El documento resume las actividades del Grupo de Delitos Telemáticos (GDT) de la Guardia Civil de España. Explica cómo el GDT ha evolucionado para abordar los nuevos canales de comunicación y delitos cibernéticos, como el malware y las intrusiones. También discute las herramientas y técnicas utilizadas por los ciberdelincuentes para evadir la detección, como el cifrado, anti-debugging y detección de máquinas virtuales.
2. INDICE
INTRODUCCIÓN
• ¿Qué es el GDT? - ¿Qué hacemos?
EVOLUCIÓN
COMUNICACIONES
• Canales, Actores, y Procedimiento
SITUACIÓN ACTUAL
• Canales, Actores, y Procedimiento
FUTURO???
3.
4.
5. Guardia Civil vs.
Cibercrimen
Jefatura de Policía
Judicial
SERVICIO
CRIMINALÍSTICA
UNIDAD
TÉCNICA DE PJ
Fraude
UNIDAD
Electrónico
CENTRAL
Malware
Robo Identidad
DEPARTAMENTO
INGENIERIA
SECCIÓN
TECNOLÓGICOS
OPERATIVA
TRÁFICO
DROGAS
DELINCUENCIA
EONÓMICA
Intrusiones
EDITE´s
PERSONAS
DELITOS
TELEMÁTICOS
29. Uso de
packers.
• Comerciales vs Privados.
• En general, introducen una
nueva sección en el binario,
cifran y mueven el EP.
• Otros cifran todo el binario.
• Técnicas anti-dump (evitar
volcado proceso a disco)
Uso de
ofuscación
• XOR (?).
• Strings ofuscadas.
• Algo “más” que msfencode.
30. Poliformísmo /
• Técnica de reconstrucción
Metaformismo
Uso de
crypters.
Detección de
VMs.
• Comerciales vs Privados.
• runPE (dynamic forking)
• Método muy popular para evadir
AVs.
• Tools propias del software
virtualizador.
31. Padding.
• Rellenar con código
inservible.
• Generar “ruido”
Tiempo y
latencia
• Cálculo de lo que tardan en
ejecutarse las instrucciones.
• “Anti-Reversing a ojo de buen
cubero”
• GetProcessTimes
32. Uso de
métodos antidebug
• Puntos de interrupción en
memoria.
• Puntos de interrupción en
hardware.
Detección
herramientas
•
•
•
•
•
Búsqueda por nombre-ventana.
Búsqueda por patrón de bytes.
Búsqueda por ejecúción proceso.
Búsqueda de soft instalado.
Olly, IDA, Otras (gdb, etc).
33. • Debugger reemplaza byte por CC y lanza int3
• Si se ejecuta, salta a excepción controlada
por el depurador
• Busca en lista de breakpoints y busca el
breakpoint
• Reemplaza el byte mencionado
• Obtenemos la “parada de la ejecución”
40. Todo iba muy bien …
En una
dictadura
cualquiera…..
varios
activistas
reciben un
correo
electrónico.
Ese correo
electrónico,
contiene una
foto, con ese
nombre
41. De repente………. un buen día
Opció
nA
Opción
B
Opción
C
• Abrir el
fichero
• Lo sube a
virustotal
• .....
44. Proteccion
es frente a
debuggers
.text:00401683 finit
.text:00401686 fld ds:tbyte_40168E
.text:0040168C jmp short locret_401698
———————————————————————
.text:0040168E tbyte_40168E dt 9.2233720368547758075e18
———————————————————————
.text:00401698 locret_401698:
.text:00401698 retn
45. Detección de breakpoints
Vía PEB (Process Enviroment Block) -> Detecta
dirección DbgBreakPoint
Crea permisos 777.
Escribe un NOP.
mueve a una dirección random
Otras (Deattach debugger)
46. Que tampoco es tan dificil…
Evade AV
Llama a ZwQuerySystemInformation
Llama get ProcessInformation
Recorre lista de procesos y busca AV.
Todo muy
bien pero..
Se ejecutaba en una VM.
(¿?)
47. Guarda la información en disco máquina
infectada
Cifra en AES-256 (Bien !!!!!!)
La clave es
predecible (Mal
!!!!!)
Grosso modo, la hora
de infección
48. Se conecta a
varias IPs.
• Entre ellas, al CPD
de VaporWare ¡¡¡ Mal !!!!
Group Solutions S.L
Haciendo un
WhoIs de
esa IP.
• Aparece a nombre de
VaporWare Group
Solutions S.L
¡¡¡ Peor !!!!
• Contacto Administrativo
CEO.
Y por si
fuera poco ..