Hidden Networks:

¿Controlas todas las redes

de tu organización?
Pablo González
@pablogonzalezpe
Fran Ramírez
@cyberhadesblog @cybercaronte
 Whoami
Ingeniero Informático & Máster Seguridad Informática
Co-fundador de Flu Project
2009 – 2013 Informática 64
2013 - ?? Eleven Paths (Telefónica)
Security MVP Microsoft 2017-2019

Algunos libros (0xWord):

Metasploit para pentesters
Pentesting con Kali
Ethical Hacking
Got Root
Pentesting con Powershell
 Whoami
Ingeniero/Grado en Informática de Sistemas, Técnico Superior en Electrónica
Digital y Máster en Seguridad Informática con más de 15 años de experiencia
como Administrador de Sistemas en una multinacional española, realizando
múltiples proyectos internacionales sobre todo en EEUU y Canadá. Desde el año
2017, trabajo como Security Researcher en Telefónica y ElevenPaths.

Fundador y escritor del blog

www.cyberhades.com (nick: cybercaronte)
sobre Seguridad Informática entre otros
temas geek.

Co-autor del libro "MicroHistorias:

anécdotas y curiosidades de la Fran R
am
Informática" y “Docker:SecDevOps” ambos @cybe írez
rh
@cybe adesblog
de la editorial 0xWord. rc
cyberc aronte
aronte
@cybe
rhade
s.com
Eugene “Gene” Howard Spafford
dijo …
“El único ordenador seguro es
aquel que está apagado, en el
interior de un bloque de
cemento, en una habitación
sellada y protegido por
guardas de seguridad
armados. Y aún así tengo mis
dudas...”
 USB (Universal Serial Bus)

https://www.seguridadapple.com/2018/09/como-el-imac-g3-impulso-el-usb-y-se.html
Memoria USB (Flash Memory)
Incidentes relacionados con
dispositivos USB
Stuxnet
Brutal Kangaroo

Rubber Ducky USB Killer

Todos estos equipos no estaban
conectados a la red …
Idea: Hidden Networks
Concepto: Hidden Networks
Registro de Windows
Primer paso: HN PowerShell
https://gephi.org/
 DEMO
PowerShell
https://gephi.org/
Versión actual: HN PoC (Python 3.4)
setupapi.dev.log
DEMO
HN PoC
Grafos: visualizando la red
WMI

SMB
Recorrido ramas del Registro
Dibujo del grafo: matplotlib (pyplot)
 Análisis forense con HN
• Automatización, registro y almacenamiento de todo el proceso de análisis

• Detectamos una red oculta (interconexión entre equipos incluso separados

físicamente) creada con pendrives donde se puede haber traspasado
información, infectado el equipo, etc.

• Identificamos el pendrive (modelo, imagen, id, etc)

• Dibujamos la red con los datos de los equipos por los cuales ha pasado (grafo
dirigido), como dirección IP, FQDN, etc.

• Obtención de la fecha y hora de la primera inserción del pendrive (timeline)

• Con el timeline podemos acotar eventos e incidentes (fechas de acceso a

ficheros, infección de equipos, etc)
Trabajo futuro: nuevas características

Obtener más
información

Perfil del usuario (a partir del

GUID del dispositivo) que
insertó el USB

Detección de otros
dispositivos

Discos duros externos,

modem USB, etc.
Trabajo futuro: nuevas características

Más fechas relacionadas con el

USB

No sólo la primera inserción,

también los diferentes accesos
(timeline individual del usb en el
equipo). En definitiva registrar todos
los movimientos y franjas de acceso
al USB. Con este timeline podríamos
comprobar los datos MAC
(Modificación, Acceso y Creación) del
fichero para ver si encajan dentro de
dicho timeline individual.
Trabajo futuro: nuevas características

Ubicación geográfica

Analizando las redes (WiFi) desde

donde el ordenador auditado se
conecta. Geolocalización por IP.
Existen bases de datos como:
https://www.ip2location.com/

%SystemRoot%\System32\winevt\Logs\Microsoft-Windows-WLAN-AutoConfig/OperationalSource.evtx
Más información:
whitepaper
 Gracias

Pablo González
@pablogonzalezpe
Fran Ramírez
@cyberhadesblog @cybercaronte
Enlaces

https://www.thesslstore.com/blog/air-gapped-computer/
https://www.pcworld.com/article/2896732/dont-trust-other-peoples-usb-flash-
drives-they-could-fry-your-laptop.html
https://hakshop.com/products/usb-rubber-ducky-deluxe
https://www.adslzone.net/2017/06/22/brutal-kangaroo-el-malware-de-la-cia-
para-infectar-las-redes-mas-seguras-del-mundo/
https://www.extremetech.com/computing/200898-windows-pcs-vulnerable-to-
stuxnet-attack-five-years-after-patches
http://collections.vam.ac.uk/item/O158296/imac-g3-personal-computer-ive-
jonathan/
https://en.wikipedia.org/wiki/Gene_Spafford