DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

jueves, 23 de septiembre de 2010

En primera Línea de fuego

Hola lectores,

Eduardo y yo, estuvimos visitando a los colegas de la Brigada de Investigación Tecnológica y  al Grupo de Delitos Telemáticos de la Guardia Civil.

Como ya veníamos diciendo en diferentes post, en España hay muy buenos profesionales en el mundo de la seguridad y casi siempre estamos hablando y entendiendo que están en la empresa privada, o bien como freelance, pero no hay que olvidarse de las personas que están en la línea de fuego, aquellas cuyo servicio y objetivo es proteger a las personas y perseguir el delito en la red

Hoy quiero destacar la gran experiencia que tienen los componentes de la BIT y GDT. Ellos son la primera línea, muy profesionales y técnicamente están a muy alto nivel. Podríamos decir que estamos en muy buenas manos y si yo fuera el delincuente, el pederasta o el criminal, estaría cagado de miedo con estos compañeros.

Os dejo alguna foto de nuestra visita.

BRIGADA DE INVESTIGACIÓN TECNOLÓGICA (BIT)




 GRUPO DE DELITOS TELEMÁTICOS DE LA GUARDIA CIVIL (GDT)


lunes, 20 de septiembre de 2010

¡¡ Vendo Botnets baratas, Señoras y Señores...!!!


Hola lectores,

A raíz del último ataque de denegación de servicio (ddos) que recibimos y que afortunadamente no llego a mayores, me dio por pensar y por pensar mal.

Todo esto viene al caso de lo siguiente, el otro día apareció por nuestros 'tarritos de miel' una curiosa mosca, a la que seguimos la pista hasta ver por donde vivía y nos encontramos con un sitio web que contenía un curioso panel de control . Tras 'poseer' el sitio web a través de una vulnerabilidad (que tiene el proveedor ruso que aloja las páginas) pudimos analizar en profundidad su contenido.

Basicamente este es así:


Y este su acceso vía web (se ha ocultado la URL por motivos de seguridad)

Se trata de n0ise Bot, un software diseñado exclusivamente para reclutar zombis y ejecutar ataques de denegación de servicio distribuida. Mirando lo que hace vemos que los comandos que pueden ser empleados a través de la configuración de este malware son los siguientes:

Syn-Flood - synflood*Host*Port*Threads*Sockets
HTTP-Flood - httpflood*Host*Threads
UDP-Flood - udpflood*Host*Port*Threads*Sockets*Packetsize
ICMP-Flood - icmpflood*Host*Port*Threads*Sockets*Packetsize
Multi Stealer - steal*Link to Uploadscript
Download and Execute - downandexe*LinkToFile
Visit Page - visit*Link
Bot Update - update*LinkToNewBot
Remove Bot - remove*Name

Vamos una maravilla de herramienta diseñada exclusivamente para 'joder' actualmente dispone de 1.566 Zombis.



Sin entrar en detalles sobre esta 'utilidad' (ya que no deja de ser un pack muy parecido a Zeus) me asombra la facilidad de conseguir este software que por cierto es de pago. Mirando el código de la aplicación aparece el sitio donde se puede comprar. (y encima te hacen un descuento de 10 euros). También me asombra lo que ellos llaman programa de afiliados, que son 'sites' donde se hace publicidad sobre su producto e intercambian en diversos foros





Cómo se ve en la primera imagen, el precio de n0ise Bot es de 50€ (solo el ejecutable sin el constructor) y 150€ (programa de por vida incluyendo actualizaciones)

El pago se realiza por medio de paysafecard, un sistema de pago online. (paysafecard  es una empresa de dinero electrónico autorizada y regulada por el Financial Services Authority (FSA) en el Reino Unido).

LLegado a este punto, pienso, bueno y ya que estoy aquí que podemos hacer, ¿funcionará realmente esta Botnet?. ¿Y si atacamos alguna infraestructura en China?, ¿o bien algún site con SCADA?, ¿ y si empezamos la primera ciberguerra mundial, atacando a los EEUU?. Bueno no soy tan malo y me voy a portar bien atacandome a mi mismo.Vamos a comprobarlo.

¡¡EMPEZAMOS!!

Lo primero es infectarme una máquina virtual y agregarla como soldado a mi regimiento de zombis. De esta forma podré saber como funciona el BOT y que cualidades tiene.(También me valdrá para futuros posts)

De momento valga como adelanto las claves del registro que está tocando:


HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} 
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} 
HKEY_CLASSES_ROOT\Interface\{cf54be1c-9359-4395-8533-1657cf209cfe}
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} 
HKEY_CLASSES_ROOT\Typelib\{d518921a-4a03-425e-9873-b9a71756821e} 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} 


Segundo es mandar una orden a mi ejercito para realizar una denegación de servicio sobre uno de los servidores que disponemos en la empresa y que está pensado para este tipo de cosas. Es decir totalmente segmentado y con control de tráfico de red, también disponemos de una conexión a internet dedicada

Vamos a mandarle (mandarnos) un HTTP-Flood y este es el resultado en imágenes.




Si bien no consiguieron tumbar el equipo, ni el servicio web, si que se noto un aumento muy considerable en la lentitud de nuevas conexiones, podríamos decir  que la prueba ha sido satisfactoria y que 'mi' ejercito ha conseguido el objetivo de dejarme inaccesible el sitio web.

CONCLUSIONES


Me preguntaba lo sencillo que resulta realizar una denegación de servicio, no hace falta que seas un programador, ni tener experiencia en informática, tan solo tener algo de dinero, tener un contacto y alquilarte una botnet.

Hasta ahora la industria (por llamarlo de alguna forma) del Malware se ha centrado en obtener a través de las mafias los mayores ingresos de incautos usuarios de banca electrónica que se infectan sin saberlo, pero también es preocupante que los terroristas puedan utilizar estas 'infraestructuras'

¿Os imaginais que los terroristas pudieran tener el control de miles de PC's? Que tuvieran el poder de lanzar ataques a las infraestructuras de un país, (como ocurrió en el famoso ciberataque entre la disputa de Rusia y Georgia) sería demoledor y particularmente sencillo.

miércoles, 8 de septiembre de 2010

Delitos Telemáticos de la Guardia Civil


Hola lectores,


Quiero comunicaros una estupenda noticia, desde el Grupo de Delitos Telemáticos de la Guardia Civil, han creado una nueva sección, en su web, de ALERTAS DE SEGURIDAD INFORMÁTICA. La pretensión es que la lean el mayor número posible de internautas, para que cuando se encuentren con el delito, sepan identificarlo.

Para ello, además de la web, están en Facebook (Chema ya hablo de ello y yo al final y por huevos me tendre que volver a dar de alta) . Han creado el perfil de empresa (administración) en el que cada día publicitan en su muro la alerta de seguridad que sale en la web.Y como ellos dicen, consideran que deben estar donde están los ciudadanos, que son su razón de ser. Y como los ciudadanos están en las redes sociales, allí estan ellos.

Desde ConexionInversa os animo a que accedáis a su web y que si estáis en Facebook, los agreguéis como amigos. Y si lo hacéis, aún os hago una última petición, que sugiráis la página a vuestros amigos.

Cuanta más gente los lea, más gente estará prevenida ante el delito, menos delitos habrá.

Venga, que todos podemos, seguro que conocemos un caso, y ante ello hay que denunciar

¡¡¡ Vamos a por los malos!!!

jueves, 2 de septiembre de 2010

Como estoy

Hola lectores,

Hoy es un día especial, especial para mi. Puedo cometer faltas de ortografía , de sintaxis o de existencialidad en las frases, estoy con fiebres, esas fiebres que al final son una extensión de mi mismo.

Muchos sabéis que tengo una enfermedad tropical "fiebre de query" jodido el síntoma para un informático ¿no?, coño se podía llamar de fiebres de 'lahostia', pero no al final de query.

Hoy especialmente me siento sensible, mi capacidad de raciocinio, (como diría mi jefe/amigo Alberto) hoy es limitada.

Pensaba escribir algo interesante que tengo en la chistera. Pero saldría un pufo

Hoy estoy jodido, muy jodido, y aunque se que me recuperare, espero que me perdonéis, por el lapsus, pero prometo volver en unos días. (Pedro es así, un luchador)

Joder como se mueve el sofá y el comedor...

Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...