Are you the weakest link?

Transcripción

1 La defensa del patrimonio tecnológico frente a los ciberataques 10 y 11 de diciembre de 2014 Are you the weakest link? 2014 Centro Criptológico Nacional C/Argentona 20, MADRID cert.cni.es

2 La defensa del patrimonio tecnológico frente a los ciberataques 10 y 11 de diciembre de 2014 Are Were you the weakest link? 2014 Centro Criptológico Nacional C/Argentona 20, MADRID cert.cni.es

3 VIII JORNADAS STIC CCN-CERT whoami? Lorenzo Martínez Securízame ( SbD 2

4 Historia y agradecimientos 3

5 Historia y agradecimientos Anterior estudio y experiencia para empresa privada 3

6 Historia y agradecimientos Anterior estudio y experiencia para empresa privada Generación de APT real 3

7 Historia y agradecimientos Anterior estudio y experiencia para empresa privada Generación de APT real Legalidad del APT 3

8 Historia y agradecimientos Anterior estudio y experiencia para empresa privada Generación de APT real Legalidad del APT Lecciones aprendidas y extrapolación 3

9 Historia y agradecimientos Anterior estudio y experiencia para empresa privada Generación de APT real Legalidad del APT Lecciones aprendidas y extrapolación Thanks to: 3

10 Historia y agradecimientos Anterior estudio y experiencia para empresa privada Generación de APT real Legalidad del APT Lecciones aprendidas y extrapolación Thanks to: Yago Jesús Tons of thanks! 3

11 Historia y agradecimientos Anterior estudio y experiencia para empresa privada Generación de APT real Legalidad del APT Lecciones aprendidas y extrapolación Thanks to: Yago Jesús Tons of thanks! Grupo de Delitos Telemáticos de la Guardia Civil 3

12 Historia y agradecimientos Anterior estudio y experiencia para empresa privada Generación de APT real Legalidad del APT Lecciones aprendidas y extrapolación Thanks to: Yago Jesús Tons of thanks! Grupo de Delitos Telemáticos de la Guardia Civil 3

13 Historia y agradecimientos Anterior estudio y experiencia para empresa privada Generación de APT real Legalidad del APT Lecciones aprendidas y extrapolación Thanks to: Yago Jesús Tons of thanks! Grupo de Delitos Telemáticos de la Guardia Civil Sector público: soy ciudadano Hasta el Ministerio y más allá!!! 3

14 VIII JORNADAS STIC CCN-CERT Historia y agradecimientos Anterior estudio y experiencia para empresa privada Generación de APT real Legalidad del APT Lecciones aprendidas y extrapolación Thanks to: Yago Jesús Tons of thanks! Grupo de Delitos Telemáticos de la Guardia Civil Sector público: soy ciudadano Hasta el Ministerio y más allá!!! 3

15 Disclaimer Para llevar a cabo esta charla, durante la ejecución de la investigación, se cometieron varias irregularidades. El objetivo de la misma es meramente académico, sin intención de herir ninguna sensibilidad, ni ridiculizar a nadie No hagáis esto en casa!!! 4

16 Confidencialidad 5

17 Planificando el Ataque El objetivo y su perfil El punto de entrada Un perfil con historia creíble Correo electrónico Vida en redes sociales: Facebook, LinkedIN, Twitter?, Whatsapp? Web personal con venenos 6

18 Más Material Necesario Terminal telefónico (IMEI no asociado) Smartphone Tienda de segunda mano Tienda de accesorios para móviles Tarjeta SIM Prepago DNI Ingeniería Social else para SMS 7

19 VIII JORNADAS STIC CCN-CERT Recursos necesarios y anonimización Correo electrónico Cuenta en BitCoins UKASH 2 Bitcoins Canal cifrado, anónimo y sin logs Free website! 8

20 A quién vamos a liar? 9

23 VIII JORNADAS STIC CCN-CERT A quién vamos a liar? 9

24 Creamos un perfil LinkedIN Siempre a través de VPN Comprobación de dirección IP, antes de cualquier cosa Navegación en modo porno Tráfico de relleno variado: emule Nos piden una dirección de correo electrónico Perfil: Nombre: Sugerente, no común, pero sin pasarse Nuestra foto Presente y pasado Veneno: Sitio web personal 10

25 11

26 VIII JORNADAS STIC CCN-CERT Hasta dónde quiero llegar? Preparación de la web maliciosa Fecha Dirección IP Referer User agent Versiones de: Java Shockwave Flash WMP Quicktime Silverlight RealPlayer IEComponent ActiveX PDFjs 12

27 VIII JORNADAS STIC CCN-CERT Plugins detector var form = document.createelement( form'); form.setattribute ("method", POST"); form.setattribute("action", ); var hiddenfield = document.createelement("input"); hiddenfield.setattribute("type", "hidden"); hiddenfield.setattribute("name", "data"); hiddenfield.setattribute("value", keep); form.appendchild(hiddenfield); document.body.appendchild(form); form.submit(); main.php <?php if(!empty($_post['data'])) { $data = $_POST['data']; $fname = "stats.txt"; $file = fopen($fname, 'a'); fwrite($file, $data); fclose($file); }?> <img src= en_construccion.png> 13

28 stats.txt como separador de campos Importable en Excel 29/06/ :42:01 IP: User-Agent Mozilla/5.0 (Macintosh; Intel Mac OS X 10_9_3) AppleWebKit/ (KHTML, like Gecko) Chrome/ Safari/ OPR/ Referer: Javanull Flashversion 13,0,0,0 Quicktime 7,7,3,0 Shockwave 12,1,0,0 WMP null Silverlight 5,1,30317,0 RealPlayer null IEComponent null ActiveX null PDFjs null 14

29 Estrategia LinkedIN 15

30 Estrategia LinkedIN Horarios de funcionarios 8:00-15:00 -> Mayor probabilidad de PC corporativo 15:00 - XX:XX -> Dispositivo móvil 15

31 Estrategia LinkedIN Horarios de funcionarios 8:00-15:00 -> Mayor probabilidad de PC corporativo 15:00 - XX:XX -> Dispositivo móvil Dificultad de búsquedas 15

32 Estrategia LinkedIN Horarios de funcionarios 8:00-15:00 -> Mayor probabilidad de PC corporativo 15:00 - XX:XX -> Dispositivo móvil Dificultad de búsquedas Visita de perfiles 15

33 Estrategia LinkedIN Horarios de funcionarios 8:00-15:00 -> Mayor probabilidad de PC corporativo 15:00 - XX:XX -> Dispositivo móvil Dificultad de búsquedas Visita de perfiles Target al Ministerio deseado abriendo el abanico 15

34 Estrategia LinkedIN Horarios de funcionarios 8:00-15:00 -> Mayor probabilidad de PC corporativo 15:00 - XX:XX -> Dispositivo móvil Dificultad de búsquedas Visita de perfiles Target al Ministerio deseado abriendo el abanico Generación de confianza: contactos de ambos sexos, contactos de vidas pasadas (trabajos anteriores, alumnos del colegio, skills y hobbies, etc, ) 15

35 Estrategia LinkedIN Horarios de funcionarios 8:00-15:00 -> Mayor probabilidad de PC corporativo 15:00 - XX:XX -> Dispositivo móvil Dificultad de búsquedas Visita de perfiles Target al Ministerio deseado abriendo el abanico Generación de confianza: contactos de ambos sexos, contactos de vidas pasadas (trabajos anteriores, alumnos del colegio, skills y hobbies, etc, ) Adición a grupos relacionados + Google hacking 15

36 Estrategia LinkedIN Horarios de funcionarios 8:00-15:00 -> Mayor probabilidad de PC corporativo 15:00 - XX:XX -> Dispositivo móvil Dificultad de búsquedas Visita de perfiles Target al Ministerio deseado abriendo el abanico Generación de confianza: contactos de ambos sexos, contactos de vidas pasadas (trabajos anteriores, alumnos del colegio, skills y hobbies, etc, ) Adición a grupos relacionados + Google hacking Contactos recomendados 15

37 Estrategia LinkedIN Horarios de funcionarios 8:00-15:00 -> Mayor probabilidad de PC corporativo 15:00 - XX:XX -> Dispositivo móvil Dificultad de búsquedas Visita de perfiles Target al Ministerio deseado abriendo el abanico Generación de confianza: contactos de ambos sexos, contactos de vidas pasadas (trabajos anteriores, alumnos del colegio, skills y hobbies, etc, ) Adición a grupos relacionados + Google hacking Contactos recomendados Inconveniente añadido: Vacaciones de verano 15

38 Anécdotas LinkedIN Los DMs El desconfiado/suspicaz El curioso extrovertido El linkedin addict! El que pica el anzuelo Los endorsements Las felicitaciones por mi actividad Los múltiples acojonos 16

39 Anécdotas LinkedIN 16

40 Anécdotas LinkedIN 16

53 Mi blog Enlace acortado por el propio LinkedIn Typosquatting -> portugai.php vs. portugal.php 17

54 VIII JORNADAS STIC CCN-CERT Mi blog 18

55 Mi blog HTML puro Borrado metadatos en las fotos (sean o no sean tuyas) Redacción adecuada al perfil psicológico del personaje representado Faltas de ortografía sutiles 18

56 VIII JORNADAS STIC CCN-CERT Yo quiero tener un millón de amigos 19

60 Y tú, de quién eres? 20

64 VIII JORNADAS STIC CCN-CERT Clientes vulnerables 21

65 VIII JORNADAS STIC CCN-CERT Clientes vulnerables 21

66 VIII JORNADAS STIC CCN-CERT Clientes vulnerables IOS > Android 2.3.6!!! Java (Sobre Windows 7) Java (Sobre Windows XP) Flash Silverlight

71 VIII JORNADAS STIC CCN-CERT 22

72 VIII JORNADAS STIC CCN-CERT 22

73 Else Lo que podría haber hecho Registro de dominio g0b.es VIII JORNADAS STIC CCN-CERT 23

74 Else Lo que podría haber hecho Registro de dominio g0b.es VIII JORNADAS STIC CCN-CERT 23

75 Else Lo que podría haber hecho VPS 4 Bitcoins 24

76 Lo que podría haber hecho VIII JORNADAS STIC CCN-CERT 25

85 VIII JORNADAS STIC CCN-CERT AndroRAT 26

86 Else Lo que podría haber hecho VIII JORNADAS STIC CCN-CERT 27

87 VIII JORNADAS STIC CCN-CERT Spoofing de llamada ipredator Google Hangouts Dialer Spoofcard Pranking: Número de mi ministerio Modificación de voz Grabación de llamada 28

88 Sé lo que hiciste el último verano 29

89 Sé lo que hiciste el último verano 29

90 Hasta pronto!! (Tres años y un día) VIII JORNADAS STIC CCN-CERT 30

91 Disclaimers y Conclusiones Para llevar a cabo esta charla, durante la ejecución de la investigación, se cometieron varias irregularidades 30

92 Disclaimers y Conclusiones Para llevar a cabo esta charla, durante la ejecución de la investigación, se cometieron varias irregularidades El objetivo de la misma es meramente académico (y para esta conferencia), sin intención de herir ninguna sensibilidad, ni ridiculizar a nadie 30

93 Disclaimers y Conclusiones Para llevar a cabo esta charla, durante la ejecución de la investigación, se cometieron varias irregularidades El objetivo de la misma es meramente académico (y para esta conferencia), sin intención de herir ninguna sensibilidad, ni ridiculizar a nadie He cedido todo el material y explicaciones con mayor detalle al Grupo de Delitos Telemáticos de la Guardia Civil 30

94 VIII JORNADAS STIC CCN-CERT SbD @secbydefault 31

95 VIII JORNADAS STIC CCN-CERT SbD @secbydefault 31