CARMEN un caso práctico - CCN-CERT
Transcript of CARMEN un caso práctico - CCN-CERT
www.ccn-cert.cni.es
CARMEN un caso práctico
www.ccn-cert.cni.es
IX JORNADAS STIC CCN-CERT
www.ccn-cert.cni.es
Índice
3
1. Carmen
1. Elementos de recolección
2. Elementos de detección
2. APT Teidoor
1. Vector de intrusión
2. Características
3. DEMO
www.ccn-cert.cni.es
IX JORNADAS STIC CCN-CERT
4
www.ccn-cert.cni.es
IX JORNADAS STIC CCN-CERT
5
Análisis HTTP
Patrones de comportamiento auto.
Series temporales
Anomalías en el uso del protocolo
Actividad maliciosa
www.ccn-cert.cni.es
IX JORNADAS STIC CCN-CERT
Detección de DNSs maliciosos
Campañas de phising dirigido
Exfiltración por SMTP
Named pipes
www.ccn-cert.cni.es
IX JORNADAS STIC CCN-CERT
TAIDOOR APT
USA TAIWAN
www.ccn-cert.cni.es
IX JORNADAS STIC CCN-CERT
8
VECTOR DE INTRUSIÓN
Hasta 7 tipos diferentes de adjuntos por correo
electrónico
www.ccn-cert.cni.es
IX JORNADAS STIC CCN-CERT
9
CARACTERISTICAS
HASTA 9 VULNERABILIDADES 14 VERSIONES IDENTIFICADAS DESDE 2008
www.ccn-cert.cni.es
IX JORNADAS STIC CCN-CERT
10
CARACTERÍSTICAS
TRABAJA SOLO CUANDO EL USUARIO TRABAJA
+
Dropper Malware
www.ccn-cert.cni.es
IX JORNADAS STIC CCN-CERT
11
IDENTIFICACION
www.ccn-cert.cni.es
IX JORNADAS STIC CCN-CERT
12
CARACTERÍSTICAS
C&C repartidos por más de 9
países
Síguenos en Linked in
E-Mails
Websites
www.ccn.cni.es
www.ccn-cert.cni.es
www.oc.ccn.cni.es
www.ccn-cert.cni.es