F0rensics Bl0gs == F0rensics Bl0gs ++

Estándar

Hola a tod@s!!

 Hace algún tiempo, Pedro Sánchez y yo, en esas grandes contertulias con cubatas en la mano, me comentaba que en Ejpaña, ese país de panderetas (como dicen algunos), existen muy buenos profesionales (o futuros profesionales) en el mundo de la seguridad, el análisis forense, y todo lo que le rodea.

Personalmente, me gusta estar en contacto con otras personas del sector, bien mediante foros, como es el caso del estupendo foro de elhacker.net o los foros técnicos de Technet, o bien mediante otro acercamiento más “humano”. Es en este caso en donde entran conferencias, reuniones, salidas nocturnas y viajes a otras ciudades.

Gracias a estas “actividades” he conocido a grandes personalidades de este mundillo, y a grandes personalidades, que si bien tienen poco o nada que ver, también son grandes.

Hoy voy a hablar de una ciudad que me encanta. Valencia. De entre todas las personas que he conocido en Valencia, hoy me quedo con dos de ellas. Una que conozco, y otra que no conozco pero que tengo mucho interés en conocer. El primero de ellos es coder. Este personaje, tiene una página Web muy chula llamada Fluzo.org. Nos pasamos la tarde entera bebiendo cervecitas en una plaza y hablando de….. CINE!! La curiosidad me mataba, y le pregunté por el nombre de la Web. Me dijo, “El condensador de Fluzo!!” Ohhhhhh!!! Regreso al Futuro! Robert Zemeckis! Oh my God!

La tarde estuvo cojonuda, en parte porque conseguimos NO hablar de seguridad informática, y sí de un tema que me encanta. El cine. Su Web tiene apartados de todo tipo. Desde viajes suyos a temas de actualidad informática, pasando por un gran apartado (gracias por resucitarlo) dedicado a personajes del cine y televisión, enfocados a la pregunta “Qué fue de….?”.

La otra persona no la conozco personalmente, aunque llevo tiempo siguiendo sus pasos, desde que lo empecé a leer en los foros de Wadalbertia. Aunque he de reconocer, que su Blog, NeoSysForensics, ha captado mi total atención desde que abrió sus puertas. Es miembro de elhacker.net, su nick es neofito/traxtor, y su nombre es ##~$$|… Bueno, me lo reservo, por si quiere mantener su privacidad…. ;-)

Es por ello, que hoy los enlazo desde mi blog, para tener un poco más ordenadito mi rinconcito de Internet….

Coder & neofito, cuando vaya a Valencia habrá KDD no?

Saludetes!!

 

Estafa a las 3. Nicolai Prochenko SE01X02

Estándar

Son las 10 de la mañana, y en la antigua Yugoslavia hace un día frío y lluvioso. Nicolai Prochenko es un individuo que ha estado entrando y saliendo del trullo desde los 19 años. Se había educado en la llamada Universidad de la Vida, pero con un pésimo profesorado. Experto en timos a pequeña escala y en engaños personalizados. La mala educación y un pensamiento sobre el dinero siempre ha estado presente en su educación y en suvida. La llamada del dinero fácil. Un sueño que todos quisiésemos alcanzar. Ganar mucho dinero invirtiendo y trabajando lo menos posible. Fruto de ese sueño, y con la cantidad de 200 Kunas, fruto de su último timo (Una venta de entradas caducadas), se reunió con un personaje de los bajos fondos que tenía un negocio para Nicolai. Algo llamado “fraude bancario”.

Nicolai y su socio, se reunieron en el café Estafinski para dar forma a la “visión”. Nicolai estaba nervioso porque no conocía a su nuevo socio, pero había leído sobre él en algo llamado Internet…. Tras pedir dos Marraskinos, resolvieron presentarse…

Nicolai: Hola amigo, me he enterado de tus hazañas y me gustaría que me ayudases a conseguir mi sueño. Cómo te llamas?

Desconocido: Me llamo Albert Gonzalez y te puedo ayudar con tu sueño. Mínima inversón, máxima repercusión…

Nicolai: Me gusta esa frase. Qué necesito para ponerme a ello?

Albert: Por 150 Kunas, puedo pasarte un CD con un programa. Este programa lo hará todo por tí con sólo unos clics de ratón. Si le dedicas algo de tiempo, dominarás países….

Nicolai: Pero tengo un problema. No entiendo de ordenadores….

Albert: Pero sabes encenderlo no? Coger el ratón?

Nicolai: Sí, esas nociones las tengo….

Albert: Sabes realizar transferencias bancarias?

Nicolai: Tengo a una persona que podría ayudarme a conseguirlo….

Albert: Pues reunes todas las condiciones! Este es un timo bastante fácil. Sólo tienes que montar el programa que te adjunto en el CD, y él se encargará de realizar todas las acciones por ti. Lo único que tienes que hacer es construir una gran mentira, y enviarla por e-mail a todas las personas que puedas. Puedes coger notas mirando estos artículos . De seguro que te ayudarán en tu “visión”….

Nicolai: Albert, aquí tienes tus 150 Kunas.

Albert: Toma tu CD. Vas a ser un hombre rico….

Nicolai: Me voy corriendo al concesionario, que he visto un Mercedes descapotable que me encanta….

Las 13:00 Horas. Un rayo de luz acaricia el rostro de Nicolai. Se fue corriendo a casa ya que tenía trabajo por hacer. Tenía un ordenador que había robado de una tienda de PC’S mediante la técnica del sillanizaje. Es similar a la del coche, pero utilizando una silla. Llegó a casa, se encenció un cigarrillo, y conectó el equipo.

El manual de instrucciones del CD era muy claro, y hablaba de una forma que Nicolai podía entender. Las instrucciones eran claras. La conexión a Internet debía pasar por una serie de Proxys anónimos, y, para entornos de pruebas, realizar la conexión desde una señal que no fuese la propia. Nicolai no entendió esta última parte y conectó su equipo a una Red WIFI que ponía OPEN. Primer paso realizado…

Una vez realizado este paso, tenía que ejecutar algo que ponía SETUP.EXE. Una vez realizado este paso, el CD instaló varias cosas:

  • Un servidor Apache
  • Soporte para PHP
  • MySQL
  • PHPMyAdmin

Todo ello a un clic de ratón. El sueño estaba cada vez más cerca. Ahora llegaba la parte difícil. Instalar lo que le separa de su ansiado Mercedes y sus buenas vacaciones en las Bahamas. El gancho.

El gancho venía en una serie de ficheros con extensión PHP, y no era más que el panel de Administración de un BOT para administrar Malware a través de Internet. La ruta de instalación era clara. Tan sólo tenía que dirigirse al directorio .install y él se encargaría de realizar el resto…

InstallNicolai

Imagen 1.- Instalación Zeus BotNet

Una vez instalada la aplicación, ésta muestra el proceso de la misma, indicando si ha habido algún fallo en la instalación.

Captura

Imagen 2.- Instalación finalizada y completada

El siguiente punto del manual es claro. Ya tienes tu panel de control! Ya puedes soñar con ese Mercedes y con las Bahamas y con las Morenacas!! Entra a tu panel de control siguiendo la ruta indicada a continuación:

http://IP_DEL_MALO/Zeus/Web/in.php

Dibujo

Imagen 3.- Panel de administración Zeus

El panel de Administración estaba vacío, pero su sueño cobraba vida. Una vez realizado este paso, le tocaba configurar el paso siguiente. “La gran mentira”.

La gran mentira consistía en un fichero de configuración que posteriormente se incluiría como base de conocimiento a un Malware específico. El fichero de configuración, y una vez averiguada la dirección IP pública de Nicolai, presentaba el siguiente aspecto:

Config

Imagen 4.- Fichero de configuración Zbot

Una vez configurado el fichero, el manual indicaba que había una aplicación para “montar” la “gran mentira”. La aplicación constaba de un ejecutable, un fichero binario que contenía el código maligno, y un fichero de texto que contenía información sobre bancos y redes sociales. Esta información la utilizará después el Malware para enviar los datos seleccionados (Usuario, Password y firma electrónica) a la base de datos de Nicolai.

SantanderConfig

Imagen 5.- Inyección Web Malware Offline

Una vez modificado estos archivos de configuración, el montaje se hace muy rápido, gracias a la utilidad de montaje incorporada en el CD de Nicolai.

Builder

Imagen 6.- Builder Zbot Malware

Perfecto…. La “gran mentira” estaba montada. Ahora sólo hacía falta leerse los artículos anteriores y mandar correos y SPAM a diestro y siniestro.

Pasados unos meses, Nicolai gozaba de gran popularidad en la Red, y su sueño cobraba vida propia. Era un gran “administrador” y la gente le pedía muchos favores a cambio de dinero. Con el tiempo se dio cuenta de que “la gran mentira” podía “tumbar” a grandes corporaciones, gracias a que con el panel de administración podía crear grupos de trabajo, los cuales podían realizar una tarea en concreto.

zeus-cpanel

Imagn 7.- Panel de Administración Zeus 

La aplicación proporcionada en el CD, era capaz de decodificar los datos enviados por el Malware, y que guardaba celosamente tanto en su base de datos, como en un fichero binario a modo de Backup.

DecoderLogs

Imagen 8.- Decodificación de Logs con Zbot

Las capturas eran claras y decisivas en post de su sueño. Gracias a ellas tenía una gran base de datos con usuarios, passwords y firmas electrónicas. Todo ello junto a las Webs de acceso y direcciones IP y nombres de equipo de sus víctimas. Todo ello bien ordenado en sus correspondientes tablas.

CapturaClave

Imagen 9.- Captura de Claves en archivo Log

Había pasado un año desde que el proyecto “la gran mentira” empezó. Así que, nuestro amigo Nicolai, habiéndose convertido en un gran Administrador de este tipo de redes, se puso manos a la obra con “el plan B”.

El plan lo había planificado con un año de antelación, y era bastante simple. Se había dedicado a capturar durante un año completo usuarios y passwords de diferentes cuentas y sitios de Internet. Gracias a estas capturas, consiguió una base de datos bastante consistente de información. Un año después, Nicolai estaba preparado para dar el gran salto. Se había dedicado todo este tiempo a recopilar información en Internet sobre cada una de sus víctimas. Había cuentas de banco que se correspondían con las cuentas de correo, y éstas, a su vez, con redes sociales. Gracias a los conocimientos adquiridos, creó otra base de datos con ese conocimiento. Esta base de datos conectaba a cada usuario con su red social, correo electrónico, cuentas bancarias y mensajería instantánea. También le dió lugar a crear otra base de datos con los usuarios a los que no llegaba a conseguir gran cantidad de información. Esta base de datos la vendía al mejor postor, vendiendo también, cada cierto tiempo, actualizaciones sobre la misma. La “gran mentira” era todo un éxito.

Nicolai planificó cada detalle de sus actos para llevar a cabo “El plan B”. Gracias al dinero obtenido de ventas anteriores, llegó a contratar varios servidores alojados en países de “moral informática relajada” (Te lo copio Chema ;-)). En cada uno de ellos, instaló una aplicación que había conseguido encargar a un programador amigo suyo. La aplicación tan sólo recibia un fichero de configuración con unos datos específicos, y ésta, a su vez, realizaba todo el trabajo.

Nicolai se había empeñado en realizar una gran compra por Internet, utilizando la base de datos que le había costado un año llenar. El plazo de acción era realizar el trabajo en 24 horas.

Así que una mañana, sobre las 13:35 horas, Nicolai estaba sentado en pijama sobre su equipo, con un cigarrillo en la comisura de los labios, y un vaso con Marraskinos en el otro. Configuró todos los servidores, actualizó todas las víctimas, y pulsó el botón START.

Fin del capítulo II

Saludetes!!

 

 

Estafa a las 3. Dónde está mi inversión? SE01X01

Estándar

Son las 3 de la tarde y el departamento de HelpDesk de la empresa Skynet recibe una llamada. Es el experto en IT Henry DansMerkt.

Henry DansMerkt: Hola buenas tardes. Es el departamento HelpDesk?

Técnico: Si señor Henry. Ha marcado los números correctos y este es el departamento de HelpDesk. Enhorabuena. En qué podemos ayudarle?

Henry DansMerkt: Puessss… La verdad es que no sé si es realmente un problema. El caso es que no encuentro un dinero para una inversión de IT. Este dinero estaba en una cuenta corriente y ahora no está.

Técnico: Señor Henry. Este problema tiene que ver con algún equipo? Verá, es que necesito saber si es un problema del equipo, para poder abrir un ticket de resolución. Los temas bancarios no los lleva el departamento de HelpDesk, así que no sé muy bien cómo ayudarle.

Henry DansMerkt: Verá, es que los números de cuenta los poseo únicamente yo, el departamento contable y el CEO de la empresa. He comunicado con ellos y me comentan que ellos no han realizado ningún tipo de acción sobre la cuenta mencionada. Todo este tipo de inversiones las hacemos siempre Online y nunca ha habido ningún problema. Así que tanto el CEO de la compañía y el jefe del departamento contable me han remitido a ustedes, por si el problema fuese del equipo corporativo.

Técnico: Ok. Vamos a realizar algún tipo de comprobación rutinaria. A qué tipo de banca online se refiere? Puede acceder a la página correctamente?

Henry DansMerkt: Las cuentas personales que utilizamos para este tipo de inversiones están alojadas en dos bancos. Uno es el Banco de Santander y el otro es Banesto. Y sí, acabo de probar a ingresar los datos en las cuentas y puedo acceder correctamente.

Técnico: Puede mandar alguna captura de su acceso a las cuentas?

Henry DansMerkt: Claro que puedo. Se las estoy enviando a través del correo electrónico. Un momento

Pasan unos 4 minutos….. (Tensa espera telefónica)

Henry DansMerkt: Le han llegado ya?

Técnico: Sí que me han llegado. Las estoy revisando

Henry1

Imagen 1.- Banca personal Henry

Henry2

Imagen 2.- Banca personal Henry

Técnico: Un momento por favor, estamos revisando el equipo en busca de Malware y monitorizando las conexiones. Manténgase a la espera por favor.

Henry DansMerkt: Ok

Técnico: Señor Henry. Hemos monitorizado el equipo y no vemos ninguna señal de Malware. Aparte, monitorizamos todo tipo de salida y entrada de datos mediante sistemas perimetrales de seguridad, y llevamos un control exhaustivo tanto de las políticas locales como del control de acceso a los recursos y ficheros de la compañía.

Henry DansMerkt: Ok. Pues muchas gracias. Ya me quedo mucho más tranquilo. Aunque no encuentre el dinero. Preguntaré al departamento contable y al CEO otra vez, no vaya a ser que se hayan olvidado de algo.

Técnico: OK. Pues doy por cerrado el Ticket. Muchas gracias por su llamada señor Henry y que pase un buen día.

Henry DansMerkt: Gracias chaval. Me iré a casa temprano hoy para seguir trabajando desde allí. Adiós!

Técnico: Oiga? Oiga? Señor Henry? Se encuentra ahí?

Henry DansMerkt: Sí sí, me encuentro aquí. Necesita algo?

Técnico: Ehhmmm… Verá, es que tengo su portátil aquí, ya sabe, el que me mandó la semana pasada para instalarle el nuevo sistema operativo de Microsoft. Windows 7. Recuerda?

Henry DansMerkt: Sí, sí, lo sé. Está terminado?

Técnico: No, no está terminado. Estamos incluyéndolo en el dominio y aplicando las políticas de seguridad. Recuerde que NO se debe trabajar con portátiles que no estén configurados por el departamento de IT. Fue idea suya… La pregunta es… DESDE QUÉ PORTÁTIL ESTÁ TRABAJANDO?

Henry DansMerkt: Ahhh, jajaja! Desde el portátil de mi compañero de piso, el cual amablemente me lo ha dejado hasta que me déis el corporativo. Lo tengo aquí ahora mismo.

Técnico: Puede encender el portátil por favor, y mandarme capturas de pantalla del inicio de sesión en la banca online? Es mera curiosidad y un trámite sin importancia….

Henry DansMerkt: Claro que sí, aunque no veo qué problema pudiese haber. Te mando las capturas en unos minutos.

Pasan unos 5 minutos. (Tensísima espera telefónica)

Henry DansMerkt: Te han llegado ya las capturas?

Técnico: Sí, ehhmmm… Espere, las estoy visualizando….

Henry3

Imagen 3.- Imagen Portátil “neocorporativo” del compañero de piso

Henry4

Imagen 4.- Imagen Portátil “neocorporativo” del compañero de piso

Técnico: Un momento por favor… (Sonido de fondo=on) ·$%##@@!!. Manuel! Llama corriendo a Javi de comunicaciones y que empiece a monitorizar tráfico en la red corporativa. Tenemos un ticket de nivel I. Ah! Y por favor, llama a Juanito Walker y a Juan Luigi “El drogata”, y dile que tenemos un caso para ellos. “Drogata???”…. Sí, es que el tio lo esnifa “todo”….(Sonido de fondo=off). Señor DansMerkt, mucho me temo que va a tener que dejar el portátil aquí. Lo necesitamos para cerrar la incidencia.

Henry DansMerkt: La incidencia no estaba cerrada?

Técnico: No, la hemos abierto de nuevo.

Henry DansMerkt: Y cómo trabajo yo ahora desde casa?

Técnico: Veremos si sigue trabajando mañana aquí…..

Henry DansMerkt: Cómo ha dicho?

Técnico: Nada nada…. He dicho que inmediatamente le mandamos un portátil corporativo y nos quedamos con el de su compañero de piso para analizarlo con más profundidad.

Henry DansMerkt: Pero me lo devolverán hoy no? Es que mi compañero lo necesita para el Facebook y el Twitter…

Técnico: Lo intentaremos señor Henry, lo intentaremos….

Fin capítulo I

Saludetes!! ;-)

 

Mis inicios en la seguridad informática

Estándar

Disclaimer: Atención! Todo lo que leas a partir de ahora puede ser una paja mental mía, una mentira como un piano, o algo que a tí no te interese lo más mínimo. Si es así, deja de leer esto….

Cuando contaba yo con unos 8 años de edad, me empezó a interesar la electrónica y la informática. Lo primero por la energía, y lo segundo por las cosas que podías hacer con esa máquina. El principal problema radicaba en que mi familia no tenía dinero para costearme un ordenador potente, como un Amstrad o un Spectrum. En aquella época también empezó a interesarme el cine y el mundo que lo rodeaba.

Otro problema que tenía, era que pagar 350 pesetas por ver una película se convertía en una odisea, ya que era un verdadero pastón para mi. Así que tenía que conformarme con ir al cine con la familia de algún colega mío o alguna invitación por radio o familiar.

Pero un nuevo campo se abrió ante nosotros. El video-club. Un sitio en el que alquilabas una película por 150 pesetas y podías visionarla tantas veces como quisieses en un plazo pequeño (24 horas). Por aquella época, mi padre pudo comprarse a plazos un vídeo Panasonic a precio desorbitado (120.000 pesetas). El vídeo no se utilizaba mucho, ya que no había mucho que grabar, debido principalmente a que no había canales. En aquella época teníamos “la primera y la segunda” (La 1 y la 2 de televisión española). Finalmente, entre todos los vecinos, pagaron una cuota mensual para poder disfrutar del “Vídeo comunitario”, y un mundo se abrió ante nosotros. Poder realizar grabaciones de películas se convirtió en un hecho, ya que entre todos juntábamos dinero para pagar las cintas VHS, y posteriormente las grabábamos gracias al Video grabador Panasonic.

Con el tiempo, pude conseguir un vídeo grabador con la carcasa rota, ya que la familia que me lo “donó” tenía poder adquisitivo como para comprar otro. Fue en esa época en la que se nos encendió la bombilla a todos. Y si juntamos los vídeos y grabamos películas del video-club?

Así que iniciamos el proyecto. Entre todos compramos un cable EuroConector, un par de cintas VHS y nuestra primera película en el videoclub. The Goonies. Juntamos los dos vídeos, y comenzamos la grabación. Mientras grababa, algunos veían la cinta, mientras que otros, mirábamos los tiempos en los vídeos y observábamos como el símbolo rojo de “REC” estaba en marcha. Cuando terminó la grabación, procedimos a ver la cinta y…. FAIL con mayúsculas.

La cinta tenía defectos en el visionado. La imagen se veía solapada por la parte superior y se oscurecía la imagen cada ciertos segundos. Repetimos la operación varias veces (en el mismo día) y no hubo manera. Había una protección anticopia de la que no teníamos constancia. El proyecto se dió por terminado, ya que al día siguiente teníamos que devolver la cinta al videoclub. El sueño había muerto.

Como no había dinero para repetir más pruebas, dejamos la inventiva por considerarla algo imposible. En aquella época ninguno de nosotros teníamos conocimientos de electrónica, ni de hertzios, cintas magnéticas, etc…

Pasado un tiempo, y debido a ciertos trabajos extra, conseguí tener unas 5 cintas VHS de varios formatos de tiempo. Tenía de 90, 120 y 240 minutos. Como no tenía esos conocimientos “extra”, no podía hacer otra cosa que seguir probando e intentando comprender por qué pasaba eso. Como mi conocimiento se ajustaba más bien a apretar tornillos, me dispuse a hacer algo que sabía. Desatornillar la cinta.
En su interior me encontré con algo bastante básico y mecánico. Un rollo de cinta parecida al carrete fotográfico, y unos raíles por donde pasaba la cinta. Observando la cinta resolví una cuestión decisiva. Y si abro otra cinta e intercambio los rollos? Me la cargaré? funcionará?

Como tenía unas 5 cintas, podía permitirme el lujo de estropear en el intento 2 cintas, así que me puse manos a la obra. Abrí dos cintas, e intercambié los rollos. Para pegar el rollo utilicé pegamento imedio. Puse el rollo en el carril de la otra cinta, atornillé la caja, tensé la cinta con un boli bic, y la puse en el grabador. Para la prueba utilicé una cinta que tenía grabado un programa de la tele y otra cinta que no tenía grabación alguna. Bingo!! La prueba había sido un éxito!

Un día más tarde, le conté el hallazgo a mis colegas, y otra vez el proyecto cobró vida! Juntamos semanalmente dinero para alquilar las películas, realizabamos la copia, cambiabamos los rollos y las devolvíamos al videoclub en un intervalo de 24 horas. Meses más tarde profesionalizamos el cambio de rollo, utilizando como pegamento la laca de uñas de mi madre, ya que el pegamento inutilizaba la cinta a veces.

Años más tarde averigué que el solapamiento de la imagen y el oscurecimiento de la misma, ambos ocasionados de forma secuencial, se debía a una protección llamada Macrovisión.

Hasta otro capítulo!
Saludetes!!

http://es.wikipedia.org/wiki/VHS

http://www.hackerscatalog.com/Services/TECH_Notes/nineteen.html