Más contenido relacionado
Similar a Cybercamp UC3M ¿Cómo están los máquinas?
Similar a Cybercamp UC3M ¿Cómo están los máquinas? (20)
Más de Guillermo Obispo San Román
Más de Guillermo Obispo San Román (9)
Último
Último (20)
Cybercamp UC3M ¿Cómo están los máquinas?
- 1. @gobispo Lo primero de todo… ¿Cómo están los máquinas?
- 2. Hoy ha venido a divertirse a UC3M… root@bicho:~$ whoami 1. Willy, voluntario, fundador de la comunidad ProtAAPP. 2. Funcionario, coordinador del CCMAD. 3. Padre, hacker, profundamente anormal. @gobispo
- 3. ¿Qué me cuento? 01 EL BRIKINDANS ¿Cómo rompen nuestros sistemas los malos? 02 EL CRUSAITO ¿Cuál es su motivación? Diarios de criminología 03 EL ROBOCOP ¿Tecnologías disruptivas? Sujétame el cubata 04 EL MAIQUEL JAISON ¿Qué se puede hacer para defenderse? @gobispo
- 4. EL BRIKINDANS 01 Tácticas, Técnicas y Procedimientos (TTPs) @gobispo
- 6. CUCHIDATA OFERTA 2x1 - Compra de credenciales - Extracción de información - Equipos caseros comprometidos RANSOMWARE - Movimientos laterales - GitHub y herramientas de pago - Objetivo: ser Domain Admin RULETA DE LA FORTUNA - Los atacantes invierten mucho - Los defensores no tanto - ¿En qué casilla se esconde la APT? RASPBERRY ROBIN - USB infectado en casa del usuario - Dropper en QNAP’s infectadas - Muy avanzado, medidas anti forenses (Ahora parados desde hace 2 meses) @gobispo
- 7. RASPBERRY ROBIN Infección doméstica Equipo no corporativo Fichero .LNK Acceso directo falso Payload {http://QNAP:8080/{random}/<username>}” MSIExec.exe/wmic.exe Línea de comando y descarga Cliente TOR Envío de telemetría “cmd.exe /c start msiexec @gobispo
- 8. Un USB infectado o un SPAM dirigido, un usuario poco concienciado y una vulnerabilidad explotable. ● Herramientas tipo Red Team ● Cobalt Strike ($) y Powershell Empire ● Bloodhound Rápida propagación y atención a los sistemas de backup. RANSOMWARE @gobispo
- 9. Vector de entrada Living Off the Land Raspberry Robin o compra de credenciales en Deep Web Disfruta desde casa Exfiltración de datos con aplicaciones comerciales (RDP, TeamViewer, Anydesk…) Comprometida información en equipos domésticos OFERTA 2X1 @gobispo
- 10. Ransomware Tiempo ROI Coste medio pagado en rescates en España, durante el año 2021 En 2019 un ataque requería más de dos meses, en 2021.. Estudios 2015 Inversión $5,900 Ingresos $84,100 $750.000 3 días 1.425% RULETA DE LA FORTUNA @gobispo
- 11. …saltar en paracaidas y aprender a usarlo por el camino TRABAJAR EN SEGURIDAD ES… @gobispo
- 14. Ministerios, Organismos institucionales, Ayuntamientos, Universidades, Hospitales… no se libra nadie AAPP ● 2017/may: Ransomware Wannacry Económico ● 2021/mar: Ransomware Ryuk (SEPE) Ciberhacktivismo ● 2021/abr: Ransomware Ryuk (UCLM) Económico ● 2021/oct: Ransomware Pysa (UAB) Económico ● 2023/mar: RansomHouse Clínic Económico CIBERATAQUES CONOCIDOS @gobispo
- 16. RASPBERRY ROBIN EDR + IOCs OFERTA 2X1 SW pirata ¡Nunca! RANSOMWARE Anti-Phishing y 2FA RULETA DE LA FORTUNA Qué será, será EL EQUIPO AZUL 100% 98% 25% ¿? CULTURA DE LA CIBERSEGURIDAD @gobispo
- 18. SOC-OPS ALERTA DETECCIÓN RESPUESTA Erradicación y recuperación BLOQUEO Restringir capacidades CONTENCIÓN AWARENESS Comunicación con afectados ZORDON A METAMORFOSEARSE Detectada acción sospechosa @gobispo
Notas del editor
- Russian Market: Mercado negro de la Deep Web (LOL) Living off the Land: Aprovechar puertas de entrada ya existentes en las organizaciones, introduciendo códigos maliciosos Motor de búsqueda de leaks: intelx.io, osint.link, blueteamblog.com…