#spyfiles - análisis de #finfisher y los conflictos políticos del malware-as-a-service

SpyFilesAnálisis de FinFisher

y los Conflictos Políticos del Malware as a Service

FIB-UPC / SI 2014/12/15Javier Ferrer - Jaume López - Marc Vijfschaft

● Vídeo de la presentación de este trabajo:https://www.youtube.com/watch?v=WUMVmNDckD4

● Post con más información: http://javierferrer.me/finfisher-conflictos-politicos-

malware/

Disclaimer

2

https://www.youtube.com/watch?v=WUMVmNDckD4

https://www.youtube.com/watch?v=WUMVmNDckD4

http://javierferrer.me/finfisher-conflictos-politicos-malware/



● Introducción

● SpyFiles

● Análisis Forense

● Conflicto Político

● Conclusión

● Referencias

Contenidos

3

Introducción

● WikiLeaks

● Gamma International

4

Introducción > WikiLeaks

● Protección de la fuente

● Proceso de verificación

● Caso Collateral Murder

5

I > Gamma International

● Comercializa FinFisher

● Venta a gobiernos

● “Corporación enemiga de internet” en 2013

por RSF

● Sedes en Alemania y Reino Unido

6

SpyFiles

● Leak WikiLeaks

● Suite FinFisher○ Infraestructura

○ FinSpy PC

7

SpyFiles > Leak WikiLeaks

● 4 Leaks publicados desde 2011

● 95 compañías en 25 países

8

SpyFiles > Suite FinFisher

● Malware as a Service

● Software alegal

9

SpyFiles > Infraestructura

11

SpyFiles > FinSpy PC

● Permite control remoto

● Espiar conversaciones de Skype y otros

programas de mensajería

● Envío masivo de datos

12

Análisis Forense

● Métodos de infección

● Comportamiento

13

AF > Métodos de Infección

● Email○ Imagen y comprimidos

○ Right To Left Override■ Carácter U+202E: “exe.Rajab1.jpg”

■ UTF-8 en ANSI: “gpj.1bajaR.exe”

○ Tras ejecución deja imagen original

14

● FinFly USB○ Bootable

○ Infecta MBR


15

● Actualizaciones falsas○ iTunes

○ Blackberry OS

○ Flash Player

● Plugin Firefox


16

AF > Comportamiento

● Ejecuta comportamiento esperado○ Muestra imagen

○ Progreso de actualización

● Copia ejecutable en carpeta aleatoria de

TMP

17

AF > Comportamiento

● Modificación valores RegisterClassExW y

CreateWindowExW en IAT mediante

User32.dll

● Ollydbg e IDA Pro pasan por alto estas

rutinas

● Se puede detectar manualmente18

AF > Comportamiento

19

AF > Comportamiento

● Inyecta dll para comunicarse con Master

● Código encriptado, XOR para desencriptar

20

Conflicto Político

● Casos reales

● Legislación

21

CP > Casos Reales

22

CP > Casos Reales

● Baréin: Shehab Hashem,

activista en la revolución

de Baréin de 2011

23

● Egipto con disidentes durante la Primavera

Árabe

CP > Casos Reales

24

● Etiopía con objetivos concretos de la

oposición Ginbot 7 y población en general

● En España no hay indicios de uso, no

obstante, tenemos el caso SITEL

CP > Casos Reales

25

● Etiopía con objetivos concretos de la

oposición Ginbot 7 y población en general

● En España no hay indicios de uso, no

obstante, tenemos el caso SITEL

CP > Casos Reales

26

CP > Casos Reales

50 millones de €

27

● Considerar la venta de malware al nivel de

la venta de armamento

● Algunas normativas en ciertos estados de

EEUU

● No hemos encontrado nada en España

CP > Legislación

28

● Malware que requiere alto nivel de

conocimientos○ Medidas de contra-espionaje

● Legislación no a la altura

● Gobiernos hipócritas○ Ministro de exteriores Alemán

Conclusión

29

● Introducción○ [1] WikiLeaks. (2011, Mayo 05). About [Online]. Disponible: https://wikileaks.org/About.html○ [2] WikiLeaks. WikiLeaks:Tor [Online]. Disponible: https://www.wikileaks.org/wiki/WikiLeaks:Tor○ [3] WikiLeaks. (2010, Abril 05). Collateral Murder [Online]. Disponible: http://www.collateralmurder.com/○ [4] WikiLeaks. (2010, Abril 05). Collateral Murder Video [Online]. Disponible: https://www.youtube.com/watch?

v=5rXPrfnU3G0○ [5] Gamma Group. (2013). Home Page [Online]. Disponible: https://www.gammagroup.com/Default.aspx○ [6] Reporters without borders. (2013, Marzo 12). Enemies of the Internet [Online]. Disponible: http://surveillance.rsf.

org/en/wp-content/uploads/sites/2/2013/03/enemies-of-the-internet_2013.pdf○ [7] WikiLeaks. (2011, Diciembre 01). The SpyFiles > List of documents > Company Name > GAMMA [Online]. Disponible:

https://wikileaks.org/spyfiles/list/company-name/gamma.html● SpyFiles

○ [1] Satinfo. (2012, Agosto 21).FinFisher: un Malware “legal” que está siendo utilizado por cuerpos gubernamentales para espiar remotamente a usuarios bajo sospecha [Online.] Disponible: http://www.satinfo.es/blog/2012/finfisher/

○ [2] WikiLeaks. (2014, Septiembre 15) Remote Monitoring Solutions [Online]. Disponible: https://wikileaks.org/spyfiles4/documents/FinSpy-Catalog.pdf

● Análisis Forense○ Metodos de infeccion

■ [1] The citizen Lab. (2012, Julio 25). From Bahrain With Love: FinFisher’s Spy Kit Exposed? [Online]. Disponible: https://citizenlab.org/2012/07/from-bahrain-with-love-finfishers-spy-kit-exposed/

■ [2] Digits. (2011, Noviembre 21). Surveillance Company Says It Sent Fake iTunes, Flash Updates [Online]. Disponible: http://blogs.wsj.com/digits/2011/11/21/surveillance-company-says-it-sent-fake-itunes-flash-updates-documents-show/

Referencias

30

● Análisis Forense○ Comportamiento del virus

■ [1] Coding and Security. (2014, Septiembre 19). FinFisher Malware Dropper Analysis [Online]. Disponible: https://www.codeandsec.com/FinFisher-Malware-Dropper-Analysis

■ [2] FinFucker (2014, Agosto 24). FinSpy analysis Round 1 [Online]. Disponible: https://finfcuker.wordpress.com/2012/08/

■ [3] WikiLeaks. (2010, Abril 05). Remote Monitoring & Infections Solutions [Online]. Disponible: https://wikileaks.org/spyfiles/files/0/289_GAMMA-201110-FinSpy.pdf

Referencias

31

● Conflicto Político○ Casos reales

■ [1] Morgan Marquis-Boire, Bill Marczak, Claudio Guarnieri, y John Scott-Railton. (2013, Marzo 13). You Only Click Twice: FinFisher’s Global Proliferation [Online]. Disponible: https://citizenlab.org/2013/03/you-only-click-twice-finfishers-global-proliferation-2/

■ [2] Claudio Guarnieri. (2012, Agosto 08). Analysis of the FinFisher Lawful Interception Malware [Online]. Disponible: https://community.rapid7.com/community/infosec/blog/2012/08/08/finfisher

■ [3] Shehab Hashem. (2011, Junio 12). About me [Online]. Disponible: http://acoockie.blogspot.com.es/p/about-me.html

■ [4] John Leyden, The Register (2011, Septiembre 21). UK firm denies supplying spyware to Mubarak's secret police [Online]. Disponible: http://www.theregister.co.uk/2011/09/21/egypt_cyber_spy_controversy/

■ [5] John Leyden, The Register (2011, Septiembre 21). UK firm denies supplying spyware to Mubarak's secret police [Online]. Disponible: https://www.f-secure.com/weblog/archives/00002114.html

■ [6] WikiLeaks. (2014, Septiembre 15) SpyFiles 4 [Online]. Disponible: https://wikileaks.org/spyfiles4/■ [7] Mikko Hypponen, F-Secure (2011, Marzo 08). Egypt, FinFisher Intrusion Tools and Ethics [Online]. Disponible:

http://www.theguardian.com/uk/2012/nov/28/offshore-company-directors-military-intelligence■ [8] John Glenday, The Drum (2013, Octubre 24). US spying row escalates as Angela Merkel claims personal mobile

phone was hacked [Online]. Disponible: http://www.thedrum.com/news/2013/10/24/us-spying-row-escalates-angela-merkel-claims-personal-mobile-phone-was-hacked

Referencias

32

● Conflicto Político○ Casos reales

■ [9] John McCarthy, The Drum (2014, Septiembre 16). Germany's Merkel hypocritical on online privacy with FinFisher spy malware exports, claims Julian Assange in latest Wikileak [Online]. Disponible: http://www.thedrum.com/news/2014/09/16/germanys-merkel-hypocritical-online-privacy-finfisher-spy-malware-exports-claims

■ [10] José Luis Lobo, El Confidencial (2013, Julio 05). ¿Nos espía Rajoy? El Gobierno escruta sin control judicial llamadas y correos electrónicos [Online]. Disponible: http://www.elconfidencial.com/espana/2013/07/05/nos-espia-rajoy-el-gobierno-escruta-sin-control-judicial-llamadas-y-correos-electronicos-124355

○ Legislación■ [1] Bloomberg. (2012, Diciembre 31). FinSpy Surveillance Tool Takes Over Computers [Online]. Disponible: http:

//www.bloomberg.com/video/finspy-surveillance-tool-takes-over-computers-jEyQ3lz_QwWSMWXFIAl28Q.html■ [2] National Conference of State Legislatures. (2013, Diciembre 13). State Spyware Laws [Online]. Disponible: http:

//www.ncsl.org/research/telecommunications-and-information-technology/state-spyware-laws.aspx■ [3] Arizona State Legislature (2013, Diciembre 13). Chapter 30 Computer Spyware, Article 1 General Provisions,

Prohibited activities; applicability. [Online]. Disponible: http://www.azleg.gov/FormatDocument.asp?inDoc=/ars/44/07302.htm&Title=44&DocType=ARS

■ [4] Fiscal General del Estado (2014, Julio 22). Actividad del Ministerio Fiscal, Capítulo III [Online]. Disponible: https://www.fiscal.es/fiscal/PA_WebApp_SGNTJ_NFIS/descarga/d4_v1c3.pdf?idFile=61f7b101-ff59-4bac-b944-5a630529be9f

Referencias

33

SpyFiles

FIB-UPC / SI 2014/12/15Javier Ferrer - Jaume López - Marc Vijfschaft

¿Preguntas?