In red-team exercises or offensive tasks, payload masking is often done using steganography, especially to bypass network-level protections, with executables and powershell scripts being one of the most common payloads. Examples of recent malware and APTs that make use of some of these capabilities are: Lazarus/APT37, OceanLotus/APT32, Ke3chang/APT15, BRONZE BUTLER, Dukes/APT29, Turla, Platinum APT, Tropic Trooper, OilRig, MuddyWater, MyKings, Magecart, Duqu, Ursnif, Powload, Lokibot, IceID, MT3, DarkTrack, DarkComet, Zeus/ZBerp, RainDrop/SolarWinds, UNC2452/APT-29, TA551 - IceID/Shathak, etc.
In this talk we will show the main steganography techniques used in some of the modern APTs, mainly end-of-file and image structure techniques, HTML/CSS/PHP steganography, and the different variants of the LSB (least significant bit) technique. This information will allow us to identify steganographic TTPs to detect this elusive attack vector.
Alfonso Muñoz
PhD in Telecommunications Engineering by Technical University of Madrid (UPM) and postdoc researcher in network security by Universidad Carlos III de Madrid (UC3M). He is a cybersecurity Tech Lead for more than 18 years and has published more than 60 academic publications (IEEE, ACM, JCR, hacking conferences…), books, patents and computer security tools. He has also worked in advanced projects with European Organisms, public bodies and multinational companies (global 500). For over a decade, he has been involved in security architecture design, penetration tests, forensic analysis, mobile and wireless environments, and information security research (leading technical and scientific teams). Alfonso frequently takes part as a speaker in hacking conferences (STIC CCN-CERT, DeepSec, HackInTheBox, Virus Bulletin, Ekoparty, BlackHat Europe, BSIDES Panama, RootedCon, 8.8, Cybersecurity Summer Bootcamp INCIBE, No cON Name, GSICKMinds, C1b3rwall academy, Cybercamp, Secadmin, JNIC, Ciberseg,X1RedMasSegura, Navaja Negra, T3chfest, Shellcon, H-c0n...) and commercial and academic security conferences (+60 talks). He is certified by CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), CEHv8 (Certified Ethical Hacker), CHFIv8 (Computer Hacking Forensic Investigator), OSWP (Offensive Security Wireless Professional), CES (Certified Encryption Specialist) and CCSK (Certificate of Cloud Security Knowledge). Several academic and professional awards (Hall Fame Google,...). Professor in several Universities. He is co-editor of the Spanish Thematic Network of Information Security and Cryptography (CRIPTORED), where he develops and coordinates several projects about cybersecurity and advanced training, with great impact in Spain and Latam.
Una de las áreas de conocimiento que más resistencia genera en el ámbito de la ciberseguridad es el Reversing. Aunque es una materia atractiva y que llama la atención a mucha gente, cuando se acercan a ella muchos desisten y abandonan prematuramente. Esto es porque es una materia compleja a la que hay que llegar con un background técnico previo. La aproximación a ella sin esos requisitos previos resulta demasiado frustrante y como consecuencia se produce el abandono.
Mi experiencia formativa en este área me ha llevado a crear una hoja de ruta con los elementos imprescindibles para poder abordar con garantías el proceso de aprendizaje de reversing.
En la conferencia explico el recorrido que considero más adecuado para poder abordar la disciplina del reversing de malware en un tiempo muy razonable.
En la charla se realiza un rápido repaso de los elementos esenciales para abordar el reversing de malware de forma solvente.
Se realizará la parte práctica mostrando las siguientes Tools: radare2, Cutter, Immunity Debugger
Abraham Pasamar
Abraham Pasamar es Ingeniero Superior y Master en Seguridad de la Información. Es CEO y fundador de la empresa INCIDE, especializada en DFIR y Offensive Security. Cuenta con más de 15 años de experiencia como Incident Responder y Analista Forense. Ha participado en cientos de investigaciones forenses e incidentes de seguridad. Es profesor en postgrados, masters y otros cursos especialistas en diversas Universidades, entre otras, Universidad Politécnica de Catalunya (UPC), Instituto Empresa (IE), Universidad Internacional de Valencia (VIU), Universidad de Barcelona, Universidad Internacional de Catalunya. Es habitual colaborador en la difusión y concienciación de ciberseguridad en diversos medios de comunicación. Ha sido ponente en diversas conferencias de seguridad, entre otras, RootedCON, r2CON, ShellCON, Navaja Negra, No cON Name, ConectaCON, SnowCON.
Llevamos 30 años conviviendo con el malware y unos 20 con su versión menos lúdica y más orientada al lucro. Soportamos desde hace unos 10 años la ciberguerra. Desde hace unos cinco, hemos sufrido el impacto del ransomware en toda nuestra vida cotidiana ultradigitalizada y descuidada.
Es muy ingenuo pensar que no lo hemos visto venir: primero al convertido todo en software, después al otorgarle todo el poder y finalmente al volvernos dependientes. ¿Cómo no va a ser el software el objetivo más preciado de los ataques? ¿Hemos evolucionado en nuestra actitud y defensas de forma acorde a estas concesiones otorgadas al mundo digital? Está claro que el malware ha cambiado, pero ¿lo hemos hecho nosotros? ¿Cómo nos ha impactado su evolución? ¿Hemos aprendido algo? ¿Hemos tirado la toalla? ¿Cómo lo están sobrellevando los diferentes actores de la industria?
El malware ha cambiado y nos ha cambiado en algunos aspectos para bien, otros para mal y en otros estamos exactamente igual que hace 20 años. Vamos a ofrecer los ejemplos más significativos de cada caso, un histórico de referencias técnicas de malware (sin ejercicios de nostalgia), su impacto entonces y situaciones análogas recientes para analizar la evolución de la industria. Cómo lo hicimos entonces y cómo reaccionamos ahora.
Sergio de los Santos
Actualmente es director del área de innovación y laboratorio de Telefónica Tech. De 2005 a 2013 ha sido consultor técnico en Hispasec, responsable de antifraude, alertas de vulnerabilidades y de la publicación sobre seguridad más veterana en español. Desde 2000 ha trabajado como auditor y coordinador técnico, escrito un libro sobre la historia de la seguridad y tres más técnicos sobre hacking y seguridad Windows. Es informático de sistemas por la Universidad de Málaga donde también ha cursado un máster en ingeniería del software e inteligencia artificial en 2015. Ha sido galardonado de 2013 a 2018 con el premio Microsoft MVP Consumer Security e imparte clases del máster de seguridad TIC en la Universidad de Sevilla. Dirige los másteres en ciberseguridad y revsersing de la UCAM.
El theremin, el instrumento que se toca sin tocar, el antepasado directo de los sintetizadores modernos, un aparato que ha fascinado generación tras generación desde su invención y que el año pasado celebró el centenario desde su invención en 1920. Su sonido misterioso está bien arraigado en la cultura popular
En esta charla se podrá conocer la sorprendente historia de su inventor Leon Theremin, un genio que destacó no solo como inventor de sorprendentes instrumentos sino también de aparatos y prototipos que se han utilizado posteriormente en el desarrollo de alarmas y también en labores de espionaje. Se tratará la evolución del instrumento a través del cine, la música, la televisión y la publicidad y también se podrá descubrir sus infinitas posibilidades como generador de sonidos casi inimaginables, así como su versatilidad como instrumento musical en sentido estricto. A través de una breve demostración práctica se abordarán las nociones básicas de la digitación aérea, una técnica casi mágica para lograr encontrar música moviendo los dedos en el campo electromagnético que rodea las antenas del theremin. Todo ello de la mano del thereminista Javier Díez Ena
Javier Díez-Ena
Javier Díez-Ena (Zaragoza, 1974) soy músico (contrabajista, thereminista, bajista, músico electrónico…) y periodista. Miembro de los grupos Dead Capo, L’Exotighost, Ginferno y Forastero, he formado parte de Insecto y de Phono en los 90 y de las bandas de Ainara LeGardon (2006-2009) y Aaron Thomas (2007-2011). Además he colaborado en estudio y/o directo con gente como Hyperpotamus, Standstill, Damo Suzuki (Can), Víctor Coyote, Javier Corcobado, Julio de la Rosa, Javier Colis, Toundra, Økapi, Shane Cooper, SAThecollective, Brian Bamanya, Yazan Sarayrah, Ajo, Bruno Galindo, Los Caballos de Düsseldorf, Eh! , Susana Cáncer, Clint, Strand, Az Rotator, Javi Álvarez, That Crooner From Nowhere, Biodramina Mood, Alondra Bentley, Lava, Juan Belda, Mathis Haug etc. En total he participado en más de una treintena de referencias discográficas y bastante más de medio millar de conciertos. Fuí uno de los fundadores en 2001 del sello discográfico Pueblo Records (Dead Capo, Lava, Strand, Mathis & The Mattematiks, Insecto, Aberraciones Telescópicas, Carlos Timón etc.).
Santiago Anaya
Global Head of Cybersecurity Detect Practice en SIA, an Indra company
Fernando Quintanar
Global Head of Cybersecurity Specialized Delivery en SIA, an Indra company
Blanca Fernández de Córdoba
Arquitecta de seguridad en Capgemini (lo cual es una gran suerte) Empecé en ciberseguridad por rebote viniendo del mundo de la música y las matemáticas y descubrí mi pasión. Tengo mas de 100 certificaciones en diferentes metodologías y fabricantes. De pequeña me gustaba construir cosas con lego y buscarles los puntos débiles y ahora hago lo mismo pero en su versión digital.
Jorge Hidalgo
Jorge Hidalgo a.k.a. deors es responsable del dominio de Arquitectura, DevOps y Ciberseguridad en el Advanced Technology Center de Accenture en España. Desde su grupo se combina todo el potencial de arquitecturas en la nube, plataformas de contenedores y fullstack políglota con las buenas prácticas que promueve DevOps y ciberseguridad, ayudando a nuestros clientes a transformarse y mejorar continuamente. En su tiempo libre le gusta dedicar “ciclos de CPU” a compartir experiencias y quizá ayudar a despertar alguna vocación tecnológica, ya sea colaborando con organizaciones educativas, horas de código, charlas en meetups o conferencias técnicas. Puedes seguir su actividad en su blog deors.wordpress.com y en twitter @deors314.
Nicolás Moral de Aguilar
Nicolás Moral es Ingeniero Informático y Máster en Ciberseguridad y Privacidad. Colabora activamente con Flu-Project a través de la publicación de diversos artículos e investigaciones relacionados con seguridad en redes y comunicaciones, pentesting, reversing, steganografía e IoT, entre otros temas. Comenzó su etapa profesional trabajando como auditor técnico en Zerolynx, con una trayectoria enfocada principalmente a la securización de entornos bancarios. Actualmente, desarrolla labores de pentesting en INGENIA (a BABEL Company), poniendo a prueba la ciberseguridad de importantes organizaciones de sector público y privado, a nivel nacional e internacional. Fue premiado en los IV Premios ESET Periodismo y Divulgación en seguridad informática por su artículo relacionado con el cifrado de archivos generando la contraseña a partir de notas musicales. Su otra pasión es justo esa: la música. Toca el piano, la guitarra y la batería, además de componer, y de ahí que buena parte de su labor investigadora y publicaciones busquen relacionar la ciberseguridad con el trasfondo científico que hay en la teoría musical.
In red-team exercises or offensive tasks, payload masking is often done using steganography, especially to bypass network-level protections, with executables and powershell scripts being one of the most common payloads. Examples of recent malware and APTs that make use of some of these capabilities are: Lazarus/APT37, OceanLotus/APT32, Ke3chang/APT15, BRONZE BUTLER, Dukes/APT29, Turla, Platinum APT, Tropic Trooper, OilRig, MuddyWater, MyKings, Magecart, Duqu, Ursnif, Powload, Lokibot, IceID, MT3, DarkTrack, DarkComet, Zeus/ZBerp, RainDrop/SolarWinds, UNC2452/APT-29, TA551 - IceID/Shathak, etc.
In this talk we will show the main steganography techniques used in some of the modern APTs, mainly end-of-file and image structure techniques, HTML/CSS/PHP steganography, and the different variants of the LSB (least significant bit) technique. This information will allow us to identify steganographic TTPs to detect this elusive attack vector.
Alfonso Muñoz
PhD in Telecommunications Engineering by Technical University of Madrid (UPM) and postdoc researcher in network security by Universidad Carlos III de Madrid (UC3M). He is a cybersecurity Tech Lead for more than 18 years and has published more than 60 academic publications (IEEE, ACM, JCR, hacking conferences…), books, patents and computer security tools. He has also worked in advanced projects with European Organisms, public bodies and multinational companies (global 500). For over a decade, he has been involved in security architecture design, penetration tests, forensic analysis, mobile and wireless environments, and information security research (leading technical and scientific teams). Alfonso frequently takes part as a speaker in hacking conferences (STIC CCN-CERT, DeepSec, HackInTheBox, Virus Bulletin, Ekoparty, BlackHat Europe, BSIDES Panama, RootedCon, 8.8, Cybersecurity Summer Bootcamp INCIBE, No cON Name, GSICKMinds, C1b3rwall academy, Cybercamp, Secadmin, JNIC, Ciberseg,X1RedMasSegura, Navaja Negra, T3chfest, Shellcon, H-c0n...) and commercial and academic security conferences (+60 talks). He is certified by CISA (Certified Information Systems Auditor), CISSP (Certified Information Systems Security Professional), CEHv8 (Certified Ethical Hacker), CHFIv8 (Computer Hacking Forensic Investigator), OSWP (Offensive Security Wireless Professional), CES (Certified Encryption Specialist) and CCSK (Certificate of Cloud Security Knowledge). Several academic and professional awards (Hall Fame Google,...). Professor in several Universities. He is co-editor of the Spanish Thematic Network of Information Security and Cryptography (CRIPTORED), where he develops and coordinates several projects about cybersecurity and advanced training, with great impact in Spain and Latam.
Una de las áreas de conocimiento que más resistencia genera en el ámbito de la ciberseguridad es el Reversing. Aunque es una materia atractiva y que llama la atención a mucha gente, cuando se acercan a ella muchos desisten y abandonan prematuramente. Esto es porque es una materia compleja a la que hay que llegar con un background técnico previo. La aproximación a ella sin esos requisitos previos resulta demasiado frustrante y como consecuencia se produce el abandono.
Mi experiencia formativa en este área me ha llevado a crear una hoja de ruta con los elementos imprescindibles para poder abordar con garantías el proceso de aprendizaje de reversing.
En la conferencia explico el recorrido que considero más adecuado para poder abordar la disciplina del reversing de malware en un tiempo muy razonable.
En la charla se realiza un rápido repaso de los elementos esenciales para abordar el reversing de malware de forma solvente.
Se realizará la parte práctica mostrando las siguientes Tools: radare2, Cutter, Immunity Debugger
Abraham Pasamar
Abraham Pasamar es Ingeniero Superior y Master en Seguridad de la Información. Es CEO y fundador de la empresa INCIDE, especializada en DFIR y Offensive Security. Cuenta con más de 15 años de experiencia como Incident Responder y Analista Forense. Ha participado en cientos de investigaciones forenses e incidentes de seguridad. Es profesor en postgrados, masters y otros cursos especialistas en diversas Universidades, entre otras, Universidad Politécnica de Catalunya (UPC), Instituto Empresa (IE), Universidad Internacional de Valencia (VIU), Universidad de Barcelona, Universidad Internacional de Catalunya. Es habitual colaborador en la difusión y concienciación de ciberseguridad en diversos medios de comunicación. Ha sido ponente en diversas conferencias de seguridad, entre otras, RootedCON, r2CON, ShellCON, Navaja Negra, No cON Name, ConectaCON, SnowCON.
Llevamos 30 años conviviendo con el malware y unos 20 con su versión menos lúdica y más orientada al lucro. Soportamos desde hace unos 10 años la ciberguerra. Desde hace unos cinco, hemos sufrido el impacto del ransomware en toda nuestra vida cotidiana ultradigitalizada y descuidada.
Es muy ingenuo pensar que no lo hemos visto venir: primero al convertido todo en software, después al otorgarle todo el poder y finalmente al volvernos dependientes. ¿Cómo no va a ser el software el objetivo más preciado de los ataques? ¿Hemos evolucionado en nuestra actitud y defensas de forma acorde a estas concesiones otorgadas al mundo digital? Está claro que el malware ha cambiado, pero ¿lo hemos hecho nosotros? ¿Cómo nos ha impactado su evolución? ¿Hemos aprendido algo? ¿Hemos tirado la toalla? ¿Cómo lo están sobrellevando los diferentes actores de la industria?
El malware ha cambiado y nos ha cambiado en algunos aspectos para bien, otros para mal y en otros estamos exactamente igual que hace 20 años. Vamos a ofrecer los ejemplos más significativos de cada caso, un histórico de referencias técnicas de malware (sin ejercicios de nostalgia), su impacto entonces y situaciones análogas recientes para analizar la evolución de la industria. Cómo lo hicimos entonces y cómo reaccionamos ahora.
Sergio de los Santos
Actualmente es director del área de innovación y laboratorio de Telefónica Tech. De 2005 a 2013 ha sido consultor técnico en Hispasec, responsable de antifraude, alertas de vulnerabilidades y de la publicación sobre seguridad más veterana en español. Desde 2000 ha trabajado como auditor y coordinador técnico, escrito un libro sobre la historia de la seguridad y tres más técnicos sobre hacking y seguridad Windows. Es informático de sistemas por la Universidad de Málaga donde también ha cursado un máster en ingeniería del software e inteligencia artificial en 2015. Ha sido galardonado de 2013 a 2018 con el premio Microsoft MVP Consumer Security e imparte clases del máster de seguridad TIC en la Universidad de Sevilla. Dirige los másteres en ciberseguridad y revsersing de la UCAM.
El theremin, el instrumento que se toca sin tocar, el antepasado directo de los sintetizadores modernos, un aparato que ha fascinado generación tras generación desde su invención y que el año pasado celebró el centenario desde su invención en 1920. Su sonido misterioso está bien arraigado en la cultura popular
En esta charla se podrá conocer la sorprendente historia de su inventor Leon Theremin, un genio que destacó no solo como inventor de sorprendentes instrumentos sino también de aparatos y prototipos que se han utilizado posteriormente en el desarrollo de alarmas y también en labores de espionaje. Se tratará la evolución del instrumento a través del cine, la música, la televisión y la publicidad y también se podrá descubrir sus infinitas posibilidades como generador de sonidos casi inimaginables, así como su versatilidad como instrumento musical en sentido estricto. A través de una breve demostración práctica se abordarán las nociones básicas de la digitación aérea, una técnica casi mágica para lograr encontrar música moviendo los dedos en el campo electromagnético que rodea las antenas del theremin. Todo ello de la mano del thereminista Javier Díez Ena
Javier Díez-Ena
Javier Díez-Ena (Zaragoza, 1974) soy músico (contrabajista, thereminista, bajista, músico electrónico…) y periodista. Miembro de los grupos Dead Capo, L’Exotighost, Ginferno y Forastero, he formado parte de Insecto y de Phono en los 90 y de las bandas de Ainara LeGardon (2006-2009) y Aaron Thomas (2007-2011). Además he colaborado en estudio y/o directo con gente como Hyperpotamus, Standstill, Damo Suzuki (Can), Víctor Coyote, Javier Corcobado, Julio de la Rosa, Javier Colis, Toundra, Økapi, Shane Cooper, SAThecollective, Brian Bamanya, Yazan Sarayrah, Ajo, Bruno Galindo, Los Caballos de Düsseldorf, Eh! , Susana Cáncer, Clint, Strand, Az Rotator, Javi Álvarez, That Crooner From Nowhere, Biodramina Mood, Alondra Bentley, Lava, Juan Belda, Mathis Haug etc. En total he participado en más de una treintena de referencias discográficas y bastante más de medio millar de conciertos. Fuí uno de los fundadores en 2001 del sello discográfico Pueblo Records (Dead Capo, Lava, Strand, Mathis & The Mattematiks, Insecto, Aberraciones Telescópicas, Carlos Timón etc.).
Santiago Anaya
Global Head of Cybersecurity Detect Practice en SIA, an Indra company
Fernando Quintanar
Global Head of Cybersecurity Specialized Delivery en SIA, an Indra company
Blanca Fernández de Córdoba
Arquitecta de seguridad en Capgemini (lo cual es una gran suerte) Empecé en ciberseguridad por rebote viniendo del mundo de la música y las matemáticas y descubrí mi pasión. Tengo mas de 100 certificaciones en diferentes metodologías y fabricantes. De pequeña me gustaba construir cosas con lego y buscarles los puntos débiles y ahora hago lo mismo pero en su versión digital.
Jorge Hidalgo
Jorge Hidalgo a.k.a. deors es responsable del dominio de Arquitectura, DevOps y Ciberseguridad en el Advanced Technology Center de Accenture en España. Desde su grupo se combina todo el potencial de arquitecturas en la nube, plataformas de contenedores y fullstack políglota con las buenas prácticas que promueve DevOps y ciberseguridad, ayudando a nuestros clientes a transformarse y mejorar continuamente. En su tiempo libre le gusta dedicar “ciclos de CPU” a compartir experiencias y quizá ayudar a despertar alguna vocación tecnológica, ya sea colaborando con organizaciones educativas, horas de código, charlas en meetups o conferencias técnicas. Puedes seguir su actividad en su blog deors.wordpress.com y en twitter @deors314.
Nicolás Moral de Aguilar
Nicolás Moral es Ingeniero Informático y Máster en Ciberseguridad y Privacidad. Colabora activamente con Flu-Project a través de la publicación de diversos artículos e investigaciones relacionados con seguridad en redes y comunicaciones, pentesting, reversing, steganografía e IoT, entre otros temas. Comenzó su etapa profesional trabajando como auditor técnico en Zerolynx, con una trayectoria enfocada principalmente a la securización de entornos bancarios. Actualmente, desarrolla labores de pentesting en INGENIA (a BABEL Company), poniendo a prueba la ciberseguridad de importantes organizaciones de sector público y privado, a nivel nacional e internacional. Fue premiado en los IV Premios ESET Periodismo y Divulgación en seguridad informática por su artículo relacionado con el cifrado de archivos generando la contraseña a partir de notas musicales. Su otra pasión es justo esa: la música. Toca el piano, la guitarra y la batería, además de componer, y de ahí que buena parte de su labor investigadora y publicaciones busquen relacionar la ciberseguridad con el trasfondo científico que hay en la teoría musical.