Program Overview

Using the CSIETE monitoring service, we identified a case of phishing in the region. The analysis provided us with automation elements for more than 20 different brands/products (footwear, clothing, household appliances, travel services, etc.). By implementing automated services, attackers set up online portals with fake online payment services designed to collect credit card, environment and product information. The talk will present our main findings, identifying the key elements and strategies designed by the attackers to build the infrastructure used to host fraudulent services.

Mediante el servicio de monitoreo de marca de CSIETE identificamos un caso de suplantación de una compañía en la región. El análisis nos entregó elementos de automatización de más de 20 marcas/productos diferentes (Calzado, prendas de vestir, productos de hogar, viajes, etc.). Mediante la implementación de servicios automatizados, atacantes configuran portales de venta de productos con falsos servicios de pago en línea destinados a recolectar datos de tarjeta ambientes y productos. El objetivo de la platica es presentar los principales hallazgos, elementos de identificación y las estrategias diseñadas por los atacantes para construir infraestructuras dedicas al hosting de servicios fraudulentos.

Ecuador’s 2017 presidential elections were tainted when the portal where results were published went down. This talk will present an objective technical analysis of the cybersecurity architecture and its operation, from its preparation to incident response. We will also present statistics and the lessons learned.

Las elecciones presidenciales de Ecuador 2017 se vieron empañadas por la caída del portal de publicaciones de resultados. Esta ponencia realizará un análisis objetivo y técnico de la arquitectura de ciberseguridad y su operación, desde la preparación hasta la respuesta a incidentes. Presentaremos las lecciones aprendidas y las estadísticas.

Los indicadores de compromiso (IoC), las listas negras y las listas blancas proporcionan apenas una vista parcial de un ataque cibernético. Dado que cada transacción en Internet —buena o mala— involucra al sistema de nombres de dominio (DNS), los equipos de búsqueda utilizan cada vez más la recolección pasiva de datos de DNS para obtener nueva información y establecer conexiones entre estos IoC estáticos y para obtener nuevos artefactos digitales para sus investigaciones. En esta charla discutiremos la recopilación pasiva de datos de DNS y presentaremos ejemplos del mundo real, desde phishing malicioso hasta campañas de productos farmacéuticos ilegales y mercadería falsificada, para mostrar cómo los equipos de búsqueda utilizan datos históricos de DNS recolectados de forma pasiva para avanzar en sus investigaciones y mejorar significativamente su postura de riesgo. Aprenda a utilizar datos de DNS recolectados en forma pasiva (Passive DNS) para encontrar conexiones entre activos del DNS, desde direcciones IP hasta nombres de dominio y servidores de nombres.

Indicators of Compromise (IoC)s, blacklists and whitelists provide only a partial view of a cyberattack. Since every transaction on the Internet – good or bad – involves the Domain Name System (DNS), hunt teams are increasingly using Passive DNS to gain new information and draw connections among these static IoCs as well as gain new digital artifacts for their investigations. We will discuss Passive DNS collection and provide real-world examples, from malicious phishing to illegal pharmaceutical and counterfeit merchandise campaigns, to show how hunt teams use historical passive DNS data to advance their investigations and significantly improve their risk posture. Learn how to use passive DNS to find connections among DNS assets, from IP addresses to domain names and name servers.

Todo ciberdelito comienza con una persona que toma decisiones. Y las personas son animales de costumbre. Eligen ir a los mismos lugares, eligen los mismos platos del menú... Esto también es cierto en el caso de los criminales, que tienen los mismos patrones de comportamiento. Esta charla presentará diferentes esfuerzos por crear reputación en los proveedores para determinar la prevalencia criminal por ASN, registrador y TLD. Esto permitirá contar con datos que los defensores podrán usar simplemente para bloquear los malos vecindarios de Internet y concentrar sus esfuerzo en los ataques que se producen desde otras ubicaciones. Como parte de la presentación se proporcionarán datos open source y se ofrecerán herramientas gratuitas para los CERT nacionales.

Every cybercrime starts with a person making decisions and people are creatures of habit. They pick the same places to go to, order the same foods, and the same is true for criminals, they have patterns of behavior. This talk will cover several efforts to create reputation on providers to determine criminal prevalence by ASN, Registrar, and TLD. This will provide actionable data so defenders can simply opt to block the Internet bad neighborhoods and focus effort on those attacks that occur from other locations. Open source data will be provided as part of this presentation and free tools for national CERTs will be offered.

How can MANRS actions prevent incidents:

Cómo puede MANRS prevenir incidentes:

• What problems are we trying to mitigate (description of routing security issues).

• How users are affected (real-life example).

• How MANRS actions contribute to mitigate those problems (Description of MANRS actions).

• Where are those actions configured and how users are protected (example)

• ¿Qué problemas estamos tratando de mitigar? (Descripción de problemas de seguridad de enrutamiento)

• ¿Cómo se ven afectados los usuarios? (Ejemplo de la vida real)

• ¿Cómo contribuyen las acciones MANRS a mitigar esos problemas? (Descripción de las acciones MANRS)

• ¿Dónde se configuran estas acciones y cómo se protege a los usuarios? (Ejemplo)

How to use MANRS information in a CSIRT:

Cómo usar información de MANRS en un CSIRT:

• Where is the information available (MANRS observatory overview)

• How can MANRS reduce the diagnosis and troubleshooting time (how to use the Information in the observatory)

• MANRS lab (hands on trainings)

• ¿Dónde está disponible esta información? (Descripción general del Observatorio MANRS)

• ¿Cómo puede MANRS reducir el tiempo de diagnóstico y resolución de problemas? (Cómo usar la información del Observatorio)

• MANRS Lab (capacitación práctica)

How to contribute to MANRS from your CSIRT:

Cómo contribuir a MANRS desde su CSIRT:

• Local Actions (Promoting MANRS)

• Observatory (Use it, provide feedback, notify issues, suggest improvements)

• Local Trainings (MANRS LAB)

• MANRS IXPP

• Acciones locales (promoción de MANRS)

• El Observatorio (usarlo, enviar comentarios, informar cualquier problema detectado, sugerir mejoras)

• Capacitaciones locales (MANRS LAB)

• MANRS IXPP

The first step in solving a problem is to be aware that of its existence. Sometimes, we know something is going on, but we are not aware of how big the problem can be. Abusix handles large amounts of data from different sources around the world and we have prepared statistics that allow us to have a better understanding of the number of incidents that occur within the LAC region.

We will present numbers for the different threats and countries in 2018 vs 2019 so that security teams will have a better idea of the figures they are dealing with and find ways to handle them.

El primer paso para resolver un problema es ser consciente de que existe. A veces sí sabemos que hay cosas malas en marcha, pero no somos conscientes de cuán grande puede ser el problema. Abusix maneja gran cantidad de datos de diferentes fuentes en todo el mundo y hemos preparado algunas estadísticas que nos permiten tener una mejor vista de la cantidad de incidentes que ocurren dentro de la Región de LAC.

Nos gustaría presentar números relacionados con diferentes amenazas y países entre 2018 vs 2019 para que, con eso en mente, los equipos de seguridad puedan tener una mejor idea de la cantidad de cosas que tienen en su plato y encontrar formas de tratarlas.

NXDOMAIN is one of the answers typically ignored or forgotten in the DNS system. This presentation will focus on analyzing the dangers of attempting to modify responses to queries on non-existing domains, how this can affect us as CSIRTs. It will also present a case handled by CEDIA CSIRT and proposals we have prepared for detecting this behavior.

NXDOMAIN es una de las respuestas típicamente ignoradas u olvidadas en el sistema de DNS. En esta exposición nos centramos en analizar los peligros que existen en caso de que se intente modificar las respuestas a queries sobre dominios inexistentes, en qué nos puede afectar como CSIRT, así como exponer una experiencia sobre un caso atendido por CSIRT CEDIA al respecto y propuestas que hemos elaborado para detectar este comportamiento.

Red Team is a highly organized attack group that allows organizations to raise their level of response to incidents designed to perpetrate large-scale data theft with APT attacks. We will present new Red Team use cases and its evolution as a tool for the Caixabank security incident response team.

El Red Team es un grupo de ataque altamente organizado que permite a las organizaciones subir un nivel su respuesta ante incidentes dirigidos al robo de datos a gran escala con ataques APT. Presentamos nuevos casos de uso del Red Team y su evolución como herramienta del equipo de respuesta de seguridad de Caixabank.

The growing influence of cybersecurity on corporate responsibilities means that Incident Response (IR) has gained in importance and also in complexity.

The goal of this presentation is to show alternatives for implementing IR in companies of various sizes and to review new techniques and terminology that attempt to formalize these activities in the various areas of an Incident Response program.

The presentation will begin by reviewing the different stages of the Incident Response process (PICERL). Discussion of relevant aspects to consider when creating an Incident Response team. Identification of the areas that are critical to a company. Discussion of the security tools needed to identify events that require research (free and commercial software). Pre-defined strategies for incident handling (plans, procedures and playbooks). The MITRE ATT&CK Matrix. Manual and automatic correlation of events. Tactics for minimizing damages and accelerating functional recovery. Innovative approaches in IR (analytic SIEMs, SOAR, IA tools).

Con la creciente influencia de Cybersecurity entre las responsabilidades corporativas, la respuesta a Incidentes de segurinda ha ganado en importacia, pero tambien ha crecido en complejidad.

El objetivo de esta presentacion es mostrar, a alto nivel, alternativas para implementar IR en empresas de distinto tamano y revisar nuevas tecnicas y terminologia que intentan formalizar actividades en diferentes areas de un programa de Respuesta a Incidentes.

La presentación comenzara con una revision de las fases del proceso de Respuesta a Incidentes (PICERL). Discusión de puntos importantes para la creacion del un equipo de Respuesta a Incidentes. Identificacion de las areas críticas para la empresa. Discusion de las herramientas de seguridad, necesarias para to identificar eventos que requieren investigacion (software libre y comerciales). Estrategias pre-definidas para remediar incidentes (planes, procedimientos y playbooks). La matriz Attack de Mitre. Correlación manual y automática de eventos. Tácticas para minimizar dano y acelerar la recuperacion de funcionalidad. Enfoques novedosos en IR (analytic SIEMs, SOAR and IA tools).

This presentation will go over the trends that the Spamhaus Malware Labs team saw and analyzed in 2018. There will also be a comparison of data from the previous report regarding the data from 2018 as well. Finally there will be recommendations on sets that can be taken by users, companies, and organizations to mitigate and prevent botnets from infiltrating their networks.

Esta presentación repasará las tendencias observadas y analizadas por el equipo de Spamhaus Malware Labs en 2018. También incluirá una comparación de los datos del informe anterior con los datos de 2018. Por último, incluirá recomendaciones sobre qué pueden hacer los usuarios, las empresas y las organizaciones para mitigar y evitar que sus redes sean infiltradas por botnets.