HISTORIA DE UNA

EXTORSIÓN

César Lorenzana González / Javier Rodríguez

Guardia Civil

Grupo Delitos Telemáticos (U.C.O.) NcN2012

DROGAS

DELINCUENCIA

ORGANIZADA

DELINCUENCIA

ECONÓMICA

GRUPO DELITOS

TELEMÁTICOS

GRUPO

APOYO

U,s TERRRITORIALES

U.O.P.J. (EDITE,s)

JEFATURA DE

POLICÍA JUDICIAL

JEFATURA DE

POLICÍA JUDICIAL

LABORATORIO

CRIMINALÍSTICA UNIDAD CENTRAL

OPERATIVA

SECCIÓN

DELINCUENCIA

ESPECIALIZADA

LA GUARDIA y LOS DELITOS TECNOLÓGICOS.

UNIDAD

TÉCNICA

SERVICIO DE

INFORMACIÓN

GRUPO DE

CIBERTERRORISMO

DEPARTAMENTO

DE ELECTRÓNICA

E INFORMÁTICA

JEFATURA DE

INFORMACIÓN

GRUPO DELITOS

TELEMÁTICOS

AREA INVESTIGACIÓN

EQUIPO 1

EQUIPO 2

EQUIPO 3

AREA TÉCNICA

I + D + I

SOPORTE

PLANA MAYOR

CONVENIO DE CIBERDELINCUENCIA

Budapest, 23 de noviembre de 2001

Aquellos cuyo objeto o instrumento del delito son

los datos o sistemas informáticos.

DELITO INFORMÁTICO

“'Todo el arte de la guerra se basa en el engaño”

• Aplicaciones

• Servicios

• Conectividad

Desarrollo de software.

• España

• Europa

• América Latina

Tamaño mediano.

• Gran facturación

• Por el nicho de mercado que ocupa (Comunicaciones).

Clientes importantes y Reconocidos

• Dos CPDs.

• Unas 300 estaciones de trabajo.

• VPNs, varios sites web, bases de datos, etc. Infraestructura.

Todo iba muy bien …

……….Hasta que un buen día

El Departamento Comercial recibe un email, del que parece ser un cliente, que

además adjunta un fichero, supuestamente con varias dudas

comerciales.

¿Y que se hace con un fichero adjunto vía email, desde una dirección que no

conocemos, con un adjunto con extensión pdf.exe con un icono muy raro?

Obviamente……

¡¡¡EJECUTARLO !!!

….Es que el AV me dice que está

“limpio”….

¡¡¡¡¡¡¡ FAIL !!!!!!!

Una nueva historia de un APT...

Extorsión

GDT al rescate……!!!

Están desesperados Están desesperados

No saben que hacer No saben que hacer

Están muy desesperados Están muy desesperados

Realmente, no tienen ni idea de que ha pasado Realmente, no tienen ni idea de que ha pasado

Por curiosidad, se hecha un vistazo a sus sites web.

• 5 SQL-i en 5 sites distintos.

• 2 XSS (uno persistente) en su web principal.

• User/pass SSH…(hasta aquí podemos leer..).

Con esto nos hacemos una idea de que nos vamos a encontrar.

Una vez desplazado el GDT a la Sede Central de la Empresa…

• El CEO ha recibido más emails, el atacante ha tenido acceso a su correo personal.

• El CEO y otros directos, sospechan que sus equipos personales han sido vulnerados.

Una vez desplazado el GDT a la Sede Central de la Empresa…

• El CEO ha recibido más emails, el atacante ha tenido acceso a su correo personal.

• El CEO y otros directos, sospechan que sus equipos personales han sido vulnerados.

Están pasando por el momento psicosis.

Están pasando por el momento psicosis.

La estimación de pérdidas, era millonaria.

Se trataba de un proyecto de I+D muy importante.

Al CEO se le comunica que, una empresa de la competencia, ha recibido un email desde SU dirección

corporativa, que contiene información comercial confidencial.

Se recibe un nuevo email, a la cuenta del CEO

• Atancante pide dinero.

• Atacante amenaza con destruir la infraestructura informática de la empresa.

• Atacante amenaza con publicar información confidencial de la empresa.

Se recibe un nuevo email, a la cuenta del CEO

• Atancante pide dinero.

• Atacante amenaza con destruir la infraestructura informática de la empresa.

• Atacante amenaza con publicar información confidencial de la empresa.

El CEO y el consejo de la empresa, al borde del

colapso mental.

El CEO y el consejo de la empresa, al borde del

colapso mental.

Conclusiones

Acceso total a la infraestructura de la empresa. Acceso total a la infraestructura de la empresa.

Control de mails corporativos. Control de mails corporativos.

Control de Servidores con información crítica. Control de Servidores con información crítica.

La empresa ya no era del CEO, era del intruso. La empresa ya no era del CEO, era del intruso.

Y respecto a la seguridad.. Y respecto a la seguridad..

Conclusiones

Carencia de personal formado en seguridad. Carencia de personal formado en seguridad.

Carencia de plan de respuesta ante incidencias informáticas.

Carencia de plan de respuesta ante incidencias informáticas.

Nula concienciación sobre seguridad informática Nula concienciación sobre seguridad informática

Por tanto:

• Ausencia de medidas activas de seguridad.

• Ni integridad, ni confidencialidad, ni disponibilidad.

Por tanto:

• Ausencia de medidas activas de seguridad.

• Ni integridad, ni confidencialidad, ni disponibilidad.

Eso sí, ……..cumplían la UNE-ISO/IEC 27001

¿?¿?

Primeras gestiones

Se les recomienda un bastionado básico de sus sistemas.

Se proponen medidas para mitigar, en lo posible, nuevos

accesos no autorizados.

Contratar experto en seguridad informática,……..que en España

hay muchos y muy buenos.

• Denuncia (amenazas, injurias, estafas, …)

• Oficio (pornografía infantil, apologías racismo y xenofobia, …)

• Problemática:

• Desistimiento por imagen corporativa o desconfianza judicial.

• Cuantificación daños (auditorías externas)

CONOCIMIENTO DEL DELITO

VERIFICACIÓN DE LOS HECHOS (denuncia falsa)

• Problemática:

• Contenidos dinámicos (web, foros, blogs, …)

• Copias impresas de correos electrónicos

COPIA DE CONTENIDOS

Lo han formateado todo Aún así, se realiza algún volcado. Aún así, se realiza algún volcado.

Logs Entrega logs servidores. Entrega logs servidores.

Binario Entrega mail y binario. Entrega mail y binario.

Emails Entrega emails extorsión. Entrega emails extorsión.

Petición de evidencias

• Análisis de evidencias

• Búsqueda de información y referencias identificativas

• Resolución de “datos de tráfico”

INVESTIGACIÓN TECNOLÓGICA

• Identificación y localización

• Vigilancias

• Interceptación de telecomunicaciones

• Análisis Documental

Ó

Á

Bypass AVs Bypass AVs

El binario evade la detección de Avs

• Reconocer malware mediante firma conocida.

• Binario debe ser conocido por AV.

ScanTime:

• Reconocer malware mediante heurística.

• AVs realizan hooking de APIs conocidas.

• AVs ejecutan binario en sandbox propia.

RunTime:

Análisis técnico-policial

• Estático = Características del P.E.

• Dinámico = Muestra en “vivo”.

Estático vs Dinámico Estático vs Dinámico

Análisis técnico-policial (ESTÁTICO)

• ¿Cómo está hecho?.

• ¿Qué puede hacer?.

• ¿Cómo lo hace?.

Un primer acercamiento al binario.

• Empaquetado.

• Técnicas antidebug.

• Ofuscación strings.

• Ninja skills.

Principales “problemas”:

Análisis técnico-policial (ESTÁTICO)

• ¿Cómo está hecho?.

• ¿Qué puede hacer?.

• ¿Cómo lo hace?.

Un primer acercamiento al binario.

• Empaquetado.

• Técnicas antidebug.

• Ofuscación strings.

• Ninja skills.

Principales “problemas”:

• 00h = Cabecera. // Mark Zbikowski

• 024h = EntryPoint *

• 00h = Cabecera. // Mark Zbikowski

• 024h = EntryPoint *

Header

• .text.

• .data.

• .bss.

• .text.

• .data.

• .bss.

Sections:

Análisis técnico-policial (ESTÁTICO)

Análisis técnico-policial (ESTÁTICO)

NO packer

NO ofuscación.

Análisis técnico-policial (ESTÁTICO)

No parece estar empaquetado (¿?). No parece estar empaquetado (¿?).

• C:\Archivos de programa\Microsoft Visual Studio\VB98\VB6.OLB

• cmSocket

• cmSocket_CloseSck

• cmSocket_Connect

• cmSocket_ConnectionRequest

• cmSocket_SendProgress

• RemotePort

• RemoteHost

• RemoteHostIP

• URLDownloadToFileA

• GetCurrentProcess

Strings de posible interés: Strings de posible interés:

Análisis técnico-policial (ESTÁTICO)

Header // Sections

Header // Sections

Dependencias

Al estar realizado en VB, es posible su descompilado.

• Se trata de un RAT.

• Simula ser un software de gestión de conexiones a una BD.

• El engaño al AV es realmente burdo, pero efectivo.

El estudio del código no es relevante para la investigación, pero sí aporta nuevos datos.

Descompilado

Análisis técnico-policial (DINÁMICO)

• Laboratorio de VMs.

• Laboratorio equipos “físicos”.

Entorno controlado para pruebas.

• Análisis automático vs manual.

• Detección VMs.

• Detección software forense.

• Ninja skills.

Principales “problemas”.

Ollydbg

Análisis técnico-policial (DINÁMICO)

En definitiva, infección tradicional.

Crea un fichero tmp.

Modifica estado de Firewall.

Modifica Registro

Key \\Registry\\USER\.... Key \\Registry\\USER\.... Key \\REGISTRY\\MACHINE\\... Key \\REGISTRY\\MACHINE\\...

Crea un mutex.

Crea un proceso nuevo, llamado winx.exe

Realiza una query DNS a un dominio en concreto. (no-ip.org). Realiza una query DNS a un dominio en concreto. (no-ip.org).

• Envía datos fichero en tmp.

• Establece conexión tcp -> Puerto 81.

Si hay respuesta Si hay respuesta

• No actividad de red.

Si no hay respuesta Si no hay respuesta

Análisis técnico-policial (DINÁMICO-CONEXIONES)

Teorías: Atacante accede a

binario. Atacante accede a

binario. Atacante “husmea” a

su objetivo. Atacante “husmea” a

su objetivo. OWNEADO EL

GDT????? OWNEADO EL

GDT????? SALIÓ

CORRIENDO ??? SALIÓ

CORRIENDO ???

Típico comportamiento RAT

Varias IPs realizan NUEVAS conexiones, para acceso al equipo que analizaba la muestra.

EL SUCESO

WTF????

EVIDENCIAS

IPs cabeceras correos electrónicos. IPs cabeceras correos electrónicos.

IPs conexión binario

• Entrantes.

• Salientes.

IPs conexión binario

• Entrantes.

• Salientes.

Logs de servidores. Logs de servidores.

Las primeras teorías sobre el “atacante”.. Las primeras teorías sobre el “atacante”..

Un breve tiempo después..

Se refuerzan las teorías sobre el posible atacante.

La empresa nos avisa.

URL apuntando a un binario.

Simula ser spam.

Se recibe un email en la empresa, de un ex trabajador.

Estudio de la URL Estudio de la URL

URL a servidor fuera de España.

Servidor en blacklist, por posible distribución de malware.

El binario ya no se encontraba cuando accedimos al server.

Posible servidor vulnerado.

Nueva evidencia: URL

Resolución de IPs Resolución de IPs

• Casualidad????……….

• ex trabajador vive en esa zona.

Las distintas IPs apuntan a una zona concreta de España.

• Gestiones operativas.

• Consulta bases de datos policiales.

• Elaboración de un plan de actuación.

La importancia de la investigación policial clásica.

WiFi

Escenario

¿Qué hay en la zona?.

• Wifis “inseguras”.

• Dispositivos conectados.

¿Qué hay en la zona?.

• Wifis “inseguras”.

• Dispositivos conectados.

Tareas operativas.

• Domicilios.

• ¿Coincide el perfil del atacante con los perfiles de los titulares ADSL?.

Paquetes Críticos IEEE 802.11

• Sincronización AP Beacons

• Cliente busca APs conocidos. Probe Request

• Respuesta AP a Probe Request. Probe Response

• Cliente anuncia conexión a AP. Association Request

• SI/NO AP a cliente Aso. Request. Association Respons

• AP “desconecta” clientes Disassociation

• Autenticación Cliente - APs Authentication

• AP elimina conexión cliente. Deauthentication

Three Way Handsake

• Definido en los RFC.

• ¿Cuántos clientes peticionan dos o más redes?.

• ¿Cuántos clientes peticionan dos o más redes de la zona?

Estudio de los Probe Request de los clientes. Estudio de los Probe Request de los clientes.

Entonces..¿como lo analizamos?

Estudio de las Asociaciones de clientes – AP.

• ¿Qué clientes están conectados a un AP?.

Comparamos:

• Partimos de la base de un AP por domicilio.

• ¿MAC del cliente conocido por titular ADSL?.

Análisis IEEE 802.11

Resultados

Varias MAC se conectan a los APs identificados en mandamientos judiciales. Varias MAC se conectan a los APs identificados en mandamientos judiciales.

Estas MACs, no son de dispositivos conocidos por los titulares ADSL. Estas MACs, no son de dispositivos conocidos por los titulares ADSL.

Una de MACs está vinculada a todos los AP´s investigados……………………………..y a otro más Una de MACs está vinculada a todos los AP´s investigados……………………………..y a otro más

……………DOMICILIO EX-TRABAJADOR ……………DOMICILIO EX-TRABAJADOR

Joer que buenos somos !!

Intervención de dispositivos

informáticos.

Obtención de indicios que

vinculen equipo y usuario

CLONADO

EQUIPOS

DISPOSITIVOS

PRECINTO

INTEGRIDAD

• Dispositivos Hardware (logicube, Image master, …)

• Dispositivos software (Encase, Ilook, FTK, Norton Ghost, DD-linux, …)

¿CÓMO?

• Juzgado

• Sede policial

• Domicilio del sospechoso

¿DÓNDE?

• Durante el registro

• A la finalización del registro

• En los días siguientes

¿CUÁNDO?

METODOLOGÍA EXPERIENCIA ANALISIS

DATO INFORMÁTICO

HECHO DELICTIVO

USUARIO

RELACIÓN DIRECTA

DEDUCCIÓN

Proceso documentado de localización, identificación

e interpretación de todos los datos y archivos

informáticos que se relacionan con un hecho

concreto investigado y con la autoría de un usuario.

¿Que nos encontramos?

Dos VMWARE ESXi, con 15 máquinas virtuales.

Un servidor FreeBSD (Apache).

Tres equipos portátiles (Windows // Linux).

Cuatro teléfonos móviles.

Documentación sobre desarrollo malware.

•El que más nos gustó, desarrollo bootkits.

La Oficina

Las Herramientas

Aparece en un HD externo información confidencial de

la empresa.

Aparecen copias de los mails enviados al CEO.

Dos de sus equipos portátiles coinciden con las MAC del

estudio 802.11.

La Primera en al FRENTE…

…..que buenos somos !!

¡¡¡¡Otra Vez!!!!

DATO INFORMÁTICO

HECHO DELICTIVO RELACIÓN DIRECTA

Datos en el PC

• En un documento, aparecen referencias a la URL que, simulando ser spam y apuntado a un binario, envió a la empresa.

• No aparece ningún binario.

• Pero sí archivos con los pass de las wifis de sus vecinos.

DATO INFORMÁTICO

USUARIODEDUCCIÓN

Manifestación Detenido

• El ex trabajador reconoce los hechos.

• El binario lo borró, nunca apareció.

• ¿Su motivación?.

• Diferencias con el CEO.

• Dinero.

…..esta vez hemos ganado !!

Si es cierto….

ANÁLISIS ON-LINE

INFORME TÉCNICO POLICIAL

ANÁLISIS FORENSE

ESFUERZO

EFICACIA

Equipos informáticos intervenidos

Backups o copias de ficheros de información

Dispositivos de almacenamiento

Documentación intervenida

Descripción evidencias

electrónicas

Traducción del lenguaje técnico

PREGUNTAS……

delitostelematicos@guardiacivil.org

www.gdt.guardiacivil.es

Grupo de Delitos Telematicos

GDTGuardiaCivil

GDT