En el artículo anterior habíamos comprobado que se habían mandado una serie de correos desde la cuenta del CEO del MINAF al CFO, logrando mediante ingeniería social la realización de una serie de transferencias. Nos quedamos en un punto de la investigación en la que queremos saber más acerca de esos correos, y para ello tenemos que irnos a la base de datos de bajo nivel de Exchange: EventHistoryDB.
Cómo te levantan 100.000€ sin pestañear – Análisis forense de una “Estafa al CEO” (III)
9 de diciembre de 2019 Por
Cómo te levantan 100.000€ sin pestañear – Análisis forense de una “Estafa al CEO” (II)
5 de diciembre de 2019 Por
Cómo te levantan 100.000€ sin pestañear – Análisis forense de una “Estafa al CEO” [1] [2] [3] [4]
Habíamos dejado el artículo anterior con muchas lagunas en la cobertura de correo tanto del CEO como del CFO del MINAF. Una primera (y sobre todo, rápida) solución es recurrir a los logs de MessageTracking. Como ya hemos comentado, el MessageTracking es un log de alto nivel de Exchange que nos ofrece unos datos básicos del mensaje (origen, destino, fecha, asunto) junto con algunos identificadores de bajo nivel (de los que contaremos algo en su momento ya que van a ser fundamentales en nuestra investigación). [Read more…]
Cómo te levantan 100.000€ sin pestañear – Análisis forense de una “Estafa al CEO” (I)
3 de diciembre de 2019 Por
[Nota 0: Esta serie de artículos es una narración (esperamos que entretenida) del caso práctico (ficticio, ojo) que Maite Moreno y el autor presentaron en el congreso de seguridad digital y ciberinteligencia c1b3rwall, organizado por la Policía Nacional. Si queréis tener más información acerca de las estafas al CEO tenéis aquí las slides de nuestra charla, repletas de datos así como de un caso real que investigamos].
[Nota 1: Recalcamos que este caso es ficticio, habiéndolo creado ex profeso para la c1b3rwall. Sin embargo, las técnicas y procedimientos que hemos seguido son idénticos a los que los atacantes emplearían (y emplean), con la diferencia de que ofrecemos todas las evidencias necesarias para poder estudiarlos en detalle. De la misma forma, la investigación podría haberse realizado de forma más eficiente… pero queríamos mostrar algunos elementos y técnicas interesantes para investigar Exchange, de ahí los pasos seguidos].
Tácticas CNA: una primera propuesta
11 de noviembre de 2019 Por
Hoy toca un artículo doctrinal y algo metafísico…. Vamos, algo denso. Avisados estáis :)
Dentro las operaciones CNO (Computer Network Operations) encontramos tres tipos de capacidades o acciones: CND, CNA y CNE (Defensa, Ataque y Explotación respectivamente); mientras que CND trata obviamente de la defensa de entornos tecnológicos frente a ataques también tecnológicos -no contra un misil que impacta en un CPD-, las operaciones y capacidades CNE se focalizan en la adquisición y explotación de información a través de redes y ordenadores: lo que actualmente estamos denominando ciberespionaje. Por su parte, CNA, Computer Network Attack, hace referencia a lo que en muchas ocasiones se identifica con las operaciones puramente destructivas (las famosas “4D”: disrupt, deny, degrade and destroy).
R2wars, una competición diferente
28 de octubre de 2019 Por
(Esta entrada ha sido elaborada por Erik Martínez y Vicente Lahoz)
INTRODUCCIÓN
La semana pasada asistimos a la r2con, una conferencia con una comunidad muy comprometida, centrada en el análisis de malware, ingeniería inversa, explotación de binarios y mucho más. La conferencia está organizada por los desarrolladores de la herramienta radare2, un framework de reversing de código abierto muy potente que ofrece multitud de posibilidades, como el ensamblado y desensamblado de archivos, debugging de ejecutables o explotación de software.
Todo esto ejecutado desde la línea de comandos (también tiene una GUI llamada Cutter), así que puedes automatizar tareas y gestionar las salidas del terminal como desees. También tiene una API disponible para la mayoría de lenguajes de programación llamada r2pipe, por lo que puedes integrarla en tus propios scripts y herramientas de una forma muy sencilla. ¡Bastante chulo!
La r2con se compone de charlas, talleres y competiciones (entre varias pausas para café) [Véase github.com/radareorg/r2con2019]. En este post, vamos a contar nuestra experiencia en r2wars, una de las competiciones que se celebran durante la conferencia.
DEFCON DFIR CTF 2019 (IV): Triage VM Questions
2 de octubre de 2019 Por
Las evidencias son un precioso fichero .7z (que en Debian no se puede abrir con unzip, hay que usar p7zip, ojo), que una vez descomprimido nos deja los siguientes ficheros:
# ls -laht total 27G drwxr-xr-x 2 root root 4.0K Aug 27 18:10 . drwxr-xr-x 5 root root 4.0K Aug 27 17:43 .. -rw-r--r-- 1 root root 4.0G Mar 22 22:21 DFA_CTF_Triage-0.vmdk -rw-r--r-- 1 root root 23G Mar 22 22:21 DFA_CTF_Triage.vmdk -rw-r--r-- 1 root root 2.0K Mar 22 22:14 DFA_CTF_Triage.vmx
Podríamos arrancar la máquina virtual en VMWare, pero vamos a tratar la VM como una evidencia muerta, para ver si somos capaces de sacar todas las evidencias de un modo más formal.
La forma más rápida de montar en Debian un .vmdk es, si tienes qemu instalado, la siguiente: [Read more…]
DEFCON DFIR CTF 2019 Writeup (III): Memory Forensics
22 de septiembre de 2019 Por
1. ¿Cuál es el hash SHA1 del fichero triage.mem?
Un poquito de sha1sum para empezar a calentar…
# sha1sum adam.mem c95e8cc8c946f95a109ea8e47a6800de10a27abd adam.mem
* Respuesta: c95e8cc8c946f95a109ea8e47a6800de10a27abd
2. ¿Qué perfil de memoria es el más apropiado para esta máquina (ej: Win10x86_14393)
Volatility nos da la información gracias al plugin imageinfo: [Read more…]
DEFCON DFIR CTF 2019 writeup (II): Linux Forensics
11 de septiembre de 2019 Por
DEFCON DFIR CTF 2019 writeup [1] [2]
Como habíamos visto en la parte de Windows, la adquisición forense del equipo Horcrux nos había dejado una tabla de particiones cargadita, siendo una de ellas una de Linux. Siendo Linux, parece tener sentido el realizar el forense desde otro Linux.
En primer lugar vamos a montar la partición como es debido para poder ver lo que tenemos dentro (si estáis en un sistema Linux necesitaréis las ewftools, y aquí [https://www.andreafortuna.org/2018/04/11/how-to-mount-an-ewf-image-file-e01-on-linux/] tenéis un tutorial estupendo sobre cómo hacerlo):
Montamos el contenedor: [Read more…]
DEFCON DFIR CTF 2019 writeup (I): Crypto + Deadbox Forensics
10 de septiembre de 2019 Por
Como ya parece ser una (estupenda) tradición dentro de la DEFCON, se ha vuelto a lanzar un reto forense no oficial. Este año se lanzó el día en el que me iba de vacaciones, así que llegamos con retraso para resolverlo, pero llegamos.
Lo primero son los datos con los que tenemos que trabajar. Las evidencias están disponibles en este enlace de Dropbox:
https://www.dropbox.com/sh/4qfk1miauqbvqst/AAAVCI1G8Sc8xMoqK_TtmSbia?dl=0
y aquí tenéis el enlace al sitio web del CTF:
El reto es más largo que un día sin pan (83 preguntas si he hecho bien las cuentas), así que para no volverme loco me he puesto un límite temporal: tengo una semana para dedicarle al reto, writeup incluido. El domingo 25 ya descargué todas las evidencias y dejé todo listo para empezar, así que el lunes 26 empezamos con ganas. [Read more…]
El Quijote de caza : Una aproximación ortográfica al Threat Hunting
2 de septiembre de 2019 Por
Desde el punto de vista del Threat Hunting, uno de los grandes retos siempre es el modelaje de aquellas anomalías que podemos percibir a simple vista y la generación de reglas que poder integrar en nuestras herramientas.
Para la siguiente serie de artículos se va a dar una aproximación léxica, analizando nuestro lenguaje y su implementación en el entorno TI para la extracción de diferentes anomalías basadas en la ortografía del castellano.
Durante el siguiente artículo vamos a extraer un algoritmo que nos permita la detección de esos dominios generados con DGA a través de la ponderación de cada uno de los caracteres latinos. [Read more…]
