SpyFiles

Análisis de FinFisher
y los Conflictos Políticos del Malware as a Service
FIB-UPC / SI
Javier Ferrer

-

Jaume López

-

2014/12/15
Marc Vijfschaft

Disclaimer
● Vídeo de la presentación de este trabajo:
https://www.youtube.com/watch?v=WUMVmNDckD4

● Post con más información:
http://javierferrer.me/finfisher-conflictos-politicosmalware/
2

Contenidos
● Introducción
● SpyFiles
● Análisis Forense
● Conflicto Político
● Conclusión
● Referencias
3

Introducción ● WikiLeaks ● Gamma International 4 .

Introducción > WikiLeaks ● Protección de la fuente ● Proceso de verificación ● Caso Collateral Murder 5 .

I > Gamma International ● Comercializa FinFisher ● Venta a gobiernos ● “Corporación enemiga de internet” en 2013 por RSF ● Sedes en Alemania y Reino Unido 6 .

SpyFiles ● Leak WikiLeaks ● Suite FinFisher ○ Infraestructura ○ FinSpy PC 7 .

SpyFiles > Leak WikiLeaks ● 4 Leaks publicados desde 2011 ● 95 compañías en 25 países 8 .

SpyFiles > Suite FinFisher ● Malware as a Service ● Software alegal 9 .

10 .

SpyFiles > Infraestructura 11 .

SpyFiles > FinSpy PC ● Permite control remoto ● Espiar conversaciones de Skype y otros programas de mensajería ● Envío masivo de datos 12 .

Análisis Forense ● Métodos de infección ● Comportamiento 13 .

exe” ○ Tras ejecución deja imagen original 14 .1bajaR.jpg” UTF-8 en ANSI: “gpj.AF > Métodos de Infección ● Email ○ Imagen y comprimidos ○ Right To Left Override ■ ■ Carácter U+202E: “exe.Rajab1.

AF > Métodos de Infección ● FinFly USB ○ Bootable ○ Infecta MBR 15 .

AF > Métodos de Infección ● Actualizaciones falsas ○ iTunes ○ Blackberry OS ○ Flash Player ● Plugin Firefox 16 .

AF > Comportamiento ● Ejecuta comportamiento esperado ○ Muestra imagen ○ Progreso de actualización ● Copia ejecutable en carpeta aleatoria de TMP 17 .

AF > Comportamiento ● Modificación valores RegisterClassExW y CreateWindowExW en IAT mediante User32.dll ● Ollydbg e IDA Pro pasan por alto estas rutinas ● Se puede detectar manualmente 18 .

AF > Comportamiento 19 .

AF > Comportamiento ● Inyecta dll para comunicarse con Master ● Código encriptado. XOR para desencriptar 20 .

Conflicto Político ● Casos reales ● Legislación 21 .

CP > Casos Reales 22 .

activista en la revolución de Baréin de 2011 23 .CP > Casos Reales ● Baréin: Shehab Hashem.

CP > Casos Reales ● Egipto con disidentes durante la Primavera Árabe 24 .

tenemos el caso SITEL 25 .CP > Casos Reales ● Etiopía con objetivos concretos de la oposición Ginbot 7 y población en general ● En España no hay indicios de uso. no obstante.

CP > Casos Reales ● Etiopía con objetivos concretos de la oposición Ginbot 7 y población en general ● En España no hay indicios de uso. tenemos el caso SITEL 26 . no obstante.

CP > Casos Reales 50 millones de € 27 .

CP > Legislación ● Considerar la venta de malware al nivel de la venta de armamento ● Algunas normativas en ciertos estados de EEUU ● No hemos encontrado nada en España 28 .

Conclusión ● Malware que requiere alto nivel de conocimientos ○ Medidas de contra-espionaje ● Legislación no a la altura ● Gobiernos hipócritas ○ Ministro de exteriores Alemán 29 .

youtube. Collateral Murder [Online]. Julio 25). (2013). Disponible: https://wikileaks. (2011. Disponible: http://surveillance. (2011. Disponible: http://blogs. (2014. Disponible: http://www.org/wiki/WikiLeaks:Tor ○ [3] WikiLeaks.pdf Análisis Forense ○ Metodos de infeccion ■ [1] The citizen Lab. Mayo 05). (2013. Surveillance Company Says It Sent Fake iTunes. Disponible: https://wikileaks. About [Online].FinFisher: un Malware “legal” que está siendo utilizado por cuerpos gubernamentales para espiar remotamente a usuarios bajo sospecha [Online. Abril 05). (2011.com/Default. (2010. Home Page [Online]. Disponible: https://www. Septiembre 15) Remote Monitoring Solutions [Online]. Noviembre 21).] Disponible: http://www. Disponible: https://www.aspx ○ [6] Reporters without borders. Abril 05).es/blog/2012/finfisher/ ○ [2] WikiLeaks.gammagroup. org/spyfiles4/documents/FinSpy-Catalog.rsf.wikileaks.org/About. org/en/wp-content/uploads/sites/2/2013/03/enemies-of-the-internet_2013. WikiLeaks:Tor [Online].com/ ○ [4] WikiLeaks.org/spyfiles/list/company-name/gamma. The SpyFiles > List of documents > Company Name > GAMMA [Online].Referencias ● ● ● Introducción ○ [1] WikiLeaks.pdf ○ [7] WikiLeaks. Disponible: https://www.com/watch? v=5rXPrfnU3G0 ○ [5] Gamma Group.collateralmurder. From Bahrain With Love: FinFisher’s Spy Kit Exposed? [Online]. Diciembre 01).satinfo. Enemies of the Internet [Online]. Disponible: https: //citizenlab. Flash Updates [Online]. Marzo 12). Agosto 21). (2012.org/2012/07/from-bahrain-with-love-finfishers-spy-kit-exposed/ ■ [2] Digits. Collateral Murder Video [Online].html SpyFiles ○ [1] Satinfo.com/digits/2011/11/21/surveillance-company-says-it-sent-fake-itunes-flash-updates-documents- 30 .html ○ [2] WikiLeaks. Disponible: https://wikileaks. (2010. (2012.wsj.

org/spyfiles/files/0/289_GAMMA-201110-FinSpy. (2014. Disponible: https://finfcuker. FinSpy analysis Round 1 [Online]. Disponible: https: //www. Disponible: https://wikileaks. Septiembre 19). Remote Monitoring & Infections Solutions [Online].Referencias ● Análisis Forense ○ Comportamiento del virus ■ [1] Coding and Security.wordpress. FinFisher Malware Dropper Analysis [Online]. Abril 05).com/FinFisher-Malware-Dropper-Analysis ■ [2] FinFucker (2014. com/2012/08/ ■ [3] WikiLeaks. (2010.codeandsec.pdf 31 . Agosto 24).

Disponible: https://community. (2011.Referencias ● Conflicto Político ○ Casos reales ■ [1] Morgan Marquis-Boire. Septiembre 15) SpyFiles 4 [Online]. Septiembre 21). Junio 12).html ■ [6] WikiLeaks. You Only Click Twice: FinFisher’s Global Proliferation [Online].com/uk/2012/nov/28/offshore-company-directors-military-intelligence ■ [8] John Glenday. The Register (2011. Octubre 24). UK firm denies supplying spyware to Mubarak's secret police [Online]. Disponible: https://www. UK firm denies supplying spyware to Mubarak's secret police [Online].com.f-secure.es/p/about-me.rapid7. F-Secure (2011. Claudio Guarnieri. FinFisher Intrusion Tools and Ethics [Online].com/community/infosec/blog/2012/08/08/finfisher ■ [3] Shehab Hashem.com/weblog/archives/00002114. Analysis of the FinFisher Lawful Interception Malware [Online]. Disponible: https://citizenlab.thedrum.theguardian. About me [Online]. The Drum (2013. (2012. Agosto 08).org/spyfiles4/ ■ [7] Mikko Hypponen. html ■ [4] John Leyden. Marzo 08).com/news/2013/10/24/us-spying-row-escalatesangela-merkel-claims-personal-mobile-phone-was-hacked 32 . Disponible: https://wikileaks. Disponible: http://acoockie. Septiembre 21). Marzo 13).org/2013/03/you-only-click-twicefinfishers-global-proliferation-2/ ■ [2] Claudio Guarnieri. The Register (2011.uk/2011/09/21/egypt_cyber_spy_controversy/ ■ [5] John Leyden. Disponible: http://www. y John Scott-Railton.theregister. US spying row escalates as Angela Merkel claims personal mobile phone was hacked [Online]. Disponible: http://www.blogspot.co. Egypt. (2014. (2013. Bill Marczak. Disponible: http://www.

FinSpy Surveillance Tool Takes Over Computers [Online].com/video/finspy-surveillance-tool-takes-over-computers-jEyQ3lz_QwWSMWXFIAl28Q. (2013.azleg. (2012.asp? inDoc=/ars/44/07302. Disponible: https: //www. Diciembre 13). claims Julian Assange in latest Wikileak [Online]. Julio 05). ¿Nos espía Rajoy? El Gobierno escruta sin control judicial llamadas y correos electrónicos [Online]. com/news/2014/09/16/germanys-merkel-hypocritical-online-privacy-finfisher-spy-malware-exports-claims ■ [10] José Luis Lobo. Diciembre 13). Article 1 General Provisions.html ■ [2] National Conference of State Legislatures. Prohibited activities.aspx ■ [3] Arizona State Legislature (2013. Diciembre 31).bloomberg. applicability. The Drum (2014.elconfidencial.fiscal.Referencias ● Conflicto Político ○ Casos reales ■ [9] John McCarthy.ncsl. Germany's Merkel hypocritical on online privacy with FinFisher spy malware exports.thedrum. Disponible: http://www.pdf?idFile=61f7b101-ff59-4bac-b9445a630529be9f 33 .es/fiscal/PA_WebApp_SGNTJ_NFIS/descarga/d4_v1c3. Actividad del Ministerio Fiscal.com/espana/2013/07/05/nos-espiarajoy-el-gobierno-escruta-sin-control-judicial-llamadas-y-correos-electronicos-124355 ○ Legislación ■ [1] Bloomberg. Disponible: http: //www. Septiembre 16). [Online]. Disponible: http://www. Disponible: http: //www.htm&Title=44&DocType=ARS ■ [4] Fiscal General del Estado (2014. Disponible: http://www. El Confidencial (2013.org/research/telecommunications-and-information-technology/state-spyware-laws.gov/FormatDocument. Capítulo III [Online]. State Spyware Laws [Online]. Chapter 30 Computer Spyware. Julio 22).

SpyFiles ¿Preguntas? FIB-UPC / SI Javier Ferrer - Jaume López - 2014/12/15 Marc Vijfschaft .