SlideShare una empresa de Scribd logo

Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]

RootedCON
RootedCON

En la actualidad existen cada vez más noticias sobre supuestos ciberataques desde Rusia y otros actores hacia intereses tanto públicos como privados de países de nuestro entorno. Estos ciberataques parece que han servido para sustraer información estratégica y competitiva que ha sido utilizada para posteriores acciones como manipulación del mercado o afectación a la continuidad del negocio de compañías estratégicas. Sin embargo, la atribución de estos ataques sigue siendo un tanto difusa y se basa sobre todo en el análisis técnico de las herramientas usadas por los atacantes como exploits, malware, infraestructura de red, etc, y en la información obtenida a través de una incipiente disciplina llamada "ciberinteligencia", que parece que está llamada a ser uno de los grandes pilares de la ciberseguridad en las organizaciones tanto públicas como privadas en los próximos años.En esta charla se quiere mostrar como los actores del tipo estado diseñan y ejecutan operaciones de obtención de información mediante el uso de Internet para mostrar lo que los ponentes consideran errores en la atribución acerca del origen de los ciberataques que se realizan actualmente. Además, se mostrará como la ciberinteligencia tal como es planteada actualmente, es incapaz de precedir este tipo de acciones, siendo algo más reactivo que predictivo.

Tecnología
1 de 80
Descargar para leer sin conexión
¿Otra vez tú, Tovarich?
Quienes somos # Javier Rodríguez Responsable Departamento Inteligencia Tarlogic Security Miembro de fundación Comunidad de Inteligencia y Seguridad Global y Strategic and Competitive Intelligence Professionals. Arreglo lavadoras;-) Procedencia: Seguridad Pública – Guardia Civil. # David Sánchez Miembro Departamento Ciberseguridad de Tarlogic Security.
¿De qué va esta charla? q Los medios generalistas cada vez hablan más de los ciberataques. q Focalizan sus intenciones y sobre todo la atribución de los mismos en el caso de actores tipo Estado. q En una amplia mayoría de los casos ¿Quién dicen que es el culpable?
Este señor
Rusia …
En esta charla intentaremos mostrar # Como se están haciendo actualmente las atribuciones de los APTs. # Tácticas, Técnicas y procedimientos de: Actores tipo Estado Crimen organizado Inteligencia Económica (*) # Y si da tiempo, la ciber inteligencia… 12/3/18 www.tarlogic.com 6
Pero antes … # Algo importante….. # Me suelen preguntar ¿y este cambio de lo público a lo privado? 12/3/18 www.tarlogic.com 7
Yo venía de la seguridad pública… 12/3/18 www.tarlogic.com 8
Yo venía de la seguridad pública… 12/3/18 www.tarlogic.com 9 A este seguro que le conocéis A ellas me gustaría conocerlas
Y ahora … 12/3/18 www.tarlogic.com 10 # Tarlogic Security
Y que hablamos de inteligencia.. # Como es la vida de un infiltrado en Tarlogic
Pues muy dura ... 12/3/18 www.tarlogic.com 12
Pues muy dura ... 12/3/18 www.tarlogic.com 13 Lo que comen en Tarlogic Lo que beben en Tarlogic Criptograma …
Ahora sí … # Retomando el tema … 12/3/18 www.tarlogic.com 14
La charla # Estudio técnico de varios malwares atribuidos a actores del tipo Estado. # Análisis de las técnicas, tácticas y procedimientos de un actor tipo Estado en el campo “ciber”. # Análisis de las técnicas, tácticas y procedimientos de un grupo organizado en el ámbito “ciber”. 12/3/18 www.tarlogic.com 15
Muestras a analizar # Análisis de malware APTs Ransomware # Ejemplos Wannacry Duqu 2.0 Petya/NotPetya Babar # Agradecimientos Tzaoh Batchdrake Tarlogic en general ;-) 12/3/18 www.tarlogic.com 16
Definiciones: ransomware “Un ransomware es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción.” 12/3/18 www.tarlogic.com 17
Definiciones: APT “Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos y continuos de piratería informática, a menudo orquestada por humanos, dirigido a una entidad específica” 12/3/18 www.tarlogic.com 18
Definiciones # Para que nos entendamos: Herramienta malware Con un objetivo: exfiltración de datos, ciberespionaje, beneficio económico… Perdura en el tiempo Distribuida por una organización 12/3/18 www.tarlogic.com 19
Wannacry # Wannacry # Tipo de malware: ransomware # Descubrimiento: Mayo 2017 # Primera muestra: El 12 de mayo sobre las 12:00 horas del mediodía, se comienzan a tener las primeras informaciones sobre un ciberataque a gran escala 12/3/18 www.tarlogic.com 20
Wannacry # Características técnicas Crea un nuevo servicio llamado mssecsvc2.0 Intenta propagarse por la red interna de la víctima mediante la conocida vulnerabilidad “EternalBlue”. Extrae desde sus propios recursos un nuevo ejecutable en el directorio C:Windows con el nombre tasksche.exe 12/3/18 www.tarlogic.com 21
Wannacry # Análisis de tasksche.exe Estos ficheros contienen información necesaria para la correcta ejecución de las funcionalidades de cifrado, notificación y cobro del ransomware Misma contraseña: WNcry@2ol7 12/3/18 www.tarlogic.com 22
Wannacry # Que encontramos: RTF en distintos idiomas con mensajes de información Dominios .onion Wallets de bitcoins 12/3/18 www.tarlogic.com 23
Wannacry # Vector de infección Eternal Blue, el cual explota la vulnerabilidad de ejecución remota de código CVE-2017-0144 (resuelta en la actualización MS17-010) DoublePulsar 12/3/18 www.tarlogic.com 24
Wannacry # Impacto global Miles de ordenadores infectados en todo el mundo (>200,000) 12/3/18 www.tarlogic.com 25
Wannacry # Atribuciones Análisis lingüístico determina que los programadores hablan correctamente Inglés o Chino Symantec y Kaspersky hablan de similitud de código atribuido anteriormente a LazarusGroup 12/3/18 www.tarlogic.com 26
Duqu 2.0 # Duqu 2.0 12/3/18 www.tarlogic.com 27
Duqu 2.0 # Duqu 2.0 # Tipo de malware: APT # Descubrimiento: 2015 # Primera muestra: 2011/2014 12/3/18 www.tarlogic.com 28
Duqu 2.0 # Análisis técnico: Realmente difícil de conseguir una muestra Se distribuye como paquete MSI Los nombres de las DLLs de la backdoor están ofuscadas con una clave xor de 32 bits Múltiples cifrados implementados Distintas firmas encontradas 12/3/18 www.tarlogic.com 29
Duqu 2.0 # Camellia 12/3/18 www.tarlogic.com 30 # Serpent
Duqu 2.0 # Análisis técnico Kaspersky https://cdn.securelist.com/files/2015/06/The_Mystery_of_Duqu_2_ 0_a_sophisticated_cyberespionage_actor_returns.pdf # Infección mediante el uso de tres 0-day CVE-2015-2360; CVE-2014-4148; CVE-2014-6324; # Firmado con certificado Foxconn # Más de 100 plugins 12/3/18 www.tarlogic.com 31
Duqu 2.0 # ¿Persistencia? Se ejecutaba en memoria y se borraba en cada reinicio Instalación de drivers en gateways y recursos de red # Exfiltración de datos mediante imágenes cifradas 12/3/18 www.tarlogic.com 32
Duqu 2.0 # Impacto Menos de 100 equipos Infección a Kaspersky mediante spear-phishing # Atribución según Kaspersky Flags erróneos : nombres chinos, uso de Camellia Ataques los miércoles Sin logs los viernes y sin actividad los sábados Considerado el “hermanastro” de Stuxnet 12/3/18 www.tarlogic.com 33
Petya/NotPetya # Petya/NotPetya # Tipo de malware: Ransomware/Wiper # Descubrimiento: 2017 # Primera muestra: A través del software de gestión MEDoc, en Ucrania. 12/3/18 www.tarlogic.com 34
Petya/NotPetya # Ransomware DLL C:windowsperfc.dat Rundll32.exe “C:Windowsperfc.dat”,#1 18 [“username1:pass1”] Se ejecuta en memoria y se borra a sí mismo # Uso de EternalBlue # Robo de credenciales con mimikatz 12/3/18 www.tarlogic.com 35
Petya/NotPetya # Funcionamiento Infecta el equipo Modifica el MBR Fuerza el reinicio Simula CHKDSK 12/3/18 www.tarlogic.com 36
Petya/NotPetya Genera una “installation key” Cifra con Salsa20 12/3/18 www.tarlogic.com 37
Petya/NotPetya # Impacto Imagen de Symantec con los países más afectados 12/3/18 www.tarlogic.com 38
Petya/NotPetya # Atribución https://www.whitehouse.gov/briefings-statements/statement-press-secretary-25/ 12/3/18 www.tarlogic.com 39
Babar # Babar # Tipo de malware: APT # Descubrimiento: 2015 # Primera muestra: Snowden lo data de una operación de 2009 12/3/18 www.tarlogic.com 40
Babar # Muestra analizada: Cifrado con AES # Fichero de configuración: Clave y offset almacenados en el payload # Objetivo Interceptar comunicaciones Compañías de Europa, Canadá o África 12/3/18 www.tarlogic.com 41 excel.exe, winword.exe, powerpnt.exe, visio.exe, acrord32.exe, notepad.exe, wordpad.exe txt, rtf, xls, xlsx, ppt, ppts, doc, docx, pdf, vsd skype.exe, msnmsgr.exe, oovoo.exe, nimbuzz.exe, googletalk.exe, yahoomessenger.exe, x-lite.exe hxxp://www.horizons-tourisme.com/_vti_bin/_vti_msc/bb/index.php hxxp://www.gezelimmi.com/wp-includes/misc/bb/index.php
Babar # Nombre interno: Babar Serie de dibujos francesa # Mensajes de depuración activados 12/3/18 www.tarlogic.com 42
Babar # Atribución Grupo Animal Farm 12/3/18 www.tarlogic.com 43
Resumen Tipo Sofisticación Recursos Distribución Wannacry Ransomware Media C&C Nodos Tor EternalBlue Duqu 2.0 APT Muy alta Infraestructura desconocida ZeroDay Certificados Petya Wiper Media - EternalBlue Babar APT Media-Baja C&C ¿Webs comprometidas? - 12/3/18 www.tarlogic.com 44
Resumen # Necesidades en el desarrollo de un malware Equipo de desarrolladores Recursos de desarrollo: Mecanismos de cifrado, Certificados Infraestructura: Servidores de C&C, Wallets BTC… Distribución: Exploits, 0-days, campañas de phishing… 12/3/18 www.tarlogic.com 45
Llegados a este punto… # Existe malware con diversa complejidad según el objetivo. # Requiere infraestructura específica # Requiere despliegue específico # Entonces ¿Quién o que define su desarrollo y despliegue? 12/3/18 www.tarlogic.com 46
Vamos a abstraernos un poco … 12/3/18 www.tarlogic.com 47
Lo que la gente parece imaginar.. # El Presidente de USA se despierta # Llama a la mente maligna de la NSA y sacan unos zero days del armario. # Se ponen a explotarlo a ver que sale # La NSA lee mis emails !!! # Apple lee mis whatsapp !!! 12/3/18 www.tarlogic.com 48 Aquí los zero days Aquí se hace el malware Y aquí el netcat –l 8888
Lo que la gente parece imaginar (II) # Putin se levanta por la mañana # Mientras se lava los dientes le da por invadir Crimea # Y hacer un par de ransomwares y siete campañas de manipulación e influencia en twitter. # Rusia es culpable !! 12/3/18 www.tarlogic.com 49 Aquí los zero days Aquí se hace el malware Aquí el portátil de Putin
Ideas generales # Parece que la principal vía de acceso a información es a través de un malware. # Parece que hay determinados países que hacen malware como quien hace churros. # Parece que esto de infectar e infectar e infectar y robar “secretos de Estado” es pan comido 12/3/18 www.tarlogic.com 50
Respecto a las atribuciones # Reportes técnicos de fabricantes de medidas de seguridad. # La “infraestructura” y el “lenguaje” del malware. # La “ciberinteligencia”. Analistas de ciber inteligencia. Bombardeo en redes sociales. Bombardeo en medios de prensa generalista. IOCs, Ips, Threat Intelligence, Actores, Artefactos, Droppers, Packers.. 12/3/18 www.tarlogic.com 51
Vamos a ponernos en su lugar.. 12/3/18 www.tarlogic.com 52
Las necesidades de inteligencia # Un país tiene una determinadas necesidades de inteligencia. Por su situación estratégica Por los acontecimientos en los que se ve inmerso Por la situación política de un aliado Por la situación política de un enemigo # Necesita inteligencia para tomar decisiones. # Ejemplo: Gobierno A necesita saber las acciones de un Gobierno B en materia económica que lo afectan directamente 12/3/18 www.tarlogic.com 53
¿Y qué es la inteligencia? # La inteligencia es proporcionar información útil para la toma de decisiones. # Es presentar noticias capaces de hacer tomar una decisión o modificar una ya tomada. # Producto que resulta de la evaluación, la integración, el análisis y la interpretación de la información reunida por un servicio de inteligencia. 12/3/18 www.tarlogic.com 54
Decimos entonces que # Producto que resulta de la evaluación, la integración, el análisis y la interpretación de la información reunida por un servicio de inteligencia. 12/3/18 www.tarlogic.com 55
Escenario # Chaquitistán y Rakistán son países fronterizos, con una mala relación por una región en disputa. # Esa región se encuentra en Rakistán # La mitad de la población es de origen Chaquitistaní y la otra mitad Rakistaní # En Rakistán hay un cambio de gobierno abiertamente hostil hacia Chaquitistán. # ¿Cuáles serán las acciones de Rakistán hacia Chaquistán? 12/3/18 www.tarlogic.com 56
Necesidades de Inteligencia # Chaquitistán tiene un problema importante # No conoce la política exterior del nuevo Gobierno. # No conoce los actores principales del nuevo Gobierno. # Hay una campaña en medios de prensa en el Rakistán acerca de endurecer las relaciones bilaterales # ¿Cuál va a ser la estrategia de Chaquististán? 12/3/18 www.tarlogic.com 57
Las herramientas del Estado # Los Estados poseen varias herramientas para obtener información # Sus canales diplomáticos # Relaciones con países aliados # Y…. La comunidad de inteligencia 12/3/18 www.tarlogic.com 58
¿A quien pregunta un Estado? COMUNIDAD DE INTELIGENCIA Conjunto de organismos dedicados a la obtención y elaboración de inteligencia Modelo anglosajón • Inteligencia interior • Inteligencia exterior Para conocimiento: En España 12/3/18 www.tarlogic.com 59
Agentes operativos 12/3/18 www.tarlogic.com 60
La comunidad de inteligencia # Un servicio de inteligencia es quien suele producir inteligencia “exterior”. # Capacidades globales # Vale para “un roto y un descosido”. # Todo lo concerniente al Servicio entra en lo secreto. # Se puede decir que es lo más potente que tiene un Estado. # Es un fiel reflejo de las capacidades de la sociedad de su país. 12/3/18 www.tarlogic.com 61
Lo que la gente cree y lo que es Lo que la gente cree… Lo más real… 12/3/18 www.tarlogic.com 62
¿Y que hace un Estado? # Diseñar una operación de inteligencia. # El ciclo de inteligencia Dirección Obtención Elaboración Difusión 12/3/18 www.tarlogic.com 63
Los órganos de obtención # Para responder la pregunta realizada, se necesita obtener información. # Se realiza una selección de fuentes disponibles a explotar Obtención HUMINT Obtención SIGINT Obtención “lo que sea” acabado en INT # Y por supuesto Obtención técnica, que es la que interesa aquí ;-) 12/3/18 www.tarlogic.com 64
Mensaje para los de OSINT # Buscando en Google es raro que te encuentres el plan de estratégico de un país A sobre un país B. # El grafo de Twitter no te va a decir por donde van a darte. 12/3/18 www.tarlogic.com 65
Mensaje para los del Big Data, Machine Learning, IA.. # Apache Hadoop es buenísimo, pero va a ser raro que localice el plan de lanzamiento de misiles nucleares de X país. # Llamadme raro… 12/3/18 www.tarlogic.com 66
¿Quién tiene la información de interés? # Se diseña una operación de obtención de información sobre las siguientes personas y organismos Miembros del Gobierno Empresas estratégicas Personal de interés # La clave: Pues que no les “pillen” con el carrito de los helaos 12/3/18 www.tarlogic.com 67
¿Por qué es importante que no nos “pillen”? # Crisis diplomática entre ambos países # Crisis diplomática entre bloques de aliados de ambos países. # Posibilidad de respuesta militar clásica 12/3/18 www.tarlogic.com 68
Lo que necesita el Estado # Necesita conseguir todo esto Desarrollar el binario Certificado Infraestructura Desplegar el binario # Se reitera: hay que hacerlo sin que se vincule al Estado 12/3/18 www.tarlogic.com 69
OPSEC # Operations Security # Amplia literatura sobre el tema. # Básicamente: La detección de toda información, acción o dato que pueda ser observado por el “enemigo”. Las acciones que hay que tomar para evitar que esto suceda, o reducirlo hasta un nivel aceptable. # OPSEC es responsabilidad de todo aquel implicado en operaciones 12/3/18 www.tarlogic.com 70
La cobertura # Según la RAE Acción de cubrirse (prevenirse de una responsabilidad). Encubrimiento, ficción. # Capacidades del Estado Identidades ficticias Empresas pantalla Crear infraestructura en terceros países CON CAPACIDADES GLOBALES # Un ejemplo Directorate of Operations – Clandestine Service - CIA 12/3/18 www.tarlogic.com 71
Ejemplo Red Team # Equipo que simula un agente externo y realizan ciberataques. # Las tácticas, técnicas y procedimientos de un Red Team se ciñen al mundo técnico/ciber # Ataques de diversa complejidad. # OPSEC ceñido a desarrollo de binario Y un poco la infraestructura. # Agradecimientos: @TheXC3LL ;-) 12/3/18 www.tarlogic.com 72
El diseño del binario # Varias opciones Lo desarrolla el propio Estado Lo desarrolla una empresa y lo compra el Estado Lo desarrollan colaboradores a instancias del Estado # ¿Y como debe ser el binario? Que pueda cumplir con su objetivo sin problemas. Que tenga un tiempo de desarrollo prudente. Nuevamente: Que bajo ningún concepto se vincule al país de una forma directa. 12/3/18 www.tarlogic.com 73
Importante.. # El binario puede hacerse en otro país # El que hace el binario puede no conocer su finalidad # La infraestructura es deslocalizada. # El ámbito es GLOBAL 12/3/18 www.tarlogic.com 74
Ahora ponte a investigar esto.. 12/3/18 www.tarlogic.com 75
Pero también.. # ¿Recordáis esto? # + info en Wikileaks 12/3/18 www.tarlogic.com 76
Inteligencia Económica # Obtención de información acerca de empresas competidoras. 12/3/18 www.tarlogic.com 77
Inteligencia económica # La capacidad de obtención de los Estados se ha volcado en apoyar a sus empresas. # Enlaces de interés # http://intranet.bibliotecasgc.bage.es/intranet- tmpl/prog/local_repository/documents/17875.p df # http://www.ieee.es/Galerias/fichero/cuadernos/ CE_162_La_inteligencia_economica_en_un_m undo_globalizado.pdf 12/3/18 www.tarlogic.com 78
¿Y que pasa con los demás? # Grupo organizado con ánimo de lucro # Modelo de negocio es simple Ganar dinero Complejidad del binario limitada Desarrollos cortos pero eficaces Herramientas de terceros # Infraestructura Dependencia de terceros # Medios de blanqueo de dinero 12/3/18 www.tarlogic.com 79
GRACIAS

Recomendados

Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
RootedCON
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
RootedCON
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
RootedCON
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
RootedCON
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
RootedCON
 
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
RootedCON
 
Android forensics
Android forensicsAndroid forensics
Android forensics
limahack
 
Forense android
Forense androidForense android
Forense android
Rafael Seg
 

Recomendados

Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]Oscar Juarez - Iniciación al análisis de malware [rooted2018]
Oscar Juarez - Iniciación al análisis de malware [rooted2018]
RootedCON
 
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]
RootedCON
 
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]
RootedCON
 
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]
RootedCON
 
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...
RootedCON
 
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]
RootedCON
 
Android forensics
Android forensicsAndroid forensics
Android forensics
limahack
 
Forense android
Forense androidForense android
Forense android
Rafael Seg
 
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
RootedCON
 
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
RootedCON
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Alejandro Ramos
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México, S.C.
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
Websec México, S.C.
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
Websec México, S.C.
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
hendrykfer2
 
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Dani Adastra
 
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]
RootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
RootedCON
 
ShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con Python
Dani Adastra
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Websec México, S.C.
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
RootedCON
 
Criptografía moderna. No Siempre es SecretA (NSA)
Criptografía moderna. No Siempre es SecretA (NSA)Criptografía moderna. No Siempre es SecretA (NSA)
Criptografía moderna. No Siempre es SecretA (NSA)
Jorge Martínez Taboada
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
Websec México, S.C.
 
Suites de auditorias informáticas
Suites de auditorias informáticasSuites de auditorias informáticas
Suites de auditorias informáticas
Tensor
 
Suites de auditorias informáticas
Suites de auditorias informáticasSuites de auditorias informáticas
Suites de auditorias informáticas
Tensor
 
proyecto cracker
proyecto crackerproyecto cracker
proyecto cracker
W_Segarra
 
Viaje hacking
Viaje hackingViaje hacking
Viaje hacking
Jacuna_1973
 
Solución guia s.operativos_294503harold gaspar
Solución guia s.operativos_294503harold gasparSolución guia s.operativos_294503harold gaspar
Solución guia s.operativos_294503harold gaspar
haroldm2011
 
Seguridad informática 3
Seguridad informática 3Seguridad informática 3
Seguridad informática 3
Victoria cabezón marzo
 
Solución guia s.operativos_294503
Solución guia s.operativos_294503Solución guia s.operativos_294503
Solución guia s.operativos_294503
haroldm2011
 

Más contenido relacionado

La actualidad más candente

Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
RootedCON
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
Websec México, S.C.
 
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]
RootedCON
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
RootedCON
 

La actualidad más candente (17)

Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...
 
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
Jose Miguel Holguin & Marc Salinas - Taller de análisis de memoria RAM en sis...
 
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos saboresRooted con 2015 - Rojos y Azules: dos equipos con dos sabores
Rooted con 2015 - Rojos y Azules: dos equipos con dos sabores
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...
 
Obtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkmObtener contraseñas del directorio activo por hkm
Obtener contraseñas del directorio activo por hkm
 
Flisol2010
Flisol2010Flisol2010
Flisol2010
 
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.
 
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
 
ShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con PythonShellCon 2018: Hacking con Python
ShellCon 2018: Hacking con Python
 
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
Dragonjarcon2015 - ¿Cómo programar aplicaciones seguras? por Paulino Calderon...
 
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]
 
Criptografía moderna. No Siempre es SecretA (NSA)
Criptografía moderna. No Siempre es SecretA (NSA)Criptografía moderna. No Siempre es SecretA (NSA)
Criptografía moderna. No Siempre es SecretA (NSA)
 
Pentesting 101 por Paulino Calderon
Pentesting 101 por Paulino CalderonPentesting 101 por Paulino Calderon
Pentesting 101 por Paulino Calderon
 
Suites de auditorias informáticas
Suites de auditorias informáticasSuites de auditorias informáticas
Suites de auditorias informáticas
 
Suites de auditorias informáticas
Suites de auditorias informáticasSuites de auditorias informáticas
Suites de auditorias informáticas
 

Similar a Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]

Solución guia s.operativos_294503harold gaspar
Solución guia s.operativos_294503harold gasparSolución guia s.operativos_294503harold gaspar
Solución guia s.operativos_294503harold gaspar
haroldm2011
 
Solución guia s.operativos_294503
Solución guia s.operativos_294503Solución guia s.operativos_294503
Solución guia s.operativos_294503
haroldm2011
 
Solución guia s.operativos_294503
Solución guia s.operativos_294503Solución guia s.operativos_294503
Solución guia s.operativos_294503
haroldm2011
 
Solución guia s.operativos_294503
Solución guia s.operativos_294503Solución guia s.operativos_294503
Solución guia s.operativos_294503
haroldm2011
 
Solución guia s.operativos_294503
Solución guia s.operativos_294503Solución guia s.operativos_294503
Solución guia s.operativos_294503
haroldm2011
 

Similar a Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018] (20)

proyecto cracker
proyecto crackerproyecto cracker
proyecto cracker
 
Viaje hacking
Viaje hackingViaje hacking
Viaje hacking
 
Solución guia s.operativos_294503harold gaspar
Solución guia s.operativos_294503harold gasparSolución guia s.operativos_294503harold gaspar
Solución guia s.operativos_294503harold gaspar
 
Seguridad informática 3
Seguridad informática 3Seguridad informática 3
Seguridad informática 3
 
Solución guia s.operativos_294503
Solución guia s.operativos_294503Solución guia s.operativos_294503
Solución guia s.operativos_294503
 
Solución guia s.operativos_294503
Solución guia s.operativos_294503Solución guia s.operativos_294503
Solución guia s.operativos_294503
 
Solución guia s.operativos_294503
Solución guia s.operativos_294503Solución guia s.operativos_294503
Solución guia s.operativos_294503
 
Solución guia s.operativos_294503
Solución guia s.operativos_294503Solución guia s.operativos_294503
Solución guia s.operativos_294503
 
Estrategias de Ataque y Defensa
Estrategias de Ataque y DefensaEstrategias de Ataque y Defensa
Estrategias de Ataque y Defensa
 
Tarea tecnología n2
Tarea tecnología n2Tarea tecnología n2
Tarea tecnología n2
 
Tarea tecnología
Tarea tecnologíaTarea tecnología
Tarea tecnología
 
Tarea tecnología
Tarea tecnologíaTarea tecnología
Tarea tecnología
 
05 ai seguridad2
05 ai seguridad205 ai seguridad2
05 ai seguridad2
 
Riesgos y seguridad en las computadoras
Riesgos y seguridad en las computadorasRiesgos y seguridad en las computadoras
Riesgos y seguridad en las computadoras
 
Hackeando con un troyano
Hackeando con un troyanoHackeando con un troyano
Hackeando con un troyano
 
Presentacion wilmari moco c.i 28695082
Presentacion wilmari moco c.i 28695082Presentacion wilmari moco c.i 28695082
Presentacion wilmari moco c.i 28695082
 
Delincuentes informaticos (2)
Delincuentes informaticos (2)Delincuentes informaticos (2)
Delincuentes informaticos (2)
 
Hackers
HackersHackers
Hackers
 
Riesgos informaticos carmen arenas
Riesgos informaticos carmen arenasRiesgos informaticos carmen arenas
Riesgos informaticos carmen arenas
 
Tipos de ataques informáticos
Tipos de ataques informáticosTipos de ataques informáticos
Tipos de ataques informáticos
 

Más de RootedCON

Más de RootedCON (20)

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acinRooted2020 emotet is-dead_long_live_emotet_-_victor_acin
Rooted2020 emotet is-dead_long_live_emotet_-_victor_acin
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 

Último (11)

Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 

Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]

  • 1. ¿Otra vez tú, Tovarich?
  • 2. Quienes somos # Javier Rodríguez Responsable Departamento Inteligencia Tarlogic Security Miembro de fundación Comunidad de Inteligencia y Seguridad Global y Strategic and Competitive Intelligence Professionals. Arreglo lavadoras;-) Procedencia: Seguridad Pública – Guardia Civil. # David Sánchez Miembro Departamento Ciberseguridad de Tarlogic Security.
  • 3. ¿De qué va esta charla? q Los medios generalistas cada vez hablan más de los ciberataques. q Focalizan sus intenciones y sobre todo la atribución de los mismos en el caso de actores tipo Estado. q En una amplia mayoría de los casos ¿Quién dicen que es el culpable?
  • 6. En esta charla intentaremos mostrar # Como se están haciendo actualmente las atribuciones de los APTs. # Tácticas, Técnicas y procedimientos de: Actores tipo Estado Crimen organizado Inteligencia Económica (*) # Y si da tiempo, la ciber inteligencia… 12/3/18 www.tarlogic.com 6
  • 7. Pero antes … # Algo importante….. # Me suelen preguntar ¿y este cambio de lo público a lo privado? 12/3/18 www.tarlogic.com 7
  • 8. Yo venía de la seguridad pública… 12/3/18 www.tarlogic.com 8
  • 9. Yo venía de la seguridad pública… 12/3/18 www.tarlogic.com 9 A este seguro que le conocéis A ellas me gustaría conocerlas
  • 10. Y ahora … 12/3/18 www.tarlogic.com 10 # Tarlogic Security
  • 11. Y que hablamos de inteligencia.. # Como es la vida de un infiltrado en Tarlogic
  • 12. Pues muy dura ... 12/3/18 www.tarlogic.com 12
  • 13. Pues muy dura ... 12/3/18 www.tarlogic.com 13 Lo que comen en Tarlogic Lo que beben en Tarlogic Criptograma …
  • 14. Ahora sí … # Retomando el tema … 12/3/18 www.tarlogic.com 14
  • 15. La charla # Estudio técnico de varios malwares atribuidos a actores del tipo Estado. # Análisis de las técnicas, tácticas y procedimientos de un actor tipo Estado en el campo “ciber”. # Análisis de las técnicas, tácticas y procedimientos de un grupo organizado en el ámbito “ciber”. 12/3/18 www.tarlogic.com 15
  • 16. Muestras a analizar # Análisis de malware APTs Ransomware # Ejemplos Wannacry Duqu 2.0 Petya/NotPetya Babar # Agradecimientos Tzaoh Batchdrake Tarlogic en general ;-) 12/3/18 www.tarlogic.com 16
  • 17. Definiciones: ransomware “Un ransomware es un tipo de programa dañino que restringe el acceso a determinadas partes o archivos del sistema infectado, y pide un rescate a cambio de quitar esta restricción.” 12/3/18 www.tarlogic.com 17
  • 18. Definiciones: APT “Una amenaza persistente avanzada, también conocida por sus siglas en inglés, APT (por Advanced Persistent Threat), es un conjunto de procesos informáticos sigilosos y continuos de piratería informática, a menudo orquestada por humanos, dirigido a una entidad específica” 12/3/18 www.tarlogic.com 18
  • 19. Definiciones # Para que nos entendamos: Herramienta malware Con un objetivo: exfiltración de datos, ciberespionaje, beneficio económico… Perdura en el tiempo Distribuida por una organización 12/3/18 www.tarlogic.com 19
  • 20. Wannacry # Wannacry # Tipo de malware: ransomware # Descubrimiento: Mayo 2017 # Primera muestra: El 12 de mayo sobre las 12:00 horas del mediodía, se comienzan a tener las primeras informaciones sobre un ciberataque a gran escala 12/3/18 www.tarlogic.com 20
  • 21. Wannacry # Características técnicas Crea un nuevo servicio llamado mssecsvc2.0 Intenta propagarse por la red interna de la víctima mediante la conocida vulnerabilidad “EternalBlue”. Extrae desde sus propios recursos un nuevo ejecutable en el directorio C:Windows con el nombre tasksche.exe 12/3/18 www.tarlogic.com 21
  • 22. Wannacry # Análisis de tasksche.exe Estos ficheros contienen información necesaria para la correcta ejecución de las funcionalidades de cifrado, notificación y cobro del ransomware Misma contraseña: WNcry@2ol7 12/3/18 www.tarlogic.com 22
  • 23. Wannacry # Que encontramos: RTF en distintos idiomas con mensajes de información Dominios .onion Wallets de bitcoins 12/3/18 www.tarlogic.com 23
  • 24. Wannacry # Vector de infección Eternal Blue, el cual explota la vulnerabilidad de ejecución remota de código CVE-2017-0144 (resuelta en la actualización MS17-010) DoublePulsar 12/3/18 www.tarlogic.com 24
  • 25. Wannacry # Impacto global Miles de ordenadores infectados en todo el mundo (>200,000) 12/3/18 www.tarlogic.com 25
  • 26. Wannacry # Atribuciones Análisis lingüístico determina que los programadores hablan correctamente Inglés o Chino Symantec y Kaspersky hablan de similitud de código atribuido anteriormente a LazarusGroup 12/3/18 www.tarlogic.com 26
  • 27. Duqu 2.0 # Duqu 2.0 12/3/18 www.tarlogic.com 27
  • 28. Duqu 2.0 # Duqu 2.0 # Tipo de malware: APT # Descubrimiento: 2015 # Primera muestra: 2011/2014 12/3/18 www.tarlogic.com 28
  • 29. Duqu 2.0 # Análisis técnico: Realmente difícil de conseguir una muestra Se distribuye como paquete MSI Los nombres de las DLLs de la backdoor están ofuscadas con una clave xor de 32 bits Múltiples cifrados implementados Distintas firmas encontradas 12/3/18 www.tarlogic.com 29
  • 30. Duqu 2.0 # Camellia 12/3/18 www.tarlogic.com 30 # Serpent
  • 31. Duqu 2.0 # Análisis técnico Kaspersky https://cdn.securelist.com/files/2015/06/The_Mystery_of_Duqu_2_ 0_a_sophisticated_cyberespionage_actor_returns.pdf # Infección mediante el uso de tres 0-day CVE-2015-2360; CVE-2014-4148; CVE-2014-6324; # Firmado con certificado Foxconn # Más de 100 plugins 12/3/18 www.tarlogic.com 31
  • 32. Duqu 2.0 # ¿Persistencia? Se ejecutaba en memoria y se borraba en cada reinicio Instalación de drivers en gateways y recursos de red # Exfiltración de datos mediante imágenes cifradas 12/3/18 www.tarlogic.com 32
  • 33. Duqu 2.0 # Impacto Menos de 100 equipos Infección a Kaspersky mediante spear-phishing # Atribución según Kaspersky Flags erróneos : nombres chinos, uso de Camellia Ataques los miércoles Sin logs los viernes y sin actividad los sábados Considerado el “hermanastro” de Stuxnet 12/3/18 www.tarlogic.com 33
  • 34. Petya/NotPetya # Petya/NotPetya # Tipo de malware: Ransomware/Wiper # Descubrimiento: 2017 # Primera muestra: A través del software de gestión MEDoc, en Ucrania. 12/3/18 www.tarlogic.com 34
  • 35. Petya/NotPetya # Ransomware DLL C:windowsperfc.dat Rundll32.exe “C:Windowsperfc.dat”,#1 18 [“username1:pass1”] Se ejecuta en memoria y se borra a sí mismo # Uso de EternalBlue # Robo de credenciales con mimikatz 12/3/18 www.tarlogic.com 35
  • 36. Petya/NotPetya # Funcionamiento Infecta el equipo Modifica el MBR Fuerza el reinicio Simula CHKDSK 12/3/18 www.tarlogic.com 36
  • 37. Petya/NotPetya Genera una “installation key” Cifra con Salsa20 12/3/18 www.tarlogic.com 37
  • 38. Petya/NotPetya # Impacto Imagen de Symantec con los países más afectados 12/3/18 www.tarlogic.com 38
  • 40. Babar # Babar # Tipo de malware: APT # Descubrimiento: 2015 # Primera muestra: Snowden lo data de una operación de 2009 12/3/18 www.tarlogic.com 40
  • 41. Babar # Muestra analizada: Cifrado con AES # Fichero de configuración: Clave y offset almacenados en el payload # Objetivo Interceptar comunicaciones Compañías de Europa, Canadá o África 12/3/18 www.tarlogic.com 41 excel.exe, winword.exe, powerpnt.exe, visio.exe, acrord32.exe, notepad.exe, wordpad.exe txt, rtf, xls, xlsx, ppt, ppts, doc, docx, pdf, vsd skype.exe, msnmsgr.exe, oovoo.exe, nimbuzz.exe, googletalk.exe, yahoomessenger.exe, x-lite.exe hxxp://www.horizons-tourisme.com/_vti_bin/_vti_msc/bb/index.php hxxp://www.gezelimmi.com/wp-includes/misc/bb/index.php
  • 42. Babar # Nombre interno: Babar Serie de dibujos francesa # Mensajes de depuración activados 12/3/18 www.tarlogic.com 42
  • 43. Babar # Atribución Grupo Animal Farm 12/3/18 www.tarlogic.com 43
  • 44. Resumen Tipo Sofisticación Recursos Distribución Wannacry Ransomware Media C&C Nodos Tor EternalBlue Duqu 2.0 APT Muy alta Infraestructura desconocida ZeroDay Certificados Petya Wiper Media - EternalBlue Babar APT Media-Baja C&C ¿Webs comprometidas? - 12/3/18 www.tarlogic.com 44
  • 45. Resumen # Necesidades en el desarrollo de un malware Equipo de desarrolladores Recursos de desarrollo: Mecanismos de cifrado, Certificados Infraestructura: Servidores de C&C, Wallets BTC… Distribución: Exploits, 0-days, campañas de phishing… 12/3/18 www.tarlogic.com 45
  • 46. Llegados a este punto… # Existe malware con diversa complejidad según el objetivo. # Requiere infraestructura específica # Requiere despliegue específico # Entonces ¿Quién o que define su desarrollo y despliegue? 12/3/18 www.tarlogic.com 46
  • 47. Vamos a abstraernos un poco … 12/3/18 www.tarlogic.com 47
  • 48. Lo que la gente parece imaginar.. # El Presidente de USA se despierta # Llama a la mente maligna de la NSA y sacan unos zero days del armario. # Se ponen a explotarlo a ver que sale # La NSA lee mis emails !!! # Apple lee mis whatsapp !!! 12/3/18 www.tarlogic.com 48 Aquí los zero days Aquí se hace el malware Y aquí el netcat –l 8888
  • 49. Lo que la gente parece imaginar (II) # Putin se levanta por la mañana # Mientras se lava los dientes le da por invadir Crimea # Y hacer un par de ransomwares y siete campañas de manipulación e influencia en twitter. # Rusia es culpable !! 12/3/18 www.tarlogic.com 49 Aquí los zero days Aquí se hace el malware Aquí el portátil de Putin
  • 50. Ideas generales # Parece que la principal vía de acceso a información es a través de un malware. # Parece que hay determinados países que hacen malware como quien hace churros. # Parece que esto de infectar e infectar e infectar y robar “secretos de Estado” es pan comido 12/3/18 www.tarlogic.com 50
  • 51. Respecto a las atribuciones # Reportes técnicos de fabricantes de medidas de seguridad. # La “infraestructura” y el “lenguaje” del malware. # La “ciberinteligencia”. Analistas de ciber inteligencia. Bombardeo en redes sociales. Bombardeo en medios de prensa generalista. IOCs, Ips, Threat Intelligence, Actores, Artefactos, Droppers, Packers.. 12/3/18 www.tarlogic.com 51
  • 52. Vamos a ponernos en su lugar.. 12/3/18 www.tarlogic.com 52
  • 53. Las necesidades de inteligencia # Un país tiene una determinadas necesidades de inteligencia. Por su situación estratégica Por los acontecimientos en los que se ve inmerso Por la situación política de un aliado Por la situación política de un enemigo # Necesita inteligencia para tomar decisiones. # Ejemplo: Gobierno A necesita saber las acciones de un Gobierno B en materia económica que lo afectan directamente 12/3/18 www.tarlogic.com 53
  • 54. ¿Y qué es la inteligencia? # La inteligencia es proporcionar información útil para la toma de decisiones. # Es presentar noticias capaces de hacer tomar una decisión o modificar una ya tomada. # Producto que resulta de la evaluación, la integración, el análisis y la interpretación de la información reunida por un servicio de inteligencia. 12/3/18 www.tarlogic.com 54
  • 55. Decimos entonces que # Producto que resulta de la evaluación, la integración, el análisis y la interpretación de la información reunida por un servicio de inteligencia. 12/3/18 www.tarlogic.com 55
  • 56. Escenario # Chaquitistán y Rakistán son países fronterizos, con una mala relación por una región en disputa. # Esa región se encuentra en Rakistán # La mitad de la población es de origen Chaquitistaní y la otra mitad Rakistaní # En Rakistán hay un cambio de gobierno abiertamente hostil hacia Chaquitistán. # ¿Cuáles serán las acciones de Rakistán hacia Chaquistán? 12/3/18 www.tarlogic.com 56
  • 57. Necesidades de Inteligencia # Chaquitistán tiene un problema importante # No conoce la política exterior del nuevo Gobierno. # No conoce los actores principales del nuevo Gobierno. # Hay una campaña en medios de prensa en el Rakistán acerca de endurecer las relaciones bilaterales # ¿Cuál va a ser la estrategia de Chaquististán? 12/3/18 www.tarlogic.com 57
  • 58. Las herramientas del Estado # Los Estados poseen varias herramientas para obtener información # Sus canales diplomáticos # Relaciones con países aliados # Y…. La comunidad de inteligencia 12/3/18 www.tarlogic.com 58
  • 59. ¿A quien pregunta un Estado? COMUNIDAD DE INTELIGENCIA Conjunto de organismos dedicados a la obtención y elaboración de inteligencia Modelo anglosajón • Inteligencia interior • Inteligencia exterior Para conocimiento: En España 12/3/18 www.tarlogic.com 59
  • 61. La comunidad de inteligencia # Un servicio de inteligencia es quien suele producir inteligencia “exterior”. # Capacidades globales # Vale para “un roto y un descosido”. # Todo lo concerniente al Servicio entra en lo secreto. # Se puede decir que es lo más potente que tiene un Estado. # Es un fiel reflejo de las capacidades de la sociedad de su país. 12/3/18 www.tarlogic.com 61
  • 62. Lo que la gente cree y lo que es Lo que la gente cree… Lo más real… 12/3/18 www.tarlogic.com 62
  • 63. ¿Y que hace un Estado? # Diseñar una operación de inteligencia. # El ciclo de inteligencia Dirección Obtención Elaboración Difusión 12/3/18 www.tarlogic.com 63
  • 64. Los órganos de obtención # Para responder la pregunta realizada, se necesita obtener información. # Se realiza una selección de fuentes disponibles a explotar Obtención HUMINT Obtención SIGINT Obtención “lo que sea” acabado en INT # Y por supuesto Obtención técnica, que es la que interesa aquí ;-) 12/3/18 www.tarlogic.com 64
  • 65. Mensaje para los de OSINT # Buscando en Google es raro que te encuentres el plan de estratégico de un país A sobre un país B. # El grafo de Twitter no te va a decir por donde van a darte. 12/3/18 www.tarlogic.com 65
  • 66. Mensaje para los del Big Data, Machine Learning, IA.. # Apache Hadoop es buenísimo, pero va a ser raro que localice el plan de lanzamiento de misiles nucleares de X país. # Llamadme raro… 12/3/18 www.tarlogic.com 66
  • 67. ¿Quién tiene la información de interés? # Se diseña una operación de obtención de información sobre las siguientes personas y organismos Miembros del Gobierno Empresas estratégicas Personal de interés # La clave: Pues que no les “pillen” con el carrito de los helaos 12/3/18 www.tarlogic.com 67
  • 68. ¿Por qué es importante que no nos “pillen”? # Crisis diplomática entre ambos países # Crisis diplomática entre bloques de aliados de ambos países. # Posibilidad de respuesta militar clásica 12/3/18 www.tarlogic.com 68
  • 69. Lo que necesita el Estado # Necesita conseguir todo esto Desarrollar el binario Certificado Infraestructura Desplegar el binario # Se reitera: hay que hacerlo sin que se vincule al Estado 12/3/18 www.tarlogic.com 69
  • 70. OPSEC # Operations Security # Amplia literatura sobre el tema. # Básicamente: La detección de toda información, acción o dato que pueda ser observado por el “enemigo”. Las acciones que hay que tomar para evitar que esto suceda, o reducirlo hasta un nivel aceptable. # OPSEC es responsabilidad de todo aquel implicado en operaciones 12/3/18 www.tarlogic.com 70
  • 71. La cobertura # Según la RAE Acción de cubrirse (prevenirse de una responsabilidad). Encubrimiento, ficción. # Capacidades del Estado Identidades ficticias Empresas pantalla Crear infraestructura en terceros países CON CAPACIDADES GLOBALES # Un ejemplo Directorate of Operations – Clandestine Service - CIA 12/3/18 www.tarlogic.com 71
  • 72. Ejemplo Red Team # Equipo que simula un agente externo y realizan ciberataques. # Las tácticas, técnicas y procedimientos de un Red Team se ciñen al mundo técnico/ciber # Ataques de diversa complejidad. # OPSEC ceñido a desarrollo de binario Y un poco la infraestructura. # Agradecimientos: @TheXC3LL ;-) 12/3/18 www.tarlogic.com 72
  • 73. El diseño del binario # Varias opciones Lo desarrolla el propio Estado Lo desarrolla una empresa y lo compra el Estado Lo desarrollan colaboradores a instancias del Estado # ¿Y como debe ser el binario? Que pueda cumplir con su objetivo sin problemas. Que tenga un tiempo de desarrollo prudente. Nuevamente: Que bajo ningún concepto se vincule al país de una forma directa. 12/3/18 www.tarlogic.com 73
  • 74. Importante.. # El binario puede hacerse en otro país # El que hace el binario puede no conocer su finalidad # La infraestructura es deslocalizada. # El ámbito es GLOBAL 12/3/18 www.tarlogic.com 74
  • 75. Ahora ponte a investigar esto.. 12/3/18 www.tarlogic.com 75
  • 76. Pero también.. # ¿Recordáis esto? # + info en Wikileaks 12/3/18 www.tarlogic.com 76
  • 77. Inteligencia Económica # Obtención de información acerca de empresas competidoras. 12/3/18 www.tarlogic.com 77
  • 78. Inteligencia económica # La capacidad de obtención de los Estados se ha volcado en apoyar a sus empresas. # Enlaces de interés # http://intranet.bibliotecasgc.bage.es/intranet- tmpl/prog/local_repository/documents/17875.p df # http://www.ieee.es/Galerias/fichero/cuadernos/ CE_162_La_inteligencia_economica_en_un_m undo_globalizado.pdf 12/3/18 www.tarlogic.com 78
  • 79. ¿Y que pasa con los demás? # Grupo organizado con ánimo de lucro # Modelo de negocio es simple Ganar dinero Complejidad del binario limitada Desarrollos cortos pero eficaces Herramientas de terceros # Infraestructura Dependencia de terceros # Medios de blanqueo de dinero 12/3/18 www.tarlogic.com 79