La charla consiste en un caso práctico de investigación forense en un entorno empresial. Debido a la urgencia de la situación se tuvo que improvisar una técnica de trazabilidad para poder averiguar quíen estaba leyendo el correo de uno o varios directivos. La técnica fucionó perfectamente, aunque hubo alguna que otra sorpresa.
Abraham Pasamar - Quien esta leyendo mi correo [rootedvlc2018]
1. ¿QUIÉN ESTÁ LEYENDO MI CORREO?
▸ @apasamar
▸ @RootedCon Valencia #rootedvlc
▸ Septiembre 2018
1
2. ¿QUIÉN SOY?
▸ Abraham Pasamar
▸ CEO de INCIDE
▸ ¿Qué hacemos?
▸ TL;DR
▸ DFIR y RED TEAM
2
3. ¿QUÉ VAMOS A VER EN ESTA CHARLA?
▸ (Breve) apunte jurídico sobre trazabilidad
▸ Algunas técnicas de trazabilidad
▸ Caso real de una investigación interna de trazabilidad
▸ Y … un desenlace final curioso …
3
4. INVESTIGANDO UN USUARIO REMOTO …
▸ ¿Quién hay detrás de … ?
▸ @email Anónimo
▸ Comentario en un Foro
▸ Un Usuario en una red social
▸ Etc
4
5. ¿QUÉ SE PUEDE HACER SI SE RECIBEN ANONIMOS?
▸ Si hay denunciar en policía o juzgado
▸ Demasiadas denuncias se “archivan” porque no hay sospechoso
▸ emailanonimo666@gmail.com no es un sospechoso para la justicia
▸ Y si la IP no es “buena” ? (ataque Starbucks)
▸ Si es o no delito a veces es difícil de determinar…pero para la VICTIMA
puede ser un problema enorme
▸ Escenarios típicos de una investigación “interna” (previa a la jurídica)
5
6. ¿QUÉ DATOS PUEDO OBTENER DE UN CORREO?
▸ Imaginemos un anónimo que envía un email:
▸ Cabecera técnica del correo
▸ Ejemplo: GMAIL desde un STARBUCKS
▸ CABECERA :´(
▸ En otros casos, a veces hay una IP, pero hay que estudiarla, quizá también
puede ser un STARBUCKS y dentro de unos meses allí se acaba la
investigación.
6
7. ¿QUÉ DATOS PUEDO OBTENER DE UN CORREO?
▸ Imaginemos un anónimo que envía un email:
▸ Cabecera técnica del correo
▸ Ejemplo: GMAIL desde un STARBUCKS
▸ CABECERA :´(
▸ En otros casos, a veces hay una IP, pero hay que estudiarla, quizá también
puede ser un STARBUCKS y dentro de unos meses allí se acaba la
investigación.
7
8. ▸ A veces en una cabecera podemos localizar una dirección IP (del emisor) y
otras veces no.
▸ ¿De que depende que aparezca esta dirección IP?
▸ Del cliente de correo: Outlook, Mail, Thunderbird, Webmail de (Gmail,
Microsoft, Yahoo, etc)
¿QUÉ DATOS SE PUEDEN OBTENER DEL EMISOR DE UN CORREO?
8
9. ¿PODEMOS CONTESTAR CON “ALGO”?
▸ ¿Podemos contestar dentro del marco de la Ley?
▸ ¿Qué puede contener la respuesta y qué no?
▸ Evidentemente incitar a cometer un delito está claro que no puede hacerse
(casos de P.I., “abre esta foto”)
▸ …pero “abre este enlace o este adjunto que contiene información del
asunto que me comentas en tu correo” … ¿puede hacerse?
9
10. RESPUESTA AL CORREO - TRAZABILIDAD
▸ TECNICAMENTE:
▸ Opciones de TRAZABILIDAD:
▸ Cuerpo del correo
▸ Enlace
▸ Adjunto
▸ IMPORTANTE: ¿Aprovechamos algo existente o es algo que se “crea/
configura” para la investigación?
10
11. RESPUESTA AL CORREO - TRAZABILIDAD
▸ TECNICAMENTE:
▸ Opciones de TRAZABILIDAD:
▸ Cuerpo del correo
▸ Enlace
▸ Adjunto
▸ IMPORTANTE: ¿Aprovechamos algo existente o es algo que se “crea/
configura” para la investigación?
11
12. ▸ De forma “pasiva” podemos obtener aquellos datos que el sistema remoto nos
va a enviar si abren nuestro correo, pulsan en un enlace o abren un documento
adjunto (especialmente diseñados)
▸ El caso más sencillo de entender y ampliamente utilizado es el caso WEB
(cargar algo remotamente)
▸ Cuando visitamos una página nuestro NAVEGADOR envía una INFORMACION
AL SERVIDOR.
¿QUÉ DATOS SE PUEDEN OBTENER RESPONDIENDO AL EMISOR DE UN CORREO?
12
13. NAVEGADOR
▸ ¿Qué ocurre cuando visitamos una web?
▸ http://noticias-de-hoy.newsyte.com/news/2018/02/noticia-
sentencia-2134.html
▸ Entrada en el log del servidor:
13
15. NAVEGADOR
▸ Estos datos son usados por las empresas cada día para perfilar y adecuar
la información ofrecida, dirigir a contenido específico, etc.
Dirección IP Fecha/Hora User-agent
15
16. LOPD/RGPD
▸ Artículo 5 . Derecho de información en la recogida de datos.
▸ Dirección IP. Es un dato de carácter personal, debe avisarse de su “obtención”.
Pero … ¿Cada vez que envió un email me avisa algún sistema de que se envía
mi IP? ¿Me avisa el receptor del email de que tiene mi IP?
▸ El escenario de investigación mostrado pretende “obtener” una dirección de
alguien que ha usado mecanismos de anonimato para “ocultarse”. ¿Tenemos
que avisarle? Según LOPD/RGPD sí …
16
17. LOPD/RGPD
▸ Artículo 5 . Derecho de información en la recogida de datos.
▸ Dirección IP. Es un dato de carácter personal, debe avisarse de su “obtención”.
Pero … ¿Cada vez que envió un email me avisa algún sistema de que se envía
mi IP? ¿Me avisa el receptor del email de que tiene mi IP?
▸ El escenario de investigación mostrado pretende “obtener” una dirección de
alguien que ha usado mecanismos de anonimato para “ocultarse”. ¿Tenemos
que avisarle? Según LOPD/RGPD sí …
17
18. ¿ALGÚN ABOGADO EN LA SALA?
DISCLAIMER
▸ Todo lo que van a ver a continuación son hechos ficticios,
cualquier parecido con la realidad es pura coincidencia.
18
24. Y SI ESTOS DATOS NO SON SUFICIENTES PARA PODER IDENTIFICAR
▸ ¿Podríamos obtener otros datos? (proporcionalidad: los datos justos y
necesarios para identificar)
▸ Nombre de usuario
▸ Nombre del PC
▸ IP interna
▸ MAC
24
25. ¿DE QUÉ FORMA SE PUEDEN OBTENER ESTOS DATOS?
▸ Hay que ejecutar código en el equipo remoto
▸ Legalmente: ¿Es legal ejecutar código remoto?
▸ ¿Acciones/Consecuencias del código?
▸ Daños
▸ Fraude
▸ Revelación de secretos
▸ LOPD
25
27. ¿DE QUÉ FORMA SE PUEDEN OBTENER ESTOS DATOS?
▸ Técnicamente:
▸ OPCIONES:
▸ Binario
▸ Script
▸ Macro
▸ Exploit
27
28. ESCENARIO DE INVESTIGACIÓN INTERNA
▸ Unos directivos sospechan de un DIRECTOR DE IT.
▸ Se han acumulado diversas irregularidades pero creen que podría estar
leyendo el correo de los directivos.
▸ ¿Se ha producido el delito de “violación del secreto de las
comunicaciones”? Quizá no, es una sospecha
28
29. ESCENARIO DE INVESTIGACIÓN INTERNA
▸ Existe una política interna de uso de sistemas que advierte de la posibilidad
de monitorización de correos electrónicos y otros servicios
▸ Directivo A y B se envían entre sí un/os correo/s con mecanismo de
trazabilidad
▸ Ellos son perfectamente conocedores de este mecanismo
▸ Se busca conocer la identidad del presunto “espía”
29
30. ESCENARIO DE INVESTIGACIÓN INTERNA
▸ ¿Por qué no es suficiente el word (con trazabilidad) o el enlace en el correo?
▸ Porque hay una gran probabilidad de que lo abra desde dentro de la
empresa
▸ La dirección IP que obtendríamos es la misma para toda la empresa, la IP
Pública que usan para navegar por internet
▸ No podríamos determinar qué usuario interno es el que ha abierto el correo
30
31. ESCENARIO DE INVESTIGACIÓN INTERNA
▸ ¿Por qué no es suficiente el word (con trazabilidad) o el enlace en el correo?
▸ Porque hay una gran probabilidad de que lo abra desde dentro de la
empresa
▸ La dirección IP que obtendríamos es la misma para toda la empresa, la IP
Pública que usan para navegar por internet
▸ No podríamos determinar qué usuario interno es el que ha abierto el correo
31
32. ESCENARIO DE INVESTIGACIÓN INTERNA
▸ ¿Por qué no es suficiente el word (con trazabilidad) o el enlace en el correo?
▸ Porque hay una gran probabilidad de que lo abra desde dentro de la
empresa
▸ La dirección IP que obtendríamos es la misma para toda la empresa, la IP
Pública que usan para navegar por internet
▸ No podríamos determinar qué usuario interno es el que ha abierto el correo
32
33. ESCENARIO DE INVESTIGACIÓN INTERNA
▸ ¿Por qué no es suficiente el word (con trazabilidad) o el enlace en el correo?
▸ Porque hay una gran probabilidad de que lo abra desde dentro de la
empresa
▸ La dirección IP que obtendríamos es la misma para toda la empresa, la IP
Pública que usan para navegar por internet
▸ No podríamos determinar qué usuario interno es el que ha abierto el correo
33
34. ESCENARIO CON SERVIDOR WEB INTERNO
▸ No es viable en este caso porque los sospechosos pertenecen al
departamento de IT y esto dificulta mucho
▸ No hay tiempo para hacer pruebas
▸ El cliente está lejos
▸ Disponemos de un día para realizar el documento y configurar y verificar el
sistema de trazabilidad
34
35. MACROS TO THE RESCUE
▸ Macros Office: VBA = Visual Basic for Applications
▸ Wikipedia
▸ “Microsoft VBA (Visual Basic para aplicaciones) es
el lenguaje de macros de Microsoft Visual Basic que se utiliza para
programar aplicaciones Windows y que se incluye en varias aplicaciones
Microsoft. VBA permite a usuarios y programadores ampliar la
funcionalidad de programas de la suite Microsoft Office. Visual Basic para
Aplicaciones es un subconjunto casi completo de Visual Basic 5.0 y 6.0.”
35
36. MACRO VBA
▸ Versión 1
▸ Environ$()
▸ Username
▸ Computername
▸ MsgBox()
DEMO TIME
36
37. MACRO VBA
▸ Versión 2
▸ + Exfiltración WEB
▸ "http://mi.server.web/"+Datos
DEMO
37
40. ¿QUÉ PODIA SALIR MAL?
▸ Tenemos un sistema de trazabilidad del Word y una Macro que nos
proporcionan la información necesaria para identificar al posible “espía”
▸ Se lanza el email del directivo A al directivo B
▸ … tic, tac ….tic, tac
▸ Comienzan a llegar algunas aperturas del sistema de trazabildad del Word
así como de la Macro
▸ … y no parece que sean dirección IP del cliente …
40
41. ¿QUÉ PODIA SALIR MAL?
▸ Tenemos un sistema de trazabilidad del Word y una Macro que nos
proporcionan la información necesaria para identificar al posible “espía”
▸ Se lanza el email del directivo A al directivo B
▸ … tic, tac ….tic, tac
▸ Comienzan a llegar algunas aperturas del sistema de trazabildad del Word
así como de la Macro
▸ … y no parece que sean dirección IP del cliente …
41
42. ¿QUÉ PODIA SALIR MAL?
▸ Tenemos un sistema de trazabilidad del Word y una Macro que nos
proporcionan la información necesaria para identificar al posible “espía”
▸ Se lanza el email del directivo A al directivo B
▸ … tic, tac ….tic, tac
▸ Comienzan a llegar algunas aperturas del sistema de trazabildad del Word
así como de la Macro
▸ … y no parece que sean dirección IP del cliente …
42
43. ¿QUÉ PODIA SALIR MAL?
▸ Tenemos un sistema de trazabilidad del Word y una Macro que nos
proporcionan la información necesaria para identificar al posible “espía”
▸ Se lanza el email del directivo A al directivo B
▸ … tic, tac ….tic, tac
▸ Comienzan a llegar algunas aperturas del sistema de trazabildad del Word
así como de la Macro
▸ … y no parece que sean dirección IP del cliente …
43
44. ¿QUÉ PODIA SALIR MAL?
▸ Tenemos un sistema de trazabilidad del Word y una Macro que nos
proporcionan la información necesaria para identificar al posible “espía”
▸ Se lanza el email del directivo A al directivo B
▸ … tic, tac ….tic, tac
▸ Comienzan a llegar algunas aperturas del sistema de trazabildad del Word
así como de la Macro
▸ … y no parece que sean dirección IP del cliente …
44
45. ¿QUÉ ES LO QUE HA OCURRIDO?
▸ Se ha realizado un upload (quién?) a VirusTotal de aquellos ficheros adjuntos
que no reconoce y contienen macros
▸ VirusTotal es un portal que pertenece a Google y de origen Español
(Benardo Quintero, Hispasec)
▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de
tiempo dado que VT está pensado para distribuir muestras a los AVs
▸ Además es incontrolable dado que muchos analistas/empresas descargan
las muestras y las tienen automatizas
45
46. ¿QUÉ ES LO QUE HA OCURRIDO?
▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de
aquellos ficheros adjuntos que no reconoce y contienen macros o son código de
algún tipo
▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo
Quintero, Hispasec)
▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo
dado que VT está pensado para distribuir muestras a los AVs
▸ Además es incontrolable dado que muchos analistas/empresas descargan las
muestras y las tienen automatizas
46
47. ¿QUÉ ES LO QUE HA OCURRIDO?
▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de
aquellos ficheros adjuntos que no reconoce y contienen macros o son código de
algún tipo
▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo
Quintero, Hispasec)
▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo
dado que VT está pensado para distribuir muestras a los AVs
▸ Además es incontrolable dado que muchos analistas/empresas descargan las
muestras y las tienen automatizas
47
48. ¿QUÉ ES LO QUE HA OCURRIDO?
▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de
aquellos ficheros adjuntos que no reconoce y contienen macros o son código de
algún tipo
▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo
Quintero, Hispasec)
▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo
dado que VT está pensado para distribuir muestras a los AVs
▸ Además es incontrolable dado que muchos analistas/empresas descargan las
muestras y las tienen automatizas
48
49. ¿QUÉ ES LO QUE HA OCURRIDO?
▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de
aquellos ficheros adjuntos que no reconoce y contienen macros o son código de
algún tipo
▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo
Quintero, Hispasec)
▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo
dado que VT está pensado para distribuir muestras a los AVs
▸ Además es incontrolable dado que muchos analistas/empresas descargan las
muestras y las tienen automatizas
49
50. ¿QUÉ ES LO QUE HA OCURRIDO?
▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de
aquellos ficheros adjuntos que no reconoce y contienen macros o son código de
algún tipo
▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo
Quintero, Hispasec)
▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo
dado que VT está pensado para distribuir muestras a los AVs
▸ Además es incontrolable dado que muchos analistas/empresas descargan las
muestras y las tienen automatizas
50
51. ¿QUÉ ES LO QUE HA OCURRIDO?
▸ Cliente tiene implementado un sistema para hacer un upload a VirusTotal de
aquellos ficheros adjuntos que no reconoce y contienen macros o son código de
algún tipo
▸ VirusTotal es un portal que pertenece a Google y de origen Español (Benardo
Quintero, Hispasec)
▸ Una vez se ha subido a VT la detección de los Antivirus es cuestión de tiempo
dado que VT está pensado para distribuir muestras a los AVs
▸ Además es incontrolable dado que muchos analistas/empresas descargan las
muestras y las tienen automatizas
51