Este documento presenta el simulador Elena, creado para apoyar cursos de formación en cibervigilancia. El simulador ofrece escenarios en formato árbol de decisiones o simulación técnica para que los analistas practiquen técnicas de cibervigilancia. Incluye herramientas virtualizadas y máquinas preparadas. El objetivo es ofrecer una experiencia lo más realista posible y guiar a los usuarios en la aplicación de procedimientos de investigación.

1. Cibervigilancia
con
Warrior

2. Ivan Portillo
Ginseg Comunidad de Ciberinteligencia
ivan.portillo@ginseg.com
ivanPorMor
p0rt7
ivanportillomorales

3. Wiktor Nykiel
Ginseg Comunidad de Ciberinteligencia
wiktor.nykiel@ginseg.com
WiktorNykiel
WiktorNykiel_GINSEG_Inteligencia
WiktorNykiel

4. Antes de empezar

5. Descarga la OVA preparada para el laboratorio
https://materiales.ginseg.com/ccn-labs

6. Pasamos lista
https://t.me/ginseg
¡El Warrior ya esta!

7. Comencemos

8. Software para virtualización
https://download.virtualbox.org/virtualbox/6.1.30/
VirtualBox-6.1.30-148432-Win.exe
https://www.vmware.com/go/
getplayer-win

9. Guía para la importación de la OVA

10. Máquina para el analista
Máquina virtual desarrollada y configurada
específicamente para este laboratorio.
Requiere realizar la instalación del resto de
herramientas con script iniciar.sh
• Tinfoleak
• Maltego
• OSRFramework
• instagramOSINT
• instaloader
• Karma
Herramientas incluidas: • PyCharm
• Python3
• Tor Browser
• Firefox
• Plugins privacidad
y anonimato
• Keepass
• Veracrypt
• The Harvester
• Riseup VPN
• Twint
• Gephi
• Spiderfoot
• Desarrollos a medida para el taller
• Otras herramientas complementarias
Máquina Virtual específica para el laboratorio
Usuario: osint
Contraseña: osint

11. Dos pasos rápidos antes de empezar

12. Pasos de instalación de herramientas:
1. Abrir un terminal
2. Escribir en la terminal
cd Escritorio/
./iniciar.sh
3. Al solicitar introducir la contraseña,
deberemos escribir “osint”.
4. Comenzará el proceso de
instalación automático y
desatendido.
5. Al finalizar escribir “exit” y
comenzará a instalar las imágenes
de los dockers.
Instalación 4 dummies

13. Completado

14. Objetivo de STC Elena

15. Simulador de Técnicas de Cibervigilancia
Simulador creado como herramienta de apoyo a los cursos de formación en temática de
cibervigilancia, que deseen practicar en un entorno aislado. Para poder superar los ejercicios
del simulador, es necesario aplicar las técnicas y procedimientos de recolección y tratamiento
de información que permitan obtener y plasmar las correspondientes conclusiones de un caso
que pretende representar de forma fehaciente las etapas una investigación de forma guiada.
El propósito de este elemento complementario de aprendizaje es ofrecer un entorno
autocontenido que simule un escenario real donde el analista de ciberinteligencia pueda
practicar y realizar capacitaciones de cibervigilancia.
El entorno y su itinerario han sido creados en base a la experiencia adquirida durante la
realización de numerosos cursos, los cuales han servido de base y referencia para crear esta
solución. Este simulador se ha creado 100% en España con el liderazgo del CCN-Cert –
Centro Criptológico Nacional en colaboración con Ginseg – Comunidad de Ciberinteligencia.
https://www.ccn-cert.cni.es/soluciones-seguridad/elena.html

17. Escenarios en formato de: Árbol de decisiones
Tipos de escenario donde el participante tiene que tomar una serie de decisiones
en función a una reciente amenaza que esta afectando a su organización. Para
llevar a cabo este escenario será necesario aplicar una serie de actuaciones que
contrarresten la propia amenaza, utilizando para ello diversas técnicas de
cibervigilancia.

18. Escenarios en formato de: Simulación Técnica
Escenarios donde el participante tiene que emplear diversas técnicas de cibervigilancia para investigar un
suceso concreto partiendo únicamente del nombre de la entidad por ejemplo. Para tal fin, el propio analista
contará con herramientas virtualizadas dentro de su navegador web para efectuar su investigación.

19. Simulando la investigación
de un objetivo

20. Dominios y DNS (A, MX), Activos, IPs Rangos
Objetivo:
Empresa, institución
Dominios > MX
Usernames
Social Media
Flag
¿Beneficio económico?
¿Exfiltración de información?
¿Análisis de exposición?
¿Daño reputacional?
Vulnerabilidades
Sistemas
Footprint
Reutilización de
credenciales
Accesos
Empleados y proveedores Foros y comunidades
Posibles credenciales
de leaks anteriores
? !
¿Hasta donde puede llegar solo con el nombre del objetivo?

21. Qué tenemos
• Nombre de una de las empresas del grupo.
• Indicios de puntos de fidelización sustraídos.
• Comercios online con nuestros productos a mitad de precio.
• Indicios de correo de phishing abierto por una empleada.
Qué buscamos
• Resto de empresas del grupo para conocer su exposición.
• Sus dominios asociados, direcciones IP
, servidores de correo para reducir la superficie
de búsqueda de credenciales, etc.
• Activos a nombre de la empresa, servidores, rangos de red, etc.
• Tiendas que estén suplantando nuestra marca y vendiendo productos para blanquear
puntos de fidelidad.
• Credenciales y datos confidenciales expuestos.
• Otros datos que puedan ser de interés para un atacante.
Qué necesitamos
• Informar adecuadamente de los descubrimientos al interlocutor adecuado.
• Documentar nuestros hallazgos.
1
2
3
Nos preparamos para la batalla

22. Footprint: Dominios y DNS (A, MX), Activos, IPs Rangos
Empleados y proveedores
Objetivo: TOSA
Explorando nuestro objetivo: ¿por donde quieres comenzar la investigación?

23. Dominios y DNS (A, MX), Activos, IPs Rangos
Footprint
Objetivo: TOSA
Explorando nuestro objetivo

24. Explorando nuestro objetivo - Repositorios de Datos

25. https://ftp.ripe.net/ripe/dbase/split/
https://ftp.ripe.net/ripe/dbase/
Contenido de archivo parcial ripe.db.inetnum.gz
Explorando nuestro objetivo - Repositorios de Datos - RIPE

26. Herramienta pasiva que proporciona
información relacionada con direcciones
IP
, dominios, subdominios, DNS,
servidores de correo y blacklist.
Permite analizar ficheros, URLs,
dominios, IP o Hashes para descubrir
presencia Malware.
virustotal.com
Input Dominio, IP
, Rango IP o ASN Input URL, Dominio, IP
, Hash, Fichero
Permite buscar fugas de Información
publicadas.
pastebin.com/search?q=XXXXX
Explorando nuestro objetivo: Cómo comenzar – Introduciendo herramientas

27. Dominios y DNS (A, MX), Activos, IPs Rangos
Footprint
Objetivo: TOSA
Explorando nuestro objetivo

28. Qué tenemos
• Pagina web o dominio.
Qué buscamos
• Dirección IP a la que apunta el dominio e información asociada a la IP como tecnología que hay
detrás, protocolo usado, geolocalización, certificados, ASN, subdominios y otros dominios
disponibles.
• Registros DNS (NS, MX) y URLs
• Muestras de malware asociados al dominio, si las hubiera.
• Documentos públicos asociados al dominio.
• Credenciales, datos confidenciales expuestos y otros datos que puedan ser de interés para un
atacante.
• Evidencias a modo de históricos de la web en el tiempo.
1
2
Como comenzamos a investigar

29. Dominio
Dirección IP
Buscar Emails
Dorks
• Google
• Bing
• Yandex
• DuckDuckGo
Data Leaks
Registros NS, MX
URL
• Puertos
• Tecnología
• Protocolo
• Geolocalización
• Certificados
• ASN
• Dominios
• Subdominios
Documentos
Whois
Malware
Procedimiento
de
investigación
Como comenzamos a investigar

30. Dominio
Dirección IP
Registros NS, MX
Whois
URL
Malware
• Hunter.io
• Maltego
• Intelx
• Virustotal
• Shodan
• Censys
• Recon-ng
Herramientas
generales para
dominios
• Maltego
• Virustotal
• Shodan
• Censys
• Recon-ng
• VirusTotal
Herramienta Online Script de Nivel de Dificultad Media Script de Nivel de Dificultad Alta
Procedimiento de obtención de información mediante dominio

31. Dominios y DNS (A, MX), Activos, IPs Rangos Sistemas
Footprint
Objetivo: TOSA
Explorando nuestro objetivo

32. Dominios y DNS (A, MX), Activos, IPs Rangos
Vulnerabilidades
Sistemas
Footprint
Objetivo: TOSA
¿Como seguimos?
1. Quieres realizar búsqueda de credenciales
2. Investigar exposición en RRSS
3. Analizar la muestra de malware
Explorando nuestro objetivo

33. Objetivo
Investigación del hash, junto con las
posibles relaciones con otros IoCs
Donde investigamos
Tipo de investigación
Esta mañana un compañero del equipo de gestión de incidentes nos ha pedido ayuda sobre un hash de un proceso detectado en una
alerta de seguridad. A priori, el propio proceso aparenta ser inofensivo pero al compañero le ha extrañado el propio nombre del
proceso, ya que no ha identificado su aplicación asociada. Necesita que le ayudemos a analizar el hash de dicho proceso para
determinar si esta relacionada con alguna amenaza conocida.
El hash es 4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
Identificar posible relación del hash
con algún tipo de amenaza
• IBM X-Force
• AlienVault OTX
• VirusTotal
• Hybrid Analysis
• Any RUN
Localizamos malware asociado

34. https://www.virustotal.com/gui/file/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b
Buscamos el hash en la base de datos de VirusTotal. Detectamos que la muestra ha sido categorizada como maliciosa por 56 motores antivirus.
Localizamos malware asociado

35. Dominios y DNS (A, MX), Activos, IPs Rangos Sistemas
Footprint
Posibles credenciales
de leaks anteriores
Objetivo: TOSA
Explorando nuestro objetivo

36. Dominios y DNS (A, MX), Activos, IPs Rangos Sistemas
Footprint
Reutilización de
credenciales
Posibles credenciales
de leaks anteriores
? !
Objetivo: TOSA
Explorando nuestro objetivo

37. Usernames
Empleados y proveedores
Objetivo: TOSA
Explorando nuestro objetivo

38. Qué tenemos
• Nombre de una persona, cuenta/username, identidad o cualquier dato de partida.
Qué buscamos
• Perfiles de redes sociales (Twitter, Instagram, Facebook, LinkedIn, etc) que utilicen el username objetivo.
• Comprobación de la existencia de correos electrónicos de cualquier proveedor que usen el username objetivo.
• Búsqueda de correos electrónicos asociados a los perfiles sociales detectados.
• Presencia de los correos electrónicos o del username en Data Leaks filtrados.
• Búsqueda de los usernames o los correos electrónicos asociados utilizando diferentes Dorks en los principales
metabuscadores.
• Búsqueda de evidencias asociadas al username en webs de históricos
Qué necesitamos
• Establecer las herramientas que podemos usar, tanto de pago como open source.
• Usar la metodología y ciclo de inteligencia para coleccionar y analizar los datos.
• Documentar nuestros hallazgos y generar información de valor relacional.
1
2
3
Como comenzamos a investigar una identidad digital

39. Procedimiento
de
investigación
Nombre Persona
Buscar en redes sociales
posibles perfiles
• Twitter
• Facebook
• Instagram
• LinkedIn
• Otras RRSS
Permutador de
Emails
Dorks
Leaks
• Google
• Bing
• Yandex
• DuckDuckGo
Verificación de
Emails
• Teléfono
• CV
• Documentos Ofimáticos
Como comenzamos a investigar una identidad digital

40. Usernames
Social Media
Empleados y proveedores
Objetivo: TOSA
Explorando nuestro objetivo

41. Qué tenemos
• Username.
Qué buscamos
• Perfiles de redes sociales (Twitter, Instagram, Facebook, LinkedIn, etc) que utilicen el username objetivo.
• Comprobación de la existencia de correos electrónicos de cualquier proveedor que usen el username objetivo.
• Búsqueda de correos electrónicos asociados a los perfiles sociales detectados.
• Presencia de los correos electrónicos o del username en Data Leaks filtrados.
• Búsqueda de los usernames o los correos electrónicos asociados utilizando diferentes Dorks en los principales
metabuscadores.
• Búsqueda de evidencias asociadas al username en webs de históricos
1
2
Explorando nuestro objetivo

42. USERNAME
Existencia del
username en RRSS
• Twitter
• Facebook
• Instagram
• LinkedIn
• Telegram
• Otras RRSS
Permutador de
Emails
Dorks
Leaks
• Google
• Bing
• Yandex
• DuckDuckGo
Históricos de archivos
Verificación de
Emails
Procedimiento
de
investigación
Procedimiento de obtención de información sobre username

43. USERNAME
Twitter
Facebook
Instagram
LinkedIn
Detectar username
en multiplataformas
sociales
Existencia del
username en RRSS
• SpiderfFoot HX
• Maltego
• OSRFramework (Usufy)
• Namechk
• Suip.biz/?act=Sherlock
• Intelx
• TinfoLeak
• Twint
• SocialBearing
• TweetDeck
• TweetBeaver
• All My Tweets
• Foller.me
• Followerwonk
• Searchusers
• Instagram OSINT
• Instaloader
Telegram
Búsqueda Manual del username en la
plataforma social de Facebook,
Instagram y/o LinkedIn
Verificación de
Emails
Solicitar recuperación de contraseña de
plataformas sociales en redes sociales
(Twitter, Facebook, Instagram)
Herramienta Online Script de Nivel de Dificultad Media Script de Nivel de Dificultad Alta
Procedimiento de obtención de información sobre username

44. Dominios y DNS (A, MX), Activos, IPs Rangos
Dominios > MX
Usernames
Social Media
Flag
¿Beneficio económico?
¿Exfiltración de información?
¿Análisis de exposición?
¿Daño reputacional?
Vulnerabilidades
Sistemas
Footprint
Reutilización de
credenciales
Accesos
Empleados y proveedores Foros y comunidades
Posibles credenciales
de leaks anteriores
? !
Objetivo: TOSA
Flag: Hemos llegado a la conclusión

45. Elena: Primer acceso

46. Primer acceso a Elena

47. Primer acceso a Elena

48. Primer acceso a Elena

49. Primer acceso a Elena

50. Primer acceso a Elena

51. Primer acceso a Elena

52. Primer acceso a Elena

53. Primer acceso a Elena

54. Primer acceso a Elena

55. Elena: en directo

56. Automatizando nuestras
monitorizaciones

57. El caso a monitorizar

58. Primera aproximación sobre la amenaza - SocialBearing
https://socialbearing.com/

59. Primera aproximación sobre la amenaza - SocialBearing

60. https://github.com/twintproject/twint
/
Twint esta desarrollado en python3.6 y por lo tanto es necesario
disponer de dicho lenguaje de programación instalado y el pip3 para la
instalación de librerías necesarias en el mismo.
Puede instalarse tanto en sistemas Linux como Windows siempre que
tenga Python 3.6 instalado.
Comando de instalación
pip3 install --user --upgrade
git+https://github.com/twintproject/twint.git@origin/master#egg=twint
Monitorizar actividades en Twitter - Twint

61. Comprobar Stack de microservicios instalados
Comando: sudo docker-compose images
Comprobar contenedores en ejecución asociados a stacks
Comando: sudo docker-compose ps
Monitorizar actividades en Twitter - Twint

62. import twint
username = 'ivanpormor'
c = twint.Config()
c.Username = username
c.Hide_output = True
c.Limit = None
c.Store_csv = True
twint.run.Search(c)
import twint
Keyword = '#ransomware'
c = twint.Config()
c.Search = keyword
c.Hide_output = True
c.Limit = None
c.Store_csv = True
twint.run.Search(c)
Búsqueda por username Búsqueda por keyword
Automatización de TWINT mediante Python

63. import twint
keyword = '#ransomware'
c = twint.Config()
c.Search = keyword
c.Hide_output = True
c.Limit = None
c.Pandas = True
twint.run.Search(c)
tweets = twint.storage.panda.Tweets_df
for tweet in tweets.to_dict(orient='records'):
print(tweet)
Automatización de TWINT mediante Python

64. Ubicación del proyecto
/home/osint/Escritorio/Herramientas/herramientas-personalizadas/Twitter/Proyecto_Twitter_sin_API
1
Ejecución de la herramienta
Comando: python main.py
3
Activar entorno virtualizado de Python
Comando: source venv/bin/activate
2
Automatización de TWINT mediante Python

65. Investigación de una keyword
Automatización de TWINT mediante Python

66. Investigación de un usuario
Automatización de TWINT mediante Python

67. Visualización de datos extraídos con Twint en Kibana

68. Obtención y tratamiento de datos de Twitter con streaming con ELK

69. Añadir plugin de Twitter en la configuración de
logstash.
1
Añadir keywords, recuperar tweets
completos e ignorar retweets.
3
Añadir las APIs de Twitter.
2
Remplazar contenido de etiquetas dentro de
campo source.
4
Configurar un índice para almacenar todos
los resultados en Elasticsearch.
5
Obtención y tratamiento de datos de Twitter con streaming con ELK

70. Ubicación del proyecto
/home/osint/Escritorio/Herramientas/herramientas-personalizadas/Twitter/Twitter_API_ELK
1
Ejecución de la herramienta
Comando: ./bin/logstash -f twitter_recon.conf
3
Lanzar Elasticsearch sino está en ejecución
Comando: sudo service elasticsearch restart
2
Obtención y tratamiento de datos de Twitter con streaming con ELK

71. Obtención y tratamiento de datos de Twitter con streaming con ELK

72. Google nos permite crear buscadores personalizados, a través de su
servicio “Custom Search Engine”, utilizando las fuentes que
tengamos categorizadas como fiables y excluyendo así el resto. De
este modo, a través del motor de búsqueda de Google, podremos
crear un buscador totalmente adaptado a nuestras necesidades.
Esto significa que obtendremos información exclusivamente de las
fuentes que le indiquemos en la configuración. CSE esta limitado a
100 resultados únicamente, pero si añadimos búsquedas muy
específicas no será un problema.
https://cse.google.com/
Personalización de buscadores para monitorizar actividades - CSE

73. Personalización de buscadores para monitorizar actividades - CSE

74. Elegir Etiqueta / Manage labels
Elegir Añadir
Personalización de buscadores para monitorizar actividades - CSE

75. Personalización de buscadores para monitorizar actividades - CSE

76. Seleccionamos el sitio y la etiqueta
relacionada
Sitios asignados a sus etiquetas restringidas
Personalización de buscadores para monitorizar actividades - CSE

77. Personalización de buscadores para monitorizar actividades - CSE

78. Pasos de instalación activación de virtualenv e instalación de dependencias
• cd /home/osint/Escritorio/Herramientas/herramientas-personalizadas/automatizacion_cse
• source venv/bin/activate
• pip3 install -r requirements.txt
Automatización de CSE + ELK

79. Listado de la carpeta automatizacion_cse
Visualización del contenido de fichero de los inputs de monitorización: keyword.txt
Automatización de CSE + ELK

80. Ejecución de la herramienta. Conocer como ejecutar la herramienta
Comando para mostrar la ayuda de la herramienta:
• python3 main.py --help
Automatización de CSE + ELK

81. Ejecución de la herramienta utilizando el buscador sobre RRSS creado con CSE
Automatización de CSE + ELK

82. Automatización de CSE + ELK

83. Automatización de CSE + ELK

84. Monitorización sobre ataques Ransomware - DarkFeed
https://darkfeed.io/
DarkFeed es un servicio web que permite
monitorizar las diferentes publicaciones
sobre victimas relacionadas con ataques
Ransomware de cualquier grupo criminal.
Dispone de un inventario sobre los grupos
de ransomware que se encuentran activos
junto con sus URLs “oficiales”.

85. Monitorización sobre ataques Ransomware - Darktracer
https://darktracer.com

86. Monitorización sobre ataques Ransomware - Darktracer
Darktracer dispone de un
módulo gratuito de
monitorización de victimas de
ransomware, ofreciendo un
pequeño inventario sobre cada
ataque.

87. Monitorización sobre ataques Ransomware - Darktracer

88. Monitorización sobre ataques Ransomware - Darktracer

89. Se aceptan
aplausos

90. Gracias por la atención
MUCHAS
GRACIAS