UCAM CTF Forense — Like old school

31 de mayo de 2019 Por

Hoy, como aficionado al análisis forense digital (la parte puramente IT, sin entrar demasiado en lo legal), analizaré de forma didáctica el caso ficticio “Lionel Hutz papers” planteado en UCAM CTF, incidiendo en los procesos de resolución empleados y las conclusiones sobre la naturaleza del ataque. Espero que os parezca interesante.

En primer lugar, dos handicaps autoimpuestos:

  1. A diferencia de un ejercicio de IR (respuesta rápida ante incidentes), la evidencia la trataré siempre en frío.
  2. Por tanto, se usará exclusivamente el disco, like old school (que da nombre al post), sin tocar la RAM y mucho menos levantar la VM aislada para monitorizar su actividad.

En segundo lugar, al ser un ejercicio enmarcado en el formato CTF, responderemos de forma indirecta a cuestiones que bien pueden ser interesantes, o bien podrían ser irrelevantes o no concluyentes durante la elaboración de las conclusiones y por tanto en según que casos reales no se habría ni siquiera planteado. Dicho esto, ¡vamos al lío! [Read more…]

Unaaldía organiza su primer evento de ciberseguridad UAD360

30 de mayo de 2019 Por

Unaaldía organiza su primer evento de ciberseguridad en la ciudad de Málaga los próximos días 7 y 8 de junio. El evento ha sido bautizado como UAD360 y contará con talleres, conferencias y un CTF presencial. Además la organización dará regalos a los asistentes y se encargará del almuerzo y desayuno del sábado así como de una consumición de la fiesta del sábado.

La iniciativa ha sido promovida por Una al día y cuenta con la colaboración de la Universidad de Málaga e Hispasec, además del patrocinio de la empresa Buguroo y el apoyo de Extenda e Incibe.

Aquí os compartimos la agenda del evento y la descripción de las charlas y talleres:

Charlas

Sergio de los Santos – Macro problemas / Micro soluciones

Ingeniero Informático de Sistemas por la Universidad de Málaga, donde también ha cursado un Máster en Ingeniería del Software e Inteligencia Artificial. Ha sido galardonado, desde 2013 a 2017, con el premio Microsoft MVP Consumer Security, e imparte clases del máster de Seguridad TIC en la Universidad de Sevilla. Director del Máster en ciberseguridad de la UCAM.

Actualmente Sergio es Director del área de Innovación y Laboratorio de ElevenPaths, la unidad de ciberseguridad en Telefónica Digital. Desde 2000, ha trabajado como auditor y coordinador técnico, ha escrito un libro sobre la historia de la seguridad y tres libros más técnicos sobre hacking y seguridad Windows.

La charla propuesta versará sobre cómo el malware de macro se ha vuelto el vector de ataque estándar y qué micro-soluciones podrían mitigarlo

Durante los 45 minutos que durará la charla se dará un repaso técnico a diferentes ejemplos reales de malware que han utilizado macros en los últimos tiempos como método de infección. Nos centraremos en el “por qué”,  “cómo” y “qué” herramientas disponemos para mitigar este problema.

Fernando Diaz – Dead or Alive 6: Core Unlocks

Ingeniero de software en VirusTotal. Dedicado a desarrollo de tecnología de Sandboxing distribuido para análisis dinámico de binarios en entornos Windows y Android. Investigación dedicada a analisis de malware, kernel drivers y gamehacking.

DOA6 es un videojuego de reciente lanzamiento en Marzo de 2019, dentro del género de lucha. Para aquellos jugadores que no quieran comprar el juego completo, Koei Tecmo da acceso al juego completo pero capado: podremos jugar a todos los modos, pero solo podremos seleccionar 4 personajes de los disponibles.

En esta charla, veremos cómo encontrar la manera de modificar el juego durante ejecución para tener acceso a estos personajes bloqueados y modificar su set de movimientos, pudiendo jugar sin tener el personaje comprado. Para automatizarlo, utilizaremos Frida, un framework de instrumentación de binarios.

David Santos – TOR DIY isolated or not

Investigador de seguridad con más de 10 años de experiencia en el sector público, principalmente enfocado en el estudio e investigación de nuevas amenazas y su explotación.

La charla comenzará con una explicación sobre el funcionamiento interno de Tor, mostrará cómo se ha llevado a cabo la posibilidad de montar una red Tor aislada de Tor Network y las vicisitudes encontradas. Finalmente se mostrará cómo se ha empleado Tor como entorno de laboratorio para realizar ataques y pruebas en nodos de salida, además de resultados reales obtenidos. Se publicará la documentación relacionada con parte de la charla al finalizar la misma.

Soledad Antelada – Protegiendo la red más rápida del mundo

Ingeniera en Ciberseguridad en el Lawrence Berkeley National Lab, perteneciente al Departamento de energía de EEUU y la líder de seguridad de Scinet/SC, la conferencia Internacional de computación de alto rendimiento. Fundadora de GirlsCanHack, una organización dedicada a involucrar a las mujeres en la ciberseguridad y Presidenta del Consejo de Mujeres Científicas e Ingenieras en Berkeley Lab, WSEC. Su experiencia abarca penetration testing, reconocimiento de amenazas, análisis de tráfico de red, respuesta a incidentes, análisis forense, resolución de incidentes de seguridad, arquitectura de red y promoción de una sólida cultura de seguridad a través de consultoría técnica.

SCinet es la infraestructura de red de alto rendimiento dedicada de la Conferencia de Supercomputación (SC), diseñada y construida por expertos voluntarios de la industria, la academia y el gobierno de EEUU y diversas Universidades Europeas. SC es la conferencia internacional para redes, almacenamiento y análisis de computación de alto rendimiento esponsorizada por ACM (Asociación para Maquinaria de Computación) y la asociación de computación IEEE. SC18 en Dallas, superó los 4Tbps. La planificación comienza más de un año antes de cada conferencia SC y culmina en una instalación de alto rendimiento que, durante la conferencia, es la red más rápida y potente del mundo. SCinet es compatible con las aplicaciones y experimentos revolucionarios que son un sello distintivo de la Conferencia SC permite a los expositores demostrar las capacidades informáticas avanzadas de sus soluciones y servicios. El equipo de seguridad de red se encarga de proteger los recursos de SCinet, proveedores, expositores y asistentes durante la conferencia además de proporcionar una solución de seguridad de vanguardia en cada edición de SC. Las actividades del equipo de seguridad incluyen participar en la construcción de la arquitectura de red, diseñar el security stack, filtrar el tráfico dañino de la red, prevenir la aparición de sistemas comprometidos, la gestión de incidentes y también proteger Internet de la potencia de la red SCinet.

Bernardo Quintero

Fundador de Hispasec y VirusTotal. Manager at Chronicle (Google).

Charla por confirmar

Talleres

Luis Vacas – Taller de Pentesting

Capitán del primer equipo español en la plataforma online “Hack The Box”. Ha impartido charlas de evasión de antivirus y es un gran conocedor de pentesting sobre sistemas Windows.

El taller explicará conceptos básicos sobre pentesting guiados por pruebas reales de explotación sobre una infraestructura de 5 máquinas. El nivel irá subiendo y abordará mañana y tarde del viernes.

Eduardo Matallanas – Taller de Inteligencia Artificial

Ph.D. en las áreas de Informática y Gestión de la Energía por la Universidad Politécnica de Madrid (UPM). Doctorado en «Redes neuronales artificiales recurrentes para el control distribuido de redes eléctricas con electricidad fotovoltaica». Autor y coautor de 11 artículos en revistas internacionales y 7 artículos de conferencias internacionales que se centran en las áreas de energía y control. Actualmente trabaja como ingeniero de datos en Plain Concepts.

Hoy en día el uso de la IA se ha hecho extensivo gracias a la democratización de estos servicios y la aparición de nuevos frameworks. Pero el concepto de IA no es nuevo, es más antiguo de lo que creemos. En el taller se hará una revisión histórica de los diferentes hitos dentro de la IA. Se comentará cómo han evolucionado las técnicas de IA y cuáles son los paradigmas de aprendizaje. También se resumirá cuál es el flujo de vida de un proyecto de IA y cómo se dividen cada una de sus fases. Por último, se comentarán diferentes ejemplos de aplicación de la IA. En cuanto a la parte más práctica del taller se verán diversos ejemplos de aplicación sobre el dataset de MNIST y cómo aplicar diferentes aproximaciones para empezar con un ejemplo clásico de clasificación, además de familiarizarse con el framework de TensorFlow desarrollado por Google.

Alberto Segura – Taller de Introducción al Exploiting

Ingeniero Informático por la Universidad de Granada, posee un máster profesional y está cursando el doctorado. Actualmente trabaja como analista de malware en Hispasec.

En el taller se dará una introducción a la explotación de binarios en Linux. Se realizará una breve introducción al lenguaje ensamblador (x86 y x86_64) y a la disposición de memoria, centrándose especialmente en la base necesaria para el desarrollo de exploits (como las convenciones de llamada y retorno de funciones). De modo que, con estos conocimientos básicos, se introduzcan herramientas (GDB, radare2, pwntools) y técnicas habituales (ret2libc, ROP) para la explotación de binarios. Además, se dará un repaso de las medidas de seguridad (ASLR, NX, Stack Canary, PIE) que se han ido añadiendo para dificultar la explotación de vulnerabilidades en binarios, incluyendo escenarios en los que dichas medidas de seguridad no imposibilitan una explotación satisfactoria.

Esperamos que el evento os resulte de interés, y esperamos las crónicas de los que asistáis.

Simple & crazy covert channels (II): MATLAB

2 de mayo de 2019 Por

Desde que empecé a estudiar en la universidad le tengo bastante manía a una herramienta que para muchos es excepcional y vital en sus trabajos. Esa herramienta es MATLAB.

Como a la mayoría de cosas a las que tengo manía, siempre intento utilizarlas para hacer el mal, por ello durante el siguiente artículo vamos a ver unos sencillos trucos para la utilización de esta herramienta para llevar a cabo la ejecución, persistencia, comunicación y exfiltración de información en nuestras auditorias de seguridad.

Durante el artículo, vamos a dar por hecho que la herramienta se encuentra instalada en el equipo de la víctima (cosa no poco probable en caso de que el objeto de nuestra auditoria tenga como objeto el ámbito ingenieril o científico). [Read more…]

MUS CTF DFIR – Desktop (Nivel 4)

11 de abril de 2019 Por

1. ¿Cuál es el hash SHA1 de la imagen forense del puesto de escritorio?

Si la captura forense no tiene hashes, no es una captura forense. Revisamos el fichero MUS-CTF-19-DESKTOP-001.E01.txt y encontramos en un periquete el hash:

[Computed Hashes]
MD5 checksum: c0d0eaf2c981cd247bf600b46e6487c3
SHA1 checksum: a20c2f43a80ddcad35b958b701a6cdd4b67e535c

* Respuesta: a20c2f43a80ddcad35b958b701a6cdd4b67e535c

2. ¿Quién adquirió la imagen forense del puesto de escritorio?

El mismo fichero de logs de la adquisición forense del apartado anterior nos da la respuesta.

Examiner: Powers

* Respuesta: M Powers
[Read more…]

MUS CTF DFIR – Activity (Nivel 3)

10 de abril de 2019 Por

1. ¿Cuántos ficheros fueron descargados del Sharepoint de magnet4nsics?

Esta parece fácil: cargamos con BrowsingHistoryView de Nirsoft (a este gente habría que comprarles un jamón por la maravilla de utilidades que tienen para nuestro uso y disfrute) el historial de los usuarios y lo revisamos, obteniendo un listado de los accesos a Sharepoint:

Si contamos los ficheros que parecen almacenados en el OneDrive nos salen 7 … que resulta ser un precioso Fail. Si nos fijamos un poco, solo tenemos dos descargas reales de ficheros: at-5000-s1.jpg y high4.jpg (el resto entiendo que será navegación por carpetas o algo similar).

* Respuesta: 2

¡EXTRA BONUS! Al responder esta pregunta nos aparece otra (y tiene pinta de repetirse unas cuantas veces más, así que vamos a recolocar un poco el orden de las preguntas).
[Read more…]

MUS CTF DFIR – Secret Project (Nivel 2)

9 de abril de 2019 Por

En la entrada anterior habíamos encontrado un .zip altamente jugoso, así que vamos a empezar a apalearlo para que cante todas las flags de este nivel…

1. ¿Qué lenguaje ha sido empleado para crear el ejecutable del proyecto secreto?

Esta la vamos a responder con la información de la última pregunta de la parte anterior. Dentro de ese estupendo .zip podemos encontrar un ejecutable cuyo icono es bastante delator:

* Respuesta: Python

!Extra Bonus! Cuando respondemos esta pregunta se abren 5 preguntas más. Esto parece que va para largo…

[Read more…]

MUS CTF DFIR – MOBILE (Nivel 1)

8 de abril de 2019 Por

Este fin de semana se pronosticaba un tiempo de perros en Madrid, y todavía estaba arrastrando un malware elegante que no terminaba de curar, así que tocaba casa y manta. Y el mismo viernes por la tarde me entero que la gente de Magnet había abierto al público el reto forense que habían jugado en el MUS (Magnet User Summit), junto con una licencia de prueba de Magnet Axiom para poder probarlo y cacharrear al gusto.

Un poco de AC/DC, leche con miel y whisky (ambos son buenos para currar el catarro, o eso dicen) y un buen reto forense no son un mal plan para el finde ;-)

Enlaces de interés:

[Read more…]

La certificación CISSP – II. Experiencia personal

4 de abril de 2019 Por

En la entrada de ayer vimos algunos aspectos generales de la certificación CISSP, que se pueden ampliar en la página oficial de (ISC)2. En esta entrada es donde voy a entrar en detalle en los aspectos no formales, como materiales, consejos y opiniones personales. Empecemos.

¿Es difícil el examen?

Su buscamos en Google, las principales comunidades de usuario relacionadas con (ISC)2 se encuentran en reddit y  y en los foros de (ISC)2 . En ambos hay múltiples entradas relatando opiniones, experiencia con el examen, solicitando y dando consejos, revisando materiales de estudio y otros temas. Sin embargo, mi impresión es que el tono tiende a ser negativo y algo atemorizador, terrorífico incluso en ocasiones. Muchas personas que han hecho el examen lo describen como muy difícil, redactado de forma intencionadamente compleja (tricky wording) y muy oscuro. A eso se suma que no hay preguntas “ejemplo” en Internet, y que las personas que elaboran el material de formación (incluyendo el libro oficial de preguntas) u ofrecen los cursos de formación (bootcamps) no son nunca las mismas que escriben las preguntas del examen. Por tanto, un elemento crítico al gestionar durante la preparación del examen es la incertidumbre.

[Read more…]

La certificación CISSP – I

3 de abril de 2019 Por

Hace ya unos cuantos años (2011), nuestro compañero José Luis Villalón nos hablaba de la certificación CISSP, de (ISC)2. Como las cosas han cambiado algo desde entonces, y aprovechando que aprobé recientemente el examen, vamos a echar un vistazo a esta certificación, a los cambios que ha sufrido y (en el siguiente post) a algunos consejos que personalmente me han servido para superar el examen.

Introducción

La certificación CISSP (Certified Information Systems Security Professional) de (ISC)2 es en la actualidad una de las principales certificaciones (básica para mí, aunque eso depende de la experiencia y recorrido profesional de cada persona) en materia de seguridad de la información, aunque tiene una mayor difusión en EEUU que en el resto de países, si echamos un vistazo al número de certificados por país. Mientras que a 31 de diciembre de 2018 EEUU contaba con cerca de 84500 certificados, entre Alemania (2100), Francia (1000), Italia (400) y España (650) sumaban poco más de 3000. Esto es probablemente debido a que muchos departamentos de Recursos Humanos en EEUU lo consideran un prerrequisito básico en el ámbito de la ciberseguridad, además de la significativa mayor aceptación que los certificados de (ISC)2 tienen en el mercado estadounidense.

[Read more…]

Military Financing Maldoc: análisis

2 de abril de 2019 Por

Recientemente, desde Lab52 de S2 Grupo hemos detectado una campaña de infección a través de un documento malicioso que nos ha llamado especialmente la atención debido a su contenido y título.

El documento en cuestión, llamado “Military Financing.xlsm” y con hash “efe51c2453821310c7a34dca3054021d0f6d453b7133c381d75e3140901efd12”, destaca principalmente por su nombre y la imagen que contiene, que hace referencia a un documento con información secreta del departamento de estado de EEUU.

Ilustración 1 Captura de la imagen que contiene del documento

[Read more…]