Ponencias

SE MUESTRAN LAS PONENCIAS DEL 2019  
En cuanto se cierre el CFP actualizaremos las del 2020.
 
visitante@hackplayers:~$ cat ponencias.md
 
Viernes 8 - Febrero
 
Malware crackingPor Markel

LokiBot es una familia de malware categorizada como infostealer. Apareció a mediados de 2015 y aún hoy en día se distribuye masivamente. El actor de LokiBot comenzó a vender este malware en muchos foros no/underground.

El actor estaba actualizando muy a menudo las funcionalidades de LokiBot hasta 2017, cuando se lanzó la última versión de LokiBot (LokiBot v2). Al analizar las muestras de LokiBot utilizadas en las últimas campañas, es posible encontrar comportamientos muy extraños. Hay paneles de control que nunca se utilizan, no tiene persistencia, nunca se usan paneles de control iguales en todas estas muestras ...

Después de un análisis profundo del código, se demostrará cómo estas muestras fueron modificadas por un actor tercero que estaba vendiendo un LokiBot más barato que la versión original, el secuestro de malware.

Se mostrará cómo se realizó el parche, cómo ese parche creó un error en todas las muestras de LokiBot utilizadas en las campañas más recientes y cómo estas muestras de LokiBot están relacionadas con la versión original de LokiBot.

Además, mostraré 2 herramientas que escribí. Una de estas herramientas es una herramienta para desinfectar un sistema infectado con LokiBot y la otra es un script de Python capaz de generar nuevas muestras de LokiBot con paneles de control personalizados. El script de Python puede parchear muestras de la versión modificada de LokiBot y corregir el error generado por la modificación realizada por el tercer actor.



 
Proceso de Threat Intelligence en AlienLabsPor Santiago Cortés

Ejemplo práctico de cómo hemos aplicado el proceso de Threat Intelligence a la creación y gestión de firmas de red en AlienLabs. Un repaso a las decisiones que hemos tomado, qué servicios hemos conseguido automatizar, cuáles se han simplificado y algunos problemas que se encuentran al enfrentar soluciones teoricas/academicas de clustering y hunting con todas las excepciones y anomalías que pasan por nuestras redes..


 
Red Teaming with Security DescriptorsPor Roberto López y Daniel López

El objetivo principal de esta charla es explicar cómo elevar privilegios en dominios Windows a través de técnicas basadas en descriptores de seguridad o security descriptors. Estas técnicas son poco conocidas y utilizadas actualmente pero tremendamente útiles en grandes compañías con inmensos Directorios Activos.


 
Hacking Wireless con AirgeddonPor Oscar Alfonso
Hablará de los vectores de ataque típicos en redes inalámbricas. Malas prácticas y buenas prácticas a la hora de configurar puntos de acceso wifi. Todo ello basado en la herramienta airgeddon.

Tool wrapper open source que él mismo ha desarrollado junto a unos colaboradores para hacer el hacking wireless más sencillo y ahorrar tiempo durante las auditorías:

https://github.com/v1s1t0r1sh3r3/airgeddon




Sábado 9 - Febrero
 
La Pastilla Roja/Azul del cloud.Por Lórien Doménech y Kneda

Todo puede pasar en un entorno cloud y lo veremos en un  reto que hemos planteado: 6 horas para vulnerar un entorno cloud totalmente actualizado y 6 horas para el forense. ¿Quién ganará? El público decide...




 
Manipulación de WhatsApp en AndroidPor Pablo Espada

Otros compañeros de la profesión han mostrado cómo manipular mensajes de Whatsapp en Android teniendo acceso como "root" al dispositivo. Esto hace que cualquier perito que encuentre un móvil "rooteado", pueda poner en duda la integridad de los mensajes.

En esta charla, además de repasar los conceptos básicos de Whatsapp desde un punto de vista forense (algo que ya se ha hecho en charlas como la de Manu Guerra en Cybercamp 2017), explicaré cómo utilizando un segundo teléfono (este sí que estará "rooteado") podemos manipular los mensajes de Whatsapp sin necesidad de manipular el teléfono original, lo que hará que dicha manipulación resulte indetectable para cualquier perito.

La técnica se basa en el uso de las copias de seguridad locales encriptadas, que pueden ser desencriptadas en otro teléfono siempre que podamos acceder a la llamada o al SMS utilizado como 2FA. Aprovechando esto, extraeremos la BBDD de Whatsapp en abierto en nuestro teléfono auxiliar, pudiendo manipular los mensajes y devolviéndolos luego al teléfono original, de nuevo a través de una copia de seguridad.

Creo que esta técnica no es nada especial, ni requiere unos conocimientos exahustivos para realizarla, pero no he encontrado que haya sido mostrada en ningún artículo técnico, y por eso me ha parecido que puede ser interesante para una charla.



 
Stranger Internet of ThingsPor Manu García y Jose Manuel Moreno

Esta investigación se centrará en la realización de un análisis avanzado de seguridad de distintos dispositivos IoT presentes en una de las Web de venta más importantes a nivel mundial, aliexpress.com.

Uno de los resultados que se esperan de esta investigación es la obtención de evidencias que demuestren, cómo este tipo de dispositivos pueden vulnerar la privacidad de aquellas personas que los adquieran, principalmente dispositivos provenientes de empresa Chinas.

Además, y para ampliar la visibilidad sobre el estado de seguridad de estos dispositivos, se realizará un análisis de dispositivos IoT presentes en el mercado actual, realizando pruebas de concepto con los dispositivos adquiridos en directo en la presentación.

Durante la investigación hemos detectado distintos fallos de seguridad en todos los dispositivos IoT analizado, en total 3, donde a través de manipulaciones de parámatros o ataques de red, podíamos alterar el uso de estos dispositivos e incluso acceder a otros modelos similares conectados a Internet.

Además fue posible evidenciar la falta de privacidad de los usuarios de estos dispositivos ya que se detectó la inclusión de puertas traseras y envío de información del usuaro al fabricante.

Esta charla constará de varias Demos donde se muestre en vivo, las vulnerabilidades y fallos de seguridad y privacidad que hemos encontrado.

 
Inmersión en la explotación tiene rimaPor Luis Vacas

En esta charla nos sumergiremos en la postexplotación y veremos diversas técnicas para bypassear el antivirus.

Además presentaré Salseo-Loader.exe, Encripter-Assembly y Evil-Salsa.dll. Estas herramientas son las que usaremos para evadir el antivirus y en la que nos apoyaremos para la postexplotación en Windows.




 

Tunneling like a bossPor José Boix y Luis Miguel Cerrato

¿Qué hacer cuando se ha conseguido un blind RCE o una Webshell en un sistema y se quiere obtener una shell interactiva y después pivotar hacia la red interna? Esta es una pregunta recurrente y que en cada caso encontramos una respuesta diferente. Se expondrán todo tipo de técnicas para poder conseguir este objetivo, recreando distintos escenarios variando el nivel de complejidad de la red, impidiendo utilizar técnicas convencionales de tunneling y pivoting. El principal objetivo de la presentación es otorgar al público los conocimientos necesarios para poder adaptarse a diferentes escenarios y conocer distintas técnicas para desenvolverse en él, para comprometer la red interna evadiendo mecanismos de defensa.




 
iBombShell: pen testing everywhere and every systemPor Pablo González y Alvaro Nuñez

La irrupción de PowerShell en la post-explotación de los procesos de pentesting es importante. Su flexibilidad, sus posibilidades y su potencia hacen de la línea de comandos de Microsoft una herramienta muy eficaz a la hora de aprovechar la post-explotación. En algunos escenarios, la no posibilidad de contar con herramientas de pentesting o no poder instalarlas hace que PowerShell cobre una mayor relevancia. iBombShell proporciona acceso a un repositorio de pentesting con el que el pentester puede utilizar cualquier función orientada a la post-explotación y, en algunos casos, explotación de vulnerabilidades y aprovechamiento de debilidades. iBombShell es una shell de pentesting remota que se carga dinámicamente en memoria poniendo miles de posibilidades al alcance del pentester. iBombShell es una herramienta innovadora de ataque, la cual propone un modelo distinto funcionando únicamente en memoria y utilizando Github cómo “workspace”. Las funciones que se van necesitando se descargan únicamente a memoria. Los modos EveryWherey Silently completan las posibilidades de la herramienta.

En esta charla se muestra la innovación de la herramienta y el escenario en el que un pentester no dispone de herramientas o está trabajando en un entorno en el que no puede instalar nada. Hoy en día, todos los sistemas Windows disponen de Powershell, por lo que disponen de iBombShell. Con esta shell de pentesting se puede ir descargando diferentes funcionalidades, en función de cuando se necesiten. Sin tocar disco. El modo normal o EveryWherepermite al pentester disponer de un prompten cualquier máquina y en cualquier instante, gracias a Github y la lógica aplicada.

El modo Silentlypermite al pentester inyectar una instancia de iBombShell en un proceso de explotación de vulnerabilidades y controlarlo remotamente. Siempre directo a memoria, sin pasar por disco. Esto permite completar las posibilidades dentro de la fase de post-explotación que ofrece la herramienta.

En la charla se muestran escenarios reales, y actuales, de pentesting dónde iBombShell trabaja y aporta frescura a los diferentes procesos de un pentest. La mayor parte de la charla es práctica. Mostrando diferentes escenarios y usos de la herramienta: recopilación de información, extracción de contraseñas, movimiento lateral, bypass de UAC, e, incluso, la ejecución en sistemas operativos como macOS y Linux de iBombShell gracias a Powershell Every System.



 
COVCOM: de la Grecia clásica al yihadismo islamistaPor David Marugán

La charla tratará de hacer un recorrido histórico por los métodos de comunicaciones encubiertas utilizadas por servicios de inteligencia y todo tipo de redes clandestinas, haciendo especial hincapié en las comunicaciones vía radio. Se mostrará una PoC de un dispositivo Short range agent communications (SRAC) casero para intentar evadir la detección (concepto de low probability of intercept o LPI) por parte de los adversarios o unidades de contrainteligencia.


 
TOR DIYPor David Santos

Introducción a funcionamiento interno de TOR para posteriormente mostrar como montar una red tor aislada de tor pública y las vicisitudes con los ISPs. Finalmente mostrar como emplearla como entorno de laboratorio para realizar ataques/pruebas en nodos de salida.