Ponencias


Ponente Charla

REINVENTANDO LAS SECOPS: UNA APROXIMACIÓN PRÁCTICA

Auditorio principal - 31/01: 16:10-17:00

Durante la sesión se mostrará de manera práctica la necesidad de incorporar inteligencia de red, endpoint y cloud para poder ser efectivos en las tareas de detección y respuesta de amenazas, así como las ventajas de orquestar personas, procesos y tecnología a través de soluciones SOAR para los SOC de nueva generación

COMUNICÁNDOME CON EL ENEMIGO: EMOTET TRACKING

Auditorio principal - 31/01: 16:10-17:00
 
Emotet es uno de los malwares más activos en la actualidad, cada día se pueden encontrar nuevas campañas y nuevos binarios. Emotet es un downloader que puede descargar nuevos módulos con nuevas características.
Emotet también se utiliza para descargar malware de terceros en equipos infectados. En los últimos años se ha visto a Emotet distribuyendo malware como IceID, Trickbot y Ursnif.
Todos estos programas maliciosos tienen la capacidad de robar información bancaria de ordenadores infectados. Emotet consta de más de una botnet extendida por todo el mundo y todo el mundo esta pendiente de los movimientos de esta botnet, hasta el punto de que casi todos los días se publica un nuevo artículo que habla de Emotet.
En esta charla se estudiara la parte de comunicacion entre un sistema infectado con Emotet y los paneles de control de Emotet. Se explica en detalle como funciona el protocolo de red de Emotet y como es capaz de instalar nuevos modulos/malwares en un sistema comprometido.
Tambien se explicara una herramienta desarrollada por el author de la charla, que emula un host infectado por Emotet y es capaz de enviar peticiones "falsas" a los C&C de Emotet para obtener nuevas muestras en tiempo real y de esta forma poder trackear las botnet de Emotet.

SPOOFING TIRE PRESSURE MONITORING SYSTEMS (TPMS)

Auditorio principal - 31/01: 18:20-19:10
 
La charla versará sobre los TPMS (sensores de presión de ruedas y temperatura y/o velocidad en algunos casos) que de forma obligatoria, se están implantando en los nuevos vehículos fabricados en la UE y funcionando por radiofrecuencia (RF).
El objetivo será demostrar como dichos elementos, han sido considerados en los análisis de amenazas y riesgos actuales como de BAJA importancia cuando deben ser reconsiderados IMHO en los análisis TARA (Threat Analysis and Risk Assessments) de la norma SAE J3061 o futura normativa como ISO/SAE 21434 (Automotive Cybersecurity Standard) que verá la luz a finales de este año.
Las diferentes demostraciones permitirán ver como las principales marcas de fabricantes, se encuentran afectadas por diferentes vulnerabilidades. Una de ellas es la suplantación de cualquier sensor afectando al no repudio. Otra es la modificación "al vuelo" de cualquier parámetro transmitido -como por ejemplo una bajada de presión inmediata, lectura de temperatura anómala, sustitución del TPMS...- etc. Otra de ellas, incluso afecta a la disponibilidad ya que se pueden inhibir las señales originales, etc...

REALIDAD SINTÉTICA. AUTOMATIZANDO LA DETECCIÓN DE CONTENIDO (DEEP) FAKE

Auditorio principal - 31/01: 19:10-20:00
 
Uno de los pilares actuales de la ciberseguridad se apoya en los procedimientos para autenticar e identificar personas y contenidos.
En los últimos años el avance en tecnologías de big data e inteligencia artificial (especialmente en el uso de redes neuronales)
ha puesto en duda los mecanismos tradicionales para saber si una información es legítima o no. Casos como StyleGan, FaceSwap, Face2Face
o DeepFakes es un buen ejemplo de ello. En esta ponencia se hará un recorrido asequible por los avances en técnicas, algoritmos
y herramientas para la generación de contenido falso, típicamente audio, voz, texto y vídeo. Se abordará las soluciones disponibles
en ámbitos civiles, empresariales y gubernamentales (Ej, medifor DARPA), y se mostrará el framework de detección
opensource fakeVideoForensics (https://github.com/next-security-lab/fakeVideoForensics) desarrollado para los autores y de utilidad para la detección por parte de
investigadores, empresas y particulares sin necesidad de grandes conocimientos o recursos.

THREAT HUNTING: DE PRESAS A CAZADORES

Auditorio principal - 01/02: 10:00-10:50

El Threat Hunting nace con el objetivo de cambiar la postura reactiva para la gestión de nuestra seguridad, por una actitud proactiva de búsqueda de amenazas en nuestros entornos. Dejemos de ser presas para convertirnos en auténticos cazadores. El Threat Hunting es una actividad de defensa activa, basada en la búsqueda iterativa y proactiva a través de la red, con el fin de detectar y aislar amenazas avanzadas que están evadiendo las soluciones y controles de seguridad existentes.
En esta ponencia realizaremos un repaso rápido por la teoría del Threat Hunting y haremos unas demostraciones de como ejecutar nuestras primeras operaciones de caza, apoyándonos en herramientas Open Source para la identificación y detección de amenazas en base a hipótesis.

FORENSICS AGAINST THE CLOCK - FOSS DEVOPS FOR DFIR

Auditorio principal - 01/02: 10:50-11:40

There is a great FOSS community oaround DFIR tooling and great projects out there. There are also unique challenges to FOSS DFIR. A lot of the time features are documented only in source code, integration across tools isn't the best and most of the focus is placed on the extraction and carving aspects of DFIR work. In this talk we are going to brief the community on the absolute state of FOSS forensics and demo a proposed stack of tools with a focus on sniper forensics and analysis automation (as opposed to extraction/processing).

HACKING NFC

Auditorio principal - 01/02: 12:10-13:00

Harán un recorrido sobre algunas de las diferentes variantes y familias de smart cards y proximity cards más conocidas hablando sobre las debilidades, los diferentes tipos de ataque y vectores más utilizados.

H-ARSENAL: PARA VOSOTROS JUGADORES

Auditorio principal - 01/02: 13:00-13:50

En esta charla hablaremos sobre un par de aplicaciones que tenemos en el github de hackplayers. Veremos algunas funciones nuevas de Salsa-Tools, herramienta con la que podemos evadir la mayoria de antivirus, la cual presentamos en la h-c0n 2019.
Pero sobretodo, nos centraremos en Evil-WinRM. Herramienta que podemos usar para la post-explotacion en entornos que tengan Windows Remote Management.

0DAYS FOR DUMMIES

Auditorio principal - 01/02: 15:30-16:20

El objetivo de la charla es servir de introducción a las distintas técnicas que se pueden emplear para encontrar vulnerabilidades de tipo 0day en software Open Source (tanto a nivel estático cómo a nivel dinámico).
Durante la misma se mostrará también un ejemplo real de vulnerabilidad reciente encontrada, así como todo el proceso necesario para obtener un CVE para dicha vulnerabilidad.

SEGURIDAD EN DRONES. EL PROYECTO INTERCEPTOR.

Auditorio principal - 01/02: 16:20-17:10

“The Interceptor” es un nanodrone basado en la placa linux más pequeña del mercado: Vocore2. En esta charla analizaremos el recorrido para su diseño, programación, así como sus capacidades tanto de hacking, como para defenderse del mismo.
El proyecto “Interceptor” basa sus orígenes en el dron “Atropos”. Se trata de un dron diseñado con el mínimo número de componentes, mínimo tamaño, así como precio total (~35€), para formación en el funcionamiento de drones, y para realizar ataques a redes WiFi de forma automatizada. Se basa en la placa IoT Vocore2, y embarca un control de vuelo programado en C usando los drivers de linux correspondientes, a través del diseño de arquitectura DeviceTree.
También repasaremos posibles side channels alternativos para evadir sistemas antidron más sofisticados.

NEW THREAT RESEARCH

Auditorio principal - 01/02: 17:40-18:30

Group-IB is investigating targeted attack groups over more than a decade and published popular reports about groups like Cobalt, Lazarus, Silence, MoneyTaker and many more. This presentation will focus on a specific targeted attack group and its latest activities. The speaker will introduce the group, its modus operandi, TTPs and provide technical insights about the group's attacks.

FROM CRIMEWARE RANSOMWARE TO TARGETED RANSOMWARE - LET'S EVOLUTION THE ECOSYSTEM

Auditorio principal - 01/02: 18:30-19:20

El ransomware representa una de las mayores amenazas para las empresas y los usuarios finales. Sin embargo, recientemente, estamos viendo cómo las grandes familias de ransomware centradas en el área de cibercrimen han disminuído y las que se utilizan para realizar ataques dirigidos con diferentes objetivos (interrupción, robo de datos, distracción) han ido en aumento.
¿Qué tienen en común LockerGoga, MegaCortex, Hermes, Clop?
En incidentes recientes en el sector se ha observado que el ransomware fue la causa del ataque y se han podido extraer elementos comunes (TTP) con los que han atribuido (a veces incorrectamente) la atribución de algunas de estas familias.
En la charla, hablaremos sobre cómo ha disminuido el ransomware en el ecosistema del crimeware y cómo ha crecido el enfoque centrado en la empresa. También detallará el funcionamiento de estas familias, además de características únicas que no se observaron antes.

AUTORDPWN: THE SHADOW ATTACK FRAMEWORK

Track B - 31/01: 16:10-17:00

Este framework de post-explotación en PowerShell, ha sido creado y diseñado para automatizar el ataque Shadow en equipos Microsoft Windows. Esta vulnerabilidad, -catalogada como característica por Microsoft- permite un atacante remoto visualizar el escritorio de su víctima sin su consentimiento, e incluso, controlarlo a petición. Todo ello, a través de métodos nativos del sistema y de forma completamente sigilosa. En esta charla, repasaremos brevemente de los ataques a escritorio remoto más habituales y la gran diferencia que supone el ataque Shadow respecto a éstos. Posteriormente se realizarán diferentes demostraciones en directo, en las que se pondrán en práctica todas las funcionalidades de la herramienta. Algunas de ellas son las siguientes:
• Bypass de UAC, AMSI y Windows Defender
• Shell remota utilizando herramientas nativas del sistema y de terceros
• Obtención de hashes y pass the hash
• Ejecución remota sin credenciales a través de SMB, WMI y WinRM
• Ataque Shadow en diferentes sistemas operativos (tanto en versiones desktop como server)
• Varios (keylogger remoto, ejecución one-line, pivoting y más)

INTRODUCCIÓN A HACKING EN VEHÍCULOS, CAN BUS Y HACKING A INFOTAINMENT SYSTEMS

Track B - 31/01: 17:00-17:50

Llevamos utilizando coches más tiempo que el sol y, como todo, han evolucionado mucho tecnológicamente pero, ¿ha avanzado la seguridad en vehículos al mismo ritmo?
En esta charla nos centraremos brevemente en dos puntos fundamentales de todo vehículo de hoy en día:
- Infotainment systems: detección de vectores de ataque y threat modeling, intercepción de tráfico y opciones de emulación
- CAN bus: un vistazo al principal protocolo por el que se comunica un vehículo, sniffing y reversing de paquetes CAN, emuladores y cómo weaponizar CAN.

OT SECURITY

Track B - 31/01: 18:20-19:10

Durante los últimos años los dispositivos OT se han expuesto cada vez más a internet, los dispositivos IoT se han acercado a la progresivamente industria y esto ha hecho que nos encontremos con diferentes retos a los hora de proteger infraestructuras crítias. Durante la ponencia se explicará desde un punto de vista de seguridad las características de estos entornos así como diferentes enfoques para encontrar vulnerabilidades en los mismos.

UNDERSTANDING ACTIVE DIRECTORY ENUMERATION

Track B - 31/01: 19:10-20:00

La charla tiene como objetivo familiarizar al oyente con los entornos Active Directory, así como mostrar los puntos clave en su enumeración con el fin de aplicar todo ello a un Pentest o Red Team. Se verán temas como los siguientes:
- Estructura básica de Active Directory.
- Cómo aprovechar la suplantación de usuarios y con qué herramientas enumerar un dominio Active Directory desde diferentes perspectivas (Windows / Linux).
- Diferentes menciones a la seguridad operacional y datos a tener en cuenta al realizar una enumeración.
Actualmente existen muchas formas sencillas de enumerar este tipo de entornos sin tener realmente conocimientos de lo que sucede por detrás (Bloodhound), esta charla busca mostrar y aumentar el espectro de alternativas de un pentester con el fin de no depender exclusivamente de ellas.

BLACK FRAUDEY: DESTAPANDO REDES DE COMERCIOS ONLINE EN MODALIDAD CTRL-C, CTRL-V

Track Intel - 01/02: 10:00-10:50

El propósito de esta ponencia es destapar redes de comercios online fraudulentas permitiendo notificar a las entidades competentes para que ejecuten las acciones oportunas. Para este cometido será realizada una aproximación de como descubrir los indicadores de un sitio para extrapolarlo a gran escala. Una vez que tengamos claros los indicadores necesarios para identificar estos sitios, procederemos a crear una arquitectura distribuida que permita abordar el problema de forma eficiente.
En esta primera parte se pretende localizar un comercio que sepamos que está expuesto a posibles copias y falsificaciones. Localizaremos una de las webs de comercio electrónico que puedan parecer fraudulentas e indagaremos para sacar indicadores que nos puedan permitir escalar este ejercicio.
Una vez que conozcamos como identificar comercios online fraudulentos, procederemos a escalar y automatizar la solución para poner un índice de riesgo a cada página, pudiendo alertar a un usuario despistado que pudiera intentar comprar en este tipo de comercios sin saber que puede ser engañado. Para realizar la automatización utilizaremos herramientas que permitan la distribución de tareas, que ejecuten los procesos de extracción.

GÉNERO Y CIBERCRIMEN: ANÁLISIS DE RIESGOS MÁS HABITUALES Y HERRAMIENTAS PARA DEFENSA

Track Intel - 01/02: 10:50-11:40

Describir la dimensión de Género, los derechos humanos, riesgos y herramientas necesarias en caso de ser afectadas por algún cibercrimen

LAS LINEAS ROJAS DE LA CIBERSEGURIDAD

Track Intel - 01/02: 15:30-16:20

¿Se puede usar la ciberseguridad como arma preventiva? Los hackers, igual que los médicos o los arquitectos, trabajan con herramientas destinadas a proteger los activos intangibles más importantes de empresas y personas. Ante un ataque, ¿un hacker puede responder atacando? ¿Es defensa propia? ¿Es legal? Cada región tiene sus propias normas que definen las líneas dentro de las que un hacker puede operar. Veremos los principales vectores de riesgo y ayudaremos a definir mejor las líneas de la ciberseguridad que marcan la forma de este necesario escudo protector.

CIBERTERRORISMO

Track Intel - 01/02: 13:00-13:50

La presente charla pretende dar una visión real de cómo y de que mecanismos cuentan los terroristas en el ciberespacio para difundir sus mensajes propagandísticos, y como se combate desde la Cibeinteligencia. Se presentará parte de una investigación y análisis de la utilización de la aplicación Telegram por parte de los terroristas, así como del contenido difundido, desde una visión cuantitativa y cualitativa, que permitieron detectar elementos que nos han ayudado a diseñar nuevos modelos y sistemas que ayuden a los analistas en la extracción de información mediante la creación de un sistema proactivo de alerta temprana para la detección de indicios i/o indicadores, que permitan generar inteligencia, tanto en Telegram, como en otras redes sociales como Twitter, Facebook o Instagram.

TOR DEEP DIVE: ATTACKS AND COUNTERMEASURES

Track Intel - 01/02: 15:30-16:20

The Onion Router (TOR) has always been in the spotlight when new security vulnerabilities surfaced the cyber security world to threaten it's privacy promises.
During the talk, we are going to embark on a journey into some of the most or less common attacks to the Tor's network.
The talk will be practical and goal oriented as at the end of it you should have the knowledge and the tools to:
- create a private Tor network for research or development purposes
- have an understanding of several attacks to the Tor network and their countermeasures
- reproduce the HSDir snooping attack on a private Tor network for research purposes.

TÉCNICAS OSINT CON FINALIDADES DE INVESTIGACIÓN

Track Intel - 01/02: 16:20-17:10

Se mostrarán ejemplos prácticos en los que el uso de técnicas OSINT pueden resultar relevantes en procesos de investigación.

THE ART OF USING THREAT INTELLIGENCE TO IMPROVE YOUR SECURITY OPERATIONS

Track Intel - 01/02: 17:40-18:30

Topics:
• Why is it so important to do threat hunting in today’s expanding attack surface
• What are the latest tools and methodologies used by threat intelligence teams to automate and accelerate hunting
• How to gain visibility of targeted threats in your digital footprint eg. in the Internet, Deep-Web and Dark-Web
• How threat actors use leaked and sensitive data to target your organization and personnel
• How does an effective CTI strategy transform security operations, improve performance and reduce risk
• Case study

OBJETIVO FILIPINAS +63

Track Intel - 01/02: 18:30-19:20

En el transcurso de una ciberinvestigación donde tenemos un triángulo amoroso, acoso y amenazas de muerte, aparecen diferentes perfiles en diferentes redes sociales. El objetivo será utilizar las diferentes unidades de información para obtener la identidad real detrás de las diferentes identidades digitales que se mueven por todo el mundo, Italia, Emiratos Árabes, España o Filipinas. Analizaremos toda la información de los sujetos y veremos hasta donde se puede llegar técnicamente utilizando OSINT y otras técnicas.

AIRDROP, BLE Y WIFI SHARING: LO QUE PASA EN TU IPHONE NO SE QUEDA EN TU IPHONE

Planta 2 - 31/01: 16:10-17:00

Bluetooth Low Energy es una tecnología cada vez más popular. La irrupción de un protocolo de comunicación orientado a optimizar la autonomía de la batería ha hecho que el BLE haya sido adoptado rápidamente por infinidad de dispositivos IoT y Smartphones. Los productos de Apple no son una excepción, y es que han incorporado esta tecnología para diversas tecnologías y protocolos internos. Uno de los aspectos mas importantes del Bluetooth Low Energy es el “BLE Advertising”, elemento clave para regular el consumo de energía, que tiene como objetivo emitir paquetes con información al entorno. Y es que como atacantes nos podemos aprovechar de esa información, accesible a cualquiera que esté escuchando, para extraer información sensible de los dispositivos Apple como el estado en el que se encuentran (pantalla de bloqueo, pantalla principal, seleccionando red wifi, recibiendo llamadas…), si tienen ciertas características activas como (airdrop, bluetooth), si varios dispositivos pertenecen a la misma persona o incluso el número de teléfono si el usuario decide hacer uso del protocolo Airdrop, destinado a compartir información con una mezcla de BLE y WiFi. En la charla presentaremos una forma de automatizar todo este proceso y una herramienta de visualización de los datos obtenidos.

PASEANDO POR LA MEMORIA DE UN ANDROID

Planta 2 - 31/01: 17:00-17:50

POC: Preparación desde el paso cero para compilar el kernel de Android hasta conseguir generar un profile para volatility y permitirnos volcar y analizar la memoria dinámica de un dispositivo virtual (aplicable a dispositivos físicos)