SlideShare ist ein Scribd-Unternehmen logo

STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)

Iván Portillo
Iván Portillo

Este documento presenta el simulador Elena, creado para apoyar cursos de formación en cibervigilancia. El simulador ofrece escenarios en formato árbol de decisiones o simulación técnica para que los analistas practiquen técnicas de cibervigilancia. Incluye herramientas virtualizadas y máquinas preparadas. El objetivo es ofrecer una experiencia lo más realista posible y guiar a los usuarios en la aplicación de procedimientos de investigación.

Präsentationen & Vorträge
1 von 90
Cibervigilancia con Warrior
Ivan Portillo Ginseg Comunidad de Ciberinteligencia ivan.portillo@ginseg.com ivanPorMor p0rt7 ivanportillomorales
Wiktor Nykiel Ginseg Comunidad de Ciberinteligencia wiktor.nykiel@ginseg.com WiktorNykiel WiktorNykiel_GINSEG_Inteligencia WiktorNykiel
Antes de empezar
Descarga la OVA preparada para el laboratorio https://materiales.ginseg.com/ccn-labs
Pasamos lista https://t.me/ginseg ¡El Warrior ya esta!
Comencemos
Software para virtualización https://download.virtualbox.org/virtualbox/6.1.30/ VirtualBox-6.1.30-148432-Win.exe https://www.vmware.com/go/ getplayer-win
Guía para la importación de la OVA
Máquina para el analista Máquina virtual desarrollada y configurada específicamente para este laboratorio. Requiere realizar la instalación del resto de herramientas con script iniciar.sh • Tinfoleak • Maltego • OSRFramework • instagramOSINT • instaloader • Karma Herramientas incluidas: • PyCharm • Python3 • Tor Browser • Firefox • Plugins privacidad y anonimato • Keepass • Veracrypt • The Harvester • Riseup VPN • Twint • Gephi • Spiderfoot • Desarrollos a medida para el taller • Otras herramientas complementarias Máquina Virtual específica para el laboratorio Usuario: osint Contraseña: osint
Dos pasos rápidos antes de empezar
Pasos de instalación de herramientas: 1. Abrir un terminal 2. Escribir en la terminal cd Escritorio/ ./iniciar.sh 3. Al solicitar introducir la contraseña, deberemos escribir “osint”. 4. Comenzará el proceso de instalación automático y desatendido. 5. Al finalizar escribir “exit” y comenzará a instalar las imágenes de los dockers. Instalación 4 dummies
Completado
Objetivo de STC Elena
Simulador de Técnicas de Cibervigilancia Simulador creado como herramienta de apoyo a los cursos de formación en temática de cibervigilancia, que deseen practicar en un entorno aislado. Para poder superar los ejercicios del simulador, es necesario aplicar las técnicas y procedimientos de recolección y tratamiento de información que permitan obtener y plasmar las correspondientes conclusiones de un caso que pretende representar de forma fehaciente las etapas una investigación de forma guiada. El propósito de este elemento complementario de aprendizaje es ofrecer un entorno autocontenido que simule un escenario real donde el analista de ciberinteligencia pueda practicar y realizar capacitaciones de cibervigilancia. El entorno y su itinerario han sido creados en base a la experiencia adquirida durante la realización de numerosos cursos, los cuales han servido de base y referencia para crear esta solución. Este simulador se ha creado 100% en España con el liderazgo del CCN-Cert – Centro Criptológico Nacional en colaboración con Ginseg – Comunidad de Ciberinteligencia. https://www.ccn-cert.cni.es/soluciones-seguridad/elena.html
Escenarios en formato de: Árbol de decisiones Tipos de escenario donde el participante tiene que tomar una serie de decisiones en función a una reciente amenaza que esta afectando a su organización. Para llevar a cabo este escenario será necesario aplicar una serie de actuaciones que contrarresten la propia amenaza, utilizando para ello diversas técnicas de cibervigilancia.
Escenarios en formato de: Simulación Técnica Escenarios donde el participante tiene que emplear diversas técnicas de cibervigilancia para investigar un suceso concreto partiendo únicamente del nombre de la entidad por ejemplo. Para tal fin, el propio analista contará con herramientas virtualizadas dentro de su navegador web para efectuar su investigación.
Simulando la investigación de un objetivo
Dominios y DNS (A, MX), Activos, IPs Rangos Objetivo: Empresa, institución Dominios > MX Usernames Social Media Flag ¿Beneficio económico? ¿Exfiltración de información? ¿Análisis de exposición? ¿Daño reputacional? Vulnerabilidades Sistemas Footprint Reutilización de credenciales Accesos Empleados y proveedores Foros y comunidades Posibles credenciales de leaks anteriores ? ! ¿Hasta donde puede llegar solo con el nombre del objetivo?
Qué tenemos • Nombre de una de las empresas del grupo. • Indicios de puntos de fidelización sustraídos. • Comercios online con nuestros productos a mitad de precio. • Indicios de correo de phishing abierto por una empleada. Qué buscamos • Resto de empresas del grupo para conocer su exposición. • Sus dominios asociados, direcciones IP , servidores de correo para reducir la superficie de búsqueda de credenciales, etc. • Activos a nombre de la empresa, servidores, rangos de red, etc. • Tiendas que estén suplantando nuestra marca y vendiendo productos para blanquear puntos de fidelidad. • Credenciales y datos confidenciales expuestos. • Otros datos que puedan ser de interés para un atacante. Qué necesitamos • Informar adecuadamente de los descubrimientos al interlocutor adecuado. • Documentar nuestros hallazgos. 1 2 3 Nos preparamos para la batalla
Footprint: Dominios y DNS (A, MX), Activos, IPs Rangos Empleados y proveedores Objetivo: TOSA Explorando nuestro objetivo: ¿por donde quieres comenzar la investigación?
Dominios y DNS (A, MX), Activos, IPs Rangos Footprint Objetivo: TOSA Explorando nuestro objetivo
Explorando nuestro objetivo - Repositorios de Datos
https://ftp.ripe.net/ripe/dbase/split/ https://ftp.ripe.net/ripe/dbase/ Contenido de archivo parcial ripe.db.inetnum.gz Explorando nuestro objetivo - Repositorios de Datos - RIPE
Herramienta pasiva que proporciona información relacionada con direcciones IP , dominios, subdominios, DNS, servidores de correo y blacklist. Permite analizar ficheros, URLs, dominios, IP o Hashes para descubrir presencia Malware. virustotal.com Input Dominio, IP , Rango IP o ASN Input URL, Dominio, IP , Hash, Fichero Permite buscar fugas de Información publicadas. pastebin.com/search?q=XXXXX Explorando nuestro objetivo: Cómo comenzar – Introduciendo herramientas
Dominios y DNS (A, MX), Activos, IPs Rangos Footprint Objetivo: TOSA Explorando nuestro objetivo
Qué tenemos • Pagina web o dominio. Qué buscamos • Dirección IP a la que apunta el dominio e información asociada a la IP como tecnología que hay detrás, protocolo usado, geolocalización, certificados, ASN, subdominios y otros dominios disponibles. • Registros DNS (NS, MX) y URLs • Muestras de malware asociados al dominio, si las hubiera. • Documentos públicos asociados al dominio. • Credenciales, datos confidenciales expuestos y otros datos que puedan ser de interés para un atacante. • Evidencias a modo de históricos de la web en el tiempo. 1 2 Como comenzamos a investigar
Dominio Dirección IP Buscar Emails Dorks • Google • Bing • Yandex • DuckDuckGo Data Leaks Registros NS, MX URL • Puertos • Tecnología • Protocolo • Geolocalización • Certificados • ASN • Dominios • Subdominios Documentos Whois Malware Procedimiento de investigación Como comenzamos a investigar
Dominio Dirección IP Registros NS, MX Whois URL Malware • Hunter.io • Maltego • Intelx • Virustotal • Shodan • Censys • Recon-ng Herramientas generales para dominios • Maltego • Virustotal • Shodan • Censys • Recon-ng • VirusTotal Herramienta Online Script de Nivel de Dificultad Media Script de Nivel de Dificultad Alta Procedimiento de obtención de información mediante dominio
Dominios y DNS (A, MX), Activos, IPs Rangos Sistemas Footprint Objetivo: TOSA Explorando nuestro objetivo
Dominios y DNS (A, MX), Activos, IPs Rangos Vulnerabilidades Sistemas Footprint Objetivo: TOSA ¿Como seguimos? 1. Quieres realizar búsqueda de credenciales 2. Investigar exposición en RRSS 3. Analizar la muestra de malware Explorando nuestro objetivo
Objetivo Investigación del hash, junto con las posibles relaciones con otros IoCs Donde investigamos Tipo de investigación Esta mañana un compañero del equipo de gestión de incidentes nos ha pedido ayuda sobre un hash de un proceso detectado en una alerta de seguridad. A priori, el propio proceso aparenta ser inofensivo pero al compañero le ha extrañado el propio nombre del proceso, ya que no ha identificado su aplicación asociada. Necesita que le ayudemos a analizar el hash de dicho proceso para determinar si esta relacionada con alguna amenaza conocida. El hash es 4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b Identificar posible relación del hash con algún tipo de amenaza • IBM X-Force • AlienVault OTX • VirusTotal • Hybrid Analysis • Any RUN Localizamos malware asociado
https://www.virustotal.com/gui/file/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b Buscamos el hash en la base de datos de VirusTotal. Detectamos que la muestra ha sido categorizada como maliciosa por 56 motores antivirus. Localizamos malware asociado
Dominios y DNS (A, MX), Activos, IPs Rangos Sistemas Footprint Posibles credenciales de leaks anteriores Objetivo: TOSA Explorando nuestro objetivo
Dominios y DNS (A, MX), Activos, IPs Rangos Sistemas Footprint Reutilización de credenciales Posibles credenciales de leaks anteriores ? ! Objetivo: TOSA Explorando nuestro objetivo
Usernames Empleados y proveedores Objetivo: TOSA Explorando nuestro objetivo
Qué tenemos • Nombre de una persona, cuenta/username, identidad o cualquier dato de partida. Qué buscamos • Perfiles de redes sociales (Twitter, Instagram, Facebook, LinkedIn, etc) que utilicen el username objetivo. • Comprobación de la existencia de correos electrónicos de cualquier proveedor que usen el username objetivo. • Búsqueda de correos electrónicos asociados a los perfiles sociales detectados. • Presencia de los correos electrónicos o del username en Data Leaks filtrados. • Búsqueda de los usernames o los correos electrónicos asociados utilizando diferentes Dorks en los principales metabuscadores. • Búsqueda de evidencias asociadas al username en webs de históricos Qué necesitamos • Establecer las herramientas que podemos usar, tanto de pago como open source. • Usar la metodología y ciclo de inteligencia para coleccionar y analizar los datos. • Documentar nuestros hallazgos y generar información de valor relacional. 1 2 3 Como comenzamos a investigar una identidad digital
Procedimiento de investigación Nombre Persona Buscar en redes sociales posibles perfiles • Twitter • Facebook • Instagram • LinkedIn • Otras RRSS Permutador de Emails Dorks Leaks • Google • Bing • Yandex • DuckDuckGo Verificación de Emails • Teléfono • CV • Documentos Ofimáticos Como comenzamos a investigar una identidad digital
Usernames Social Media Empleados y proveedores Objetivo: TOSA Explorando nuestro objetivo
Qué tenemos • Username. Qué buscamos • Perfiles de redes sociales (Twitter, Instagram, Facebook, LinkedIn, etc) que utilicen el username objetivo. • Comprobación de la existencia de correos electrónicos de cualquier proveedor que usen el username objetivo. • Búsqueda de correos electrónicos asociados a los perfiles sociales detectados. • Presencia de los correos electrónicos o del username en Data Leaks filtrados. • Búsqueda de los usernames o los correos electrónicos asociados utilizando diferentes Dorks en los principales metabuscadores. • Búsqueda de evidencias asociadas al username en webs de históricos 1 2 Explorando nuestro objetivo
USERNAME Existencia del username en RRSS • Twitter • Facebook • Instagram • LinkedIn • Telegram • Otras RRSS Permutador de Emails Dorks Leaks • Google • Bing • Yandex • DuckDuckGo Históricos de archivos Verificación de Emails Procedimiento de investigación Procedimiento de obtención de información sobre username
USERNAME Twitter Facebook Instagram LinkedIn Detectar username en multiplataformas sociales Existencia del username en RRSS • SpiderfFoot HX • Maltego • OSRFramework (Usufy) • Namechk • Suip.biz/?act=Sherlock • Intelx • TinfoLeak • Twint • SocialBearing • TweetDeck • TweetBeaver • All My Tweets • Foller.me • Followerwonk • Searchusers • Instagram OSINT • Instaloader Telegram Búsqueda Manual del username en la plataforma social de Facebook, Instagram y/o LinkedIn Verificación de Emails Solicitar recuperación de contraseña de plataformas sociales en redes sociales (Twitter, Facebook, Instagram) Herramienta Online Script de Nivel de Dificultad Media Script de Nivel de Dificultad Alta Procedimiento de obtención de información sobre username
Dominios y DNS (A, MX), Activos, IPs Rangos Dominios > MX Usernames Social Media Flag ¿Beneficio económico? ¿Exfiltración de información? ¿Análisis de exposición? ¿Daño reputacional? Vulnerabilidades Sistemas Footprint Reutilización de credenciales Accesos Empleados y proveedores Foros y comunidades Posibles credenciales de leaks anteriores ? ! Objetivo: TOSA Flag: Hemos llegado a la conclusión
Elena: Primer acceso
Primer acceso a Elena
Primer acceso a Elena
Primer acceso a Elena
Primer acceso a Elena
Primer acceso a Elena
Primer acceso a Elena
Primer acceso a Elena
Primer acceso a Elena
Primer acceso a Elena
Elena: en directo
Automatizando nuestras monitorizaciones
El caso a monitorizar
Primera aproximación sobre la amenaza - SocialBearing https://socialbearing.com/
Primera aproximación sobre la amenaza - SocialBearing
https://github.com/twintproject/twint / Twint esta desarrollado en python3.6 y por lo tanto es necesario disponer de dicho lenguaje de programación instalado y el pip3 para la instalación de librerías necesarias en el mismo. Puede instalarse tanto en sistemas Linux como Windows siempre que tenga Python 3.6 instalado. Comando de instalación pip3 install --user --upgrade git+https://github.com/twintproject/twint.git@origin/master#egg=twint Monitorizar actividades en Twitter - Twint
Comprobar Stack de microservicios instalados Comando: sudo docker-compose images Comprobar contenedores en ejecución asociados a stacks Comando: sudo docker-compose ps Monitorizar actividades en Twitter - Twint
import twint username = 'ivanpormor' c = twint.Config() c.Username = username c.Hide_output = True c.Limit = None c.Store_csv = True twint.run.Search(c) import twint Keyword = '#ransomware' c = twint.Config() c.Search = keyword c.Hide_output = True c.Limit = None c.Store_csv = True twint.run.Search(c) Búsqueda por username Búsqueda por keyword Automatización de TWINT mediante Python
import twint keyword = '#ransomware' c = twint.Config() c.Search = keyword c.Hide_output = True c.Limit = None c.Pandas = True twint.run.Search(c) tweets = twint.storage.panda.Tweets_df for tweet in tweets.to_dict(orient='records'): print(tweet) Automatización de TWINT mediante Python
Ubicación del proyecto /home/osint/Escritorio/Herramientas/herramientas-personalizadas/Twitter/Proyecto_Twitter_sin_API 1 Ejecución de la herramienta Comando: python main.py 3 Activar entorno virtualizado de Python Comando: source venv/bin/activate 2 Automatización de TWINT mediante Python
Investigación de una keyword Automatización de TWINT mediante Python
Investigación de un usuario Automatización de TWINT mediante Python
Visualización de datos extraídos con Twint en Kibana
Obtención y tratamiento de datos de Twitter con streaming con ELK
Añadir plugin de Twitter en la configuración de logstash. 1 Añadir keywords, recuperar tweets completos e ignorar retweets. 3 Añadir las APIs de Twitter. 2 Remplazar contenido de etiquetas dentro de campo source. 4 Configurar un índice para almacenar todos los resultados en Elasticsearch. 5 Obtención y tratamiento de datos de Twitter con streaming con ELK
Ubicación del proyecto /home/osint/Escritorio/Herramientas/herramientas-personalizadas/Twitter/Twitter_API_ELK 1 Ejecución de la herramienta Comando: ./bin/logstash -f twitter_recon.conf 3 Lanzar Elasticsearch sino está en ejecución Comando: sudo service elasticsearch restart 2 Obtención y tratamiento de datos de Twitter con streaming con ELK
Obtención y tratamiento de datos de Twitter con streaming con ELK
Google nos permite crear buscadores personalizados, a través de su servicio “Custom Search Engine”, utilizando las fuentes que tengamos categorizadas como fiables y excluyendo así el resto. De este modo, a través del motor de búsqueda de Google, podremos crear un buscador totalmente adaptado a nuestras necesidades. Esto significa que obtendremos información exclusivamente de las fuentes que le indiquemos en la configuración. CSE esta limitado a 100 resultados únicamente, pero si añadimos búsquedas muy específicas no será un problema. https://cse.google.com/ Personalización de buscadores para monitorizar actividades - CSE
Personalización de buscadores para monitorizar actividades - CSE
Elegir Etiqueta / Manage labels Elegir Añadir Personalización de buscadores para monitorizar actividades - CSE
Personalización de buscadores para monitorizar actividades - CSE
Seleccionamos el sitio y la etiqueta relacionada Sitios asignados a sus etiquetas restringidas Personalización de buscadores para monitorizar actividades - CSE
Personalización de buscadores para monitorizar actividades - CSE
Pasos de instalación activación de virtualenv e instalación de dependencias • cd /home/osint/Escritorio/Herramientas/herramientas-personalizadas/automatizacion_cse • source venv/bin/activate • pip3 install -r requirements.txt Automatización de CSE + ELK
Listado de la carpeta automatizacion_cse Visualización del contenido de fichero de los inputs de monitorización: keyword.txt Automatización de CSE + ELK
Ejecución de la herramienta. Conocer como ejecutar la herramienta Comando para mostrar la ayuda de la herramienta: • python3 main.py --help Automatización de CSE + ELK
Ejecución de la herramienta utilizando el buscador sobre RRSS creado con CSE Automatización de CSE + ELK
Automatización de CSE + ELK
Automatización de CSE + ELK
Monitorización sobre ataques Ransomware - DarkFeed https://darkfeed.io/ DarkFeed es un servicio web que permite monitorizar las diferentes publicaciones sobre victimas relacionadas con ataques Ransomware de cualquier grupo criminal. Dispone de un inventario sobre los grupos de ransomware que se encuentran activos junto con sus URLs “oficiales”.
Monitorización sobre ataques Ransomware - Darktracer https://darktracer.com
Monitorización sobre ataques Ransomware - Darktracer Darktracer dispone de un módulo gratuito de monitorización de victimas de ransomware, ofreciendo un pequeño inventario sobre cada ataque.
Monitorización sobre ataques Ransomware - Darktracer
Monitorización sobre ataques Ransomware - Darktracer
Se aceptan aplausos
Gracias por la atención MUCHAS GRACIAS

Empfohlen

Tools for Open Source Intelligence (OSINT)
Tools for Open Source Intelligence (OSINT)Tools for Open Source Intelligence (OSINT)
Tools for Open Source Intelligence (OSINT)Sudhanshu Chauhan
 
Effective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat IntelligenceEffective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat IntelligenceDhruv Majumdar
 
Threat Hunting Procedures and Measurement Matrice
Threat Hunting Procedures and Measurement MatriceThreat Hunting Procedures and Measurement Matrice
Threat Hunting Procedures and Measurement MatriceVishal Kumar
 
Bsides 2019 - Intelligent Threat Hunting
Bsides 2019 - Intelligent Threat HuntingBsides 2019 - Intelligent Threat Hunting
Bsides 2019 - Intelligent Threat HuntingDhruv Majumdar
 
OSINT- Leveraging data into intelligence
OSINT- Leveraging data into intelligenceOSINT- Leveraging data into intelligence
OSINT- Leveraging data into intelligenceDeep Shankar Yadav
 
OSINT for Attack and Defense
OSINT for Attack and DefenseOSINT for Attack and Defense
OSINT for Attack and DefenseAndrew McNicol
 
Threat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghThreat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghOWASP Delhi
 
Threat hunting on the wire
Threat hunting on the wireThreat hunting on the wire
Threat hunting on the wireInfoSec Addicts
 

Empfohlen

Tools for Open Source Intelligence (OSINT)
Tools for Open Source Intelligence (OSINT)Tools for Open Source Intelligence (OSINT)
Tools for Open Source Intelligence (OSINT)Sudhanshu Chauhan
 
Effective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat IntelligenceEffective Threat Hunting with Tactical Threat Intelligence
Effective Threat Hunting with Tactical Threat IntelligenceDhruv Majumdar
 
Threat Hunting Procedures and Measurement Matrice
Threat Hunting Procedures and Measurement MatriceThreat Hunting Procedures and Measurement Matrice
Threat Hunting Procedures and Measurement MatriceVishal Kumar
 
Bsides 2019 - Intelligent Threat Hunting
Bsides 2019 - Intelligent Threat HuntingBsides 2019 - Intelligent Threat Hunting
Bsides 2019 - Intelligent Threat HuntingDhruv Majumdar
 
OSINT- Leveraging data into intelligence
OSINT- Leveraging data into intelligenceOSINT- Leveraging data into intelligence
OSINT- Leveraging data into intelligenceDeep Shankar Yadav
 
OSINT for Attack and Defense
OSINT for Attack and DefenseOSINT for Attack and Defense
OSINT for Attack and DefenseAndrew McNicol
 
Threat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghThreat hunting 101 by Sandeep Singh
Threat hunting 101 by Sandeep SinghOWASP Delhi
 
Threat hunting on the wire
Threat hunting on the wireThreat hunting on the wire
Threat hunting on the wireInfoSec Addicts
 
Threat hunting - Every day is hunting season
Threat hunting - Every day is hunting seasonThreat hunting - Every day is hunting season
Threat hunting - Every day is hunting seasonBen Boyd
 
How to Use Open Source Intelligence (OSINT) in Investigations
How to Use Open Source Intelligence (OSINT) in InvestigationsHow to Use Open Source Intelligence (OSINT) in Investigations
How to Use Open Source Intelligence (OSINT) in InvestigationsCase IQ
 
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...MITRE - ATT&CKcon
 
Threat Hunting
Threat HuntingThreat Hunting
Threat HuntingSplunk
 
OSINT: Open Source Intelligence gathering
OSINT: Open Source Intelligence gatheringOSINT: Open Source Intelligence gathering
OSINT: Open Source Intelligence gatheringJeremiah Tillman
 
Threat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxThreat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxInfosec
 
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...Falgun Rathod
 
OpenSourceIntelligence-OSINT.pptx
OpenSourceIntelligence-OSINT.pptxOpenSourceIntelligence-OSINT.pptx
OpenSourceIntelligence-OSINT.pptxanonymousanonymous428352
 
Threat hunting for Beginners
Threat hunting for BeginnersThreat hunting for Beginners
Threat hunting for BeginnersSKMohamedKasim
 
Cyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopCyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopDigit Oktavianto
 
Enterprise Open Source Intelligence Gathering
Enterprise Open Source Intelligence GatheringEnterprise Open Source Intelligence Gathering
Enterprise Open Source Intelligence GatheringTom Eston
 
Osint presentation nov 2019
Osint presentation nov 2019Osint presentation nov 2019
Osint presentation nov 2019Priyanka Aash
 
Threat Hunting with Splunk Hands-on
Threat Hunting with Splunk Hands-onThreat Hunting with Splunk Hands-on
Threat Hunting with Splunk Hands-onSplunk
 
What is Open Source Intelligence (OSINT)
What is Open Source Intelligence (OSINT)What is Open Source Intelligence (OSINT)
What is Open Source Intelligence (OSINT)Molfar
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsSergey Soldatov
 
Open source intelligence
Open source intelligenceOpen source intelligence
Open source intelligencebalakumaran779
 
Threat Hunting with Splunk
Threat Hunting with SplunkThreat Hunting with Splunk
Threat Hunting with SplunkSplunk
 
osint - open source Intelligence
osint - open source Intelligenceosint - open source Intelligence
osint - open source IntelligenceOsama Ellahi
 
OSINT - Open Source Intelligence
OSINT - Open Source IntelligenceOSINT - Open Source Intelligence
OSINT - Open Source Intelligencec0c0n - International Cyber Security and Policing Conference
 
Cyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down IntrudersCyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down IntrudersInfosec
 
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...Iván Portillo
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareSecpro - Security Professionals
 

Weitere ähnliche Inhalte

Was ist angesagt?

Threat hunting - Every day is hunting season
Threat hunting - Every day is hunting seasonThreat hunting - Every day is hunting season
Threat hunting - Every day is hunting seasonBen Boyd
 
How to Use Open Source Intelligence (OSINT) in Investigations
How to Use Open Source Intelligence (OSINT) in InvestigationsHow to Use Open Source Intelligence (OSINT) in Investigations
How to Use Open Source Intelligence (OSINT) in InvestigationsCase IQ
 
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...MITRE - ATT&CKcon
 
Threat Hunting
Threat HuntingThreat Hunting
Threat HuntingSplunk
 
OSINT: Open Source Intelligence gathering
OSINT: Open Source Intelligence gatheringOSINT: Open Source Intelligence gathering
OSINT: Open Source Intelligence gatheringJeremiah Tillman
 
Threat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxThreat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxInfosec
 
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...Falgun Rathod
 
Threat hunting for Beginners
Threat hunting for BeginnersThreat hunting for Beginners
Threat hunting for BeginnersSKMohamedKasim
 
Cyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopCyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopDigit Oktavianto
 
Enterprise Open Source Intelligence Gathering
Enterprise Open Source Intelligence GatheringEnterprise Open Source Intelligence Gathering
Enterprise Open Source Intelligence GatheringTom Eston
 
Osint presentation nov 2019
Osint presentation nov 2019Osint presentation nov 2019
Osint presentation nov 2019Priyanka Aash
 
Threat Hunting with Splunk Hands-on
Threat Hunting with Splunk Hands-onThreat Hunting with Splunk Hands-on
Threat Hunting with Splunk Hands-onSplunk
 
What is Open Source Intelligence (OSINT)
What is Open Source Intelligence (OSINT)What is Open Source Intelligence (OSINT)
What is Open Source Intelligence (OSINT)Molfar
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsSergey Soldatov
 
Open source intelligence
Open source intelligenceOpen source intelligence
Open source intelligencebalakumaran779
 
Threat Hunting with Splunk
Threat Hunting with SplunkThreat Hunting with Splunk
Threat Hunting with SplunkSplunk
 
osint - open source Intelligence
osint - open source Intelligenceosint - open source Intelligence
osint - open source IntelligenceOsama Ellahi
 
Cyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down IntrudersCyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down IntrudersInfosec
 

Was ist angesagt? (20)

Threat hunting - Every day is hunting season
Threat hunting - Every day is hunting seasonThreat hunting - Every day is hunting season
Threat hunting - Every day is hunting season
 
How to Use Open Source Intelligence (OSINT) in Investigations
How to Use Open Source Intelligence (OSINT) in InvestigationsHow to Use Open Source Intelligence (OSINT) in Investigations
How to Use Open Source Intelligence (OSINT) in Investigations
 
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
MITRE ATT&CKcon 2018: Hunters ATT&CKing with the Data, Roberto Rodriguez, Spe...
 
Threat Hunting
Threat HuntingThreat Hunting
Threat Hunting
 
OSINT: Open Source Intelligence gathering
OSINT: Open Source Intelligence gatheringOSINT: Open Source Intelligence gathering
OSINT: Open Source Intelligence gathering
 
Threat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptxThreat hunting foundations: People, process and technology.pptx
Threat hunting foundations: People, process and technology.pptx
 
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...
OSINT - Open Source Intelligence "Leading Intelligence and Investigation Tech...
 
OpenSourceIntelligence-OSINT.pptx
OpenSourceIntelligence-OSINT.pptxOpenSourceIntelligence-OSINT.pptx
OpenSourceIntelligence-OSINT.pptx
 
Threat hunting for Beginners
Threat hunting for BeginnersThreat hunting for Beginners
Threat hunting for Beginners
 
Cyber Threat Hunting Workshop
Cyber Threat Hunting WorkshopCyber Threat Hunting Workshop
Cyber Threat Hunting Workshop
 
Enterprise Open Source Intelligence Gathering
Enterprise Open Source Intelligence GatheringEnterprise Open Source Intelligence Gathering
Enterprise Open Source Intelligence Gathering
 
Osint presentation nov 2019
Osint presentation nov 2019Osint presentation nov 2019
Osint presentation nov 2019
 
Threat Hunting with Splunk Hands-on
Threat Hunting with Splunk Hands-onThreat Hunting with Splunk Hands-on
Threat Hunting with Splunk Hands-on
 
What is Open Source Intelligence (OSINT)
What is Open Source Intelligence (OSINT)What is Open Source Intelligence (OSINT)
What is Open Source Intelligence (OSINT)
 
How MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operationsHow MITRE ATT&CK helps security operations
How MITRE ATT&CK helps security operations
 
Open source intelligence
Open source intelligenceOpen source intelligence
Open source intelligence
 
Threat Hunting with Splunk
Threat Hunting with SplunkThreat Hunting with Splunk
Threat Hunting with Splunk
 
osint - open source Intelligence
osint - open source Intelligenceosint - open source Intelligence
osint - open source Intelligence
 
OSINT - Open Source Intelligence
OSINT - Open Source IntelligenceOSINT - Open Source Intelligence
OSINT - Open Source Intelligence
 
Cyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down IntrudersCyber Threat Hunting: Identify and Hunt Down Intruders
Cyber Threat Hunting: Identify and Hunt Down Intruders
 

Ähnlich wie STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)

[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...Iván Portillo
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...redZink Security
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...Wiktor Nykiel ✔
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...Iván Portillo
 
Curso de Hacking Ético 2013
Curso de Hacking Ético 2013Curso de Hacking Ético 2013
Curso de Hacking Ético 2013NPROS Perú
 
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...Iván Portillo
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...RootedCON
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la GuerraLuis Cortes Zavala
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
LinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksLinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksMauricio Velazco
 
El hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaEl hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaLuis Fernando Aguas Bucheli
 
Investigador Forense
Investigador ForenseInvestigador Forense
Investigador ForenseFiko Perez
 
Ransonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus InformáticoRansonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus InformáticoJuan Astudillo
 

Ähnlich wie STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel) (20)

[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
[2020] OSINTCity - Ciberinteligencia: Surface Crawling - Ivan Portillo y Gonz...
 
Tecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malwareTecnicas avanzadas de ocultamiento de malware
Tecnicas avanzadas de ocultamiento de malware
 
Apatrullando la ciudad...red
Apatrullando la ciudad...redApatrullando la ciudad...red
Apatrullando la ciudad...red
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
EY Spain - CiberSeg UAH 2017 - Taller de creación de tools de inteligencia - ...
 
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
[2020] Taller IntelCon - La reactividad del forense digital vs la proactivida...
 
Framework para pentesters
Framework para pentestersFramework para pentesters
Framework para pentesters
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
Curso de Hacking Ético 2013
Curso de Hacking Ético 2013Curso de Hacking Ético 2013
Curso de Hacking Ético 2013
 
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
[2020] Cybersecurity Day - Threat Intelligence en el ambito de la ciberinteli...
 
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
rooted2020-Rootkit necurs no_es_un_bug,_es_una_feature_-_roberto_santos_-_jav...
 
Pentest - El Arte de la Guerra
Pentest - El Arte de la GuerraPentest - El Arte de la Guerra
Pentest - El Arte de la Guerra
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
Conferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APTConferencia arquitectura de Ciberdefensa APT
Conferencia arquitectura de Ciberdefensa APT
 
LinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side AttacksLinuxWeek 2010 - Client Side Attacks
LinuxWeek 2010 - Client Side Attacks
 
El hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informáticaEl hacking desde el punto de vista de la seguridad informática
El hacking desde el punto de vista de la seguridad informática
 
2012temariohackingv9
2012temariohackingv92012temariohackingv9
2012temariohackingv9
 
Investigador Forense
Investigador ForenseInvestigador Forense
Investigador Forense
 
Ransonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus InformáticoRansonware: introducción a nuevo Virus Informático
Ransonware: introducción a nuevo Virus Informático
 
Ceh
CehCeh
Ceh
 

Kürzlich hochgeladen

Diapositiva del JUICIO VALORATIVO - 2024
Diapositiva del JUICIO VALORATIVO - 2024Diapositiva del JUICIO VALORATIVO - 2024
Diapositiva del JUICIO VALORATIVO - 2024KellySue4
 
CURSO DE INICIACIÓN Á ASTRONOMÍA Eclipses na Coruña
CURSO DE INICIACIÓN Á ASTRONOMÍA Eclipses na CoruñaCURSO DE INICIACIÓN Á ASTRONOMÍA Eclipses na Coruña
CURSO DE INICIACIÓN Á ASTRONOMÍA Eclipses na Coruñaanoiteenecesaria
 
Presentación conformación brigada de emergencia.ppt
Presentación conformación brigada de emergencia.pptPresentación conformación brigada de emergencia.ppt
Presentación conformación brigada de emergencia.pptaletapiaapr
 
PRESENTACION GESTION DE PROYECTOS GRUPO 4 INVIERTE PE.pdf
PRESENTACION GESTION DE PROYECTOS GRUPO 4 INVIERTE PE.pdfPRESENTACION GESTION DE PROYECTOS GRUPO 4 INVIERTE PE.pdf
PRESENTACION GESTION DE PROYECTOS GRUPO 4 INVIERTE PE.pdfRubenBrayanVQ
 
GESTOS Y POSTURAS EN LA MISA PARA LOS MONAGUILLOS.pptx
GESTOS Y POSTURAS EN LA MISA PARA LOS MONAGUILLOS.pptxGESTOS Y POSTURAS EN LA MISA PARA LOS MONAGUILLOS.pptx
GESTOS Y POSTURAS EN LA MISA PARA LOS MONAGUILLOS.pptxCarlosRizos
 
HISTORIA Y EVOLUCIÓN DE LA ARTILLERIA-1.pptx
HISTORIA Y EVOLUCIÓN DE LA ARTILLERIA-1.pptxHISTORIA Y EVOLUCIÓN DE LA ARTILLERIA-1.pptx
HISTORIA Y EVOLUCIÓN DE LA ARTILLERIA-1.pptxenyereduardo27
 
S.3 El debate Impacto de la Inteligencia Artificial en la Sociedad Moderna
S.3 El debate Impacto de la Inteligencia Artificial en la Sociedad ModernaS.3 El debate Impacto de la Inteligencia Artificial en la Sociedad Moderna
S.3 El debate Impacto de la Inteligencia Artificial en la Sociedad ModernaRodrigoReynaldo1
 
Figuas de Dicción.pptx ,definición, clasificación, ejemplos importantes de...
Figuas de Dicción.pptx ,definición, clasificación, ejemplos importantes de...Figuas de Dicción.pptx ,definición, clasificación, ejemplos importantes de...
Figuas de Dicción.pptx ,definición, clasificación, ejemplos importantes de...marisolmendieta1310
 
CURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universo
CURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universoCURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universo
CURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universoanoiteenecesaria
 

Kürzlich hochgeladen (9)

Diapositiva del JUICIO VALORATIVO - 2024
Diapositiva del JUICIO VALORATIVO - 2024Diapositiva del JUICIO VALORATIVO - 2024
Diapositiva del JUICIO VALORATIVO - 2024
 
CURSO DE INICIACIÓN Á ASTRONOMÍA Eclipses na Coruña
CURSO DE INICIACIÓN Á ASTRONOMÍA Eclipses na CoruñaCURSO DE INICIACIÓN Á ASTRONOMÍA Eclipses na Coruña
CURSO DE INICIACIÓN Á ASTRONOMÍA Eclipses na Coruña
 
Presentación conformación brigada de emergencia.ppt
Presentación conformación brigada de emergencia.pptPresentación conformación brigada de emergencia.ppt
Presentación conformación brigada de emergencia.ppt
 
PRESENTACION GESTION DE PROYECTOS GRUPO 4 INVIERTE PE.pdf
PRESENTACION GESTION DE PROYECTOS GRUPO 4 INVIERTE PE.pdfPRESENTACION GESTION DE PROYECTOS GRUPO 4 INVIERTE PE.pdf
PRESENTACION GESTION DE PROYECTOS GRUPO 4 INVIERTE PE.pdf
 
GESTOS Y POSTURAS EN LA MISA PARA LOS MONAGUILLOS.pptx
GESTOS Y POSTURAS EN LA MISA PARA LOS MONAGUILLOS.pptxGESTOS Y POSTURAS EN LA MISA PARA LOS MONAGUILLOS.pptx
GESTOS Y POSTURAS EN LA MISA PARA LOS MONAGUILLOS.pptx
 
HISTORIA Y EVOLUCIÓN DE LA ARTILLERIA-1.pptx
HISTORIA Y EVOLUCIÓN DE LA ARTILLERIA-1.pptxHISTORIA Y EVOLUCIÓN DE LA ARTILLERIA-1.pptx
HISTORIA Y EVOLUCIÓN DE LA ARTILLERIA-1.pptx
 
S.3 El debate Impacto de la Inteligencia Artificial en la Sociedad Moderna
S.3 El debate Impacto de la Inteligencia Artificial en la Sociedad ModernaS.3 El debate Impacto de la Inteligencia Artificial en la Sociedad Moderna
S.3 El debate Impacto de la Inteligencia Artificial en la Sociedad Moderna
 
Figuas de Dicción.pptx ,definición, clasificación, ejemplos importantes de...
Figuas de Dicción.pptx ,definición, clasificación, ejemplos importantes de...Figuas de Dicción.pptx ,definición, clasificación, ejemplos importantes de...
Figuas de Dicción.pptx ,definición, clasificación, ejemplos importantes de...
 
CURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universo
CURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universoCURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universo
CURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universo
 

STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)

  • 2. Ivan Portillo Ginseg Comunidad de Ciberinteligencia ivan.portillo@ginseg.com ivanPorMor p0rt7 ivanportillomorales
  • 3. Wiktor Nykiel Ginseg Comunidad de Ciberinteligencia wiktor.nykiel@ginseg.com WiktorNykiel WiktorNykiel_GINSEG_Inteligencia WiktorNykiel
  • 5. Descarga la OVA preparada para el laboratorio https://materiales.ginseg.com/ccn-labs
  • 9. Guía para la importación de la OVA
  • 10. Máquina para el analista Máquina virtual desarrollada y configurada específicamente para este laboratorio. Requiere realizar la instalación del resto de herramientas con script iniciar.sh • Tinfoleak • Maltego • OSRFramework • instagramOSINT • instaloader • Karma Herramientas incluidas: • PyCharm • Python3 • Tor Browser • Firefox • Plugins privacidad y anonimato • Keepass • Veracrypt • The Harvester • Riseup VPN • Twint • Gephi • Spiderfoot • Desarrollos a medida para el taller • Otras herramientas complementarias Máquina Virtual específica para el laboratorio Usuario: osint Contraseña: osint
  • 11. Dos pasos rápidos antes de empezar
  • 12. Pasos de instalación de herramientas: 1. Abrir un terminal 2. Escribir en la terminal cd Escritorio/ ./iniciar.sh 3. Al solicitar introducir la contraseña, deberemos escribir “osint”. 4. Comenzará el proceso de instalación automático y desatendido. 5. Al finalizar escribir “exit” y comenzará a instalar las imágenes de los dockers. Instalación 4 dummies
  • 15. Simulador de Técnicas de Cibervigilancia Simulador creado como herramienta de apoyo a los cursos de formación en temática de cibervigilancia, que deseen practicar en un entorno aislado. Para poder superar los ejercicios del simulador, es necesario aplicar las técnicas y procedimientos de recolección y tratamiento de información que permitan obtener y plasmar las correspondientes conclusiones de un caso que pretende representar de forma fehaciente las etapas una investigación de forma guiada. El propósito de este elemento complementario de aprendizaje es ofrecer un entorno autocontenido que simule un escenario real donde el analista de ciberinteligencia pueda practicar y realizar capacitaciones de cibervigilancia. El entorno y su itinerario han sido creados en base a la experiencia adquirida durante la realización de numerosos cursos, los cuales han servido de base y referencia para crear esta solución. Este simulador se ha creado 100% en España con el liderazgo del CCN-Cert – Centro Criptológico Nacional en colaboración con Ginseg – Comunidad de Ciberinteligencia. https://www.ccn-cert.cni.es/soluciones-seguridad/elena.html
  • 16.
  • 17. Escenarios en formato de: Árbol de decisiones Tipos de escenario donde el participante tiene que tomar una serie de decisiones en función a una reciente amenaza que esta afectando a su organización. Para llevar a cabo este escenario será necesario aplicar una serie de actuaciones que contrarresten la propia amenaza, utilizando para ello diversas técnicas de cibervigilancia.
  • 18. Escenarios en formato de: Simulación Técnica Escenarios donde el participante tiene que emplear diversas técnicas de cibervigilancia para investigar un suceso concreto partiendo únicamente del nombre de la entidad por ejemplo. Para tal fin, el propio analista contará con herramientas virtualizadas dentro de su navegador web para efectuar su investigación.
  • 20. Dominios y DNS (A, MX), Activos, IPs Rangos Objetivo: Empresa, institución Dominios > MX Usernames Social Media Flag ¿Beneficio económico? ¿Exfiltración de información? ¿Análisis de exposición? ¿Daño reputacional? Vulnerabilidades Sistemas Footprint Reutilización de credenciales Accesos Empleados y proveedores Foros y comunidades Posibles credenciales de leaks anteriores ? ! ¿Hasta donde puede llegar solo con el nombre del objetivo?
  • 21. Qué tenemos • Nombre de una de las empresas del grupo. • Indicios de puntos de fidelización sustraídos. • Comercios online con nuestros productos a mitad de precio. • Indicios de correo de phishing abierto por una empleada. Qué buscamos • Resto de empresas del grupo para conocer su exposición. • Sus dominios asociados, direcciones IP , servidores de correo para reducir la superficie de búsqueda de credenciales, etc. • Activos a nombre de la empresa, servidores, rangos de red, etc. • Tiendas que estén suplantando nuestra marca y vendiendo productos para blanquear puntos de fidelidad. • Credenciales y datos confidenciales expuestos. • Otros datos que puedan ser de interés para un atacante. Qué necesitamos • Informar adecuadamente de los descubrimientos al interlocutor adecuado. • Documentar nuestros hallazgos. 1 2 3 Nos preparamos para la batalla
  • 22. Footprint: Dominios y DNS (A, MX), Activos, IPs Rangos Empleados y proveedores Objetivo: TOSA Explorando nuestro objetivo: ¿por donde quieres comenzar la investigación?
  • 23. Dominios y DNS (A, MX), Activos, IPs Rangos Footprint Objetivo: TOSA Explorando nuestro objetivo
  • 24. Explorando nuestro objetivo - Repositorios de Datos
  • 25. https://ftp.ripe.net/ripe/dbase/split/ https://ftp.ripe.net/ripe/dbase/ Contenido de archivo parcial ripe.db.inetnum.gz Explorando nuestro objetivo - Repositorios de Datos - RIPE
  • 26. Herramienta pasiva que proporciona información relacionada con direcciones IP , dominios, subdominios, DNS, servidores de correo y blacklist. Permite analizar ficheros, URLs, dominios, IP o Hashes para descubrir presencia Malware. virustotal.com Input Dominio, IP , Rango IP o ASN Input URL, Dominio, IP , Hash, Fichero Permite buscar fugas de Información publicadas. pastebin.com/search?q=XXXXX Explorando nuestro objetivo: Cómo comenzar – Introduciendo herramientas
  • 27. Dominios y DNS (A, MX), Activos, IPs Rangos Footprint Objetivo: TOSA Explorando nuestro objetivo
  • 28. Qué tenemos • Pagina web o dominio. Qué buscamos • Dirección IP a la que apunta el dominio e información asociada a la IP como tecnología que hay detrás, protocolo usado, geolocalización, certificados, ASN, subdominios y otros dominios disponibles. • Registros DNS (NS, MX) y URLs • Muestras de malware asociados al dominio, si las hubiera. • Documentos públicos asociados al dominio. • Credenciales, datos confidenciales expuestos y otros datos que puedan ser de interés para un atacante. • Evidencias a modo de históricos de la web en el tiempo. 1 2 Como comenzamos a investigar
  • 29. Dominio Dirección IP Buscar Emails Dorks • Google • Bing • Yandex • DuckDuckGo Data Leaks Registros NS, MX URL • Puertos • Tecnología • Protocolo • Geolocalización • Certificados • ASN • Dominios • Subdominios Documentos Whois Malware Procedimiento de investigación Como comenzamos a investigar
  • 30. Dominio Dirección IP Registros NS, MX Whois URL Malware • Hunter.io • Maltego • Intelx • Virustotal • Shodan • Censys • Recon-ng Herramientas generales para dominios • Maltego • Virustotal • Shodan • Censys • Recon-ng • VirusTotal Herramienta Online Script de Nivel de Dificultad Media Script de Nivel de Dificultad Alta Procedimiento de obtención de información mediante dominio
  • 31. Dominios y DNS (A, MX), Activos, IPs Rangos Sistemas Footprint Objetivo: TOSA Explorando nuestro objetivo
  • 32. Dominios y DNS (A, MX), Activos, IPs Rangos Vulnerabilidades Sistemas Footprint Objetivo: TOSA ¿Como seguimos? 1. Quieres realizar búsqueda de credenciales 2. Investigar exposición en RRSS 3. Analizar la muestra de malware Explorando nuestro objetivo
  • 33. Objetivo Investigación del hash, junto con las posibles relaciones con otros IoCs Donde investigamos Tipo de investigación Esta mañana un compañero del equipo de gestión de incidentes nos ha pedido ayuda sobre un hash de un proceso detectado en una alerta de seguridad. A priori, el propio proceso aparenta ser inofensivo pero al compañero le ha extrañado el propio nombre del proceso, ya que no ha identificado su aplicación asociada. Necesita que le ayudemos a analizar el hash de dicho proceso para determinar si esta relacionada con alguna amenaza conocida. El hash es 4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b Identificar posible relación del hash con algún tipo de amenaza • IBM X-Force • AlienVault OTX • VirusTotal • Hybrid Analysis • Any RUN Localizamos malware asociado
  • 34. https://www.virustotal.com/gui/file/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b Buscamos el hash en la base de datos de VirusTotal. Detectamos que la muestra ha sido categorizada como maliciosa por 56 motores antivirus. Localizamos malware asociado
  • 35. Dominios y DNS (A, MX), Activos, IPs Rangos Sistemas Footprint Posibles credenciales de leaks anteriores Objetivo: TOSA Explorando nuestro objetivo
  • 36. Dominios y DNS (A, MX), Activos, IPs Rangos Sistemas Footprint Reutilización de credenciales Posibles credenciales de leaks anteriores ? ! Objetivo: TOSA Explorando nuestro objetivo
  • 37. Usernames Empleados y proveedores Objetivo: TOSA Explorando nuestro objetivo
  • 38. Qué tenemos • Nombre de una persona, cuenta/username, identidad o cualquier dato de partida. Qué buscamos • Perfiles de redes sociales (Twitter, Instagram, Facebook, LinkedIn, etc) que utilicen el username objetivo. • Comprobación de la existencia de correos electrónicos de cualquier proveedor que usen el username objetivo. • Búsqueda de correos electrónicos asociados a los perfiles sociales detectados. • Presencia de los correos electrónicos o del username en Data Leaks filtrados. • Búsqueda de los usernames o los correos electrónicos asociados utilizando diferentes Dorks en los principales metabuscadores. • Búsqueda de evidencias asociadas al username en webs de históricos Qué necesitamos • Establecer las herramientas que podemos usar, tanto de pago como open source. • Usar la metodología y ciclo de inteligencia para coleccionar y analizar los datos. • Documentar nuestros hallazgos y generar información de valor relacional. 1 2 3 Como comenzamos a investigar una identidad digital
  • 39. Procedimiento de investigación Nombre Persona Buscar en redes sociales posibles perfiles • Twitter • Facebook • Instagram • LinkedIn • Otras RRSS Permutador de Emails Dorks Leaks • Google • Bing • Yandex • DuckDuckGo Verificación de Emails • Teléfono • CV • Documentos Ofimáticos Como comenzamos a investigar una identidad digital
  • 40. Usernames Social Media Empleados y proveedores Objetivo: TOSA Explorando nuestro objetivo
  • 41. Qué tenemos • Username. Qué buscamos • Perfiles de redes sociales (Twitter, Instagram, Facebook, LinkedIn, etc) que utilicen el username objetivo. • Comprobación de la existencia de correos electrónicos de cualquier proveedor que usen el username objetivo. • Búsqueda de correos electrónicos asociados a los perfiles sociales detectados. • Presencia de los correos electrónicos o del username en Data Leaks filtrados. • Búsqueda de los usernames o los correos electrónicos asociados utilizando diferentes Dorks en los principales metabuscadores. • Búsqueda de evidencias asociadas al username en webs de históricos 1 2 Explorando nuestro objetivo
  • 42. USERNAME Existencia del username en RRSS • Twitter • Facebook • Instagram • LinkedIn • Telegram • Otras RRSS Permutador de Emails Dorks Leaks • Google • Bing • Yandex • DuckDuckGo Históricos de archivos Verificación de Emails Procedimiento de investigación Procedimiento de obtención de información sobre username
  • 43. USERNAME Twitter Facebook Instagram LinkedIn Detectar username en multiplataformas sociales Existencia del username en RRSS • SpiderfFoot HX • Maltego • OSRFramework (Usufy) • Namechk • Suip.biz/?act=Sherlock • Intelx • TinfoLeak • Twint • SocialBearing • TweetDeck • TweetBeaver • All My Tweets • Foller.me • Followerwonk • Searchusers • Instagram OSINT • Instaloader Telegram Búsqueda Manual del username en la plataforma social de Facebook, Instagram y/o LinkedIn Verificación de Emails Solicitar recuperación de contraseña de plataformas sociales en redes sociales (Twitter, Facebook, Instagram) Herramienta Online Script de Nivel de Dificultad Media Script de Nivel de Dificultad Alta Procedimiento de obtención de información sobre username
  • 44. Dominios y DNS (A, MX), Activos, IPs Rangos Dominios > MX Usernames Social Media Flag ¿Beneficio económico? ¿Exfiltración de información? ¿Análisis de exposición? ¿Daño reputacional? Vulnerabilidades Sistemas Footprint Reutilización de credenciales Accesos Empleados y proveedores Foros y comunidades Posibles credenciales de leaks anteriores ? ! Objetivo: TOSA Flag: Hemos llegado a la conclusión
  • 57. El caso a monitorizar
  • 58. Primera aproximación sobre la amenaza - SocialBearing https://socialbearing.com/
  • 59. Primera aproximación sobre la amenaza - SocialBearing
  • 60. https://github.com/twintproject/twint / Twint esta desarrollado en python3.6 y por lo tanto es necesario disponer de dicho lenguaje de programación instalado y el pip3 para la instalación de librerías necesarias en el mismo. Puede instalarse tanto en sistemas Linux como Windows siempre que tenga Python 3.6 instalado. Comando de instalación pip3 install --user --upgrade git+https://github.com/twintproject/twint.git@origin/master#egg=twint Monitorizar actividades en Twitter - Twint
  • 61. Comprobar Stack de microservicios instalados Comando: sudo docker-compose images Comprobar contenedores en ejecución asociados a stacks Comando: sudo docker-compose ps Monitorizar actividades en Twitter - Twint
  • 62. import twint username = 'ivanpormor' c = twint.Config() c.Username = username c.Hide_output = True c.Limit = None c.Store_csv = True twint.run.Search(c) import twint Keyword = '#ransomware' c = twint.Config() c.Search = keyword c.Hide_output = True c.Limit = None c.Store_csv = True twint.run.Search(c) Búsqueda por username Búsqueda por keyword Automatización de TWINT mediante Python
  • 63. import twint keyword = '#ransomware' c = twint.Config() c.Search = keyword c.Hide_output = True c.Limit = None c.Pandas = True twint.run.Search(c) tweets = twint.storage.panda.Tweets_df for tweet in tweets.to_dict(orient='records'): print(tweet) Automatización de TWINT mediante Python
  • 64. Ubicación del proyecto /home/osint/Escritorio/Herramientas/herramientas-personalizadas/Twitter/Proyecto_Twitter_sin_API 1 Ejecución de la herramienta Comando: python main.py 3 Activar entorno virtualizado de Python Comando: source venv/bin/activate 2 Automatización de TWINT mediante Python
  • 65. Investigación de una keyword Automatización de TWINT mediante Python
  • 66. Investigación de un usuario Automatización de TWINT mediante Python
  • 67. Visualización de datos extraídos con Twint en Kibana
  • 68. Obtención y tratamiento de datos de Twitter con streaming con ELK
  • 69. Añadir plugin de Twitter en la configuración de logstash. 1 Añadir keywords, recuperar tweets completos e ignorar retweets. 3 Añadir las APIs de Twitter. 2 Remplazar contenido de etiquetas dentro de campo source. 4 Configurar un índice para almacenar todos los resultados en Elasticsearch. 5 Obtención y tratamiento de datos de Twitter con streaming con ELK
  • 70. Ubicación del proyecto /home/osint/Escritorio/Herramientas/herramientas-personalizadas/Twitter/Twitter_API_ELK 1 Ejecución de la herramienta Comando: ./bin/logstash -f twitter_recon.conf 3 Lanzar Elasticsearch sino está en ejecución Comando: sudo service elasticsearch restart 2 Obtención y tratamiento de datos de Twitter con streaming con ELK
  • 71. Obtención y tratamiento de datos de Twitter con streaming con ELK
  • 72. Google nos permite crear buscadores personalizados, a través de su servicio “Custom Search Engine”, utilizando las fuentes que tengamos categorizadas como fiables y excluyendo así el resto. De este modo, a través del motor de búsqueda de Google, podremos crear un buscador totalmente adaptado a nuestras necesidades. Esto significa que obtendremos información exclusivamente de las fuentes que le indiquemos en la configuración. CSE esta limitado a 100 resultados únicamente, pero si añadimos búsquedas muy específicas no será un problema. https://cse.google.com/ Personalización de buscadores para monitorizar actividades - CSE
  • 73. Personalización de buscadores para monitorizar actividades - CSE
  • 74. Elegir Etiqueta / Manage labels Elegir Añadir Personalización de buscadores para monitorizar actividades - CSE
  • 75. Personalización de buscadores para monitorizar actividades - CSE
  • 76. Seleccionamos el sitio y la etiqueta relacionada Sitios asignados a sus etiquetas restringidas Personalización de buscadores para monitorizar actividades - CSE
  • 77. Personalización de buscadores para monitorizar actividades - CSE
  • 78. Pasos de instalación activación de virtualenv e instalación de dependencias • cd /home/osint/Escritorio/Herramientas/herramientas-personalizadas/automatizacion_cse • source venv/bin/activate • pip3 install -r requirements.txt Automatización de CSE + ELK
  • 79. Listado de la carpeta automatizacion_cse Visualización del contenido de fichero de los inputs de monitorización: keyword.txt Automatización de CSE + ELK
  • 80. Ejecución de la herramienta. Conocer como ejecutar la herramienta Comando para mostrar la ayuda de la herramienta: • python3 main.py --help Automatización de CSE + ELK
  • 81. Ejecución de la herramienta utilizando el buscador sobre RRSS creado con CSE Automatización de CSE + ELK
  • 84. Monitorización sobre ataques Ransomware - DarkFeed https://darkfeed.io/ DarkFeed es un servicio web que permite monitorizar las diferentes publicaciones sobre victimas relacionadas con ataques Ransomware de cualquier grupo criminal. Dispone de un inventario sobre los grupos de ransomware que se encuentran activos junto con sus URLs “oficiales”.
  • 85. Monitorización sobre ataques Ransomware - Darktracer https://darktracer.com
  • 86. Monitorización sobre ataques Ransomware - Darktracer Darktracer dispone de un módulo gratuito de monitorización de victimas de ransomware, ofreciendo un pequeño inventario sobre cada ataque.
  • 87. Monitorización sobre ataques Ransomware - Darktracer
  • 88. Monitorización sobre ataques Ransomware - Darktracer
  • 90. Gracias por la atención MUCHAS GRACIAS