VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forense en servicios de...

Su Seguridad es Nuestro Éxito

C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48

C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96

[email protected] www.isecauditors.com

Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 | Fax: +57 (1) 638 68 88

Análisis Forense en Servicios de Almacenamiento Remoto

@localhost # whoami Alexandre Rodríguez Domoslawsky CHFI, CEI-forensic, CEH, GPEN, GCIH, OSWP, CISA, CISM e-mail: [email protected]

Analista de seguridad

Hacking ético

Análisis forense

Incidentes de seguridad


mailto:[email protected]

Objetivos de la presentación • Analizar las principales tecnologías de almacenamiento remoto

– ¿Que información se almacena localmente? • Credenciales • Ficheros de configuración • Arquitectura del servicio (servidores tiempo, back-end, front –end) • Cifrado, ofuscado, texto plano • Cuando se desinstala el servicio, ¿que información sigue residiendo localmente?

– ¿Qué sucede en la transferencia y sincronización de archivos? • Conexiones cifradas • ¿Cómo se sincronizan los archivos? • Credenciales


Índice 1. Introducción 2. Dropbox

• Ficheros • RAM • Servicio online

3. Google Drive • Ficheros • RAM • Servicio online

4. Conclusiones


Almacenamiento – Necesidad • Cada vez requerimos mas espacio


Almacenamiento – Necesidad • Estamos mas interconectados


Almacenamiento – Servicios • A mayor demanda, mayor oferta

https://www.preceden.com/timelines/47418-evolution-of-cloud-storage


Cloud – Problemas de seguridad • Vulnerabilidades Software

– Confidencialidad – Disponibilidad – Integridad


Cloud – Problemas de seguridad • Empleo por parte de los usuarios

– Privacidad – Fugas de información


Cloud – Problemas de seguridad • Nuevos desafíos

– Distribución de Malware – RAT – Ofuscación


Cloud – Desafíos para el análisis forense • Tecnología que ves

– Código fuertemente ofuscado (¡privacidad ! .. ¿privacidad?) • Aspectos legales del reversing

– Cifrado de las comunicaciones • Como se sincroniza

– Sólo parte de la solución • Data Carving • Diferentes modos de acceso


Cloud – Desafíos para el análisis forense • .. Y que no ves

– “There’s no cloud, is someone else’s computer”


Índice 1. Introducción 2. Dropbox

• Ficheros • RAM • Servicio online

3. Google Drive • Ficheros • RAM • Servicio online

4. Conclusiones


Análisis Servicios de Almacenamiento - Entorno • Entorno

– Windows 7 32 bits – Firefox – Virtual Box – DropBox Windows – Google Drive Windows

• Cuentas de correo – [email protected] – [email protected] – Usuario del sistema con contraseña




Análisis Forense – Metodología 1. Backup del registro original de Windows 2. Backup del sistema de ficheros original 3. Instalación del servicio remoto 4. Monitorización del sistema de ficheros durante la instalación

o Archivos temporales o Logs

5. Identificación de las modificaciones del registro de Windows o Nuevos valores en claves existentes (NTUser) o Nuevas claves

6. Identificación de las modificaciones del sistema de ficheros o Archivos de configuración locales

7. Ejecución del servicio o Data carving o Comunicaciones o RAM


Análisis Forense – Herramientas Registro

RegShot, Registry Explorer, Reg App, Regedit

Sistema de ficheros Autopsy, FTK, Disk Monitor, Disk utiliy, SQL lite Browser Manager

Cifrado Dropbox Magnetic Forensics, OpenSSL

Comunicaciones Wireshark, netstat

RAM IDA PRO, Process Hacker, Microsoft symbols, strings, IRE py


Dropbox – ¿Qué es? • Todo empezó en 2008

• Muy popular, 400 millones

• Multiplataforma y diferentes accesos

• Cuentas free (2GB-16gB) y profesionales (1TB-5TB)

• Delta Encoding (ahorro de ancho de banda)

• Transferencia segura (SSL y AES-256)

• PRISM


Dropbox – Instalación • La instalación se realiza bajo el profile del usuario y

carpeta de programas – C:\users\aroddom\Dropbox – C:\Program Files\Dropbox

• C:\Users\aroddom\AppData\Local\Dropbox – Carpeta de configuración del servicio

• C:\Users\aroddom\AppData\Roaming\Dropbox – Proceso de instalación y transferencia de ficheros


Dropbox – Proceso de instalación • C:\Users\aroddom\AppData\Roaming\Dropbox\installer\l

– 562e408d : archivo cifrado

• C:\ProgramData\Dropbox\Update\Log – Cifrado, mismo que .dbx


Dropbox – Proceso de instalación • Archivos Prefetch

– C:\Windows\Prefetch\Dropbox.exe-B2C17CD4.pf

– C:\Windows\Prefetch\Dropbox.exe-F5354AA9.pf – C:\Windows\Prefetch\Dropboxclient_3.10.8..exe-DD1118F8.pf – C:\Windows\Prefetch\Dropboxcrashhandler.exe-62E2DC11.pf – C:\Windows\Prefetch\Dropboxinstaller.exe-7CFC3536.pf – C:\Windows\Prefetch\Dropboxupdate.exe-3D36B2FC.pf – C:\Windows\Prefetch\Dropboxupdate.exe-661A090C.pf – C:\Windows\Prefetch\Dropboxupdateondemand.exe-D912AE5B.pf

Actualización Aspecto visual Imágenes de librerías en uso


Dropbox – Proceso de instalación • Claves de Registro

– 884 nuevos valores y 391 nuevas claves – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dropbox – HKLM\SOFTWARE\Dropbox\ – HKLM\SOFTWARE\DropboxUpdate\Update\ClientState\ – HKLM\SOFTWARE\Microsoft\CurrentVersion\Explorer\ShellIconOverlayIdentifier

s\DropBoxExt[1 .. 8]

Ruta de instalación Fecha de instalación Versión del software Fecha de última actualización y sincronización


Dropbox – Configuración local • C:\Users\aroddom\AppData\Local\Dropbox

– Host y Host.dbx, Carpeta local ofuscada en base64 • QzpcVXNlcnNcYXJvZGRvbVxEcm9wYm94 • C:User\aroddom\Dropbox

– Cifrados, Instance_db\ || Instance1\ • instance.dbx • deleted.dbx • Filecache.dbx • Sigstore.dbx


Ficheros locales Hora local de modificación, borrado y creación Ficheros borrados

Dropbox – Servicio Online • Archivos borrados

– Guardados por un máximo de 30 días (wipe local) – Archivos locales, son equivalentes a cualquier otro fichero


Dropbox – Conexiones de red • Conexiones cifradas

– Servidores archivo configuración • C:\Users\aroddom\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content

– Todas las conexiones SSL • 80, 443


Dropbox – Servicio Online • Conexiones establecidas

– Navegadores y hora – Sistema operativo y nombre de equipo


Dropbox – Análisis de RAM • Análisis del volcado RAM de memoria del proceso

– Strings de búsqueda • Authenticate • Mail



– Strings de búsqueda • Value / secure / expires



– Strings de búsqueda • pwd / user • .dbx • Updated /deleted


Dropbox – Análisis de RAM • Es posible obtener

– Dirección de correo – Servidores NTP – Listado de ficheros creados / borrados – Direcciones de red locales – Rutas de carpetas locales


Dropbox – Servicio Online • Análisis del volcado RAM de memoria del proceso

– Strings de búsqueda • password / pwd • mail • .dbx

Usuario


Dropbox – Desinstalación • Información que permanece

– Ntuser\Dropbox (valores borrados) – Archivos prefetch – Ficheros locales sincronizados (carve) – LNK files – Navegador (cache e historia) – Pagefile.sys & Hiberfile.sys


Google Drive - ¿Qué es? • 2012

• 500 millones de usuarios, @gmail.com

• Cuentas free (15gB) y profesionales (hasta 30TB)

• Microsoft y Apple

• SSL, pero no por defecto


Google Drive – Instalación • La instalación se realiza en la carpeta de programas

– C:\Program Files\Google\Drive – C:\Users\aroddom\Google Drive

• C:\Users\aroddom\AppData\Local\Google\Drive – Carpeta de configuración del servicio


Google Drive – Proceso de Instalación • Archivos Prefetch

– C:\Windows\Prefetch\GoogleDrive_sync_1.25.523.2491.C456FGHexe.pf – C:\Windows\Prefetch\GoogleUpdate.exe-12AG5F28.pf

Actualización Aspecto visual Imágenes de librerías en uso


Google Drive – Proceso de Instalación • Claves de Registro

– 896 nuevos valores y 577 nuevas claves – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Google\Drive – HKLM\SOFTWARE\Google\Drive – NTUSER\SOFTWARE\Classes\GoogleDrive\ – NTUSER\SOFTWARE\Google\Drive

Ruta de instalación Fecha de instalación Versión del software Fecha de última actualización y sincronización


Google Drive – Configuración Local • C:\Users\aroddom\AppData\Local\Google\Drive

– Sync_config.db, SQLITE3

Versión del cliente instalado Email Path


Google Drive – Configuración Local • C:\Users\aroddom\AppData\Local\Google\Drive

– Snapshot.db, SQLITE3 – cloud_entry & Local_entry

Ficheros (Timestamp, size, url)


Google Drive – Configuración Local • Después de borrar ficheros

– Snapshot.db, SQLITE3 – cloud_entry & local_entry

Si la posición de la tabla aun no ha sido escrita de nuevo, la información persiste


Google Drive – Configuración Local • Archivos temporales

– C:\Users\aroddom\AppData\Google\Drive\TempData\HttpCache Email de usuario

• 6cc-RunAsync-_OnLogin-3-hkegge


Google Drive – Configuración Local • Registro de actividad – sync_log.log

– Ficheros sincronizados o Strings : Create / delete / modify


Google Drive – Conexiones de red • Conexiones cifradas (información sensible) y no

cifradas – Servidores archivo configuración

• C:\Users\aroddom\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content

– Puertos en uso • 443, 522 ( alive y time stamp)


Google Drive – Servicio Online • Archivos borrados

– Fichero, pre-visualización y timestamp


Google Drive – Servicio Online • Time line

– Dispositivo – Usuario – Timestamp de los archivos – Cuenta compartida


Google Drive – Análisis de RAM • Cliente googledrive_sync

– Strings de búsqueda • User / password / mail • Path • Direcciones de red

Paths locales


Google Drive – Análisis de RAM • Servicio online

– Strings de búsqueda • Value / secure / expires • Mail / user / password

Usuario


Google Drive – Desinstalación • Información que permanece

– Ntuser\Google\Drive (valores borrados) – Archivos prefetch – Ficheros de configuración borrados (carve) – Ficheros locales permanecen

• Sync_log, ..

– LNK files – Navegador (cache e historia) – Pagefile.sys & Hiberfile.sys


Conclusiones • Información que permanece en los sistemas locales

• Aproximación local similar a cualquier análisis forense

tradicional – Importa la memoria volátil – Reversing y de-ofuscación

• Nivel de seguridad incrementado desde las versiones iniciales


Siguientes pasos • Sincronización entre múltiples dispositivos en red local

LAN-sync (Dropbox).

• Investigación acerca de dispositivos móviles y sistemas de ficheros menos empleados

• Arquitectura de la nube


Referencias Cloud Storage Forensics, 2013, Mattia Epiffani

Dark Clouds on the Horizon, 2011, Martin Mulazzani et al.

https://www.magnetforensics.com/free-tool-dropbox-decryptor/

Cloud Storage Forensics, 2011, Darren Quick et al

The Challenges in Cloud Computing Forensics, 2010, George Grispos et al

http://jviensforensicblog.blogspot.com.es/2013/02/dropbox-forensics.html

Looking inside the (Drop) box Dhiru Kholia et al






















Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 | Fax: +57 (1) 638 68 88

VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forense en servicios de...

Internet

Transcript of VI Foro Evidencias Electrónicas en la Investigación Policial. Análisis forense en servicios de...