04sispyfiles Presentacion 141222015038 Conversion Gate01

8/18/2019 04sispyfiles Presentacion 141222015038 Conversion Gate01

1/34

SpyFilesAnálisis de FinFisher

y los Conflictos Políticos del Malware as a Ser

FIB-UPC / SI

Javier Ferrer - Jaume López - Ma


2/34

● Vídeo de la presentación de este trabhttps://www.youtube.com/watch?v=WUMVmNDc

● Post con más información:http://javierferrer.me/finfisher-conflictos-politico

malware/

Disclaimer

http://javierferrer.me/finfisher-conflictos-politicos-malware/http://javierferrer.me/finfisher-conflictos-politicos-malware/https://www.youtube.com/watch?v=WUMVmNDckD4


3/34

● Introducción● SpyFiles

● Análisis Forense

● Conflicto Político

● Conclusión

● Referencias

Contenidos


4/34

Introducción

● WikiLeaks● Gamma International


5/34

Introducción > WikiLeaks

● Protección de la fuente● Proceso de verificación

● Caso Collateral Murder


6/34

I > Gamma International

● Comercializa FinFisher● Venta a gobiernos

● “Corporación enemiga de internet” e

por RSF

● Sedes en Alemania y Reino Unido


7/34

SpyFiles

● Leak WikiLeaks● Suite FinFisher

○ Infraestructura

○ FinSpy PC


8/34

SpyFiles > Leak WikiLeak

● 4 Leaks publicados desde 2011● 95 compañías en 25 países


9/34

SpyFiles > Suite FinFishe

● Malware as a Service● Software alegal


10/34


11/34

SpyFiles > Infraestructur


12/34

SpyFiles > FinSpy PC

● Permite control remoto● Espiar conversaciones de Skype y otr

programas de mensajería

● Envío masivo de datos


13/34

Análisis Forense

● Métodos de infección● Comportamiento


14/34

AF > Métodos de Infecció

● Email○ Imagen y comprimidos

○ Right To Left Override■ Carácter U+202E: “exe.Rajab1.jpg”

■ UTF-8 en ANSI: “gpj.1bajaR.exe”

○ Tras ejecución deja imagen original


15/34

● FinFly USB○ Bootable

○ Infecta MBR



16/34

● Actualizaciones falsas○ iTunes

○ Blackberry OS

○

Flash Player● Plugin Firefox



17/34

AF > Comportamiento

● Ejecuta comportamiento esperado○ Muestra imagen

○ Progreso de actualización

● Copia ejecutable en carpeta aleatoriaTMP


18/34

AF > Comportamiento

● Modificación valores RegisterClassExCreateWindowExW en IAT mediante

User32.dll

● Ollydbg e IDA Pro pasan por alto estarutinas

● Se puede detectar manualmente


19/34

AF > Comportamiento


20/34

AF > Comportamiento

● Inyecta dll para comunicarse con Mas● Código encriptado, XOR para desenc


21/34

Conflicto Político

● Casos reales● Legislación


22/34

CP > Casos Reales


23/34

CP > Casos Reales

● Baréin: Shehab Hashem,activista en la revolución

de Baréin de 2011


24/34

● Egipto con disidentes durante la PrimÁrabe

CP > Casos Reales


25/34

● Etiopía con objetivos concretos de laoposición Ginbot 7 y población en ge

● En España no hay indicios de uso, no

obstante, tenemos el caso SITEL

CP > Casos Reales


26/34

● Etiopía con objetivos concretos de laoposición Ginbot 7 y población en ge

● En España no hay indicios de uso, no

obstante, tenemos el caso SITEL

CP > Casos Reales


27/34

CP > Casos Reales

50 millones de


28/34

● Considerar la venta de malware al nivla venta de armamento

● Algunas normativas en ciertos estado

EEUU● No hemos encontrado nada en Españ

CP > Legislación


29/34

● Malware que requiere alto nivel deconocimientos○ Medidas de contra-espionaje

● Legislación no a la altura● Gobiernos hipócritas

○ Ministro de exteriores Alemán

Conclusión


30/34

● Introducción○

[1] WikiLeaks. (2011, Mayo 05). About [Online]. Disponible: https://wikileaks.org/About.html○ [2] WikiLeaks. WikiLeaks:Tor [Online]. Disponible: https://www.wikileaks.org/wiki/WikiLeaks:Tor○ [3] WikiLeaks. (2010, Abril 05). Collateral Murder [Online]. Disponible: http://www.collateralmurder.co○ [4] WikiLeaks. (2010, Abril 05). Collateral Murder Video [Online]. Disponible: https://www.youtube.com

v=5rXPrfnU3G0○ [5] Gamma Group. (2013). Home Page [Online]. Disponible: https://www.gammagroup.com/Default.as○ [6] Reporters without borders. (2013, Marzo 12). Enemies of the Internet [Online]. Disponible: http://s

org/en/wp-content/uploads/sites/2/2013/03/enemies-of-the-internet_2013.pdf ○ [7] WikiLeaks. (2011, Diciembre 01). The SpyFiles > List of documents > Company Name > GAMMA [On

https://wikileaks.org/spyfiles/list/company-name/gamma.html● SpyFiles

○ [1] Satinfo. (2012, Agosto 21).FinFisher: un Malware “legal” que está siendo utilizado por cuerpos gubeespiar remotamente a usuarios bajo sospecha [Online.] Disponible: http://www.satinfo.es/blog/2012/f

○ [2] WikiLeaks. (2014, Septiembre 15) Remote Monitoring Solutions [Online]. Disponible: https://wikileorg/spyfiles4/documents/FinSpy-Catalog.pdf

● Análisis Forense○ Metodos de infeccion

■ [1] The citizen Lab. (2012, Julio 25). From Bahrain With Love: FinFisher’s Spy Kit Exposed? [Onl //citizenlab.org/2012/07/from-bahrain-with-love-finfishers-spy-kit-exposed/

■ [2] Digits. (2011, Noviembre 21). Surveillance Company Says It Sent Fake iTunes, Flash Updateshtt : blo s.ws .com di its 2011 11 21 surveillance-com an -sa s-it-sent-fake-itunes-flash-u

Referencias


31/34

● Análisis Forense○

Comportamiento del virus■ [1] Coding and Security. (2014, Septiembre 19). FinFisher Malware Dropper Analysis [Online]. D

//www.codeandsec.com/FinFisher-Malware-Dropper-Analysis■ [2] FinFucker (2014, Agosto 24). FinSpy analysis Round 1 [Online]. Disponible: https://finfcuker

com/2012/08/ ■ [3] WikiLeaks. (2010, Abril 05). Remote Monitoring & Infections Solutions [Online]. Disponible:

org/spyfiles/files/0/289_GAMMA-201110-FinSpy.pdf

Referencias

f


32/34

● Conflicto Político○

Casos reales■ [1] Morgan Marquis-Boire, Bill Marczak, Claudio Guarnieri, y John Scott-Railton. (2013, Marzo 1Twice: FinFisher’s Global Proliferation [Online]. Disponible: https://citizenlab.org/2013/03/youfinfishers-global-proliferation-2/

■ [2] Claudio Guarnieri. (2012, Agosto 08). Analysis of the FinFisher Lawful Interception Malwarehttps://community.rapid7.com/community/infosec/blog/2012/08/08/finfisher

■ [3] Shehab Hashem. (2011, Junio 12). About me [Online]. Disponible: http://acoockie.blogspothtml

■ [4] John Leyden, The Register (2011, Septiembre 21). UK firm denies supplying spyware to Mu[Online]. Disponible: http://www.theregister.co.uk/2011/09/21/egypt_cyber_spy_controversy

■ [5] John Leyden, The Register (2011, Septiembre 21). UK firm denies supplying spyware to Mu[Online]. Disponible: https://www.f-secure.com/weblog/archives/00002114.html

■ [6] WikiLeaks. (2014, Septiembre 15) SpyFiles 4 [Online]. Disponible: https://wikileaks.org/spyf■ [7] Mikko Hypponen, F-Secure (2011, Marzo 08). Egypt, FinFisher Intrusion Tools and Ethics [On

http://www.theguardian.com/uk/2012/nov/28/offshore-company-directors-military-intelligen■ [8] John Glenday, The Drum (2013, Octubre 24). US spying row escalates as Angela Merkel clai

phone was hacked [Online]. Disponible: http://www.thedrum.com/news/2013/10/24/us-spyingangela-merkel-claims-personal-mobile-phone-was-hacked

Referencias

f i


33/34

● Conflicto Político○ Casos reales

■ [9] John McCarthy, The Drum (2014, Septiembre 16). Germany's Merkel hypocritical on online spy malware exports, claims Julian Assange in latest Wikileak [Online]. Disponible: http://wwwcom/news/2014/09/16/germanys-merkel-hypocritical-online-privacy-finfisher-spy-malware-ex

■ [10] José Luis Lobo, El Confidencial (2013, Julio 05). ¿Nos espía Rajoy? El Gobierno escruta sin cllamadas y correos electrónicos [Online]. Disponible: http://www.elconfidencial.com/espana/2rajoy-el-gobierno-escruta-sin-control-judicial-llamadas-y-correos-electronicos-124355

○ Legislación■ [1] Bloomberg. (2012, Diciembre 31). FinSpy Surveillance Tool Takes Over Computers [Online].

//www.bloomberg.com/video/finspy-surveillance-tool-takes-over-computers-jEyQ3lz_QwWSM■ [2] National Conference of State Legislatures. (2013, Diciembre 13). State Spyware Laws [Onlin

//www.ncsl.org/research/telecommunications-and-information-technology/state-spyware-law■ [3] Arizona State Legislature (2013, Diciembre 13). Chapter 30 Computer Spyware, Article 1 Ge

Prohibited activities; applicability. [Online]. Disponible: http://www.azleg.gov/FormatDocumeinDoc=/ars/44/07302.htm&Title=44&DocType=ARS

■ [4] Fiscal General del Estado (2014, Julio 22). Actividad del Ministerio Fiscal, Capítulo III [Online //www.fiscal.es/fiscal/PA_WebApp_SGNTJ_NFIS/descarga/d4_v1c3.pdf?idFile=61f7b101-ff59-5a630529be9f

Referencias


34/34

SpyFiles

FIB-UPC / SI

Javier Ferrer - Jaume López - Ma

¿Preguntas?

04sispyfiles Presentacion 141222015038 Conversion Gate01

Documents

Transcript of 04sispyfiles Presentacion 141222015038 Conversion Gate01