Lecciones de “malwareterapia”: disparen contra ese fantasma - parte 1

Hey ¿tú crees en la herencia de los genes? Digo, ya sé que ahí están, pero no sé si piensas que en realidad esas cosas se heredan y entonces uno sale disparado de la vagina con un cóctel de puras cosas que no son tuyas. Te transmiten los mismos putos miedos y malignidades que te enseñan a odiar. Llegas a aborrecerte por lo que tus cromosomas hicieron de ti. Si el problema comienza por la sangre, yo tendría que estarme cortando las venas. Y la verdad dudo mucho que mis familiares me hayan pasado el gen cancerígeno del haxxorismo. Yo soy el único demonio digital de la estirpe.
Si de verdad mis genes son tan vulgares como sospecho, mi problema está en mi propia esencia. Morbo. Ambición. Calentura. Ganas de chingar gente por deporte. No te digo entonces que toda la vida he soñado con ser un Sid Lord digital, para nada. Aunque la verdad tenía intereses muy afines desde muy pequeño por supuesto, pero una cosa es preguntarte qué se sentirá que te metas a una cuentita de correo de tu ex-novia, y otra ponerte a robar sus fotos íntimas para un tercero, un pinche depravado, por una lana. No me imaginaba que a los topos de la red les pagaran mucho, sino lo contrario: me ponía bien honey imaginarme que les pagaban una mierda en dinero, pero que les quedaban debiendo la vida entera, y les inspirabas miedo por lo que eras capaz de llegar a obrar. Ni siquiera cien pinches pesos. Digamos que cincuenta, por extraer y pasarle, directo de su laptop, el vídeo sexual de tu profesora buenérrima de Arte a diecisiete puercos. Y que la cosa sea tan cochina que lo vean todos directo en el cañón de uno de los salones de la Universidad. Ese sería el orgasmo de la película: ver el harem de puercos aclamándote porque les das porno amateur con tus dotes del byte. Tome usted sus cincuenta pesos y réntese una puta de Tlalpan para bajarse la calentura. Igual entonces no me daba cuenta de lo que hacía realmente, o no quería dármela, o me la daba y me importaba poco, ya no sé, pero lo único que quería era seguir siendo un genio desgraciado…”

(Charlando con un Gray Hat en la Campus Party 2014, Cómo hackear a una mujer, Zapopan Jalisco, México; Junio 2014, Seguridad/Redes). 

Lectores ávidos de este su sitio Hackplayers, en esta ocasión traigo nuevamente para ustedes un relato sobre una muy reciente aventura de mi vida. Por supuesto abordando temáticas informáticas (linda rima=)) o como sea que le quieran llamar en nuestro gremio. Ya saben que me encanta aturdir a la gente con cuentos largos y este no va a ser la excepción. Sin embargo, en esta historia de pasión e intriga, de acción, sangre y chicas voluptuosas para todos los gustos, no hay un final feliz, como en todos los cuentos de princesas Disney. En este chisme que les traigo me pongo el mejor uniforme que tengo, el uniforme de jodido,  sí no es que el de pendejo. O los dos juntos, que bien que me combinan, y así no les va a quedar más remedio a ustedes que darme su entera compasión.

***Perdón lectores ¿cuánto me cobrarían por reírse de mi historia... ¿Hay algún cargo extra por cantarme una canción de cuna?***

Para no hacerles la intro más larga, sucede que un día en nuestro cuartel general de la liga de la justicia, recibimos una llamada imprevista para atender un caso de Ransomware, así bien casual, y bueno como yo me drogo con trabajo ahí voy de naco a meterme donde no me habían llamado…ok me obligaron.

No se engañen en realidad me (nos) está llevando el Diablo, cuando acabe mi relato van a saber por qué…

Yo sólo sé que abro Excel rapidísimo en mi tablet

Bitácora de la conflagración del malware protervo día 1:

“¿Cuántas veces se supone que debemos confiar? ¿En qué personas? ¿Cuántas, de cada 10, traen un sable agazapado para ti? Cada vez que confías en alguien estás jugando ruleta rusa. Puedes saber cuáles son tus probabilidades con la ruleta, pero no con la gente. Es meterte a una sopa de malware sin condón o DIU según corresponda. Un jueguito en el underground sin pistas ni controles y cuando menos te das cuenta pum! Game over y…hasta encuerado te quedas.

Un consejo: JAMAS TE ENAMORES DE NADIE.

Ni siquiera debería darte ese consejo, no sé nada del amor. Aunque a veces lo haga tan seguido. El idioma inglés tiene una forma fatalista de evidenciar el amor. To fall in love. Lo cual quiere decir literal caerse, más claro ni el cielo, tan directo y tan sapiente; nos vamos a la chingada misma cuando caemos en el amor…y si, sin duda. “Me quieres Bestia? Claro que no te quiero...solamente eres mi juguetito”  Salimos a cenar y le escribí en una servilleta: “Busco a una enamorada de mi”  Y entonces ella me miró así, divertidísima, y me dijo “Lo siento yo no soy una enamorada…soy una Superenamorada!!” Y sus labios eran tan perfectos que de repente me sentía otra vez dentro de mi Alienware secuestrando a miles de millones de pendejitos para que fueran parte de mi imperio silencioso cada vez más grande y más oculto. Me sentía invencible mientras le escribía “Super lover needed” y esperaba el momento en que escribiera otra monería de entre sus tantas y tantas que recuerdo de esa castaña oscura... eso provoca el amor, pero es fatal. Créeme. Y la verdad no sé qué es a ciencia cierta lo que les atrae de mí…a las mujeres claro.

¿Tenías que venir a estrellarte contra mi, darling?

Como que me entra a huevo la creencia de que alguien está conmigo porque le interesa algo de mí, por conveniencia pues, y que el cabrón o cabrona en cuestión va a ser ogt conmigo inminentemente. Entonces tengo que ser ogt yo primero. Me seduce el cinismo, me atraen las infamias, me río de mis propias víctimas. Necesitaba sacar en cualquier momento mis monstruitos y mi cabronería interna para no envenenarme. Ya te lo había dicho, ¿no? Con ataques preventivos… literalmente.  Cuando ella sacaba las uñas, porque no le parecía alguna cosa, se ponía mega creativa con los insultos. Maldito geek rastrero, Pirujo nalgapronta, Vicioso pestilente, Canalla barriobajero. Se enojaba y se volvía una desgraciada tallada a mano. Tanto que llegó a delatar mis fechorías cibernéticas con mis propias víctimas. Imagínate el ultra desmadre que se me armó. Alta traición y condenada a la silla eléctrica, sin derecho a última cena por puta ogt. Bueno…mínimo no fue con la policía. Así que mi venganza no tardó en manifestarse. Adiós cuentita de correo con toda su bandeja de chingaderas “importantes” para ella. Y su FB de mierda, (personalmente me cagaba que subiera fotos mías)…anyway como podrás deducir me valieron entera madre sus reclamos subsecuentes.  Al final aprendí que todas esas nenas llegan y aterrizan a tu vida por un lapso y eso es todo. Como malditos demonios en pesadillas nocturnas que a la mañana siguiente se esfuman, o vampiros que te chupan por un rato el sueño y la esencia, o sanguijuelas que se cuelgan de tu cartera. Y entonces aprendes a fingir ser domado por sus encantos. Y finges tan terroríficamente bien que alcanzas el nivel máximo de usurpación de tu propia identidad y de tus propios sentimientos. Te la crees un rato, por así decirlo.

Mi amor…vas y hackeas a tu madre

(Charlando con un Gray Hat en la Campus Party 2014, Cómo hackear a una mujer, Zapopan Jalisco, México; Junio 2014, Seguridad/Redes). 

La verdad es que el día pintaba para una chingada guerra nuclear. Se me fue la señora de los tamales oaxaqueños de los miércoles y SIEMPRE que pasa eso sucede algo horripilante.

Fer (Ingeniero alteza serenísima Fernando please), acabamos de recibir una llamada inesperada de un caso de ransomware. Dicen que el sujeto en cuestión al parecer se llevó activos de la empresa (pinches documentos de Word con cosas importantes según) y lo más interesante de todo es que no pide recompensa. Modificó varios wallpapers de las computadores de la oficina poniendo la imagen de uno de los directivos lamiendo el culo de un afroamericano (no somos despectivos ni racistas aquí), y está enviando spam burlándose asiduamente de todos. Cada día hace algo nuevo el ogt. Me cabrean este tipo de pendejetes sabes - Exclamó la delicada y dulce team technical leader de forensia.

Ps….qué mal…. – Exclamé yo- Suerte!

- …. …. …. Mmm a ver …en realidad te estoy contando pues…para que vayas wey obvio!!, tu papá (mi “jefe”) me dio viada (permiso) de que nos tires paro (nos ayudes) no solamente te quedes ahí sin hacer nada no mames! – musitó la multilingüe y fina princesa. Ayúdanos a ver cómo nos tronamos a este wey!

(Bueno si no hago nada cuál es tu problema!!) Ok ya vamos.

Nunca puedes saber qué tal te va a ir en alguna cosa pero ayuda muchísimo estar de buen humor. Controlas más tus sentimientos no proyectas tus dudas. Por el contrario, les comentaba, que ese día yo estaba muy hormonal, así que mi actitud no me ayudó para nada.

Como no puedo poner imágenes de todo lo que aconteció en el caso que les presento (técnicamente si puedo pero me voy a meter en un pedo [y ahorita ya no quiero más pedos {así que por favor les pido que me crean de palabra y traten de imaginar lo que con mis letras no baste para satisfacer su curiosidad}]) les describiré táctica y tácitamente el escenario. Lo mejor que pueda.

El cliente del sector financiero en cuestión cuyo nombre empieza con B y termina con **erhm erhm, tiene una arquitectura de red bien chafa, por no decir están mega jodidos. No tiene firewalls per se, son routers con módulos de UTM que les hacen sabe Dios qué madres de contención, un IDS en iptables levantado sobre un Debian del año 2009, el cual cuando quisimos verificarlo, en base a las incidencias de las reglas, para ver posibles alarmas de intrusión, nos dijeron: “No no no!! No toquen ese server si ejecutan un “ls” sobre la línea de comando se cae toda la red del universo!!”…***ok ya entendimos***…pero bueno…los chavos tienen unos switches de core rapidísimos y verdes, unas compus Dell bien riatas, montones y montones de pantallas full hd 3d para ver el fut el finde, y un pony para cada quién…Ya en serio, no tienen nada pero nada de NADA más!!, bueno si …Windows Essentials en los endpoints…O SEA QUÉ ONDA CON LOS BANCOS MEXICANOS DE HOY EN DÍA Y SU NIVEL DE SEGURIDAD PARA SUS TRANSACCIONES, ES NETA???!!!!!

La verdad es que me extrañó más que nada el hecho de que hayan podido sobrevivir, hasta ese punto, a una mega infección peor que el ébola, a un secuestro de tarjetas, identidades, datos o ya de plano a un pinche ping 65535 –t.

Yo sé que en este blog me quejo de todo lo que me pasa y que mis quejas están pasadas de moda, pero es que mi rencor a este tipo de escenarios a veces resulta anacrónico y tiendo a generalizar…quizá no todos los bancos mexicanos sean así. Quizá y sólo quizá.
Ahora bien, lo que hizo el tipo hacker/cracker o lo que sea, fue lo siguiente (repito, hasta ese momento) se infiltró en la red, lo cual no era nada fácil por las múltiples barreras y elementos de seguridad SWAT que existían, (me comentan que tuvo que llamar a Tom Cruise para ejecutar sus acciones intrépidas), hizo una especie de pivoting en una de las máquinas de la LAN, aguardó a troyanizar más máquinas, checó cada una de ellas, hasta que en una se encontró con carnita:  fotos de los directivos, cuentas de correo para aventar pa arriba, datos de nóminas, y ya saben…lo normal que la gente estúpida deja en máquinas que no son suyas y que piensan que no, no hay pedo, no pasa nada cómo creen, tú tranquilo y yo nervioso.

Ese fue el escenario inicial; entonces ellos nos gritaron: Heroes wanted.

Bueno… y cuándo llegamos y vimos qué sucedía ¿qué fue lo hicimos nosotros los heroes?

Exacto!! No hicimos absolutamente nada =).

Ok…no tanto así, pero cómo no había definitivamente ningún dispositivo que arrojara logs un poco más inteligentes, o vaya una arquitectura de red que nos diera menos hueva de analizar, uno de mis bitches del team sugirió poner una especie de herramienta que hiciera una captura de cabalmente todo lo que pasaba en la red y pudiéramos reconstruir hechos. Naturalmente, lo que pasó, pasó ¿no?. Pero como el hacker en cuestión seguía haciendo de las suyas, era muy posible que nuevamente se infiltrara en la topología y revelara sus oscuras huellas delante de nosotros.  Así ya tendríamos más cositas qué ver.
Buena idea, dejamos ahí el coso ese capturando 3 días y qué bueno, porque ya me quería ir a mi casa.

Amén.

Así somos los Computólogos, como unos santos que pasan las manos sobre los discos mecánicos y voilá se arreglan como magia

Bitácora de la conflagración del malware protervo día 2.

A ver si me captaste: para mí ser así que dijeras bien tratado por la gente era igual a que me puñetearan los testículos. No podía esperar que alguien se fijara  en mí o le gustara tener mi compañía, (por mi horripilante manera de ser), y si por alguna excepción o error llegaba conmigo, yo no iba a lograr que se quedara. Sirvo para espantar a la gente, no para retenerla, y mucho menos con la profesionsita/hobby que me cargo. Solo sé que yo no tengo amigos, tengo cómplices. Cuando retienes algo necesitas cuidarlo, tenerle paciencia, aceptarlo y yo para esas cosas no sirvo. Quieres que algo se rompa? Dámelo para que lo toque. Que se borre?, que se pierda? que no regrese nunca? Pídeme que le aviente un bebe virus de mis creaciones maléficas. Aunque eso sí, para esconder(me) soy buenísimo. The Art of Obfuscation. Pero no te preocupes, no soy un grinch que odie al mundo en general. Me gusta el contacto humano, a veces. Y más con féminas, obvio… Me odio yo, de repente, y entonces odio a todo el mundo por no parecerse a mí. Los egoístas nos odiamos para destantear al enemigo, y después regresamos a nuestra zona de confort donde nos espera nuestro cochino ego, (en mi caso esa zona es mi preciosísima Alienware =)). ¿Ya te fijaste que a mi ego lo trato igual de mal que a todos? ¿No te da una “clue” sobre mí? Por más que trato de parecer normal, siempre me posesiona alguien, hay como un segundo yo que se oculta detrás de lo que digo. Y sale siempre cuando vivo situaciones límite. Cracking bomb ready por denial of service…pum!!! alter ego en acción para ejecutar código malicioso. Ready set go!! Pero en la vida real,  se esconde tan bien que tengo que decir que es mi segundo yo, cuando es obvio que siempre ha sido el primero en todo, toda la vida, que yo no estoy aquí más que para cumplirle sus caprichos, delirios y atrocidades. De entre toda mi vida…lo agarra todo. Uno nunca escoge qué clase de alter ego va a tener que soportar, simplemente llega y se abraza de ti.
Ven a abrazarme hacker de mi vida!

(Charlando con un Gray Hat en la Campus Party 2014, Cómo hackear a una mujer, Zapopan Jalisco, México; Junio 2014, Seguridad/Redes). 

Regresamos nuevamente al escenario policíaco de los hechos señor Watson, y a la programación cotidiana, y por supuesto como guión barato de libro vaquero, el hacker ya había sido descubierto por nuestras capturas y toda su obra quedaba al descubierto. O eso rumiábamos, muy pero muy ingenuamente. El caso es que les expusimos a los directores de TI y de análisis financiero lo siguiente:

-          Miren señores ya analizamos la captura y podemos reconstruir las sesiones correspondientes que tuvieron incidencia entre los días 1 y 3 desde el inicio del recording. Les tenemos resultados concluyentes sobre cómo, dónde y desde dónde fue perpetrado el ataque, en base al comportamiento del mismo atacante, las subsecuentes vulnerabilidades que ha explotado y los abusos a la infraestructura y activos que ha cometido. Tenemos el detalle de todo lo anterior y un plan sistemático de hardening y prevención futura para contrarrestar este tipo de amenazas en un lapso determinado. Sobre los activos que fueron extraídos tenemos parcialmente el detalle analizando los logs de los equipos infectados, pero pronto tendremos el 100% de los datos secuestrados para su posterior investigación – Dijo la fina princesa de forensia que ahora sí, no hablaba como piruja de alta escuela. (Disculpen ustedes no es machismo exacerbado, bueno si, pero así me llevo con ella =P)
-     
     (Ay wey a poco hicimos todo eso?) Si señores, les tenemos una ppt para mostrarles el resumen de lo acontecido y estaríamos empezando el hardening y la limpieza del malware esparcido por el hacker en la ventana nocturna del día de hoy, si no hay ningún cambio por parte de su Staff técnico. Por otro lado, con respecto a la propiedad intelectual, nos atañe a nosotros decirles con exactitud el nombre y tipo de archivos que se extrajeron y reconstruir los hechos, como bien dijo la Ingeniera, y entregarles esos resultados tomará aprox 1 semana.
-          Directores* Si, (si qué cabrones! no entendieron un carajo verdad?)
-          Ooook!

Para ahorrar esta aburrídisima parte de la presentación, donde estoy seguro que aquellos weyes solo me veían hablar e imaginaban changuitos estrellando platos de banda de guerra, no les daré más detalle. Ya les conté básicamente lo que creíamos había hecho el tipo blackhat. Así que procedimos inmediatamente a deshacer la mugre.

El ingeniero tiene las herramientas, el equipo las ideas. El equipo tiene los medios, el especialista los fines. El especialista tiene la ética, el cliente los problemas. El cliente tiene el dinero, el poder, las ventajas y la ignorancia de su propia empresa que a dirige todos los putos días.

Ahí estábamos nosotros en la ventana nocturna, limpiando los equipos, (¿pero cuáles equipos?), metiendo uno que otro script, haciendo tests de vulnerabilidades, hardening, instalando un firewall de verdad, pero tranquilos eh! Nada volado en ningún momento. De esas veces que es más la talacha que la complejidad misma. Eso se agradece a veces. Y pues cuando están tranquilas las aguas te confías mucho, pero mucho y nunca imaginas que la catarata de 30 mts caída libre está enfrente de ti. Pero pues ya habíamos descifrado todo no? O sea no había más trampas de acuerdo a nuestro exhaustivo y profundo análisis…

En México sin trampas? No me chingues!!

A continuación lo que les voy a contar es digno de Paranormal Activity 1 2 3 o la que quieran, porque de verdad que me entró el miedo vívido a lo cabrón. De ese miedo que te deja tieso. Y no ese miedo que otrora les conté cuando no sabía cómo hacer un troubleshooting de un firewall.  Literal era cómo si se me hubiera aparecido el chupacabras o la llorona en persona. No sé si ya me entendieron el tipo de miedo que experimenté en ese momento, y déjenme decirles por qué razón. 

Soy bien marica la verdad

Estábamos con el mal del puerco enfrente de nuestras laptops, porque claro nos habíamos salido a tragar como infames a las 2 am, cuando de repente recibimos el siguiente correo de parte del Director de TI de operaciones, supuestamente,  en nuestras bandejas:

Qué bonitos se ven los 4 angelitos, pero ¿qué intentan hacer? Les puede ir bastante mal si me molesto, ¿quieren de verdad que se les aparezca el malo?
Atte. Batman

De botepronto, asusta un poco, pero no. Lo primero que especulamos es que algún bromista del staff, que es de nuestra confianza, nos estaba jugando un pequeño trick y se había ido a meter o bien a la cuenta del Director TI o bien a la máquina de él. Eso se esfumó casi de inmediato cuando alguien dijo (lógicamente):

-    No no mamen!! si alguno de nosotros usurpa cuentas aunque sea para hacer una broma nos corren!!

Entonces me empezó a entrar la turbación. Estaba yo más turbado que hace 5 minutos…Ok el hacker entró o algo así en nuestra red, entonces lo podemos ver al hombre (qué pedo con este tipo hace magia o qué) tenemos el analizador capturando todo, podemos ver de qué máquina lanzó el correo, la cuenta y…NO ESPERÁTE QUÉ DEMONIOS LOS DATOS CAPTURADOS EN EL ANALIZADOR HAN SIDO BORRADOS!!! QUÉ PASÓ???? WTF???!!

Nunca pensamos que haya sido el hacker en primera instancia, porque el analizador no estaba expuesto, además lo teníamos en una red segmentada para que no llegara nada a él…o eso pensamos, porque enseguida recibimos otro correo que ese si provocó que me hiciera pipí en los pantalones.

Por cierto…esa cosa con la que monitorean la red. Deberían cuidarla mejor. Y tienen mucha razón, nadie de ustedes usurpó la cuenta, no se culpen entre sí.

Pd.- Ándense con mucho cuidadito “ingenieros”.

Now you see me pendejos now you don’t…
¿Si checan la dimensión y el poderío del correo que nos mandó? El wey no solamente se meó totalmente en nosotros y borró todo lo que el analizador nos estaba capturando. O sea, ¡!¿¿nos estaba escuchando??!!! ¡¿¿O cómo chingados hizo ese reply tan rápido y certero??!! En pocas palabras la indirecta fue: Son mis putas, aguas con salirse de mi padroteada.

En ese punto yo ya me encontraba llorando (por dentro). Dicen que con llorar nada se arregla pero eso no es verdad. Llorar es hacer algo aunque ese algo no sirva más que para quitarnos la pesadez de que nos tienen contra la pared.

Así es mi vida amigos, estos problemas son la prueba de que estamos vivos y lo demás son migajas. Si al final mis problemas no son solubles, cuando menos son adulterables.

¿Qué clase de magia creen que haya utilizado el hacker?
¿Qué hechizo debemos lanzarle en contraataque a nuestro Voldemort de las redes?
¿Creen que ese día me haya dado diarrea por todo lo que comí + el pinche susto que me atoraron minutos después?

To be continued...

Happy Hacking =)

13 comentarios :

  1. ya estoy deseando ver como coj**^* volvió a meterse el tipo :P

    ResponderEliminar
    Respuestas
    1. muy bien no lo habrían revisado/fortificado si volvieron a juakearles... XDDDD

      Eliminar
  2. Jojojo genial! me muero por saber como siguee!!

    ResponderEliminar
  3. Despues de leer la épica del firewall, no puedo esperar a leer como sigue esto.

    ResponderEliminar
  4. Estoy ansioso por saber lo que pasó. Estaré atento }:D

    ResponderEliminar
  5. Ya extrañaba tus historias Fer! Me dejaste instrigada.
    Mientras tanto me sacaste varias carcajadas de camino a mi casa.

    Moon

    ResponderEliminar
  6. Que más, llevo 2 dias esperando
    Please wait.....

    ResponderEliminar
  7. Que intrigante... Esperando con ansias la continuación de la historia de la vida real....

    ResponderEliminar
  8. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
    Respuestas
    1. Cuando me atacaban quitaba el cable de red... e.e

      Eliminar