Post on 09-Jul-2022
Identificando a los autores de una intrusión con ransomware usando OSINT
Jorge Coronado (@jorgewebsec) www.quantika14.com
ÍNDICE
1. Autor2. Introducción
1. Ciclo de inteligencia2. Entorno de trabajo
3. Fases de la investigación1. Time Line2. Datos iniciales3. Webshells y wallet de bitcoin4. Cuentas de Twitter5. Target Joaquín6. Recuperar contraseña de Twitter7. Descargando Facebook para su análisis8. Analizando imágenes9. Logotipo e imágenes10. La clave
4. Perfilando1. Dante’s Gates Telegram Bot2. Relaciones
5. Conclusiones
1. EL AUTOR¿QUIÉN ES JORGE CORONADO?
1. ¿Quién es Jorge Coronado?
CEO de QuantiKa14 y CTO del grupo Lazarus
TechnologyGuasap ForensicDante’s Gates
Twiana
Socio y vocal de la Asociación de Peritos
Tecnológicos de Andalucía (APTAN) JorgeWebsec
elperitoinf
https://mypublicinbox.com/jorgewebsec
2. INTRODUCCIÓN¿QUÉ PASÓ?
2. Introducción
DISCLAIMER
EL OBJETIVO DE ESTA PONENCIA ES FORMATIVA, EL AUTOR NO SE HACE RESPONSABLE DEL USO DE LA INFORMACIÓN Y APLICACIONES QUE SE
EXPONEN. LA HISTORIA ES FICCIÓN.
BANCO PILILAA principios de febrero de 2021 una cuenta de Twitter y una web en TORpublicaron información sobre una posible intrusión en el Banco Pilila,UnicornioLandia. De igual manera, también otras entidades y ministerios.
Del Banco han obtenido datos sobre las cuentas bancarias y parece quehan vendido parte de los datos. En el caso de los Ministerios han llegadoa filtrar correos electrónicos, empleados, contratos y manifiestan quetambién información confidencial.
Los ciberdelincuentes piden 30 millones de dólares en Bitcoins yamenazan con publicar parte si no pagan en menos de 12 días.
BETICOS
DE LA MACARENA
2. Introducción2.1. Ciclo de Inteligencia (OSINT)
Planificación
Identificación
RecolecciónAnálisis
Evaluación
DESCONFIA DE LOS CICLOS LINEALES Y SECUENCIALES EN UN CASO COMPLETO
Planificación
Recolección de datos
Identificación de targets
Análisis
Evaluación / Informe
La planificación es la estructuración de una serie de acciones que se llevarán a cabo para cumplir determinados objetivos. No solo es definir una lista de acciones es adaptarse,
minimizar daños y maximizar eficacia.
2. Introducción2.2. Entorno de trabajo
1. Mesa y sillas2. Pizarras (cuantas más
mejor)3. Varios ordenadores4. Red por cable5. NAS6. Cámara y micrófonos7. Varios teléfonos y tarjetas
SIMs8. Decoración:
1. Bandera de One Piece2. La Gioconda3. Otros…
3. INVESTIGACIÓN OSINTIdentificando a los autores de la intrusión al banco Pilila
3. Investigación OSINT3.1 Fases de la investigación
1. Time line2. Diagrama de datos3. Perfilado de autores
3.1 Planificación3.1.1 Time line
La metodología que uso es:
1. Monitorizar y buscar en noticias de forma internacional
2. Buscar en Twitter y en buscadores comoGoogle, Bing, Carrot2 (identificar palabras claves) usando dorks
3. Ordenar por fecha de publicación
3.1 Planificación3.1.1 Time line
3.1 Planificación3.1.2 Datos iniciales
➢ Usuario en Raidforum:- Username- Fechas- Posts con contenidos- Idioma- Enlace a mega
➢ 2 URLS con .onions✓ 2 Wallets de Bitcoins✓ Idioma✓ Email
➢ 3 cuentas de Twitter✓ Idioma✓ Usernames✓ Bio✓ Imágenes y vídeos✓ Email
➢ 2 cuentas de Telegram➢ Username➢ Idioma➢ Bio
Dato Usuario (RaidForum)
WEBS (.onions)
3 cuentas de Twitter
1 cuenta de Telegram
Idioma Inglés Español Inglés y español
Inglés y español
3.2 ¿Cómo se realizó la intrusión?3.2.1 Webshells y Wallet de Bitcoin
Todo indica que usaron un ransomwarecustomizado de AwesomeWare o
Ronggolawe. La aplicación está desarrollada en PHP y se subió seguramente desde una
webshell.
Código fuente del ransomware:https://github.com/bug7sec/Ransomware/bl
ob/master/v2/AwesomeWare.php
Fuente: Germán Fernández @1ZRR4H
3.3 Analizando3.2.2 Cuentas de Twitter
Joaquín Nabil Ángela Mari Paz
Inglés Inglés/español Ingles/español Español
3.3 Analizando3.3.2 Target: Joaquín
Encontramos que tienen una cuentade Twitter y es la más activa. Sin
embargo, al existir varias identidades yun usuario manifestando que es falso.
Procedemos a analizarlo.
1. Buscar otras plataformas con el mismo Nick
2. Analizar la cuenta de Twitter y Facebook
3. Analizamos las imagenes
3.3 Analizando3.3.3 Recuperar contraseña Twitter…
Encontramos que su cuenta de Twitter tiene el mismo email que anuncian en raidforum y tiene el mismo username
que las otras cuentas
@joaquinBNM
Para analizar Twitter: Tinfoleak - https://www.isecauditors.com/herramientas-tinfoleak
3.3 Analizando3.2.4 Descargando Facebook para su análisis…
https://github.com/minimaxir/facebook-page-post-scraper
Encontramos a dos usuarios que comparten casi todo, pero al final
carecen de interés.
3.3 Analizando3.3.5 Analizando imágenes
De forma automática
- Python-Tesseract- Textract (pdf)- Pyocr
https://pharos.sh/pytesseract-reconocimiento-optico-de-caracteres-en-python/
Proyecto: https://github.com/ro6ley/python-ocr-example
https://twitter.com/JorgeWebsec/status/1418229474471055363
3.3 Analizando3.3.6 Analizando imágenes
De forma automática
- Python-Tesseract- Textract (pdf)- Pyocr
https://pharos.sh/pytesseract-reconocimiento-optico-de-caracteres-en-python/
Proyecto: https://github.com/ro6ley/python-ocr-example
https://twitter.com/JorgeWebsec/status/1418229474471055363
3.3 Analizando3.3.7 Logotipo e imágenes
3.3 Analizando3.3.7 La clave
4. PerfilandoAnalizando al sospechoso
4. Perfilando4.1 Primer contacto con Dante’s Gates Telegram Bot
https://youtu.be/4SdVZAAsZXk
Realidad Ficción
Encontramos el LinkedIn de la persona y un
número de teléfono en uno de sus
trabajos
4. Perfilando4.1 Primer contacto con Dante’s Gates Telegram Bot
https://youtu.be/4SdVZAAsZXk
EJEMPLO
Extraemos los datos de cada cuenta
asociada al teléfono.
4. Perfilando4.2 Información sobre el perfil
https://github.com/soxoj/socid-extractor
4. Perfilando4.2 Información sobre el perfil
Encontramos que usa un Iphone al
igual que lascuentas de Twitter
Es posible que tenga relación con una de las cuentas
de Github que seguían a los
Béticos Nazis de la Macarena
UTILIZA EL CUPÓN EXCLUSIVO PARA EL CONGRESO
INTELCON2021 PARA TENER UN 50% DE DESCUENTO.
CUPÓN: INTELCON2021
Link:https://quantika14.com/dantes-gates-telegram-bot
4. Perfilando4.3 Relación
5. ConclusionesCampechanas
Gracias por la atención