El documento resume las actividades del Grupo de Delitos Telemáticos (GDT) de la Guardia Civil de España. Explica cómo el GDT ha evolucionado para abordar los nuevos canales de comunicación y delitos cibernéticos, como el malware y las intrusiones. También discute las herramientas y técnicas utilizadas por los ciberdelincuentes para evadir la detección, como el cifrado, anti-debugging y detección de máquinas virtuales.

1. NnCON 2013
Albacete, Octubre
2013
César Lorenzana
Javier Rodríguez
Grupo Delitos Telemáticos (U.C.O.)

2. INDICE
INTRODUCCIÓN
• ¿Qué es el GDT? - ¿Qué hacemos?
EVOLUCIÓN
COMUNICACIONES
• Canales, Actores, y Procedimiento
SITUACIÓN ACTUAL
• Canales, Actores, y Procedimiento
FUTURO???

5. Guardia Civil vs.
Cibercrimen
Jefatura de Policía
Judicial
SERVICIO
CRIMINALÍSTICA
UNIDAD
TÉCNICA DE PJ
Fraude
UNIDAD
Electrónico
CENTRAL
Malware
Robo Identidad
DEPARTAMENTO
INGENIERIA
SECCIÓN
TECNOLÓGICOS
OPERATIVA
TRÁFICO
DROGAS
DELINCUENCIA
EONÓMICA
Intrusiones
EDITE´s
PERSONAS
DELITOS
TELEMÁTICOS

8. Correo
Postal
Telégrafo
Teléfono

9. Móviles
Internet

10. Smartphones
ADSL

16. SEGURIDAD

18. Y LA LEY??????????
QUE OPINA SOBRE ESTO?

20. OBTENCION DATOS
VOLATILES
REGISTRO REMOTO

24. BUEN-WARE

25. Herramienta de
Intervención
Remota

26. SONDA
• Binario / Ejecutable
• Alojado en Equipo a Monitorizar
SERVIDOR
• C&C de toda la vida

28. Protecciones
Tráfico cifrado
Análisis estático.
Análisis dinámico.
Anti-VM
Anti-Sandbox Bypass AV

29. Uso de
packers.
• Comerciales vs Privados.
• En general, introducen una
nueva sección en el binario,
cifran y mueven el EP.
• Otros cifran todo el binario.
• Técnicas anti-dump (evitar
volcado proceso a disco)
Uso de
ofuscación
• XOR (?).
• Strings ofuscadas.
• Algo “más” que msfencode.

30. Poliformísmo /
• Técnica de reconstrucción
Metaformismo
Uso de
crypters.
Detección de
VMs.
• Comerciales vs Privados.
• runPE (dynamic forking)
• Método muy popular para evadir
AVs.
• Tools propias del software
virtualizador.

31. Padding.
• Rellenar con código
inservible.
• Generar “ruido”
Tiempo y
latencia
• Cálculo de lo que tardan en
ejecutarse las instrucciones.
• “Anti-Reversing a ojo de buen
cubero”
• GetProcessTimes

32. Uso de
métodos antidebug
• Puntos de interrupción en
memoria.
• Puntos de interrupción en
hardware.
Detección
herramientas
•
•
•
•
•
Búsqueda por nombre-ventana.
Búsqueda por patrón de bytes.
Búsqueda por ejecúción proceso.
Búsqueda de soft instalado.
Olly, IDA, Otras (gdb, etc).

33. • Debugger reemplaza byte por CC y lanza int3
• Si se ejecuta, salta a excepción controlada
por el depurador
• Busca en lista de breakpoints y busca el
breakpoint
• Reemplaza el byte mencionado
• Obtenemos la “parada de la ejecución”

34. APIs
• IsDebuggerPresent
• CheckRemoteDebuggerPresent
Procesos
• NtQueryInformationProcess
• NtGlobalFlag
Control de
excepciones
• SEH (Structured Excepcion
Handler)
• VEH (Vectored Excepcion Handler)
• *IMPORTANTE

35. int main()
{
.
.
CheckRemoteDebuggerPresent( GetCurrentProcess(), &bDebugged );
if( bDebugged )
std::cout << "Being debugged!" << std::endl;
else
std::cout << "Not being debugged!" << std::endl;
Sleep( 1000 );
}
return 0;
}

36. CONCLUSIONES

37. ¡¡¡ATENTOS!!!, ………. por favor

38. VaporWare Group Solutions S.L.
Sede - Islas Caimán.
Target - Venta de kits de “buenware”
Precio - Ver wikileads

39. OBJETIVO

40. Todo iba muy bien …
En una
dictadura
cualquiera…..
varios
activistas
reciben un
correo
electrónico.
Ese correo
electrónico,
contiene una
foto, con ese
nombre

41. De repente………. un buen día
Opció
nA
Opción
B
Opción
C
• Abrir el
fichero
• Lo sube a
virustotal
• .....

42. Se lo manda a un reverser !

43. ¿A que se dedica un reverser?

44. Proteccion
es frente a
debuggers
.text:00401683 finit
.text:00401686 fld ds:tbyte_40168E
.text:0040168C jmp short locret_401698
———————————————————————
.text:0040168E tbyte_40168E dt 9.2233720368547758075e18
———————————————————————
.text:00401698 locret_401698:
.text:00401698 retn

45. Detección de breakpoints
Vía PEB (Process Enviroment Block) -> Detecta
dirección DbgBreakPoint
Crea permisos 777.
Escribe un NOP.
mueve a una dirección random
Otras (Deattach debugger)

46. Que tampoco es tan dificil…
Evade AV
Llama a ZwQuerySystemInformation
Llama get ProcessInformation
Recorre lista de procesos y busca AV.
Todo muy
bien pero..
Se ejecutaba en una VM.
(¿?)

47. Guarda la información en disco máquina
infectada
Cifra en AES-256 (Bien !!!!!!)
La clave es
predecible (Mal
!!!!!)
Grosso modo, la hora
de infección

48. Se conecta a
varias IPs.
• Entre ellas, al CPD
de VaporWare ¡¡¡ Mal !!!!
Group Solutions S.L
Haciendo un
WhoIs de
esa IP.
• Aparece a nombre de
VaporWare Group
Solutions S.L
¡¡¡ Peor !!!!
• Contacto Administrativo
CEO.
Y por si
fuera poco ..

50. Me suena esta historia …..

51. ESTO NO SE
O Si ????
HACE ASÍ ;-)
Y vosotros??...

52. gdt@notificaciones.guardiacivil.es
www.gdt.guardiacivil.es
Grupo de Delitos Telematicos
GrupoDelitosTelematicos
@GDTGuardiaCivil