Para empezar, Román nos ha presentando la nueva BSO de la organización, compuesta por Vacío Q.
Ahora sí, Roberto Santos (@elmaisbuscado) y Javier Rascón (@jvrrascon) nos han contado un incidente que tuvo un cliente suyo.
 |
| RootedCon 2020 - Roberto Santos y Javier Rascón - Rootkit Necurs |
El cliente tiene un AV que salta con un fichero que resulta que está firmado por certificado válido para Microsoft y del que apenas hay detecciones. Ese ejecutable resulta que además de bajarse alguna que otra cosilla, exfiltra información del sistema operativo, red y tarjeta gráfica (muy importante) pero no usa persistencia. Además, descartaba algunas versiones de Windows. A medida que iban analizándolo se iban encontrando con que actualizaba la librería del sistema crypt32.dll para poder firmar con sha256. Se encontraron con que el bicho tenía una ejecución en modo kernel y otra en modo user que es la que se comunicaba con el C&C. Y que los datos que iba extrayendo los guardaba cifrados en una clave del registro. Nos han contado unos pocos comandos a los que podía responder y alguna de sus medidas de protección (como por ejemplo, listas negras de procesos, antivirus, etc). Al final nos han enseñado dos herramientas que han hecho para detectar si existe y otra para eliminarlo del sistema (NeCsist y NeCure). La tarjeta gráfica se usaba para minar criptomonedas.
Cuando acabaron se subió al escenario Alfonso Muñoz (@mindcrypt).
 |
| RootedCon 2020 - Afonso Muñoz - Stego attacks by desing |
Ha empezado recordando unas cuantas herramientas de estegaNOgrafía (ahora sí!! A ver si de esta forma me acuerdo de escribirlo bien...) y los problemas que dan. También nos ha hablado de dos periodos distintos, antes de 2019 y después de. A partir de aquí nos ha contado la técnica para ocultar código ejecutable en imágenes, y se denomina polyglot. Se trata de un fileless malware: se autoejecuta sólo y hay que conseguir no hacer ruido. Nos ha mostrado distintos ejemplos en imágenes JPEG: con JavaScript, PHP, Powershell & shellcode (ambos, para hacerlo multi plataforma). Hay que conseguir que estos ficheros se puedan abrir de las dos formas (con la del principal y con la del código que se introduce). No sólo se puede hacer con JPEG, sino también lo ha conseguido hacer con un PDF que consiguió subirlo a LinkedIn. Como nota el nombre de una herramienta que ha mencionado: bipolar.
En este punto todos fuimos a desayunar unas conchas Codan.
Después de este descanso Lorenzo Martínez (@lawwait) nos ha presentando una herramienta que ha construido.
 |
| RootedCon 2020 - Lorenzo Martinez - WinTriage |
Ha empezado hablando de las herramientas que tantas veces nos ha enseñado en sus formaciones de DFIR: Windows Live Response (WLR, de Brimor Labs), IRTriage y CyLR. Como cada una de ellas tenía ciertos problemas (como que WLR mancha mucho la máquina de las evidencias, invierten mucho más tiempo en cosas que se podrían hacer después, nombres en ficheros que copian imposibles de tracear...) decidió montarse una él mismo que hiciera lo mismo que hacen estas pero arreglando esos problemas que veía que las anteriores tenían. Ahí es donde nace WinTriage (voy, y casi la rebautizo como WinDFIR). Está desarrollada en el lenguaje AutoIT, la selección de las opciones deseadas para extraer es muy modular, ocupa muy poco espacio en memoria, es compatible con XP/W2k3... Así, nos ha hecho varias demos en máquinas virtuales (para extracción en vivo) con w2k3, Win10, windows 2019 y en modo offline montando una imagen en FTK. Eso sí: por licenciamiento de las herramientas de las que tira hay que bajárselas una a una. La pena es que cuando ya estaba respondiendo alguna pregunta me puse muy inquieto porque la gente ya estaba saliendo por la hora y terminé saliendo yo tambien. :( No me gusta nada hacerlo y no me sienta bien. Pero es algo que hay que reconocer.
Al salir de esta charla fui al track principal, la sala 25, para ver la charla de Manuel García Cárdenas (@hypnito) y Jacinto Castillo Solana (@serchi3) que nos iban a hablar de WordPress.
 |
| RootedCon 2020 - Manuel García y Jacinto Castillo - WordPress: another terror story |
Han expuesto los números de su utilización, siendo el CMS más usado del mundo. Además, también nos han enseñado las estadísticas de los plugins instalados, las vulnerabilidades y de los sitios vulnerados. Nos han mostrado una metodología y análisis de unos cuantos plugins. Ellos han desarrollado una herramienta que se ha encargado de analizar el código fuente de todos los plugins del repositorio de WordPress, a la que han llamado WordPressTerror, y desde la cual se puede ver las estadísticas qué vulnerabilidades son las más presentes, como por ejemplo, SQLi. Esta herramienta ha generado un informe que han mandado a los responsables de WordPress en directo (o lo han intentado, pero han cancelado en el último segundo) haciendo un responsible disclousure.
Cuando terminaron, nos fuimos a comer y a descansar un poquito.
Después de la comida me metí en la charla de Mario Pérez de la Blanca (@mariopdelab).
 |
| RootedCon 2020 - Mario Perez de la Blanca - AFDX Twin (manipulando redes de aviónica) |
La verdad, esta charla me ha costado mucho, mucho de entender. Además de mostrarnos unos cuantos vídeos corporativos de Airbus (muy chulos, eso sí) y alguno relacionado con el funcionamiento de la presurización de los aviones nos ha hablado de los protocolos de comunicación que utilizan los distintos sistemas internos que llevan los aviones. Nos ha contado varios protocolos antiguos y se ha centrado en el más reciente. El protocolo en concreto se llama AFDX (y se usa una tarjeta ethernet con dos conectores RJ45: twin-ethenet). Siempre hay que tener en cuenta que todos los sensores y sistemas que se conectan van replicados por duplicado y esto hace que sea muy costoso por el peso que conlleva y el espacio que ocupa (que se multiplica por dos). Al dar por hecho que hay confianza en las comunicaciones las colisiones de red son inaceptables. Y es una comunicación full duplex con topología en estrella (y escalable), en la que un cable transmite y otro recibe. Se busca garantizar el servicio, por eso se replican las comunicaciones. Al transmitir dos sistemas a la vez el paquete que primero llega es el que gana.
Al acabar esta charla José Manuel Sacristán (HoneyWell) y Francisco Sucunza (Capgemini) nos han hablado de implantar seguridad IT en entornos industriales (OT).
 |
| RootedCon 2020 - José Manuel Sacristan y Francisco Sucunza - Retos de seguridad en la virtualización OT |
Han empezado explicando las razones por las que se querría virtualizar en un entorno industrial: espacio, ahorro de energía, solución a la seguridad física, recuperación ante desastres... Han expuesto varios escenarios de virtualización según la sección donde se quiera poner un dispositivo (por ejemplo, en la la DMZ). Una problemática que puede aparecer es que si un firewall tiene que analizar el contenido de un paquete a su vez hace falta que entienda el lenguaje de los sistemas industriales que están instalados (y no siempre es factible o fácil). Los controladores industriales (en este entorno también se llaman PLCs) no se pueden virtualizar en producción y sólo sería factible para hacer pruebas en laboratorio. Después de enumerar más problemas han enseñado qué producto de HoneyWell.
Cuando acabaron pudimos ir a descansar y reunirnos con los compañeros que se habían ido a otras salas.
Después del descanso, se empezó el RootedPanel:
 |
| RootedCon 2020 - RootedPanel - Javier Maestre, Cristina Carrascosa, Félix Moreno, Pablo Burgueño |
En este hubo cuatro ponentes: Javier Maestre (moderador), Cristina Carrascosa, Félix Moreno y Pablo F. Burgueño. El debate iba sobre DAOs: Organicaziones Autónomas Descentralizadas. La verdad, me ha costado seguirla. Posiblemente porque ya estaba algo cansaete. Han puesto como ejemplo de precedentes de DAO Linux y BitCoin como el primero. Se han enumerado distintos tipos (BitCoin como dinero, ONGs no registradas como "Democracia Real Ya", empresas, resolución de conflictos..). Han hablado de uno específico para hacer intercambio de BitCoins, ya que hasta ahora hacía falta una entidad real (no DAO) para porderlo hacer y esta nueva se llama Bisq, en la que se quiere que cada usuario controle su propio dinero y sus propios datos. También se ha hablado de la personalidad jurídica de una DAO, para que tenga la posibilidad de contratar, denunciar y ser denunciada.
Para finalizar la jornada de hoy se han presentando los premios Antonio Ropero que se entregan a Cryptored, Jorge Ramió y Alfonso Muñoz como representantes del proyecto Criptored (@criptored). Y también han invitado al padre de Antonio.
 |
| RootedCon 2020 - Alfonso Muñoz y Jorge Ramió - Criptored es galardonado con el premio Antonio Ropero |
Aunque alguna charla me ha costado un poquito más (como también se ha podido ver aquí), hoy no ha estado mal el día. Las jornadas de mañana sábado se esperan igual de interesantes o más.
No hay comentarios:
Publicar un comentario