Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es...
-
Upload
rootedcon -
Category
Technology
-
view
375 -
download
0
description
Transcript of Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es...
![Page 1: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/1.jpg)
César Lorenzana
Javier Rodríguez
Grupo Delitos Telemá<cos (U.C.O.)
RootedCON V
Madrid, Marzo 2014
![Page 2: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/2.jpg)
2 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
• ¿Qué es el GDT? -‐ ¿Qué hacemos?
INTRODUCCIÓN
• Obje<vo • Incidente • Resultados
Descripción del ataque
• TTECNOLÓGICA vs TRADICIONAL
INVESTIGACIÓN
CONCLUSIONES
![Page 3: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/3.jpg)
3 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
![Page 4: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/4.jpg)
4 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
SÁTICOS
FraudeElectrónico
Malware
IntrusionesRobo IdenLdad
![Page 5: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/5.jpg)
5 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
![Page 6: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/6.jpg)
6 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
![Page 7: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/7.jpg)
7 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
• ParLculares• Empresas
• GobiernosGesLón
Telecomunicaciones
• España• Europa• América
PresenciaInternacional
• Delegaciones -‐ Franquicias.• Unas 30.000 estaciones de trabajo.• VPNs, varios sites web, bases de datos,etc.
Infraestructura
![Page 8: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/8.jpg)
8 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Todo iba muy bien …
……….Hasta que un buen día
![Page 9: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/9.jpg)
9 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
El Departamento de Altasrecibe un correo de unadelegación sobre datosde nuevos clientes
![Page 10: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/10.jpg)
10 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
¿Y que se hace con un fichero adjunto víaemail, desde una dirección que no
conocemos, con un adjunto con extensiónpdf.exe con un icono muy raro?
![Page 11: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/11.jpg)
11 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Obviamente……
¡¡EJECUTARLO!!
….Es que el AV medice que está“limpio”….
![Page 12: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/12.jpg)
12 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
¡¡¡¡¡¡¡ FAIL !!!!!!!
![Page 13: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/13.jpg)
13 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
![Page 14: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/14.jpg)
14 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
![Page 15: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/15.jpg)
15 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
RESULTADOS ATAQUE
![Page 16: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/16.jpg)
16 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
![Page 17: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/17.jpg)
17 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
![Page 18: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/18.jpg)
18 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
![Page 19: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/19.jpg)
19 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
![Page 20: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/20.jpg)
20 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Análisis posible impacto en elISP• Daños sufridos??• Alta Líneas fraudulentas??• Modificación Facturación??
WTF???.......Tenemos un APT!!!
![Page 21: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/21.jpg)
21 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
GDT……al rescate !!!
![Page 22: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/22.jpg)
22 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Obtención de evidencias
![Page 23: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/23.jpg)
23 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Adquisición memoriaRAM.• Equipo encendido/apagado.
Clonado discos duros.• Clonadora.• DD (Duplicate Disk).
Clonado mediosexternos.• DD (Duplicate Disk). Obtención de pcap en
“vivo”.• Swich -‐> Port Mirroring.
Obtención de evidencias
![Page 24: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/24.jpg)
24 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Análisis Memoria RAM
![Page 25: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/25.jpg)
25 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Se busca:
Procesos ocultos. Match de firmas. Etc
Herramientas usadas:
Volaglity. Yara Rules. Malfind
Volcado RAM máquinas Windows XP/7.
Análisis Memoria RAM (II)
![Page 26: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/26.jpg)
26 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Descubrimiento en varias máquinas de proceso denominado “update”.
Asociado a binario update.exe. – Volcado binario.
Path: Archivos de Programa/update.exe
Match yara rules.
Resultando ser un malware comercial, identificado como Cibergate.
;-)
Resultados Análisis RAM
![Page 27: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/27.jpg)
27 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
We feel like them !
![Page 28: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/28.jpg)
28 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Análisis PCAP
![Page 29: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/29.jpg)
29 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Se busca:
Conexiones entrantes/salientes. Match de firmas SNORT.
Herramientas.
Xplico/Networkminer Snort
Se analizan los pcaps obtenidos de los equipos.
Análisis PCAP
![Page 30: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/30.jpg)
30 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Conexiones a múltiples dominios e Ips.
IPs y dominios de. – Francia.
– USA.
– UK.
– Ucrania.
– Ninguno de España.
Puerto 81/tcp.
Conexiones E/S PCAP
![Page 31: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/31.jpg)
31 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Análisis Disposi<vos Externos
![Page 32: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/32.jpg)
32 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
En general, memorias USB. – No os podéis imaginar la de cosas que se conectan en
un ordenador. – Extracción de IDs dispositivos conectados a los equipos.
• setupapi.log • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet
\Enum\USBSTOR
Recuperación borrados. • Encase • Foremost.
Conclusión: – No se encuentra nada concluyente. – Se descarta el vector vía USB.
Análisis Disposi<vos Externos
![Page 33: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/33.jpg)
33 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Eso sí… No os podéis imaginar lo que conecta la gente al
ordenador !!
![Page 34: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/34.jpg)
34 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Objetivos: – Extraer muestras en HDs para su análisis.
• Análisis estático. • Análisis dinámico.
– Detectar vector de infección.
Herramientas: – Virtualizador. – Sysinternals Tools. – GDT tools. – OllyDBG. – Otras.
Análisis HD´s
![Page 35: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/35.jpg)
35 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Se extrae el binario. – Archivos de Programa/update.exe – P.E Windows. – 200 kb. – Sin packer.
Crypter. – Basado en Open Source Crypter.
Análisis VT – Match en 4/48 AVs. (Troyan Generic). – “Casi” FUD.
Análisis HD´s
![Page 36: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/36.jpg)
36 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Crypter
![Page 37: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/37.jpg)
37 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Herramienta del tipo RAT. – Remote Administration Tool.
Reverse connection.
Inyección en procesos del SO.
Upload/Donwload ficheros.
Keylogger.
Acceso a webcam.
Password recovery tools. – Navegadores.
Caracterís<cas Malware
![Page 38: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/38.jpg)
38 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Es capaz de evitar su ejecución en entornos virtualizados. – Técnicas anti-detección VM.
Es capaz de detectar debuggers. – IsDebuggerPresent.
• Técnica para parchear función: – Mov EAX.0
– Retn
Delay en su ejecución.
Protecciones Malware
![Page 39: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/39.jpg)
39 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Se encuentran varios emails de clientes que adjuntan PDFs.
Los equipos usan versiones vulnerables de Adobe Reader.
El pdf es ejecutado, se abre el PDF y además, ejecuta el binario incrustado.
CVE-2010-0188 (Adobe)
Los atacantes conocen la operativa interna de la empresa.
Vectores de Infección
![Page 40: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/40.jpg)
40 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
OSINT
![Page 41: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/41.jpg)
41 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Herramientas: – Maltego.
Objetivos: – Buscar información los dominios e IPs extraídas durante
el análisis.
– Dibujar mapa de Ips/Dominios.
– Buscar relaciones entre ellos.
OSINT (II)
![Page 42: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/42.jpg)
42 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Se encuentran referencias: – Sitios paste:
• Varias Ips pertencen a servers RPD vulnerados.
– Otros: • Servidores de terceros vulnerados.
• Diversos nicks (foros) relacionados con esas Ips.
– Blacklist • Varios dominios en listas negras de spam.
OSINT (III)
![Page 43: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/43.jpg)
43 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Conclusiones
Malware del tipo RAT, sin mucha sofisticación, que permite total acceso a los equipos infectados.
Vector de infección clásico: mediante la explotación de vulns en Adobe PDF. – PDF = Penetration Document Format ;-)
Conexiones a múltiples Ips/Dominios. – Usando estructuras ya vulneradas, al objeto de dificultar
su detección.
Sigue sorprendiendo la “facilidad” para evadir Avs.
![Page 44: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/44.jpg)
44 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Y recordad…
Cuidado con lo que abrimos !!
![Page 45: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/45.jpg)
45 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Francia
USA
UK
Ucrania
LÍNEAS DE INVESTIGACIÓN
![Page 46: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/46.jpg)
46 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
![Page 47: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/47.jpg)
47 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
CONEXIONES PROCEDENTESDE LOCUTORIOS EN ESPAÑA• Pfffff……. ¿y ahora que?
![Page 48: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/48.jpg)
48 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Posible amenaza aInfraestructura Crígca• Ataque Dirigido???• Espionaje???
Demos una oportunidad a lainvesggación tradicional
![Page 49: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/49.jpg)
49 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
![Page 50: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/50.jpg)
50 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Como monegzar el control deuna TELCO??• Anulación Facturas?• Cambio Tarifas?• Altas Fraudulentas?
Adquisición determinales
“subvencionados”
![Page 51: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/51.jpg)
51 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Primeros pasos
Cuantas Líneas se dieron dealta por ese “socio”
Terminales subvencionadospor ese “socio”
Listados de Llamadas
![Page 52: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/52.jpg)
52 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
• Tráfico Llamadas• Códigos IMEI vinculados a las SIM fraudulentas• Lugares de envío de tarjetas SIM “preacLvas”• Datos “clientes” y transacciones bancarias
ANÁLISIS DE LOS DATOS
LOCALIZACIÓN LUGARES ENTREGA
• Determinar:• Quién gana?• Cuánto gana?
TITULARES LINEAS 80X-‐90X
![Page 53: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/53.jpg)
53 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
![Page 54: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/54.jpg)
54 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
LOCUTORIOSVENTA SIM YTERMINALES
RECEPTORDINEROFRAUDE
![Page 55: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/55.jpg)
55 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
Conclusiones
Mismos Locutorios vinculados aL RAT
Lugar de Venta de las SIM
Titulares&Ingresos Líneas 80X-‐90X
……………oh oh!
![Page 56: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/56.jpg)
56 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
![Page 57: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/57.jpg)
57 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
ASÍN DE FACIL……
![Page 58: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/58.jpg)
58 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
![Page 59: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/59.jpg)
59 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
![Page 60: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/60.jpg)
60 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
…..otra vez hemos ganado !!
![Page 61: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/61.jpg)
61 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March
RESPONSABLE
INCIDENTE
INVESTIGACIÓN
TECNOLÓGICA
![Page 62: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/62.jpg)
PREGUNTAS??
![Page 63: Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es dinero [Rooted CON 2014]](https://reader033.fdocument.pub/reader033/viewer/2022060106/547c053bb37959652b8b4eba/html5/thumbnails/63.jpg)
gdt@no<ficaciones.guardiacivil.es
www.gdt.guardiacivil.es
Grupo de Delitos Telema<cos
@GDTGuardiaCivil
GrupoDelitosTelema<cos