Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es...

César Lorenzana

Javier Rodríguez

Grupo Delitos Telemá<cos (U.C.O.)

RootedCON V

Madrid, Marzo 2014

2 Rooted CON 2014 6-7-8 Marzo // 6-7-8 March

•  ¿Qué es el GDT? -‐ ¿Qué hacemos?

INTRODUCCIÓN

• Obje<vo •  Incidente • Resultados

Descripción del ataque

•  TTECNOLÓGICA vs TRADICIONAL

INVESTIGACIÓN

CONCLUSIONES


SÁTICOS

FraudeElectrónico

Malware

IntrusionesRobo IdenLdad


•  ParLculares•  Empresas

• GobiernosGesLón

Telecomunicaciones

•  España•  Europa•  América

PresenciaInternacional

•  Delegaciones -‐ Franquicias.•  Unas 30.000 estaciones de trabajo.•  VPNs, varios sites web, bases de datos,etc.

Infraestructura


Todo iba muy bien …

……….Hasta que un buen día


El Departamento de Altasrecibe un correo de unadelegación sobre datosde nuevos clientes


¿Y que se hace con un fichero adjunto víaemail, desde una dirección que no

conocemos, con un adjunto con extensiónpdf.exe con un icono muy raro?


Obviamente……

¡¡EJECUTARLO!!

….Es que el AV medice que está“limpio”….


¡¡¡¡¡¡¡ FAIL !!!!!!!


RESULTADOS ATAQUE


Análisis posible impacto en elISP• Daños sufridos??• Alta Líneas fraudulentas??• Modificación Facturación??

WTF???.......Tenemos un APT!!!


GDT……al rescate !!!


Obtención de evidencias


Adquisición memoriaRAM.•  Equipo encendido/apagado.

Clonado discos duros.• Clonadora.• DD (Duplicate Disk).

Clonado mediosexternos.• DD (Duplicate Disk). Obtención de pcap en

“vivo”.•  Swich -‐> Port Mirroring.

Obtención de evidencias


Análisis Memoria RAM


Se busca:

Procesos ocultos. Match de firmas. Etc

Herramientas usadas:

Volaglity. Yara Rules. Malfind

Volcado RAM máquinas Windows XP/7.

Análisis Memoria RAM (II)


  Descubrimiento en varias máquinas de proceso denominado “update”.

  Asociado a binario update.exe. –  Volcado binario.

Path: Archivos de Programa/update.exe

  Match yara rules.

  Resultando ser un malware comercial, identificado como Cibergate.

  ;-)

Resultados Análisis RAM


We feel like them !


Análisis PCAP


Se busca:

Conexiones entrantes/salientes. Match de firmas SNORT.

Herramientas.

Xplico/Networkminer Snort

Se analizan los pcaps obtenidos de los equipos.

Análisis PCAP


  Conexiones a múltiples dominios e Ips.

IPs y dominios de. –  Francia.

–  USA.

–  UK.

–  Ucrania.

–  Ninguno de España.

  Puerto 81/tcp.

Conexiones E/S PCAP


Análisis Disposi<vos Externos


  En general, memorias USB. –  No os podéis imaginar la de cosas que se conectan en

un ordenador. –  Extracción de IDs dispositivos conectados a los equipos.

•  setupapi.log •  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet

\Enum\USBSTOR

  Recuperación borrados. •  Encase •  Foremost.

  Conclusión: –  No se encuentra nada concluyente. –  Se descarta el vector vía USB.

Análisis Disposi<vos Externos


Eso sí…   No os podéis imaginar lo que conecta la gente al

ordenador !!


  Objetivos: –  Extraer muestras en HDs para su análisis.

•  Análisis estático. •  Análisis dinámico.

–  Detectar vector de infección.

  Herramientas: –  Virtualizador. –  Sysinternals Tools. –  GDT tools. –  OllyDBG. –  Otras.

Análisis HD´s


  Se extrae el binario. –  Archivos de Programa/update.exe –  P.E Windows. –  200 kb. –  Sin packer.

Crypter. –  Basado en Open Source Crypter.

  Análisis VT –  Match en 4/48 AVs. (Troyan Generic). –  “Casi” FUD.

Análisis HD´s


Crypter


  Herramienta del tipo RAT. –  Remote Administration Tool.

  Reverse connection.

  Inyección en procesos del SO.

Upload/Donwload ficheros.

Keylogger.

  Acceso a webcam.

Password recovery tools. –  Navegadores.

Caracterís<cas Malware


  Es capaz de evitar su ejecución en entornos virtualizados. –  Técnicas anti-detección VM.

  Es capaz de detectar debuggers. –  IsDebuggerPresent.

•  Técnica para parchear función: –  Mov EAX.0

–  Retn

Delay en su ejecución.

Protecciones Malware


  Se encuentran varios emails de clientes que adjuntan PDFs.

  Los equipos usan versiones vulnerables de Adobe Reader.

  El pdf es ejecutado, se abre el PDF y además, ejecuta el binario incrustado.

  CVE-2010-0188 (Adobe)

  Los atacantes conocen la operativa interna de la empresa.

Vectores de Infección


OSINT


  Herramientas: –  Maltego.

  Objetivos: –  Buscar información los dominios e IPs extraídas durante

el análisis.

–  Dibujar mapa de Ips/Dominios.

–  Buscar relaciones entre ellos.

OSINT (II)


  Se encuentran referencias: –  Sitios paste:

•  Varias Ips pertencen a servers RPD vulnerados.

–  Otros: •  Servidores de terceros vulnerados.

•  Diversos nicks (foros) relacionados con esas Ips.

–  Blacklist •  Varios dominios en listas negras de spam.

OSINT (III)


Conclusiones

  Malware del tipo RAT, sin mucha sofisticación, que permite total acceso a los equipos infectados.

  Vector de infección clásico: mediante la explotación de vulns en Adobe PDF. –  PDF = Penetration Document Format ;-)

  Conexiones a múltiples Ips/Dominios. –  Usando estructuras ya vulneradas, al objeto de dificultar

su detección.

  Sigue sorprendiendo la “facilidad” para evadir Avs.


Y recordad…

  Cuidado con lo que abrimos !!


Francia

USA

UK

Ucrania

LÍNEAS DE INVESTIGACIÓN


CONEXIONES PROCEDENTESDE LOCUTORIOS EN ESPAÑA• Pfffff……. ¿y ahora que?


Posible amenaza aInfraestructura Crígca• Ataque Dirigido???• Espionaje???

Demos una oportunidad a lainvesggación tradicional


Como monegzar el control deuna TELCO??• Anulación Facturas?• Cambio Tarifas?• Altas Fraudulentas?

Adquisición determinales

“subvencionados”


Primeros pasos

Cuantas Líneas se dieron dealta por ese “socio”

Terminales subvencionadospor ese “socio”

Listados de Llamadas


• Tráfico Llamadas• Códigos IMEI vinculados a las SIM fraudulentas•  Lugares de envío de tarjetas SIM “preacLvas”• Datos “clientes” y transacciones bancarias

ANÁLISIS DE LOS DATOS

LOCALIZACIÓN LUGARES ENTREGA

• Determinar:• Quién gana?• Cuánto gana?

TITULARES LINEAS 80X-‐90X


LOCUTORIOSVENTA SIM YTERMINALES

RECEPTORDINEROFRAUDE


Conclusiones

Mismos Locutorios vinculados aL RAT

Lugar de Venta de las SIM

Titulares&Ingresos Líneas 80X-‐90X

……………oh oh!


ASÍN DE FACIL……


…..otra vez hemos ganado !!


RESPONSABLE

INCIDENTE

INVESTIGACIÓN

TECNOLÓGICA

PREGUNTAS??

gdt@no<ficaciones.guardiacivil.es

www.gdt.guardiacivil.es

Grupo de Delitos Telema<cos

@GDTGuardiaCivil

GrupoDelitosTelema<cos

Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es...

Technology

Transcript of Cesar Lorenzana & Javier Rodríguez – Por qué lo llaman APT´s, cuando lo que quieren decir es...