César Lorenzana

Javier Rodríguez

Grupo Delitos Telemá<cos (U.C.O.)

RootedCON V

Madrid, Marzo 2014

2 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

•  ¿Qué es el GDT? -­‐ ¿Qué hacemos?

INTRODUCCIÓN

• Obje<vo •  Incidente • Resultados

Descripción del ataque

•  TTECNOLÓGICA vs TRADICIONAL

INVESTIGACIÓN

CONCLUSIONES

3 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

4 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

SÁTICOS

FraudeElectrónico

Malware

IntrusionesRobo IdenLdad

5 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

6 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

7 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

•  ParLculares•  Empresas

• GobiernosGesLón

Telecomunicaciones

•  España•  Europa•  América

PresenciaInternacional

•  Delegaciones -­‐ Franquicias.•  Unas 30.000 estaciones de trabajo.•  VPNs, varios sites web, bases de datos,etc.

Infraestructura

8 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Todo iba muy bien …

……….Hasta que un buen día

9 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

El Departamento de Altasrecibe un correo de unadelegación sobre datosde nuevos clientes

10 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

¿Y que se hace con un fichero adjunto víaemail, desde una dirección que no

conocemos, con un adjunto con extensiónpdf.exe con un icono muy raro?

11 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Obviamente……

¡¡EJECUTARLO!!

….Es que el AV medice que está“limpio”….

12 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

¡¡¡¡¡¡¡ FAIL !!!!!!!

13 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

14 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

15 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

RESULTADOS ATAQUE

16 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

17 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

18 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

19 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

20 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Análisis posible impacto en elISP• Daños sufridos??• Alta Líneas fraudulentas??• Modificación Facturación??

WTF???.......Tenemos un APT!!!

21 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

GDT……al rescate !!!

22 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Obtención de evidencias

23 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Adquisición memoriaRAM.•  Equipo encendido/apagado.

Clonado discos duros.• Clonadora.• DD (Duplicate Disk).

Clonado mediosexternos.• DD (Duplicate Disk). Obtención de pcap en

“vivo”.•  Swich -­‐> Port Mirroring.

Obtención de evidencias

24 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Análisis Memoria RAM

25 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Se busca:

Procesos ocultos. Match de firmas. Etc

Herramientas usadas:

Volaglity. Yara Rules. Malfind

Volcado RAM máquinas Windows XP/7.

Análisis Memoria RAM (II)

26 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

  Descubrimiento en varias máquinas de proceso denominado “update”.

  Asociado a binario update.exe. –  Volcado binario.

Path: Archivos de Programa/update.exe

  Match yara rules.

  Resultando ser un malware comercial, identificado como Cibergate.

  ;-)

Resultados Análisis RAM

27 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

We feel like them !

28 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Análisis PCAP

29 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Se busca:

Conexiones entrantes/salientes. Match de firmas SNORT.

Herramientas.

Xplico/Networkminer Snort

Se analizan los pcaps obtenidos de los equipos.

Análisis PCAP

30 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

  Conexiones a múltiples dominios e Ips.

IPs y dominios de. –  Francia.

–  USA.

–  UK.

–  Ucrania.

–  Ninguno de España.

  Puerto 81/tcp.

Conexiones E/S PCAP

31 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Análisis Disposi<vos Externos

32 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

  En general, memorias USB. –  No os podéis imaginar la de cosas que se conectan en

un ordenador. –  Extracción de IDs dispositivos conectados a los equipos.

•  setupapi.log •  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Enum\USBSTOR

  Recuperación borrados. •  Encase •  Foremost.

  Conclusión: –  No se encuentra nada concluyente. –  Se descarta el vector vía USB.

Análisis Disposi<vos Externos

33 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Eso sí…   No os podéis imaginar lo que conecta la gente al

ordenador !!

34 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

  Objetivos: –  Extraer muestras en HDs para su análisis.

•  Análisis estático. •  Análisis dinámico.

–  Detectar vector de infección.

  Herramientas: –  Virtualizador. –  Sysinternals Tools. –  GDT tools. –  OllyDBG. –  Otras.

Análisis HD´s

35 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

  Se extrae el binario. –  Archivos de Programa/update.exe –  P.E Windows. –  200 kb. –  Sin packer.

Crypter. –  Basado en Open Source Crypter.

  Análisis VT –  Match en 4/48 AVs. (Troyan Generic). –  “Casi” FUD.

Análisis HD´s

36 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Crypter

37 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

  Herramienta del tipo RAT. –  Remote Administration Tool.

  Reverse connection.

  Inyección en procesos del SO.

Upload/Donwload ficheros.

Keylogger.

  Acceso a webcam.

Password recovery tools. –  Navegadores.

Caracterís<cas Malware

38 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

  Es capaz de evitar su ejecución en entornos virtualizados. –  Técnicas anti-detección VM.

  Es capaz de detectar debuggers. –  IsDebuggerPresent.

•  Técnica para parchear función: –  Mov EAX.0

–  Retn

Delay en su ejecución.

Protecciones Malware

39 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

  Se encuentran varios emails de clientes que adjuntan PDFs.

  Los equipos usan versiones vulnerables de Adobe Reader.

  El pdf es ejecutado, se abre el PDF y además, ejecuta el binario incrustado.

  CVE-2010-0188 (Adobe)

  Los atacantes conocen la operativa interna de la empresa.

Vectores de Infección

40 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

OSINT

41 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

  Herramientas: –  Maltego.

  Objetivos: –  Buscar información los dominios e IPs extraídas durante

el análisis.

–  Dibujar mapa de Ips/Dominios.

–  Buscar relaciones entre ellos.

OSINT (II)

42 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

  Se encuentran referencias: –  Sitios paste:

•  Varias Ips pertencen a servers RPD vulnerados.

–  Otros: •  Servidores de terceros vulnerados.

•  Diversos nicks (foros) relacionados con esas Ips.

–  Blacklist •  Varios dominios en listas negras de spam.

OSINT (III)

43 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Conclusiones

  Malware del tipo RAT, sin mucha sofisticación, que permite total acceso a los equipos infectados.

  Vector de infección clásico: mediante la explotación de vulns en Adobe PDF. –  PDF = Penetration Document Format ;-)

  Conexiones a múltiples Ips/Dominios. –  Usando estructuras ya vulneradas, al objeto de dificultar

su detección.

  Sigue sorprendiendo la “facilidad” para evadir Avs.

44 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Y recordad…

  Cuidado con lo que abrimos !!

45 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Francia

USA

UK

Ucrania

LÍNEAS DE INVESTIGACIÓN

46 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

47 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

CONEXIONES PROCEDENTESDE LOCUTORIOS EN ESPAÑA• Pfffff……. ¿y ahora que?

48 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Posible amenaza aInfraestructura Crígca• Ataque Dirigido???• Espionaje???

Demos una oportunidad a lainvesggación tradicional

49 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

50 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Como monegzar el control deuna TELCO??• Anulación Facturas?• Cambio Tarifas?• Altas Fraudulentas?

Adquisición determinales

“subvencionados”

51 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Primeros pasos

Cuantas Líneas se dieron dealta por ese “socio”

Terminales subvencionadospor ese “socio”

Listados de Llamadas

52 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

• Tráfico Llamadas• Códigos IMEI vinculados a las SIM fraudulentas•  Lugares de envío de tarjetas SIM “preacLvas”• Datos “clientes” y transacciones bancarias

ANÁLISIS DE LOS DATOS

LOCALIZACIÓN LUGARES ENTREGA

• Determinar:• Quién gana?• Cuánto gana?

TITULARES LINEAS 80X-­‐90X

53 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

54 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

LOCUTORIOSVENTA SIM YTERMINALES

RECEPTORDINEROFRAUDE

55 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

Conclusiones

Mismos Locutorios vinculados aL RAT

Lugar de Venta de las SIM

Titulares&Ingresos Líneas 80X-­‐90X

……………oh oh!

56 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

57 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

ASÍN DE FACIL……

58 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

59 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

60 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

…..otra vez hemos ganado !!

61 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

RESPONSABLE

INCIDENTE

INVESTIGACIÓN

TECNOLÓGICA

PREGUNTAS??

gdt@no<ficaciones.guardiacivil.es

www.gdt.guardiacivil.es

Grupo de Delitos Telema<cos

@GDTGuardiaCivil

GrupoDelitosTelema<cos