Sesión 5: Internet evidence finder

La sesión abre con una pregunta ¿en su flujo de investigación en que momento se concentran en investigar los artefactos de internet? 

index.dat - es un archivo que muchas veces se olvida revisar, IE almacena acceso local de los archivos . También es importante recordar analizar la memoria ya que la mayoría de los artefactos de internet se guardan en memoria antes de ir al index.dat y muchos artefactos nunca llegan al disco y se quedan en memoria, si no realizamos una imagen de la memoria es posible que estamos perdiendo información importante. Hay herramientas como EnCase portable o FTK imager que realizan esa recolección de memoria, pero y si no tenemos ninguna de estas herramientas?  Podemos utilizar windump que es una excelente herramienta y puede realizar un dump de la memoria RAM, una vez que hemos hecho la imagen de RAM en donde la almacenamos? La almacenaríamos en un disco duro debido a que en una memoria flash el sistema de archivos FAT32 nos impediría escribir cualquier archivo mayor a cuatro 4GB. Otra razón es la velocidad un USB. Es muy rápido para leer pero muy lento para escribir. 

Ahora tenemos que entender que cada investigación tiene 7 pasos

Preparación - aprender skills técnicos y practicar con las herramientas que tenemos para conocer sus limitaciones, de ahí la regla de todo examinador tenga más de una opción en cuanto a las herramientas. 

Recolección 

Documentación 

Hacer la imagen 

Analizar 

Reportar 

Al momento de recuperar nuestra memoria es importante revisar sí tenemos volúmenes cifrados, en caso de encontrar con un volumen cifrado es importante hacer j a imagen lógica, claro que física es mejor , pero si tenemos una imagen física eso nos dejaría fuera de la información, en cambio con una imagen lógica pasaríamos a través del driver de cifrado y veríamos la información. 

Las acciones cuando realizamos un análisis forense debemos entender el orden de volatibilidad, por lo tanto en nuestras investigaciones lo primera que haríamos sería recuperarla RAM. IEF nos permite adquirir la memoria. Así cómo también nos permite realizar imágenes de discos , recuerde que cuando realizamos una imagen en vivo el hash de nuestra imagen nunca va a coincidir con el original esto solo aplica para imágenes en vivo, en este caso el proceso de hashing unicamente sirve para asegurar la integridad de nuestra imagen. 

IEF nos permite buscar por los artefactos de internet dando soporte a todos los navegadores, cloud storage, programas de chat, correo basé web entre otros. Y buscar en áreas como pagefile.sys, $LogFile, $MFT y el espacio no participando del disco, aquí quiero mencionar que hay una diferencia muy marcada entre espacio no asignado y espacio no particionado, este último no cuenta con un sistema de archivos sin embargo eso no significa que ahí no existió antes una partición con información y esa es información que el usuario no puede ni siquiera tocar debido a que la falta de sistema de archivos.  Aún sin ejecutar la la herramienta de IEF parece una herramientas sumamente fuerte y eficaz capaz de hacer un parsing de 255 artefactos de internet incluidos skype, Facebook, Twitter, dropbox, xbox, gmail, hotmail entre muchos otros. 

En magnetforensics.com/ceic2013/appcentral pueden encontrar enscripts compatibles con EnCase 

Sesión 4: Social & cloud artifacts on SFF

Es definitivamente impresionante como los dispositivos móviles han inundado nuestra vida para el 2016 un tercio de la información de los usuarios estará en la nube. Hablando de forense móvil estamos tratando con smartphones en dónde el teléfono es sólo una aplicación más algo que es preocupante es la cantidad e información volátil que los dispositivos móviles contienen, como la mayoría de ustedes sabe la información encontrada en un dispositivo o móvil no se trata de la misma manera que una of o laptop es necesario aislar de la red lo más rápido posible nuestro dispositivo móvil para proteger la integridad de la información. 

Una de las aplicaciones más utilizadas es Facebook en los siguientes directorios podemos encontrar cosas como última fecha de ingreso, información de GPS aunque!!!! Se hayan apago los sistemas de localización, fotos tomadas fotos subidas a Facebook, usuario de Facebook etc.

Artefactos de Facebook en iOS :

Facebook 

/mobile/Applications/com.facebook.Facebook/library/preferentes/

/mobile/Applicstions/com.facebook.Facebook/library/caches/FBStore[unique charter string]Store.sqlite

/mobile/Applicstions/com.facebook.Facebook/library/caches/imagecache/[caracteres alestorios]noextension

Una aplicación bastante popular aquí hay algunos directorios de interés 

Twitter

/var/mobile/Applicstions[guid de app]/library/preferencias/com.atebits.Tweetie2.plist

/var/mobile/Applicstion/com.ateabis .tweetie2/library/caches/databases /twitter.db global

Una aplicación relativamente nueva es un juego en donde envías fotos, aparentemente las fotos se eliminan del sistema una vez que sin enviadas sin embargo existen directorios en donde encontrar información e incluso la misma foto

Snapchat 

/mobile/Applicstion/com.toyopsgroup.picaboo/tmp/*.mov and *mp4

Un servicio en la nube para cargar y descargar documentos

Dropbox

/mobile/Applications/com.dropbox.getdropbox.Dropbox/library/caches/dropbox[una carpeta por archivo]

Muy parecido a dropbox sin embargo puedes respaldar más información a la nube

Google drive

/mobile/Applications/com.google.Drive/documentos/[nombre de usuario]/

Ahora veamos las mismas aplicaciones pero en android que es sin duda un OS móvil que ha ganado muchísimo terreno no solo por la versatilidad y flexibilidad del sistema sino también ir la eficacia del mismo:

Artefactos de Facebook android:

Facebook

/data/data/com.facebook.katana/databases/prefs_db

/data/data/com.facebook.katana/databases/newsfeed_db

/data/data/com.facebook/katana/cache/image/[nombre de imagen].imag

/data/data/com.facebook.katana/databases/threads_db2

Twitter 

/data/data/com.twitter.andorid/databases/1347905383.db:users

/data/data/com.twitter.andorid/databases/1347905383.db:statuses

/data/data/com.twitter.andorid/databases/1347905383.db:messages

Snapchat 

/com.snapchat.andorid/com.snapchat/shared_prefs/com.snapchat.andorid_prefrences

/data data com.snapchat.andorid/cache received_images snapchat 

/data/media/0/Snapchat/Snapchat- [nonbre de la imagen].jpg

Dropbox 

/data/data/com.android.privider/dowloads/databases/downloads.db

/data/media/0/download/3.pdf

Google Drive

/data/data/com.google.android.apps.docs/shared_prefs/accountFlags[nomvre de usuario]xml

/data/data/com.google.android.apps.docs/cache/filecache2/[nombre único para cada archivo]

Estos son sólo directorios de interés sin embargo es necesario saber como ingresar al teléfono parador extraer o identificar estos directorios, cellebrite es una excelente opción, oxygen forensics, XRY, black bag, Lantern, Andorid Software development  tools entre otras son herramientas que los ayudarán a poder realizar la extracción lógica, física y de sistema de archivos de sus dispositivos móviles, si necesita cualquier información en estas herramientas no duden en contactarme. 

Sesión 3: EnCase + Passware una poderosa unión

Passware es una herramienta de ruptura de contraseñas cuando es utilizados con EnCase las capacidades de esta herramienta aumentan y te permite realizar análisis de memoria y recuperación de contraseñas de internet y de la red, EnCase tiene la capacidad de detectar los archivos protegidos, esta unión existe en base a la regla que dice a mayor complejidad mayor tiempo ahora comenzamos y práctico con los módulos de análisis de descripción utilizando EnCasev7 lo primero es procesar la evidencia para encontrar que archivos están protegidos y de que complejidad:

Ahora exportaremos estos archivos a Passware de el menú de herramientas se selecciona Passware export y se se selecciona la carpeta de destino de los archivos se selecciona exportar y listo 

Passware cuenta con utilidades integradas de Windows OSX y office así como también truecrypt y RAR , Passware funciona tratando de remover las configuraciones contraseña con ataques de diccionario ataques de keyspace ,rainbow tables, análisis de memoria y ataques  de fuerza bruta.

Siguiendo con nuestro ejercicio práctico hacemos una jerarquía dando doble click en la columna de complejidad de protección damos click derecho a algún archivo le decimos abrir con Passware esa acción lleva nuestro archivó a Passware y listo comienza el proceso de obtención de contraseña 

Esta misma acción se utiliza para los distintos tipos de recuperación de contraseña que Passware maneja, se nos muestra que con un i7 tenemos 4 cortes y uno de esos estará ocupado en funciones de OS mientras con GPU tenemos 2688 corre i7 1.2 billones transistores mientras que con GPU GTX Titán son 7 billones de transistores. Así qué ya saben si necesitan velocidad para romper o recuperar contraseñas GPU es la opción. 

Ahora hablemos del análisis de memoria como pagefile.sys o hiberfile.sys 

Veamoslo en un caso práctico abrimos Passware y seleccionamos análisis y descripción de memoria, seleccionamos usuario de Windows y buscamos el archivo deseado en este caso un hiberfile.sys encontró una contraseña aquí cabe mencionar que nosotros tenemos que tener la capacidad de extraer de manera eficaz de extraer estos archivos de momería ya que Passware es una herramienta de análisis y no de extracción de la evidencia.

Sora estamos utilizando el hiberfile.sys para obtener contraseñas de la red 

Y aquí tenemos las contraseñas de la red que han sido almacenadas en memoria el análisis en memoria tiene muchas ventajas así que en sus casos si tienen la oportunidad de analizar estos archivos de memoria, no lo con Passware sino con sus herramientas le recomiendo que lo hagan.

Exhibit hall

Comenzando con mi recorrido de los proveedores lo primero que  me encuentro es a cellebrite los cuales cuentan con una nueva integración llamada LINK análisis el cual toma un dump de cellebrite y genera relaciones entre la información obtenida de nuestros diferentes sospechosos lo más interesante de esto es que te permite obtener información de geoposicionamiento de las llamadas realizadas y recibidas así como también de las redes inalámbricas a las que ese teléfono se conectó y claro obtiene los datos EXIF de las imágenes para ponerlas en un mapa está nueva utilidad integrada hace un mes da mucho más poder de correlación a una herramienta que para mi sigue siendo la mejor en análisis a dispositivos móviles.

Ahora me encuentro con tracks isnspector de fox it una herramienta que para mi trae una buena idea sin embargo si eres un examinador no le verás demasiada utilidad ya que esta diseñada par personas no técnicas que deben revisar la evidencia , otra cosa es que no analiza la evidencia eliminada es decir sólo obtiene información de evidencia viva lo cual es poco decepcionante aún así si ustedes batallan con su jefe que no es técnico les recomiendo esta herramienta.

Evidente tracker es una herramienta utilizada por el ejército de los Estados Unidos en la guerra esto para rastrear ya sea elementos o evidencia que corre en j navegador eso ha e que tu evidencia sea siempre integra debido a que no se almacena de manera local una herramienta realmente increíble para asegurar la cadena de custodia con campos costumizables puedes generar tantos campos como necesites.  

Antes de regresar a las conferencias una última herramienta llamada lightgrep si utilizan EnCase les recomiendo que revisen esta herramienta es un add on para optimizar las búsquedas de EnCase esta herramienta también hace extracción de texto lamentablemente solo lo hace de office07, esta herramienta viene con un enscript que elimina los falsos positivos de tus aciertos de búsqueda, hace fiel carving en base a expresiones de búsqueda y te exporta un xls con el listado de los hallazgos. 

Kayacs forensics 

Si tienes que hacer iOS forensics esta es la herramienta para hacerla! Data carving, info de apps recuperación de conversaciones, vista de galería, recuperación de navegación y sobre todo snapchat que son imágenes que iOS toma de los chats y son recuperables, informacion de passbook y katana es la única herramienta que lo hace le recomiendo que la chequen.

Sesión 2: Analizando shadow copies

Para comenzar es importante recobrar que una shadow copy es sólo eso un copia exacta read only de un volumen que es hecha accesible por medio de la toma de un volumen en su estado actual y sobreponiendo uno o más archivos diferenciales, a veces enanos que esos archivos diferenciales don contenedores son embargó las cosas no son exactamente tan directas pro lo je no podemos tratar a VSS como una serie de contenedores. 

Ahora se nos muestra un ejercicio práctico o en el que se genera un archivo de texto simple después en el panel descontrol en la opción de sistema hemos seleccionado propiedades del sistema y después protección del sistema y ahí creamos un punto de restauración, regresamos al archivo de texto simple cambiamos el texto de una contraseña que se había escrito guardamos y cerramos después damos click derecho en el archivo y decimos abrir versión  es previas el sistema va a besucar en el sistema por el punto de restauración que habíamos realizado y encuentra una versión anterior de nuestro documentó. Esto ha mostrado un poco de como funcionan los puntos de restauración de Windows.

Ahora nos mostrarán como ingresar a información de VSC con EnCase y MS Windows

EnCase no da soporte a VSS de manera nativa, sin embargo podemos tener acceso a la mayoría de info de VSS por medio dl emulador de disco físico de EnCase. Existe un enscript disponible psra montar las VSC en EnCase vss examiner el cual pueden soltarme por medio de este blog.

Para identificar VSC en una ventana de comandos podemos ingresar el siguiente comando: vss admin list shadows /forms este comando desplegara la información de las VSC contenidas en el volumen en el que nos encontramos, una ves que hemos identificado las VCS seleccionamos  la que nos interesa y ejecutamos el siguiente comando: mklink /d c:\vss\001 (dirección de la shadow copy que nos interesa)\ y al regresar a la carpeta vss 001 veremos un restore point montado que peroremos explorar como un volumen simple. 

De ahí en adelante tratamos la información contenida en este volumen como tetaríamos a cualquier otra evidencia que tenemos ya sea con el emulador físico de disco, utilizando el enscript o MS Windows.

Sesión 1: investigaciones en Kindle Fire

En la primera sesión aprenderemos como se lleva a cabo una investigación de Kindle, cierto que no es la tablet más popular pero precisamente por eso es tan importante saber que hacer cuando una llegue ya que hay muy poca documentación de ello 

James Habben nos muestra las diferentes versiones de Kindle:

1g gingerbread  2.3

2g ice cream sandwich  4.0

Kindle Fire HD 7" ice cream sandwich  4.0

Kindle Fire  HD 8.9" ice cream sandwich  4.0 

Todas estas son versiones bastante modificables de android

Ahora un caso práctico por parte de Shelby Mertins de Nebraska State Patrol

Es un caso para encontrar un video de pornografía infantil

Todas las fechas de Kindle se guardan en tiempo de UNIX para convertirlo se pueden vacían en una tabla xls y se aplican fórmulas =LEFT(d4)-3 en dónde d4 es la columna y del valor de último acceso después de revisar las fechas y horas ahora veamos la carpeta de recientes y favoritos  NINGÚN VIRUS COPIA Y PONE UN LINK A NINGUNA CARPETA DE FAVORITOS!!! 

Algunos directorios de interés al hacer una investigación: /data/data/com.amazon.kindle.otter/databases/gardemanager_cache

/data/data/com.amazon.kindle.otter/databases/cloud9_cache.db

/data/data/com.amazon.kindle.otter/databases/otterfaves.db

/data/data/com.amazon.kindle.otter/databases/browsers.db

/data/data/com.amazon.cloud9/databases/brow

/data/data/com.amazon.cloud9/files

/data/data/com.amazon.cloud9/databases/webview.db

/data/data/com.amazon.kindle.otter/databases/avi_cache.db

/data/data/com.amazon.kindle.otter/databases/cloud9_cache.db

/data/data/com.amazon.kindle.otter/databases/gardemager_cache.db

/data/data/com.amazon.kindle.otter/databases/indigo_cache.db

/data/data/com.amazon.kindle.otter/databases/otterfavs.db

/data/data/com.amazon.kindle.otter/databases/redding_cache.db

/data/data/com.android.email/databases/EmailProvider.db

/data/data/com.android.email/databases/EmailProviderBody.db

/data/data/com.android.systemui/databases/webview.db

/data/data/com.android.systemui/databases/webviewCacheChromium

/data/data/com.amazon.webruntime/files/webruntime/config/default/local storage

/data/data/com.amazon.cloud9/files/pages_thumbnail_#guid#

Ahora de manera interna 1g utiliza FAT para una partición  sdcard 

2g no contiene particiones de sistema FAT 

Los archivos se exponente por medio de MTP (media trasnfer protocol)

Y aquí las particiones de los usuarios : 

En la primera línea se muestra la partición de 1g en dónde la información se guarda en userdat con diferentes tamaños de almacenamiento, en la segunda línea se muestra la partición de 2g en dónde la info de apps se guarda en una carpeta llamada media 

Las particiones de Kindle son RO (read only) por lo que no se puede interactuar con ellas, al correr el comando mount estas particiones se montan como /mnt/sdcard vfat rw, noexec....

Los usuarios y grupos son hardcoded en android (no existe el archivo /etc/passwd como en Linux)

Kindle utiliza su propio navegador llamado Amazon silk browser que usa aceleración de l nube la cual puede ser des habilitada, el software de silk corre tanto en Fire como EC2 (elastic computer cloud), la información que se descarga de la nube es enviada en forma comprimida  y el protocolo utilizado por silk es SPDY que mejora HTTP.

Hay tres maneras de adquirir la información de un Kindle Fire 

* capturas de pantalla

* adquisición lógica 

* adquisición física 

Dalvik debug monitor (DDMS/Monitor) tiene una funcionalidad para hacer costuras de pantalla no requiere root se necesita tener USB debugging lo cual es una funcionalidad que en la primera generación está activado de manera predeterminada sin opción a deshabilitar mientras que en 2g esta desactivada por defecto con opción a activarla  y es parte de las herramientas de android \android-sdk\tools sin embargo algo que tenemos que notar aquí es que estas herramientas sdk de android necesitan drivers para funcionar algunos drivers vienen instalados r defecto sin embargo si es necesario descargarlos pueden hacerlo desde http://developer.android.com/tools/extras/oem-usb.html en caso de que no funcionen es necesario instalarlos de manera manual. 

En EnCase se pueden instalar de la siguiente manera :

1- insertar Kindle Fire USB 

2- abrir el device manager

3- encontrar el dispositivo Kindle con el símbolo amarillo que indica un problema de drivers

4- clic derecho actualizar controlador o driver

5- explorar la computadora en busca del driver

6- direccionarlo a C:Program Files\encase7\mobile\drivers

7- permitir uknown publisher

Para verificar los detalles de el driver 

8-  click derecho en device>properties

9- pestaña de talles o details

10-  en el menú desplegable de propiedades seleccionar Hardware lds

11- debe existir un valor VID_#### 

Esto es necesario para que el sistema reconozca el dispositivo y puedas utilizar herramientas como encase7 y otros comandos manuales. 

Otro método de adquisición es poniendo el dispositivo como root, obviamente Amazon no quiere que los usuarios pongan el dispositivo como root para poder poner el dispositivo en root sería bueno que revisaran el research de este foro http://forum.xda-developers.com/showthread.php?t=1307

http://forum.xda-developers.com/showthread.php?t=2192818

http://forum.xda-developers.com/showthread.php?t=1886460

Una ves puesto el dispositivo en root se puede tomar una imagen física del dispositivo con las siguientes herramientas : 

* android busybox que contienen comandos de Linux que de manera nativa android no tiene, de manera específica dd ( disk dump) y nc (netcat).

* Netcat ejecutable para Windows 

Y confirmar acceso con cmd: adb shell

Si al ejecutar obtienes $ no conseguiste el root si tienes # has puesto el dispositivo en root ahora el comando para obtener la imagen sería :

busybox dd if=dev/block/platform/mmci -ompa -hs.1/by -name/ userdata | /data/busybox nc -l -p 5555  

D manera opcional se puede obtener todo el dispositivo con if=/dev/block/mmcblk10 

Y por último hay que abrir una nueva pantalla de comandos en el host con netcat y debemos ejecutar el siguiente comando : netcat localhost 5555 > userdata.dd

CEIC2013 Keynote

Comencemos con el keynote en donde se nos ha informado que mañana tendremos el privilegio de escuchar una presentación por el ex director del NSA y CIA, en este evento vamos a poder ver nuevas  tecnologías de empresas como fire eye y herramientas como cellebrite y EnCase 

sube al estrado el Victor Limongelli CEO de Guidance Software quien anuncio una división de vehicule forensics y anuncia como grandes Twitter, Microsoft entre otras.

Ahora nos muestra la herramienta de fire eye que juntó con EnCase cibersecurity forman  una herramienta sumamente poderosa en la respuesta a incidentes 

Archsight, source fire y 1Qlabs trabajando juntos para hacer la repuesta a incidentes más eficaz, para todos los lectores de esto blog esto es algo básico no se cacen con una herramienta, tengan opciones tanto libres como de paga, tengan lo ques funciona a ustedes y se ajusta a su presupuesto y necesidades. 

Ahora nos muestran App lab de EnCase más de 150 aplicaciones, enscripts y utilidades para hacer de EnCase una herramienta mucho más poderosa y eficaz

http://store.encase.com/appcentral/Pages/default.aspx

Les recomiendo que le hachen un ojo a estas apps muy recomendables para los que se quieren ir temprano a casa y hacer un trabajo eficaz.

EnCase analytics una suite completa de seguridad, ahora nos muestran un demo de la herramienta en la que analizan cuentas de administrador sospechosas, en este caso una cuenta de admin de una compañía de US que se conecta a dominios en China EnCase analytics te permite ver esos dominios y procesos y que tipo de puertos abren, ahora plantean el escenario de un virus o maleare que se propaga en la red de una empresa, EnCase analytics nos permite por medio de valores hash que procesos se corren eso nos da la oportunidad de identificar una infección y mitigarla. Un último escenario en el que se ve que tipo ( por extension) y que cantidades de información se envían a través de la red, oh oh ya descubrieron al que baja películas para toda la oficina! A esperar la primera versión de esta herramienta que se ve prometedora. Asistiremos a utilizar un demo en el both de EnCase. 

Cierra el keynote con un aplauso atronador ahora a las sesiones!!

CEIC 2013

Este año tenemos la oportunidad de estar presentes en CEIC2013 el este evento que ofrece Guidance Software reúne no solo a los miles de usuarios expertos de EnCase sino a examinadores e investigadores  expertos del cómputo forense a nivel mundial, lamentablemente no es posible ingresar a cada una de las conferencias que personalidades como Dave Shaver, Alfred Chung,  Jhon Thackray entre otros ofrecerán, sin embargo si estaré posteando lo más relevante de las conferencias y talleres a los que pueda ingresar. Esta es una oportunidad genial para aprender y espero que al compartirla con ustedes también pueda ayudarles.