Identificando a los autores de una intrusión con ransomware usando OSINT - Jorge Coronado (@jorgewebsec) www.quantika14.com
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Identificando a los autores de una intrusión con
ransomware usando OSINT
Jorge Coronado (@jorgewebsec)
www.quantika14.com
ÍNDICE
1. Autor
2. Introducción
1. Ciclo de inteligencia
2. Entorno de trabajo
3. Fases de la investigación
1. Time Line
2. Datos iniciales
3. Webshells y wallet de bitcoin
4. Cuentas de Twitter
5. Target Joaquín
6. Recuperar contraseña de Twitter
7. Descargando Facebook para su análisis
8. Analizando imágenes
9. Logotipo e imágenes
10. La clave
4. Perfilando
1. Dante’s Gates Telegram Bot
2. Relaciones
5. Conclusiones
1. EL AUTOR ¿QUIÉN ES JORGE CORONADO?
1. ¿Quién es Jorge Coronado?
CEO de QuantiKa14 y
CTO del grupo Lazarus
Technology
Guasap Forensic
Dante’s Gates
Twiana
Socio y vocal de la
Asociación de Peritos
Tecnológicos de
Andalucía (APTAN) JorgeWebsec
elperitoinf
https://mypublicinbox.com/jorgewebsec
2. INTRODUCCIÓN ¿QUÉ PASÓ?
2. Introducción
A principios de febrero de 2021 una cuenta de Twitter y una web en TOR
publicaron información sobre una posible intrusión en el Banco Pilila,
BANCO PILILA UnicornioLandia. De igual manera, también otras entidades y ministerios.
Del Banco han obtenido datos sobre las cuentas bancarias y parece que
han vendido parte de los datos. En el caso de los Ministerios han llegado
a filtrar correos electrónicos, empleados, contratos y manifiestan que
también información confidencial.
Los ciberdelincuentes piden 30 millones de dólares en Bitcoins y
amenazan con publicar parte si no pagan en menos de 12 días.
BETICOS
DE LA MACARENA
DISCLAIMER
EL OBJETIVO DE ESTA PONENCIA ES FORMATIVA,
EL AUTOR NO SE HACE RESPONSABLE DEL USO
DE LA INFORMACIÓN Y APLICACIONES QUE SE
EXPONEN. LA HISTORIA ES FICCIÓN.
2. Introducción
2.1. Ciclo de Inteligencia (OSINT)
DESCONFIA DE LOS CICLOS LINEALES Y Recolección
SECUENCIALES EN UN CASO COMPLETO de datos
Evaluación / Identificación
Informe Planificación de targets
Planificación
Evaluación Identificación Análisis
La planificación es la estructuración de una
serie de acciones que se llevarán a cabo para
Análisis Recolección
cumplir determinados objetivos. No solo es
definir una lista de acciones es adaptarse,
minimizar daños y maximizar eficacia.
2. Introducción
2.2. Entorno de trabajo
1. Mesa y sillas
2. Pizarras (cuantas más
mejor)
3. Varios ordenadores
4. Red por cable
5. NAS
6. Cámara y micrófonos
7. Varios teléfonos y tarjetas
SIMs
8. Decoración:
1. Bandera de One Piece
2. La Gioconda
3. Otros…
3. INVESTIGACIÓN OSINT Identificando a los autores de la intrusión al banco Pilila
3. Investigación OSINT 3.1 Fases de la investigación 1. Time line 2. Diagrama de datos 3. Perfilado de autores
3.1 Planificación
3.1.1 Time line
La metodología que uso es:
1. Monitorizar y buscar en noticias de forma
internacional
2. Buscar en Twitter y en buscadores como
Google, Bing, Carrot2 (identificar palabras
claves) usando dorks
3. Ordenar por fecha de publicación3.1 Planificación 3.1.1 Time line
3.1 Planificación
3.1.2 Datos iniciales
➢ Usuario en Raidforum: Dato Usuario WEBS 3 cuentas de 1 cuenta de
- Username
- Fechas
(RaidForum) (.onions) Twitter Telegram
- Posts con contenidos Idioma Inglés Español Inglés y Inglés y
- Idioma
- Enlace a mega
español español
➢ 2 URLS con .onions
✓ 2 Wallets de Bitcoins
✓ Idioma
✓ Email
➢ 3 cuentas de Twitter
✓ Idioma
✓ Usernames
✓ Bio
✓ Imágenes y vídeos
✓ Email
➢ 2 cuentas de Telegram
➢ Username
➢ Idioma
➢ Bio3.2 ¿Cómo se realizó la intrusión?
3.2.1 Webshells y Wallet de Bitcoin
Todo indica que usaron un ransomware
customizado de AwesomeWare o
Ronggolawe. La aplicación está desarrollada
en PHP y se subió seguramente desde una
webshell.
Fuente: Germán Código fuente del ransomware:
Fernández @1ZRR4H https://github.com/bug7sec/Ransomware/bl
ob/master/v2/AwesomeWare.php3.3 Analizando 3.2.2 Cuentas de Twitter Joaquín Nabil Ángela Mari Paz Inglés Inglés/español Ingles/español Español
3.3 Analizando
3.3.2 Target: Joaquín
Encontramos que tienen una cuenta
de Twitter y es la más activa. Sin
embargo, al existir varias identidades y
un usuario manifestando que es falso.
Procedemos a analizarlo.
1. Buscar otras plataformas con el
mismo Nick
2. Analizar la cuenta de Twitter y
Facebook
3. Analizamos las imagenes3.3 Analizando
3.3.3 Recuperar contraseña Twitter…
@joaquinBNM
Encontramos que su cuenta de Twitter
tiene el mismo email que anuncian en
raidforum y tiene el mismo username
que las otras cuentas
Para analizar Twitter: Tinfoleak - https://www.isecauditors.com/herramientas-tinfoleak3.3 Analizando
3.2.4 Descargando Facebook para su análisis…
https://github.com/minimaxir/facebook-page-post-scraper
Encontramos a dos usuarios que
comparten casi todo, pero al final
carecen de interés.3.3 Analizando
3.3.5 Analizando imágenes
De forma automática
- Python-Tesseract
- Textract (pdf)
- Pyocr
https://pharos.sh/pytesseract-reconocimiento-
optico-de-caracteres-en-python/
Proyecto: https://github.com/ro6ley/python-ocr-
example
https://twitter.com/JorgeWebsec/status/14182294744710553633.3 Analizando
3.3.6 Analizando imágenes
De forma automática
- Python-Tesseract
- Textract (pdf)
- Pyocr
https://pharos.sh/pytesseract-reconocimiento-
optico-de-caracteres-en-python/
Proyecto: https://github.com/ro6ley/python-ocr-
example
https://twitter.com/JorgeWebsec/status/14182294744710553633.3 Analizando 3.3.7 Logotipo e imágenes
3.3 Analizando 3.3.7 La clave
4. Perfilando Analizando al sospechoso
4. Perfilando
4.1 Primer contacto con Dante’s Gates Telegram Bot
Realidad Ficción
Encontramos el
LinkedIn de la
persona y un
número de teléfono
en uno de sus
trabajos
https://youtu.be/4SdVZAAsZXk4. Perfilando
4.1 Primer contacto con Dante’s Gates Telegram Bot
EJEMPLO
Extraemos los datos
de cada cuenta
asociada al teléfono.
https://youtu.be/4SdVZAAsZXk4. Perfilando
4.2 Información sobre el perfil
https://github.com/soxoj/socid-extractor4. Perfilando
4.2 Información sobre el perfil
Es posible que
tenga relación con
una de las cuentas
de Github que
seguían a los
Béticos Nazis de la
Macarena
UTILIZA EL CUPÓN EXCLUSIVO
PARA EL CONGRESO
Encontramos que INTELCON2021 PARA TENER UN
usa un Iphone al 50% DE DESCUENTO.
igual que las
cuentas de Twitter CUPÓN: INTELCON2021
Link:
https://quantika14.com/dantes-gates-telegram-bot4. Perfilando 4.3 Relación
5. Conclusiones Campechanas
Gracias por la atención
También puede leer
