Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.
Rotten ‘phish’:
Maldoc analysis
tricks
Jaume Martín
Sobre mi
Jaume Martín
Ingeniero informático
Máster en seguridad de la información
Empleado en S2 Grupo
Trabajo en CSIRT-CV...
Índice
• ¿Qué es CSIRT-CV?
• Maldoc, ¿Qué? ¿Cómo? ¿Por qué?
• Ejemplos
• Análisis de Maldoc
• Formatos y tipos de ficheros...
¿Qué es CSIRT-CV?
• Centro de seguridad TIC de la Comunidad
Valenciana
• Primer CSIRT de ámbito autonómico
• Objetivos
• G...
5
¿Qué es CSIRT-CV? (II)
@Xumeiquer
La nueva etapa
• Proceso de convergencia tecnológica muy fuerte.
• Al final todos usamos las mismas tecnologías de base.
•...
Plan Valenciano de Capacitación
El objetivo es convertir a las personas que trabajan en una
organización en parte de la lí...
Maldoc, ¿Qué? ¿Cómo? ¿Por qué?
• ¿Qué?
• Ficheros adjuntos
• ¿Cómo?
• Aprovechando un mal parseo del formato
• Aprovechand...
Ejemplos
Grupo: APT19
Maldoc: RTF con CVE-2017-0199 (HTA)
Macro-enabled Microsoft Excel (XLSM)
https://www.fireeye.com/blo...
Grupo: APT32
Maldoc: ActiveMime (.mht) OLE VBA
https://www.fireeye.com/blog/threat-research/2017/05/cyber-espionage-apt32....
Grupo: Dridex
Maldoc: OLE VBA (.xml, .doc)
https://securingtomorrow.mcafee.com/mcafee-labs/banking-malware-dridex-arrives-...
Grupo: Hacintor
Maldoc: OLE VBA (.xml, .doc)
https://www.fireeye.com/blog/threat-research/2016/09/hancitor_aka_chanit.html...
Protected View
https://posts.specterops.io/phishing-against-protected-view-enigma0x3-on-wordpress-com-eed399fca512
13
Ejem...
Análisis de Maldoc
Formatos y tipos de ficheros
• Ofimáticos
• RTF, DOC, DOCX, DOCM, DOTM, …
• PDF
• Scripting
• JScript, ...
Rich Text Format
MIME type: text/rtf
Magic header: {rtf
{rtf1ansi{fonttblf0fswiss
Helvetica;}f0pardRootedCON {b Valencia}
...
Compound File Binary
Magic header: d0 cf 11 e0 a1 b1 1a e1
16
Análisis de Maldoc
Formatos y tipos de ficheros (DOC)
@Xumei...
17
Análisis de Maldoc
Formatos y tipos de ficheros (DOC) (I)
@Xumeiquer
• WordDocument Stream
• 1Table Stream o 0Table Stream
• Data Stream
• The Object Pool Storage
• ObjInfo Stream
• Print Str...
Extensión Tipo
.doc Legacy Word document
.dot Legacy Word templates
.wbt Legacy Word document backup
.docx Word document
....
Extensión Tipo
.xls Legacy Excel worksheets
.xlt Legacy Excel templates
.xlm Legacy Excel macro
.xlsx Excel workbook
.xlsm...
Extensión Tipo
.ppt Legacy PowerPoint presentation
.pot Legacy PowerPoint template
.pps Legacy PowerPoint slideshow
.pptx ...
• ZIP como formato de fichero.
• En caso de inconsistencia en un fichero no hace
inservible el documento.
• Los ficheros s...
• Lenguaje de macros (Visual Basic for Applicarions)
• Subconjunto casi completo de Visual Basic 5.0 y 6.0
• Se integra en...
https://youtu.be/ax2UBISNv2A
Análisis de Maldoc
Ejemplo VBA Macro
@Xumeiquer
Portable Document Format
MIME type: application/pdf
Magic header: %PDF
25
Análisis de Maldoc
Formatos y tipos de ficheros ...
Peculiaridades
• Nombres
• Codificación en hexadecimal
• Strings
• Escapado de saltos de línea
• Codificación en octal
• C...
Peculiaridades
• Nombres
• Codificación en hexadecimal
• Strings
• Escapado de saltos de línea
• Codificación en octal
• C...
• peepdf / pdftools / …
• oledump / rtfdump / oletools / …
• Yara
• Hex editor
• …
PARA DOCUMENTOS PARA EL ENTORNO
• Wires...
1. DOC con Macro.
2. PDF con DOC embebido.
3. RTF con DOC embebido y con Shellcode.
29
Análisis de Maldoc
Manual
DEMO
@Xum...
PROS
• Entornos controlados
• Resultados rápidos
• Automatización de análisis
• Varias ejecuciones con distinto software (...
Conclusiones
• Las herramientas de análisis no son perfectas.
• Los análisis automáticos fallan muchas veces.
• Los anális...
32
Preguntas
@Xumeiquer
GRACIAS!
33
Próxima SlideShare
Cargando en…5
×

Jaume Martín - Rotten 'phish': Maldoc analysis tricks [rootedvlc4]

280 visualizaciones

Publicado el

Los bad guys de Internet saben como explotar el eslabón más débil y como conseguir acceso a las organizaciones mediante archivos adjuntos en los phishings. La charla trata de mostrar algunos phishings de los principales actores, así como mostrar algunos métodos de detección manual y automatizada y como analizarlos para extraer el "podrido" del pescado.

Publicado en: Tecnología
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Jaume Martín - Rotten 'phish': Maldoc analysis tricks [rootedvlc4]

  1. 1. Rotten ‘phish’: Maldoc analysis tricks Jaume Martín
  2. 2. Sobre mi Jaume Martín Ingeniero informático Máster en seguridad de la información Empleado en S2 Grupo Trabajo en CSIRT-CV Twitter: @Xumeiquer 2
  3. 3. Índice • ¿Qué es CSIRT-CV? • Maldoc, ¿Qué? ¿Cómo? ¿Por qué? • Ejemplos • Análisis de Maldoc • Formatos y tipos de ficheros • Herramientas • Manual (demo) • Automático • Conclusiones 3@Xumeiquer
  4. 4. ¿Qué es CSIRT-CV? • Centro de seguridad TIC de la Comunidad Valenciana • Primer CSIRT de ámbito autonómico • Objetivos • Generación de confianza • Concienciación • Respuesta a incidentes 4@Xumeiquer
  5. 5. 5 ¿Qué es CSIRT-CV? (II) @Xumeiquer
  6. 6. La nueva etapa • Proceso de convergencia tecnológica muy fuerte. • Al final todos usamos las mismas tecnologías de base. • Entorno hiperconectado e hipertecnológico. • Dificultad identificación del perímetro de una organización. • Nueva frontera: Las personas. 6 ¿Qué es CSIRT-CV? (III) @Xumeiquer
  7. 7. Plan Valenciano de Capacitación El objetivo es convertir a las personas que trabajan en una organización en parte de la línea de ciberdefensa. Human Firewall 7 ¿Qué es CSIRT-CV? (III) @Xumeiquer • Proteger en el ámbito personal y profesional. • Establecer cultura de seguridad de la información. • Conocer y evitar las principales amenazas, proporcionando el conocimiento para hacerles frente. • Hacer conocer y aplicar las medidas de protección básicas.
  8. 8. Maldoc, ¿Qué? ¿Cómo? ¿Por qué? • ¿Qué? • Ficheros adjuntos • ¿Cómo? • Aprovechando un mal parseo del formato • Aprovechando un 0-day • Ejecutando una Macro • Ejecutando un Windows Shell Script • ¿Por qué? • Grupos APT • Grupos Financieros • Ciber-delincuentes 8@Xumeiquer
  9. 9. Ejemplos Grupo: APT19 Maldoc: RTF con CVE-2017-0199 (HTA) Macro-enabled Microsoft Excel (XLSM) https://www.fireeye.com/blog/threat-research/2017/06/phished-at-the-request-of-counsel.html 9@Xumeiquer
  10. 10. Grupo: APT32 Maldoc: ActiveMime (.mht) OLE VBA https://www.fireeye.com/blog/threat-research/2017/05/cyber-espionage-apt32.html 10 Ejemplos @Xumeiquer
  11. 11. Grupo: Dridex Maldoc: OLE VBA (.xml, .doc) https://securingtomorrow.mcafee.com/mcafee-labs/banking-malware-dridex-arrives-via-phishing-email/ 11 Ejemplos @Xumeiquer
  12. 12. Grupo: Hacintor Maldoc: OLE VBA (.xml, .doc) https://www.fireeye.com/blog/threat-research/2016/09/hancitor_aka_chanit.html 12 Ejemplos @Xumeiquer
  13. 13. Protected View https://posts.specterops.io/phishing-against-protected-view-enigma0x3-on-wordpress-com-eed399fca512 13 Ejemplos @Xumeiquer
  14. 14. Análisis de Maldoc Formatos y tipos de ficheros • Ofimáticos • RTF, DOC, DOCX, DOCM, DOTM, … • PDF • Scripting • JScript, VBScript • Binarios • ISO • Zip • Binarios 14@Xumeiquer
  15. 15. Rich Text Format MIME type: text/rtf Magic header: {rtf {rtf1ansi{fonttblf0fswiss Helvetica;}f0pardRootedCON {b Valencia} 2017.par} 15 Análisis de Maldoc Formatos y tipos de ficheros (RTF) @Xumeiquer
  16. 16. Compound File Binary Magic header: d0 cf 11 e0 a1 b1 1a e1 16 Análisis de Maldoc Formatos y tipos de ficheros (DOC) @Xumeiquer
  17. 17. 17 Análisis de Maldoc Formatos y tipos de ficheros (DOC) (I) @Xumeiquer
  18. 18. • WordDocument Stream • 1Table Stream o 0Table Stream • Data Stream • The Object Pool Storage • ObjInfo Stream • Print Stream • Eprint Stream • Custom XML Data Storage • Summary Information Stream • Document Summary Information Stream • Encryption Stream • Macros Storage • XML Signatures Storage • Signatures Stream • Information Rights Management Data Space Storage • Protected Content Stream Obligatorios Opcionales 18 Análisis de Maldoc Formatos y tipos de ficheros (DOC) (II) @Xumeiquer
  19. 19. Extensión Tipo .doc Legacy Word document .dot Legacy Word templates .wbt Legacy Word document backup .docx Word document .docm Word macro-enabled document .dotx Word template .dotm Word macro-enabled template .docb Word binary document Extensiones Microsoft Word 19 Análisis de Maldoc Formatos y tipos de ficheros (DOC) (III) @Xumeiquer
  20. 20. Extensión Tipo .xls Legacy Excel worksheets .xlt Legacy Excel templates .xlm Legacy Excel macro .xlsx Excel workbook .xlsm Excel macro-enabled workbook .xltx Excel template .xltm Excel macro-enabled template .xlsb Excel binary worksheet .xla Excel add-in or macro .xlam Excel add-in .xll Excel XLL add-in .xlw Excel work space Extensiones Microsoft Excel 20 Análisis de Maldoc Formatos y tipos de ficheros (DOC) (IV) @Xumeiquer
  21. 21. Extensión Tipo .ppt Legacy PowerPoint presentation .pot Legacy PowerPoint template .pps Legacy PowerPoint slideshow .pptx PowerPoint presentation .pptm PowerPoint macro-enabled presentation .potx PowerPoint template .potm PowerPoint macro-enabled template .ppam PowerPoint add-in .ppsx PowerPoint slideshow .ppsm PowerPoint macro-enabled slideshow .sldx PowerPoint slide .sldm PowerPoint macro-enabled slide 21 Análisis de Maldoc Formatos y tipos de ficheros (DOC) (V) @Xumeiquer Extensiones Microsoft PowerPoint
  22. 22. • ZIP como formato de fichero. • En caso de inconsistencia en un fichero no hace inservible el documento. • Los ficheros son binarios, XML, Macros, ActiveX, … 22 Análisis de Maldoc Formatos y tipos de ficheros (DOCX) @Xumeiquer
  23. 23. • Lenguaje de macros (Visual Basic for Applicarions) • Subconjunto casi completo de Visual Basic 5.0 y 6.0 • Se integra en Microsoft Office Sub ObtenerFecha() MsgBox "La fecha es " & Format(Now(), "dd-mm-yyyy") End Sub 23 Análisis de Maldoc Formatos y tipos de ficheros (VBA) @Xumeiquer
  24. 24. https://youtu.be/ax2UBISNv2A Análisis de Maldoc Ejemplo VBA Macro @Xumeiquer
  25. 25. Portable Document Format MIME type: application/pdf Magic header: %PDF 25 Análisis de Maldoc Formatos y tipos de ficheros (PDF) @Xumeiquer
  26. 26. Peculiaridades • Nombres • Codificación en hexadecimal • Strings • Escapado de saltos de línea • Codificación en octal • Codificación en hexadecimal • Hexadecimal con espaciado en blanco • Cifrado 26 Análisis de Maldoc Formatos y tipos de ficheros (PDF) (I) @Xumeiquer
  27. 27. Peculiaridades • Nombres • Codificación en hexadecimal • Strings • Escapado de saltos de línea • Codificación en octal • Codificación en hexadecimal • Hexadecimal con espaciado en blanco • Cifrado 27 Análisis de Maldoc Formatos y tipos de ficheros (PDF) (I) @Xumeiquer
  28. 28. • peepdf / pdftools / … • oledump / rtfdump / oletools / … • Yara • Hex editor • … PARA DOCUMENTOS PARA EL ENTORNO • Wireshark • Inetsim • Disassembler/Debugger • Entorno virtualizado • … 28 Análisis de Maldoc Herramientas @Xumeiquer
  29. 29. 1. DOC con Macro. 2. PDF con DOC embebido. 3. RTF con DOC embebido y con Shellcode. 29 Análisis de Maldoc Manual DEMO @Xumeiquer
  30. 30. PROS • Entornos controlados • Resultados rápidos • Automatización de análisis • Varias ejecuciones con distinto software (versiones) CONTRAS • Entornos fácilmente detectables • Fáciles de bypasear 30 Análisis de Maldoc Automático @Xumeiquer
  31. 31. Conclusiones • Las herramientas de análisis no son perfectas. • Los análisis automáticos fallan muchas veces. • Los análisis manuales son costosos. • Las organizaciones de ciberdelincuentes se toman los ataque en serio utilizando técnicas avanzadas y elaboradas. 31@Xumeiquer
  32. 32. 32 Preguntas @Xumeiquer
  33. 33. GRACIAS! 33

×