Cita

"Those who are willing to pay a penny of security for a penny of usability will eventually have neither"

14 diciembre 2013

Crónica de las VII Jornadas STIC CCN-CERT (I)


Los días 12 y 13 de diciembre tuvo lugar la séptima edición de las Jornadas STIC del CCN-CERT. Es ya la segunda vez que asisto y en esta ocasión he decido hacer una crónica de las mismas.

El evento, del cual se ha hecho eco la prensa, ya es familiarmente conocido como CCNcon. Y reune, bajo el paraguas del CERT, a profesionales de la seguridad, que habitualmente colaboran en otras conferencias de renombre, junto con personal de las Administraciones Públicas y de empresas de sectores estratégicos.

Como novedad, este año ofrecía la posibilidad de inscribirse a uno de los tres talleres disponibles, que tendrían lugar la tarde del primer día: Destripando un troyano con objetivo "El IOC", Análisis forense: ejemplos prácticos para responder ante incidentes en su organización y Desconectando el malware ¿Es posible trabajar en una red aislada? Yo asistí al de Análisis forense, donde tuve el placer de "desvirtualizar" a Juan Antonio Calles, de Flu Project.

La sesión de la mañana, tras la inauguración oficial de Félix Sanz Roldan, estuvo formada por dos módulos, separados por el correspondiente desayuno.

El primer módulo, Gestión de incidentes APT, arrancó con la presentación de las novedades del CCN-CERT: la segunda versión de Carmen (para la detección de APTs) y las nuevas Marta (Motor de Análisis Remoto de Troyanos Avanzados) y Lucía (Listado Unificado de Coordinación de Incidentes en la Administración).

La siguiente ponencia (Ataques dirigidos contra la Administración) comentó el concepto de APT y qué ataques pueden considerarse como tales (no siempre es evidente porque hay ataques avanzados que no lo son).

Después, Josechu de Innotec explicó cómo Francisco Oca y él "reversearon" un bichito localizado en una APT. Era un bicho que simulaba ser un driver para la tarjeta NVIDIA, y me sorprendió que simplemente al darle con el botón derecho ya se veía que la firma era falsa. El bicho estaba muy bien diseñado y utilizaba varios trucos para aparentar ser inofensivo ante los analizadores automáticos: DLL no cifrada, sleep al principio, nombre del C2 parseado, post retardados en bloques pequeños... Había además un fichero-despertador que le indicaba el momento exacto en que debía empezar el ataque. En fin, un ataque verdaderamente avanzado.

Posteriormente, Vicente Díaz nos habló de algunas campañas APT: Nettraveler, MiniDuke e Icefog. En Corea del Sur se sirvieron de un documento HWP (procesador utilizado en sus administraciones), que mostraba una mujer asiática de buen ver, para lanzar un ataque.

Ya en el segundo módulo (Ponencias tecnológicas), pudimos ver a Javier Rascón, de Hispasec, explicándonos los procedimientos que utiliza el malware para evadir al vigilante: crypters, rootkits, dsplit, AVFuck, infección de otros procesos, sobreescritura del MBR, técnicas de detección de máquina virtual, etc.

Tras él, llegó Daniel Martínez, de Deloitte, con su demo: montó un Fake Access Point con tan solo una Raspberry con Debian, una antena WiFi Alfa y una batería de viaje que se podían fácilmente esconder en una bolsa. Casi se la tumban porque empezó la gente a conectarse (que es lo que todos sabemos que se debe hacer en cuanto ves una WiFi abierta). Ya sabéis: si veis una mochila abandonada cerca de vuestra oficina, tened cuidado, porque puede ser Dan1t0 ;-)

"¿Estamos protegidos en Windows?", fue la pregunta que lanzó Ricardo Rodríguez, de la UPM, antes de empezar sus explicaciones y su demo sobre BOF. A pesar de que la materia era muy densa y de que solo le querían dejar cinco minutos, al terminar, a todos nos quedó clara una cosa: la calculadora es un malware. XD

Después, Antonio Villalón, del S2Grupo, nos habló de las Anomalías HTTP: cómo definir lo que podemos considerar una anomalía en los logs de conexión, en función de los patrones de comportamiento de nuestro organismo, y cómo tratarlas.

Para terminar la jornada del primer día, pudimos ver a David Barroso, de Eleven Paths, compartiendo con nosotros un estudio que habían hecho sobre Malware en GooglePlay. No solo hay fake apps que permanecen un tiempo en el mercado legítimo de Google, sino que, además, hay un entero mercado falso, que es un clon del verdadero, repleto de aplicaciones maliciosas. De momento, su objetivo son los países de Europa del Este y está en ruso. Pero ya lo van traduciendo al inglés, y lo normal es que no tarden en hacerlo al español. Por si eso fuera poco, se recordó que, incluso las apps legítimas del GPlay legítimo a veces usan librerías de publicidad (la famosa "vulna") que pueden ser una puerta de enlace al software malicioso. (Es que tengo YA que subirme a Premium o cambiarme al iPhone). En fin, que menudo panorama.

Y hasta aquí la sesión del primer día. Después, nos agasajaron con un ágape de vino español y varias cosas ricas de comer. Tras lo cual, algunos nos dirigimos a nuestros respectivos talleres.

En una futura entrada os contaré cómo fue el segundo día.

Actualizado (28/01/2014):
Sobre la parte del reversing de Innotec: el bicho no simulaba ser un driver de NVIDIA. En las "diapos" dice: "Buscando información sobre 'persistence  igfxpers.exe 6.14.10.4980'  se ve que está asociado a las tarjetas gráficas Nvidia de Intel". Pues bien, si hacemos dicha búsqueda, tenemos una página de VirusTotal donde el ejecutable aparece asociado a Intel. También en las "diapos" se menciona que "que el ejecutable parece firmado por Intel Corporation"; como, efectivamente, se puede comprobar al ver las propiedades.

Sí que se dio un caso con un bicho que se hacía pasar por una tarjeta de NVIDIA y que investigaron en su día AlienVault y Sysmantec. Y del cual yo he tenido conocimiento por la entrevista que le hacen a Alberto Ortega en SecuritybyDefault. Al leer la pregunta 4 pensé "pero ¿no nos hablaron ya del bicho de NVIDIA en la #CCNcon?" Y ha sido lo que me ha movido a investigarlo. El funcionamiento es distinto en ambos casos y es interesante compararlos. Además, en el caso del bicho de NVIDA sí que explica Alberto cuál fue el origen de la infección.

¡Gracias a todos por compartir vuestra sabiduría! :)

No hay comentarios:

Publicar un comentario

A penny for your thoughts