STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)

1. Cibervigilancia con Warrior

2. Ivan Portillo Ginseg Comunidad de Ciberinteligencia ivan.portillo@ginseg.com ivanPorMor p0rt7 ivanportillomorales

3. Wiktor Nykiel Ginseg Comunidad de Ciberinteligencia wiktor.nykiel@ginseg.com WiktorNykiel WiktorNykiel_GINSEG_Inteligencia WiktorNykiel

4. Antes de empezar

5. Descarga la OVA preparada para el laboratorio https://materiales.ginseg.com/ccn-labs

6. Pasamos lista https://t.me/ginseg ¡El Warrior ya esta!

7. Comencemos

8. Software para virtualización https://download.virtualbox.org/virtualbox/6.1.30/ VirtualBox-6.1.30-148432-Win.exe https://www.vmware.com/go/ getplayer-win

9. Guía para la importación de la OVA

10. Máquina para el analista Máquina virtual desarrollada y configurada específicamente para este laboratorio. Requiere realizar la instalación del resto de herramientas con script iniciar.sh • Tinfoleak • Maltego • OSRFramework • instagramOSINT • instaloader • Karma Herramientas incluidas: • PyCharm • Python3 • Tor Browser • Firefox • Plugins privacidad y anonimato • Keepass • Veracrypt • The Harvester • Riseup VPN • Twint • Gephi • Spiderfoot • Desarrollos a medida para el taller • Otras herramientas complementarias Máquina Virtual específica para el laboratorio Usuario: osint Contraseña: osint

11. Dos pasos rápidos antes de empezar

12. Pasos de instalación de herramientas: 1. Abrir un terminal 2. Escribir en la terminal cd Escritorio/ ./iniciar.sh 3. Al solicitar introducir la contraseña, deberemos escribir “osint”. 4. Comenzará el proceso de instalación automático y desatendido. 5. Al finalizar escribir “exit” y comenzará a instalar las imágenes de los dockers. Instalación 4 dummies

13. Completado

14. Objetivo de STC Elena

15. Simulador de Técnicas de Cibervigilancia Simulador creado como herramienta de apoyo a los cursos de formación en temática de cibervigilancia, que deseen practicar en un entorno aislado. Para poder superar los ejercicios del simulador, es necesario aplicar las técnicas y procedimientos de recolección y tratamiento de información que permitan obtener y plasmar las correspondientes conclusiones de un caso que pretende representar de forma fehaciente las etapas una investigación de forma guiada. El propósito de este elemento complementario de aprendizaje es ofrecer un entorno autocontenido que simule un escenario real donde el analista de ciberinteligencia pueda practicar y realizar capacitaciones de cibervigilancia. El entorno y su itinerario han sido creados en base a la experiencia adquirida durante la realización de numerosos cursos, los cuales han servido de base y referencia para crear esta solución. Este simulador se ha creado 100% en España con el liderazgo del CCN-Cert – Centro Criptológico Nacional en colaboración con Ginseg – Comunidad de Ciberinteligencia. https://www.ccn-cert.cni.es/soluciones-seguridad/elena.html

16. Escenarios en formato de: Árbol de decisiones Tipos de escenario donde el participante tiene que tomar una serie de decisiones en función a una reciente amenaza que esta afectando a su organización. Para llevar a cabo este escenario será necesario aplicar una serie de actuaciones que contrarresten la propia amenaza, utilizando para ello diversas técnicas de cibervigilancia.

17. Escenarios en formato de: Simulación Técnica Escenarios donde el participante tiene que emplear diversas técnicas de cibervigilancia para investigar un suceso concreto partiendo únicamente del nombre de la entidad por ejemplo. Para tal fin, el propio analista contará con herramientas virtualizadas dentro de su navegador web para efectuar su investigación.

18. Simulando la investigación de un objetivo

19. Dominios y DNS (A, MX), Activos, IPs Rangos Objetivo: Empresa, institución Dominios > MX Usernames Social Media Flag ¿Beneficio económico? ¿Exfiltración de información? ¿Análisis de exposición? ¿Daño reputacional? Vulnerabilidades Sistemas Footprint Reutilización de credenciales Accesos Empleados y proveedores Foros y comunidades Posibles credenciales de leaks anteriores ? ! ¿Hasta donde puede llegar solo con el nombre del objetivo?

20. Qué tenemos • Nombre de una de las empresas del grupo. • Indicios de puntos de fidelización sustraídos. • Comercios online con nuestros productos a mitad de precio. • Indicios de correo de phishing abierto por una empleada. Qué buscamos • Resto de empresas del grupo para conocer su exposición. • Sus dominios asociados, direcciones IP , servidores de correo para reducir la superficie de búsqueda de credenciales, etc. • Activos a nombre de la empresa, servidores, rangos de red, etc. • Tiendas que estén suplantando nuestra marca y vendiendo productos para blanquear puntos de fidelidad. • Credenciales y datos confidenciales expuestos. • Otros datos que puedan ser de interés para un atacante. Qué necesitamos • Informar adecuadamente de los descubrimientos al interlocutor adecuado. • Documentar nuestros hallazgos. 1 2 3 Nos preparamos para la batalla

21. Footprint: Dominios y DNS (A, MX), Activos, IPs Rangos Empleados y proveedores Objetivo: TOSA Explorando nuestro objetivo: ¿por donde quieres comenzar la investigación?

22. Dominios y DNS (A, MX), Activos, IPs Rangos Footprint Objetivo: TOSA Explorando nuestro objetivo

23. Explorando nuestro objetivo - Repositorios de Datos

24. https://ftp.ripe.net/ripe/dbase/split/ https://ftp.ripe.net/ripe/dbase/ Contenido de archivo parcial ripe.db.inetnum.gz Explorando nuestro objetivo - Repositorios de Datos - RIPE

25. Herramienta pasiva que proporciona información relacionada con direcciones IP , dominios, subdominios, DNS, servidores de correo y blacklist. Permite analizar ficheros, URLs, dominios, IP o Hashes para descubrir presencia Malware. virustotal.com Input Dominio, IP , Rango IP o ASN Input URL, Dominio, IP , Hash, Fichero Permite buscar fugas de Información publicadas. pastebin.com/search?q=XXXXX Explorando nuestro objetivo: Cómo comenzar – Introduciendo herramientas

26. Dominios y DNS (A, MX), Activos, IPs Rangos Footprint Objetivo: TOSA Explorando nuestro objetivo

27. Qué tenemos • Pagina web o dominio. Qué buscamos • Dirección IP a la que apunta el dominio e información asociada a la IP como tecnología que hay detrás, protocolo usado, geolocalización, certificados, ASN, subdominios y otros dominios disponibles. • Registros DNS (NS, MX) y URLs • Muestras de malware asociados al dominio, si las hubiera. • Documentos públicos asociados al dominio. • Credenciales, datos confidenciales expuestos y otros datos que puedan ser de interés para un atacante. • Evidencias a modo de históricos de la web en el tiempo. 1 2 Como comenzamos a investigar

28. Dominio Dirección IP Buscar Emails Dorks • Google • Bing • Yandex • DuckDuckGo Data Leaks Registros NS, MX URL • Puertos • Tecnología • Protocolo • Geolocalización • Certificados • ASN • Dominios • Subdominios Documentos Whois Malware Procedimiento de investigación Como comenzamos a investigar

29. Dominio Dirección IP Registros NS, MX Whois URL Malware • Hunter.io • Maltego • Intelx • Virustotal • Shodan • Censys • Recon-ng Herramientas generales para dominios • Maltego • Virustotal • Shodan • Censys • Recon-ng • VirusTotal Herramienta Online Script de Nivel de Dificultad Media Script de Nivel de Dificultad Alta Procedimiento de obtención de información mediante dominio

30. Dominios y DNS (A, MX), Activos, IPs Rangos Sistemas Footprint Objetivo: TOSA Explorando nuestro objetivo

31. Dominios y DNS (A, MX), Activos, IPs Rangos Vulnerabilidades Sistemas Footprint Objetivo: TOSA ¿Como seguimos? 1. Quieres realizar búsqueda de credenciales 2. Investigar exposición en RRSS 3. Analizar la muestra de malware Explorando nuestro objetivo

32. Objetivo Investigación del hash, junto con las posibles relaciones con otros IoCs Donde investigamos Tipo de investigación Esta mañana un compañero del equipo de gestión de incidentes nos ha pedido ayuda sobre un hash de un proceso detectado en una alerta de seguridad. A priori, el propio proceso aparenta ser inofensivo pero al compañero le ha extrañado el propio nombre del proceso, ya que no ha identificado su aplicación asociada. Necesita que le ayudemos a analizar el hash de dicho proceso para determinar si esta relacionada con alguna amenaza conocida. El hash es 4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b Identificar posible relación del hash con algún tipo de amenaza • IBM X-Force • AlienVault OTX • VirusTotal • Hybrid Analysis • Any RUN Localizamos malware asociado

33. https://www.virustotal.com/gui/file/4b8b49bdfa435d0faba2e3964b04e20bbfc86aa4ffc3c3b8e1449894892f125b Buscamos el hash en la base de datos de VirusTotal. Detectamos que la muestra ha sido categorizada como maliciosa por 56 motores antivirus. Localizamos malware asociado

34. Dominios y DNS (A, MX), Activos, IPs Rangos Sistemas Footprint Posibles credenciales de leaks anteriores Objetivo: TOSA Explorando nuestro objetivo

35. Dominios y DNS (A, MX), Activos, IPs Rangos Sistemas Footprint Reutilización de credenciales Posibles credenciales de leaks anteriores ? ! Objetivo: TOSA Explorando nuestro objetivo

36. Usernames Empleados y proveedores Objetivo: TOSA Explorando nuestro objetivo

37. Qué tenemos • Nombre de una persona, cuenta/username, identidad o cualquier dato de partida. Qué buscamos • Perfiles de redes sociales (Twitter, Instagram, Facebook, LinkedIn, etc) que utilicen el username objetivo. • Comprobación de la existencia de correos electrónicos de cualquier proveedor que usen el username objetivo. • Búsqueda de correos electrónicos asociados a los perfiles sociales detectados. • Presencia de los correos electrónicos o del username en Data Leaks filtrados. • Búsqueda de los usernames o los correos electrónicos asociados utilizando diferentes Dorks en los principales metabuscadores. • Búsqueda de evidencias asociadas al username en webs de históricos Qué necesitamos • Establecer las herramientas que podemos usar, tanto de pago como open source. • Usar la metodología y ciclo de inteligencia para coleccionar y analizar los datos. • Documentar nuestros hallazgos y generar información de valor relacional. 1 2 3 Como comenzamos a investigar una identidad digital

38. Procedimiento de investigación Nombre Persona Buscar en redes sociales posibles perfiles • Twitter • Facebook • Instagram • LinkedIn • Otras RRSS Permutador de Emails Dorks Leaks • Google • Bing • Yandex • DuckDuckGo Verificación de Emails • Teléfono • CV • Documentos Ofimáticos Como comenzamos a investigar una identidad digital

39. Usernames Social Media Empleados y proveedores Objetivo: TOSA Explorando nuestro objetivo

40. Qué tenemos • Username. Qué buscamos • Perfiles de redes sociales (Twitter, Instagram, Facebook, LinkedIn, etc) que utilicen el username objetivo. • Comprobación de la existencia de correos electrónicos de cualquier proveedor que usen el username objetivo. • Búsqueda de correos electrónicos asociados a los perfiles sociales detectados. • Presencia de los correos electrónicos o del username en Data Leaks filtrados. • Búsqueda de los usernames o los correos electrónicos asociados utilizando diferentes Dorks en los principales metabuscadores. • Búsqueda de evidencias asociadas al username en webs de históricos 1 2 Explorando nuestro objetivo

41. USERNAME Existencia del username en RRSS • Twitter • Facebook • Instagram • LinkedIn • Telegram • Otras RRSS Permutador de Emails Dorks Leaks • Google • Bing • Yandex • DuckDuckGo Históricos de archivos Verificación de Emails Procedimiento de investigación Procedimiento de obtención de información sobre username

42. USERNAME Twitter Facebook Instagram LinkedIn Detectar username en multiplataformas sociales Existencia del username en RRSS • SpiderfFoot HX • Maltego • OSRFramework (Usufy) • Namechk • Suip.biz/?act=Sherlock • Intelx • TinfoLeak • Twint • SocialBearing • TweetDeck • TweetBeaver • All My Tweets • Foller.me • Followerwonk • Searchusers • Instagram OSINT • Instaloader Telegram Búsqueda Manual del username en la plataforma social de Facebook, Instagram y/o LinkedIn Verificación de Emails Solicitar recuperación de contraseña de plataformas sociales en redes sociales (Twitter, Facebook, Instagram) Herramienta Online Script de Nivel de Dificultad Media Script de Nivel de Dificultad Alta Procedimiento de obtención de información sobre username

43. Dominios y DNS (A, MX), Activos, IPs Rangos Dominios > MX Usernames Social Media Flag ¿Beneficio económico? ¿Exfiltración de información? ¿Análisis de exposición? ¿Daño reputacional? Vulnerabilidades Sistemas Footprint Reutilización de credenciales Accesos Empleados y proveedores Foros y comunidades Posibles credenciales de leaks anteriores ? ! Objetivo: TOSA Flag: Hemos llegado a la conclusión

44. Elena: Primer acceso

45. Primer acceso a Elena

54. Elena: en directo

55. Automatizando nuestras monitorizaciones

56. El caso a monitorizar

57. Primera aproximación sobre la amenaza - SocialBearing https://socialbearing.com/

58. Primera aproximación sobre la amenaza - SocialBearing

59. https://github.com/twintproject/twint / Twint esta desarrollado en python3.6 y por lo tanto es necesario disponer de dicho lenguaje de programación instalado y el pip3 para la instalación de librerías necesarias en el mismo. Puede instalarse tanto en sistemas Linux como Windows siempre que tenga Python 3.6 instalado. Comando de instalación pip3 install --user --upgrade git+https://github.com/twintproject/twint.git@origin/master#egg=twint Monitorizar actividades en Twitter - Twint

60. Comprobar Stack de microservicios instalados Comando: sudo docker-compose images Comprobar contenedores en ejecución asociados a stacks Comando: sudo docker-compose ps Monitorizar actividades en Twitter - Twint

61. import twint username = 'ivanpormor' c = twint.Config() c.Username = username c.Hide_output = True c.Limit = None c.Store_csv = True twint.run.Search(c) import twint Keyword = '#ransomware' c = twint.Config() c.Search = keyword c.Hide_output = True c.Limit = None c.Store_csv = True twint.run.Search(c) Búsqueda por username Búsqueda por keyword Automatización de TWINT mediante Python

62. import twint keyword = '#ransomware' c = twint.Config() c.Search = keyword c.Hide_output = True c.Limit = None c.Pandas = True twint.run.Search(c) tweets = twint.storage.panda.Tweets_df for tweet in tweets.to_dict(orient='records'): print(tweet) Automatización de TWINT mediante Python

63. Ubicación del proyecto /home/osint/Escritorio/Herramientas/herramientas-personalizadas/Twitter/Proyecto_Twitter_sin_API 1 Ejecución de la herramienta Comando: python main.py 3 Activar entorno virtualizado de Python Comando: source venv/bin/activate 2 Automatización de TWINT mediante Python

64. Investigación de una keyword Automatización de TWINT mediante Python

65. Investigación de un usuario Automatización de TWINT mediante Python

66. Visualización de datos extraídos con Twint en Kibana

67. Obtención y tratamiento de datos de Twitter con streaming con ELK

68. Añadir plugin de Twitter en la configuración de logstash. 1 Añadir keywords, recuperar tweets completos e ignorar retweets. 3 Añadir las APIs de Twitter. 2 Remplazar contenido de etiquetas dentro de campo source. 4 Configurar un índice para almacenar todos los resultados en Elasticsearch. 5 Obtención y tratamiento de datos de Twitter con streaming con ELK

69. Ubicación del proyecto /home/osint/Escritorio/Herramientas/herramientas-personalizadas/Twitter/Twitter_API_ELK 1 Ejecución de la herramienta Comando: ./bin/logstash -f twitter_recon.conf 3 Lanzar Elasticsearch sino está en ejecución Comando: sudo service elasticsearch restart 2 Obtención y tratamiento de datos de Twitter con streaming con ELK

70. Obtención y tratamiento de datos de Twitter con streaming con ELK

71. Google nos permite crear buscadores personalizados, a través de su servicio “Custom Search Engine”, utilizando las fuentes que tengamos categorizadas como fiables y excluyendo así el resto. De este modo, a través del motor de búsqueda de Google, podremos crear un buscador totalmente adaptado a nuestras necesidades. Esto significa que obtendremos información exclusivamente de las fuentes que le indiquemos en la configuración. CSE esta limitado a 100 resultados únicamente, pero si añadimos búsquedas muy específicas no será un problema. https://cse.google.com/ Personalización de buscadores para monitorizar actividades - CSE

72. Personalización de buscadores para monitorizar actividades - CSE

73. Elegir Etiqueta / Manage labels Elegir Añadir Personalización de buscadores para monitorizar actividades - CSE

75. Seleccionamos el sitio y la etiqueta relacionada Sitios asignados a sus etiquetas restringidas Personalización de buscadores para monitorizar actividades - CSE

77. Pasos de instalación activación de virtualenv e instalación de dependencias • cd /home/osint/Escritorio/Herramientas/herramientas-personalizadas/automatizacion_cse • source venv/bin/activate • pip3 install -r requirements.txt Automatización de CSE + ELK

78. Listado de la carpeta automatizacion_cse Visualización del contenido de fichero de los inputs de monitorización: keyword.txt Automatización de CSE + ELK

79. Ejecución de la herramienta. Conocer como ejecutar la herramienta Comando para mostrar la ayuda de la herramienta: • python3 main.py --help Automatización de CSE + ELK

80. Ejecución de la herramienta utilizando el buscador sobre RRSS creado con CSE Automatización de CSE + ELK

81. Automatización de CSE + ELK

82. Automatización de CSE + ELK

83. Monitorización sobre ataques Ransomware - DarkFeed https://darkfeed.io/ DarkFeed es un servicio web que permite monitorizar las diferentes publicaciones sobre victimas relacionadas con ataques Ransomware de cualquier grupo criminal. Dispone de un inventario sobre los grupos de ransomware que se encuentran activos junto con sus URLs “oficiales”.

84. Monitorización sobre ataques Ransomware - Darktracer https://darktracer.com

85. Monitorización sobre ataques Ransomware - Darktracer Darktracer dispone de un módulo gratuito de monitorización de victimas de ransomware, ofreciendo un pequeño inventario sobre cada ataque.

86. Monitorización sobre ataques Ransomware - Darktracer

87. Monitorización sobre ataques Ransomware - Darktracer

88. Se aceptan aplausos

89. Gracias por la atención MUCHAS GRACIAS

STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)

Du liest eine Vorschau.

Hier ansehen

STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)

Weitere Verwandte Inhalte

Diashows für Sie (20)

Ähnlich wie STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel) (20)

Aktuellste (20)

STIC XV CCN-CERT - Cibervigilancia con warrior (Ivan Portillo y Wiktor Nykiel)