Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Jaume Martín - Rotten 'phish': Maldoc analysis tricks [rootedvlc4]

326 visualizaciones

Publicado el

Los bad guys de Internet saben como explotar el eslabón más débil y como conseguir acceso a las organizaciones mediante archivos adjuntos en los phishings. La charla trata de mostrar algunos phishings de los principales actores, así como mostrar algunos métodos de detección manual y automatizada y como analizarlos para extraer el "podrido" del pescado.

Publicado en: Tecnología
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Jaume Martín - Rotten 'phish': Maldoc analysis tricks [rootedvlc4]

  1. 1. Rotten ‘phish’: Maldoc analysis tricks Jaume Martín
  2. 2. Sobre mi Jaume Martín Ingeniero informático Máster en seguridad de la información Empleado en S2 Grupo Trabajo en CSIRT-CV Twitter: @Xumeiquer 2
  3. 3. Índice • ¿Qué es CSIRT-CV? • Maldoc, ¿Qué? ¿Cómo? ¿Por qué? • Ejemplos • Análisis de Maldoc • Formatos y tipos de ficheros • Herramientas • Manual (demo) • Automático • Conclusiones 3@Xumeiquer
  4. 4. ¿Qué es CSIRT-CV? • Centro de seguridad TIC de la Comunidad Valenciana • Primer CSIRT de ámbito autonómico • Objetivos • Generación de confianza • Concienciación • Respuesta a incidentes 4@Xumeiquer
  5. 5. 5 ¿Qué es CSIRT-CV? (II) @Xumeiquer
  6. 6. La nueva etapa • Proceso de convergencia tecnológica muy fuerte. • Al final todos usamos las mismas tecnologías de base. • Entorno hiperconectado e hipertecnológico. • Dificultad identificación del perímetro de una organización. • Nueva frontera: Las personas. 6 ¿Qué es CSIRT-CV? (III) @Xumeiquer
  7. 7. Plan Valenciano de Capacitación El objetivo es convertir a las personas que trabajan en una organización en parte de la línea de ciberdefensa. Human Firewall 7 ¿Qué es CSIRT-CV? (III) @Xumeiquer • Proteger en el ámbito personal y profesional. • Establecer cultura de seguridad de la información. • Conocer y evitar las principales amenazas, proporcionando el conocimiento para hacerles frente. • Hacer conocer y aplicar las medidas de protección básicas.
  8. 8. Maldoc, ¿Qué? ¿Cómo? ¿Por qué? • ¿Qué? • Ficheros adjuntos • ¿Cómo? • Aprovechando un mal parseo del formato • Aprovechando un 0-day • Ejecutando una Macro • Ejecutando un Windows Shell Script • ¿Por qué? • Grupos APT • Grupos Financieros • Ciber-delincuentes 8@Xumeiquer
  9. 9. Ejemplos Grupo: APT19 Maldoc: RTF con CVE-2017-0199 (HTA) Macro-enabled Microsoft Excel (XLSM) https://www.fireeye.com/blog/threat-research/2017/06/phished-at-the-request-of-counsel.html 9@Xumeiquer
  10. 10. Grupo: APT32 Maldoc: ActiveMime (.mht) OLE VBA https://www.fireeye.com/blog/threat-research/2017/05/cyber-espionage-apt32.html 10 Ejemplos @Xumeiquer
  11. 11. Grupo: Dridex Maldoc: OLE VBA (.xml, .doc) https://securingtomorrow.mcafee.com/mcafee-labs/banking-malware-dridex-arrives-via-phishing-email/ 11 Ejemplos @Xumeiquer
  12. 12. Grupo: Hacintor Maldoc: OLE VBA (.xml, .doc) https://www.fireeye.com/blog/threat-research/2016/09/hancitor_aka_chanit.html 12 Ejemplos @Xumeiquer
  13. 13. Protected View https://posts.specterops.io/phishing-against-protected-view-enigma0x3-on-wordpress-com-eed399fca512 13 Ejemplos @Xumeiquer
  14. 14. Análisis de Maldoc Formatos y tipos de ficheros • Ofimáticos • RTF, DOC, DOCX, DOCM, DOTM, … • PDF • Scripting • JScript, VBScript • Binarios • ISO • Zip • Binarios 14@Xumeiquer
  15. 15. Rich Text Format MIME type: text/rtf Magic header: {rtf {rtf1ansi{fonttblf0fswiss Helvetica;}f0pardRootedCON {b Valencia} 2017.par} 15 Análisis de Maldoc Formatos y tipos de ficheros (RTF) @Xumeiquer
  16. 16. Compound File Binary Magic header: d0 cf 11 e0 a1 b1 1a e1 16 Análisis de Maldoc Formatos y tipos de ficheros (DOC) @Xumeiquer
  17. 17. 17 Análisis de Maldoc Formatos y tipos de ficheros (DOC) (I) @Xumeiquer
  18. 18. • WordDocument Stream • 1Table Stream o 0Table Stream • Data Stream • The Object Pool Storage • ObjInfo Stream • Print Stream • Eprint Stream • Custom XML Data Storage • Summary Information Stream • Document Summary Information Stream • Encryption Stream • Macros Storage • XML Signatures Storage • Signatures Stream • Information Rights Management Data Space Storage • Protected Content Stream Obligatorios Opcionales 18 Análisis de Maldoc Formatos y tipos de ficheros (DOC) (II) @Xumeiquer
  19. 19. Extensión Tipo .doc Legacy Word document .dot Legacy Word templates .wbt Legacy Word document backup .docx Word document .docm Word macro-enabled document .dotx Word template .dotm Word macro-enabled template .docb Word binary document Extensiones Microsoft Word 19 Análisis de Maldoc Formatos y tipos de ficheros (DOC) (III) @Xumeiquer
  20. 20. Extensión Tipo .xls Legacy Excel worksheets .xlt Legacy Excel templates .xlm Legacy Excel macro .xlsx Excel workbook .xlsm Excel macro-enabled workbook .xltx Excel template .xltm Excel macro-enabled template .xlsb Excel binary worksheet .xla Excel add-in or macro .xlam Excel add-in .xll Excel XLL add-in .xlw Excel work space Extensiones Microsoft Excel 20 Análisis de Maldoc Formatos y tipos de ficheros (DOC) (IV) @Xumeiquer
  21. 21. Extensión Tipo .ppt Legacy PowerPoint presentation .pot Legacy PowerPoint template .pps Legacy PowerPoint slideshow .pptx PowerPoint presentation .pptm PowerPoint macro-enabled presentation .potx PowerPoint template .potm PowerPoint macro-enabled template .ppam PowerPoint add-in .ppsx PowerPoint slideshow .ppsm PowerPoint macro-enabled slideshow .sldx PowerPoint slide .sldm PowerPoint macro-enabled slide 21 Análisis de Maldoc Formatos y tipos de ficheros (DOC) (V) @Xumeiquer Extensiones Microsoft PowerPoint
  22. 22. • ZIP como formato de fichero. • En caso de inconsistencia en un fichero no hace inservible el documento. • Los ficheros son binarios, XML, Macros, ActiveX, … 22 Análisis de Maldoc Formatos y tipos de ficheros (DOCX) @Xumeiquer
  23. 23. • Lenguaje de macros (Visual Basic for Applicarions) • Subconjunto casi completo de Visual Basic 5.0 y 6.0 • Se integra en Microsoft Office Sub ObtenerFecha() MsgBox "La fecha es " & Format(Now(), "dd-mm-yyyy") End Sub 23 Análisis de Maldoc Formatos y tipos de ficheros (VBA) @Xumeiquer
  24. 24. https://youtu.be/ax2UBISNv2A Análisis de Maldoc Ejemplo VBA Macro @Xumeiquer
  25. 25. Portable Document Format MIME type: application/pdf Magic header: %PDF 25 Análisis de Maldoc Formatos y tipos de ficheros (PDF) @Xumeiquer
  26. 26. Peculiaridades • Nombres • Codificación en hexadecimal • Strings • Escapado de saltos de línea • Codificación en octal • Codificación en hexadecimal • Hexadecimal con espaciado en blanco • Cifrado 26 Análisis de Maldoc Formatos y tipos de ficheros (PDF) (I) @Xumeiquer
  27. 27. Peculiaridades • Nombres • Codificación en hexadecimal • Strings • Escapado de saltos de línea • Codificación en octal • Codificación en hexadecimal • Hexadecimal con espaciado en blanco • Cifrado 27 Análisis de Maldoc Formatos y tipos de ficheros (PDF) (I) @Xumeiquer
  28. 28. • peepdf / pdftools / … • oledump / rtfdump / oletools / … • Yara • Hex editor • … PARA DOCUMENTOS PARA EL ENTORNO • Wireshark • Inetsim • Disassembler/Debugger • Entorno virtualizado • … 28 Análisis de Maldoc Herramientas @Xumeiquer
  29. 29. 1. DOC con Macro. 2. PDF con DOC embebido. 3. RTF con DOC embebido y con Shellcode. 29 Análisis de Maldoc Manual DEMO @Xumeiquer
  30. 30. PROS • Entornos controlados • Resultados rápidos • Automatización de análisis • Varias ejecuciones con distinto software (versiones) CONTRAS • Entornos fácilmente detectables • Fáciles de bypasear 30 Análisis de Maldoc Automático @Xumeiquer
  31. 31. Conclusiones • Las herramientas de análisis no son perfectas. • Los análisis automáticos fallan muchas veces. • Los análisis manuales son costosos. • Las organizaciones de ciberdelincuentes se toman los ataque en serio utilizando técnicas avanzadas y elaboradas. 31@Xumeiquer
  32. 32. 32 Preguntas @Xumeiquer
  33. 33. GRACIAS! 33

×