ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades...
Transcript of ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades...
![Page 1: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/1.jpg)
![Page 2: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/2.jpg)
ABOUT:
• Security researcher • Crazy Drummer
![Page 3: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/3.jpg)
ANTES
![Page 4: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/4.jpg)
AHORA
![Page 5: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/5.jpg)
NEWS
![Page 6: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/6.jpg)
NEWS
![Page 7: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/7.jpg)
NEWS
![Page 8: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/8.jpg)
NEWS
![Page 9: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/9.jpg)
NEWS
https://www.youtube.com/watch?v=ZX8aN70stE0#t=4
![Page 10: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/10.jpg)
CARACTERÍSTICAS DE STUXNET
El uso de vulnerabilidades desconocidas hasta el momento para difundirse
• Stuxnet usaba 4 0day no conocidos. • Era eficaz contra sistema operativo Windows desde 2000 hasta Windows 7
El uso inteligente combinando las vulnerabilidades
• Algunas de las vulnerabilidades dejaban activo el autoRUN. • Otra vulnerabilidad tenía elevación de privilegios
Uso de certificados válidos
• Stuxnet llevaba un certiticado de Realtek válido
![Page 11: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/11.jpg)
DUQU
![Page 12: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/12.jpg)
CARACTERÍSTICAS DE DUQU
Finalidad de Duqu
• Instalar un Keylogguer en el sistema • Se comporta como una botnet tradicional, comunicandose via HTTP y HTTPS • El envío de información es disfrazado con envío de ficheros JPG a un C&C alojado en INDIA • A los 36 días, el troyano se eliminaba a si mismo • Venía firmado con certficados C-MEDIA • Se encontró en no mas de 100 equipos
![Page 13: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/13.jpg)
FLAME
![Page 14: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/14.jpg)
CARACTERÍSTICAS DE FLAME
Finalidad de Flame
• Instalar un Keylogguer en el sistema = que Duqu • Relacionado con el Medio Oriente • Capacidad de comunicación vía Bluetooth • Capacidad de capturar pantallas cuando están en ejecución ciertas aplicaciones (IM,) • A diferencia de Duqu y Stuxnet que pesaban unos 500 MB, Flame con plugins unos 20 MB • Se encontró en no mas de 100 equipos
![Page 15: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/15.jpg)
CAMBIO DE TENDENCIA
• Mafia tradicional al uso
![Page 16: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/16.jpg)
CAMBIO DE TENDENCIA
• Nuevo concepto, “Fraud as a service” • Definición de nuevos roles
• Los mas malos
![Page 17: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/17.jpg)
Ejemplos de campañas
![Page 18: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/18.jpg)
OBJETIVOS DE LA INFECCIÓN
• Meternos en una botnet
• DDoS • Distribución de binarios • Envío masivo de SPAM • Punto de entrada hacia un ataque mas grande • Uso de proxy para la navegación • Alojamiento de contenidos • Minar Bitcoins
![Page 19: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/19.jpg)
”NUEVAS” VÍAS DE INFECCIÓN
• Infección en Smartphone
• La adopción masiva de Smartphone • La cantidad distinta de versiones • Markets alternativos • Combinación de toolkits
![Page 20: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/20.jpg)
”NUEVAS” VÍAS DE INFECCIÓN
• Funciones y a medida
![Page 21: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/21.jpg)
CAMBIO DE INFRAESTRUCTURAS
![Page 22: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/22.jpg)
CAMBIO DE INFRAESTRUCTURAS
![Page 23: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/23.jpg)
NUEVAS ESTRUCTURAS
![Page 24: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/24.jpg)
NUEVAS ESTRUCTURAS
![Page 25: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/25.jpg)
HERRAMIENTAS
![Page 26: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/26.jpg)
BLOQUEO DE EMPRESAS
![Page 27: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/27.jpg)
DNS PASIVO
![Page 28: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/28.jpg)
VÍAS DE INFECCIÓN
![Page 29: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/29.jpg)
VÍAS DE INFECCIÓN
![Page 30: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/30.jpg)
ESQUEMAS DE FRAUDE
![Page 31: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/31.jpg)
¿PHISHING 2.0?
![Page 32: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/32.jpg)
RANSOMWARE
![Page 33: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/33.jpg)
RANSOMWARE
![Page 34: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/34.jpg)
RANSOMWARE
*.odt, *.ods, *.odp, *.odm, *.odc, *.odb, *.doc, *.docx, *.docm, *.wps, *.xls, *.xlsx, *.xlsm, *.xlsb, *.xlk, *.ppt, *.pptx, *.pptm, *.mdb, *.accdb, *.pst, *.dwg, *.dxf, *.dxg, *.wpd, *.rtf, *.wb2, *.mdf, *.dbf, *.psd, *.pdd, *.pdf, *.eps, *.ai, *.indd, *.cdr, *.jpg, *.jpe, img_*.jpg, *.dng, *.3fr, *.arw, *.srf, *.sr2, *.bay, *.crw, *.cr2, *.dcr, *.kdc, *.erf, *.mef, *.mrw, *.nef, *.nrw, *.orf, *.raf, *.raw, *.rwl, *.rw2, *.r3d, *.ptx, *.pef, *.srw, *.x3f, *.der, *.cer, *.crt, *.pem, *.pfx, *.p12, *.p7b, *.p7c.
![Page 35: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/35.jpg)
RANSOMWARE
![Page 36: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/36.jpg)
RANSOMWARE
![Page 37: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/37.jpg)
MAN IN THE BROWSER
![Page 38: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/38.jpg)
ECRIME TEAM
![Page 39: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/39.jpg)
AUDITOR
Skills: • Penetration testing • Web application Hacking | Advanced • Scripting • Know how about networking protocols
![Page 40: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/40.jpg)
AUDITOR
![Page 41: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/41.jpg)
INGENIERÍA INVERSA
• Unpacking manual • Ingeniería inversa de protocolo • Ingeniería inversa de rutinas y subrutinas • Extracción de DGA’s
YO =>
![Page 42: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/42.jpg)
ANALISTA DE MALWARE
• Know how operating systems • Protocolos de red • API • Herramientas de análisis • Análisis forense
![Page 43: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/43.jpg)
ANALISTA DE INTELIGENCIA
• Técnicas OSINT • Data analysis • Manejo de SIEM • Timeline de información
![Page 44: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/44.jpg)
RECURSOS
![Page 45: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/45.jpg)
RECURSOS
![Page 46: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/46.jpg)
RECURSOS
![Page 47: ABOUT - OWASP · 2021. 3. 9. · CARACTERÍSTICAS DE STUXNET El uso de vulnerabilidades desconocidas hasta el momento para difundirse • Stuxnet usaba 4 0day no conocidos. • Era](https://reader035.fdocuments.co/reader035/viewer/2022070216/611ca5509637287db279f4ec/html5/thumbnails/47.jpg)
RECURSOS