DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

viernes, 24 de diciembre de 2010

Rooted CON 2011

Hola lectores,

Esta semana se anunciaron los primeros ponentes para Rooted CON 2011, incluso antes de que finalice el Call-For-Papers, vigente hasta el 31 de Diciembre de 2010.

Es para mi un placer anunciaros que voy a asistir como ponente y como 'profe' en la próxima Rooted CON 2011.


 Los primeros nombres seleccionados, elegidos por encontrarse entre los mejor valorados de Rooted CON 2010 por parte de los asistentes son: Joxean Koret (Database Security Paradise), Yo y Eduardo Abril (charla titulada Hospital Central - tus datos son mis datos) y Chema Alonso (todavia no se sabe ¿hablará de la Foca?)

La ponencia la voy a compartir con el 'petardo' y muy buen amigo Eduardo Abril, si, ese del humor ingles.

Vamos a exponer una cosa chula o por lo menos eso creo, ya que va de una auditoría que realizamos tiempo atras a un hospital (hable de ello en un post) y en la que aplicamos ingenieria social con un exito rotundo. Os aseguro que os divertireis tanto como lo hicimos nosotros.

Como 'profe' voy a impartir una clase sobre 'análisis forense en dispositivos móviles' y como en otras ocasiones contaré casos en los que me he encontrado.

Lo dicho nos vemos en la Rooted!!

sábado, 18 de diciembre de 2010

Y yo sin jugar...(BIT vs GDT)

Hola lectores,

Se aproxima la navidad, el turrón y esas cosas buenas para ganar kilos...y como no podía ser de otra forma el pasado viernes se celebró un partido fraternal de fútbol entre el Grupo de Delitos Telemáticos de la Guardia Civil y la Brigada de Investigación Tecnológica de la Policía Nacional.

Como ya comenté en ocasiones anteriores estos dos cuerpos son la primera linea de fuego y de lo mejorcito que tenemos actualmente.

Al final gano la BIT (Y yo sin jugar, cachis...)

Quiero aprovechar desde estás lineas que la B.I.T ha lanzado (al igual que ya hizo el Grupo de Delitos Telemáticos) su incursión en las redes sociales con el objeto de acercarse más al ciudadano y que este tenga oportunidad de denunciar de forma más sencilla y estar todos más seguros en Internet.

Este es el enlace:

http://www.facebook.com/BrigadaInvestigacionTecnologica

Su misión consiste en obtener las pruebas, perseguir a los delincuentes y poner a unas y otros a disposición judicial. Sus herramientas son la formación continua de los investigadores, la colaboración de las más punteras instituciones públicas y privadas, la participación activa en los foros internacionales de cooperación policial y la colaboración ciudadana.

Como siempre os animo a todos y todas a suscribirse a esta iniciativa y a colaborar todos contra la ciberdelincuencia.

Os dejo la foto (Cuidadín con esas barrigitas de famosa)


lunes, 13 de diciembre de 2010

¡¡ Nos vamos al CCN-CERT !!







Hola lectores,

Mañana me toca conferencia en el CCN-CERT.

El CCN-CERT es la Capacidad de Respuesta a incidentes de Seguridad de la Información del Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia (CNI). Este servicio se creó a principios de 2007 como CERT gubernamental español y está presente en los principales foros internacionales en los que se comparte objetivos, ideas e información sobre la seguridad de forma global. 

En mi caso voy hablar sobre un troyano que roba información y la manda a diversos sitios en Internet. Lo curioso del tema es que está realmente gestionado por un panel de control que gestiona una botnet. Todavia mi equipo esta 'descifrando' parte del troyano y sera motivo seguramente de escribir un post sobre este curioso malware.

También estarán muchos colegas conocidos, entre ellos David Barroso, Raul Siles, Olof Sandstrom, Marc Vilanova, José Antonio Mañas, Juan Vázquez y otros.

 Aquí os dejo la agenda de mañana y desde este link también se puede acceder.


domingo, 5 de diciembre de 2010

Tips & Tricks (I)

Hola lectores,

Muchos me preguntais sobre temas de extracción de datos y trucos que utilizo.

Hace dias me paso lo mismo en un análisis forense y la verdad no me acordaba de un paso en concreto y tuve que poner imaginación para recordarlo, así que he decidido ponerlo en el blog, con objeto de recordarmelo a mi mismo y compartirlo con todos. (dedicado a FRAN de la GDT)

Son pequeños trucos que utilizo de vez en cuando.

Creación de una línea de tiempo con las TCTUtils

Utilidades escritas por Brian Carrier:
jBcat: Muestra el contenido de un bloque de disco a la salida estándar.
  • blockcalc: Mapas entre las imágenes con dd y sus diferencias
  • fls: Muestra entradas de ficheros y directorios que han sido borrados. Usando fls con la opción-d hace una lista de los nombres de todos los archivos borrados en la imagen.
  • find_file: Determina qué archivo tiene asignado un inodo de una imagen.
  • find_inode: Determina que inodo ha asignado un bloque de una imagen.
  • istat : Muestra información sobre un inodo.
  • mac_merge: Combina la salida de 'fls-m' con la salida de mactime TCT para crear una línea de tiempo grandes.
C:\forensics\TSK\fls –m ‘C:/’ –f ntfs –r \\.\Z: > c:\casos_forenses\empresa\timelines\ficheros

Perl C:\forensics\TSK\mactime.pl –d –b c:\casos_forenses\empresa\timelines\ficheros\lineadetiempo.csv

Búsqueda de palabras importantes

C:\casos_forenses\empresa\ripped>strings *.txt | grep –i
C:\casos_forenses\empresa\ripped>strings *.csv | grep –i

Por fechas

fichero.csv | grep -i "Dec 3 2010" | grep "..b,r"

Buscar HIVES en el NTUSER.dat con regtime


La utilidad regtime.pl procesará las marcas de tiempo en cada clave de una sección del Registro

C:\>Perl C:\forensics\SIFT\bin\regtime.pl –m HKLM/system –r -d -m C:\casos_forenses\empresa\hives\system >> fichero.csv

Otra forma con rip de las ya comentadas RegRipper

C:\forensics\RegRipper\rip.exe –r c:\casos_forenses\empresa\registry\SAM –f SAM > sam_ripped.txt

C:\forensics\RegRipper\rip.exe –r c:\casos_forenses\empresa\registry\system –f System>system_ripped.txt

C:\forensics\RegRipper\rip.exe –r c:\casos_forenses\empresa\registry\ntuser.dat –f ntuser> ntuser.ripped.txt

Mostrar carpetas ocultas

Registry Keys
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Value Name: Hidden
Data Type: REG_DWORD (DWORD Value)
Value Data: (1 = show hidden, 2 = do not show)

Para MAC

Puedemos utilizar la función Analyze MacForensicsLab con el siguiente archivo: ~ / Library / Preferences / com.apple.finder.plist Dentro de ese archivo que se encuentra "FXConnectToLastURL". Esta entrada muestra los servidores de archivos relacionados con los datos del sospechoso. y la entrada "CFURLAliasData" tendrá los nombres de los servidores de archivo de acceso, imágenes de disco montadas muestra el último conjunto de carpetas que se accedió.

That's all, folks!!"
 

Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...