DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

jueves, 28 de octubre de 2010

Estamos en el Simposium Internacional en Toluca, México


Hola lectores,

Ayer Miercoles comenzó el XVI Simposium Internacional en Toluca, México. En estos días que estamos quiero destacar la impresionante gestión que están realizando los organizadores, que supera a otras que he estado en Europa y Asia, es de lo mejor que he visto.

Toluca es un bonito pueblo de gente sencilla y humilde, en estos días se celebra el "día de los muertos" y aquí en México la gente lo disfruta de lo lindo, todo es un ambiente festivo.

Ayer día 27 las conferencias programadas fuerón:

Leobardo Hernandez 
Aplicaciones de la criptografia a la seguridad (no tuve ocasión de "platicar" con el)

Marcelo Rivero 
Virus de antes, Malwares de hoy (Marcelo es un crack, menuda conferencia que dío)

Yo mismo 
Análisis forense en una fuga de datos (Menudo show monte, ¿que pasa wey?)

Diego Ferreiro 
Seguridad Web 2.0  (Este es un puto crack, como persona y como amigo, menuda calidad humana, tengo un post solo para el)

    El día fué más o menos así:

     Vista de la Plaza de Toluca
    LLegada al teatro donde se organiza el evento


    Diego y su universidad de la coruña ¿polo de ConexiónInversa? ESTO ES INCREIBLE



     Marcelo y su InfoSpyware

    Los tres IM ponentes


     Esto empieza a llenarse (600 asistentes)


    Luego se celebró una mesa redonda, en la que discutimos de todo y despues unos tequilas para templar el cuerpo.


    También quiero dar las gracias a los asistentes ya que fueron muy amables y muy entregados tanto en las conferencias como en la ronda de preguntas, gracias por pasar un buen rato con nosotros.

    Hoy toca ver al Maligno de Chema Alonso y me voy a la tarde con Diego para el congreso de la BugCon. y luego de vuelta a Toluca que Diego tiene un training.

    Ya os mantengo informados.

    Saludos lectores...

    lunes, 11 de octubre de 2010

    Nos vamos a la Noconname!!


    Hola lectores,

    Voy de ponente a la NcN y me he dejado 'engañar' `por Nico para ser parte del jurado en dos concursos, a los cuales os incito a participar.

    Uno se llama "Iluminación de Randa" y es un concurso Multidisciplinar en el que los participantes deberán demostrar la habilidad para dar una solución a un problema de carácter real creado para la ocasión.

    El otro es (como no) un reto forense y consiste en un juego para el que es necesario aplicar diversas técnicas comúnmente usadas para el análisis forense de sistemas. Se proporciona a los participantes la imágen de una partición de disco para que estos la analicen y expongan todo lo que encuentren en ella.


    Es la asociación con más antigüedad en España, dedicada a la congregación anual de expertos en seguridad informática en el campo de la investigación. Creo recordar que fue en el año 2002 cuando empece a ir a las charlas en Palma de Mallorca, (menudos fiestones nos preparaba Nico.)

    Nico, es el "alma mater" de este congreso, es un 'tipo' decidido, de esos que se comprometen, que le dedican tiempo y alma en algo que cree. Es el investigador por excelencia, es el amigo que siempre te dice '¿pues claro y por que no? . Es joven, audaz y sabe bailar salsa (es el primer tio que conozco que le gusta eso ;-) )

    Este año se retoma la actividad después de cuatro años sin actividad para volver con más fuerza que nunca con un montón de gente conocida.

    Entre ellos encontraréis a , "El maligno Chema Alonso", mi compadre Juanito, el supermaño  Yago, el onmipresente Alejandro Ramos y muchos más....

    Espero veros a todos(as) y tomar unas cervezas, cafés, cocalocas y  demás..., estar y simplemente compartir...

    Para los que queráís empezar en esto de la seguridad, este es vuestro sitio.

    PD: Sorpresa para aelita

    viernes, 8 de octubre de 2010

    ¡¡ Muy bien por la BIT !!



    Un centenar de detenidos e imputados por pornografía infantil


    Más de un centenar de personas, dos de ellas de Aragón, han sido detenidas o imputadas en una redada llevada a cabo por la Policía Nacional contra la pornografía infantil desarrollada en toda España. 

    En concreto, en la operación se han detenido a 57 personas (once de ellas han pasado a disposición judicial) e imputado a otras 47, según ha informado hoy la Dirección General de la Policía y la Guardia Civil, que ha precisado que han participado 400 agentes, que han practicado 97 registros en toda España con la intervención de más de 70 juzgados de guardia y secretarios judiciales. 

    "Uno de los detenidos es un productor de material pornográfico infantil que, además de poseer y distribuir archivos de este tipo, había grabado imágenes de dos familiares menores -de siete y catorce años- en actitud sexual. 

    Unas imágenes que tenía almacenadas, en soportes informáticos que contenían otros vídeos pedófilos de extrema dureza, esta persona de profesión jardinero y con un nivel alto de conocimientos informáticos, que ha pasado a disposición judicial tras prestar declaración. "

    Entre los implicados, de los cuales uno está domiciliado en Teruel y otro en Zaragoza, hay además policías locales, ingenieros informáticos, directores de empresa, estudiantes, desempleados, pizzeros o caldereros. 

    Los policías, pertenecientes a 36 plantillas del Cuerpo, coordinados por la Brigada de Investigación Tecnológica (BIT), han intervenido 328 discos duros, 40 ordenadores portátiles, 21 CPU's, 2 notebook, centenares de dvd's y cd's, 13 pendrives y 8 tarjetas de memoria. 

    Para escudriñar la red e identificar a los usuarios que compartiesen y por lo tanto distribuyeran archivos a través de las redes de intercambio 'peer to peer', los agentes utilizaron por primera vez el software NordicMule, desarrollado por el Servicio Nacional de Investigación Criminal de Noruega (NCIS). 

    Este sofisticado programa permite realizar las descargas sin compartir el contenido de los archivos descargados, seleccionar el país en el que se ubican los usuarios investigados y además visualizar de modo gráfico la información relativa a usuarios que están compartiendo en ese momento los archivos investigados. 

    Tras la solicitud de descarga, el programa crea automáticamente una tabla en la que quedan reflejados todos los datos necesarios para llevar a cabo la identificación de los usuarios investigados. 

    Con las posibilidades de esta herramienta, los policías introdujeron en la aplicación 857 enlaces "p2p", correspondientes a vídeos de contenido ilícito y obtenidos gracias a la colaboración ciudadana mediante denuncias de particulares en Comisarías. 

    El resultado fue el siguiente: en el transcurso de la investigación se analizaron más de 20.000 conexiones y se seleccionó exclusivamente aquellas conexiones de usuarios que se hubiesen descargado en su totalidad los archivos ilícitos con un nombre que aludiera específicamente a material pornográfico infantil. 

    Se identificaron a 125 usuarios ubicados en España y que estaban distribuyendo los archivos investigados disponibles en la red y cuyas conexiones se encontraban asociadas a proveedores de acceso a internet también situados aquí. 

    Cada identificado se había descargado en sus equipos informáticos varios archivos de contenido pedófilo de extrema dureza, como agresiones sexuales a menores de muy corta edad, y los habían puesto a disposición de la red. 

    La mayor parte de las detenciones se han practicado en el País Vasco, Andalucía y Cataluña, con diez arrestos en cada una de las Comunidades, además de ocho en la Valenciana, siete en la de Madrid, tres en Castilla-La Mancha y en Cantabria, dos en Aragón y uno en Murcia, Asturias, Canarias y Extremadura 

    La "ciber-redada" se ha desarrollado en menos de tres días en los que se han practicado casi un centenar de registros: Álava (3), Alicante (1), Almería (1), Asturias (2), Badajoz (1), Barcelona (16), Cáceres (2), Cádiz (7), Cantabria (5), Castellón (1), Ciudad Real (1), Cuenca (1), Gerona (1), Granada (1), Guipúzcoa (4), Huelva (2),La Rioja (2), Las Palmas (2), Lérida (1), Madrid (11), Málaga (2), Murcia (1), Palma de Mallorca (2) y Pontevedra (3). 

    También en Sevilla (1), Tarragona (1), Teruel (1), Toledo (2), Valencia (12), Valladolid (1),Vizcaya (5), Zaragoza (1).

    miércoles, 6 de octubre de 2010

    ¿Donde estás lolisex? (Parte I)

    Hola Lectores,

    Carlos es una persona aparentemente normal, que en su vida hace las cosas que hacemos todas las personas normales, trabaja cerca de donde trabajas tú y es vecino de tu barrio, es amable, educado y culto, con unos ingresos medio-altos y es posible que hasta lo hayas saludado más de una vez. Pero la realidad a veces supera la ficción Carlos realmente es Lolisex un sujeto de aproximadamente 35 años, es un depredador sexual, que utiliza las redes sociales como medio de caza, también utiliza diversas personalidades, edades y sexos, su orientación sexual como el se define es 'amante de niños' conocido en el ambiente como 'BoyLovers'

    Hoy voy a contar un caso, que todavía está en investigación, pero que considero importante para que si algunos/as  os pasa, por favor lo denunciéis. (En algunas de mis charlas lo suelo contar)

    Como os habréis imaginado, he cambiado nombres y direcciones IP's, todo lo demás está en la denuncia.

    Antes quiero aclarar como se pronuncian en España las leyes y voy a aclarar que es la pornografía infantil.

    Se denomina pornografía infantil a toda representación de menores de edad de cualquier sexo en conductas sexualmente explícitas. Puede tratarse de representaciones visuales, descriptivas (por ejemplo en ficción) o incluso sonoras.

    En España, según artíulo 189.1.a del Código Penal, se establece pena de prisión para "El que utilizare a menores de edad o a incapaces con fines o en espectáculos exhibicionistas o pornográficos, tanto públicos como privados, o para elaborar cualquier clase de material pornográfico, cualquiera que sea su soporte, o financiare cualquiera de estas actividades.". Sin embargo, en el punto segundo del citado artículo, se establece asimismo pena de prisión o multa por la sola posesión de material pornográfico, aunque cita para su propio uso, lo cual establece dudas sobre la voluntariedad de la posesión, y tampoco especifica si esto es aplicable a todo tipo de material y a todo tipo de soporte o formato.

    Del artículo 189.7 puede interpretarse que la pornografía infantil no foto/vídeográfica (dibujos, animaciones) no es ilegal en España mientras no se hayan utilizado las imágenes o voz modificadas de un menor

    LOLISEX

    Lolisex es un 'pájaro' pederasta que en mi opinión personal, vende pornografía infantil, o como mínimo trafica con ello.

    Vamos a ver como lo descubrimos:

    Nuestra herramienta Spectum

    Recibimos un correo en nuestro Honey-Spam (lo llamamos spectum). Este es un servidor con relay abierto y en el cual corre una aplicación que en base a una lógica y como parámetros de unos determinados 'strings' conseguimos obtener una copia del correo para su posterior análisis. Nuestro objetivo es monitorizar posibles phisings cuyo destino son los usuarios de entidades financieras. Aunque nuestro producto es primitivo (tiembla proyecto echelon)  hemos conseguido añadir funcionalidades como temas de pornografía infantil y últimamente estamos practicando con temas de terrorismo.

    Como os iba diciendo recibimos este correo:



    Como podemos apreciar en color amarillo, se anuncia algo parecido a comercializar con vídeos de niños y en la parte inferior tenemos una web como referencia. ¿que será esa web? salgamos de dudas.


    Bueno, todo apunta a una bonita página alojada en un hosting en Rusia, donde se pueden subir imágenes, como no ofrece mucha información, voy a mirar por encima, es decir el hosting en si, proveedor, directorios virtuales, ficheros de configuración etc. Para ello voy a utilizar la herramienta DIRB, desarrollada por Ramón conocido en el mundillo de la seguridad como darkraver.

    Este es el resultado que nos llevo al descubrimiento:



    Tenemos un directorio de nombre "pappusi", lo más interesante de todo es que tenemos evidencias de ficheros dentro del directorio con alto contenido sexual y además visibles , es decir el servidor web Apache, no tiene la clausula "Options -Indexes" activada (vaya cagada del administrador).

    Vamos a comprobarlo.


    Esta foto es de las más normales, pero vimos algunas de miedo. 

    Revisando los directorios virtuales y diversos ficheros nos vamos dando cuenta que hay foros (álbum) protegidos por contraseña, la cuestión es como nos podemos hacer con uno de estos, para poder ver la información que contiene.


    Después de varias revisiones sin éxito, nos proponemos pasar a la acción. ¿Probamos con un SQL Inyection? La probabilidad de que tenga MySQL es alta dado que está desarrollado en PHP, vamos aprobar aleatoriamente...con algunos comandos y.......

    OOOPSS!!! ¡¡PREMIO!!


    Bueno, a partir de aquí, solo os diré que nos hicimos con las contraseñas de las bases de datos y pudimos entrar a la mayoría de los foros.

    Ni que decir tiene como se lo montan estos pederastas, hay un foro en particular que solo hay imágenes con  poses de niñas modelo, en algún caso con autorización de los padres (¿un padre hace eso con su hija?). Desgraciadamente en esta vida, siempre hay desgraciados que a sus vez desgracian a sus hijos.

    Aquí tenéis un ejemplo:


    Mirando el listado de foros nos sorprende estos que están en Español (con contraseña)


    Una vez dentro de uno de ellos nos encontramos con muchas imágenes de este tipo


    Y al final de las imágenes comentarios sobre la foto y como podréis apreciar hay un tipo con la bandera de España. ¡¡ Vamos a por el !!.


    Como se puede apreciar disponemos de una dirección IP, de dos cuentas de correo, fechas y hora. Con esa información vamos a sacar su perfil, su registro y por donde se mueve este pájaro y donde tiene el nido.

    En la siguiente entrega veremos su blog y sitios que frecuenta y como con un poco de ingeniería social conseguimos identificarlo y atraparlo...


    Análisis Forense en profundidad 2.0 - Nuevo Curso -

    Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...