Search Results for: análisis forense

Raspberry Robin: caso real de análisis forense

Raspberry Robin fue una amenaza latente durante el año 2022, causando múltiples incidentes en organizaciones de diferente índole. Dicha amenaza posee como vector de entrada un medio extraíble, una tarjeta SD o un USB drive. Raspberry Robin pertenece a un gran ecosistema para desplegar IcedID, BlumbleBee y TrueBot.

Principalmente, es liderado por DEV-0243 (DEV-0206 and DEV-0243: An “evil” partnership), aunque se ha visto usado por actores como DEV-0950 (FIN11/TA505). Este despliega el ransomware Clop en la última etapa. Red Canary (Raspberry Robin gets the worm early) y Microsoft (A new worm hatches: Raspberry Robin’s initial propagation via USB drives) publicaron extensos artículos sobre las técnicas, tácticas y procedimientos ejecutados por Raspberry Robin.

[Read more…]

Cómo te levantan 100.000€ sin pestañear – Análisis forense de una “Estafa al CEO” (IV)

En el artículo anterior habíamos visto cómo los atacantes habían estado monitorizando y manipulando a su antojo el correo del CEO del MINAF… y que lo habían hecho a través del OWA (Outlook Web Access), el webmail de Exchange.

Para saber cómo funcionan estos logs, tenemos que ver cómo funciona Exchange. Si lo simplificamos mucho, Exchange tiene dos componentes principales: CAS (Client Access Server) y DAG (Database Availability Group), que serían aproximadamente equivalentes al servidor web y a la base de datos de una aplicación web.

[Read more…]

Cómo te levantan 100.000€ sin pestañear – Análisis forense de una “Estafa al CEO” (III)

En el artículo anterior habíamos comprobado que se habían mandado una serie de correos desde la cuenta del CEO del MINAF al CFO, logrando mediante ingeniería social la realización de una serie de transferencias. Nos quedamos en un punto de la investigación en la que queremos saber más acerca de esos correos, y para ello tenemos que irnos a la base de datos de bajo nivel de Exchange: EventHistoryDB.

[Read more…]

Cómo te levantan 100.000€ sin pestañear – Análisis forense de una “Estafa al CEO” (II)

Habíamos dejado el artículo anterior con muchas lagunas en la cobertura de correo tanto del CEO como del CFO del MINAF. Una primera (y sobre todo, rápida) solución es recurrir a los logs de MessageTracking. Como ya hemos comentado, el MessageTracking es un log de alto nivel de Exchange que nos ofrece unos datos básicos del mensaje (origen, destino, fecha, asunto) junto con algunos identificadores de bajo nivel (de los que contaremos algo en su momento ya que van a ser fundamentales en nuestra investigación). [Read more…]

Cómo te levantan 100.000€ sin pestañear – Análisis forense de una “Estafa al CEO” (I)

[Read more…]

Agujas, pajares e imanes: Análisis forense de malware fileless (V)

En el artículo anterior Ángela ya tenía gracias al análisis forense toda la información del ataque, así que le toca continuar con la respuesta al incidente en las fases de contención, erradicación y recuperación.

Respuesta al incidente

Con todas las respuestas importantes en la mano, Ángela puede hacer un esquema muy rápido del incidente:

  1. Los atacantes envían un spear-phishing a Pepe Contento y otros altos cargos el 3 de noviembre sobre las 10.37h.
  2. El usuario Pepe Contento abre el correo y pincha sobre el enlace el mismo día a las 11.05h, ejecutando el código malicioso entregado por Sharpshooter y comprometiendo su equipo con una sesión de Meterpreter.
  3. Los atacantes verifican que tienen privilegios de administrador y obtienen las credenciales del equipo, encontrando el hash de un administrador de dominio (que tenía sesión iniciada en el equipo).
  4. Los atacantes se hacen pasar por la cuenta de administrador de dominio y acceden a las contraseñas cifradas de varios altos cargos.
  5. Estas contraseñas cifradas son rotas por los atacantes mediante un ataque de fuerza bruta, obteniendo las contraseñas en claro.
  6. Los atacantes emplean esas credenciales para acceder a los webmail de diversos altos cargos entre las 11.30h y las 16.00h del mismo día.
  7. A las 15.30h la usuaria maria.feliz detecta un comportamiento inusual de su cuenta de correo y lo comunica al CAU.
  8. A las 15.45h el CAU corrobora el comportamiento extraño y avisa a Seguridad.
  9. Seguridad accede a las 15.55h a los logs del correo y detecta los accesos anómalos.
  10. Se declara incidente de seguridad a las 16.00h.

[Read more…]

Agujas, pajares e imanes: Análisis forense de malware fileless (IV)

Paso 7: Correo

En la entrada anterior Salvador había destripado el malware y encontrado el C2, y Ángela había confirmado que era una sesión de Meterpreter, habiéndose hecho una idea de las posibles acciones realizadas por los atacantes.

Tan solo queda localizar el vector de entrada, que por el análisis de memoria sabíamos que era un correo electrónico malicioso. Es el momento perfecto para recuperar el equipo del usuario pepe.contento, entrar con un LiveUSB forense (como DEFT o SIFT) y recuperar el .ost del usuario del directorio C:\Users\pepe.contento\AppData\Local\Microsoft\Outlook.

Para leerlo en modo solo lectura la forma más cómoda es emplear Kernel OST Viewer, que permite abrir el fichero de correo entero (y con acceso a los metadatos). En 30 segundos Ángela ha encontrado lo que buscaba:
[Read more…]

Agujas, pajares e imanes: Análisis forense de malware fileless (III)

Paso 5: Análisis de malware

En la entrada anterior Ángela había encontrado la persistencia del malware, así que procede analizarlo para ver su contenido. Salvador (a pesar de su espesa barba digna de un administrador de HP-UX de principios de siglo) está más contento que un niño con zapatos nuevos, así que se lanza a por el malware como un fox-terrier hambriento.

Lo primero de todo es comprobar si nos estamos enfrentando a un malware conocido. Para ello Salvador copia el código en base64 a un fichero de texto, calcula su hash con HashMyFiles y lo sube a VirusTotal sin obtener resultados. Interesante…

El segundo paso sería subir el fichero a VirusTotal, pero Salvador ha estado atento a lo explicado por sus profesores del curso de análisis de malware: algunos atacantes vigilan de forma constante VirusTotal para comprobar si su malware ha sido subido a la plataforma, usándola como un sistema de alerta temprana.
[Read more…]

Agujas, pajares e imanes: Análisis forense de malware fileless (II)

Paso 3: Logs de eventos

En la entrada anterior dejamos a Ángela blasfemando por la manera en la que los atacantes habían empleado un antiguo dominio del MINAF para realizar su ataque. Ahora toca comprobar lo sigilosos que han sido revisando los logs del sistema.

Todo equipo Windows tiene un registro de eventos, situado en los equipos modernos en:

C:\Windows\System32\winevt\Logs

Existen diversos registros en función de los eventos que se guardan. Los clásicos son Seguridad, Sistema y Aplicación, pero a día de hoy tenemos varias docenas más de registros, que en algunos casos nos pueden dar información vital. Estos registros se guardan en formato binario, por lo que necesitamos algún programa para abrirlos.

[Read more…]

Agujas, pajares e imanes: Análisis forense de malware fileless (I)

[Nota: Esta serie de posts es una narración de un análisis forense de un caso práctico totalmente ficticio (pero contada, esperamos, de forma didáctica y con gracia y salero). Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo de la charla que el autor dio en las XII Jornadas STIC del CCN-CERT, o echar un ojo las slides de la presentación].

[Nota 2: Estos posts desgranan un taller de análisis forense básico. Habrá algunas cosas que se podrían hacer de manera más eficiente y elegante, pero la idea era hacerlas de forma sencilla para que fueran fáciles de entender. Y como todo buen taller práctico, se puede seguir paso a paso: el CCN-CERT está alojando en LORETO todo el material, que podéis descargar desde aquí. Tenéis tanto las evidencias en bruto (si queréis primero intentar encontrar el bicho por vuestra cuenta sin leer nada de la solución) como una guía paso a paso con todas las herramientas y evidencias necesarias en cada paso].

Un nuevo día empieza en las instalaciones del MINAF (Ministerio de la Alegría y la Felicidad), lo que para Ángela de la Guarda (CISO del MINAF) significa café, reuniones y papeleo. Al menos, el proyecto del ENF (Esquema Nacional de Felicidad) está de una vez saliendo adelante…

[Read more…]