Esta presentación hace un repaso sobre la seguridad en plataformas android, donde se profundiza en aspectos como: análisis estático de aplicaciones, análisis dinámico, análisis forense, detección de malware, descubrimiento de vulnerabilidades 0-day y desmantelamiento de centros de control de botnets.
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
Este documento presenta tres resúmenes de un documento sobre ataques de homógrafos utilizando técnicas de aprendizaje profundo:
1) Se describe una herramienta llamada uriDeep que utiliza aprendizaje profundo para crear un diccionario mejorado de caracteres confusables en Unicode y facilitar ataques de homógrafos.
2) Se muestran ejemplos de dominios reales en España que podrían estar sujetos a ataques de homógrafos utilizando caracteres confusables, incluidos dominios de empresas del IBEX 35
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
El documento presenta una introducción al análisis de malware en Windows y Android. Explica los tipos de malware más comunes, herramientas de análisis estático y dinámico como desmontadores, debuggers y sandbox, y técnicas de análisis como identificar persistencia, trucos contra análisis, y seguir el flujo del malware. El objetivo es proporcionar una guía básica para iniciar el análisis de malware en estos sistemas operativos.
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
Este documento presenta una guía sobre cómo auditar aplicaciones iOS. Explica los pasos clave de la auditoría, incluyendo el reversing para obtener los binarios, el análisis estático del código, el análisis dinámico interceptando tráfico de red y modificando código con Frida, y la elaboración de resultados. También cubre temas como la estructura de las aplicaciones iOS, jailbreaking, y las vulnerabilidades Spectre y Meltdown.
Este documento proporciona una introducción a la informática forense de dispositivos iOS. Explica las fases del análisis forense de iOS, incluida la evaluación, preparación, adquisición de datos, análisis e informe. También describe la estructura de los sistemas iOS, técnicas para adquirir datos como imágenes de disco o backups, y herramientas para analizar los datos adquiridos en busca de evidencia.
Vivimos en una época en donde los ""as a Service"" han pasado de ser Infraestructura, Plataforma y Servicio, a una cantidad tan ingente de ellos que ya es imposible acotarlos a un conjunto conocido por todos. Sin embargo, y aunque el marketing inunde de términos el mundo de IT, todos ellos se basan en la automatización y en el uso de contenedores para desplegar todas las aplicaciones y servicios.
En esta charla se mostrará Dagda, una herramienta completamente Open Source que permite el análisis estático de vulnerabilidades conocidas en contenedores Docker y la monitorización de comportamientos anómalos dentro de contenedores en ejecución. Además, en la charla se incluirán, entre otros temas, cómo realizar un perfilado a nivel de capabilities de Linux sobre los contenedores sin necesidad de SELinux o AppArmor, y una introducción a los unikernels.
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]RootedCON
Este documento presenta una charla sobre OSINT (Inteligencia de fuentes abiertas) realizada en 12 horas. Explica las técnicas de OSINT para recopilar información sobre personas u organizaciones a partir de fuentes públicas en Internet sin vulnerar medidas de seguridad. Describe herramientas como motores de búsqueda, análisis de datos personales y redes sociales que permiten realizar investigaciones de inteligencia. Finalmente, muestra ejemplos prácticos de búsquedas avanzadas en Google y Shodan para ilustrar cómo aplicar té
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]RootedCON
Este documento presenta una introducción a los rootkits y sus tendencias a lo largo de los años, incluyendo técnicas como modificar binarios del sistema, inyección de código en el kernel y en ejecución, y eludir detección. También describe herramientas como Unhide y UnhideNX para detectar rootkits ocultando procesos o archivos mediante la comparación de datos de diferentes fuentes. Además, propone contramedidas como preload, kernel.yama.ptrace_scope, y PydeAPI para auditar la integridad del sistema y detectar in
Este documento describe una vulnerabilidad de sitio cruzado (XSS) que afecta a Hotmail de Microsoft. El autor proporciona una prueba de concepto que permite a los atacantes leer mensajes de correo electrónico de otros usuarios de Hotmail mediante la explotación de esta vulnerabilidad XSS. Microsoft agradece al investigador por informar sobre la vulnerabilidad y promete actualizar el sistema para abordar el problema una vez que se active la característica "a" a fines de octubre.
Alfonso Muñoz - Reviving Homograph attacks using (deep learning) steroids [ro...RootedCON
Este documento presenta tres resúmenes de un documento sobre ataques de homógrafos utilizando técnicas de aprendizaje profundo:
1) Se describe una herramienta llamada uriDeep que utiliza aprendizaje profundo para crear un diccionario mejorado de caracteres confusables en Unicode y facilitar ataques de homógrafos.
2) Se muestran ejemplos de dominios reales en España que podrían estar sujetos a ataques de homógrafos utilizando caracteres confusables, incluidos dominios de empresas del IBEX 35
Oscar Juarez - Iniciación al análisis de malware [rooted2018]RootedCON
El documento presenta una introducción al análisis de malware en Windows y Android. Explica los tipos de malware más comunes, herramientas de análisis estático y dinámico como desmontadores, debuggers y sandbox, y técnicas de análisis como identificar persistencia, trucos contra análisis, y seguir el flujo del malware. El objetivo es proporcionar una guía básica para iniciar el análisis de malware en estos sistemas operativos.
Marc Fernandez - Auditando aplicaciones iOS [rooted2018]RootedCON
Este documento presenta una guía sobre cómo auditar aplicaciones iOS. Explica los pasos clave de la auditoría, incluyendo el reversing para obtener los binarios, el análisis estático del código, el análisis dinámico interceptando tráfico de red y modificando código con Frida, y la elaboración de resultados. También cubre temas como la estructura de las aplicaciones iOS, jailbreaking, y las vulnerabilidades Spectre y Meltdown.
Este documento proporciona una introducción a la informática forense de dispositivos iOS. Explica las fases del análisis forense de iOS, incluida la evaluación, preparación, adquisición de datos, análisis e informe. También describe la estructura de los sistemas iOS, técnicas para adquirir datos como imágenes de disco o backups, y herramientas para analizar los datos adquiridos en busca de evidencia.
Vivimos en una época en donde los ""as a Service"" han pasado de ser Infraestructura, Plataforma y Servicio, a una cantidad tan ingente de ellos que ya es imposible acotarlos a un conjunto conocido por todos. Sin embargo, y aunque el marketing inunde de términos el mundo de IT, todos ellos se basan en la automatización y en el uso de contenedores para desplegar todas las aplicaciones y servicios.
En esta charla se mostrará Dagda, una herramienta completamente Open Source que permite el análisis estático de vulnerabilidades conocidas en contenedores Docker y la monitorización de comportamientos anómalos dentro de contenedores en ejecución. Además, en la charla se incluirán, entre otros temas, cómo realizar un perfilado a nivel de capabilities de Linux sobre los contenedores sin necesidad de SELinux o AppArmor, y una introducción a los unikernels.
Jesús Alcalde & Daniel Gonzalez- - OSINT: La verdad está ahí fuera [rooted2018]RootedCON
Este documento presenta una charla sobre OSINT (Inteligencia de fuentes abiertas) realizada en 12 horas. Explica las técnicas de OSINT para recopilar información sobre personas u organizaciones a partir de fuentes públicas en Internet sin vulnerar medidas de seguridad. Describe herramientas como motores de búsqueda, análisis de datos personales y redes sociales que permiten realizar investigaciones de inteligencia. Finalmente, muestra ejemplos prácticos de búsquedas avanzadas en Google y Shodan para ilustrar cómo aplicar té
David Reguera & Yago Jesus - Rootkit Busters ES [rooted2019]RootedCON
Este documento presenta una introducción a los rootkits y sus tendencias a lo largo de los años, incluyendo técnicas como modificar binarios del sistema, inyección de código en el kernel y en ejecución, y eludir detección. También describe herramientas como Unhide y UnhideNX para detectar rootkits ocultando procesos o archivos mediante la comparación de datos de diferentes fuentes. Además, propone contramedidas como preload, kernel.yama.ptrace_scope, y PydeAPI para auditar la integridad del sistema y detectar in
Este documento describe una vulnerabilidad de sitio cruzado (XSS) que afecta a Hotmail de Microsoft. El autor proporciona una prueba de concepto que permite a los atacantes leer mensajes de correo electrónico de otros usuarios de Hotmail mediante la explotación de esta vulnerabilidad XSS. Microsoft agradece al investigador por informar sobre la vulnerabilidad y promete actualizar el sistema para abordar el problema una vez que se active la característica "a" a fines de octubre.
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]RootedCON
El Jefe de una empresa se ausenta de su despacho durante 'unos minutos' para almorzar.Cuando regresa a su oficina se encuentra con su estación de trabajo encendida, con otro fondo de pantalla distinto al que él tenía.Se percata de que ha sido eliminado un archivo de vital importancia para la empresa: Un fichero de imagen consistente en su nueva imagen corporativa.Jura y perjura que apagó el ordenador antes de salir.Se da la circunstancia de que hace algunos días entregó una carta de despido a algunos técnicos que allí trabajan, siendo hoy su último día de labor, por lo que sospecha de alguno de ellos.Los hechos ocurrieron en la mañana del día 26 de enero de este año 2018. Nos pide que averigüemos quién ha sido el responsable de esta aberración.¿Seremos capaces de ver qué ha pasado?
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...RootedCON
Las amenazas en Internet están más latentes que nunca. Hoy en día la materialización de una amenaza en la vida de los usuarios y las empresas pueden provocar una gran destrucción, pero, ¿Es sencillo? La publicación de vulnerabilidades y de técnicas de pentesting provocan que cualquier usuario puedan aprovecharlas para integrarlas en un nuevo malware.
En la charla se detallará cómo de fácil es modular, por un bad boy, un malware a través de vulnerabilidades y técnicas publicadas en el último año. La técnica Fileless & Fileless2 para hacer bypass UAC o crear persistencia en Windows sin crear un archivo en disco ya ha sido utilizada en campañas de malware. La vulnerabilidad Eternalblue ha sido aprovechada para propagar malware a través del protocolo SMB. La lacra del ransomware sigue siendo utilizada para obtener un beneficio directo y, hoy en día, cualquier usuario puede modularizar las partes y hacer un malware más potente, ¿Estamos preparados para luchar contra esto? Detallaremos de forma técnica y práctica los conceptos comentados anteriormente.
Por último, hablaremos de la transición de la sociedad. La nueva sociedad que viene debe estar preparada para entender y luchar contra las nuevas amenazas cibernéticas. Los casos de la Botnet Mirai o del Ransomware Petya son claros ejemplos de que la sociedad debe entender y asimilar un nuevo rol. ¿Estás en la nueva sociedad?
Presentación usada por Jorge Coronado en la jornadas técnicas cátedra de Indra y meetup de Hacking Sevilla sobre el análisis dinámico y estático en APKs
Este documento presenta una introducción a las herramientas de software libre para realizar pruebas de penetración y mejorar la seguridad. Explica conceptos clave como pruebas de penetración, clasificación de medidas de seguridad y principios básicos. Luego describe varias categorías de herramientas de software libre para reconocimiento, enumeración, evaluación de vulnerabilidades, explotación y uso específico, así como herramientas generales de seguridad. Finalmente, destaca a Firefox como una plataforma para pentesting y concluye
Este documento presenta una introducción al análisis forense de dispositivos Android. Explica brevemente conceptos clave como la informática forense, la conservación de evidencia, las versiones de Android, y la arquitectura de Android. También cubre temas como la preparación del laboratorio forense, la identificación de particiones y archivos, y técnicas para obtener y analizar datos forenses de un dispositivo Android.
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
Cuando un usuario tiene que elegir una contraseña, tiende a construirla de la misma forma, con la misma información personal como base, y usando las mismas ideas para añadir complejidad a la misma. En este estudio que os mostraremos , nos hicimos con varios miles de millones de contraseñas reales, con el fin de hacer un análisis a gran escala de esos comportamientos comunes, extrayendo conclusiones que nos permitan crear procedimientos y herramientas específicas para mejorar las técnicas actuales de Password Cracking.
Finalmente, usaremos este conocimiento obtenido a través de distintos análisis conductuales y estadísticos para, utilizando redes neuronales y otras técnicas avanzadas, obtener patrones que nos permitan crackear hashes cuya resistencia suele ser bastante alta utilizando otras técnicas.
¿Qué esconde tu teléfono? Adquisición forense de dispositivos AndroidSEINHE
Introducción al proceso de adquisición forense de dispositivos móviles ejecutando Android como sistema operativo. Incluye un listado de las técnicas de bypass para la mayoría de las restricciones impuestas por la configuración de seguridad y ejemplos para los distintos tipos de adquisición forense, tanto físicos como lógicos.
El documento habla sobre vulnerabilidades de seguridad como CSRF y cómo el token fb_dtsg de Facebook puede ser explotado para realizar peticiones no autorizadas a la plataforma. Explica cómo reducir las peticiones a Facebook a su mínima expresión para explotar el token fb_dtsg y hacer cambios de contraseña, confirmar solicitudes de amistad y más.
Segunda edición del (ISC)2 Security Congress EMEA celebrado en Munich (Alemania). Vicente Aguilera presenta su ponencia: “Your are beging watched...” en la que se habla de los problemas de privacidad existentes en las redes sociales, y dónde presenta una nueva versión de su ya famosa herramienta Tinfoleak, realizando una demostración en directo sobre cómo extraer información y actividad relevante de los usuarios de Twitter y cómo explotar esta información en el mundo real. Esta ponencia forma parte del Track "Technology, Business and the Future".
En la presentación se tratan aspectos relacionados con la necesidad de tomar decisiones en nuestro día a día. En ocasiones, determinadas decisiones tienen un gran impacto en la sociedad y quienes han de tomarlas se encuentran bajo una fuerte responsabilidad y presión. A continuación, describiendo el problema del exceso de información que disponemos actualmente así como el de la fiabilidad de las fuentes y, por último, comentando el proceso y las bondades del uso de técnicas OSINT en la ayuda para la toma de decisiones como objetivo final. A modo de ejemplo, y tras ver una clasificación de las herramientas OSINT disponibles, se muestra un análisis sobre los atentados de París utilizando la última versión de la herramienta Tinfoleak.
Taller práctico sobre “Ingeniería inversa en aplicaciones Android", impartido por Vicente Aguilera, en el que se presenta una metodología para llevar a cabo procesos de ingeniería inversa en Android, incluyendo las herramientas y técnicas disponibles. Se lleva a la práctica sobre diversas aplicaciones para poner en práctica los conocimientos adquiridos.
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
Como respuesta a nuestra cada vez mayor necesidad de almacenamiento de información, la proliferación de servicios de almacenamiento se ha convertido en un habitual de nuestro día a día, tanto en nuestros sistemas particulares como dentro de la organización donde desempeñamos nuestras tareas. Desde el punto de vista del análisis forense, entender las principales tecnologías en uso, su integración con los sistemas operativos más empleados y las evidencias tecnologías presentes en los sistemas se ha convertido en una necesidad en la mayoría de investigaciones. El objetivo de la ponencia es introducir al oyente tanto en la arquitectura de los servicios como en las evidencias presentes en los sistemas, cubriendo las principales tecnologías en uso.
Sebastián Guerrero - Pimp your Android [RootedCON 2012]RootedCON
Resumen de mis investigaciones en plataformas android, se tratará:
Montando un laboratorio de investigación.
Trasteando con las aplicaciones.
Análisis forense (SIM + Memoria SD + Memoria interna).
Formar un zoológico de malware.
Evolución del malware en plataformas Android.
Nuevos vectores de ataque.
Medidas de seguridad en android.
Reverseemos algo nuevo.
Desmantelando un C&C.
Presentación de un PoC de tapjacking que afecta al 100% de dispositivos móviles
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
Las redes sociales permiten, entre otros muchos aspectos, incrementar nuestro nivel de exposición. Este hecho implica a su vez que el nivel de riesgo también se incrementa, poniendo en peligro nuestra privacidad, que puede ser abusada con intenciones muy diversas. La presentación expone los riesgos a los que se expone cualquier usuario cuando crea una identidad digital en una red social, pero desde un punto de vista nada habitual. Para ello, se presentan casos prácticos en los que se demuestra las capacidades de explotación de los datos que exponemos, tanto de forma consciente como inconscientemente.
Este documento describe una investigación sobre la identificación y evasión de entornos de análisis sandbox. Los investigadores desarrollaron artefactos para recopilar información de varias sandbox y analizar su seguridad. Encontraron que algunas sandbox no ocultan bien su naturaleza y que es posible acceder a archivos de configuración. También pudieron identificar a los propietarios de algunas sandbox mediante vulnerabilidades de XSS. Concluyen que es posible obtener inteligencia sobre cómo funcionan las sandbox y evadir su detección.
Este documento habla sobre el análisis de malware en Android. Explica que Android es el sistema operativo más vendido y está presente en casi todas las marcas. Luego, analiza la estructura de los archivos APK, herramientas como ADB y DDMS para analizar aplicaciones, y muestra cómo analizar el código fuente de una aplicación maliciosa llamada Android.Fake.Player utilizando Eclipse, Dex2jar y JD-GUI. Finalmente, analiza el troyano Zeus diseñado para robar credenciales bancarias interceptando tokens SMS.
Este documento describe conceptos básicos sobre análisis forense digital. Explica cómo analizar la memoria física y virtual para encontrar evidencia, así como también el disco duro, revisando los filesystems y patrones de fragmentación que pueden ayudar en la recuperación de datos. También brinda consejos prácticos sobre herramientas de análisis forense de memoria y recuperación de datos del disco.
Este documento presenta una introducción a la ingeniería inversa en Android. Cubre temas como el análisis estático y dinámico de aplicaciones Android, la arquitectura de Android incluyendo la máquina virtual Dalvik y el formato de archivo APK, y herramientas como Apktool y Dex2Jar que son útiles para la ingeniería inversa de aplicaciones Android.
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]RootedCON
El documento describe los planes y métodos de Homer para crear una botnet de iPhones llamada iOrchard. Explica cómo Homer se inspiró en el gusano Ikee para infectar iPhones a través de vulnerabilidades de SSH. Luego describe cómo iOrchard robaría información privada de iPhones infectados, como contactos, mensajes, llamadas y fotos, a través de varias bases de datos y archivos almacenados en el dispositivo. Finalmente, el documento compara los métodos de iOrchard con los utilizados por la botnet de escritorio Zeu
Este documento describe el análisis de NickiSpy, un troyano móvil chino que roba información personal. Se analiza su estructura, permisos, comunicaciones con el servidor de control y las técnicas que usa para evadir la detección y romper protecciones. También se discuten vulnerabilidades como el "tapjacking" que podrían explotarse.
Presentación ofrecida durante el Internet Global Congress en el Palau de Congressos de Barcelona. Esta fue una de las dos presentaciones escogidas por el comité y que ofrecimos en el transcurso del congreso.
La presentación trata de mostrar los conceptos básicos sobre informática forense, una ciencia un tanto desconocida en el campo de las Tecnologías de la Información y con un auge cada día mayor.
Marcos Fuentes - De cero a DFIR (Forense) [rooted2018]RootedCON
El Jefe de una empresa se ausenta de su despacho durante 'unos minutos' para almorzar.Cuando regresa a su oficina se encuentra con su estación de trabajo encendida, con otro fondo de pantalla distinto al que él tenía.Se percata de que ha sido eliminado un archivo de vital importancia para la empresa: Un fichero de imagen consistente en su nueva imagen corporativa.Jura y perjura que apagó el ordenador antes de salir.Se da la circunstancia de que hace algunos días entregó una carta de despido a algunos técnicos que allí trabajan, siendo hoy su último día de labor, por lo que sospecha de alguno de ellos.Los hechos ocurrieron en la mañana del día 26 de enero de este año 2018. Nos pide que averigüemos quién ha sido el responsable de esta aberración.¿Seremos capaces de ver qué ha pasado?
Pablo González y Francisco Ramirez - Anatomy of a modern malware. How easy th...RootedCON
Las amenazas en Internet están más latentes que nunca. Hoy en día la materialización de una amenaza en la vida de los usuarios y las empresas pueden provocar una gran destrucción, pero, ¿Es sencillo? La publicación de vulnerabilidades y de técnicas de pentesting provocan que cualquier usuario puedan aprovecharlas para integrarlas en un nuevo malware.
En la charla se detallará cómo de fácil es modular, por un bad boy, un malware a través de vulnerabilidades y técnicas publicadas en el último año. La técnica Fileless & Fileless2 para hacer bypass UAC o crear persistencia en Windows sin crear un archivo en disco ya ha sido utilizada en campañas de malware. La vulnerabilidad Eternalblue ha sido aprovechada para propagar malware a través del protocolo SMB. La lacra del ransomware sigue siendo utilizada para obtener un beneficio directo y, hoy en día, cualquier usuario puede modularizar las partes y hacer un malware más potente, ¿Estamos preparados para luchar contra esto? Detallaremos de forma técnica y práctica los conceptos comentados anteriormente.
Por último, hablaremos de la transición de la sociedad. La nueva sociedad que viene debe estar preparada para entender y luchar contra las nuevas amenazas cibernéticas. Los casos de la Botnet Mirai o del Ransomware Petya son claros ejemplos de que la sociedad debe entender y asimilar un nuevo rol. ¿Estás en la nueva sociedad?
Presentación usada por Jorge Coronado en la jornadas técnicas cátedra de Indra y meetup de Hacking Sevilla sobre el análisis dinámico y estático en APKs
Este documento presenta una introducción a las herramientas de software libre para realizar pruebas de penetración y mejorar la seguridad. Explica conceptos clave como pruebas de penetración, clasificación de medidas de seguridad y principios básicos. Luego describe varias categorías de herramientas de software libre para reconocimiento, enumeración, evaluación de vulnerabilidades, explotación y uso específico, así como herramientas generales de seguridad. Finalmente, destaca a Firefox como una plataforma para pentesting y concluye
Este documento presenta una introducción al análisis forense de dispositivos Android. Explica brevemente conceptos clave como la informática forense, la conservación de evidencia, las versiones de Android, y la arquitectura de Android. También cubre temas como la preparación del laboratorio forense, la identificación de particiones y archivos, y técnicas para obtener y analizar datos forenses de un dispositivo Android.
I Know Your P4$$w0rd (And If I Don't, I Will Guess It...)Jaime Sánchez
Cuando un usuario tiene que elegir una contraseña, tiende a construirla de la misma forma, con la misma información personal como base, y usando las mismas ideas para añadir complejidad a la misma. En este estudio que os mostraremos , nos hicimos con varios miles de millones de contraseñas reales, con el fin de hacer un análisis a gran escala de esos comportamientos comunes, extrayendo conclusiones que nos permitan crear procedimientos y herramientas específicas para mejorar las técnicas actuales de Password Cracking.
Finalmente, usaremos este conocimiento obtenido a través de distintos análisis conductuales y estadísticos para, utilizando redes neuronales y otras técnicas avanzadas, obtener patrones que nos permitan crackear hashes cuya resistencia suele ser bastante alta utilizando otras técnicas.
¿Qué esconde tu teléfono? Adquisición forense de dispositivos AndroidSEINHE
Introducción al proceso de adquisición forense de dispositivos móviles ejecutando Android como sistema operativo. Incluye un listado de las técnicas de bypass para la mayoría de las restricciones impuestas por la configuración de seguridad y ejemplos para los distintos tipos de adquisición forense, tanto físicos como lógicos.
El documento habla sobre vulnerabilidades de seguridad como CSRF y cómo el token fb_dtsg de Facebook puede ser explotado para realizar peticiones no autorizadas a la plataforma. Explica cómo reducir las peticiones a Facebook a su mínima expresión para explotar el token fb_dtsg y hacer cambios de contraseña, confirmar solicitudes de amistad y más.
Segunda edición del (ISC)2 Security Congress EMEA celebrado en Munich (Alemania). Vicente Aguilera presenta su ponencia: “Your are beging watched...” en la que se habla de los problemas de privacidad existentes en las redes sociales, y dónde presenta una nueva versión de su ya famosa herramienta Tinfoleak, realizando una demostración en directo sobre cómo extraer información y actividad relevante de los usuarios de Twitter y cómo explotar esta información en el mundo real. Esta ponencia forma parte del Track "Technology, Business and the Future".
En la presentación se tratan aspectos relacionados con la necesidad de tomar decisiones en nuestro día a día. En ocasiones, determinadas decisiones tienen un gran impacto en la sociedad y quienes han de tomarlas se encuentran bajo una fuerte responsabilidad y presión. A continuación, describiendo el problema del exceso de información que disponemos actualmente así como el de la fiabilidad de las fuentes y, por último, comentando el proceso y las bondades del uso de técnicas OSINT en la ayuda para la toma de decisiones como objetivo final. A modo de ejemplo, y tras ver una clasificación de las herramientas OSINT disponibles, se muestra un análisis sobre los atentados de París utilizando la última versión de la herramienta Tinfoleak.
Taller práctico sobre “Ingeniería inversa en aplicaciones Android", impartido por Vicente Aguilera, en el que se presenta una metodología para llevar a cabo procesos de ingeniería inversa en Android, incluyendo las herramientas y técnicas disponibles. Se lleva a la práctica sobre diversas aplicaciones para poner en práctica los conocimientos adquiridos.
VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forens...Internet Security Auditors
Como respuesta a nuestra cada vez mayor necesidad de almacenamiento de información, la proliferación de servicios de almacenamiento se ha convertido en un habitual de nuestro día a día, tanto en nuestros sistemas particulares como dentro de la organización donde desempeñamos nuestras tareas. Desde el punto de vista del análisis forense, entender las principales tecnologías en uso, su integración con los sistemas operativos más empleados y las evidencias tecnologías presentes en los sistemas se ha convertido en una necesidad en la mayoría de investigaciones. El objetivo de la ponencia es introducir al oyente tanto en la arquitectura de los servicios como en las evidencias presentes en los sistemas, cubriendo las principales tecnologías en uso.
Sebastián Guerrero - Pimp your Android [RootedCON 2012]RootedCON
Resumen de mis investigaciones en plataformas android, se tratará:
Montando un laboratorio de investigación.
Trasteando con las aplicaciones.
Análisis forense (SIM + Memoria SD + Memoria interna).
Formar un zoológico de malware.
Evolución del malware en plataformas Android.
Nuevos vectores de ataque.
Medidas de seguridad en android.
Reverseemos algo nuevo.
Desmantelando un C&C.
Presentación de un PoC de tapjacking que afecta al 100% de dispositivos móviles
Overdrive Hacking Conference 2016 - Riesgos en el uso de las Redes Sociales (...Internet Security Auditors
Las redes sociales permiten, entre otros muchos aspectos, incrementar nuestro nivel de exposición. Este hecho implica a su vez que el nivel de riesgo también se incrementa, poniendo en peligro nuestra privacidad, que puede ser abusada con intenciones muy diversas. La presentación expone los riesgos a los que se expone cualquier usuario cuando crea una identidad digital en una red social, pero desde un punto de vista nada habitual. Para ello, se presentan casos prácticos en los que se demuestra las capacidades de explotación de los datos que exponemos, tanto de forma consciente como inconscientemente.
Este documento describe una investigación sobre la identificación y evasión de entornos de análisis sandbox. Los investigadores desarrollaron artefactos para recopilar información de varias sandbox y analizar su seguridad. Encontraron que algunas sandbox no ocultan bien su naturaleza y que es posible acceder a archivos de configuración. También pudieron identificar a los propietarios de algunas sandbox mediante vulnerabilidades de XSS. Concluyen que es posible obtener inteligencia sobre cómo funcionan las sandbox y evadir su detección.
Este documento habla sobre el análisis de malware en Android. Explica que Android es el sistema operativo más vendido y está presente en casi todas las marcas. Luego, analiza la estructura de los archivos APK, herramientas como ADB y DDMS para analizar aplicaciones, y muestra cómo analizar el código fuente de una aplicación maliciosa llamada Android.Fake.Player utilizando Eclipse, Dex2jar y JD-GUI. Finalmente, analiza el troyano Zeus diseñado para robar credenciales bancarias interceptando tokens SMS.
Este documento describe conceptos básicos sobre análisis forense digital. Explica cómo analizar la memoria física y virtual para encontrar evidencia, así como también el disco duro, revisando los filesystems y patrones de fragmentación que pueden ayudar en la recuperación de datos. También brinda consejos prácticos sobre herramientas de análisis forense de memoria y recuperación de datos del disco.
Este documento presenta una introducción a la ingeniería inversa en Android. Cubre temas como el análisis estático y dinámico de aplicaciones Android, la arquitectura de Android incluyendo la máquina virtual Dalvik y el formato de archivo APK, y herramientas como Apktool y Dex2Jar que son útiles para la ingeniería inversa de aplicaciones Android.
David Barroso - iPhone + Botnets = FUN! [RootedCON 2010]RootedCON
El documento describe los planes y métodos de Homer para crear una botnet de iPhones llamada iOrchard. Explica cómo Homer se inspiró en el gusano Ikee para infectar iPhones a través de vulnerabilidades de SSH. Luego describe cómo iOrchard robaría información privada de iPhones infectados, como contactos, mensajes, llamadas y fotos, a través de varias bases de datos y archivos almacenados en el dispositivo. Finalmente, el documento compara los métodos de iOrchard con los utilizados por la botnet de escritorio Zeu
Este documento describe el análisis de NickiSpy, un troyano móvil chino que roba información personal. Se analiza su estructura, permisos, comunicaciones con el servidor de control y las técnicas que usa para evadir la detección y romper protecciones. También se discuten vulnerabilidades como el "tapjacking" que podrían explotarse.
Presentación ofrecida durante el Internet Global Congress en el Palau de Congressos de Barcelona. Esta fue una de las dos presentaciones escogidas por el comité y que ofrecimos en el transcurso del congreso.
La presentación trata de mostrar los conceptos básicos sobre informática forense, una ciencia un tanto desconocida en el campo de las Tecnologías de la Información y con un auge cada día mayor.
Es evidente que cada vez es más necesario colocar una central Elastix expuesta a Internet por diversas exigencias del mercado, Anexos remotos o extendidos, centrales virtuales, Cloud Computing, etc. Esto trae como consecuencias estar expuestos a varios riesgos en cuanto a la seguridad. La charla expondrá, cómo es posible extender la seguridad en una implementación en Elastix usando SNORT como sistema de detección y prevención de intrusos, para el control y bloqueo de ataques tanto a nivel SIP como de aplicaciones web, los cuales se enfocan en vulnerar la seguridad de la plataforma. La charla es completamente técnica y se desarrollaran ataques contra maquinas virtuales, con el objetivo de mostrar su bloqueo con snort.
Conferencista: Juan Oliva
Extendiendo la Seguridad de Elastix con SnortJuan Oliva
Este documento describe cómo extender la seguridad de Elastix usando Snort. Snort es un sistema de detección y prevención de intrusos flexible que puede usarse para monitorear el tráfico de red entrante y saliente, detectar ataques comunes dirigidos a Elastix como enumeraciones de contraseñas SIP y vulnerabilidades web, y prevenir ataques de denegación de servicio. El documento explica cómo configurar Snort en modo IDS pasivo o IPS activo, integrarlo con iptables y almacenar alertas en una base de datos para
Este documento presenta información sobre técnicas y tácticas de crackers, incluyendo grupos de crackers de China y Rusia, sitios web para monitorear amenazas cibernéticas, técnicas de ataques de denegación de servicio distribuido, cómo evaluar servidores en la deep web, capture the flag, google hacking, recolección de información, protección de infraestructura TI, estándares de seguridad de la información y cómo ser un hacker ético.
El documento describe los tipos de información que se pueden extraer de un volcado de memoria de Windows, incluyendo procesos, conexiones de red, archivos mapeados, objetos en caché y elementos ocultos. También analiza herramientas forenses de memoria como Windbg, Memparser y Volatools que pueden usarse para extraer y analizar dicha información.
El documento describe los procedimientos y tipos de análisis que se pueden realizar en evidencia digital, incluyendo el análisis de línea de tiempo, palabras clave, valores hash, malware, registros y más. Explica que la infraestructura a analizar puede incluir discos duros, documentación, logs de seguridad, firewalls, software y más. Finalmente, enumera varias herramientas populares para el análisis de discos duros, correos electrónicos, dispositivos móviles, redes y tráfico de red.
Mario Guerra - Buceando en Windows 10. Extrayendo artefactos forenses de las ...RootedCON
RecentApps
Almacena información sobre las aplicaciones ejecutadas
recientemente por el usuario.
Cada subclave corresponde a una aplicación ejecutada.
Contiene información como:
- Nombre de la aplicación
- Timestamp de ejecución
- Path de la aplicación
- Parámetros de ejecución
- Estado de la aplicación (abierta, cerrada)
Permite determinar el orden de ejecución de aplicaciones.
No se elimina al vaciar la papelera de reciclaje
Este documento resume los conceptos clave del análisis forense digital en dispositivos Android. Explica las ubicaciones donde se almacenan los datos de aplicaciones, contactos, mensajes, historial y configuraciones del sistema. También describe las herramientas como ADB, dd y tar que se pueden usar para adquirir datos de forma lógica y física desde un dispositivo Android.
Este documento proporciona una introducción a las técnicas de hacking ético como la auditoría de seguridad, incluyendo el uso de herramientas como FOCA, Shodan, Robtex, Crunch, Hydra y Medusa. Explica conceptos como el archivo robots.txt, la extracción de metadatos, y realiza búsquedas en Shodan y demostraciones del uso de diccionarios en Crunch y ataques de fuerza bruta en Hydra y Medusa contra objetivos de prueba como Facebook, Gmail y Hotmail.
Lorenzo Martínez - Linux DFIR: My Way! [rooted2019]RootedCON
El documento describe el enfoque LNX IRTool para la adquisición de evidencia digital forense en sistemas Linux potencialmente comprometidos. Incluye pasos de preparación como la creación de puntos de montaje, y la ejecución de scripts que realizan tareas como el dump de memoria, extracción de artefactos de sistema e información de usuarios, red y procesos, y la generación de un timeline de sistema de archivos.
Este documento describe las herramientas y metodologías utilizadas en una auditoría de penetración o prueba de intrusión (pentest). Explica diferentes tipos de pruebas como las pruebas externas o "blackbox" y las pruebas internas o "whitebox", e identifica herramientas como BackTrack, TheHarvester y otras para la recopilación de información, escaneo de puertos, identificación de vulnerabilidades y pruebas de intrusión. También destaca la importancia de aplicar una metodología estructurada para realizar
Similar a Pimp your Android. Rooted CON 2012. (20)
Las fuentes abiertas y las habilidades del analista OSINT, juegan un papel clave en la detección, defensa y respuesta ante las nuevas amenazas como la desinformación, las fake news o ataques a infraestructuras críticas, en los que intervienen actores tan diversos como el crimen organizado, el hacktivismo, el ciberterrorismo o los propios Estados, con la finalidad de detectar e identificar actividades que puedan resultar una amenaza, como el terrorismo yihadista o nacionalista.
En la exposición, se mostrarán ejemplos prácticos del uso de diversas técnicas OSINT e inteligencia artificial para adquirir y procesar grandes volúmenes de datos (tanto texto como contenido multimedia), con la finalidad de detectar e identificar actividades que puedan resultar una amenaza, como el terrorismo yihadista o nacionalista.
La ISO cuenta con estándares que especifican los requerimientos necesarios para las organizaciones al implementar sistemas de gestión, entre los cuales se tiene el estándar ISO/IEC 27001:2013 (Implementación de un Sistema de Gestión de Seguridad de la Información) el cual brinda un apoyo para poder lograr un cumplimiento de seguridad de la información en las compañías. Para esto, se debe seguir un proceso específico para poder lograr establecer de forma adecuada el sistema de gestión. Así mismo, el estándar ISO 22301:2012 plantea la gestión de continuidad del negocio el cual ayuda a buscar una operación continua del negocio a las compañías y es un ítem que hace parte de un SGSI. Se observarán el proceso de implementación de estos dos estándares para poder lograr un nivel de cumplimiento en cuanto a las mejores prácticas de seguridad de la información.
Durante el proceso de implementación de un SGSI o de un SGCN en contact centers o en BPOs, se presentan retos específicos de las realidades cambiantes de este tipo de negocios. El dinamismo que presentan hace que la implementación de estos sistemas requiera de una especial atención en los diferentes proyectos a los cuales se enfrentan las organizaciones, exploraremos de forma breve algunos de estos retos.
La nube es un término que agrega diferentes mecanismos de tercerización de los servicios de infraestructura o de aplicaciones, el uso de este tipo de servicios se está generalizando de manera que hoy en día muchas organizaciones que manejan datos sensibles están en proceso de definir una ruta para poder mover sus servicios de tecnología a proveedores de este tipo; sin embargo, estas migraciones conllevan retos importantes a nivel de seguridad, en especial para aquellas organizaciones que deben cumplir con PCI DSS. En esta presentación haremos un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento de este exigente estándar de seguridad prestando especial atención a aspecto entre los que se encuentran los Modelos de Despliegue y Servicio, las Consideraciones de Segmentación, la Delimitación del Ambiente CDE, etc.
Para los Contact Centers que procesan, trasmiten y/o almacenan datos de tarjetahabiente actualmente es obligatorio el cumplimiento en la normativa PCI DSS v 3.2. Para lograr esto, es necesario implementar controles procedimentales y técnicos los cuales implican esfuerzos y dedicaciones importantes. Al enfrentarse a este reto, surgen una serie de desafíos que varían de acuerdo a las plataformas y los diferentes ambientes, siendo necesario el definir estrategias adecuadas en cada caso para poder lograr el cumplimiento sin mayores impactos.
Se hace un repaso de la familia de normas PCI, el encaje del proceso PCI DSS dentro de estas y sus requerimientos. Se analizó porqué las empresas de Contact Center y BPO han de cumplir y los aspectos clave en este tipo de empresas en la afectación de PCI DSS. Además, se presentó la metodología desarrollada por Internet Security Auditors que permite alcanzar el cumplimiento llevada a cabo con éxito en multitud de clientes, de este y otros sectores afectados por la necesidad de cumplir con PCI DSS.
Tiene como objeto hacer un recuento de los principales fundamentos de las normas de protección de datos personales en Colombia y las obligaciones que de ellas surgen para las organizaciones que hacen tratamiento de datos de carácter personal. Además, se analizarán algunos casos que han derivado en sanciones impuestas por la autoridad administrativa (Superintendencia de Industria y Comercio), al considerar que han existido infracciones a la normativa de protección de datos personales. Finalmente, se expondrá brevemente la metodología utilizada por Internet Security Auditors y Summa Consultores para el desarrollo de proyectos de consultoría en la materia.
GigaTIC 2017 - Más allá del futuro: Negocio, tecnología y robótica. (Abril 2017)Internet Security Auditors
La dependencia cada vez mayor del software y la facilidad de explotación por cualquier actor, requiere incrementar los esfuerzos para minimizar los riesgos y la capacidad de impacto en el negocio. La conferencia presenta una evolución de las técnicas de seguridad en el software, desde las clásicas (Manual Inspections & Reviews, Threat Modeling, Code Review, Pentesting) hasta las más actuales relacionadas con IA y Machine Learning. Se enumeran herramientas de análisis de código basadas en técnicas de Machine Learning, y se presenta una visión respecto la influencia que las nuevas tecnologías y la Inteligencia Artificial pueden tener en el sector de la seguridad.
En la presentación expuesta se puede apreciar los resultados de las auditorias efectuadas a los dispositivos Smart TV (LG 43uf6407, SAMSUNG UE32F5500AW, Panasonic TX-40CX680E) y la Barra de sonido OKI SB Media Player 1g. Durante el workshop se pudieron apreciar fugas de información en las cabeceras de respuesta, servicios expuestos y componentes desactualizados. En el caso de la Barra de sonido OKI y en todos los mediacenter InOut TV las carencias en seguridad son acentuadas, ya que disponen de servicios como XAMPP, con credenciales por defecto, esto sumado la falta de actualizaciones supone un potencial riesgo que ello conlleva. Durante la auditoría también se efectuó una captura del tráfico, llegando en algunos casos a enviar la lista total de canales sintonizados y el orden en que están ordenados en el Smart TV.
Hoy en día las organizaciones están en el proceso de mover su infraestructura tecnológica o sus servicios a la nube. Ya sea por razones de facilidad de crecimiento, de carácter financiero o de foco de negocio. Estos cambios imponen unos retos importantes cuando se involucra el tema de seguridad de la información.
En esta presentación se hace un recorrido de los aspectos más relevantes a tener en cuenta antes de llevar a cabo una migración de este tipo manteniendo o consiguiendo el cumplimiento del estándar de seguridad PCI DSS.
Este documento presenta información sobre los cambios recientes en las normas PCI y los requisitos de cumplimiento. Cubre actualizaciones a PCI DSS y PA-DSS, así como los diferentes tipos de autoformularios SAQ que las empresas pueden usar para demostrar el cumplimiento. También incluye una agenda con temas como los retos de seguridad en pagos, el ecosistema PCI SSC y recursos útiles relacionados con PCI.
Conferencia sobre Protección de Datos (Bogotá): Errores comunes en la identif...Internet Security Auditors
Esta presentación se centra, por un lado, en los aspectos más sensibles o complejos del registro en el RNDB, mostrando tanto los errores habituales en el proceso de registro como los puntos donde este proceso puede ser ambigüo o conducir a error y, por tanto, generar una incorrecta declaración de las bases de datos en el Registro; por otro lado, se presentan errores habituales y recomendaciones, basadas en nuestra experiencia en el cumplimiento de Protección de Datos, más allá del registro de BBDD. Una empresa puede haber llevado a cabo esta declaración pero no cumplir con la Ley y, por lo tanto, verse sujeta a sanciones.
1. El documento presenta tres casos resueltos por la SIC relacionados con incumplimientos a la Ley de Protección de Datos en Colombia.
2. El primer caso involucra una empresa que expuso datos personales de clientes en un sitio web sin controles de acceso adecuados.
3. El segundo caso trata sobre una empresa que recopilaba datos personales de forma ilegal y obstruyó una investigación de la SIC.
4. El tercer caso es sobre una empresa que no respondió oportunamente una solicitud de un cliente sobre el uso de sus
Catosfera 2016: Anàlisi de xarxes socials amb finalitats d'investigació: ris...Internet Security Auditors
El documento habla sobre los riesgos y abusos del uso de perfiles en Internet para fines de investigación de redes sociales. Examina cómo la información pública de las redes sociales puede ser utilizada para propósitos de investigación, pero también plantea preocupaciones sobre el respeto a la privacidad de los usuarios y el consentimiento para el uso de sus datos.
El documento presenta una introducción a las técnicas OSINT (Open-Source INTelligence) para investigadores de seguridad. Explica el proceso OSINT, incluyendo el exceso de información disponible y la fiabilidad de las fuentes. Luego describe varias herramientas OSINT como Maltego, Tinfoleak y Recon-ng. Finalmente, propone algunos ejercicios prácticos de casos como obtener información sobre personas y empresas utilizando estas técnicas y herramientas OSINT.
Ncn2014. Vigilados: explotando las redes sociales para predecir nuestro compo...Internet Security Auditors
Este documento describe Tinfoleak, una herramienta de código abierto que extrae información de perfiles de Twitter para predecir el comportamiento de las personas. Explica las capacidades de Tinfoleak como extraer datos básicos, identificar contactos, analizar temáticas, geolocalizar tweets y predecir ubicaciones futuras. También discute las limitaciones de Tinfoleak y mejoras futuras planeadas como soporte para más redes sociales e interfaces gráficas.
Cybercamp 2014. Tinfoleak: Analizando nuestras pautas y comportamientos a tr...Internet Security Auditors
Este documento presenta Tinfoleak, una herramienta de Python para analizar la exposición pública en Twitter. Tinfoleak puede extraer información básica de un usuario, identificar sus intereses, horarios de actividad y ubicaciones visitadas. Aunque es útil para ingeniería social y pentesting, tiene limitaciones como solo funcionar en Twitter y estar sujeto a restricciones de la API. El autor propone mejoras futuras como soporte para otras redes sociales e interfaz gráfica.
PCI DSS se ha convertido estos últimos años en una de las normas más nombradas dentro de los mensajes de ventas relacionadas con Seguridad TIC y el cumplimiento normativo. Pero, aun así, se siguen produciendo incidentes de seguridad que han situado el año 2013 en uno donde mayor cantidad de datos de pago se han comprometido y las expectativas son que el 2014 todavía lo supere. La pregunta es ¿es realmente útil PCI DSS para impedir esto? La respuesta podría ser otra pregunta ¿se está realmente implantando correctamente PCI DSS? En esta presentación se tratan estos aspectos con el particular punto de vista del Perú y la regulación emitida por su Superintendencia Bancaria y de Seguros.
Hackmeeting 2003: Métodos actuales de apropiación de dominios. Vicente AguileraInternet Security Auditors
La presentación, aporta una visión actual sobre la problemática de los nombres de dominio. Se comentan las entidades que intervienen en el registro de dominios, las distintas técnicas de ataque que se pueden utilizar contra cada una de estas entidades y que posibilitan apropiarse de un dominio que ya tiene propietario, y las recomendaciones en cuanto a la defensa frente a este tipo de ataques.
4. Fichero APK
• Es un fichero .zip falso
• Usado para empacar las aplicaciones
• Todo APK incluye:
• classes.dex
• resources.asc
• /res
• /META-INF
• AndroidManifest.xml
6. Montando un laboratorio
• Utilizar la ISO Android Reverse Engineering (A.R.E.)
• Herramientas como Androguard, APKInspector, Apktool, AxmlPrinter, Dex2Jar, etc…
• Espacio de trabajo ya configurado.
• Ideal para máquinas virtuales.
• Utilizar uno de los ports de Androix-x86.
• Proyecto OpenSource.
• Sistema operativo Android.
• Entorno fácilmente configurable.
• Fluidez.
• Crearnos un lab a nuestra medida.
8. Montando un análisis dinámico
1. Creamos una máquina virtual usando el SDK.
2. Lanzamos el emulador y almacenamos las conexiones en un pcap:
• emulator –port n @device-name –tcpdump foo.pcap
3. Instalamos la aplicación
• adb install appname.apk
4. Lanzamos pruebas sobre el dispositivo y la aplicación
• adb shell monkey –v –p package.app n
5. Leemos los logs
• adb shell logcat –d
6. Podemos apoyarnos en Wireshark para leer los logs de conexiones.
9. Simulando eventos
• Llamadas de teléfono
• gsm call p-n
• gsm accept p-n
• gsm cancel p-n
• SMS
• sms send prefix-number text
• Emular velocidad de red
• netspeed gsm n
• netspeed umts n
• Cambiar coordenadas GPS
• geo fix -13… 21…
10. Modus Operandi
1. AXMLPrinter2 – Extraemos la información del
AndroidManifest.xml
2. Dex2jar – Convertimos el fichero .dex en un fichero
de clases .jar.
JAD – Transformamos los ficheros .class en ficheros .jad
3. JDgui – Leemos el código almacenado en el fichero
.jar.
4. Understand – Análisis estático del código.
5. Wireshark – Análisis dinámico del código.
11. Analizando la memoria
• Trabajamos con arquitectura ARM
• Dividida en cinco capas distintas
• Cada modelo es diferente, con aplicaciones específicas.
• Herramientas de pago.
• ¿Qué podemos toquetear aquí?
– Tarjeta SIM.
– Memoria física (Interna&Externa).
– Memoria volátil.
(1) Proyecto Android-x86 http://www.android-x86.org/
12. Analizando la memoria
• ¿Qué requisitos necesito?
– Indispensable ser root en el teléfono:
– Tener disponible el Android Debug Driver (ADB)
– Es recomendable tener instalado un servicio SSH o FTP
• ¿Por dónde empiezo?
– Conocer cómo está estructurado el sistema.
– Saber cuáles son los directorios asociados a los diferentes puntos de montaje.
– Realizar la correlación (NanDroid || (DD && ADB pull))
• ¿Qué técnicas empleo?
– Uso de strings y búsqueda de cadenas.
– Análisis de las bases de datos.
– File carving.
– Análisis del sistema de ficheros.
13. Tarjeta SIM
• Información a obtener
• Número IMSI.
• Información sobre localización.
• Información sobre tráfico SMS.
• Información sobre proveedor.
• Información sobre llamadas.
• Dispositivo DEKART (35€ ~ 60€)
• Características
• Dispositivo lectura/escritura USB.
• Hace copias de seguridad.
• Permite exportar la agenda
• Aplicaciones
• MOBILedit!
• Forensic Card Reader
• Oxygen
• USIM Detective.
15. Una de BBDDs
• Constituye un alto porcentaje del análisis forense.
• Toda la información relevante y sensible se encuentra almacenada en estos
ficheros.
• Suelen encontrarse en /data/data
• Backup con adb pull / SSH / FTP / Terminal Emulator…
• Consultamos con SQLite3 / SQLviewer…
17. Encryp… What the fcuk!
• Configuración de email (com.google.android.email/databases – EmailProvider.db)
• Delicious (Fichero xml)
• Facebook
18. La memoria volátil
• Debemos de realizar sin tratar de alterar el estado actual del dispositivo.
– No podemos apagar o reiniciar el terminal.
– Nada de instalar o eliminar aplicaciones.
– Cortar todo tipo de acceso a la red.
– Modo avión.
• Necesitamos ser root.
• No disponemos de ninguna API que permita realizar esta labor.
• ¿Soluciones?
– No es posible acceder a /dev/mem por problemas de seguridad.
– Emular dispositivo en /dev/fmem no es posible en Android
• Función page_is_ram para comprobar si el desplazamiento a realizar pertenece a la memoria física o no, no existe en arquitectura
ARM.
• La herramienta DD sólo almacena enteros de 32 bits y desplazamientos más allá de 0x80000000 causan un integer overflow
• Volatilitux al poder
19. Volatilitux
• Pslist – Listado de los procesos que andan ejecutándose en memoria
• Memmap – Mapa de memoria de un proceso.
• Memdmp – Memoria direccionable de un proceso.
• Filedmp – Dumpea un fichero abierto
• Filelist – Muestra ficheros abiertos para un proceso dado
22. Montando Selwomarina
• Organización de información
• Almacenamiento y búsqueda por características de las muestras.
• Tamaño, tipo, md5, sha1, tags, fechas…
• Obtener, almacenar y recuperar elementos de las muestras.
• Ficheros generados, Binarios desempaquetados, Exploits, cadenas embebidas.
• Almacenar, buscar y devolver información sobre análisis
• IDA Pro BD, notas de análisis, artículos y referencias, muestras de red, sistemas
• Detección de firmas
• Análisis automatizado
• Diseño modularizado.
• Características de análisis estático
• Soporte de múltiples análisis de malware.
• Aislamiento de entornos de análisis dinámico.
24. Vectores de ataque
• Amenazas basadas en aplicaciones
• Malware
• Spyware
• Amenazas de privacidad
• Vulnerabilidades en aplicaciones
• Amenazas basadas en la web
• Phishing
• Drive-by-downloads
• Exploits en navegadores
• Amenazas basadas en las redes
• Exploits para protocolos de red
• Wi-fi sniffing
• Amenazas físicas
• Pérdida o robo del dispositivo
25. Medidas de seguridad
• Da igual si somos usuarios o una entidad corporativa.
• Los malos vienen a hacer daño.
• Tenemos un tesoro entre nuestras manos.
• Somos el eslabón débil.
• Toda nuestra vida online (emails, banca, redes sociales, privacidad) está en
nuestro teléfono.
26. Medidas de seguridad
• Canal de comunicación a través de VPN y enrutar todo el tráfico.
• Implementar política de contraseñas fuerte.
• Deshabilitar servicios y dispositivos inseguros/innecesarios
(GPS/Bluetooth/SDCard/etc…).
• Capas de seguridad adicionales
• Herramientas de privacidad, antivirus, borrado remoto, localización por GPS.
• Deshabilitar instalación de software de terceros.
• Habilitar servicios de acceso remoto; SSH, FTP, DropBear, etc…
27. Analizando algo nuevo
• Android.FoncySMS
• Kaspersky
• Risk Level 1: Muy bajo
• Descubierto: 15 Enero, 2012
• Actualizado: 30 Enero, 2012
• Actividad: com.android.bot
• Descargas: 3370~
28. Información
• Investigada por la OCLCTIC.
• Investigación durante 2 meses.
• “Banda” compuesta por dos miembros (“Cerebro” y técnico).
• Envía SMS premium (4.5€).
• 100.000€ 20/30€ por cabeza.
• Se ha cobrado 2.000 víctimas desde verano del 2011.
• Ciudades europeas y Canadá.
30. Instalando la app
• Iniciar emulador
• Instalar la aplicación.
• Revisar el estado actual.
• Simular actividad.
• Observar el nuevo estado.
• Analizar
33. Estructura de la aplicación
• Tras la ejecución inicial…
• Boomsh – ELF -32 bits LSB executable, ARM version 1 (SYSV), dynamically linked (uses shared library).
• Border01.png – Zip archive data.
• Footer01.png – ELF -32 bits LSB executable, ARV version 1 (SYSV), dynamically linked (uses shared libs).
• Header01.png – ELF – 32bits LSB executable, ARM version 1 (SYSV), dinamically linked (uses shared
library).
• Rooted - Text file.
34. Footer.png
1. Deja constancia de que el exploit ha tenido éxito.
2. Modifica los permisos de border01 a lectura/escritura (propietario) y escritura (resto).
3. Instala border01 lanzando el administrador de paquetes
35. Footer.png (Round 2)
• IRCConnect – Conectar con un servidor IRC.
• IRCGenUser – Genera un usuario apoyándose en rand().
• IRCHandler – Manejador de errores.
• IRCLogin – Establece sesión con el canal IRC.
• IRCPrivmsgParse&IRCParseLine – Parsean las órdenes recibidas.
• IRCSend – Realiza envío de mensajes.
36. Footer (La chicha)
1. Establece conexión con 192.68.196.198.
2. Genera nombre de usuario al azar.
3. Se conecta al canal #andros.
4. Queda a la escucha de recibir órdenes.
5. Parsea las líneas que comienza por PRIVMGS
39. AndroidMeActivity
1. Al iniciar la actividad se solicita el código ISO de la ciudad.
2. En base a esto, se establece un número premium u otro.
3. Se realizan 5 envíos a dicho número.
• Ciudades a las que realiza el envío
• Spain Number: 35024 Message: GOLD
• Great Britain Number: 60999 Message: SP2
• Morocco Number: 2052 Message: CODE
• Sierra Leone Number: 7604 Message: PASS
• Romania Number: 1339 Message: PASS
• Norway Number: 2227 Message: PASS
• Sweden Number: 72225 Message: PASS
• United States Number: 23333 Message: PASS
40. SMSReceiver
1. Se encarga de la lógica del envío de mensajes.
2. Se reservan dos campos; uno para el número del destinatario y otro para el contenido.
3. Sí el SMS provece del número 81083, 3075, 64747, 60999, 63000, 35024, 2052, 7064, 1339, 9903, 2227, 72225,
23333, el broadcast se corta.
4. Establece conexión con 46.166.146.102 y envía el SMS recibido y el número de origen.
1. http://46.166.146.102/?=STR2(cuerpo mensaje)///STR1(número)
42. “Desmontando cúpulas”
• ¿Objetivo?
– Mostrar cómo está organizado y pensado
un pequeño y simple C&C para Android.
• ¿Qué malware?
– Simple Android SMS Trojan.
• ¿Funcionamiento?
1. Se instala en el teléfono una aplicación infectada.
2. Espera a que se realice la activación.
3. Se forma un string con el IMEI del usuario y su teléfono.
4. Se envía al C&C y se almacena en una BBDD.
43. Estructura
• BBDD: admin_123/123
• Panel: root/entermoney77
• Infecta varias plataformas
– Android: mms.apk
– Symbian – Nokia s60v3, s60v5 – mms.sis
– Resto de plataformas con soporte java – mms.jar
44. Contenido
• Almacena la siguiente información:
– Fecha infección.
– IMEI teléfono.
– OS.
– IP.
– País
– Número
– Texto
• Panel en ruso y sólo registra teléfonos de Rusia.
• Procedencia rusa.
45. TapJacking
• Vulnerabilidad Touch-Event Hijacking
• Mostramos al usuario una interfaz tapadera.
• Podemos obligar al usuario a:
– Pagarnos unas vacaciones.
– Obtener todos los datos del teléfono.
– Capturar los movimientos del dispositivo.
– Instalar aplicaciones saltándonos los permisos.
– Creatividad…
• Basada en toasts.
• Bueno… ¿Y Google?
47. ¿Cómo está organizado?
• Se han diseñado un total de 4 payloads
• CallPayload.java – Realiza llamadas al número de indicado.
• MarketPayload.java – Descarga e instala aplicaciones del market.
• ResetPayload.java – Devuelve al estado de fábrica el teléfono.
• SMSPayload.java – Envía un mensaje de texto al número indicado.
• TweetPayload.java – Publica un tweet en una cuenta de usuario con sesión iniciada.
• http://twitter.com/home?status=Yo me he comida más de una concha Codan por día
• Está diseñado para que se puedan añadir payloads por el usuario de forma sencilla.
• La estructura interna es la siguiente:
• Main.java – Ejecuta el servicio y carga los payloads.
• MalwarePayload.java – Abstracción para implementar más fácilmente los payloads.
• MalwareService.java – Crea el toast e inicia el proceso de tap-jack.
• main.xml – Tiene el layout de la aplicación, lanzando con un evento onClick cada payload.
• strings.xml – Contiene las cadenas que son utilizadas en la aplicación.