SlideShare una empresa de Scribd logo
1 de 26
Descargar para leer sin conexión
It’s hunting season
HUNTER!
Arsenal caso ideal
¿Idealmente qué herramientas/fuentes de
información se necesitan?
• Red: acceso al tráfico de red de lo siguiente
• Resoluciones DNS de la organización
• Navegación Web (http, https)
• Netflow
• Otros protocolos como: icmp o netbios.
• Endpoint
• Monitorización de actividad: SYSMON
• Registro antivirus
• Capacidades de actuación sobre loa equipos
• Servidores
• Al menos registro completo de actividad (EventLog/Syslog)
• Dispositivos de seguridad
• Logs de antivirus, WAF, DLP, etc…
• IOCs, TTPs
• Estudio previo que identifique las “Joyas de la Corona”
Arsenal caso real
En la realidad…
Factores no técnicos, digamos políticos… limitan
las actuaciones de hunting.
Resoluciones DNS de la organización
Hunts DNS
Posibles anomalías – Hunts DNS
¿Qué buscar en los registros de resolución DNS?
• Dominios que resuelven a 127.0.0.0/8 o ips reservadas 192.168.0.0
• Listar servidores DNS
• TOP dominios que resuelven a más Ips (Fastflux)
• TOP dominios más largos (max 253)
• TOP peticiones resueltas
• TOP peticiones no resueltas satisfactoriamente
• Peticiones periódicas – usuarios que resuelven un determinado dominio todos
los días
• TOP dominios con más entropía (Top 11k Alexa es 3.11)
• ddqqdwxc232qwsxasd23re131r1234r12ccwef-dq-.muymalo.com
• TOP dominios con registro TXT grande/variable
• Múltiples subdominios de más de 4 niveles
• Ddqqdwx.c232qw.sxasd23re131r1.234r12ccwef-dq-.muymalo.com
• Dominios con mayúsculas y minúsculas en su resolución (base64??)
• CwqwqShbS5wbA.malicioso.com
Hunts DNS
Posibles anomalías – Hunts DNS
¿Qué buscar en los registros de resolución DNS?
• Caracteres no permitidos
• CwqwqShbS5wbA==.malicioso.com
• Uso de punycodes[1]
• S2ɡʀupo.com -> xn--s2upo-smc1t
• Tipo de petición DNS
• Clientes haciendo peticiones TXT (DNS tunneling), AXFR…
• TTL bajos (0)
• Dominios de creación reciente o/y parecidos a los de la organización
• Servicios de DnsDynamico (dyndns, freeddns.org)
• Dominios WPAD con gTLD con colisión[2]
• Round-robin DNS, balanceo a una IP fuera del ASN.
• Distancia de Levenshtein sobre dominios populares
• Microsoft, Google, outlook…
micorsoft.store
CASO WIRTE
CASO WIRTE
CASO WIRTE
inetnum: 185.86.79.0 - 185.86.79.255
netname: UA-GMHOST-NET-79
descr: GMHOST datacentre
country: UA
org: ORG-AMS18-RIPE
admin-c: AM34691-RIPE
tech-c: GTC15-RIP
Estatus: ASSIGNED PA
mnt-by: GMHOST-MNT
created: 2016-03-01T10:31:04Z
last-modified: 2016-03-01T10:43:02Z
source: RIPE
organisation: ORG-AMS18-RIPE
org-name: Mulgin Alexander Sergeevichor
g-type: LIR
address: Zavodska 46
address: 29007
address: Khmelnitskiy
address: UKRAINE
CASO WIRTE
Nos vamos a por el equipo!
CASO WIRTE
CASO WIRTE
CASO WIRTE
Temporal del usuario…
CASO WIRTE
Análisis del .vbs
• Dropea y abre documento Word
• Se copia al temporal del usuario
CASO WIRTE
Análisis del .vbs
• Lanza la puerta trasera con
powershell
CASO WIRTE
Alertas del antivirus en el equipo
CASO WIRTE
Demo de control del
equipo
CASO WIRTE
Continuando la
investigación…
Error tipográfico Wirte -> Write
sub wirteSCT
dim ss
dest = path + "ss.s"
dest = dest + "ct"
ss = "<?XML version=""1.0""?><scriptlet><registration progid=""fdd""
classid=""{F0001111-0000-0000-0000-0000FEEDACDC}""><script
language=""JScript""><![CDATA[var r = new
ActiveXObject(""WScript.Shell"").Run();]]></script></registration></scriptlet>"
wirteFile ss, dest
End sub
¿Atribución?
CASO WIRTE
Retrohunt en VT-Intel
Se identifican 5 documentos más diferentes que cumplen el patrón Wirte
• Uno de ellos dirigido aparentemente al Consulado de
Kuwait del Consejo de Cooperación de los Estados
Árabes del Golfo, organismo altamente importante dentro
de los países del Golfo Arábigo.
• 2 más subidos desde Palestina.
• El autor pretende generar una infección entre los “partner
states” de Arabia Saudita, sobre todo a diplomáticos que
forman parte del Consejo de Cooperación de los Estados
Árabes del Golfo.
• Los atacantes además persiguen información con intereses
políticos en la zona geográfica de Gaza y Palestina
¿Atribución?
CASO WIRTE
Retrohunt en VT-Intel
Uno de ellos se hace eco Nick Carr el cual comenta nuestro informe
CASO WIRTE
Retrohunt en VT-Intel
CASO WIRTE
Los países y grupos APT que podrían estar detrás inicialmente por intereses son:
• Iran
• Charming Kitten and Copy Kitten
• Prince of Persia
• Madi
• Iran’s Cyber army
• APT 34
• Rocket Kitten
• Mabna Institute
• Siria
• SEA (Syrian Electronic Army)
• Arabia Saudí
• Saudi Arabia crazy hackers
• Dahes
• Cyber caliphate
¿Atribución?
Pero sus TTPs no coinciden con las del atacante por lo que consideramos…
Estamos ante un nuevo grupo…
WIRTE
CASO WIRTE
BARCELONA BOGOTÁ
Llull, 321,
08019
T. (+34) 933 030 060
Calle 89, nº 12-59,
T. (+57) 317 647 10 96
info@s2grupo.es
www.s2grupo.es
www.securityartwork.es
www.lab52.es
MADRID
Velázquez, 150, 2ª
planta, 28002
T. (+34) 902 882 992
MÉXICO, D.F.
Monte Athos 420
D.F., 11000
México
T. (+52) 15521280681
VALENCIA
Ramiro de Maeztu 7,
46022
T. (+34) 902 882 992
Referencias
• [1] https://www.irongeek.com/homoglyph-attack-generator.php
• [2] https://www.ccn-cert.cni.es/documentos-publicos/x-jornadas-stic-ccn-cert/1822-d13-m1-02-s2grupo-roberto-amado/file.html
• [3] https://blog.redteam.pl/2019/08/threat-hunting-dns-firewall.html
Informe lab52.io caso WIRTE
REFERENCIAS
https://lab52.io/blog/wirte-group-attacking-the-middle-east/

Más contenido relacionado

La actualidad más candente

Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]RootedCON
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]RootedCON
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoWebsec México, S.C.
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]RootedCON
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]RootedCON
 
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]RootedCON
 
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]RootedCON
 
Hackers (blackhat) vs WordPress - Defenderse del anonimato WPCórdoba 2013
Hackers (blackhat) vs WordPress - Defenderse del anonimato WPCórdoba 2013Hackers (blackhat) vs WordPress - Defenderse del anonimato WPCórdoba 2013
Hackers (blackhat) vs WordPress - Defenderse del anonimato WPCórdoba 2013miguel_arroyo76
 
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]RootedCON
 
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...RootedCON
 
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]RootedCON
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]RootedCON
 
DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...
DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...
DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...Dani Adastra
 
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...RootedCON
 
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo  - Taller de reversing en sistemas Windows aplicado a CTFs [ro...Mariano Palomo  - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...RootedCON
 

La actualidad más candente (20)

Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]
 
Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]Elias Grande - Dagda [rootedvlc4]
Elias Grande - Dagda [rootedvlc4]
 
CPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto SalgadoCPMX5 - Hacking like a boss por Roberto Salgado
CPMX5 - Hacking like a boss por Roberto Salgado
 
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
José Selvi - Unprivileged Network Post-Exploitation [RootedCON 2011]
 
Web cryptography
Web cryptographyWeb cryptography
Web cryptography
 
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)
 
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
Andrés Tarasco – Ataques dirigidos con APTs Wi-Fi [Rooted CON 2014]
 
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
Guillermo Román - Análisis de capturas de tráfico de red [rooted2018]
 
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018]
 
Hackers (blackhat) vs WordPress - Defenderse del anonimato WPCórdoba 2013
Hackers (blackhat) vs WordPress - Defenderse del anonimato WPCórdoba 2013Hackers (blackhat) vs WordPress - Defenderse del anonimato WPCórdoba 2013
Hackers (blackhat) vs WordPress - Defenderse del anonimato WPCórdoba 2013
 
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
Abel Valero - VM + VFS = The Wooden Horse [rooted2018]
 
Día 3- PAEX-Taller-Luis Fernando Aguas
Día 3- PAEX-Taller-Luis Fernando AguasDía 3- PAEX-Taller-Luis Fernando Aguas
Día 3- PAEX-Taller-Luis Fernando Aguas
 
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
Pablo Gonzalez & Fran Ramirez - Hidden Networks: Controlas todas las redes de...
 
Flujo 1
Flujo 1Flujo 1
Flujo 1
 
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
Joaquín Moreno Garijo – Forense a bajo nivel en Mac OS X [Rooted CON 2014]
 
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
Javier Marcos - Detección de amenazas a escala con osquery [rooted2019]
 
DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...
DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...
DragonJar 2015: Desmitificando la deep web de tor pentesting sobre instancias...
 
S7 hack-hacking con google bing y shodan p3
S7 hack-hacking con google bing y shodan p3S7 hack-hacking con google bing y shodan p3
S7 hack-hacking con google bing y shodan p3
 
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
Jose M Mejia - Usando computación paralela GPU en malware y herramientas de h...
 
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo  - Taller de reversing en sistemas Windows aplicado a CTFs [ro...Mariano Palomo  - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
Mariano Palomo - Taller de reversing en sistemas Windows aplicado a CTFs [ro...
 

Similar a Hunting season: Tracking down WIRTE

STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)Iván Portillo
 
Fist - Negocio Pirateria
Fist - Negocio PirateriaFist - Negocio Pirateria
Fist - Negocio PirateriaAlejandro Ramos
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la GuerraLuis Cortes Zavala
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_toolspsanchezcordero
 
Dns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishDns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishEudy Zerpa
 
El hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaEl hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaLuis Fernando Aguas Bucheli
 
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...Luz Fiumara
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]RootedCON
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]RootedCON
 
Técnicas detrás de los fraudes bancarios
Técnicas detrás de los fraudes bancariosTécnicas detrás de los fraudes bancarios
Técnicas detrás de los fraudes bancariosHéctor López
 
Presentación Redes FastFlux
Presentación Redes FastFluxPresentación Redes FastFlux
Presentación Redes FastFluxMiquel Tur Mongé
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...redZink Security
 

Similar a Hunting season: Tracking down WIRTE (20)

STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)
 
Fist - Negocio Pirateria
Fist - Negocio PirateriaFist - Negocio Pirateria
Fist - Negocio Pirateria
 
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malware
 
Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017Evolución de Protocolos de Internet 2017
Evolución de Protocolos de Internet 2017
 
Maricela poaquiza
Maricela poaquizaMaricela poaquiza
Maricela poaquiza
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 
Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.Pimp your Android. Rooted CON 2012.
Pimp your Android. Rooted CON 2012.
 
DoS En La Ciberguerra
DoS En La CiberguerraDoS En La Ciberguerra
DoS En La Ciberguerra
 
Curso forensics power_tools
Curso forensics power_toolsCurso forensics power_tools
Curso forensics power_tools
 
Dns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanishDns basics 20140422-2 - citel - spanish
Dns basics 20140422-2 - citel - spanish
 
Campus party2011
Campus party2011Campus party2011
Campus party2011
 
Amenazas avanzadas persistentes
Amenazas avanzadas persistentesAmenazas avanzadas persistentes
Amenazas avanzadas persistentes
 
El hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaEl hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informática
 
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
Carlos Alvarez - ICANN. El Sistema de Nombres de Dominio de Internet y la Seg...
 
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
Jaime Peñalba y Javier Rodríguez - Live Free or Die Hacking [RootedCON 2012]
 
David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]David López Paz - Global Warfare [RootedCON 2011]
David López Paz - Global Warfare [RootedCON 2011]
 
Técnicas detrás de los fraudes bancarios
Técnicas detrás de los fraudes bancariosTécnicas detrás de los fraudes bancarios
Técnicas detrás de los fraudes bancarios
 
Presentación Redes FastFlux
Presentación Redes FastFluxPresentación Redes FastFlux
Presentación Redes FastFlux
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...red
 

Más de RootedCON

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRootedCON
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_RootedCON
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...RootedCON
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRootedCON
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRootedCON
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...RootedCON
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRootedCON
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRootedCON
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRootedCON
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRootedCON
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...RootedCON
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...RootedCON
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRootedCON
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRootedCON
 

Más de RootedCON (20)

Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro Villaverde
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Rooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amadoRooted2020 hunting malware-using_process_behavior-roberto_amado
Rooted2020 hunting malware-using_process_behavior-roberto_amado
 
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
Rooted2020 compliance as-code_-_guillermo_obispo_-_jose_mariaperez_-_
 
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...
 
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...
 
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
Rooted2020 wordpress-another_terror_story_-_manuel_garcia_-_jacinto_sergio_ca...
 
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguerRooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
Rooted2020 Atacando comunicaciones-de_voz_cifradas_-_jose_luis_verdeguer
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemyRooted2020 stefano maccaglia--_the_enemy_of_my_enemy
Rooted2020 stefano maccaglia--_the_enemy_of_my_enemy
 
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
Rooted2020 taller de-reversing_de_binarios_escritos_en_golang_-_mariano_palom...
 
Rooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molinaRooted2020 virtual pwned-network_-_manel_molina
Rooted2020 virtual pwned-network_-_manel_molina
 
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...
 
Rooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopezRooted2020 todo a-siem_-_marta_lopez
Rooted2020 todo a-siem_-_marta_lopez
 
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valeroRooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
Rooted2020 roapt evil-mass_storage_-_tu-ya_aqui_-_david_reguera_-_abel_valero
 
Rooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jaraRooted2020 live coding--_jesus_jara
Rooted2020 live coding--_jesus_jara
 
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
Rooted2020 legalidad de-la_prueba_tecnologica_indiciaria_cuando_tu_papi_es_un...
 
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
Rooted2020 hackeando el-mundo_exterior_a_traves_de_bluetooth_low-energy_ble_-...
 
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yusteRooted2020 evading deep-learning_malware_detectors_-_javier_yuste
Rooted2020 evading deep-learning_malware_detectors_-_javier_yuste
 
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_moralesRooted2020 encontrando 0days-en_2020_-_antonio_morales
Rooted2020 encontrando 0days-en_2020_-_antonio_morales
 

Último

Materiales didácticos de Arelis y maria.
Materiales didácticos de Arelis y maria.Materiales didácticos de Arelis y maria.
Materiales didácticos de Arelis y maria.cabreraarelis37
 
Análisis de Artefactos Tecnologicos .docx
Análisis de Artefactos Tecnologicos .docxAnálisis de Artefactos Tecnologicos .docx
Análisis de Artefactos Tecnologicos .docxmajovaru19
 
carta combinada para tecnología de sara Garzón
carta combinada para tecnología de sara Garzóncarta combinada para tecnología de sara Garzón
carta combinada para tecnología de sara GarzónSaraGarzon13
 
tecnologiaactividad11-240323205859-a9b9b9bc.pdf
tecnologiaactividad11-240323205859-a9b9b9bc.pdftecnologiaactividad11-240323205859-a9b9b9bc.pdf
tecnologiaactividad11-240323205859-a9b9b9bc.pdflauralizcano0319
 
LA ELECTRICIDAD Y LA ELECTRÓNICA TRABAJO EN GRUPO
LA ELECTRICIDAD Y LA ELECTRÓNICA TRABAJO EN GRUPOLA ELECTRICIDAD Y LA ELECTRÓNICA TRABAJO EN GRUPO
LA ELECTRICIDAD Y LA ELECTRÓNICA TRABAJO EN GRUPOv16959670
 
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaYeimys Ch
 
La electricidad y la electrónica saray 10-2
La electricidad y la electrónica saray 10-2La electricidad y la electrónica saray 10-2
La electricidad y la electrónica saray 10-2SariGarcs
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptxHugoGutierrez99
 
LISTA taller tecnología Sofia nava 11-2 año 2024
LISTA taller tecnología Sofia nava 11-2 año 2024LISTA taller tecnología Sofia nava 11-2 año 2024
LISTA taller tecnología Sofia nava 11-2 año 2024SofaNava1
 
tecnologia116.docx TRABAJO COLABORTIVO PRIMNER
tecnologia116.docx TRABAJO COLABORTIVO PRIMNERtecnologia116.docx TRABAJO COLABORTIVO PRIMNER
tecnologia116.docx TRABAJO COLABORTIVO PRIMNERedepmariaordonez
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfcristianrb0324
 
Green-Tech.pdf (Tecnologia Verde) Tendencias Tecnologicas
Green-Tech.pdf (Tecnologia Verde) Tendencias TecnologicasGreen-Tech.pdf (Tecnologia Verde) Tendencias Tecnologicas
Green-Tech.pdf (Tecnologia Verde) Tendencias TecnologicasDahianaParedes2
 
tecno 2024.pdf sara mineiro palacio 10-6
tecno 2024.pdf sara mineiro palacio 10-6tecno 2024.pdf sara mineiro palacio 10-6
tecno 2024.pdf sara mineiro palacio 10-6SaraMineiropalacio
 
Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024anasofiarodriguezcru
 
TRABAJO TECNOLOGÍA E INFORMATICA TABLAAA
TRABAJO TECNOLOGÍA E INFORMATICA TABLAAATRABAJO TECNOLOGÍA E INFORMATICA TABLAAA
TRABAJO TECNOLOGÍA E INFORMATICA TABLAAASebastinOrdez4
 
tecnologia11-6 Juan Sebastián Gonzalez liceo
tecnologia11-6 Juan Sebastián Gonzalez liceotecnologia11-6 Juan Sebastián Gonzalez liceo
tecnologia11-6 Juan Sebastián Gonzalez liceoSebastinOrdez4
 
Nomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de NóminaNomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de Nóminacuellosameidy
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdfBetianaJuarez1
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxCarolina Bujaico
 
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS..docx
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS..docxBLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS..docx
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS..docxhellendiaz12
 

Último (20)

Materiales didácticos de Arelis y maria.
Materiales didácticos de Arelis y maria.Materiales didácticos de Arelis y maria.
Materiales didácticos de Arelis y maria.
 
Análisis de Artefactos Tecnologicos .docx
Análisis de Artefactos Tecnologicos .docxAnálisis de Artefactos Tecnologicos .docx
Análisis de Artefactos Tecnologicos .docx
 
carta combinada para tecnología de sara Garzón
carta combinada para tecnología de sara Garzóncarta combinada para tecnología de sara Garzón
carta combinada para tecnología de sara Garzón
 
tecnologiaactividad11-240323205859-a9b9b9bc.pdf
tecnologiaactividad11-240323205859-a9b9b9bc.pdftecnologiaactividad11-240323205859-a9b9b9bc.pdf
tecnologiaactividad11-240323205859-a9b9b9bc.pdf
 
LA ELECTRICIDAD Y LA ELECTRÓNICA TRABAJO EN GRUPO
LA ELECTRICIDAD Y LA ELECTRÓNICA TRABAJO EN GRUPOLA ELECTRICIDAD Y LA ELECTRÓNICA TRABAJO EN GRUPO
LA ELECTRICIDAD Y LA ELECTRÓNICA TRABAJO EN GRUPO
 
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guiaORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
ORIENTACIONES DE INFORMÁTICA-2024.pdf-guia
 
La electricidad y la electrónica saray 10-2
La electricidad y la electrónica saray 10-2La electricidad y la electrónica saray 10-2
La electricidad y la electrónica saray 10-2
 
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
#Tare10ProgramacionWeb2024aaaaaaaaaaaa.pptx
 
LISTA taller tecnología Sofia nava 11-2 año 2024
LISTA taller tecnología Sofia nava 11-2 año 2024LISTA taller tecnología Sofia nava 11-2 año 2024
LISTA taller tecnología Sofia nava 11-2 año 2024
 
tecnologia116.docx TRABAJO COLABORTIVO PRIMNER
tecnologia116.docx TRABAJO COLABORTIVO PRIMNERtecnologia116.docx TRABAJO COLABORTIVO PRIMNER
tecnologia116.docx TRABAJO COLABORTIVO PRIMNER
 
La electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdfLa electricidad y la electronica.10-7.pdf
La electricidad y la electronica.10-7.pdf
 
Green-Tech.pdf (Tecnologia Verde) Tendencias Tecnologicas
Green-Tech.pdf (Tecnologia Verde) Tendencias TecnologicasGreen-Tech.pdf (Tecnologia Verde) Tendencias Tecnologicas
Green-Tech.pdf (Tecnologia Verde) Tendencias Tecnologicas
 
tecno 2024.pdf sara mineiro palacio 10-6
tecno 2024.pdf sara mineiro palacio 10-6tecno 2024.pdf sara mineiro palacio 10-6
tecno 2024.pdf sara mineiro palacio 10-6
 
Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024Trabajo de tecnología primer periodo 2024
Trabajo de tecnología primer periodo 2024
 
TRABAJO TECNOLOGÍA E INFORMATICA TABLAAA
TRABAJO TECNOLOGÍA E INFORMATICA TABLAAATRABAJO TECNOLOGÍA E INFORMATICA TABLAAA
TRABAJO TECNOLOGÍA E INFORMATICA TABLAAA
 
tecnologia11-6 Juan Sebastián Gonzalez liceo
tecnologia11-6 Juan Sebastián Gonzalez liceotecnologia11-6 Juan Sebastián Gonzalez liceo
tecnologia11-6 Juan Sebastián Gonzalez liceo
 
Nomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de NóminaNomisam: Base de Datos para Gestión de Nómina
Nomisam: Base de Datos para Gestión de Nómina
 
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
_Planificacion Anual NTICX 2024.SEC.21.4.1.docx.pdf
 
Clasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptxClasificación de Conjuntos de Datos Desequilibrados.pptx
Clasificación de Conjuntos de Datos Desequilibrados.pptx
 
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS..docx
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS..docxBLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS..docx
BLOG, EXCEL AVANZADO, MÉTODOS ESTADÍSTICOS..docx
 

Hunting season: Tracking down WIRTE

  • 1.
  • 4. Arsenal caso ideal ¿Idealmente qué herramientas/fuentes de información se necesitan? • Red: acceso al tráfico de red de lo siguiente • Resoluciones DNS de la organización • Navegación Web (http, https) • Netflow • Otros protocolos como: icmp o netbios. • Endpoint • Monitorización de actividad: SYSMON • Registro antivirus • Capacidades de actuación sobre loa equipos • Servidores • Al menos registro completo de actividad (EventLog/Syslog) • Dispositivos de seguridad • Logs de antivirus, WAF, DLP, etc… • IOCs, TTPs • Estudio previo que identifique las “Joyas de la Corona”
  • 5. Arsenal caso real En la realidad… Factores no técnicos, digamos políticos… limitan las actuaciones de hunting. Resoluciones DNS de la organización
  • 6. Hunts DNS Posibles anomalías – Hunts DNS ¿Qué buscar en los registros de resolución DNS? • Dominios que resuelven a 127.0.0.0/8 o ips reservadas 192.168.0.0 • Listar servidores DNS • TOP dominios que resuelven a más Ips (Fastflux) • TOP dominios más largos (max 253) • TOP peticiones resueltas • TOP peticiones no resueltas satisfactoriamente • Peticiones periódicas – usuarios que resuelven un determinado dominio todos los días • TOP dominios con más entropía (Top 11k Alexa es 3.11) • ddqqdwxc232qwsxasd23re131r1234r12ccwef-dq-.muymalo.com • TOP dominios con registro TXT grande/variable • Múltiples subdominios de más de 4 niveles • Ddqqdwx.c232qw.sxasd23re131r1.234r12ccwef-dq-.muymalo.com • Dominios con mayúsculas y minúsculas en su resolución (base64??) • CwqwqShbS5wbA.malicioso.com
  • 7. Hunts DNS Posibles anomalías – Hunts DNS ¿Qué buscar en los registros de resolución DNS? • Caracteres no permitidos • CwqwqShbS5wbA==.malicioso.com • Uso de punycodes[1] • S2ɡʀupo.com -> xn--s2upo-smc1t • Tipo de petición DNS • Clientes haciendo peticiones TXT (DNS tunneling), AXFR… • TTL bajos (0) • Dominios de creación reciente o/y parecidos a los de la organización • Servicios de DnsDynamico (dyndns, freeddns.org) • Dominios WPAD con gTLD con colisión[2] • Round-robin DNS, balanceo a una IP fuera del ASN. • Distancia de Levenshtein sobre dominios populares • Microsoft, Google, outlook… micorsoft.store
  • 10. CASO WIRTE inetnum: 185.86.79.0 - 185.86.79.255 netname: UA-GMHOST-NET-79 descr: GMHOST datacentre country: UA org: ORG-AMS18-RIPE admin-c: AM34691-RIPE tech-c: GTC15-RIP Estatus: ASSIGNED PA mnt-by: GMHOST-MNT created: 2016-03-01T10:31:04Z last-modified: 2016-03-01T10:43:02Z source: RIPE organisation: ORG-AMS18-RIPE org-name: Mulgin Alexander Sergeevichor g-type: LIR address: Zavodska 46 address: 29007 address: Khmelnitskiy address: UKRAINE
  • 11. CASO WIRTE Nos vamos a por el equipo!
  • 15. CASO WIRTE Análisis del .vbs • Dropea y abre documento Word • Se copia al temporal del usuario
  • 16. CASO WIRTE Análisis del .vbs • Lanza la puerta trasera con powershell
  • 17. CASO WIRTE Alertas del antivirus en el equipo
  • 18. CASO WIRTE Demo de control del equipo
  • 19. CASO WIRTE Continuando la investigación… Error tipográfico Wirte -> Write sub wirteSCT dim ss dest = path + "ss.s" dest = dest + "ct" ss = "<?XML version=""1.0""?><scriptlet><registration progid=""fdd"" classid=""{F0001111-0000-0000-0000-0000FEEDACDC}""><script language=""JScript""><![CDATA[var r = new ActiveXObject(""WScript.Shell"").Run();]]></script></registration></scriptlet>" wirteFile ss, dest End sub ¿Atribución?
  • 20. CASO WIRTE Retrohunt en VT-Intel Se identifican 5 documentos más diferentes que cumplen el patrón Wirte • Uno de ellos dirigido aparentemente al Consulado de Kuwait del Consejo de Cooperación de los Estados Árabes del Golfo, organismo altamente importante dentro de los países del Golfo Arábigo. • 2 más subidos desde Palestina. • El autor pretende generar una infección entre los “partner states” de Arabia Saudita, sobre todo a diplomáticos que forman parte del Consejo de Cooperación de los Estados Árabes del Golfo. • Los atacantes además persiguen información con intereses políticos en la zona geográfica de Gaza y Palestina ¿Atribución?
  • 21. CASO WIRTE Retrohunt en VT-Intel Uno de ellos se hace eco Nick Carr el cual comenta nuestro informe
  • 23. CASO WIRTE Los países y grupos APT que podrían estar detrás inicialmente por intereses son: • Iran • Charming Kitten and Copy Kitten • Prince of Persia • Madi • Iran’s Cyber army • APT 34 • Rocket Kitten • Mabna Institute • Siria • SEA (Syrian Electronic Army) • Arabia Saudí • Saudi Arabia crazy hackers • Dahes • Cyber caliphate ¿Atribución? Pero sus TTPs no coinciden con las del atacante por lo que consideramos… Estamos ante un nuevo grupo… WIRTE
  • 25. BARCELONA BOGOTÁ Llull, 321, 08019 T. (+34) 933 030 060 Calle 89, nº 12-59, T. (+57) 317 647 10 96 info@s2grupo.es www.s2grupo.es www.securityartwork.es www.lab52.es MADRID Velázquez, 150, 2ª planta, 28002 T. (+34) 902 882 992 MÉXICO, D.F. Monte Athos 420 D.F., 11000 México T. (+52) 15521280681 VALENCIA Ramiro de Maeztu 7, 46022 T. (+34) 902 882 992
  • 26. Referencias • [1] https://www.irongeek.com/homoglyph-attack-generator.php • [2] https://www.ccn-cert.cni.es/documentos-publicos/x-jornadas-stic-ccn-cert/1822-d13-m1-02-s2grupo-roberto-amado/file.html • [3] https://blog.redteam.pl/2019/08/threat-hunting-dns-firewall.html Informe lab52.io caso WIRTE REFERENCIAS https://lab52.io/blog/wirte-group-attacking-the-middle-east/