HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software...
-
Upload
nguyenngoc -
Category
Documents
-
view
219 -
download
2
Transcript of HISTORIA DE UNA EXTORSIÓN · · 2014-10-21importantes y Reconocidos ... •Dispositivos software...
HISTORIA DE UNA
EXTORSIÓN
César Lorenzana González / Javier Rodríguez
Guardia Civil
Grupo Delitos Telemáticos (U.C.O.) NcN2012
DROGAS
DELINCUENCIA
ORGANIZADA
DELINCUENCIA
ECONÓMICA
GRUPO DELITOS
TELEMÁTICOS
GRUPO
APOYO
U,s TERRRITORIALES
U.O.P.J. (EDITE,s)
JEFATURA DE
POLICÍA JUDICIAL
JEFATURA DE
POLICÍA JUDICIAL
LABORATORIO
CRIMINALÍSTICA UNIDAD CENTRAL
OPERATIVA
SECCIÓN
DELINCUENCIA
ESPECIALIZADA
LA GUARDIA y LOS DELITOS TECNOLÓGICOS.
UNIDAD
TÉCNICA
SERVICIO DE
INFORMACIÓN
GRUPO DE
CIBERTERRORISMO
DEPARTAMENTO
DE ELECTRÓNICA
E INFORMÁTICA
JEFATURA DE
INFORMACIÓN
GRUPO DELITOS
TELEMÁTICOS
AREA INVESTIGACIÓN
EQUIPO 1
EQUIPO 2
EQUIPO 3
AREA TÉCNICA
I + D + I
SOPORTE
PLANA MAYOR
CONVENIO DE CIBERDELINCUENCIA
Budapest, 23 de noviembre de 2001
Aquellos cuyo objeto o instrumento del delito son
los datos o sistemas informáticos.
DELITO INFORMÁTICO
“'Todo el arte de la guerra se basa en el engaño”
• Aplicaciones
• Servicios
• Conectividad
Desarrollo de software.
• España
• Europa
• América Latina
Tamaño mediano.
• Gran facturación
• Por el nicho de mercado que ocupa (Comunicaciones).
Clientes importantes y Reconocidos
• Dos CPDs.
• Unas 300 estaciones de trabajo.
• VPNs, varios sites web, bases de datos, etc. Infraestructura.
Todo iba muy bien …
……….Hasta que un buen día
El Departamento Comercial recibe un email, del que parece ser un cliente, que
además adjunta un fichero, supuestamente con varias dudas
comerciales.
¿Y que se hace con un fichero adjunto vía email, desde una dirección que no
conocemos, con un adjunto con extensión pdf.exe con un icono muy raro?
Obviamente……
¡¡¡EJECUTARLO !!!
….Es que el AV me dice que está
“limpio”….
¡¡¡¡¡¡¡ FAIL !!!!!!!
Una nueva historia de un APT...
Extorsión
GDT al rescate……!!!
Están desesperados Están desesperados
No saben que hacer No saben que hacer
Están muy desesperados Están muy desesperados
Realmente, no tienen ni idea de que ha pasado Realmente, no tienen ni idea de que ha pasado
Por curiosidad, se hecha un vistazo a sus sites web.
• 5 SQL-i en 5 sites distintos.
• 2 XSS (uno persistente) en su web principal.
• User/pass SSH…(hasta aquí podemos leer..).
Con esto nos hacemos una idea de que nos vamos a encontrar.
Una vez desplazado el GDT a la Sede Central de la Empresa…
• El CEO ha recibido más emails, el atacante ha tenido acceso a su correo personal.
• El CEO y otros directos, sospechan que sus equipos personales han sido vulnerados.
Una vez desplazado el GDT a la Sede Central de la Empresa…
• El CEO ha recibido más emails, el atacante ha tenido acceso a su correo personal.
• El CEO y otros directos, sospechan que sus equipos personales han sido vulnerados.
Están pasando por el momento psicosis.
Están pasando por el momento psicosis.
La estimación de pérdidas, era millonaria.
Se trataba de un proyecto de I+D muy importante.
Al CEO se le comunica que, una empresa de la competencia, ha recibido un email desde SU dirección
corporativa, que contiene información comercial confidencial.
Se recibe un nuevo email, a la cuenta del CEO
• Atancante pide dinero.
• Atacante amenaza con destruir la infraestructura informática de la empresa.
• Atacante amenaza con publicar información confidencial de la empresa.
Se recibe un nuevo email, a la cuenta del CEO
• Atancante pide dinero.
• Atacante amenaza con destruir la infraestructura informática de la empresa.
• Atacante amenaza con publicar información confidencial de la empresa.
El CEO y el consejo de la empresa, al borde del
colapso mental.
El CEO y el consejo de la empresa, al borde del
colapso mental.
Conclusiones
Acceso total a la infraestructura de la empresa. Acceso total a la infraestructura de la empresa.
Control de mails corporativos. Control de mails corporativos.
Control de Servidores con información crítica. Control de Servidores con información crítica.
La empresa ya no era del CEO, era del intruso. La empresa ya no era del CEO, era del intruso.
Y respecto a la seguridad.. Y respecto a la seguridad..
Conclusiones
Carencia de personal formado en seguridad. Carencia de personal formado en seguridad.
Carencia de plan de respuesta ante incidencias informáticas.
Carencia de plan de respuesta ante incidencias informáticas.
Nula concienciación sobre seguridad informática Nula concienciación sobre seguridad informática
Por tanto:
• Ausencia de medidas activas de seguridad.
• Ni integridad, ni confidencialidad, ni disponibilidad.
Por tanto:
• Ausencia de medidas activas de seguridad.
• Ni integridad, ni confidencialidad, ni disponibilidad.
Eso sí, ……..cumplían la UNE-ISO/IEC 27001
¿?¿?
Primeras gestiones
Se les recomienda un bastionado básico de sus sistemas.
Se proponen medidas para mitigar, en lo posible, nuevos
accesos no autorizados.
Contratar experto en seguridad informática,……..que en España
hay muchos y muy buenos.
• Denuncia (amenazas, injurias, estafas, …)
• Oficio (pornografía infantil, apologías racismo y xenofobia, …)
• Problemática:
• Desistimiento por imagen corporativa o desconfianza judicial.
• Cuantificación daños (auditorías externas)
CONOCIMIENTO DEL DELITO
VERIFICACIÓN DE LOS HECHOS (denuncia falsa)
• Problemática:
• Contenidos dinámicos (web, foros, blogs, …)
• Copias impresas de correos electrónicos
COPIA DE CONTENIDOS
Lo han formateado todo Aún así, se realiza algún volcado. Aún así, se realiza algún volcado.
Logs Entrega logs servidores. Entrega logs servidores.
Binario Entrega mail y binario. Entrega mail y binario.
Emails Entrega emails extorsión. Entrega emails extorsión.
Petición de evidencias
• Análisis de evidencias
• Búsqueda de información y referencias identificativas
• Resolución de “datos de tráfico”
INVESTIGACIÓN TECNOLÓGICA
• Identificación y localización
• Vigilancias
• Interceptación de telecomunicaciones
• Análisis Documental
Ó
Á
Bypass AVs Bypass AVs
El binario evade la detección de Avs
• Reconocer malware mediante firma conocida.
• Binario debe ser conocido por AV.
ScanTime:
• Reconocer malware mediante heurística.
• AVs realizan hooking de APIs conocidas.
• AVs ejecutan binario en sandbox propia.
RunTime:
Análisis técnico-policial
• Estático = Características del P.E.
• Dinámico = Muestra en “vivo”.
Estático vs Dinámico Estático vs Dinámico
Análisis técnico-policial (ESTÁTICO)
• ¿Cómo está hecho?.
• ¿Qué puede hacer?.
• ¿Cómo lo hace?.
Un primer acercamiento al binario.
• Empaquetado.
• Técnicas antidebug.
• Ofuscación strings.
• Ninja skills.
Principales “problemas”:
Análisis técnico-policial (ESTÁTICO)
• ¿Cómo está hecho?.
• ¿Qué puede hacer?.
• ¿Cómo lo hace?.
Un primer acercamiento al binario.
• Empaquetado.
• Técnicas antidebug.
• Ofuscación strings.
• Ninja skills.
Principales “problemas”:
• 00h = Cabecera. // Mark Zbikowski
• 024h = EntryPoint *
• 00h = Cabecera. // Mark Zbikowski
• 024h = EntryPoint *
Header
• .text.
• .data.
• .bss.
• .text.
• .data.
• .bss.
Sections:
Análisis técnico-policial (ESTÁTICO)
Análisis técnico-policial (ESTÁTICO)
NO packer
NO ofuscación.
Análisis técnico-policial (ESTÁTICO)
No parece estar empaquetado (¿?). No parece estar empaquetado (¿?).
• C:\Archivos de programa\Microsoft Visual Studio\VB98\VB6.OLB
• cmSocket
• cmSocket_CloseSck
• cmSocket_Connect
• cmSocket_ConnectionRequest
• cmSocket_SendProgress
• RemotePort
• RemoteHost
• RemoteHostIP
• URLDownloadToFileA
• GetCurrentProcess
Strings de posible interés: Strings de posible interés:
Análisis técnico-policial (ESTÁTICO)
Header // Sections
Header // Sections
Dependencias
Al estar realizado en VB, es posible su descompilado.
• Se trata de un RAT.
• Simula ser un software de gestión de conexiones a una BD.
• El engaño al AV es realmente burdo, pero efectivo.
El estudio del código no es relevante para la investigación, pero sí aporta nuevos datos.
Descompilado
Análisis técnico-policial (DINÁMICO)
• Laboratorio de VMs.
• Laboratorio equipos “físicos”.
Entorno controlado para pruebas.
• Análisis automático vs manual.
• Detección VMs.
• Detección software forense.
• Ninja skills.
Principales “problemas”.
Ollydbg
Análisis técnico-policial (DINÁMICO)
En definitiva, infección tradicional.
Crea un fichero tmp.
Modifica estado de Firewall.
Modifica Registro
Key \\Registry\\USER\.... Key \\Registry\\USER\.... Key \\REGISTRY\\MACHINE\\... Key \\REGISTRY\\MACHINE\\...
Crea un mutex.
Crea un proceso nuevo, llamado winx.exe
Realiza una query DNS a un dominio en concreto. (no-ip.org). Realiza una query DNS a un dominio en concreto. (no-ip.org).
• Envía datos fichero en tmp.
• Establece conexión tcp -> Puerto 81.
Si hay respuesta Si hay respuesta
• No actividad de red.
Si no hay respuesta Si no hay respuesta
Análisis técnico-policial (DINÁMICO-CONEXIONES)
Teorías: Atacante accede a
binario. Atacante accede a
binario. Atacante “husmea” a
su objetivo. Atacante “husmea” a
su objetivo. OWNEADO EL
GDT????? OWNEADO EL
GDT????? SALIÓ
CORRIENDO ??? SALIÓ
CORRIENDO ???
Típico comportamiento RAT
Varias IPs realizan NUEVAS conexiones, para acceso al equipo que analizaba la muestra.
EL SUCESO
WTF????
EVIDENCIAS
IPs cabeceras correos electrónicos. IPs cabeceras correos electrónicos.
IPs conexión binario
• Entrantes.
• Salientes.
IPs conexión binario
• Entrantes.
• Salientes.
Logs de servidores. Logs de servidores.
Las primeras teorías sobre el “atacante”.. Las primeras teorías sobre el “atacante”..
Un breve tiempo después..
Se refuerzan las teorías sobre el posible atacante.
La empresa nos avisa.
URL apuntando a un binario.
Simula ser spam.
Se recibe un email en la empresa, de un ex trabajador.
Estudio de la URL Estudio de la URL
URL a servidor fuera de España.
Servidor en blacklist, por posible distribución de malware.
El binario ya no se encontraba cuando accedimos al server.
Posible servidor vulnerado.
Nueva evidencia: URL
Resolución de IPs Resolución de IPs
• Casualidad????……….
• ex trabajador vive en esa zona.
Las distintas IPs apuntan a una zona concreta de España.
• Gestiones operativas.
• Consulta bases de datos policiales.
• Elaboración de un plan de actuación.
La importancia de la investigación policial clásica.
WiFi
Escenario
¿Qué hay en la zona?.
• Wifis “inseguras”.
• Dispositivos conectados.
¿Qué hay en la zona?.
• Wifis “inseguras”.
• Dispositivos conectados.
Tareas operativas.
• Domicilios.
• ¿Coincide el perfil del atacante con los perfiles de los titulares ADSL?.
Paquetes Críticos IEEE 802.11
• Sincronización AP Beacons
• Cliente busca APs conocidos. Probe Request
• Respuesta AP a Probe Request. Probe Response
• Cliente anuncia conexión a AP. Association Request
• SI/NO AP a cliente Aso. Request. Association Respons
• AP “desconecta” clientes Disassociation
• Autenticación Cliente - APs Authentication
• AP elimina conexión cliente. Deauthentication
Three Way Handsake
• Definido en los RFC.
• ¿Cuántos clientes peticionan dos o más redes?.
• ¿Cuántos clientes peticionan dos o más redes de la zona?
Estudio de los Probe Request de los clientes. Estudio de los Probe Request de los clientes.
Entonces..¿como lo analizamos?
Estudio de las Asociaciones de clientes – AP.
• ¿Qué clientes están conectados a un AP?.
Comparamos:
• Partimos de la base de un AP por domicilio.
• ¿MAC del cliente conocido por titular ADSL?.
Análisis IEEE 802.11
Resultados
Varias MAC se conectan a los APs identificados en mandamientos judiciales. Varias MAC se conectan a los APs identificados en mandamientos judiciales.
Estas MACs, no son de dispositivos conocidos por los titulares ADSL. Estas MACs, no son de dispositivos conocidos por los titulares ADSL.
Una de MACs está vinculada a todos los AP´s investigados……………………………..y a otro más Una de MACs está vinculada a todos los AP´s investigados……………………………..y a otro más
……………DOMICILIO EX-TRABAJADOR ……………DOMICILIO EX-TRABAJADOR
Joer que buenos somos !!
Intervención de dispositivos
informáticos.
Obtención de indicios que
vinculen equipo y usuario
CLONADO
EQUIPOS
DISPOSITIVOS
PRECINTO
INTEGRIDAD
• Dispositivos Hardware (logicube, Image master, …)
• Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, …)
¿CÓMO?
• Juzgado
• Sede policial
• Domicilio del sospechoso
¿DÓNDE?
• Durante el registro
• A la finalización del registro
• En los días siguientes
¿CUÁNDO?
METODOLOGÍA EXPERIENCIA ANALISIS
DATO INFORMÁTICO
HECHO DELICTIVO
USUARIO
RELACIÓN DIRECTA
DEDUCCIÓN
Proceso documentado de localización, identificación
e interpretación de todos los datos y archivos
informáticos que se relacionan con un hecho
concreto investigado y con la autoría de un usuario.
¿Que nos encontramos?
Dos VMWARE ESXi, con 15 máquinas virtuales.
Un servidor FreeBSD (Apache).
Tres equipos portátiles (Windows // Linux).
Cuatro teléfonos móviles.
Documentación sobre desarrollo malware.
•El que más nos gustó, desarrollo bootkits.
La Oficina
Las Herramientas
Aparece en un HD externo información confidencial de
la empresa.
Aparecen copias de los mails enviados al CEO.
Dos de sus equipos portátiles coinciden con las MAC del
estudio 802.11.
La Primera en al FRENTE…
…..que buenos somos !!
¡¡¡¡Otra Vez!!!!
DATO INFORMÁTICO
HECHO DELICTIVO RELACIÓN DIRECTA
Datos en el PC
• En un documento, aparecen referencias a la URL que, simulando ser spam y apuntado a un binario, envió a la empresa.
• No aparece ningún binario.
• Pero sí archivos con los pass de las wifis de sus vecinos.
DATO INFORMÁTICO
USUARIODEDUCCIÓN
Manifestación Detenido
• El ex trabajador reconoce los hechos.
• El binario lo borró, nunca apareció.
• ¿Su motivación?.
• Diferencias con el CEO.
• Dinero.
…..esta vez hemos ganado !!
Si es cierto….
ANÁLISIS ON-LINE
INFORME TÉCNICO POLICIAL
ANÁLISIS FORENSE
ESFUERZO
EFICACIA
Equipos informáticos intervenidos
Backups o copias de ficheros de información
Dispositivos de almacenamiento
Documentación intervenida
Descripción evidencias
electrónicas
Traducción del lenguaje técnico
PREGUNTAS……