REYES, herramienta fundamental para mi día a día - Francisco Hernández Cuchí (Ayuntamiento de Mad...

CCN
21 Dec 202319:19

Summary

TLDREl script de video ofrece una sesión de demostración y discusión sobre herramientas de seguridad cibernética, particularmente enfocado en la utilidad de 'Reyes' como un agregador de fuentes de inteligencia para la investigación de amenazas. Francisco Hernández, de la operaciones ciber del ayuntamiento de Madrid, comparte su experiencia con esta herramienta y cómo ha mejorado la recolección de información sobre amenazas, dominios y IP. Destaca su capacidad para manejar grandes volúmenes de datos y cómo ha sido fundamental en la toma de decisiones de seguridad, así como su integración con otras herramientas como Jira. El discurso está interrumpido por varios problemas técnicos, pero sigue con ejemplos prácticos y consejos para abordar falsos positivos y la gestión de amenazas en un entorno de trabajo remoto.

Takeaways

  • 🎥 El video es una presentación sobre el uso de la herramienta 'Reyes' para la gestión de incidentes cibernéticos en el ayuntamiento de Madrid.
  • 🛡️ La herramienta 'Reyes' se utiliza para recopilar información sobre amenazas y es fundamental para la investigación, especialmente en la fase de recopilación de datos sobre IPs, dominios y amenazas.
  • 🔎 'Reyes' actúa como un agregador de fuentes de inteligencia cibernética, proporcionando información detallada sobre dominios y subdominios, y es capaz de mostrar la historia de un dominio y su actividad reciente.
  • 💡 Se menciona la importancia de la herramienta para la detección de falsos positivos y la discriminación de tráfico malicioso, como se ve en ejemplos de alertas de EDR.
  • 📈 La presentación demuestra cómo 'Reyes' puede proporcionar información histórica y contextual que ayuda a tomar decisiones más informadas sobre la seguridad cibernética.
  • 👥 Francisco Hernández, el presentador, es parte del equipo de operaciones ciber del ayuntamiento de Madrid y pertenece a Protap, una entidad que se puede buscar en internet.
  • 🎭 Hernández también tiene experiencia en teatro y utiliza su habilidad para mantener el interés del público durante la presentación, intentando evitar el aburrimiento.
  • 🔒 Se discute la limitación de las listas negras tradicionales y cómo 'Reyes' puede ayudar a priorizar y manejar estas listas de manera más efectiva en el entorno moderno de trabajo remoto.
  • 📚 Se hace hincapié en la necesidad de evidencia y pantallazos para la toma de decisiones en seguridad cibernética, y cómo 'Reyes' puede apoyar en esto.
  • 🚀 Se mencionan casos específicos de uso de 'Reyes', como la detección de scripts de Visual Basic y la evaluación de la actividad de dominios sospechosos, demostrando su utilidad en escenarios reales.
  • 🌐 Se destaca la integración de 'Reyes' con otras herramientas, como Jira, y cómo esta integración mejora la gestión y la respuesta a incidentes de seguridad.

Q & A

  • ¿Qué es lo que el orador intenta hacer durante su presentación?

    -El orador intenta hacer una presentación sobre la herramienta 'Reyes', mostrando sus capacidades y cómo se utiliza en el ámbito de la ciberseguridad para investigar y manejar incidentes en la red del ayuntamiento de Madrid.

  • ¿Qué es 'Reyes' y qué función cumple según el orador?

    -'Reyes' es una herramienta de agregación de fuentes de inteligencia cibernética que permite a los usuarios investigar amenazas, compartir información y priorizar alertas de seguridad.

  • ¿En qué consiste el trabajo del orador en el ayuntamiento de Madrid?

    -El orador trabaja en el centro de ciberseguridad del ayuntamiento de Madrid, donde se encarga de la gestión y resolución de incidentes cibernéticos.

  • ¿Qué es lo que el orador muestra durante su presentación?

    -El orador muestra varias alertas de su EDR (Endpoint Detection and Response) y cómo utiliza 'Reyes' para investigar y obtener información adicional sobre las amenazas detectadas.

  • ¿Cómo se relaciona 'Reyes' con VirusTotal y qué ventajas ofrece esta relación?

    -'Reyes' se enriquece con información de VirusTotal, lo que permite obtener detalles adicionales sobre las amenazas, como resoluciones históricas de dominios, muestras relacionadas y ratios de detección.

  • ¿Qué problemas de presupuesto menciona el orador y cómo 'Reyes' puede ayudar con esto?

    -El orador menciona que a menudo se enfrentan a problemas de presupuesto limitado. 'Reyes' es una herramienta que ofrece una gran capacidad por su precio, lo que la hace ideal para investigar amenazas sin un gasto excesivo.

  • ¿Cómo describe el orador la importancia de la información histórica en 'Reyes'?

    -El orador destaca la importancia de la información histórica en 'Reyes' para entender el tiempo de actividad de una amenaza y su evolución, lo que ayuda a tomar decisiones más informadas.

  • ¿Qué ejemplos de amenazas específicas muestra el orador durante su presentación?

    -El orador muestra ejemplos de amenazas como scripts de Visual Basic con comandos y control, conexiones a dominios sospechosos y la detección de falsos positivos, como una llamada a un sitio peculiar por parte de 'MS exec'.

  • ¿Cómo utiliza el orador 'Reyes' para investigar dominios y subdominios relacionados con amenazas?

    -El orador utiliza 'Reyes' para investigar dominios y subdominios relacionados con amenazas, obteniendo información sobre resoluciones históricas, muestras relacionadas y la actividad reciente de estos dominios.

  • ¿Qué es lo que el orador sugiere sobre el uso de 'Reyes' en la fase de recopilación de información?

    -El orador sugiere que 'Reyes' es fundamental en la fase de recopilación de información sobre amenazas, ya que permite obtener detalles adicionales que pueden ser críticos para la investigación y la respuesta a incidentes de seguridad.

Outlines

00:00

🎥 Introducción y Presentación de Reyes

El presentador inicia la sesión con una introducción informal, mencionando dificultades técnicas y la intención de realizar una demostración en vivo relacionada con 'Reyes'. Se discute el uso de esta herramienta para gestionar y analizar incidentes de seguridad cibernética, especialmente en el Ayuntamiento de Madrid. El orador también comparte su experiencia en el teatro y ciberseguridad, enfatizando la importancia de mantener al público interesado a lo largo de la presentación.

05:01

🔍 Análisis de Amenazas con EDR y Reyes

Se realiza un análisis detallado de amenazas identificadas por un sistema de detección y respuesta de endpoints (EDR) y la herramienta 'Reyes'. Se mencionan incidentes específicos, como una llamada a un sitio extraño y secciones ocultas, y cómo se utilizan para determinar la legitimidad de actividades sospechosas. Se destaca la capacidad de 'Reyes' para proporcionar información adicional, como resoluciones de dominios, historial de amenazas y búsquedas relacionadas, lo que ayuda en la toma de decisiones de seguridad.

10:03

📡 Discusión sobre la Gestión de Falsos Positivos y Priorización de Amenazas

El orador aborda el problema de falsos positivos en la detección de amenazas y cómo 'Reyes' puede ayudar a priorizar y gestionar estas alertas. Se discuten ejemplos de amenazas, como 'Cobalt Strike', y cómo se pueden investigar y verificar utilizando diferentes fuentes de inteligencia, incluyendo el análisis de tráfico, puertos y subdominios. Se enfatiza la importancia de no bloquear soluciones de forma indiscriminada y la necesidad de una investigación profunda para entender la naturaleza de las amenazas.

15:05

🚀 Uso de Herramientas de OSINT y Análisis de Ejemplos

Se presenta el uso de herramientas de inteligencia abierta (OSINT) para investigar amenazas y se comparten ejemplos de cómo se pueden rastrear y analizar. Se mencionan casos específicos, como la detección de un dominio asociado con 'Cobalt Strike' y cómo se puede rastrear a través de fuentes como Twitter. Se discute la importancia de la información histórica y el análisis de muestras de malware para comprender la evolución de las campañas de ataques y mejorar las medidas de seguridad.

🎉 Conclusión y Recomendaciones Finales

El orador concluye la presentación destacando la importancia de 'Reyes' como herramienta para la recolección de información y la investigación de amenazas en el ámbito del ciberseguridad. Se ofrecen recomendaciones para el uso de esta herramienta y se sugieren mejoras potenciales. Se agradece a la audiencia y al equipo por su participación y se cierra la sesión con un mensaje motivador y un agradecimiento general por la oportunidad de presentar en el evento.

Mindmap

Keywords

💡Ciberseguridad

Ciberseguridad se refiere a la práctica de proteger la información, sistemas y redes de ataques maliciosos. En el video, se menciona que el Ayuntamiento de Madrid ha creado un centro de ciberseguridad, lo que indica la importancia de esta disciplina para proteger contra ciberataques y mantener la seguridad de la información.

💡EDR (Endpoint Detection and Response)

EDR es una tecnología que permite la detección, análisis y respuesta a amenazas en los puntos finales de una red, como computadoras y dispositivos móviles. En el script, se habla de 'alertas de nuestro EDR', lo que sugiere que se utilizan para monitorear y responder a posibles amenazas en tiempo real.

💡Reyes

Reyes es mencionado como una 'herramienta' importante para la investigación y recopilación de información sobre amenazas. Aunque el script no da detalles específicos, se puede inferir que es una plataforma o servicio que ayuda a los expertos en ciberseguridad a analizar y entender mejor las amenazas en línea.

💡IOC (Indicadores de Compromiso)

IOC es una abreviatura para 'Indicadores de Compromiso', que son signos o síntomas que sugieren que un sistema ha sido comprometido por un atacante. En el video, se sugiere que se usan para ayudar a identificar y responder a amenazas específicas.

💡Cobalt Strike

Cobalt Strike es una herramienta de software que se utiliza para la simulación de ataques y pruebas de penetración. En el script, se menciona como un ejemplo de una amenaza detectada, lo que indica que es una herramienta conocida en el ámbito de la ciberseguridad tanto por su uso legítimo como por su potencial mal uso.

💡Falsos positivos

Un falso positivo es cuando un sistema de detección de amenazas indica que hay una amenaza cuando en realidad no la hay. En el video, se menciona la frase 'la vida es una continua sucesión de falsos positivos', lo que sugiere la importancia de la precisión en la detección de amenazas y el desafío de diferenciar entre verdaderos y falsos positivos.

💡OSINT (Open Source Intelligence)

OSINT se refiere a la recolección y análisis de información disponible públicamente. En el script, se menciona en el contexto de la investigación de amenazas, donde se puede utilizar para encontrar información sobre proveedores, IP y otros indicadores de compromiso.

💡Subdominios

Un subdominio es una parte de un dominio de primer nivel que se utiliza para organizar y estructurar el contenido de una red. En el video, se discute cómo los atacantes pueden generar subdominios aleatorios para evadir la detección, lo que es un tema clave en la lucha contra la ciberseguridad.

💡Threat Intelligence

La inteligencia de amenazas es la información colectada y analítica que se utiliza para entender y anticipar las amenazas en el entorno de TI. En el script, se hace referencia a la importancia de la inteligencia adicional proporcionada por herramientas como Reyes para mejorar la comprensión de las amenazas.

💡Teletrabajo

El teletrabajo, o trabajo remoto, es la práctica de realizar trabajo desde una ubicación fuera de la oficina habitual. En el video, se menciona cómo el teletrabajo ha cambiado la percepción del perímetro de seguridad, lo que requiere enfoques de ciberseguridad más flexibles y adaptativos.

Highlights

Presentación sin presentación, complicado de seguir.

Problemas técnicos al inicio, se menciona la importancia de las pruebas.

Introducción del uso de la herramienta 'Reyes' en la demostración.

Discusión sobre incidentes reales en el ayuntamiento de Madrid.

Mención de la experiencia en el teatro y su aplicación en la presentación.

Publicidad sutil en la presentación, enfocado en el audio del PC.

El ayuntamiento de Madrid ha creado un centro de ciberseguridad.

La importancia de la herramienta 'Reyes' en la gestión de ciberataques.

Comparación de 'Reyes' con otras herramientas de inteligencia de amenazas.

Demostración de alertas de EDR y su análisis con 'Reyes'.

Uso de 'Reyes' para investigar y verificar la legitimidad de dominios y procesos.

Muestra de cómo 'Reyes' ayuda a entender la naturaleza de las amenazas y su evolución.

Importancia de la información histórica en la detección de amenazas.

Dificultades con falsos positivos y cómo 'Reyes' puede ayudar a discernirlos.

Uso de 'Reyes' para la investigación de amenazas en el tiempo real.

Integración de 'Reyes' con otras herramientas como Jira para mejorar la respuesta a incidentes.

Discusión sobre la limitación de la ingesta de datos en EDR y cómo 'Reyes' complementa esta limitación.

Mencionar la colaboración y el intercambio de información con 'Reyes'.

Agradecimiento a la audiencia y al equipo en el cierre de la presentación.

Transcripts

play00:13

[Música]

play00:26

[Música]

play00:30

vengo a hablaros básicamente lo que pasa

play00:31

es que podía incluso venirme arriba pero

play00:33

sin presentación va a ser complicado y

play00:34

os iba a hacer tanto una Live demo de

play00:38

[Música]

play00:39

Eh Esto pasa por estar haciendo pruebas

play00:42

justo en el momento anterior una Live

play00:44

demo

play00:45

de de Reyes y también os iba a mostrar

play00:48

incidencias reales en de nuestro edr

play00:52

pero Y mira que no es la primera vez que

play00:54

expongo en esta sala le va a tocar hard

play00:57

Y mira que no me

play00:58

apetece

play01:03

disculparme Bueno pues

play01:08

eh se ve algo No tampoco se ve

play01:11

nada espérate Ahí te tengo ahí te tengo

play01:16

estamos dentro sin hard

play01:18

reset vale

play01:20

perfecto okay Qué bonito cuando

play01:23

funcionan las cosas y que mal cuando no

play01:26

no llegas al HDMI

play01:28

pues

play01:30

yo creo se ve algo a ver si aguanto eh

play01:35

Espera espera

play01:37

no tenemos

play01:44

vídeo estamos dentro Guay pues 3 dos 1

play01:48

dentro vídeo

play01:51

vale fin de la presentación vamos

play01:57

bien vale empezamos soy yo hay una

play02:01

película muy bonita que tiene una

play02:02

canción en la que está diciendo huk yman

play02:04

quién soy yo vale Francisco Hernández

play02:06

cuchi operaciones ciber toda la parte de

play02:08

incidentes dentro del ayuntamiento de

play02:09

Madrid vale aparte pertenezco a protap

play02:12

que lo podéis buscar en internet y

play02:14

aparte otra parte interesante he dado

play02:15

muchas clases de teatro entonces

play02:17

intentaré que esta media 20 minutos que

play02:19

veis a estar conmigo por lo menos os

play02:21

entretenga tuve un profesor de teatro

play02:23

que decía el público te lo perdonará

play02:25

todo menos que la aburras intentaré

play02:27

sazonar esto trufar con algunas bromas

play02:29

algunas malas otras peores Y dónde

play02:31

trabajo yo me toma la libertad de hacer

play02:33

un poquito de publicidad dentro el audio

play02:35

y el vídeo no de

play02:36

porfi el audio del

play02:40

pc Ah

play02:43

espérate

play02:45

eh mesa me recibís verdad Bueno Madrid

play02:48

una ciudad muy complicada muchos

play02:50

ciberataques etc el ayuntamiento de

play02:52

Madrid ha creado un centro de

play02:54

ciberseguridad y eh No lo recibís verdad

play02:58

chicos

play03:03

eso que hemos hecho la prueba a la hora

play03:05

de

play03:07

comer nada os iba a poner una estupenda

play03:10

broma no sé si conocéis el vídeo este de

play03:13

de la gente de muchacha pero era su

play03:16

frase es hijo de hay que decirlo

play03:17

más pues es ccm que es el código nuestro

play03:19

hay que decirlo más Ah vale tío es la

play03:25

salida

play03:28

estadio

play03:32

espera esto debería sonar me

play03:37

tenéis Es que mira que hay un par de

play03:39

vídeos buenos pero si no esto debería

play03:41

sonar sabes lo que te

play03:43

digo síguelo por

play03:47

aquí no ahora lo he quitado altavoces no

play03:51

no Pero porque está quitado tienes que

play03:54

ponerlo pero si no pongo altavoces haero

play03:56

el micrófono

play03:58

tío

play04:01

auriculares nois nada

play04:04

verdad

play04:07

no hay que

play04:12

decir centro de

play04:14

ciberseguridad hay que decirlo

play04:18

más bueno pues vamos a resolver así el

play04:21

problema de los audios no sé si lo

play04:22

habéis oído Vale entonces

play04:23

misteriosamente nuestro logo se parece

play04:25

al de Paramount comedy rápidamente si

play04:27

sales de casa Qué es lo que siempre

play04:28

estás buscando me he dejado las llaves

play04:30

me he dejado el móvil el dni yo he

play04:32

tenido la suerte de trabajar en

play04:33

distintos sitios en los últimos 5 años

play04:35

cada cual con menor presupuesto en ciber

play04:37

alguno con un poquito más y qué es lo

play04:39

que siempre pido nada más llegar la

play04:41

herramienta Reyes y es si os tenéis

play04:44

quear aluna frase de esta charla es la

play04:46

siguiente Reyes Eh me lo quitan de las

play04:49

manos es decir la capacidad que te da

play04:51

por el precio que te da no he encontrado

play04:52

nada más parecido Y si tenéis problemas

play04:54

de presupuesto o si queréis investigar

play04:56

amenazas pues es ideal vale Qué es Reyes

play04:59

hay ahí lo tenéis en una frase un

play05:01

agregador de todas estas Fuentes las de

play05:03

la derecha y las de la izquierda cuánto

play05:04

te cuestan esas suscripciones hagan

play05:06

ustedes sus cálculos Y entonces qué os

play05:09

voy a mostrar alertas de nuestro edr

play05:11

vale Y más o menos como reyer nos echan

play05:13

un cable esto que tenéis por aquí aquí

play05:16

lo podéis ver vale Aparentemente Parece

play05:18

ser que el proceso MS exec vale ha

play05:20

llamado a un sitio peculiar este sitio

play05:23

peculiar aquí aparte tiene como unos

play05:25

parámetros extraños que he ofuscado y la

play05:27

gente del soc a veces te preguntan Oye

play05:29

esto es legítimo no es legítimo qué

play05:31

hacemos lo permitimos no lo permitimos

play05:33

pues vía este hermoso link de reyes que

play05:35

tenemos por aquí vale pero yo ya los

play05:37

tengo preparados para ir ganando tiempo

play05:39

porque sé que soy el último toro de la

play05:41

tarde entramos directamente en Reyes

play05:43

vale aquí lo tenéis Reyes ccn y aparte

play05:47

veis que está todo un poquito más

play05:48

enriquecido seguro que os suena está de

play05:50

virus total y Bueno pues te va dando

play05:51

cierta información partes interesantes

play05:54

resolución histórica del dominio vale el

play05:57

atacante tenía este dominio y ha ido

play05:59

cambiando de ips según se las iban

play06:01

baneando vale con lo cual puedes saber

play06:03

también Cuándo ha empezado la fiesta la

play06:05

fiesta empezó en 2012 vale Este dominio

play06:08

empezó más o menos Epa por agosto 2012 y

play06:12

la otra parte Interesante como agrega

play06:15

distintas búsquedas te extrae todas las

play06:16

URL de virus Total que han atacado este

play06:18

dominio Y tenemos cosas tan chulas como

play06:20

estas no sé si veis que mucha gente qué

play06:23

es lo que sube el nombre de la máquina y

play06:26

el usuario que ha hecho login y está

play06:27

subiendo las muestras de esta manera con

play06:29

esto puedo saber eh el tipo de amenaza

play06:32

que es sé que es genérica y los datos

play06:35

primeros que envía vale Y bueno podéis

play06:37

ver que los ratios de detección qué

play06:39

diríais sí no os lo dejo a vuestra

play06:41

discreción vale esta la hemos trabajado

play06:44

mucho esta amenaza desde el desde el ccm

play06:47

otro ejemplo que quería mostraros este

play06:49

de aquí un Script de visual basic

play06:50

scripting con un dominio supuestamente

play06:52

un mando y control vale esto no lo hemos

play06:54

encontrado en nuestra red joye y este ya

play06:57

está coge alguien que no mire mucho y y

play06:59

dice Oye pues bloqueo este dominio

play07:01

completamente en toda la parte

play07:02

perimetral que cabc menos perímetro o

play07:04

los sdr pero no porque si vamos sa ver

play07:07

cómo está este dominio podéis ver el

play07:09

atacante vale estoy yendo muy rápido

play07:11

pero creo que me seguís si me cojo el

play07:13

raíz Reyes me da otra potencia tiene

play07:16

otro Turbo Boost que es el siguiente

play07:19

toda la parte de subdominios y en la

play07:21

parte de subdominios pué podéis ver como

play07:24

el atacante genera dominios Random

play07:26

aleatorios para eh poder evadirse

play07:29

Alguien ha puesto un c rojo o lo ha

play07:30

intentado bloquear firewall Network

play07:32

protection etcétera vale aquí tenéis

play07:33

también las urls vale diferente Este es

play07:35

el mando control que había detrás de ese

play07:38

MC exec vale continuamos esto es pescado

play07:40

fresco se lo dedico a mi compañero

play07:42

Carlos portero una alerta de hoy vale

play07:44

simplemente os suena u in home directo

play07:48

en un sitio de eslovenia habrá abierto

play07:49

ing una sucursal en eslovenia Pues

play07:53

gracias a nuestro amigo Reyes podemos

play07:55

ver de cuánto tiempo lleva este dominio

play07:57

abierto vale ing com vale Y podemos

play08:01

verlo en la parte de resoluciones que es

play08:03

parece extremadamente nuevo Oh qué

play08:07

interesante veis que tiene un subdominio

play08:08

si voy al subdominio y lo veo por la

play08:11

parte de resoluciones pues vemos que es

play08:13

una actividad increíblemente reciente

play08:15

con lo cual no vamos a permitir el el

play08:18

tráfico a él si tenemos que dictaminar

play08:20

vale tercer ejemplo de Reyes otra alerta

play08:23

de nuestro edr curiosa rund LL no puede

play08:26

establecer la conexión contra el puerto

play08:28

9001 se están descargando Torrent o que

play08:31

es otro tipo de cosa pues muchas veces

play08:32

tenemos que discriminar Y qué vas a

play08:34

Fuentes abiertas pero si es que ya tien

play08:36

Reyes para ello metes la URL

play08:39

y a la primera de cambio Ya sabes que es

play08:42

un nodo de salida Thor con lo cual este

play08:44

tipo de infección se comunicaba a través

play08:46

de la redor vale para poder mandar la

play08:48

información a su mando y control

play08:50

interesante tardas 2 segundos en poder

play08:52

discriminar e o sacar información sobre

play08:56

iocs vale No sé si veis esto pero son

play08:59

mensajes de nuestro sooc cuál os parece

play09:01

más bonito Espero que digáis que el de

play09:02

la izquierda no al final una cueria

play09:04

virus total la puede lanzar todo el

play09:05

mundo Pero toda la inteligencia

play09:07

adicional que nos da Reyes para nosotros

play09:08

es inclement útil siempre nos basamos en

play09:11

la máxima necesitamos evidencias

play09:13

necesitamos pantallazos

play09:15

vale Este por ejemplo y esta frase la

play09:18

dedico a mi amigo Willy la vida es una

play09:21

continua sucesión de falsos positivos No

play09:23

pues entonces Nos encontramos muchas

play09:25

veces con falsos positivos y Gracias

play09:27

también a Reyes dict amos si El dominio

play09:30

ha estado limpio sucio comprometido en

play09:32

el pasado porque podemos viajar al

play09:34

pasado Ok listas negras seguro que habis

play09:37

oído hablar de ello como tienen muchas

play09:38

fuentes de inteligencia centralizan

play09:40

listas negras somos muy fans Pero cuál

play09:43

es el problema se las cargo al firewall

play09:45

estupendo pero el firewall está en el

play09:47

perímetro y quién de vosotros en su

play09:49

organización tiene perímetro a nosotros

play09:50

desde el teletrabajo se acabó Dónde

play09:53

tenemos que proteger en los edrs

play09:55

problema del edr que no ingesta infinito

play09:57

la única manera de poder eh es tiene

play10:00

hasta 15000 nuestro edr hasta 15000 eh

play10:03

puntos o sea ips para poder proteger

play10:06

Cuál es la conclusión hacemos este

play10:07

subconjunto que tenéis ahí en Amarillo

play10:09

vale Así que nada nos toca priorizar y

play10:12

podéis ver que nos generan varias y

play10:14

varias alertas foto de nuestra edr si

play10:16

alguien habla con emotet nosotros nos

play10:18

tenemos que preocupar no es un no es

play10:20

sobre todo con la que ha caído no

play10:22

entonces levanta alerta y le echamos una

play10:24

hojeada y aquí tengo el mismo problema

play10:26

del vídeo se ha ido bien cuando acerca

play10:27

al micrófono al ordenador o no

play10:29

pues improvisamos 3 2 1 vídeo en el

play10:33

centro de cibersad del ayuntamiento de

play10:35

Madrid utilizamos muchísimo la

play10:37

herramienta Reyes como una solución para

play10:40

compartir información de amenazas y

play10:42

sobre todo fundamental para la

play10:44

investigación en la fase de recopilar

play10:47

información sobre las IP los dominios

play10:49

las diferentes amenazas pues es una

play10:51

herramienta para nosotros fundamental os

play10:54

dejo con nuestro mayor experto en la

play10:57

herramienta Reyes para que os cuente

play10:58

much má

play10:59

[Música]

play11:12

[Música]

play11:18

[Música]

play11:21

cosas

play11:22

Bueno pero un chascarrillo cuarto

play11:26

ejemplo Cobalt strike madre mía una

play11:30

máquina nuesta estando con un dominio de

play11:31

Cobalt Warning Warning peligro si podéis

play11:34

ver me quedo Aparentemente tranquilo no

play11:36

porque va al puerto 80 pero sobre todo

play11:38

porque el proceso que llama es

play11:39

chrome.exe a veces pequeñas veces pocas

play11:43

veces da falsos positivos vale Y cuál es

play11:46

la otra ventaja que tenemos por aquí en

play11:47

la parte de osint podemos ver quién ha

play11:50

sido el proveedor donde aparecido Esa

play11:54

esa IP asociada a Cobalt strike tirando

play11:56

del hilo fácilmente podemos acabar

play11:58

encontrando el chat de Twitter que

play12:01

indicaba dónde era el mando y control de

play12:03

Cobalt Vale entonces Bueno avanzamos voy

play12:06

bien de tiempo creo que sí ejemplo 5co

play12:10

resulta que también tenemos otro

play12:11

problema de una conexión a un sitio

play12:13

extraño aju 309 qué habrá en este sitio

play12:16

no sé cómo lo hacéis yo también soy

play12:18

partidario de tener herramientas de

play12:19

sandboxing a mí en irran me gusta mucho

play12:22

vale eh pero vamos a ver qué hay en este

play12:24

sitio Pues nada aquí lo tengo ya queda

play12:25

poquito ánimo vale Y puede ha una

play12:28

categorización bueno que parece que no

play12:30

es Sí pero no si entramos a ver la parte

play12:33

de resoluciones podemos ver Uy estos

play12:35

llevan poco tiempo en el mercado parece

play12:38

parece relevante es importante la parte

play12:40

de muestras relacionadas en la cual por

play12:43

lo menos virus Total no lo caracteriza

play12:45

como malo vale la parte de subdominios

play12:49

parece legítimo vale No parece que tiene

play12:52

nada complicado y otra parte muy

play12:54

interesante es que tenemos un escaneo de

play12:55

todos sus puertos en el tiempo tanto sea

play12:58

por shodan lakic etcétera vale Y bueno

play13:01

la parte interesante amigos míos los

play13:03

malos se pagan cloudfare

play13:06

Eh Así que no es tan sencillo vale

play13:09

continuamos Eh muchas veces nos pasa

play13:12

serello especial me ha mandado este

play13:14

email porque Eh me ha tocado una factura

play13:17

me ha tocado un premio Vale pues eh

play13:20

puedes ver cuánto tiempo lleva una

play13:21

amenaza en el mercado y saber si ha sido

play13:23

dirigida o no es una de las partes que

play13:26

más utilizamos aquí tenéis parte de

play13:27

nuestras conversaciones internas vale

play13:30

Esta es muy bonita raspberry Robin

play13:32

cuando lo estuvimos estudiando fijaros

play13:34

que la primera resolución es la 127

play13:36

00127 Por qué el malo compra un dominio

play13:39

y le pone una IP de local de lookback

play13:42

Por qué Porque está probando en su

play13:44

laboratorio puedes verle al tío puedes

play13:46

ver tener una información sobre la

play13:47

amenaza que si no de otra manera no

play13:49

tendrías no porque la resolverías y

play13:50

ahora mismo y te daría una única IP vale

play13:52

una de las cosas que hecho de menos que

play13:54

lo he comentado con Sergio Es que este

play13:55

histórico a veces se queda solo en dos

play13:57

años no y para nosotros es muy valioso

play13:59

tuvimos un caso fundamental de infección

play14:02

por gusano vía correo electrónico te

play14:04

infectaba y se reenvía a todos tus

play14:06

contactos vale con lo cual yo creo que

play14:08

también por ahí van a venir muchas cosas

play14:10

en el futuro puesto que quién no se fía

play14:12

si me llega un WhatsApp de alguien

play14:13

legítimo o un email etcétera Vale

play14:15

entonces bueno para animaros con un poco

play14:17

de

play14:21

[Música]

play14:27

vídeo

play14:32

[Música]

play14:35

Bueno realmente es que me apetecía

play14:36

poneros esa canción pero podéis ver lo

play14:39

rápido que progresó paramos se

play14:41

descargaba de kiub unos po shells un

play14:44

repo recién creado los paramos más o

play14:46

menos a las 2 horas pero la que podía

play14:47

haber liado hubiera sido muy grande y

play14:49

aparte descargaba otras cosas de este

play14:51

dominio Pues nada si queremos conocer

play14:53

más del dominio y de La amenaza Aquí le

play14:55

tengo por aquí vale El dominio am

play14:57

julio.com este atacante en alguno de los

play14:59

scripts tenía comentarios en castellano

play15:01

O sea que tenemos que también felicitar

play15:03

un poco al producto nacional no y puedo

play15:05

verle más o menos que lleva trabajando

play15:07

el pollo más o menos en este proyecto

play15:09

desde principios de Julio vale para

play15:10

hacernos una idea es muy interesante ver

play15:14

también creo que por aquí lo voy a ver

play15:15

las muestras cuando la gente ha empezado

play15:17

a subir a vt muestras relacionadas vale

play15:20

Y con lo cual pues Oh no nos sentimos

play15:22

especiales para nada en una una campaña

play15:25

dirigida vale Y voy a ir andando ya

play15:29

tiene una parte super chula de

play15:30

superficie de exposición que eh yo creo

play15:33

que supera muchas veces nuestras

play15:34

capacidades de atender a todas las

play15:36

credenciales robadas pero es super útil

play15:38

y os lo recomiendo que lo utilicéis y Si

play15:40

alguna vez tenéis algún problema de unn

play15:41

compromiso que escribáis a ccn

play15:43

directamente Oye tengo este usuario

play15:44

comprometido a ver qué me podéis

play15:45

encontrar vosotros fijaros que bien

play15:47

educados están estos usuarios las

play15:49

contraseñas que tienen vale no son

play15:51

previsibles ni nada de eso por lo menos

play15:54

vale Y luego nada una bonita integración

play15:56

con nuestro jira vale porque al final

play15:58

con una URL las mismas queries que os

play16:00

estoy poniendo podemos ayar a la lista a

play16:02

tener información mejoras que me

play16:04

gustaría sugerir eh Ya he hablado appis

play16:07

full para usuarios avanzados más de una

play16:09

vez me gustaría poder consumir casi lo

play16:11

que te entrega pues vt o Spy Cloud o

play16:15

alguno de esos vale muy pocas veces hay

play16:17

falsos positivos pero también estaría

play16:19

bien que las fuentes que los Proponen eh

play16:21

lo comentas y me encantaría saber el

play16:23

consumo de fuentes por preparando esta

play16:24

ponencia agot mi número de queries de

play16:26

virus total y ya me han comentado que

play16:28

están preparando distintos roles y con

play16:30

este vídeo acabamos que haido una manera

play16:32

montaje buemos una super producción me

play16:34

agacho para que lo podáis

play16:41

[Música]

play16:44

[Aplausos]

play16:57

oír

play17:04

[Música]

play17:20

[Música]

play17:26

here This is Amazing i to know how to

play17:29

Drive this Thing affirmative I do too

play17:30

It's Almost like Second nature to

play17:42

me you and your weapons are no match for

play17:46

me sequence has been

play17:50

[Música]

play17:52

[Aplausos]

play17:56

[Música]

play17:57

initiated

play17:59

[Música]

play18:06

[Música]

play18:15

Ah this isn't over I'll be

play18:27

back

play18:36

pues muchas gracias a todos por haber

play18:37

venido aquí para mí es una alegría poder

play18:40

estar y haber sido ponente de las

play18:41

jornadas sck agradezco a todo mi equipo

play18:43

a tanta gente adiós por el lujo de estar

play18:45

aquí y nada espero que tengáis una tarde

play18:47

estupenda muchas

play18:57

gracias

play19:18

B

Browse More Related Video

Aplicaciones de Inteligencia Artificial en escenarios de ciberdelincuencia y ciberseguridad - Ósc...

Using Logseq to research and plan for a video

¿Qué necesitas saber si te interesa ser especialista de cine?

Herramientas para la Toma de Decisiones

5 herramientas de IA para potenciar tus estudios

El Big Data en 3 minutos

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
Related Tags
CiberseguridadHerramientasReyesAyuntamientoMadridCiberataquesInvestigaciónEDRInteligenciaSeguridad
Do you need a summary in English?