
• DD (Duplicate Disk).
Clonado medios
externos.
• DD (Duplicate Disk). Obtención de pcap en
“vivo”.
• Swich -‐> Port Mirroring.
Obtención de evidencias
25. 25
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Se busca:
Procesos ocultos. Match de firmas. Etc
Herramientas usadas:
Volaglity. Yara Rules. Malfind
Volcado RAM máquinas Windows XP/7.
Análisis Memoria RAM (II)
26. 26
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Descubrimiento en varias máquinas de proceso
denominado “update”.
Asociado a binario update.exe.
– Volcado binario.
Path: Archivos de Programa/update.exe
Match yara rules.
Resultando ser un malware comercial, identificado
como Cibergate.
;-)
Resultados Análisis RAM
29. 29
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Se busca:
Conexiones entrantes/salientes. Match de firmas SNORT.
Herramientas.
Xplico/Networkminer Snort
Se analizan los pcaps obtenidos de los equipos.
Análisis PCAP
30. 30
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Conexiones a múltiples dominios e Ips.
IPs y dominios de.
– Francia.
– USA.
– UK.
– Ucrania.
– Ninguno de España.
Puerto 81/tcp.
Conexiones E/S PCAP
31. 31
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Análisis Disposi<vos Externos
32. 32
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
En general, memorias USB.
– No os podéis imaginar la de cosas que se conectan en
un ordenador.
– Extracción de IDs dispositivos conectados a los equipos.
• setupapi.log
• HKEY_LOCAL_MACHINESYSTEMCurrentControlSet
EnumUSBSTOR
Recuperación borrados.
• Encase
• Foremost.
Conclusión:
– No se encuentra nada concluyente.
– Se descarta el vector vía USB.
Análisis Disposi<vos Externos
33. 33
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Eso sí…
No os podéis imaginar lo que conecta la gente al
ordenador !!
34. 34
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Objetivos:
– Extraer muestras en HDs para su análisis.
• Análisis estático.
• Análisis dinámico.
– Detectar vector de infección.
Herramientas:
– Virtualizador.
– Sysinternals Tools.
– GDT tools.
– OllyDBG.
– Otras.
Análisis HD´s
35. 35
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Se extrae el binario.
– Archivos de Programa/update.exe
– P.E Windows.
– 200 kb.
– Sin packer.
Crypter.
– Basado en Open Source Crypter.
Análisis VT
– Match en 4/48 AVs. (Troyan Generic).
– “Casi” FUD.
Análisis HD´s
37. 37
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Herramienta del tipo RAT.
– Remote Administration Tool.
Reverse connection.
Inyección en procesos del SO.
Upload/Donwload ficheros.
Keylogger.
Acceso a webcam.
Password recovery tools.
– Navegadores.
Caracterís<cas Malware
38. 38
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Es capaz de evitar su ejecución en entornos
virtualizados.
– Técnicas anti-detección VM.
Es capaz de detectar debuggers.
– IsDebuggerPresent.
• Técnica para parchear función:
– Mov EAX.0
– Retn
Delay en su ejecución.
Protecciones Malware
39. 39
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Se encuentran varios emails de clientes que
adjuntan PDFs.
Los equipos usan versiones vulnerables de Adobe
Reader.
El pdf es ejecutado, se abre el PDF y además,
ejecuta el binario incrustado.
CVE-2010-0188 (Adobe)
Los atacantes conocen la operativa interna de la
empresa.
Vectores de Infección
41. 41
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Herramientas:
– Maltego.
Objetivos:
– Buscar información los dominios e IPs extraídas durante
el análisis.
– Dibujar mapa de Ips/Dominios.
– Buscar relaciones entre ellos.
OSINT (II)
42. 42
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Se encuentran referencias:
– Sitios paste:
• Varias Ips pertencen a servers RPD vulnerados.
– Otros:
• Servidores de terceros vulnerados.
• Diversos nicks (foros) relacionados con esas Ips.
– Blacklist
• Varios dominios en listas negras de spam.
OSINT (III)
43. 43
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Conclusiones
Malware del tipo RAT, sin mucha sofisticación, que
permite total acceso a los equipos infectados.
Vector de infección clásico: mediante la explotación
de vulns en Adobe PDF.
– PDF = Penetration Document Format ;-)
Conexiones a múltiples Ips/Dominios.
– Usando estructuras ya vulneradas, al objeto de dificultar
su detección.
Sigue sorprendiendo la “facilidad” para evadir Avs.
44. 44
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Y recordad…
Cuidado con lo que abrimos !!
45. 45
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Francia
USA
UK
Ucrania
LÍNEAS DE INVESTIGACIÓN
47. 47
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
CONEXIONES PROCEDENTES
DE LOCUTORIOS EN ESPAÑA
• Pfffff……. ¿y ahora que?
48. 48
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Posible amenaza a
Infraestructura Crígca
• Ataque Dirigido???
• Espionaje???
Demos una oportunidad a la
invesggación tradicional
50. 50
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Como monegzar el control de
una TELCO??
• Anulación Facturas?
• Cambio Tarifas?
• Altas Fraudulentas?
Adquisición de
terminales
“subvencionados”
51. 51
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Primeros pasos
Cuantas Líneas se dieron de
alta por ese “socio”
Terminales subvencionados
por ese “socio”
Listados de Llamadas
52. 52
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
• Tráfico Llamadas
• Códigos IMEI vinculados a las SIM fraudulentas
• Lugares de envío de tarjetas SIM “preacLvas”
• Datos “clientes” y transacciones bancarias
ANÁLISIS DE LOS DATOS
LOCALIZACIÓN LUGARES ENTREGA
• Determinar:
• Quién gana?
• Cuánto gana?
TITULARES LINEAS 80X-‐90X
54. 54
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
LOCUTORIOS
VENTA SIM Y
TERMINALES
RECEPTOR
DINERO
FRAUDE
55. 55
Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Conclusiones
Mismos Locutorios vinculados aL RAT
Lugar de Venta de las SIM
Titulares&Ingresos Líneas 80X-‐90X
……………oh oh!