Detección de bots en twitter (II): Botometer

El otro día veíamos la herramienta Botcheck para la detección de cuentas falsas y bots, creados esencialmente para el sabotaje de personajes públicos y la divulgación de noticias no verídicas, que han experimentado un incremento masivo en los últimos tiempos. En este artículo echaremos un vistazo a otra herramienta útil para la detección de este tipo de cuentas en Twitter llamada Botometer.

Botometer nace en el Instituto de Ciencias de la Red en unión con el Centro de Investigación de Redes y Sistemas Complejos, ambos de la Universidad de Indiana de Estados Unidos. Mediante miles y miles de etiquetados, su algoritmo de aprendizaje automático recoge información esencial de cuentas públicas, como podrían ser las funciones de red, amigos, estructura social, patrones de actividad temporal, lenguaje o intención. De esta manera, Botometer es capaz de identificar qué cuenta pertenece a un humano y cual es un bot.

[Read more…]

Detección de bots en twitter (I): Botcheck

Desde el auge de las redes sociales, el incremento del volumen de información a nuestro alcance y la facilidad para viralizarla ha hecho que la cantidad de información falsa a la que estamos expuestos sea mayor que nunca. Las principales medidas para hacer frente a esta situación son intentar contrastarla con fuentes fiables o recurrir a mecanismos o herramientas para automatizar el proceso de detección de fake news. En este caso, vamos a hablar de una herramienta para detección de bots en twitter llamada Botcheck.

Botcheck es una herramienta en la línea del aprendizaje automático que comprueba la veracidad de las cuentas a través de la observación de su comportamiento. Por ejemplo, si la cuenta tuitea constantemente con solo unos minutos de diferencia entre mensajes, si los tuits consisten en mensajes políticos sensacionalistas y noticias falsas, si todo lo que publica es una copia exacta de los tuits de otra cuenta real, si ha conseguido grandes cantidades de seguidores en poco tiempo o se dedica a retuitear constantemente el contenido de otros perfiles identificados como bots, entonces podemos afirmar con bastante probabilidad que se trata de un bot.

[Read more…]

Cómo te levantan 100.000€ sin pestañear – Análisis forense de una «Estafa al CEO» (IV)

En el artículo anterior habíamos visto cómo los atacantes habían estado monitorizando y manipulando a su antojo el correo del CEO del MINAF… y que lo habían hecho a través del OWA (Outlook Web Access), el webmail de Exchange.

Para saber cómo funcionan estos logs, tenemos que ver cómo funciona Exchange. Si lo simplificamos mucho, Exchange tiene dos componentes principales: CAS (Client Access Server) y DAG (Database Availability Group), que serían aproximadamente equivalentes al servidor web y a la base de datos de una aplicación web. [Read more…]

Cómo te levantan 100.000€ sin pestañear – Análisis forense de una «Estafa al CEO» (III)

En el artículo anterior habíamos comprobado que se habían mandado una serie de correos desde la cuenta del CEO del MINAF al CFO, logrando mediante ingeniería social la realización de una serie de transferencias. Nos quedamos en un punto de la investigación en la que queremos saber más acerca de esos correos, y para ello tenemos que irnos a la base de datos de bajo nivel de Exchange: EventHistoryDB. [Read more…]

Cómo te levantan 100.000€ sin pestañear – Análisis forense de una «Estafa al CEO» (II)

Habíamos dejado el artículo anterior con muchas lagunas en la cobertura de correo tanto del CEO como del CFO del MINAF. Una primera (y sobre todo, rápida) solución es recurrir a los logs de MessageTracking. Como ya hemos comentado, el MessageTracking es un log de alto nivel de Exchange que nos ofrece unos datos básicos del mensaje (origen, destino, fecha, asunto) junto con algunos identificadores de bajo nivel (de los que contaremos algo en su momento ya que van a ser fundamentales en nuestra investigación). [Read more…]

Cómo te levantan 100.000€ sin pestañear – Análisis forense de una «Estafa al CEO» (I)

[Read more…]

DEFCON DFIR CTF 2019 (IV): Triage VM Questions

Las evidencias son un precioso fichero .7z (que en Debian no se puede abrir con unzip, hay que usar p7zip, ojo), que una vez descomprimido nos deja los siguientes ficheros:


# ls -laht
total 27G
drwxr-xr-x 2 root root 4.0K Aug 27 18:10 .
drwxr-xr-x 5 root root 4.0K Aug 27 17:43 ..
-rw-r--r-- 1 root root 4.0G Mar 22 22:21 DFA_CTF_Triage-0.vmdk
-rw-r--r-- 1 root root  23G Mar 22 22:21 DFA_CTF_Triage.vmdk
-rw-r--r-- 1 root root 2.0K Mar 22 22:14 DFA_CTF_Triage.vmx

Podríamos arrancar la máquina virtual en VMWare, pero vamos a tratar la VM como una evidencia muerta, para ver si somos capaces de sacar todas las evidencias de un modo más formal.

La forma más rápida de montar en Debian un .vmdk es, si tienes qemu instalado, la siguiente: [Read more…]

DEFCON DFIR CTF 2019 Writeup (III): Memory Forensics

1. ¿Cuál es el hash SHA1 del fichero triage.mem?

Un poquito de sha1sum para empezar a calentar…

# sha1sum adam.mem
c95e8cc8c946f95a109ea8e47a6800de10a27abd  adam.mem

* Respuesta: c95e8cc8c946f95a109ea8e47a6800de10a27abd

2. ¿Qué perfil de memoria es el más apropiado para esta máquina (ej: Win10x86_14393)

Volatility nos da la información gracias al plugin imageinfo: [Read more…]

DEFCON DFIR CTF 2019 writeup (II): Linux Forensics

Como habíamos visto en la parte de Windows, la adquisición forense del equipo Horcrux nos había dejado una tabla de particiones cargadita, siendo una de ellas una de Linux. Siendo Linux, parece tener sentido el realizar el forense desde otro Linux.

En primer lugar vamos a montar la partición como es debido para poder ver lo que tenemos dentro (si estáis en un sistema Linux necesitaréis las ewftools, y aquí [https://www.andreafortuna.org/2018/04/11/how-to-mount-an-ewf-image-file-e01-on-linux/] tenéis un tutorial estupendo sobre cómo hacerlo):

Montamos el contenedor: [Read more…]

DEFCON DFIR CTF 2019 writeup (I): Crypto + Deadbox Forensics

Como ya parece ser una (estupenda) tradición dentro de la DEFCON, se ha vuelto a lanzar un reto forense no oficial. Este año se lanzó el día en el que me iba de vacaciones, así que llegamos con retraso para resolverlo, pero llegamos.

Lo primero son los datos con los que tenemos que trabajar. Las evidencias están disponibles en este enlace de Dropbox:

https://www.dropbox.com/sh/4qfk1miauqbvqst/AAAVCI1G8Sc8xMoqK_TtmSbia?dl=0

y aquí tenéis el enlace al sitio web del CTF:

https://defcon2019.ctfd.io/

El reto es más largo que un día sin pan (83 preguntas si he hecho bien las cuentas), así que para no volverme loco me he puesto un límite temporal: tengo una semana para dedicarle al reto, writeup incluido. El domingo 25 ya descargué todas las evidencias y dejé todo listo para empezar, así que el lunes 26 empezamos con ganas. [Read more…]