carmen un caso práctico - ccn-cert

www.ccn-cert.cni.es

CARMEN un caso práctico

www.ccn-cert.cni.es 2

• Roberto Amado

• S2 Grupo

• ramado@s2grupo.es

www.ccn-cert.cni.es

IX JORNADAS STIC CCN-CERT

www.ccn-cert.cni.es

Índice

3

1. Carmen

1. Elementos de recolección

2. Elementos de detección

2. APT Teidoor

1. Vector de intrusión

2. Características

3. DEMO

www.ccn-cert.cni.es

IX JORNADAS STIC CCN-CERT

4

www.ccn-cert.cni.es

IX JORNADAS STIC CCN-CERT

5

Análisis HTTP

Patrones de comportamiento auto.

Series temporales

Anomalías en el uso del protocolo

Actividad maliciosa

www.ccn-cert.cni.es

IX JORNADAS STIC CCN-CERT

Detección de DNSs maliciosos

Campañas de phising dirigido

Exfiltración por SMTP

Named pipes

www.ccn-cert.cni.es

IX JORNADAS STIC CCN-CERT

TAIDOOR APT

USA TAIWAN

www.ccn-cert.cni.es

IX JORNADAS STIC CCN-CERT

8

VECTOR DE INTRUSIÓN

Hasta 7 tipos diferentes de adjuntos por correo

electrónico

www.ccn-cert.cni.es

IX JORNADAS STIC CCN-CERT

9

CARACTERISTICAS

HASTA 9 VULNERABILIDADES 14 VERSIONES IDENTIFICADAS DESDE 2008

www.ccn-cert.cni.es

IX JORNADAS STIC CCN-CERT

10

CARACTERÍSTICAS

TRABAJA SOLO CUANDO EL USUARIO TRABAJA

+

Dropper Malware

www.ccn-cert.cni.es

IX JORNADAS STIC CCN-CERT

11

IDENTIFICACION

www.ccn-cert.cni.es

IX JORNADAS STIC CCN-CERT

12

CARACTERÍSTICAS

C&C repartidos por más de 9

países

Síguenos en Linked in

E-Mails

info@ccn-cert.cni.es

ccn@cni.es

sondas@ccn-cert.cni.es

redsara@ccn-cert.cni.es

organismo.certificacion@cni.es

Websites

www.ccn.cni.es

www.ccn-cert.cni.es

www.oc.ccn.cni.es

www.ccn-cert.cni.es