Vientos remotos, tempestades locales (III)

17 de febrero de 2020 Por

[Nota: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio (pero contada, esperamos, de forma didáctica y con gracia y salero). Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo de la charla que el autor dio en las XIII Jornadas STIC del CCN-CERT, o echar un ojo las slides de la presentación].

[Nota 2: Estos posts desgranan un taller de análisis forense englobado dentro de la respuesta ante un incidente. Habrá algunas cosas que se podrían hacer de manera más eficiente y elegante, pero la idea era hacerlas de forma sencilla para que sean fáciles de entender. Y como todo buen taller práctico, se puede seguir paso a paso: el CCN-CERT está alojando en LORETO todo el material, que podéis descargar desde aquí. Tenéis tanto las evidencias en bruto (si queréis primero intentar encontrar el bicho por vuestra cuenta sin leer nada de la solución) como una guía paso a paso con todas las herramientas y evidencias necesarias en cada paso].

En el artículo anterior dejamos a Ángela con la sensación de que “algo no encajaba”, que tenía que investigar más a fondo el equipo de Salvador Bendito para estar totalmente segura de su culpabilidad.

Paso 2.4: Prefetch

Ángela decide que la mejor forma de saber qué es lo que ha pasado en el equipo es revisar todos los programas ejecutados. Aunque Windows 10 tiene funcionalidades nuevas para ello como el BAM (Background Activity Monitoring) o el AmCache, si todavía tenemos Prefetch es la primera opción a tener en cuenta.

[Read more…]

Vientos remotos, tempestades locales (II)

13 de febrero de 2020 Por

[Nota: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio (pero contada, esperamos, de forma didáctica y con gracia y salero). Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo de la charla que el autor dio en las XIII Jornadas STIC del CCN-CERT, o echar un ojo las slides de la presentación].

[Nota 2: Estos posts desgranan un taller de análisis forense englobado dentro de la respuesta ante un incidente. Habrá algunas cosas que se podrían hacer de manera más eficiente y elegante, pero la idea era hacerlas de forma sencilla para que sean fáciles de entender. Y como todo buen taller práctico, se puede seguir paso a paso: el CCN-CERT está alojando en LORETO todo el material, que podéis descargar desde aquí. Tenéis tanto las evidencias en bruto (si queréis primero intentar encontrar el bicho por vuestra cuenta sin leer nada de la solución) como una guía paso a paso con todas las herramientas y evidencias necesarias en cada paso].

En el artículo anterior comprobamos que, al parecer, se habían producido algunos accesos altamente irregulares desde el equipo de Salvador Bendito, el administrador de sistemas senior (y única persona además de los altos cargos del MINAF que tenía acceso a CHITONSRV).

La cuestión es bastante delicada: Salvador Bendito lleva 7 años como funcionario del MINAF, con un comportamiento intachable y habiendo sido parte fundamental en la respuesta a otros incidentes (como el del malware fileless del año pasado). Sin embargo, ante la más mínima posibilidad de que él haya sido el culpable, se impone seguir un riguroso procedimiento que ofrezca todas las garantías.

[Read more…]

Vientos remotos, tempestades locales (I)

10 de febrero de 2020 Por

[Nota: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio (pero contada, esperamos, de forma didáctica y con gracia y salero). Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo de la charla que el autor dio en las XIII Jornadas STIC del CCN-CERT, o echar un ojo las slides de la presentación].

[Nota 2: Estos posts desgranan un taller de análisis forense englobado dentro de la respuesta ante un incidente. Habrá algunas cosas que se podrían hacer de manera más eficiente y elegante, pero la idea era hacerlas de forma sencilla para que sean fáciles de entender. Y como todo buen taller práctico, se puede seguir paso a paso: el CCN-CERT está alojando en LORETO todo el material, que podéis descargar desde aquí. Tenéis tanto las evidencias en bruto (si queréis primero intentar encontrar el bicho por vuestra cuenta sin leer nada de la solución) como una guía paso a paso con todas las herramientas y evidencias necesarias en cada paso].

La semana no ha sido especialmente agradable para Ángela de la Guarda, CISO del MINAF (Ministerio de la Alegría y la Felicidad). A la media docena de reuniones para dar el último empujón a la implantación del ENS (Esquema Nacional de Seguridad) en el MINAF se ha sumado el papeleo de la renovación de varios contratos del área… y la crisis de la pérdida de la alta disponibilidad de uno de los sistemas críticos de la subdirección TIC del MINAF: se ha roto una de las dos máquinas de café (lo que significa una sola máquina para alrededor de 80 personas; imagina el aumento de la latencia y los timeout que ello implica).

Menos mal que ya estamos a viernes, y el fin de semana se acerca con un spa, la serie Fleabag y un rato de cacharreo con la Raspberry Pi 4… o esos eran los planes de Ángela hasta que recibe una llamada urgente del CCN-CERT (el por qué estas llamadas son siempre los viernes a las 14.15h es algo que solo $deity sabe, pero casi siempre son a estas horas). 

[Read more…]

Detección de bots en twitter (II): Botometer

17 de enero de 2020 Por

El otro día veíamos la herramienta Botcheck para la detección de cuentas falsas y bots, creados esencialmente para el sabotaje de personajes públicos y la divulgación de noticias no verídicas, que han experimentado un incremento masivo en los últimos tiempos. En este artículo echaremos un vistazo a otra herramienta útil para la detección de este tipo de cuentas en Twitter llamada Botometer.

Botometer nace en el Instituto de Ciencias de la Red en unión con el Centro de Investigación de Redes y Sistemas Complejos, ambos de la Universidad de Indiana de Estados Unidos. Mediante miles y miles de etiquetados, su algoritmo de aprendizaje automático recoge información esencial de cuentas públicas, como podrían ser las funciones de red, amigos, estructura social, patrones de actividad temporal, lenguaje o intención. De esta manera, Botometer es capaz de identificar qué cuenta pertenece a un humano y cual es un bot.

[Read more…]

Detección de bots en twitter (I): Botcheck

15 de enero de 2020 Por

Desde el auge de las redes sociales, el incremento del volumen de información a nuestro alcance y la facilidad para viralizarla ha hecho que la cantidad de información falsa a la que estamos expuestos sea mayor que nunca. Las principales medidas para hacer frente a esta situación son intentar contrastarla con fuentes fiables o recurrir a mecanismos o herramientas para automatizar el proceso de detección de fake news. En este caso, vamos a hablar de una herramienta para detección de bots en twitter llamada Botcheck.

Botcheck es una herramienta en la línea del aprendizaje automático que comprueba la veracidad de las cuentas a través de la observación de su comportamiento. Por ejemplo, si la cuenta tuitea constantemente con solo unos minutos de diferencia entre mensajes, si los tuits consisten en mensajes políticos sensacionalistas y noticias falsas, si todo lo que publica es una copia exacta de los tuits de otra cuenta real, si ha conseguido grandes cantidades de seguidores en poco tiempo o se dedica a retuitear constantemente el contenido de otros perfiles identificados como bots, entonces podemos afirmar con bastante probabilidad que se trata de un bot.

[Read more…]

Cómo te levantan 100.000€ sin pestañear – Análisis forense de una “Estafa al CEO” (IV)

10 de diciembre de 2019 Por
Cómo te levantan 100.000€ sin pestañear – Análisis forense de una “Estafa al CEO” [1] [2] [3] [4]

En el artículo anterior habíamos visto cómo los atacantes habían estado monitorizando y manipulando a su antojo el correo del CEO del MINAF… y que lo habían hecho a través del OWA (Outlook Web Access), el webmail de Exchange.

Para saber cómo funcionan estos logs, tenemos que ver cómo funciona Exchange. Si lo simplificamos mucho, Exchange tiene dos componentes principales: CAS (Client Access Server) y DAG (Database Availability Group), que serían aproximadamente equivalentes al servidor web y a la base de datos de una aplicación web.

[Read more…]

Cómo te levantan 100.000€ sin pestañear – Análisis forense de una “Estafa al CEO” (III)

9 de diciembre de 2019 Por
Cómo te levantan 100.000€ sin pestañear – Análisis forense de una “Estafa al CEO” [1] [2] [3] [4]

En el artículo anterior habíamos comprobado que se habían mandado una serie de correos desde la cuenta del CEO del MINAF al CFO, logrando mediante ingeniería social la realización de una serie de transferencias. Nos quedamos en un punto de la investigación en la que queremos saber más acerca de esos correos, y para ello tenemos que irnos a la base de datos de bajo nivel de Exchange: EventHistoryDB.

[Read more…]

Cómo te levantan 100.000€ sin pestañear – Análisis forense de una “Estafa al CEO” (II)

5 de diciembre de 2019 Por
Cómo te levantan 100.000€ sin pestañear – Análisis forense de una “Estafa al CEO” [1] [2] [3] [4]

Habíamos dejado el artículo anterior con muchas lagunas en la cobertura de correo tanto del CEO como del CFO del MINAF. Una primera (y sobre todo, rápida) solución es recurrir a los logs de MessageTracking. Como ya hemos comentado, el MessageTracking es un log de alto nivel de Exchange que nos ofrece unos datos básicos del mensaje (origen, destino, fecha, asunto) junto con algunos identificadores de bajo nivel (de los que contaremos algo en su momento ya que van a ser fundamentales en nuestra investigación). [Read more…]

Cómo te levantan 100.000€ sin pestañear – Análisis forense de una “Estafa al CEO” (I)

3 de diciembre de 2019 Por
[Nota 0: Esta serie de artículos es una narración (esperamos que entretenida) del caso práctico (ficticio, ojo) que Maite Moreno y el autor presentaron en el congreso de seguridad digital y ciberinteligencia c1b3rwall, organizado por la Policía Nacional. Si queréis tener más información acerca de las estafas al CEO tenéis aquí las slides de nuestra charla, repletas de datos así como de un caso real que investigamos].
[Nota 1: Recalcamos que este caso es ficticio, habiéndolo creado ex profeso para la c1b3rwall. Sin embargo, las técnicas y procedimientos que hemos seguido son idénticos a los que los atacantes emplearían (y emplean), con la diferencia de que ofrecemos todas las evidencias necesarias para poder estudiarlos en detalle. De la misma forma, la investigación podría haberse realizado de forma más eficiente… pero queríamos mostrar algunos elementos y técnicas interesantes para investigar Exchange, de ahí los pasos seguidos].

[Read more…]

Tácticas CNA: una primera propuesta

11 de noviembre de 2019 Por

Hoy toca un artículo doctrinal y algo metafísico…. Vamos, algo denso. Avisados estáis :)

Dentro las operaciones CNO (Computer Network Operations) encontramos tres tipos de capacidades o acciones: CND, CNA y CNE (Defensa, Ataque y Explotación respectivamente); mientras que CND trata obviamente de la defensa de entornos tecnológicos frente a ataques también tecnológicos -no contra un misil que impacta en un CPD-, las operaciones y capacidades CNE se focalizan en la adquisición y explotación de información a través de redes y ordenadores: lo que actualmente estamos denominando ciberespionaje. Por su parte, CNA, Computer Network Attack, hace referencia a lo que en muchas ocasiones se identifica con las operaciones puramente destructivas (las famosas “4D”: disrupt, deny, degrade and destroy).

[Read more…]