Blog de Seguridad de la Información de S2 Grupo
En los tiempos que corren, la ciberseguridad parece haber quedado en un segundo plano (y no sin razón, hay mucha gente que tiene otras preocupaciones más acuciantes).
Sin embargo, los cibercriminales no descansan. Y en estos momentos en los que todo aquel que puede está en su casa teletrabajando (¡bien hecho!), en muchos casos a marchas forzadas, somos especialmente vulnerables a ciberataques (un ransomware, por ejemplo, podría ser desastroso).
[Nota: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio (pero contada, esperamos, de forma didáctica y con gracia y salero). Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo de la charla que el autor dio en las XIII Jornadas STIC del CCN-CERT, o echar un ojo las slides de la presentación].
[Nota 2: Estos posts desgranan un taller de análisis forense englobado dentro de la respuesta ante un incidente. Habrá algunas cosas que se podrían hacer de manera más eficiente y elegante, pero la idea era hacerlas de forma sencilla para que sean fáciles de entender. Y como todo buen taller práctico, se puede seguir paso a paso: el CCN-CERT está alojando en LORETO todo el material, que podéis descargar desde aquí. Tenéis tanto las evidencias en bruto (si queréis primero intentar encontrar el bicho por vuestra cuenta sin leer nada de la solución) como una guía paso a paso con todas las herramientas y evidencias necesarias en cada paso].
Al día siguiente, con medio litro de café en el cuerpo, Ángela queda en el MINAF con Salvador y le pone al corriente de todo lo sucedido. A grandes rasgos, su teoría de lo sucedido es la siguiente:
[Nota: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio (pero contada, esperamos, de forma didáctica y con gracia y salero). Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo de la charla que el autor dio en las XIII Jornadas STIC del CCN-CERT, o echar un ojo las slides de la presentación].
[Nota 2: Estos posts desgranan un taller de análisis forense englobado dentro de la respuesta ante un incidente. Habrá algunas cosas que se podrían hacer de manera más eficiente y elegante, pero la idea era hacerlas de forma sencilla para que sean fáciles de entender. Y como todo buen taller práctico, se puede seguir paso a paso: el CCN-CERT está alojando en LORETO todo el material, que podéis descargar desde aquí. Tenéis tanto las evidencias en bruto (si queréis primero intentar encontrar el bicho por vuestra cuenta sin leer nada de la solución) como una guía paso a paso con todas las herramientas y evidencias necesarias en cada paso].
En el artículo anterior habíamos dejado a Ángela buscando la localización de WEBSERVER para poder extraer evidencias que le permitieran comprender el alcance de la intrusión.
El nombre no le es familiar, así que puede ser algún servidor nuevo que haya sido puesto en producción recientemente. Ángela busca en la herramienta de inventario sin éxito. Revisa su hoja Excel con los equipos de la DMZ sin encontrar WEBSERVER. Manda un mensaje al área de Sistemas dentro del programa de mensajería corporativa interna … y está a punto de meterse en el cortafuegos perimetral a revisar a mano una a una las reglas cuando Beneplácito Seguro (uno de los administradores de red del MINAF), le dice que conoce ese servidor, y le cuenta la historia detrás del mismo.
[Nota: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio (pero contada, esperamos, de forma didáctica y con gracia y salero). Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo de la charla que el autor dio en las XIII Jornadas STIC del CCN-CERT, o echar un ojo las slides de la presentación].
[Nota 2: Estos posts desgranan un taller de análisis forense englobado dentro de la respuesta ante un incidente. Habrá algunas cosas que se podrían hacer de manera más eficiente y elegante, pero la idea era hacerlas de forma sencilla para que sean fáciles de entender. Y como todo buen taller práctico, se puede seguir paso a paso: el CCN-CERT está alojando en LORETO todo el material, que podéis descargar desde aquí. Tenéis tanto las evidencias en bruto (si queréis primero intentar encontrar el bicho por vuestra cuenta sin leer nada de la solución) como una guía paso a paso con todas las herramientas y evidencias necesarias en cada paso].
En el artículo anterior dejamos a Ángela con la sensación de que “algo no encajaba”, que tenía que investigar más a fondo el equipo de Salvador Bendito para estar totalmente segura de su culpabilidad.
Ángela decide que la mejor forma de saber qué es lo que ha pasado en el equipo es revisar todos los programas ejecutados. Aunque Windows 10 tiene funcionalidades nuevas para ello como el BAM (Background Activity Monitoring) o el AmCache, si todavía tenemos Prefetch es la primera opción a tener en cuenta.
[Nota: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio (pero contada, esperamos, de forma didáctica y con gracia y salero). Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo de la charla que el autor dio en las XIII Jornadas STIC del CCN-CERT, o echar un ojo las slides de la presentación].
[Nota 2: Estos posts desgranan un taller de análisis forense englobado dentro de la respuesta ante un incidente. Habrá algunas cosas que se podrían hacer de manera más eficiente y elegante, pero la idea era hacerlas de forma sencilla para que sean fáciles de entender. Y como todo buen taller práctico, se puede seguir paso a paso: el CCN-CERT está alojando en LORETO todo el material, que podéis descargar desde aquí. Tenéis tanto las evidencias en bruto (si queréis primero intentar encontrar el bicho por vuestra cuenta sin leer nada de la solución) como una guía paso a paso con todas las herramientas y evidencias necesarias en cada paso].
En el artículo anterior comprobamos que, al parecer, se habían producido algunos accesos altamente irregulares desde el equipo de Salvador Bendito, el administrador de sistemas senior (y única persona además de los altos cargos del MINAF que tenía acceso a CHITONSRV).
La cuestión es bastante delicada: Salvador Bendito lleva 7 años como funcionario del MINAF, con un comportamiento intachable y habiendo sido parte fundamental en la respuesta a otros incidentes (como el del malware fileless del año pasado). Sin embargo, ante la más mínima posibilidad de que él haya sido el culpable, se impone seguir un riguroso procedimiento que ofrezca todas las garantías.
[Nota: Esta serie de posts es una narración de un análisis forense de un caso práctico de respuesta ante incidentes totalmente ficticio (pero contada, esperamos, de forma didáctica y con gracia y salero). Si queréis una versión con la misma dosis técnica pero con menos narrativa, podéis consultar el vídeo de la charla que el autor dio en las XIII Jornadas STIC del CCN-CERT, o echar un ojo las slides de la presentación].
[Nota 2: Estos posts desgranan un taller de análisis forense englobado dentro de la respuesta ante un incidente. Habrá algunas cosas que se podrían hacer de manera más eficiente y elegante, pero la idea era hacerlas de forma sencilla para que sean fáciles de entender. Y como todo buen taller práctico, se puede seguir paso a paso: el CCN-CERT está alojando en LORETO todo el material, que podéis descargar desde aquí. Tenéis tanto las evidencias en bruto (si queréis primero intentar encontrar el bicho por vuestra cuenta sin leer nada de la solución) como una guía paso a paso con todas las herramientas y evidencias necesarias en cada paso].
La semana no ha sido especialmente agradable para Ángela de la Guarda, CISO del MINAF (Ministerio de la Alegría y la Felicidad). A la media docena de reuniones para dar el último empujón a la implantación del ENS (Esquema Nacional de Seguridad) en el MINAF se ha sumado el papeleo de la renovación de varios contratos del área… y la crisis de la pérdida de la alta disponibilidad de uno de los sistemas críticos de la subdirección TIC del MINAF: se ha roto una de las dos máquinas de café (lo que significa una sola máquina para alrededor de 80 personas; imagina el aumento de la latencia y los timeout que ello implica).
Menos mal que ya estamos a viernes, y el fin de semana se acerca con un spa, la serie Fleabag y un rato de cacharreo con la Raspberry Pi 4… o esos eran los planes de Ángela hasta que recibe una llamada urgente del CCN-CERT (el por qué estas llamadas son siempre los viernes a las 14.15h es algo que solo $deity sabe, pero casi siempre son a estas horas).
Como ya parece ser una (estupenda) tradición dentro de la DEFCON, se ha vuelto a lanzar un reto forense no oficial. Este año se lanzó el día en el que me iba de vacaciones, así que llegamos con retraso para resolverlo, pero llegamos.
Lo primero son los datos con los que tenemos que trabajar. Las evidencias están disponibles en este enlace de Dropbox:
https://www.dropbox.com/sh/4qfk1miauqbvqst/AAAVCI1G8Sc8xMoqK_TtmSbia?dl=0
y aquí tenéis el enlace al sitio web del CTF:
El reto es más largo que un día sin pan (83 preguntas si he hecho bien las cuentas), así que para no volverme loco me he puesto un límite temporal: tengo una semana para dedicarle al reto, writeup incluido. El domingo 25 ya descargué todas las evidencias y dejé todo listo para empezar, así que el lunes 26 empezamos con ganas. [Read more…]
Unaaldía organiza su primer evento de ciberseguridad en la ciudad de Málaga los próximos días 7 y 8 de junio. El evento ha sido bautizado como UAD360 y contará con talleres, conferencias y un CTF presencial. Además la organización dará regalos a los asistentes y se encargará del almuerzo y desayuno del sábado así como de una consumición de la fiesta del sábado.
La iniciativa ha sido promovida por Una al día y cuenta con la colaboración de la Universidad de Málaga e Hispasec, además del patrocinio de la empresa Buguroo y el apoyo de Extenda e Incibe.
Aquí os compartimos la agenda del evento y la descripción de las charlas y talleres:
Sergio de los Santos – Macro problemas / Micro soluciones
Ingeniero Informático de Sistemas por la Universidad de Málaga, donde también ha cursado un Máster en Ingeniería del Software e Inteligencia Artificial. Ha sido galardonado, desde 2013 a 2017, con el premio Microsoft MVP Consumer Security, e imparte clases del máster de Seguridad TIC en la Universidad de Sevilla. Director del Máster en ciberseguridad de la UCAM.
Actualmente Sergio es Director del área de Innovación y Laboratorio de ElevenPaths, la unidad de ciberseguridad en Telefónica Digital. Desde 2000, ha trabajado como auditor y coordinador técnico, ha escrito un libro sobre la historia de la seguridad y tres libros más técnicos sobre hacking y seguridad Windows.
La charla propuesta versará sobre cómo el malware de macro se ha vuelto el vector de ataque estándar y qué micro-soluciones podrían mitigarlo
Durante los 45 minutos que durará la charla se dará un repaso técnico a diferentes ejemplos reales de malware que han utilizado macros en los últimos tiempos como método de infección. Nos centraremos en el “por qué”, “cómo” y “qué” herramientas disponemos para mitigar este problema.
Fernando Diaz – Dead or Alive 6: Core Unlocks
Ingeniero de software en VirusTotal. Dedicado a desarrollo de tecnología de Sandboxing distribuido para análisis dinámico de binarios en entornos Windows y Android. Investigación dedicada a analisis de malware, kernel drivers y gamehacking.
DOA6 es un videojuego de reciente lanzamiento en Marzo de 2019, dentro del género de lucha. Para aquellos jugadores que no quieran comprar el juego completo, Koei Tecmo da acceso al juego completo pero capado: podremos jugar a todos los modos, pero solo podremos seleccionar 4 personajes de los disponibles.
En esta charla, veremos cómo encontrar la manera de modificar el juego durante ejecución para tener acceso a estos personajes bloqueados y modificar su set de movimientos, pudiendo jugar sin tener el personaje comprado. Para automatizarlo, utilizaremos Frida, un framework de instrumentación de binarios.
David Santos – TOR DIY isolated or not
Investigador de seguridad con más de 10 años de experiencia en el sector público, principalmente enfocado en el estudio e investigación de nuevas amenazas y su explotación.
La charla comenzará con una explicación sobre el funcionamiento interno de Tor, mostrará cómo se ha llevado a cabo la posibilidad de montar una red Tor aislada de Tor Network y las vicisitudes encontradas. Finalmente se mostrará cómo se ha empleado Tor como entorno de laboratorio para realizar ataques y pruebas en nodos de salida, además de resultados reales obtenidos. Se publicará la documentación relacionada con parte de la charla al finalizar la misma.
Soledad Antelada – Protegiendo la red más rápida del mundo
Ingeniera en Ciberseguridad en el Lawrence Berkeley National Lab, perteneciente al Departamento de energía de EEUU y la líder de seguridad de Scinet/SC, la conferencia Internacional de computación de alto rendimiento. Fundadora de GirlsCanHack, una organización dedicada a involucrar a las mujeres en la ciberseguridad y Presidenta del Consejo de Mujeres Científicas e Ingenieras en Berkeley Lab, WSEC. Su experiencia abarca penetration testing, reconocimiento de amenazas, análisis de tráfico de red, respuesta a incidentes, análisis forense, resolución de incidentes de seguridad, arquitectura de red y promoción de una sólida cultura de seguridad a través de consultoría técnica.
SCinet es la infraestructura de red de alto rendimiento dedicada de la Conferencia de Supercomputación (SC), diseñada y construida por expertos voluntarios de la industria, la academia y el gobierno de EEUU y diversas Universidades Europeas. SC es la conferencia internacional para redes, almacenamiento y análisis de computación de alto rendimiento esponsorizada por ACM (Asociación para Maquinaria de Computación) y la asociación de computación IEEE. SC18 en Dallas, superó los 4Tbps. La planificación comienza más de un año antes de cada conferencia SC y culmina en una instalación de alto rendimiento que, durante la conferencia, es la red más rápida y potente del mundo. SCinet es compatible con las aplicaciones y experimentos revolucionarios que son un sello distintivo de la Conferencia SC permite a los expositores demostrar las capacidades informáticas avanzadas de sus soluciones y servicios. El equipo de seguridad de red se encarga de proteger los recursos de SCinet, proveedores, expositores y asistentes durante la conferencia además de proporcionar una solución de seguridad de vanguardia en cada edición de SC. Las actividades del equipo de seguridad incluyen participar en la construcción de la arquitectura de red, diseñar el security stack, filtrar el tráfico dañino de la red, prevenir la aparición de sistemas comprometidos, la gestión de incidentes y también proteger Internet de la potencia de la red SCinet.
Bernardo Quintero
Fundador de Hispasec y VirusTotal. Manager at Chronicle (Google).
Charla por confirmar
Luis Vacas – Taller de Pentesting
Capitán del primer equipo español en la plataforma online “Hack The Box”. Ha impartido charlas de evasión de antivirus y es un gran conocedor de pentesting sobre sistemas Windows.
El taller explicará conceptos básicos sobre pentesting guiados por pruebas reales de explotación sobre una infraestructura de 5 máquinas. El nivel irá subiendo y abordará mañana y tarde del viernes.
Eduardo Matallanas – Taller de Inteligencia Artificial
Ph.D. en las áreas de Informática y Gestión de la Energía por la Universidad Politécnica de Madrid (UPM). Doctorado en «Redes neuronales artificiales recurrentes para el control distribuido de redes eléctricas con electricidad fotovoltaica». Autor y coautor de 11 artículos en revistas internacionales y 7 artículos de conferencias internacionales que se centran en las áreas de energía y control. Actualmente trabaja como ingeniero de datos en Plain Concepts.
Hoy en día el uso de la IA se ha hecho extensivo gracias a la democratización de estos servicios y la aparición de nuevos frameworks. Pero el concepto de IA no es nuevo, es más antiguo de lo que creemos. En el taller se hará una revisión histórica de los diferentes hitos dentro de la IA. Se comentará cómo han evolucionado las técnicas de IA y cuáles son los paradigmas de aprendizaje. También se resumirá cuál es el flujo de vida de un proyecto de IA y cómo se dividen cada una de sus fases. Por último, se comentarán diferentes ejemplos de aplicación de la IA. En cuanto a la parte más práctica del taller se verán diversos ejemplos de aplicación sobre el dataset de MNIST y cómo aplicar diferentes aproximaciones para empezar con un ejemplo clásico de clasificación, además de familiarizarse con el framework de TensorFlow desarrollado por Google.
Alberto Segura – Taller de Introducción al Exploiting
Ingeniero Informático por la Universidad de Granada, posee un máster profesional y está cursando el doctorado. Actualmente trabaja como analista de malware en Hispasec.
En el taller se dará una introducción a la explotación de binarios en Linux. Se realizará una breve introducción al lenguaje ensamblador (x86 y x86_64) y a la disposición de memoria, centrándose especialmente en la base necesaria para el desarrollo de exploits (como las convenciones de llamada y retorno de funciones). De modo que, con estos conocimientos básicos, se introduzcan herramientas (GDB, radare2, pwntools) y técnicas habituales (ret2libc, ROP) para la explotación de binarios. Además, se dará un repaso de las medidas de seguridad (ASLR, NX, Stack Canary, PIE) que se han ido añadiendo para dificultar la explotación de vulnerabilidades en binarios, incluyendo escenarios en los que dichas medidas de seguridad no imposibilitan una explotación satisfactoria.
Esperamos que el evento os resulte de interés, y esperamos las crónicas de los que asistáis.
Los incidentes de seguridad son un caso muy interesante de informe técnico, ya que tienen unas características particulares que debemos tener en cuenta a la hora de plasmarlas en un informe.
Os mostramos a continuación unos consejos (adicionales a los ya vistos en artículos anteriores) para que vuestros informes de incidentes de seguridad salgan “niquelados”.
Conoce tus tipos de informe
Los incidentes de seguridad tienen varias fases, existiendo varios tipos de informe en función de la audiencia y el objeto del mismo. Conocer qué es lo que esperan recibir en su informe es la mitad del éxito. [Read more…]
Durante la gestión de casos forenses, hay veces que nos encontramos en un callejón sin salida, donde tras la detección de un indicador de compromiso de carácter crítico, nos toca abordar un análisis con evidencias poco sólidas.
Es por ello, que decidí llevar a cabo el desarrollo de una herramienta de carving que se basara en la detección con reglas Yara. Dicha herramienta también debía de manejar archivos en raw y ser capaz de llevar a cabo una gran variedad de opciones sobre estos datos de manera flexible, por lo que decidí utilizar Radare2.
De esta combinación nació YaraRET, una herramienta de carving de ficheros desarrollada en Go, cuya versión estable está disponible en el repositorio de YaraRules: https://github.com/Yara-Rules/YaraRET
La versión de desarrollo puede ser encontrada en el siguiente repositorio: https://github.com/wolfvan/YaraRET
Así pues, durante el siguiente artículo se va a exponer la resolución de un caso forense ficticio con YaraRET, el cual está basado en la combinación de varios casos que me he ido encontrando desde hace unos cuantos meses. [Read more…]
