Desafío 24 de ESET Latinoamérica: Posible fuga de información confidencial

Este nuevo reto está relacionado con el uso de técnicas para el cifrado de datos y algunas formas de ocultar información. Desde el equipo de Laboratorio de Investigación de ESET Latinoamérica esperamos que les resulte entrentenido.

Imagen del reto En una empresa se ha detectado que el segundo hábil de cada mes, desde el buzón de correo electrónico de un empleado de contabilidad se están enviando correos electrónicos a una dirección de la competencia con un contenido algo particular.

Cada uno de los mensajes contiene un archivo en formato JPG y otro archivo sin formato. La información dentro de este último archivo resulta ilegible, por lo cual se sospecha que pueda contener algún tipo de información sensible de la empresa, dada la regularidad en el envío de mensajes y el destino. A continuación presentamos el texto en formato hexadecimal que se puede ver en el archivo:

7e f2 13 db 45 52 23 1c d5 12 bc db 9c 19 bc 64 f7 9f e8 01 da 87 8e 05 b0 1f 84 02 1d af 01 80 60 60 e5 f1 fd 36 6d ac d4 57 53 26 84 90 01 21 44 67 a8 83 a6 e9 c2 e3 09 b1 26 77 5f 42 52 ba 59 f4 c2 47 34 a8 be 5f fa c9 53 50 51 5b 44 f2 43 ea 19 5b 58 6a 31 a2 99 8e 79 eb d3 29 e8 96 23 21 1b 7d 8e dd dd f2 69 2c e6 59 9e 4f a1 2b ba d1 74 a1 20 c4 00 41 1c 43 3c 02 57 ec 6f 2c c9 23 ad 11 7a f8 f6 6c fc 49 c1 00 77 ec b2 5d f0 ef 79 74 19 63 2f 75 f9 a8 c0 f7 8f 20 e4 25 99 a4 79 de 30 e6 36 95 40 4d 0d 92 22 49 16 89 4a 29 34 1a 01 f1 a3 0d 46 20 6f 82 41 00 91 19 0b 54 3f 80 2c f3 18 09 37 65 7b 04 4a 16 50 b6 89 b5 a1 3b ae b7 2d df 40 d3 33 e9 00 8a 05 23 f3 33 4c de 98 9a 0d d8

De acuerdo a uno de los analistas de seguridad de la empresa, el texto pareciera estar estar codificado con 3DES, pero no se ha podido determinar si utiliza o no vector de inicialización. Uno de los aspectos más importantes al momento de tratar de descifrar la información es el formato de entrada que la herramienta necesita. Por ejemplo, algunas herramientas necesitan que el texto codificado este sin espacios.

El inconveniente es que no se ha podido determinar la llave para conocer el tipo de información se encuentra dentro del archivo. La única pista que se tiene es el archivo JPG  pues se encontraba en todos los mensajes de correo electrónico.

Se pone a disposición de usted como analista el archivo sin formato y la imagen que estaban adjuntos en el último correo enviado, con el objetivo de determinar si hay algún tipo de información confidencial dentro del mismo y de esta forma iniciar un proceso disciplinario al empleado de ser necesario.

Para solucionar el desafío se deben descargar los archivos suministrados y determinar la información que contiene el archivo sin formato y la recomendación que usted como consultor de seguridad le daría a la empresa con respecto al empleado.

Condiciones del concurso

La respuesta a este desafío debe brindarse a través de un comentario y consiste en describir cuál fue el hallazgo realizado con una explicación de cómo llegó a ella. El desafío está abierto para que pueda participar cualquier persona y la primera persona que conteste correctamente, y que no haya sido ganador de los últimos 5 desafíos publicados, se ganará una licencia válida por 1 año para la última versión de nuestra solución de seguridad integral: ESET Smart Security.

La próxima semana, se publicará la solución con los pasos necesarios para resolver el desafío y el listado de aquellos que respondieron correctamente. Además en el transcurso de la semana estaremos actualizando este post con algunas pistas sobre lo que debería tenerse en cuenta para llegar a solucionar el desafío. Finalmente, recordamos que no brindaremos información adicional por redes sociales durante esta semana para darle tiempo a aquellos que están realmente intentando resolver el desafío.

Actualización 4 de Septiembre – Pista para resolver el Desafío.

Para los usuarios que estén tratando de resolver este desafío hay algunas cuestiones que deberán tener en cuenta. Por ejemplo pueden empezar consultando los metadatos de la imagen para tratar de detectar algún tipo de información que no corresponda con lo que habitualmente se vería en este tipo de campos. Para esto existen herramientas como exiftool que ayudan en esta búsqueda de información. Además hay que tener en cuenta que cuando abrimos una imagen por defecto utiliza una herramienta que visualiza la información, pero ¿qué pasaría si abrimos el archivo con un editor de texto?. En este caso seguramente vas a notar al final del archivo que hay información que no corresponde.

También es importante mencionar que en casos de fuga de información, cifrar la información en otros sistemas numéricos como base64 o base8 puede ser una forma de ofuscar los datos robados. Cuando finalmente encuentres la clave para descifrar la serie, te recomendamos dos herramientas online que pueden ayudar con la tarea de descifrar: Online decrypt tool ó Online Domain Tools

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research

Autor , ESET

  • SSS

  • Ronal Solis

    Algun troyano vinculado a un programa de confianza, o manipulación de otra persona en el ordenador para meter un Keylogger, un cortafuegos mal configurado manipulado o saboteado.. tener un mal Antivirus

  • Inspector

    Luego de descomprimir el archivo analise la imagen con un editor hexadecimal y encontré en la parte final una secuencia de caracteres agregados despues de la estructura del formato jpg. que fue la siguiente:

    TWVqb3IgaGFjZXIgY3VlbnRhcyBlbiBCYXNlLTEw=
    UGFydGUgMi8yIC0+IDYwNTYsIDQwMjAyNiwgMTAyMjYxNjI1MDYsIDQ0MTczNDYwNDI1NDY=
    TGEgY2xhdmUgZXN0YSBlbiBlbCB0ZXJtaW5vIDkgZGUgbGEgc2VyaWUgcGFyYSBlbCBhbGdvcml0bW8gM0RFUyAoRUNCKQ==

    Los caracteres ‘=’ al final de cada linea me llevaron a pensar que estaba codificado con el sistema Base64, solo que inicialmente solo pude decodificar las dos ultimas lineas, ya que para la primera linea habia que quitar el igual del final para decodificarla

    Mejor hacer cuentas en Base-10
    Parte 2/2 -> 6056, 402026, 10226162506, 4417346042546
    La clave esta en el termino 9 de la serie para el algoritmo 3DES (ECB)

    Fijándome en la segunda linea que hablaba de la existencia de una primera parte la cual no se encontraba ahí me fije en el inicio del archivo y encontré otra secuencia similar:

    UGFydGUgMS8yIC0+IDEwLCAyMiwgMjEzNg==

    que al decodificarla con el mismo sistema decía:

    Parte 1/2 -> 10, 22, 2136

    Al fijarme en la imagen y observar que la tabla del fondo tenia la secuencia de numeros del sistema octal, y al fijarme en la pista de ‘Mejor hacer las cuentas en Base-10’ supuse que debia cambiar de base la secuencia numercia que aparecia allí y obtuve la siguiente secuencia:

    8,18,1118,3118,132118,1113122118,311311222118

    Era una secuencia desconocida por lo que probé colocándola en google y obtuve una pagina donde encontré la secuencia completa ademas de una explicación sobre como se formaba y como la pista decía que el código del 3DES estaba en el termino 9 de la serie probé y encontré el siguiente texto:

    Gerente General: Juan Antonio Saavedra Teléfono celular: +54-165421654 Dirección: Calle 28 N 28 Salario: USD 14500 Cuenta Bancaria: 125465895346 Banco Condor Clave: 8888 Tarjeta de credito: 8568 8548 8658 8328 Cod seguridad: 628

    Por lo cual considero que el empleado esta enviando información sumamente confidencial y debe ser investigado para ver que otro tipo de información envió y las personas involucradas deben tomar medidas sobre la información que ha sido divulgada.

  • Buen Día, la forma como obtuve la respuesta fue esta:

    Luego de descomprimir el archivo analise la imagen con un editor hexadecimal y encontré en la parte final una secuencia de caracteres agregados después de la estructura del formato jpg. que fue la siguiente:

    TWVqb3IgaGFjZXIgY3VlbnRhcyBlbiBCYXNlLTEw=
    UGFydGUgMi8yIC0+IDYwNTYsIDQwMjAyNiwgMTAyMjYxNjI1MDYsIDQ0MTczNDYwNDI1NDY=
    TGEgY2xhdmUgZXN0YSBlbiBlbCB0ZXJtaW5vIDkgZGUgbGEgc2VyaWUgcGFyYSBlbCBhbGdvcml0bW8gM0RFUyAoRUNCKQ==

    Los caracteres ‘=’ al final de cada linea me llevaron a pensar que estaba codificado con el sistema Base64, solo que inicialmente solo pude decodificar las dos ultimas lineas, ya que para la primera linea debí que quitar el igual del final para decodificarla lo que dió como resultado.

    Mejor hacer cuentas en Base-10
    Parte 2/2 -> 6056, 402026, 10226162506, 4417346042546
    La clave esta en el termino 9 de la serie para el algoritmo 3DES (ECB)

    Fijándome en la segunda linea hablaba de la existencia una primera parte que no se encontraba ahí me fije en el inicio del archivo y encontré otra secuencia similar:

    UGFydGUgMS8yIC0+IDEwLCAyMiwgMjEzNg==

    que al decodificarla con el mismo sistema decía:

    Parte 1/2 -> 10, 22, 2136

    al fijarme en la imagen y observar que la tabla del fondo tenia la secuencia de números del sistema octal, y al fijarme en la pista de ‘Mejor hacer las cuentas en Base-10’ supuse que debía cambiar de base la secuencia numérica que aparecía allí y obtuve la siguiente secuencia:

    8,18,1118,3118,132118,1113122118,311311222118

    La secuencia se trata de frecuencia-numero el primero es un 8 y el segundo es 1-8 luego 1-1 y 1-8 completándola hasta llegar la noveno termino sería:

    1113122113121113222118

    Número que al ser utilizado como clave en el descifrado del archivo sin espacios, y con el algoritmo 3DES (ECB) obtuve el siguiente mensaje.

    Gerente General: Juan Antonio Saavedra Teléfono celular: +54-165421654 Dirección: Calle 28 N 28 Salario: USD 14500 Cuenta Bancaria: 125465895346 Banco Condor Clave: 8888 Tarjeta de credito: 8568 8548 8658 8328 Cod seguridad: 628

    Por lo cual considero que el empleado esta enviando información sumamente confidencial y debe ser investigado con el fin de saber que otro tipo de información envió y tomar las medidas de modificación de datos.

  • La información contenida en el archivo sensible es la siguiente:
    Gerente General: Juan Antonio Saavedra Teléfono celular: +54-165421654 Dirección: Calle 28 N 28 Salario: USD 14500 Cuenta Bancaria: 125465895346 Banco Condor Clave: 8888 Tarjeta de credito: 8568 8548 8658 8328 Cod seguridad: 628

    Se descifró la información a través del siguiente script: http://privatepaste.com/05affc93e2

    El modo de operación ECB no utiliza el vector de inicialización, por lo que no es necesario utilizarlo en la función mcrypt_decrypt.

    La recomendación para la empresa es revisar los términos del contrato laboral, y proceder legalmente.

  • Marlon Jarquin

    que buen programa antivirus les deseo exitos

  • Gerente General: Juan Antonio Saavedra
    Teléfono celular: +54-165421654
    Dirección: Calle 28 N 28
    Salario: USD 14500
    Cuenta Bancaria: 125465895346
    Banco Condor
    Clave: 8888
    Tarjeta de credito: 8568 8548 8658 8328
    Cod seguridad: 628

    Mi recomendación es que compren su licencia y usen ESET Smart Security.

    Saludos!

  • Matias

    Hola me presento, me llamo matias, tengo 24 años y estudio ing en informática. Bueno logre resolver el desafio (me entretuve mucho y aprendi cosas nuevas jaja) ¿Que contiene el archivo cifrado? la respuesta es:

    Gerente General: Juan Antonio Saavedra Telefono celular: +54-165421654
    Direccion: Calle 28 N 28
    Salario: USD 14500 Cuenta Bancaria: 125465895346 Banco Condor
    Clave: 8888 Tarjeta de credito: 8568 Cod seguridad: 628..

    Obviamente habrá que tomar severas medidas ya que esta enviando informacion personal del gerente general.

    Bien ahora paso a contarles como lo resolvi.

    1)la imagen muestra un 8 y detras de el una serie de numeros donde no figura el 8 y el nuevo por lo tanto se trata del sistema numerico en base8

    2) si abrimos la imagen con un editor de texto vemos muchos caracteres ascci sin sentido y algunas cosas legibles. Entonces decidi buscar un programa para analizar metadatos de un archivo, para esto use uno que se llama exiftool-9.35 (dentro de la imagen menciona dicho programa con una version anterior) el resultado fue:

    http://i.imgur.com/RMdKfSf.png

    Podemos ver queen location creator y comment hay un string que pareciera estar sifrado.. pero en que? imagine que en base64 busque un decrypter online y por suerte se trataba de eso!!!

    http://i.imgur.com/8WyHngu.png

    “mirar desde adentro” significa que habia mas codigo oculto y asi fue.. habia mas cadenas encriptadas en base 64 al final del archivo:

    http://i.imgur.com/KsyKbbu.png

    http://i.imgur.com/zle1D6O.png

    era una serie pero estaba en base-8 como estamos acostumbrados a operar en base 10 use la calculadora de windows para hacer las conversiones pero previamente tube que deducir la serie, es decir como se forma esta:

    si pasamos la primera parte a base 10 tenemos que :

    8,18,1118 es equivalente a 10,22,2136

    Entonces utilizando la que esta en base 10: 8,14,1118 vemos que se forma de la siguiente manera:

    -Empieza con un 8 entonces para el siguiente termino digo: tengo un ocho 18
    -para el siguiente digo: tengo un uno y uno ocho: 1118
    -para el siguiente: tengo tres unos y un ocho: 3118 y asi susevamente.

    como unas de las pista decia lo siguiente:

    http://i.imgur.com/k8S3xkM.png

    y luego otro de los string decia:

    “La clave esta en el termino 9 de la serie para el algoritmo 3DES (ECB)”
    calcule en decimal dicho termino:

    1113122113121113222118

    Entonces entre a esta pagina (http://tripledes.online-domain-tools.com/) para intentar desencriptar el texto cifrado empleando como key el 9º termino de la serie el cual es: 1113122113121113222118 y el resultado fue :

    http://imgur.com/RMdKfSf,8WyHngu,KsyKbbu,zle1D6O,k8S3xkM,mBD9TMJ#5

    Asique espero ansioso el próximo desafió jaja Saludos!

  • asi ya ni modo toco perder 4 días intentando descifrarlo y nada, hasta la cabeza me duele

  • Mariano

    Estimado Camilo, llegue a conseguir todas las pistas al momento que inició el desafío pero no logro descifrar la progresión para llegar a la posición 9 de la serie. Lamentablemente para mí las pistas no me sirvieron. Estaré al tanto del desafío para ver si alguien pudo sacarlo. Le envío un cordial saludo.

  • SteckMera

    Después de analizar los metadatos con exiftool (incluida en Kali Linux) tanto en los campos Location, Creator y Comment contenían información codificada en base64 respectivamente era lo siguiente:

    QmFzZS04=
    (Base-8)

    UGFydGUgMS8yIC0+IDEwLCAyMiwgMjEzNg==
    (Parte 1/2 -> 10, 22, 2136)

    UGFyYSBlbmNvbnRyYXIgbGEgaW5mb3JtYWNpb24gcmVzdGFudGUgaGF5IHF1ZSBtaXJhciBsYSBpbWFnZW4gZGVzZGUgYWRlbnRybw==
    (Para encontrar la información restante hay que mirar la imagen desde adentro)

    Después de esto verificar el contenido de la imagen, simplemente con el comando “strings” se pueden observar al final otros datos cifrados en base64:

    TWVqb3IgaGFjZXIgY3VlbnRhcyBlbiBCYXNlLTEw=
    (Mejor hacer cuentas en Base-10)

    UGFydGUgMi8yIC0+IDYwNTYsIDQwMjAyNiwgMTAyMjYxNjI1MDYsIDQ0MTczNDYwNDI1NDY=
    (Parte 2/2 -> 6056, 402026, 10226162506, 4417346042546)

    TGEgY2xhdmUgZXN0YSBlbiBlbCB0ZXJtaW5vIDkgZGUgbGEgc2VyaWUgcGFyYSBlbCBhbGdvcml0bW8gM0RFUyAoRUNCKQ==
    (La clave esta en el termino 9 de la serie para el algoritmo 3DES (ECB))

    La seria esta claro estaba en base 8 al pasar todo a base 10 queda de la siguiente forma:

    8,18,1118,3118,132118,1113122118,311311222118 (Pistas)

    13211321322118,1113122113121113222118 (Serie 8 y Serie 9)

    Al utilizar la serie 9 (1113122113121113222118) como la clave para descifrar el contenido del archivo en la herramienta online http://tripledes.online-domain-tools.com/

    obtenemos:

    Gerente General: Juan Antonio Saavedra
    Telefono celular:+54-165421654
    Dirección:Calle 28 N2 8
    Salario:USD 14500
    CuentaBancaria:125465895346
    Banco Condor
    Clave:8888
    Tarjetadecredito:8568854886588328
    Codseguridad:628..

    El empleado sin duda esta enviando información confidencial que puede perjudicar de manera grave a propietario de los datos..

    Mi recomendación seria investigar el movimiento de la cuenta o tarjeta de crédito para detectar alguna transacción sospechosa, tomar las medidas oportunas como denuncia, despido etc…..

Síguenos