Kythuatcatmaycanbanvathoitrangtreem 141201003458-conversion-gate01
04sispyfiles Presentacion 141222015038 Conversion Gate01
-
Upload
jperezquezada6147 -
Category
Documents
-
view
214 -
download
0
Transcript of 04sispyfiles Presentacion 141222015038 Conversion Gate01
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
1/34
SpyFilesAnálisis de FinFisher
y los Conflictos Políticos del Malware as a Ser
FIB-UPC / SI
Javier Ferrer - Jaume López - Ma
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
2/34
● Vídeo de la presentación de este trabhttps://www.youtube.com/watch?v=WUMVmNDc
● Post con más información:http://javierferrer.me/finfisher-conflictos-politico
malware/
Disclaimer
http://javierferrer.me/finfisher-conflictos-politicos-malware/http://javierferrer.me/finfisher-conflictos-politicos-malware/https://www.youtube.com/watch?v=WUMVmNDckD4
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
3/34
● Introducción● SpyFiles
● Análisis Forense
● Conflicto Político
● Conclusión
● Referencias
Contenidos
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
4/34
Introducción
● WikiLeaks● Gamma International
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
5/34
Introducción > WikiLeaks
● Protección de la fuente● Proceso de verificación
● Caso Collateral Murder
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
6/34
I > Gamma International
● Comercializa FinFisher● Venta a gobiernos
● “Corporación enemiga de internet” e
por RSF
● Sedes en Alemania y Reino Unido
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
7/34
SpyFiles
● Leak WikiLeaks● Suite FinFisher
○ Infraestructura
○ FinSpy PC
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
8/34
SpyFiles > Leak WikiLeak
● 4 Leaks publicados desde 2011● 95 compañías en 25 países
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
9/34
SpyFiles > Suite FinFishe
● Malware as a Service● Software alegal
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
10/34
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
11/34
SpyFiles > Infraestructur
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
12/34
SpyFiles > FinSpy PC
● Permite control remoto● Espiar conversaciones de Skype y otr
programas de mensajería
● Envío masivo de datos
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
13/34
Análisis Forense
● Métodos de infección● Comportamiento
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
14/34
AF > Métodos de Infecció
● Email○ Imagen y comprimidos
○ Right To Left Override■ Carácter U+202E: “exe.Rajab1.jpg”
■ UTF-8 en ANSI: “gpj.1bajaR.exe”
○ Tras ejecución deja imagen original
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
15/34
● FinFly USB○ Bootable
○ Infecta MBR
AF > Métodos de Infecció
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
16/34
● Actualizaciones falsas○ iTunes
○ Blackberry OS
○
Flash Player● Plugin Firefox
AF > Métodos de Infecció
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
17/34
AF > Comportamiento
● Ejecuta comportamiento esperado○ Muestra imagen
○ Progreso de actualización
● Copia ejecutable en carpeta aleatoriaTMP
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
18/34
AF > Comportamiento
● Modificación valores RegisterClassExCreateWindowExW en IAT mediante
User32.dll
● Ollydbg e IDA Pro pasan por alto estarutinas
● Se puede detectar manualmente
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
19/34
AF > Comportamiento
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
20/34
AF > Comportamiento
● Inyecta dll para comunicarse con Mas● Código encriptado, XOR para desenc
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
21/34
Conflicto Político
● Casos reales● Legislación
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
22/34
CP > Casos Reales
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
23/34
CP > Casos Reales
● Baréin: Shehab Hashem,activista en la revolución
de Baréin de 2011
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
24/34
● Egipto con disidentes durante la PrimÁrabe
CP > Casos Reales
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
25/34
● Etiopía con objetivos concretos de laoposición Ginbot 7 y población en ge
● En España no hay indicios de uso, no
obstante, tenemos el caso SITEL
CP > Casos Reales
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
26/34
● Etiopía con objetivos concretos de laoposición Ginbot 7 y población en ge
● En España no hay indicios de uso, no
obstante, tenemos el caso SITEL
CP > Casos Reales
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
27/34
CP > Casos Reales
50 millones de
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
28/34
● Considerar la venta de malware al nivla venta de armamento
● Algunas normativas en ciertos estado
EEUU● No hemos encontrado nada en Españ
CP > Legislación
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
29/34
● Malware que requiere alto nivel deconocimientos○ Medidas de contra-espionaje
● Legislación no a la altura● Gobiernos hipócritas
○ Ministro de exteriores Alemán
Conclusión
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
30/34
● Introducción○
[1] WikiLeaks. (2011, Mayo 05). About [Online]. Disponible: https://wikileaks.org/About.html○ [2] WikiLeaks. WikiLeaks:Tor [Online]. Disponible: https://www.wikileaks.org/wiki/WikiLeaks:Tor○ [3] WikiLeaks. (2010, Abril 05). Collateral Murder [Online]. Disponible: http://www.collateralmurder.co○ [4] WikiLeaks. (2010, Abril 05). Collateral Murder Video [Online]. Disponible: https://www.youtube.com
v=5rXPrfnU3G0○ [5] Gamma Group. (2013). Home Page [Online]. Disponible: https://www.gammagroup.com/Default.as○ [6] Reporters without borders. (2013, Marzo 12). Enemies of the Internet [Online]. Disponible: http://s
org/en/wp-content/uploads/sites/2/2013/03/enemies-of-the-internet_2013.pdf ○ [7] WikiLeaks. (2011, Diciembre 01). The SpyFiles > List of documents > Company Name > GAMMA [On
https://wikileaks.org/spyfiles/list/company-name/gamma.html● SpyFiles
○ [1] Satinfo. (2012, Agosto 21).FinFisher: un Malware “legal” que está siendo utilizado por cuerpos gubeespiar remotamente a usuarios bajo sospecha [Online.] Disponible: http://www.satinfo.es/blog/2012/f
○ [2] WikiLeaks. (2014, Septiembre 15) Remote Monitoring Solutions [Online]. Disponible: https://wikileorg/spyfiles4/documents/FinSpy-Catalog.pdf
● Análisis Forense○ Metodos de infeccion
■ [1] The citizen Lab. (2012, Julio 25). From Bahrain With Love: FinFisher’s Spy Kit Exposed? [Onl //citizenlab.org/2012/07/from-bahrain-with-love-finfishers-spy-kit-exposed/
■ [2] Digits. (2011, Noviembre 21). Surveillance Company Says It Sent Fake iTunes, Flash Updateshtt : blo s.ws .com di its 2011 11 21 surveillance-com an -sa s-it-sent-fake-itunes-flash-u
Referencias
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
31/34
● Análisis Forense○
Comportamiento del virus■ [1] Coding and Security. (2014, Septiembre 19). FinFisher Malware Dropper Analysis [Online]. D
//www.codeandsec.com/FinFisher-Malware-Dropper-Analysis■ [2] FinFucker (2014, Agosto 24). FinSpy analysis Round 1 [Online]. Disponible: https://finfcuker
com/2012/08/ ■ [3] WikiLeaks. (2010, Abril 05). Remote Monitoring & Infections Solutions [Online]. Disponible:
org/spyfiles/files/0/289_GAMMA-201110-FinSpy.pdf
Referencias
f
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
32/34
● Conflicto Político○
Casos reales■ [1] Morgan Marquis-Boire, Bill Marczak, Claudio Guarnieri, y John Scott-Railton. (2013, Marzo 1Twice: FinFisher’s Global Proliferation [Online]. Disponible: https://citizenlab.org/2013/03/youfinfishers-global-proliferation-2/
■ [2] Claudio Guarnieri. (2012, Agosto 08). Analysis of the FinFisher Lawful Interception Malwarehttps://community.rapid7.com/community/infosec/blog/2012/08/08/finfisher
■ [3] Shehab Hashem. (2011, Junio 12). About me [Online]. Disponible: http://acoockie.blogspothtml
■ [4] John Leyden, The Register (2011, Septiembre 21). UK firm denies supplying spyware to Mu[Online]. Disponible: http://www.theregister.co.uk/2011/09/21/egypt_cyber_spy_controversy
■ [5] John Leyden, The Register (2011, Septiembre 21). UK firm denies supplying spyware to Mu[Online]. Disponible: https://www.f-secure.com/weblog/archives/00002114.html
■ [6] WikiLeaks. (2014, Septiembre 15) SpyFiles 4 [Online]. Disponible: https://wikileaks.org/spyf■ [7] Mikko Hypponen, F-Secure (2011, Marzo 08). Egypt, FinFisher Intrusion Tools and Ethics [On
http://www.theguardian.com/uk/2012/nov/28/offshore-company-directors-military-intelligen■ [8] John Glenday, The Drum (2013, Octubre 24). US spying row escalates as Angela Merkel clai
phone was hacked [Online]. Disponible: http://www.thedrum.com/news/2013/10/24/us-spyingangela-merkel-claims-personal-mobile-phone-was-hacked
Referencias
f i
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
33/34
● Conflicto Político○ Casos reales
■ [9] John McCarthy, The Drum (2014, Septiembre 16). Germany's Merkel hypocritical on online spy malware exports, claims Julian Assange in latest Wikileak [Online]. Disponible: http://wwwcom/news/2014/09/16/germanys-merkel-hypocritical-online-privacy-finfisher-spy-malware-ex
■ [10] José Luis Lobo, El Confidencial (2013, Julio 05). ¿Nos espía Rajoy? El Gobierno escruta sin cllamadas y correos electrónicos [Online]. Disponible: http://www.elconfidencial.com/espana/2rajoy-el-gobierno-escruta-sin-control-judicial-llamadas-y-correos-electronicos-124355
○ Legislación■ [1] Bloomberg. (2012, Diciembre 31). FinSpy Surveillance Tool Takes Over Computers [Online].
//www.bloomberg.com/video/finspy-surveillance-tool-takes-over-computers-jEyQ3lz_QwWSM■ [2] National Conference of State Legislatures. (2013, Diciembre 13). State Spyware Laws [Onlin
//www.ncsl.org/research/telecommunications-and-information-technology/state-spyware-law■ [3] Arizona State Legislature (2013, Diciembre 13). Chapter 30 Computer Spyware, Article 1 Ge
Prohibited activities; applicability. [Online]. Disponible: http://www.azleg.gov/FormatDocumeinDoc=/ars/44/07302.htm&Title=44&DocType=ARS
■ [4] Fiscal General del Estado (2014, Julio 22). Actividad del Ministerio Fiscal, Capítulo III [Online //www.fiscal.es/fiscal/PA_WebApp_SGNTJ_NFIS/descarga/d4_v1c3.pdf?idFile=61f7b101-ff59-5a630529be9f
Referencias
-
8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01
34/34
SpyFiles
FIB-UPC / SI
Javier Ferrer - Jaume López - Ma
¿Preguntas?