Hace 6 años | Por Unregistered a elladodelmal.com
Publicado hace 6 años por Unregistered a elladodelmal.com

Esta semana, nuestros compañeros del laboratorio de ElevenPaths terminaban por publicar su análisis de WannaCry desde el punto de vista de los metadatos. Un enfoque no se había puesto encima de la mesa aún y que ellos han querido tocar de forma minuciosa y que, desde el punto de la investigación forense ha dado muchos frutos en el pasado. Puedes utilizar cualquier herramienta que extraiga metadatos de documentos RTF y analizar los resultados que se obtienen. En las cadenas se puede ver el nombre del usuario que es Messi.

Comentarios

M

#7 Pues a mi me parece una reducción bastante significativa haber pasado de 7 mil millones de personas a solo 75 millones. A lo mejor tú crees que es algo así como "oh, mira, aquí aparece la IP del creador, voy a hacer una interfaz en Visual Basic para localizarlo. Ala, ya está, ya lo he reducido a una persona"

Se empieza por una pista pequeña y se tira de ahí hasta encontrar al autor. Saber desde, aparentemente, qué país se hizo a mi me parece bastante relevante y es una pista más que suma a todas las que se puedan encontrar hasta dar con la persona en concreto.

En cuanto al artículo, el original es este: http://blog.elevenpaths.com/2017/06/wannacry-chronicles-messi-coreano.html

Ovlak

#11 A lo mejor tú crees que es algo así como "oh, mira, aquí aparece la IP del creador, voy a hacer una interfaz en Visual Basic para localizarlo. Ala, ya está, ya lo he reducido a una persona"
Y a lo mejor tu crees que poniendo frases en mi boca que no he dicho vas a llevar más razón.

Si, está muy bien para empezar, pero muy mal para llevar un mes de investigación. Si esos son tus mejores resultados, mejor no los muestres. ¿Quieres mi opinión? Mi opinión es que lo que han averiguado es tan trivial que hay pocos que se preocupen por evitar un "rastro" así, si es que no se ha dejado ahí a propósito ya que hay otros indicios de hace un mes con tanta base como estos que indican que el autor es de habla china y las zonas horarias no lo descartan. Así que volvemos a tener como sospechosos a un cuarto de la población mundial. De chiste...

M

#13 Esto es como una película y los extras. Lo importante es la película, los extras los muestran como curiosidad, y es curioso, están chulos los extras, yo creo que no está mal que los extras también vengan en el DVD, junto con la obra principal que es la película.

Cito:
Es difícil decir algo nuevo sobre el Wannacry (el ransomware, no el ataque). Pero merece la pena investigar cómo trabajó el atacante las horas previas al ataque. No es que nos vaya a permitir descubrir el creador, pero seguro que lo hace un poco "más humano", lanzando preguntas sobre su idioma habitual, localización y cómo empleó las últimas horas creando el ataque.

Considera el artículo como unos extras curiosos sobre toda la investigación que se ha llevado a cabo.

Unregistered

#11 Gracias por el enlace, lo busqué en «Actualidad» de la página en lugar del blog.

Dene

diommio, cuanto comentarista que no tiene ni puta idea de lo que es un análisis forense comentando la noticia... wall

Unregistered

#8 La mayoría no le da importancia al tema de los metadatos, piensan que son tonterías o anécdotas como concentrar arriba y es una fuente inagotable de información, buscando documentos alojados en un dominio (fileext:pdf...) se pueden obtener listas de usuarios, nombres completos de jefes de departamento... incluso información confidencial si no configuran bien el robots.txt etc, pero eso ya es otro tema, aquí se viene a hablar de Messi lol

D

Y se hace las pajas con la izquierda, para que parezca que se las está haciendo otro. Esto también sale en los metadatos.

Ovlak

¿Se han tirado 1 mes para sacar sólo anécdotas? El creador del gusano debe de estar temblando...

Ovlak

#5 seguro que la configuración por defecto de Word en Coreano no les da ninguna pista de la nacionalidad del sujeto
Pobre de mi, ¿cómo no caí en la cuenta de eso? Ya lo han reducido a sólo unos 75 millones de habitantes de la península de corea si no tenemos en cuenta que el coreano lo hablan unos 86 millones. En fin...

D

Mientras no está jugando o defraudando con los impuestos...

dphi0pn

Resumen de la noticia "El del gorro a puesto a trabajar a los becarios"

D

"Al atacante le gusta Messi. O puede que lo odie".
O puede que le encante hacer el capullo, sin más. De ahí al titular, pues eso, un mundo.

D

Buen análisis, por Tutatis.

Mister_T

A lo mejor Messi tiene al mundo muy engañado y es un juanker.

¿De verdad hay que creerse que el tipo que ha creado un malware que puso a medio mundo en jaque es tan descuidado como para dar todas esas pistas sin que estén preparadas?

w

#10 Pues hombre, teniendo en cuenta que a gente como Al Capone le metieron en la carcel por no pagar los impuestos... no me pareceria nada raro.

No olvidemos que, generalmente los ataques tan extremadamente planificados, observando todas las posibilidades y puliendo todos y cada uno de los detalles... no son algo tan habitual.

Y tampoco es que se haya dejado un DNI con su dirección

C&P "Podría ser coreano (UTC+9), pero también de cualquier zona entre UTC+3 y UTC+12 como podéis ver en la infografía superior."
Vamos que ...se supone que es Asiatico y que podria estar en un tercio del planeta lol

Saludos