1 Investigaciones digitales con caso de estudioChasing the “hacker”
2 $whoami Héctor Cuevas Cruz (23 años) Pentester & Forensic AnalystConsultor TigerTeam Sr GPEN, ACE, CDRP. Stalke me
3 Análisis Forense Discos duros Móviles Red Datos volátilesIoT (Internet of Things) Wereables SCADA
4 ¿Para qué realizar Investigaciones Digitales?Identificar un Incidente de Seguridad. Localizar un atacante. Identificar posibles fugas de información. Monitorear posibles operaciones Hacktivistas Etc…
5 Caso de Estudio
6 Contextualización Se recibe una llamada de “Karol”.Karol indica que le fue robada su cuenta de Facebook y quiere recuperarla puesto que están haciendo mal uso de sus datos 03/05/15
7 Una vez tomada el control de la cuentaHotmail Cambio correos alternativos Cambio Numero de Celular Cambio Pregunta secreta Facebook Cambio contraseña
8 Profesión de Karol: Edecan
9 Vector de Ataque (Tercero involucrado)Amiga: Kathy kellerman Grupo: Edecanes Pide el correo electrónico de la víctima para enviarle información de “castings”
10 > Obtención de Correo > Robo de datos a través de phishing
11 Intento de sexting sin consentimiento
12 Resumen de Vector de ataqueSe consigue el correo personal Se le redirige a un enlace que contiene una página maliciosa para robar datos Se intenta realizar sexting
13 Análisis de enlace Enlace: bit.ly/1FGggML“El análisis NO se hace sobre un navegador y menos en el que se usa normalmente”
14
15 Resumen de petición al servidor a: server.jodeque.com.ar
16
17 Decodificación: Cadena de texto: “ly/1hIh0kt” Correo de la víctima
18 Servidor: Jodeque.com.ar
19 Subdominio Aparentemente inofensivo
20 Redirección ailBase64/index.php
21 Redirección: irya.com.arScam de Hotmail Textbox: Valor predefinido del de la victima (la del URL)
22 Redirección: irya.com.ar
23 Análisis: irya.com.ar
24 Análisis: irya.com.ar El código fuente revela que:El Scam es una simple imagen. El “botón” de iniciar sesión es parte de la imagen principal, por lo que se sobrepuso una imagen transparente sobre ella que al dar “click” ejecuta código JavaScript. Se ejecuta código JavaScript que envía la información hacia un nuevo servidor: Al final redirige a otro servidor “imagenesenfacebook.com”
25 Buscador de contraseñas 2015 marvinclub.com.ar
26 Seguir pasos Nunca se logro obtener la informaciónMas de 20 peticiones a paginas de “ads”
27 For FUN & Profit Resumen Vectores laterales Obtención de emailIntento de sexting Robo de credenciales Vectores laterales & Profit Pagina pornográfica Consulta de páginas de publicidad
28 Investigación OSINT Open Source Intelligence
29 Whois Las búsquedas “whois” buscan el dueño que registro un dominio.$whois dominio.com
30 ¿Whois en Argentina? .com.arNo esta directamente registrado con la ICANN NIC.ar Para registrar un dominio se necesita del DNI
31 Jodeque.com.ar
32
33 Dominios Involucrados
34 Jonatan Pintos
35 Blog
36 Perfil de Google
37 Twitter
38 Whois: imagenesya.com
39 Facebook:
40 Pagina web personal en Facebook
41 Meet Jonatan
42 Vida Personal: Novia
43 Grupo “Marvin CE”
44
45
46 MarvinCE – MarvinCity @Youtube
47 PlayStore – Crear Memes app
48 Permisos - App
49 Marvin
50 Marvin
51 Información Recolectada
52 Redes Sociales Facebook Twitter Youtube Google Plus PlayStore Linkedinfacebook.com/marvin.cee facebook.com/marvince.group facebook.com/Imagenes.HD.Gratis.YA Twitter twitter.com/marvin_ce Youtube youtube.com/user/MarvinCity/ Google Plus MarvinCeAR MarvinCe PlayStore play.google.com/store/apps/developer?id=Marvin+Ce Linkedin Marvin-CE
53 Personal Nombre: Jonatan Leonel Pintos Edad: 25 años (12/01/1990)País: Argentina Localidad: Santa Fe / Santo tome / Buenos Aires DNI: Correo: Novia: M******* Mejor Amiga: M****** Etc…
54 Hacking, p0rn, poetry & moneyFor Fun & Profit
55 Karol ¿Se recupero la cuenta de Facebook?
56 Mientras Karol y yo trabajamos en recuperar la cuenta - ¿Qué hacía Jonatan?
57 Suplantación de Identidad
58 IP: == “Proxy”
59 $Sexting ; Sextorsion >Okey
60 Permisos y desenlace Cerca de 4 cuentas más robadas.Una victima real de sexting. Obtención de información (correos, celulares, IFE) Más ataques “laterales”
61 ¿Preguntas? Héctor Cuevas Cruz @hecky