El documento analiza las amenazas maliciosas, vulnerabilidades y defensas en aplicaciones de mensajería móvil como WhatsApp, Telegram y Snapchat. Describe cómo estas aplicaciones pueden usarse para enviar archivos ejecutables de forma anónima y exfiltrar información confidencial de empresas.

1. (IN)SEGURIDAD Y ATAQUES DE I.M.
EN ENTORNOS CORPORATIVOS

2. Tradicionalmente ha constituido la fase última y tal vez la menos relevante de un
proceso de robo de información, aunque con la proliferación de los ataques de
tipo APT también se han popularizado las soluciones técnicas que dificultan este
proceso, como:!
! - Detectores de anomalías!
! - Sistemas de prevención de fugas de información !
! - Cortafuegos inteligentes.
Proceso de extracción no
autorizada de datos dentro
de un sistema o de una red.

3. “Attackers exfiltrate data by creating a mount point for a remote file share and copying the data
stored by the memory-scraping component to that share,” the SecureWorks paper notes. “In the
previous listing showing the data’s move to an internal server, 10.116.240.31 is the intermediate
server selected by attackers, and CTU researchers believe the “ttcopscli3acs” string is the
Windows domain name used on Target’s network. The “Best1_user” account appears to be
associated with the Performance Assurance component of BMC Software’s Patrol product.
According to BMC’s documentation, this account is normally restricted, but the attackers may
have usurped control to facilitate lateral movement within the network.”
ERES'TARGET'…

4. Prácticamente protocolo puede utilizarse como Covert Channel, aunque
generalmente se utilizan algunos concretos en Capa 3-4 (Red-Transporte), como
ICMP, IP con TCP/UDP, o en Capa 7 (Aplicación) los más comunes son HTTPS
o DNS.

5. - El problema llega porque los usuarios no limitan el uso de las tecnologías
para los fines profesionales y porque el malware en dispositivos móviles no
para de aumentar. Los casos de malware en dispositivos como Android son
cada vez más frecuente y estas amenazas se pueden transferirse a través de
los sistemas de mensajería instantánea.!
!
- Durante el periodo comprendido entre Agosto de 2013 y Julio de 2014 se
registró el número más alto de ciberataques en los últimos años.

6. - En la actualidad, con la llegada de los dispositivos móviles, los sistemas de mensajería
instantánea tienen una segunda juventud, y los usuarios aprovechan sus posibilidades
para el ámbito personal y profesional.!
!
- Los sistemas de mensajería instantánea puede suponer un problema para la
seguridad, sobre todo en el ámbito del trabajo.

8. The
SnapChanneling

9. ¿'QUÉ'ES'SNAPCHAT'?
- Snapchat es una aplicación para móviles,
que puedes descargar en tu iPhone o
Android, para ¿chatear? con amigos a través
de fotos y vídeos (con la posibilidad de usar
etiquetas).!
!
- Vamos, como un WhatsApp (que ya sabéis
que nos gusta) en el que no se puede enviar
texto, sólo ficheros multimedia.!
!
- Una de las cosas más importantes de
Snapchat es que la características de auto-
destrucción de las fotos, una vez el
destinatario las ha visto.

10. EL'HISTÓRICO'DE'SNAPCHAT
- Crees que es seguro enviar esas fotos
embarazosas a través de Snapchat?
PIÉNSALO DE NUEVO.
!
- SnapHack: una aplicación que permite
reabrir y guardar mensajes de Snapchat,
sin que el remitente sepa que se han
almacenado
- Dump de 4.16 millones de usuarios y
números de telefóno de usuarios de
Snapchat publicados en el sitio web
snapchatdb.info, después del public
disclosure del funcionamiento de la API.

11. - Vivimos épocas convulsas de filtraciones online. Si en los últimos tiempos
fue el famoso celebgate o fappening el que trajo de cabeza a varias
famosas del mundo del cine, el espectáculo y la televisión ahora es la
aplicación Snapchat la que ha sufrido otra filtración masiva.!
!
!
!
!
!
!
!
!
!
- Una aplicación de terceros originó una filtración masiva que implica a
unas 200.000 imágenes íntimas de numerosos usuarios de Snapchat,
aunque según algunas informaciones la cifra podría seguir aumentando a
lo largo de las próximas semanas.!
!

13. - Para realizar envíos a través de Snapchat, necesitaremos primero obtener
el request_token correspondiente:
- Los siguientes campos serán necesarios para realizar las diferentes
plataformas y enviar Snaps a través de la plataforma:
Nada dura para siempre,!
!excepto el token temporal de Snapchat!

16. OTROS
USOS'''}:)'

19. OR

20. -Todos los archivos multimedia de Snapchat (vídeos y fotos) se envían:!
! - Padding de PKCS#5!
! - Cifrados usando AES/ECB con clave simétrica M02cnQ51Ji97vwT4
!
- Si enviamos un Snap a cualquier usuario, podemos modificar el contenido
de la imagen, introduciendo los datos que necesitemos, como por ejemplo
contenido en ASCII:

22. - Podemos enviar archivos ejecutables a través de los canales de
comunicación de Snapchat.!
!
- En este caso probaremos a enviar un fichero ejecutable crackme.exe,
previamente comprimido en formato ZIP.

23. ! También se pueden enviar
ficheros ejecutables !

24. La señora
DoubtLine …

25. LINE tiene ya más de 400 millones
de usuarios activos
Inicialmente fue una aplicación
móvil desarrollada para uso
interno de comunicación.!
!
Tras su gran acogida y
popularidad entre los usuarios, se
amplió a Windows Phone,
BlackBerry OS,1 Firefox OS, Mac
OS X y Windows.!
!
Esta última tiene dos versiones:
una de escritorio tradicional y
otra exclusiva para Windows 8
disponible en Windows Store. !
!
También existe una versión para
Firefox OS

26. ALGUNOS'DETALLES'DE'FUNCIONAMIENTO'…
- Gran cantidad de servicios web diferentes, debido a la gran cantidad de
apps y subsistemas que conviven…!
!
- La mayor parte del protocolo se genera sobre canales HTTPS, utilizando
Apache Thrift para la serialización de los datos de los mensajes.!
!
- El procedimiento de autenticación:!
loginWithIdentityCredentialForCertificate(
IdentityProvider.LINE, // identityProvider
"test@example.com", // identifier
"password", // password in plain text
true, // keepLoggedIn
"127.0.0.1", // accesslocation
"hostname", // systemName
"") // certificate (empty on first login)

27. - La respuesta a nuestro intento de autenticación será:!
! struct LoginResult {
1: string authToken;
2: string certificate;
3: string verifier;
4: string pinCode;
5: LoginResultType type;
}
!
- Después de una autenticación correcta, el campo de authToken contendrá el valor
necesario para las siguientes peticiones, y se utilizará dentro de la cabecera X-Line-
Access.!
!
- Dentro de la sincronización inicial del cliente, se llamarán a funciones como:!
getLastOpRevision() getBlockedContactIds()
getProfile() getRecommendationIds()
getBlockedRecommendationIds() getAllContactIds()
getContacts(contactIds) getGroupIdsJoined()
getGroups(groupIds)

28. - La comunicación se realiza por HTTPS:

29. UPLOAD'DE'EJECUTABLE

30. DESCARGA'DEL'EJECUTABLE

31. UPLOAD'DE'FICHERO'COMPRIMIDO

32. DOWNLOAD'DE'FICHERO'COMPRIMIDO
Se puede actualizar el contenido

33. Telegram Pie

34. MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014

35. MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
- Telegram es una aplicación de software libre, que puede ser modificada
por la comunidad, por lo que existen clientes oficiales para los sistemas
operativos móviles Android, iOS y Windows Phone8.!
!
- También existen versiones para ordenadores, así cómo versiones para
ejecutar en el navegador.
- Telegram es un servicio de mensajería por
Internet, desarrollada por los hermanos Nikolai
y Pavel Durov, creadores de la red socialVK.!
!
- Aunque su financiamiento es independiente
de VK, desde el 2013 el proyecto sin ánimo de
lucro tiene como sede en Berlín y es operado
de manera gratuita tanto su protocolo API
como sus clientes.

36. MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
Telegram utiliza HTTP cifrando el payload

37. Con esta version se pueden enviar:
!
Fotos
Videos
Ficheros como mensajes de texto
DOCUMENTO….. o ¡Virus!

39. Lord Of The
WhatsApp

40. MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014

41. Y'NUESTRO'QUERIDO'WHATSAPP'…
TEXT MSG RC4
SERVIDOR MULTIMEDIA
- En este caso podemos utilizar el almacenamiento de
imágenes utiliza HTTPS (bin2jpg)
- Exfiltrar ficheros como mensajes

42. MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS
SHMOOCON 2014
(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS
CONECTACON 2014
ANONIMATO

43. - Es posible que no queramos que identifiquen la cuenta a la que se exfiltrará la
información confidencial de la empresa.!
!
- Podemos utilizar diferentes saltos por la red, números virtuales, proxys anónimos
etc.
VIRTUAL NUMBERS
- Esto es posible de realizar con cualquier otra aplicación o protocolo, con unos
sencillos scripts, por ejemplo, en Python.!
!
- Para el caso de WhatsApp, no es necesario, ya que con un poco de ingenio y
gracias a Yowsup, tendremos la mayor parte del trabajo hecho.

44. MALICIOUS THREATS, VULNERABILITIES AND DEFENSES IN WHATSAPP AND MOBILE I.M. PLATFORMS(IN)SEGURIDAD Y ATAQUES DE I.M. EN ENTORNOS CORPORATIVOS

45. Snapchat( Line(
(
Telegram(
(
WhatsApp(
(
Subir&Exe/Virus& Si,&con&offset& Si& Si& No?&
Subir&Zip& Si,&con&offset& Si& Si& No?&
Ficheros&como&
texto&
No& No& Si& Si&
Version&PC& No& Si/No&probada& Si& Si,&no&oficial&
Pe@ciones&web&
&
Si&& Si&& Si& Sólo&ficheros&
Protocol& HTTPS& HTTPS& HTTP&& HTTPS/RC4&
Canales&de&
comunicación&
Uploads&
actualizables&
CON&cambio&de&
ID&
&
Uploads&
actualizables&
SIN&cambio&de&
ID&
&
Si&(texto&/envio&
de&ficheros)&
Si&(Texto)&