En la actualidad existen cada vez más noticias sobre supuestos ciberataques desde Rusia y otros actores hacia intereses tanto públicos como privados de países de nuestro entorno. Estos ciberataques parece que han servido para sustraer información estratégica y competitiva que ha sido utilizada para posteriores acciones como manipulación del mercado o afectación a la continuidad del negocio de compañías estratégicas. Sin embargo, la atribución de estos ataques sigue siendo un tanto difusa y se basa sobre todo en el análisis técnico de las herramientas usadas por los atacantes como exploits, malware, infraestructura de red, etc, y en la información obtenida a través de una incipiente disciplina llamada "ciberinteligencia", que parece que está llamada a ser uno de los grandes pilares de la ciberseguridad en las organizaciones tanto públicas como privadas en los próximos años.En esta charla se quiere mostrar como los actores del tipo estado diseñan y ejecutan operaciones de obtención de información mediante el uso de Internet para mostrar lo que los ponentes consideran errores en la atribución acerca del origen de los ciberataques que se realizan actualmente. Además, se mostrará como la ciberinteligencia tal como es planteada actualmente, es incapaz de precedir este tipo de acciones, siendo algo más reactivo que predictivo.
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
El documento presenta una introducción al análisis de malware en Windows y Android. Explica los tipos de malware más comunes, herramientas de análisis estático y dinámico como desmontadores, debuggers y sandbox, y técnicas de análisis como identificar persistencia, trucos contra análisis, y seguir el flujo del malware. El objetivo es proporcionar una guía básica para iniciar el análisis de malware en estos sistemas operativos.
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]RootedCON
El Jefe de una empresa se ausenta de su despacho durante 'unos minutos' para almorzar.Cuando regresa a su oficina se encuentra con su estación de trabajo encendida, con otro fondo de pantalla distinto al que él tenía.Se percata de que ha sido eliminado un archivo de vital importancia para la empresa: Un fichero de imagen consistente en su nueva imagen corporativa.Jura y perjura que apagó el ordenador antes de salir.Se da la circunstancia de que hace algunos días entregó una carta de despido a algunos técnicos que allí trabajan, siendo hoy su último día de labor, por lo que sospecha de alguno de ellos.Los hechos ocurrieron en la mañana del día 26 de enero de este año 2018. Nos pide que averigüemos quién ha sido el responsable de esta aberración.¿Seremos capaces de ver qué ha pasado?
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]RootedCON
Este documento presenta el concepto de un sistema de contraataque de intrusiones (ICS) que proporcionaría exploits de denegación de servicio a sistemas atacantes. El ICS funcionaría mediante un motor que analizaría las solicitudes entrantes, generaría hipótesis sobre las herramientas y plataformas del atacante, y calibraría y entregaría los exploits apropiados a través de un servicio de exploits como servicio (EaaS). El objetivo es contrarrestar ataques en línea mediante el aprendizaje automático y observación emp
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
Este documento presenta una guía sobre cómo auditar aplicaciones iOS. Explica los pasos clave de la auditoría, incluyendo el reversing para obtener los binarios, el análisis estático del código, el análisis dinámico interceptando tráfico de red y modificando código con Frida, y la elaboración de resultados. También cubre temas como la estructura de las aplicaciones iOS, jailbreaking, y las vulnerabilidades Spectre y Meltdown.
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
Este documento presenta tres resúmenes de un documento sobre ataques de homógrafos utilizando técnicas de aprendizaje profundo:
1) Se describe una herramienta llamada uriDeep que utiliza aprendizaje profundo para crear un diccionario mejorado de caracteres confusables en Unicode y facilitar ataques de homógrafos.
2) Se muestran ejemplos de dominios reales en España que podrían estar sujetos a ataques de homógrafos utilizando caracteres confusables, incluidos dominios de empresas del IBEX 35
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]RootedCON
Este documento presenta tres pilares clave para la persistencia de intrusos en sistemas UNIX: persistencia, actividades encubiertas y evasión de detección. Explica varias herramientas y técnicas para lograr cada pilar, como el uso de criptografía, modificación de archivos de configuración y rootkits. También describe herramientas como Unhide y RCLocals para detectar intrusos ocultos comparando datos de diferentes fuentes del sistema y verificando la integridad. El documento concluye enfatizando la importancia de rut
Este documento presenta un disclamer indicando que la información compartida es con fines educativos y no se hace responsable por su uso. También menciona que la audiencia debe asumir la información como falsa hasta comprobarla personalmente. Finalmente, indica que las opiniones vertidas son exclusivas del orador.
Este documento presenta una introducción al análisis forense de dispositivos Android. Explica brevemente conceptos clave como la informática forense, la conservación de evidencia, las versiones de Android, y la arquitectura de Android. También cubre temas como la preparación del laboratorio forense, la identificación de particiones y archivos, y técnicas para obtener y analizar datos forenses de un dispositivo Android.
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
El documento presenta una introducción al análisis de malware en Windows y Android. Explica los tipos de malware más comunes, herramientas de análisis estático y dinámico como desmontadores, debuggers y sandbox, y técnicas de análisis como identificar persistencia, trucos contra análisis, y seguir el flujo del malware. El objetivo es proporcionar una guía básica para iniciar el análisis de malware en estos sistemas operativos.
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]RootedCON
El Jefe de una empresa se ausenta de su despacho durante 'unos minutos' para almorzar.Cuando regresa a su oficina se encuentra con su estación de trabajo encendida, con otro fondo de pantalla distinto al que él tenía.Se percata de que ha sido eliminado un archivo de vital importancia para la empresa: Un fichero de imagen consistente en su nueva imagen corporativa.Jura y perjura que apagó el ordenador antes de salir.Se da la circunstancia de que hace algunos días entregó una carta de despido a algunos técnicos que allí trabajan, siendo hoy su último día de labor, por lo que sospecha de alguno de ellos.Los hechos ocurrieron en la mañana del día 26 de enero de este año 2018. Nos pide que averigüemos quién ha sido el responsable de esta aberración.¿Seremos capaces de ver qué ha pasado?
Elías Grande & Jorge Nuñez - Medusa, El nacimiento de los ICS [rooted2019]RootedCON
Este documento presenta el concepto de un sistema de contraataque de intrusiones (ICS) que proporcionaría exploits de denegación de servicio a sistemas atacantes. El ICS funcionaría mediante un motor que analizaría las solicitudes entrantes, generaría hipótesis sobre las herramientas y plataformas del atacante, y calibraría y entregaría los exploits apropiados a través de un servicio de exploits como servicio (EaaS). El objetivo es contrarrestar ataques en línea mediante el aprendizaje automático y observación emp
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
Este documento presenta una guía sobre cómo auditar aplicaciones iOS. Explica los pasos clave de la auditoría, incluyendo el reversing para obtener los binarios, el análisis estático del código, el análisis dinámico interceptando tráfico de red y modificando código con Frida, y la elaboración de resultados. También cubre temas como la estructura de las aplicaciones iOS, jailbreaking, y las vulnerabilidades Spectre y Meltdown.
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
Este documento presenta tres resúmenes de un documento sobre ataques de homógrafos utilizando técnicas de aprendizaje profundo:
1) Se describe una herramienta llamada uriDeep que utiliza aprendizaje profundo para crear un diccionario mejorado de caracteres confusables en Unicode y facilitar ataques de homógrafos.
2) Se muestran ejemplos de dominios reales en España que podrían estar sujetos a ataques de homógrafos utilizando caracteres confusables, incluidos dominios de empresas del IBEX 35
Yago Jesus & David Reguera - Deteccion de intrusos en UNIX [rootedvlc2019]RootedCON
Este documento presenta tres pilares clave para la persistencia de intrusos en sistemas UNIX: persistencia, actividades encubiertas y evasión de detección. Explica varias herramientas y técnicas para lograr cada pilar, como el uso de criptografía, modificación de archivos de configuración y rootkits. También describe herramientas como Unhide y RCLocals para detectar intrusos ocultos comparando datos de diferentes fuentes del sistema y verificando la integridad. El documento concluye enfatizando la importancia de rut
Este documento presenta un disclamer indicando que la información compartida es con fines educativos y no se hace responsable por su uso. También menciona que la audiencia debe asumir la información como falsa hasta comprobarla personalmente. Finalmente, indica que las opiniones vertidas son exclusivas del orador.
Este documento presenta una introducción al análisis forense de dispositivos Android. Explica brevemente conceptos clave como la informática forense, la conservación de evidencia, las versiones de Android, y la arquitectura de Android. También cubre temas como la preparación del laboratorio forense, la identificación de particiones y archivos, y técnicas para obtener y analizar datos forenses de un dispositivo Android.
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...RootedCON
Las amenazas en Internet están más latentes que nunca. Hoy en día la materialización de una amenaza en la vida de los usuarios y las empresas pueden provocar una gran destrucción, pero, ¿Es sencillo? La publicación de vulnerabilidades y de técnicas de pentesting provocan que cualquier usuario puedan aprovecharlas para integrarlas en un nuevo malware.
En la charla se detallará cómo de fácil es modular, por un bad boy, un malware a través de vulnerabilidades y técnicas publicadas en el último año. La técnica Fileless & Fileless2 para hacer bypass UAC o crear persistencia en Windows sin crear un archivo en disco ya ha sido utilizada en campañas de malware. La vulnerabilidad Eternalblue ha sido aprovechada para propagar malware a través del protocolo SMB. La lacra del ransomware sigue siendo utilizada para obtener un beneficio directo y, hoy en día, cualquier usuario puede modularizar las partes y hacer un malware más potente, ¿Estamos preparados para luchar contra esto? Detallaremos de forma técnica y práctica los conceptos comentados anteriormente.
Por último, hablaremos de la transición de la sociedad. La nueva sociedad que viene debe estar preparada para entender y luchar contra las nuevas amenazas cibernéticas. Los casos de la Botnet Mirai o del Ransomware Petya son claros ejemplos de que la sociedad debe entender y asimilar un nuevo rol. ¿Estás en la nueva sociedad?
A veces la diferencia entre poder acceder a un sistema remoto con éxito o fallar puede ser el conocimiento de una herramienta, una línea de comando o incluso una técnica de evasión de AV/Firewall. Esta plática brindará consejos y trucos para poder hackear "like a Boss", que le dará una ventaja durante la auditoría de un sistema
Ponente: Roberto Salgado. Director técnico y co-fundador de Websec México. Roberto ha participado y contribuido en proyectos importantes como ModSecurity, PHPIDS, sqlmap y el libro “Web Application Obfuscation“. Creó la base de conocimientos de inyección SQL, una de las referencias más completas disponibles en la web y Panoptic, un buscador de rutas de archivos comunes con vulnerabilidades tipo LFI. También desarrollo el método más rápido para extraer información de bases de datos vulnerables a inyección a ciegas.
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...Websec México, S.C.
Este documento describe IoTGoat, una herramienta desarrollada por OWASP para enseñar a los desarrolladores a crear productos IoT seguros. IoTGoat contiene vulnerabilidades comunes encontradas en dispositivos IoT que pueden ser explotadas para que los desarrolladores aprendan sobre seguridad. El objetivo final es mejorar la seguridad de los productos IoT.
Dumpeando hashes del controlador de dominio por @_hkm
Una plática rápida sobre una de las técnicas más redituables durante una prueba de penetración. Utilizando una cuenta con permisos de administrador de dominio mostraremos como dumpear todos los hashes en formato NTLM almacenados en el controlador de dominio del directorio activo.
Este documento describe un proyecto para analizar incidentes de seguridad en una red de Honeypots utilizando técnicas de análisis forense digital. El proyecto busca identificar las actividades de los atacantes, generar recursos de investigación y difundir los resultados a un grupo de seguridad.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.Dani Adastra
El documento presenta una charla sobre hacking en las redes anónimas TOR y Freenet. Explica el funcionamiento general de ambas redes, incluyendo cómo proveen anonimato a través de enrutamiento múltiple en una red distribuida. También discute técnicas para detectar vulnerabilidades y ejecutar código malicioso en servicios ocultos de estas redes, con el objetivo de desanonimizar a ciberdelincuentes o bloquear contenidos ilegales.
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]RootedCON
En los modelos y metodologías de desarrollo de software ágiles, las aproximaciones tradicionales en cuanto a la seguridad en el desarrollo simplemente no funcionan. Existen demasiados ciclos, demasiadas entregas de forma muy rápida y los recursos en los equipos de seguridad son escasos. Estas aproximaciones tradicionales se han quedado más obsoletas si cabe con la introducción de prácticas DevOps, que hacen que el tiempo que transcurre desde el inicio de un nuevo ciclo de desarrollo hasta que el conjunto de funcionalidades implementadas, durante ese ciclo, esté en producción, sea cada vez menor. El objetivo de esta charla es mostrar cómo podemos actualizar las prácticas de seguridad sobre el desarrollo de software al conjunto de prácticas de desarrollo y entrega actuales. Para ello se desarrollarán conceptos como Modelado Ágil de Riesgos, Puntos de Contacto en actividades relativas a la seguridad del desarrollo durante su ciclo, la automatización de pruebas de seguridad y verificación de correcciones sobre vulnerabilidades detectadas. Estas dos últimas utilizando BDD-Security.
Este documento describe una herramienta de correlación de procesos Sysmon que monitorea el comportamiento de procesos en un sistema para detectar actividad maliciosa. La herramienta incluye un motor de línea base que establece el comportamiento normal de procesos clave y un motor de jerarquía que detecta anomalías en la relación entre procesos padre e hijo. La herramienta puede usarse para cazar malware avanzado que opera en memoria sin dejar rastros en el disco.
El documento presenta una agenda para una charla sobre hacking con Python. La agenda incluye temas como la creación de rutinas para inyectar malware en sistemas Linux y Windows utilizando Python, el monitoreo de la actividad del usuario a través de keyloggers, screen scrapers y webcam scrapers creados con Python, y la creación de herramientas para monitorear y controlar sistemas. También proporciona detalles sobre cómo inyectar malware en procesos de Windows y Linux usando funciones como CreateRemoteThread, LoadLibrary y ptrace.
Este documento ofrece consejos prácticos para crear aplicaciones seguras. Explica que los errores de seguridad pueden ser muy costosos y que factores como la validación de datos, el uso de criptografía, el análisis de código y las pruebas son importantes. También destaca la necesidad de procesos de seguridad integrales en todo el ciclo de vida del desarrollo de software.
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
Este documento proporciona instrucciones para crear virus informáticos y rootkits de manera ilegal. Describe métodos como el uso de SEO para propagar malware, técnicas de encriptación y mutación de código, formas de controlar botnets, esconderse en sistemas mediante rootkits, y expandir virus a otros equipos.
Presentación realizada por César Jiménez (director técnico de buguroo) en el marco de la I Jornada de Criptografía "Hablando en Clave", celebrada en la Universidad Autónoma de Madrid el 16 de marzo de 2015.
Se trata de una presentación que analiza la criptografía desde la II Guerra Mundial hasta nuestros días, pensada para un público que no necesariamente se dedique a la criptografía o a la ciberseguridad. Tiene un marcado enfoque pedagógico.
El documento presenta la biografía y experiencia de Paulino Calderón Pale. Brevemente, Calderón Pale es fundador de Websec México, ha contribuido a proyectos como Google Summer of Code y Nmap, y ha escrito libros sobre pentesting y Nmap. También ha desarrollado aplicaciones para Android y ofrece servicios de consultoría en seguridad.
Backtrack 5R3 (ahora conocido como Kali Linux) es una distribución Linux live enfocada en la seguridad informática y la auditoría. Incluye más de 300 herramientas de seguridad como Nmap, Wireshark, Aircrack-ng y John the Ripper listas para usar desde un CD o USB sin necesidad de instalación. Otras distribuciones similares son WiFiSlax, Wifiway y Black Ubuntu, mientras que FOCA es una herramienta para recopilación de información y análisis de metadatos en sitios web.
Este documento describe varias herramientas y suites para la auditoría de seguridad informática, incluyendo Backtrack 5R3/Kali Linux, que ofrecen una amplia colección de herramientas de seguridad listas para usar, WiFiSlax y Wifiway que se enfocan en la auditoría inalámbrica, y FOCA que realiza procesos de fingerprinting e information gathering para auditorías web.
El documento define diferentes tipos de crackers (personas que hackean sistemas de forma ilegal), incluyendo lammer (con poco conocimiento), copyhaker (falsificadores de hardware), bucaneros (que comercializan información robada), inceders (empleados descontentos), phreaker (expertos en telefonía), newbie, script kiddie (usuarios sin conocimientos que usan programas de otros), y trasher (que roban datos de tarjetas). También menciona crackers famosos como Fred Cohen, Robert Tappan Morris, y Kevin Mitnick.
Este documento proporciona una historia del hacking desde sus orígenes en el MIT en la década de 1960 hasta la actualidad. Detalla los primeros hackers, grupos como Legion of Doom y Cult of the Dead Cow, y eventos clave como la creación de ARPANET y el primer virus de computadora. También describe las tres categorías principales de hackers: de sombrero blanco, negro y gris. El documento concluye con una breve línea de tiempo de la historia del hacking que destaca hitos importantes.
Los documentos describen un aumento en los ataques cibernéticos contra compañías multinacionales y cómo el significado de la palabra "hacker" ha cambiado con el tiempo. Originalmente, un hacker se refería a alguien que encontraba soluciones creativas a problemas, pero ahora se asocia más con la intrusión ilegal en sistemas informáticos.
Este documento trata sobre seguridad informática y define conceptos como malware, virus, gusanos y troyanos. Explica diferentes tipos de malware como adware, bloqueadores, bulos, keyloggers, spyware, ladrones de contraseñas, puertas traseras, rootkits y secuestradores de navegador. También describe el caso de la mayor red zombi controlada por españoles que infectó 13 millones de equipos.
El documento habla sobre hackers y la seguridad informática. Explica que originalmente la palabra "hacker" se refería a estudiantes del MIT que encontraban soluciones creativas a problemas, pero ahora se asocia con gente que causa terror en internet de forma anónima. También menciona algunos hackers famosos como Jonathan James, Adrian Lamo, Kevin Mitnick, Kevin Poulsen y Robert Tappan Morris, y sus acciones ilegales. Finalmente, brinda información sobre cómo los hackers realizan ataques y sobre programas maliciosos comunes.
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...RootedCON
Las amenazas en Internet están más latentes que nunca. Hoy en día la materialización de una amenaza en la vida de los usuarios y las empresas pueden provocar una gran destrucción, pero, ¿Es sencillo? La publicación de vulnerabilidades y de técnicas de pentesting provocan que cualquier usuario puedan aprovecharlas para integrarlas en un nuevo malware.
En la charla se detallará cómo de fácil es modular, por un bad boy, un malware a través de vulnerabilidades y técnicas publicadas en el último año. La técnica Fileless & Fileless2 para hacer bypass UAC o crear persistencia en Windows sin crear un archivo en disco ya ha sido utilizada en campañas de malware. La vulnerabilidad Eternalblue ha sido aprovechada para propagar malware a través del protocolo SMB. La lacra del ransomware sigue siendo utilizada para obtener un beneficio directo y, hoy en día, cualquier usuario puede modularizar las partes y hacer un malware más potente, ¿Estamos preparados para luchar contra esto? Detallaremos de forma técnica y práctica los conceptos comentados anteriormente.
Por último, hablaremos de la transición de la sociedad. La nueva sociedad que viene debe estar preparada para entender y luchar contra las nuevas amenazas cibernéticas. Los casos de la Botnet Mirai o del Ransomware Petya son claros ejemplos de que la sociedad debe entender y asimilar un nuevo rol. ¿Estás en la nueva sociedad?
A veces la diferencia entre poder acceder a un sistema remoto con éxito o fallar puede ser el conocimiento de una herramienta, una línea de comando o incluso una técnica de evasión de AV/Firewall. Esta plática brindará consejos y trucos para poder hackear "like a Boss", que le dará una ventaja durante la auditoría de un sistema
Ponente: Roberto Salgado. Director técnico y co-fundador de Websec México. Roberto ha participado y contribuido en proyectos importantes como ModSecurity, PHPIDS, sqlmap y el libro “Web Application Obfuscation“. Creó la base de conocimientos de inyección SQL, una de las referencias más completas disponibles en la web y Panoptic, un buscador de rutas de archivos comunes con vulnerabilidades tipo LFI. También desarrollo el método más rápido para extraer información de bases de datos vulnerables a inyección a ciegas.
OWASP IoTGoat - Enseñando a desarrolladores IoT a crear productos seguros - P...Websec México, S.C.
Este documento describe IoTGoat, una herramienta desarrollada por OWASP para enseñar a los desarrolladores a crear productos IoT seguros. IoTGoat contiene vulnerabilidades comunes encontradas en dispositivos IoT que pueden ser explotadas para que los desarrolladores aprendan sobre seguridad. El objetivo final es mejorar la seguridad de los productos IoT.
Dumpeando hashes del controlador de dominio por @_hkm
Una plática rápida sobre una de las técnicas más redituables durante una prueba de penetración. Utilizando una cuenta con permisos de administrador de dominio mostraremos como dumpear todos los hashes en formato NTLM almacenados en el controlador de dominio del directorio activo.
Este documento describe un proyecto para analizar incidentes de seguridad en una red de Honeypots utilizando técnicas de análisis forense digital. El proyecto busca identificar las actividades de los atacantes, generar recursos de investigación y difundir los resultados a un grupo de seguridad.
Cybercamp 2017: Hacking TOR & Freenet for fun, profit and stop the evil.Dani Adastra
El documento presenta una charla sobre hacking en las redes anónimas TOR y Freenet. Explica el funcionamiento general de ambas redes, incluyendo cómo proveen anonimato a través de enrutamiento múltiple en una red distribuida. También discute técnicas para detectar vulnerabilidades y ejecutar código malicioso en servicios ocultos de estas redes, con el objetivo de desanonimizar a ciberdelincuentes o bloquear contenidos ilegales.
Paúl Santapau - Actualizando DevOps a SecDevOps [rooted2017]RootedCON
En los modelos y metodologías de desarrollo de software ágiles, las aproximaciones tradicionales en cuanto a la seguridad en el desarrollo simplemente no funcionan. Existen demasiados ciclos, demasiadas entregas de forma muy rápida y los recursos en los equipos de seguridad son escasos. Estas aproximaciones tradicionales se han quedado más obsoletas si cabe con la introducción de prácticas DevOps, que hacen que el tiempo que transcurre desde el inicio de un nuevo ciclo de desarrollo hasta que el conjunto de funcionalidades implementadas, durante ese ciclo, esté en producción, sea cada vez menor. El objetivo de esta charla es mostrar cómo podemos actualizar las prácticas de seguridad sobre el desarrollo de software al conjunto de prácticas de desarrollo y entrega actuales. Para ello se desarrollarán conceptos como Modelado Ágil de Riesgos, Puntos de Contacto en actividades relativas a la seguridad del desarrollo durante su ciclo, la automatización de pruebas de seguridad y verificación de correcciones sobre vulnerabilidades detectadas. Estas dos últimas utilizando BDD-Security.
Este documento describe una herramienta de correlación de procesos Sysmon que monitorea el comportamiento de procesos en un sistema para detectar actividad maliciosa. La herramienta incluye un motor de línea base que establece el comportamiento normal de procesos clave y un motor de jerarquía que detecta anomalías en la relación entre procesos padre e hijo. La herramienta puede usarse para cazar malware avanzado que opera en memoria sin dejar rastros en el disco.
El documento presenta una agenda para una charla sobre hacking con Python. La agenda incluye temas como la creación de rutinas para inyectar malware en sistemas Linux y Windows utilizando Python, el monitoreo de la actividad del usuario a través de keyloggers, screen scrapers y webcam scrapers creados con Python, y la creación de herramientas para monitorear y controlar sistemas. También proporciona detalles sobre cómo inyectar malware en procesos de Windows y Linux usando funciones como CreateRemoteThread, LoadLibrary y ptrace.
Este documento ofrece consejos prácticos para crear aplicaciones seguras. Explica que los errores de seguridad pueden ser muy costosos y que factores como la validación de datos, el uso de criptografía, el análisis de código y las pruebas son importantes. También destaca la necesidad de procesos de seguridad integrales en todo el ciclo de vida del desarrollo de software.
Alberto García de Dios - Virus, el arte no debería ser negocio [Rooted CON 2011]RootedCON
Este documento proporciona instrucciones para crear virus informáticos y rootkits de manera ilegal. Describe métodos como el uso de SEO para propagar malware, técnicas de encriptación y mutación de código, formas de controlar botnets, esconderse en sistemas mediante rootkits, y expandir virus a otros equipos.
Presentación realizada por César Jiménez (director técnico de buguroo) en el marco de la I Jornada de Criptografía "Hablando en Clave", celebrada en la Universidad Autónoma de Madrid el 16 de marzo de 2015.
Se trata de una presentación que analiza la criptografía desde la II Guerra Mundial hasta nuestros días, pensada para un público que no necesariamente se dedique a la criptografía o a la ciberseguridad. Tiene un marcado enfoque pedagógico.
El documento presenta la biografía y experiencia de Paulino Calderón Pale. Brevemente, Calderón Pale es fundador de Websec México, ha contribuido a proyectos como Google Summer of Code y Nmap, y ha escrito libros sobre pentesting y Nmap. También ha desarrollado aplicaciones para Android y ofrece servicios de consultoría en seguridad.
Backtrack 5R3 (ahora conocido como Kali Linux) es una distribución Linux live enfocada en la seguridad informática y la auditoría. Incluye más de 300 herramientas de seguridad como Nmap, Wireshark, Aircrack-ng y John the Ripper listas para usar desde un CD o USB sin necesidad de instalación. Otras distribuciones similares son WiFiSlax, Wifiway y Black Ubuntu, mientras que FOCA es una herramienta para recopilación de información y análisis de metadatos en sitios web.
Este documento describe varias herramientas y suites para la auditoría de seguridad informática, incluyendo Backtrack 5R3/Kali Linux, que ofrecen una amplia colección de herramientas de seguridad listas para usar, WiFiSlax y Wifiway que se enfocan en la auditoría inalámbrica, y FOCA que realiza procesos de fingerprinting e information gathering para auditorías web.
El documento define diferentes tipos de crackers (personas que hackean sistemas de forma ilegal), incluyendo lammer (con poco conocimiento), copyhaker (falsificadores de hardware), bucaneros (que comercializan información robada), inceders (empleados descontentos), phreaker (expertos en telefonía), newbie, script kiddie (usuarios sin conocimientos que usan programas de otros), y trasher (que roban datos de tarjetas). También menciona crackers famosos como Fred Cohen, Robert Tappan Morris, y Kevin Mitnick.
Este documento proporciona una historia del hacking desde sus orígenes en el MIT en la década de 1960 hasta la actualidad. Detalla los primeros hackers, grupos como Legion of Doom y Cult of the Dead Cow, y eventos clave como la creación de ARPANET y el primer virus de computadora. También describe las tres categorías principales de hackers: de sombrero blanco, negro y gris. El documento concluye con una breve línea de tiempo de la historia del hacking que destaca hitos importantes.
Los documentos describen un aumento en los ataques cibernéticos contra compañías multinacionales y cómo el significado de la palabra "hacker" ha cambiado con el tiempo. Originalmente, un hacker se refería a alguien que encontraba soluciones creativas a problemas, pero ahora se asocia más con la intrusión ilegal en sistemas informáticos.
Este documento trata sobre seguridad informática y define conceptos como malware, virus, gusanos y troyanos. Explica diferentes tipos de malware como adware, bloqueadores, bulos, keyloggers, spyware, ladrones de contraseñas, puertas traseras, rootkits y secuestradores de navegador. También describe el caso de la mayor red zombi controlada por españoles que infectó 13 millones de equipos.
El documento habla sobre hackers y la seguridad informática. Explica que originalmente la palabra "hacker" se refería a estudiantes del MIT que encontraban soluciones creativas a problemas, pero ahora se asocia con gente que causa terror en internet de forma anónima. También menciona algunos hackers famosos como Jonathan James, Adrian Lamo, Kevin Mitnick, Kevin Poulsen y Robert Tappan Morris, y sus acciones ilegales. Finalmente, brinda información sobre cómo los hackers realizan ataques y sobre programas maliciosos comunes.
El documento habla sobre hackers y la seguridad informática. Explica que originalmente la palabra "hacker" se refería a estudiantes del MIT que encontraban soluciones creativas a problemas, pero ahora se asocia con gente que causa terror en internet de forma anónima. También describe algunos hackers famosos como Jonathan James, Adrian Lamo, Kevin Mitnick, Kevin Poulsen y Robert Tappan Morris, y sus acciones ilegales. Finalmente, explica formas en que los hackers maliciosos atacan computadoras y cómo los antivirus contrarrestan los virus.
El documento habla sobre hackers y la seguridad informática. Explica que originalmente la palabra "hacker" se refería a estudiantes del MIT que encontraban soluciones creativas a problemas, pero ahora se asocia con gente que causa terror en internet de forma anónima. También menciona algunos hackers famosos como Jonathan James, Adrian Lamo, Kevin Mitnick, Kevin Poulsen y Robert Tappan Morris, y sus acciones ilegales. Finalmente, brinda información sobre cómo los hackers realizan ataques y sobre programas maliciosos comunes.
El documento habla sobre hackers y la seguridad informática. Explica que originalmente la palabra "hacker" se refería a estudiantes del MIT que encontraban soluciones creativas a problemas, pero ahora se asocia con gente que causa terror en internet de forma anónima. También menciona algunos hackers famosos como Jonathan James, Adrian Lamo, Kevin Mitnick, Kevin Poulsen y Robert Tappan Morris, y sus acciones ilegales. Finalmente, brinda información sobre cómo los hackers realizan ataques y sobre programas maliciosos comunes.
Este documento habla sobre temas de tecnología como virus informáticos, tipos de virus, antivirus conocidos, hackers, crackers y la importancia de la seguridad informática. Define qué son virus informáticos, troyanos, gusanos y otros tipos de virus. También explica brevemente qué son hackers, crackers y licencias de software. Resalta la importancia de mantener la seguridad de la información almacenada en computadoras.
Este documento trata sobre temas de tecnología como virus informáticos, tipos de virus, antivirus conocidos, hackers, crackers y la importancia de la seguridad informática. Define qué son virus informáticos, troyanos, gusanos y otros tipos de virus. También explica brevemente qué son hackers, crackers y licencias de software. Finalmente, enfatiza la importancia de mantener la seguridad informática para proteger la información almacenada.
Este documento trata sobre temas de tecnología como virus informáticos, tipos de virus, antivirus conocidos, hackers, crackers y la importancia de la seguridad informática. Define qué son virus informáticos, troyanos, gusanos y otros tipos de virus. También explica brevemente qué son hackers, crackers y licencias de software. Finalmente, enfatiza la importancia de mantener la seguridad informática para proteger la información almacenada.
El documento habla sobre la seguridad de la información y los riesgos de vulnerabilidad. Explica que la información puede verse afectada por factores internos y externos que comprometen su confidencialidad, integridad y disponibilidad. También describe varios tipos de ataques cibernéticos como fraude, robo de datos, virus y malware, así como medidas para proteger los sistemas y la información.
Riesgos y seguridad en las computadorasSharlotEsis
Este documento resume varios tipos de sabotajes y delitos informáticos como virus, caballos de Troya, bombas lógicas, gusanos, hackers, robo electrónico y piratería. Describe los daños que causan cada uno y medidas de seguridad como contraseñas, restricciones de acceso, cifrado y reglas empíricas para proteger sistemas y datos.
Este documento describe cómo hackear una computadora usando un troyano a través de un programa de mensajería instantánea. Explica el procedimiento de desactivar el firewall, ejecutar el programa troyano, establecer un puerto de escucha, crear un servidor troyano con un mensaje e instrucciones de instalación, y manipular la computadora objetivo desde la distancia. El resultado es poder eliminar, modificar o robar archivos e información de la computadora hackeada.
1. El documento trata sobre delitos informáticos como virus, hackers, robo electrónico, piratería y sabotajes. 2. Explica diferentes tipos de virus como gusanos, caballos de Troya y virus de macro, así como bombas de software y lógicas. 3. También define hacking, piratería informática y software espía, y discute la historia de la piratería y cómo opera en la actualidad.
Este documento habla sobre los delincuentes informáticos. Explica que son aquellos que cometen delitos a través del uso de computadoras y Internet. Describe los diferentes tipos de delincuentes como hackers, crackers, phreakers y clasifica los diferentes tipos de delitos informáticos.
Este documento habla sobre hackers. Define hackers como personas con grandes conocimientos de informática y telecomunicaciones que los usan con diferentes objetivos. Algunos hackers usan sus habilidades para propósitos ilegales y son llamados crackers. El documento también describe diferentes tipos de hackers, sus características y motivos.
Este documento resume los principales riesgos informáticos como delitos informáticos, virus, hackers y medidas de seguridad. Explica los tipos de delitos, virus y hackers más comunes y cómo protegerse usando contraseñas, firewalls, antivirus y copias de seguridad. También advierte sobre los peligros de navegar en internet como hoaxes, spyware y phishing.
Este documento describe varios tipos de ataques informáticos, incluyendo ataques físicos, de denegación de servicio, intrusiones y sociales. También explica la diferencia entre virus, troyanos, gusanos y otros tipos de malware. Por último, detalla medidas de seguridad como el uso de contraseñas seguras, software de seguridad, cortafuegos, copias de seguridad y hardware adecuado para prevenir ataques.
Similar a Javier Rodríguez & David Sánchez - ¿Otra vez tú, Tovarich? [rooted2018] (20)
Rooted2020 A clockwork pentester - Jose Carlos Moral & Alvaro VillaverdeRootedCON
Este documento presenta la plataforma SecAP, la cual automatiza las tareas de pentesting de una manera inteligente y autónoma. SecAP funciona como una suite de herramientas que incluye conectores, lanzadores, analizadores y una API REST. Coordina el proceso de pentesting al almacenar los activos descubiertos, lanzar las herramientas apropiadas, analizar los resultados y continuar la auditoría de forma autónoma. El documento describe la arquitectura, componentes, flujo de trabajo y ventajas de SecAP,
Este documento describe una investigación sobre la identificación y evasión de entornos de análisis sandbox. Los investigadores desarrollaron artefactos para recopilar información de varias sandbox y analizar su seguridad. Encontraron que algunas sandbox no ocultan bien su naturaleza y que es posible acceder a archivos de configuración. También pudieron identificar a los propietarios de algunas sandbox mediante vulnerabilidades de XSS. Concluyen que es posible obtener inteligencia sobre cómo funcionan las sandbox y evadir su detección.
El documento describe una propuesta para realizar auditorías de infraestructura de forma rápida y eficiente mediante la automatización y estandarización del proceso. Se propone crear un catálogo de estándares, componentes y controles de seguridad que puedan ejecutarse de forma automatizada para auditar sistemas, generar informes y validar el cumplimiento normativo.
Rooted2020 the day i_ruled_the_world_deceiving_software_developers_through_op...RootedCON
This document discusses how software developers can be deceived through malicious software libraries uploaded to package managers. It describes how the researchers generated homograph variants of popular library names and uploaded them to PyPI and npm. Within a few hours hundreds of developers had installed the malicious libraries, demonstrating vulnerabilities in how developers and package managers prevent homograph attacks. The researchers then analyzed the results and issues recommendations to package managers on additional controls like rate limiting and mandatory user identification that could help prevent such attacks.
Rooted2020 si la-empresa_ha_ocultado_el_ciberataque,_como_se_ha_enterado_el_r...RootedCON
Este documento resume la legislación española e internacional sobre el whistleblowing o denuncia de irregularidades. Explica que las empresas están obligadas a disponer de canales internos de denuncia confidenciales y protegidos, y que los denunciantes no pueden sufrir represalias. La normativa incluye infracciones relacionadas con la ciberseguridad, como incidentes de seguridad y filtraciones de datos. Las empresas deben transponer estas directivas antes de 2021, aunque se concede más tiempo para pymes.
El documento presenta los resultados de un análisis de seguridad de plugins de WordPress. Se analizaron 84,508 plugins encontrando 1,775 vulnerables con 5,419 vulnerabilidades en total, predominando la inyección SQL. Se desarrolló una infraestructura llamada WordPressTerror para automatizar el análisis. Los resultados se informaron al equipo de seguridad de WordPress para notificar a los desarrolladores. El objetivo final es mejorar la seguridad de WordPress y sus plugins.
El documento presenta una charla sobre atacando comunicaciones de voz cifradas. Se discuten varios protocolos de cifrado como SIP, SRTP, ZRTP y Signal. Se explican sus características de seguridad y posibles ataques como interceptación de tráfico, suplantación de identidad y escucha de conversaciones. El objetivo es crear conciencia sobre la importancia de cifrar las comunicaciones para proteger la privacidad.
El documento describe un análisis forense de un rootkit llamado Necurs. Explica cómo el rootkit infecta sistemas ejecutando un dropper que instala un driver malicioso. El driver oculta procesos y archivos, y se comunica con procesos en modo usuario para inyectar código malicioso. Almacena información en el registro de Windows de forma cifrada.
Stefano Maccaglia is a Senior Principal Consultant at RSA who investigates cyber incidents. The document describes an investigation conducted at a government agency that discovered stolen data on an internal system. RSA found the system, called ASFOUR, had been compromised since August 2018. By analyzing logs and network traffic with RSA tools, they traced the activity to an adversary accessing ASFOUR and another system called HAKIMI. They also found evidence of two threat groups - Oilrig and Epic Turla. RSA helped the agency remediate by rebuilding compromised systems, resetting passwords, and removing unused accounts.
El documento describe un taller sobre análisis de binarios creados en GoLang. Explica quiénes son los presentadores, por qué es importante aprender sobre este nuevo lenguaje, las características de GoLang, ejemplos de malware creados en GoLang, y el proceso de generación y análisis de binarios de GoLang, incluyendo cómo recuperar los nombres de funciones y cadenas de caracteres en binarios strippeados. El taller concluye con un reto práctico de obtener un flag de un binario de muestra.
Este documento describe un ataque que utiliza una VPN para establecer un canal seguro con las víctimas, instalar persistencia a través de un archivo .reg, ejecutar scripts de forma remota y exfiltrar archivos. El ataque no requiere privilegios de administrador ni malware. Se utiliza una VPN para evadir detección e interceptar TLS a través de "man in the middle".
Rooted2020 van a-mear_sangre_como_hacer_que_los_malos_lo_paguen_muy_caro_-_an...RootedCON
Este documento proporciona 10 recomendaciones para mejorar la seguridad de una red, como actualizar sistemas, implementar SPF y DKIM para el correo electrónico, prohibir macros, usar LAPS para contraseñas de administrador local, segmentar la red con VLAN, y realizar copias de seguridad fuera de la red. También recomienda eliminar protocolos obsoletos, auditar los permisos de Active Directory, y elevar los costos para los atacantes al interior de la red. El objetivo general es dificultar el acceso no autorizado
El documento discute brevemente varios incidentes cibernéticos atribuidos a China, incluidos ataques a OPM, Equifax y Anthem. También menciona unidades de amenazas avanzadas persistentes chinas como APT1 y Comment Crew. Explica conceptos como IOC, TTP y marcos como ATT&CK y CAPEC para analizar amenazas. Finalmente, proporciona numerosos enlaces a fuentes adicionales sobre ciberespionaje chino y otros temas relacionados.
The document describes a proof-of-concept malware called "evil mass storage" that can infect systems without an internet connection. It uses a custom hardware device with a micro SD card and radio frequency module to exfiltrate information from infected targets. The malware has multiple stages and can hide in encrypted sectors on the SD card or transmit data via radio. Details are provided on the prototype hardware, firmware, and future improvements planned for the project.
The document discusses the benefits of exercise for mental health. Regular physical activity can help reduce anxiety and depression and improve mood and cognitive functioning. Exercise causes chemical changes in the brain that may help protect against mental illness and improve symptoms.
Este documento discute el tema de la prueba tecnológica indiciaria en los procesos penales. En particular, analiza cuestiones como la distinción entre indicios y sospechas, la necesidad de una motivación detallada por parte del tribunal al valorar las pruebas, y los límites a la obtención ilícita de pruebas por parte de particulares.
Este documento presenta una introducción a Bluetooth Low Energy (BLE), incluyendo su historia, funcionamiento y vulnerabilidades. Explica conceptos clave como el emparejamiento, los canales y los tipos de paquetes. Luego describe varios ataques realizados contra dispositivos BLE, como trackers, cámaras y monopatines eléctricos. Finalmente, ofrece recomendaciones para fortalecer la seguridad de BLE a través del cifrado y mecanismos robustos de intercambio de claves.
Este documento describe un método para generar ejemplos adversarios (AE) que evadan detectores de malware basados en aprendizaje profundo. El método propuesto utiliza perturbaciones en las cabeceras de los archivos binarios y optimización mediante algoritmos genéticos para introducir cambios que eviten la detección sin afectar al comportamiento. Los resultados experimentales muestran que el enfoque alcanza tasas de evasión de hasta el 98.23% frente a MalConv, un detector de estado del arte.
El documento describe diferentes técnicas avanzadas de fuzzing como mutation scheduling, structure-aware fuzzing y domain-specific feedback. Explica cómo estas técnicas pueden ayudar a encontrar vulnerabilidades de forma más eficiente explorando el espacio de búsqueda de manera inteligente. También incluye ejemplos de vulnerabilidades encontradas mediante fuzzing como CVE-2020-9273 y CVE-2020-9365.
The document discusses the malware Emotet, which began in 2012 and has become one of the most prolific malware. It has evolved from a banking trojan to a spam botnet and loader for other malware like Trickbot and ransomware. The author details Emotet's infrastructure, modules, encryption methods, and kill chain. Emotet is successful due to its high-quality spam campaigns and ability to distribute other malware. It will likely continue growing its botnet and distributing more ransomware.
La inteligencia artificial sigue evolucionando rápidamente, prometiendo transformar múltiples aspectos de la sociedad mientras plantea importantes cuestiones que requieren una cuidadosa consideración y regulación.
HPE presenta una competició destinada a estudiants, que busca fomentar habilitats tecnològiques i promoure la innovació en un entorn STEAM (Ciència, Tecnologia, Enginyeria, Arts i Matemàtiques). A través de diverses fases, els equips han de resoldre reptes mensuals basats en àrees com algorísmica, desenvolupament de programari, infraestructures tecnològiques, intel·ligència artificial i altres tecnologies. Els millors equips tenen l'oportunitat de desenvolupar un projecte més gran en una fase presencial final, on han de crear una solució concreta per a un conflicte real relacionat amb la sostenibilitat. Aquesta competició promou la inclusió, la sostenibilitat i l'accessibilitat tecnològica, alineant-se amb els Objectius de Desenvolupament Sostenible de l'ONU.
Catalogo General Electrodomesticos Teka Distribuidor Oficial Amado Salvador V...AMADO SALVADOR
El catálogo general de electrodomésticos Teka presenta una amplia gama de productos de alta calidad y diseño innovador. Como distribuidor oficial Teka, Amado Salvador ofrece soluciones en electrodomésticos Teka que destacan por su tecnología avanzada y durabilidad. Este catálogo incluye una selección exhaustiva de productos Teka que cumplen con los más altos estándares del mercado, consolidando a Amado Salvador como el distribuidor oficial Teka.
Explora las diversas categorías de electrodomésticos Teka en este catálogo, cada una diseñada para satisfacer las necesidades de cualquier hogar. Amado Salvador, como distribuidor oficial Teka, garantiza que cada producto de Teka se distingue por su excelente calidad y diseño moderno.
Amado Salvador, distribuidor oficial Teka en Valencia. La calidad y el diseño de los electrodomésticos Teka se reflejan en cada página del catálogo, ofreciendo opciones que van desde hornos, placas de cocina, campanas extractoras hasta frigoríficos y lavavajillas. Este catálogo es una herramienta esencial para inspirarse y encontrar electrodomésticos de alta calidad que se adaptan a cualquier proyecto de diseño.
En Amado Salvador somos distribuidor oficial Teka en Valencia y ponemos atu disposición acceso directo a los mejores productos de Teka. Explora este catálogo y encuentra la inspiración y los electrodomésticos necesarios para equipar tu hogar con la garantía y calidad que solo un distribuidor oficial Teka puede ofrecer.
Catalogo general tarifas 2024 Vaillant. Amado Salvador Distribuidor Oficial e...AMADO SALVADOR
Descarga el Catálogo General de Tarifas 2024 de Vaillant, líder en tecnología para calefacción, ventilación y energía solar térmica y fotovoltaica. En Amado Salvador, como distribuidor oficial de Vaillant, te ofrecemos una amplia gama de productos de alta calidad y diseño innovador para tus proyectos de climatización y energía.
Descubre nuestra selección de productos Vaillant, incluyendo bombas de calor altamente eficientes, fancoils de última generación, sistemas de ventilación de alto rendimiento y soluciones de energía solar fotovoltaica y térmica para un rendimiento óptimo y sostenible. El catálogo de Vaillant 2024 presenta una variedad de opciones en calderas de condensación que garantizan eficiencia energética y durabilidad.
Con Vaillant, obtienes más que productos de climatización: control avanzado y conectividad para una gestión inteligente del sistema, acumuladores de agua caliente de gran capacidad y sistemas de aire acondicionado para un confort total. Confía en la fiabilidad de Amado Salvador como distribuidor oficial de Vaillant, y en la resistencia de los productos Vaillant, respaldados por años de experiencia e innovación en el sector.
En Amado Salvador, distribuidor oficial de Vaillant en Valencia, no solo proporcionamos productos de calidad, sino también servicios especializados para profesionales, asegurando que tus proyectos cuenten con el mejor soporte técnico y asesoramiento. Descarga nuestro catálogo y descubre por qué Vaillant es la elección preferida para proyectos de climatización y energía en Amado Salvador.
KAWARU CONSULTING presenta el projecte amb l'objectiu de permetre als ciutadans realitzar tràmits administratius de manera telemàtica, des de qualsevol lloc i dispositiu, amb seguretat jurídica. Aquesta plataforma redueix els desplaçaments físics i el temps invertit en tràmits, ja que es pot fer tot en línia. A més, proporciona evidències de la correcta realització dels tràmits, garantint-ne la validesa davant d'un jutge si cal. Inicialment concebuda per al Ministeri de Justícia, la plataforma s'ha expandit per adaptar-se a diverses organitzacions i països, oferint una solució flexible i fàcil de desplegar.
2. Quienes somos
# Javier Rodríguez
Responsable Departamento Inteligencia Tarlogic Security
Miembro de fundación Comunidad de Inteligencia y Seguridad
Global y Strategic and Competitive Intelligence Professionals.
Arreglo lavadoras;-)
Procedencia: Seguridad Pública – Guardia Civil.
# David Sánchez
Miembro Departamento Ciberseguridad de Tarlogic Security.
3. ¿De qué va esta charla?
q Los medios generalistas cada vez hablan más de los
ciberataques.
q Focalizan sus intenciones y sobre todo la atribución de
los mismos en el caso de actores tipo Estado.
q En una amplia mayoría de los casos ¿Quién dicen que es
el culpable?
6. En esta charla intentaremos mostrar
# Como se están haciendo actualmente las atribuciones de
los APTs.
# Tácticas, Técnicas y procedimientos de:
Actores tipo Estado
Crimen organizado
Inteligencia Económica (*)
# Y si da tiempo, la ciber inteligencia…
12/3/18 www.tarlogic.com 6
7. Pero antes …
# Algo importante…..
# Me suelen preguntar ¿y este cambio de lo público a lo
privado?
12/3/18 www.tarlogic.com 7
8. Yo venía de la seguridad pública…
12/3/18 www.tarlogic.com 8
9. Yo venía de la seguridad pública…
12/3/18 www.tarlogic.com 9
A este seguro que
le conocéis
A ellas me gustaría
conocerlas
13. Pues muy dura ...
12/3/18 www.tarlogic.com 13
Lo que comen en
Tarlogic
Lo que beben en
Tarlogic
Criptograma …
14. Ahora sí …
# Retomando el tema …
12/3/18 www.tarlogic.com 14
15. La charla
# Estudio técnico de varios malwares atribuidos a actores
del tipo Estado.
# Análisis de las técnicas, tácticas y procedimientos de un
actor tipo Estado en el campo “ciber”.
# Análisis de las técnicas, tácticas y procedimientos de un
grupo organizado en el ámbito “ciber”.
12/3/18 www.tarlogic.com 15
16. Muestras a analizar
# Análisis de malware
APTs
Ransomware
# Ejemplos
Wannacry
Duqu 2.0
Petya/NotPetya
Babar
# Agradecimientos
Tzaoh
Batchdrake
Tarlogic en general ;-)
12/3/18 www.tarlogic.com 16
17. Definiciones: ransomware
“Un ransomware es un tipo de programa dañino que
restringe el acceso a determinadas partes o archivos del
sistema infectado, y pide un rescate a cambio de quitar esta
restricción.”
12/3/18 www.tarlogic.com 17
18. Definiciones: APT
“Una amenaza persistente avanzada, también conocida por
sus siglas en inglés, APT (por Advanced Persistent Threat),
es un conjunto de procesos informáticos sigilosos y
continuos de piratería informática, a menudo orquestada por
humanos, dirigido a una entidad específica”
12/3/18 www.tarlogic.com 18
19. Definiciones
# Para que nos entendamos:
Herramienta malware
Con un objetivo: exfiltración de datos, ciberespionaje, beneficio
económico…
Perdura en el tiempo
Distribuida por una organización
12/3/18 www.tarlogic.com 19
20. Wannacry
# Wannacry
# Tipo de malware:
ransomware
# Descubrimiento:
Mayo 2017
# Primera muestra:
El 12 de mayo sobre las 12:00 horas del mediodía, se comienzan
a tener las primeras informaciones sobre un ciberataque a gran
escala
12/3/18 www.tarlogic.com 20
21. Wannacry
# Características técnicas
Crea un nuevo servicio llamado mssecsvc2.0
Intenta propagarse por la red interna de la víctima mediante la
conocida vulnerabilidad “EternalBlue”.
Extrae desde sus propios recursos un nuevo ejecutable en el
directorio C:Windows con el nombre tasksche.exe
12/3/18 www.tarlogic.com 21
22. Wannacry
# Análisis de tasksche.exe
Estos ficheros contienen
información necesaria para la
correcta ejecución de las
funcionalidades de cifrado,
notificación y cobro del
ransomware
Misma contraseña:
WNcry@2ol7
12/3/18 www.tarlogic.com 22
23. Wannacry
# Que encontramos:
RTF en distintos idiomas con
mensajes de información
Dominios .onion
Wallets de bitcoins
12/3/18 www.tarlogic.com 23
24. Wannacry
# Vector de infección
Eternal Blue, el cual explota
la vulnerabilidad de
ejecución remota de código
CVE-2017-0144 (resuelta en
la actualización MS17-010)
DoublePulsar
12/3/18 www.tarlogic.com 24
26. Wannacry
# Atribuciones
Análisis lingüístico determina que los programadores hablan
correctamente Inglés o Chino
Symantec y Kaspersky hablan de similitud de código atribuido
anteriormente a LazarusGroup
12/3/18 www.tarlogic.com 26
28. Duqu 2.0
# Duqu 2.0
# Tipo de malware:
APT
# Descubrimiento:
2015
# Primera muestra:
2011/2014
12/3/18 www.tarlogic.com 28
29. Duqu 2.0
# Análisis técnico:
Realmente difícil de conseguir una muestra
Se distribuye como paquete MSI
Los nombres de las DLLs de la backdoor están ofuscadas con
una clave xor de 32 bits
Múltiples cifrados implementados
Distintas firmas encontradas
12/3/18 www.tarlogic.com 29
31. Duqu 2.0
# Análisis técnico Kaspersky
https://cdn.securelist.com/files/2015/06/The_Mystery_of_Duqu_2_
0_a_sophisticated_cyberespionage_actor_returns.pdf
# Infección mediante el uso de tres 0-day
CVE-2015-2360;
CVE-2014-4148;
CVE-2014-6324;
# Firmado con certificado Foxconn
# Más de 100 plugins
12/3/18 www.tarlogic.com 31
32. Duqu 2.0
# ¿Persistencia?
Se ejecutaba en memoria y se borraba en cada reinicio
Instalación de drivers en gateways y recursos de red
# Exfiltración de datos mediante imágenes cifradas
12/3/18 www.tarlogic.com 32
33. Duqu 2.0
# Impacto
Menos de 100 equipos
Infección a Kaspersky mediante spear-phishing
# Atribución según Kaspersky
Flags erróneos : nombres chinos, uso de Camellia
Ataques los miércoles
Sin logs los viernes y sin actividad los sábados
Considerado el “hermanastro” de Stuxnet
12/3/18 www.tarlogic.com 33
34. Petya/NotPetya
# Petya/NotPetya
# Tipo de malware:
Ransomware/Wiper
# Descubrimiento:
2017
# Primera muestra:
A través del software de gestión MEDoc, en Ucrania.
12/3/18 www.tarlogic.com 34
40. Babar
# Babar
# Tipo de malware:
APT
# Descubrimiento:
2015
# Primera muestra:
Snowden lo data de una operación de 2009
12/3/18 www.tarlogic.com 40
41. Babar
# Muestra analizada:
Cifrado con AES
# Fichero de configuración:
Clave y offset almacenados en el payload
# Objetivo
Interceptar comunicaciones
Compañías de Europa, Canadá o África
12/3/18 www.tarlogic.com 41
excel.exe, winword.exe, powerpnt.exe, visio.exe, acrord32.exe,
notepad.exe, wordpad.exe txt, rtf, xls, xlsx, ppt, ppts, doc,
docx, pdf, vsd skype.exe, msnmsgr.exe, oovoo.exe, nimbuzz.exe,
googletalk.exe, yahoomessenger.exe, x-lite.exe
hxxp://www.horizons-tourisme.com/_vti_bin/_vti_msc/bb/index.php
hxxp://www.gezelimmi.com/wp-includes/misc/bb/index.php
42. Babar
# Nombre interno: Babar
Serie de dibujos francesa
# Mensajes de depuración activados
12/3/18 www.tarlogic.com 42
44. Resumen
Tipo Sofisticación Recursos Distribución
Wannacry Ransomware Media C&C
Nodos Tor
EternalBlue
Duqu 2.0 APT Muy alta Infraestructura
desconocida
ZeroDay
Certificados
Petya Wiper Media - EternalBlue
Babar APT Media-Baja C&C
¿Webs
comprometidas?
-
12/3/18 www.tarlogic.com 44
45. Resumen
# Necesidades en el desarrollo de un malware
Equipo de desarrolladores
Recursos de desarrollo: Mecanismos de cifrado, Certificados
Infraestructura: Servidores de C&C, Wallets BTC…
Distribución: Exploits, 0-days, campañas de phishing…
12/3/18 www.tarlogic.com 45
46. Llegados a este punto…
# Existe malware con diversa complejidad según el
objetivo.
# Requiere infraestructura específica
# Requiere despliegue específico
# Entonces ¿Quién o que define su desarrollo y
despliegue?
12/3/18 www.tarlogic.com 46
48. Lo que la gente parece imaginar..
# El Presidente de USA se
despierta
# Llama a la mente maligna
de la NSA y sacan unos
zero days del armario.
# Se ponen a explotarlo a
ver que sale
# La NSA lee mis emails !!!
# Apple lee mis whatsapp !!!
12/3/18 www.tarlogic.com 48
Aquí los zero
days
Aquí se hace
el malware
Y aquí el
netcat –l
8888
49. Lo que la gente parece imaginar (II)
# Putin se levanta por la
mañana
# Mientras se lava los
dientes le da por invadir
Crimea
# Y hacer un par de
ransomwares y siete
campañas de
manipulación e influencia
en twitter.
# Rusia es culpable !!
12/3/18 www.tarlogic.com 49
Aquí los zero
days
Aquí se hace
el malware
Aquí el
portátil de
Putin
50. Ideas generales
# Parece que la principal vía de acceso a información es a
través de un malware.
# Parece que hay determinados países que hacen malware
como quien hace churros.
# Parece que esto de infectar e infectar e infectar y robar
“secretos de Estado” es pan comido
12/3/18 www.tarlogic.com 50
51. Respecto a las atribuciones
# Reportes técnicos de fabricantes de medidas de
seguridad.
# La “infraestructura” y el “lenguaje” del malware.
# La “ciberinteligencia”.
Analistas de ciber inteligencia.
Bombardeo en redes sociales.
Bombardeo en medios de prensa generalista.
IOCs, Ips, Threat Intelligence, Actores, Artefactos, Droppers,
Packers..
12/3/18 www.tarlogic.com 51
53. Las necesidades de inteligencia
# Un país tiene una determinadas necesidades de
inteligencia.
Por su situación estratégica
Por los acontecimientos en los que se ve inmerso
Por la situación política de un aliado
Por la situación política de un enemigo
# Necesita inteligencia para tomar decisiones.
# Ejemplo:
Gobierno A necesita saber las acciones de un Gobierno B en
materia económica que lo afectan directamente
12/3/18 www.tarlogic.com 53
54. ¿Y qué es la inteligencia?
# La inteligencia es proporcionar información útil para la
toma de decisiones.
# Es presentar noticias capaces de hacer tomar una
decisión o modificar una ya tomada.
# Producto que resulta de la evaluación, la integración, el
análisis y la interpretación de la información reunida por
un servicio de inteligencia.
12/3/18 www.tarlogic.com 54
55. Decimos entonces que
# Producto que resulta de la evaluación, la integración, el
análisis y la interpretación de la información reunida por
un servicio de inteligencia.
12/3/18 www.tarlogic.com 55
56. Escenario
# Chaquitistán y Rakistán son países fronterizos, con una
mala relación por una región en disputa.
# Esa región se encuentra en Rakistán
# La mitad de la población es de origen Chaquitistaní y la
otra mitad Rakistaní
# En Rakistán hay un cambio de gobierno abiertamente
hostil hacia Chaquitistán.
# ¿Cuáles serán las acciones de Rakistán hacia
Chaquistán?
12/3/18 www.tarlogic.com 56
57. Necesidades de Inteligencia
# Chaquitistán tiene un problema importante
# No conoce la política exterior del nuevo Gobierno.
# No conoce los actores principales del nuevo Gobierno.
# Hay una campaña en medios de prensa en el Rakistán
acerca de endurecer las relaciones bilaterales
# ¿Cuál va a ser la estrategia de Chaquististán?
12/3/18 www.tarlogic.com 57
58. Las herramientas del Estado
# Los Estados poseen varias herramientas para obtener
información
# Sus canales diplomáticos
# Relaciones con países aliados
# Y…. La comunidad de inteligencia
12/3/18 www.tarlogic.com 58
59. ¿A quien pregunta un Estado?
COMUNIDAD DE INTELIGENCIA
Conjunto de organismos
dedicados a la obtención y
elaboración de inteligencia
Modelo anglosajón
• Inteligencia interior
• Inteligencia exterior
Para conocimiento: En España
12/3/18 www.tarlogic.com 59
61. La comunidad de inteligencia
# Un servicio de inteligencia es quien suele producir
inteligencia “exterior”.
# Capacidades globales
# Vale para “un roto y un descosido”.
# Todo lo concerniente al Servicio entra en lo secreto.
# Se puede decir que es lo más potente que tiene un
Estado.
# Es un fiel reflejo de las capacidades de la sociedad de su
país.
12/3/18 www.tarlogic.com 61
62. Lo que la gente cree y lo que es
Lo que la gente cree… Lo más real…
12/3/18 www.tarlogic.com 62
63. ¿Y que hace un Estado?
# Diseñar una operación de
inteligencia.
# El ciclo de inteligencia
Dirección
Obtención
Elaboración
Difusión
12/3/18 www.tarlogic.com 63
64. Los órganos de obtención
# Para responder la pregunta realizada, se necesita obtener
información.
# Se realiza una selección de fuentes disponibles a explotar
Obtención HUMINT
Obtención SIGINT
Obtención “lo que sea” acabado en INT
# Y por supuesto
Obtención técnica, que es la que interesa aquí ;-)
12/3/18 www.tarlogic.com 64
65. Mensaje para los de OSINT
# Buscando en Google es
raro que te encuentres el
plan de estratégico de un
país A sobre un país B.
# El grafo de Twitter no te va
a decir por donde van a
darte.
12/3/18 www.tarlogic.com 65
66. Mensaje para los del Big Data,
Machine Learning, IA..
# Apache Hadoop es
buenísimo, pero va a ser
raro que localice el plan
de lanzamiento de misiles
nucleares de X país.
# Llamadme raro…
12/3/18 www.tarlogic.com 66
67. ¿Quién tiene la información de
interés?
# Se diseña una operación de obtención de información
sobre las siguientes personas y organismos
Miembros del Gobierno
Empresas estratégicas
Personal de interés
# La clave:
Pues que no les “pillen” con el carrito de los helaos
12/3/18 www.tarlogic.com 67
68. ¿Por qué es importante que no nos
“pillen”?
# Crisis diplomática entre ambos países
# Crisis diplomática entre bloques de aliados de ambos
países.
# Posibilidad de respuesta militar clásica
12/3/18 www.tarlogic.com 68
69. Lo que necesita el Estado
# Necesita conseguir todo esto
Desarrollar el binario
Certificado
Infraestructura
Desplegar el binario
# Se reitera: hay que hacerlo sin que se vincule al Estado
12/3/18 www.tarlogic.com 69
70. OPSEC
# Operations Security
# Amplia literatura sobre el tema.
# Básicamente:
La detección de toda información, acción o dato que pueda ser
observado por el “enemigo”.
Las acciones que hay que tomar para evitar que esto suceda, o
reducirlo hasta un nivel aceptable.
# OPSEC es responsabilidad de todo aquel implicado en
operaciones
12/3/18 www.tarlogic.com 70
71. La cobertura
# Según la RAE
Acción de cubrirse (prevenirse de una responsabilidad).
Encubrimiento, ficción.
# Capacidades del Estado
Identidades ficticias
Empresas pantalla
Crear infraestructura en terceros países
CON CAPACIDADES GLOBALES
# Un ejemplo
Directorate of Operations – Clandestine Service - CIA
12/3/18 www.tarlogic.com 71
72. Ejemplo Red Team
# Equipo que simula un agente externo y realizan
ciberataques.
# Las tácticas, técnicas y procedimientos de un Red Team
se ciñen al mundo técnico/ciber
# Ataques de diversa complejidad.
# OPSEC ceñido a desarrollo de binario
Y un poco la infraestructura.
# Agradecimientos: @TheXC3LL ;-)
12/3/18 www.tarlogic.com 72
73. El diseño del binario
# Varias opciones
Lo desarrolla el propio Estado
Lo desarrolla una empresa y lo compra el Estado
Lo desarrollan colaboradores a instancias del Estado
# ¿Y como debe ser el binario?
Que pueda cumplir con su objetivo sin problemas.
Que tenga un tiempo de desarrollo prudente.
Nuevamente: Que bajo ningún concepto se vincule al país de una
forma directa.
12/3/18 www.tarlogic.com 73
74. Importante..
# El binario puede hacerse
en otro país
# El que hace el binario
puede no conocer su
finalidad
# La infraestructura es
deslocalizada.
# El ámbito es GLOBAL
12/3/18 www.tarlogic.com 74
75. Ahora ponte a investigar esto..
12/3/18 www.tarlogic.com 75
78. Inteligencia económica
# La capacidad de
obtención de los Estados
se ha volcado en apoyar a
sus empresas.
# Enlaces de interés
# http://intranet.bibliotecasgc.bage.es/intranet-
tmpl/prog/local_repository/documents/17875.p
df
# http://www.ieee.es/Galerias/fichero/cuadernos/
CE_162_La_inteligencia_economica_en_un_m
undo_globalizado.pdf
12/3/18 www.tarlogic.com 78
79. ¿Y que pasa con los demás?
# Grupo organizado con ánimo de lucro
# Modelo de negocio es simple
Ganar dinero
Complejidad del binario limitada
Desarrollos cortos pero eficaces
Herramientas de terceros
# Infraestructura
Dependencia de terceros
# Medios de blanqueo de dinero
12/3/18 www.tarlogic.com 79