Vuelvo y repito que la intención de esta serie de post no es ofrecer el solucionario según los requerimientos exigidos por los desarrolladores del Reto. El objetivo de estos post es simplemente generar un espacio de discusión sobre los aportes que se realicen en pro de realizar de la mejor manera el análisis forense digital de dicho esceneario propuesto.

Por lo tanto vamos entonces a realizar la recolección de datos volátiles y la preservación de la evidencia (Procesos más importantes en todo Análisis Forense Digital)

La idea es que yo proponga un método o técnica y los lectores sugieran otras o aprueben las aquí nombradas

Como primera medida y según el escenario propuesto, tenemos que meternos en el papel de analistas forenses, y que recién hemos llegado a la escena del crimen… En esta escena nos encontramos frente a un computador desde el cual se sospecha que se realizan actividades ilícitas relacionadas con ciber acoso y pedofília.

Apagar o no apagar?… Por mi parte sugiero se realice un volcado de memoria, con el objetivo de recolectar información volátil y alojada en memoria, la cual nos permitirá obtener datos de alta importancia y que son altamente volátiles si no se realiza el proceso de volcado antes de reiniciar o apagar el equipo… Veamos:

Conectaré un dispositivo de almacenamiento USB con el objetivo de ejecutar la herramienta FTK Imager y realizar un volcado de memoria.

Sistema en el momento que llegamos:

Conexión del dispositivo de almacenamiento por USB

FTK Imager (Versión Portable)

Instrucción para el volcado de memoria

Información de los datos a exportar

Proceso de volcado de memoria en ejecución

Extracción finalizada

Una vez recolectado el volcado de memoria procedemos a generar las firmas digitales de este archivo (El proceso de generación de firmas se realizó desde otro equipo, una vez se realizaron todas las copias.

Comprimido con 7zip:

Nombre: memdump.7z
CRC-32: e75fc430
MD4: 0e94aaef831bdd5759e02367c9721d6d
MD5: f5eba1d486d14fd2251056d6621b651e
SHA-1: 292009c29d81787e756fa08e4c4ecef129b69d40

Descomprimido:

Nombre: memdump.txt
CRC-32: f4700625
MD4: c8b6b8a606c4f838e62962da3a9c6fa7
MD5: 0f3c8134fa401585cc7b74373013b9be
SHA-1: 2d15c79cfdac52bf96e860555ed3b6f452c5acd0

He subido una copia del volcado de memoria para quienes por diferentes motivos no puedan realizar el proceso anterior. (+/- 121Mb comprimido | +/-523Mb descomprimido)

Ahora nos corresponde realizar varias copias completas del sistema (Preservación de la evidencia – procedimiento obligatorio en peritajes informáticos)… Veamos:

En este caso para el disco C:\ – [NTFS]

Para este primer caso (Drive Lógico)

Drive fuente

Exportar imagen de disco

Tipo de imagen a el cual se desea exportar (en mi caso seleccioné DD)

Información referente al caso

Creando la imagen

Verificación automática de la integridad de los datos copiados

Si quisiéramos realizar un copiado de disco físico sería de igual manera, solo modificariamos el primer paso (por seguridad yo realicé ambos copiados)

Firmas digitales de integridad de los datos copiados

Nombre: disco_C_logico.001

CRC-32: 4c98664d
MD4: 9330d4583254e8a4d2a57e6a41c39adf
MD5: 249f5c1b47ad84862e35665b947a56d1
SHA-1: 890b17397a6c28362747bc310c42d4eeb4c38bae

En el próximo post mostraré como podemos recolectar información de interés y adicional sobre el sistema en ejecución.

Recuerden que este post solo tiene  como finalidad generar discusión y aportes relacionados a este tema… así que bienvenidos los comentarios.

Una vez recolectemos toda la información necesaria, podremos comenzar con el análisis de estos…

Maltego hace uso de varias librerías gráficas que permiten identificar las relaciones entre la información que se está consultando en los diferentes motores de búsqueda que implementa, permitiendo de esta manera organizar todo un mapa de relaciones entre resultados.

Maltego puede ser descargada de manera gratuita (Community Edition) para sistemas Windows y Linux, además ofrece una versión comercial, (Comercial Edition) la cual entre otras bondades, permite realizar búsquedas aun más profundas y exportar y/o salvar los resultados obtenidos.

Maltego viene incluía en BackTrack y nos permitirá entonces enumerar la información referente a redes, dominios, personas, emails y datos personales. Algunos de estos datos son:

• Nombres de dominio
• Información WHOIS
• Nombres DNS
• Bloques de red
• Direcciones IP
• Dirección de correo electrónico asociada con un nombre de persona
• Sitios web asociados con un nombre de persona
• Números telefónicos asociados con un nombre de persona
• Grupos sociales que están asociados con un nombre de persona
• Compañías y organizaciones asociadas con un nombre de persona
• Hacer una verificación simple de las direcciones de correo electrónico
• Búsqueda de blogs y referencias por frases
• Identificar vínculos entrantes para sitios web
• Extraer metadatos desde archivos y fuentes de dominios

Veamos un ejemplo de consulta a la web del proyecto Sec-Track:

En la imagen se puede observar como realicé una consulta por el sitio Web Sec-Track, a partir de allí obtenemos datos como el dominio de la web, la dirección IP, Correos electrónicos publicados, enlaces, etc…

Para más información y descarga de la herramienta, visita la página oficial del proyecto Maltego.

Pronto seguiré con varios post relacionados al uso específico de esta genial herramienta.

Solucionario por HackPlayers

Nos ponemos manos a la obra y en primer lugar descargamos las imágenes, primero la original (muñecodenieve1.jpg) y posteriormente la modificada (muñecodenieve2.jpg).

Lo primero que observamos a simple vista es que la imagen con el texto oculto tiene un tamaño mayor, concretamente 0,9KB.

Esto puede evidenciar que el método seguido para ocultar la información ha sido de inyección en lugar de técnicas como la del bit menos significativo (LSB) que no incrementarían el tamaño del original.

Estegoanálisis manual

A continuación y dado que tenemos el fichero original (sin modificaciones) podemos realizar en primera instancia un estegoanálisis manual que, como su nombre indica, consiste en buscar de forma manual diferencias entre el fichero original y el ‘esteganografíado’, identificando cambios en la estructura para localizar datos ocultos.

Pero antes de compararlos, aprovechando que tenemos los ficheros abiertos con nuestro editor hexadecimal favorito y, como además somos bastante desconfiados, comprobaremos si realmente se trata de una imagen con formato jpg.

Observamos el valor FF D8, que indica el comienzo de un fichero de imagen jpg. Normalmente estos dos bytes bastan para certificar que se trata realmente de un jpg, por lo que parece que no nos han engañado. Los siguientes bytes indican el fabricante de la aplicación y corresponden al formato típico de un jpg:

Y además al final del fichero observamos los bytes FF D9, que precisamente nos indican el final de la imágen “end of JPG file”.

Continuamos con el análisis de ambos ficheros y, comparándolos, observamos que al final de la segunda imagen modificada se evidencia claramente la presencia de datos ocultos. Además aparecen múltiples bytes 20 (espacio) que podrían indicar un buffer vacío.

Ya sabemos que se trata de una imagen jpg y que la herramienta utilizada para ocultar el texto en la imagen ha inyectado al final del fichero (algoritmo EOF) un buffer en el que se encuentra la información oculta que queremos desvelar.

Estegoanálisis automático

El siguiente paso es intentar descubrir cual ha sido la herramienta esteganográfica utilizada buscando alguna huella (footprint).

Para automatizar el proceso existen algunas herramientas de esteganoanálisis que automatizaran la búsqueda. Entre nuestras favoritas está Stegsecret de Alfonso Muñoz (UPM), por cierto un excelente ponente que vimos en el Asegúr@IT IV de Getafe (2008).

Stegsecret es un proyecto de código abierto hecho en Java que detecta EOF, LSB, DCTs y otras técnicas, e incluye una base de datos de fingerprints para más de 40 herramientas de esteganografía.

Al analizar la imagen modificada, Stegsecret detecta que la imagen contiene 73 bytes de información oculta al final del fichero (EOF) y ¡también descubre la herramienta utilizada!

Se trata de Camouflage 1.2.1 y lo ha descubierto a través del siguiente el patrón:

Una vez que conocemos la herramienta utilizada, procedemos a instalarla para hacer más pruebas e intentar obtener el texto oculto.

Posicionamos el cursor sobre el fichero modificado ‘muñecodenieve2.jpg’, pulsamos el botón derecho de nuestro ratón y seleccionamos ‘Uncamouflage’.

Como podemos ver en la imagen anterior, Camouflage nos solicita contraseña para acceder al contenido oculto: no podía ser tan fácil.

Análisis de la herramienta Camouflage

El siguiente paso será estudiar el funcionamiento de Camouflage para intentar romper esa contraseña. Para ello, creamos un fichero ‘pruebas.txt’ con el texto ‘Esto es una prueba’ y procedemos a ocultarlo en el fichero original ‘muñecodenieve1.jpg’.

Posicionamos el cursor sobre el fichero de texto creado ‘prueba.txt’, pulsamos el botón derecho de nuestro ratón y seleccionamos ‘Camouflage’.

Seleccionamos el fichero imagen que contendrá el fichero de texto oculto (portador),

guardamos el fichero resultante como ‘muñecodenieve_prueba.jpg’,

Y asignamos la password ‘1234’

A continuación repetimos la misma operación pero ocultamos el fichero de texto sin asignar contraseña.

El resultado es que tenemos dos ficheros ‘muñecodenieve_prueba.jpg’ y ‘muñecodenieve_prueba_sinpassword.jpg’ que podemos comparar.

Y con esta comparación descubrimos algo que llama poderosamente la atención: cuando la contraseña cambia (‘1234’ o vacía ‘ ‘) la mayoría de los datos no son modificados, por lo que nos percatamos inmediatamente de uno de los grandes fallos de diseño de Camouflage: ¡el cifrado no depende directamente de la contraseña!

Obteniendo la posición y sobrescribiendo la contraseña

Centrándonos en la búsqueda de la clave y sabiendo que nuestra contraseña de pruebas es ‘1234’ es fácilmente deducible que su posición es seguramente esos 4 bytes aislados que cambian:

‘muñecodenieve_prueba.jpg’ : 33 A7 49 16
‘muñecodenieve_prueba_sinpassword.jpg’ : 20 20 20 20 (contraseña en blanco)

Si sobrescribimos esos bytes por espacios, podremos obtener el fichero secreto sin problemas:

Si repetimos estas operaciones para identificar la posición y sobre escribir la contraseña del fichero “muñecodenieve2.jpg” habremos resuelto el reto.

Obteniendo la contraseña

Ahora queremos ir más allá: queremos además saber la contraseña que se ha utilizado para generar el fichero ‘muñecodenieve2.jpg’.

Al pasar la supuesta clave 6A E5 03 13 de hexadecimal a ASCII obtenemos ‘jå ’ y, evidentemente, no parece ser la contraseña real.

Esto nos hace suponer que Camouflage debe realizar una operación intermedia para codificar nuestra contraseña.

A través del análisis de varias imágenes cifradas con la misma clave es posible deducir que Camouflage utiliza cifrado XOR, un cifrado muy vulnerable que nos permitirá obtener la clave.

Brujuleando por Internet encontramos herramientas que automatizan este proceso de descifrado, como Camouflage_Password_Finder de Guillermito, cuyo artículo (¡del 2002!) nos ha servido para la creación de este reto.

Simplemente lo ejecutamos, seleccionamos el fichero ‘muñecodenieve2.jpg’ y terminanos de destripar completamente el reto:

El camino fácil

Muchas veces le decía a un amigo que para cruzar un río y llegar a la otra orilla lo antes posible no hacía falta bucear por todo su caudal.

Lejos de ser un proclama ‘lammer’, lo que quiero decir es que quizás algunos de vosotros hayáis resuelto el reto sin necesidad de realizar ningún análisis manual y sin conocer exactamente el funcionamiento de Camouflage.

Digamos que la forma rápida hubiese sido:

- Analizar la imagen con una herramienta de estegoanálisis (por ej. StegSecret) y descubrir que ha sido tratada con Camouflage 1.2.1.

- Buscar un poco por Internet y utilizar alguna de las herramientas capaces de crackear Camouflage: Camouflage_Password_Finder, CamouflageCrack, CamouflageCrack o Camodetect

Solucionario por Juanma Merino

En el reto proporcionan dos imágenes, la portadora limipia, que es una imagen en formato jpg (mu_ecodenieve.jpg y la portadora con otro archivo “secreto” dentro (mu_ecodenieve2.jpg).

Comparándolas con un editor hexadecimal se puede ver la información de más que presenta la imagen 2.

Con la herramienta StegSecret, que encontré en Cryptored pude ver que se había utilizado Camouflage 1.2.1 para insertar el archivo “secreto” en la portadora.

Instalé Camouflage 1.2.1 pero al intentar extraer el mensaje secreto vi que se solicitaba contraseña.

Buscando un poco encontré en Packetstorm detalles sobre como averiguar o saltarse la contraseña en archivos camouflage 1.2.1

Con un editor hexadecimal localicé la contraseña y la sobre-escribí para que fuera nula. Posteriormente guardé el archivo modificado como imagen3.

Abrí imagen3 con camouflage y esta vez no era necesario escribir contraseña. Siguiente, siguiente y aparece el archivo de nombre secreto.txt que contenía la siguiente frase: Para que los milagros ocurran es imprescindible que alguien crea en ellos

Las publicaciones no pretenden ser o generar los reportes pedidos como solucionarios en el reto. Pues la idea es que los interesados realicen por sí mismos dicho Análisis. Estos serán simplemente un paso a paso a modo muy general siguiendo una metodología clara en un Análisis Forense, en los cuales veremos algunas técnicas y herramientas recomendadas.

Comencemos con la descripción del escenario y la implementación de los entornos de análisis.

Escenario

Gracias a una denuncia por CiberBullying a la Unidad de Delitos Informáticos Lunix, se pretende llevar a cabo un Análisis Forense a un sistema propiedad de un sospechoso que tiene contacto con la víctima. Este análisis se realizará bajo la sospecha que desde éste equipo se están realizando actos delictivos y judicializables.

Se sospecha que éste distribuye contenido pedófilo por medio de internet.

Objetivo y Reglas

El objetivo es realizar un análisis forense al sistema de la persona sospechosa. Para ello se entrega un snapshot del sistema objetivo. Esta instantánea podrá ser restaurada para llevar a cabo el respectivo análisis por medio de los aplicativos software VMWare Player o VMWare Server (ambas aplicaciones gratuitas y multiplataforma).

La finalidad del análisis será determinar entre otros los siguientes puntos:

1. Antecedentes del Sistema/Escenario
2. Recolección de datos
3. Descripción de la evidencia
4. Entorno del análisis/Descripción de las herramientas
5. Análisis de la evidencia/Información del sistema analizado /Aplicaciones /Servicios
6. Metodología
7. Descripción de los hallazgos
8. Huellas del comportamiento y de las actividades del sospechoso
9. Cronología de las actividades del sospechoso
10. Posibles víctimas del sospechoso
11. Rastros del sospechoso
12. Conclusiones
13. Recomendaciones a los padres
14. Referencias

Más información / Página Oficial del Reto

Como primera medida es necesario realizar la descarga de la instantánea de VMWare y comprobar la integridad de la misma.

Si realizamos las descargas por partes sería de la siguiente manera con la herramienta File Checksum Integrity Verifier de Microsoft:

C:\Reto_DragonJAR>fciv.exe Reto.part1.rar
//
// File Checksum Integrity Verifier version 2.05.
//
d542187ff2c9d651baf40ff488c367fe reto.part1.rar

C:\Reto_DragonJAR>fciv.exe Reto.part2.rar
//
// File Checksum Integrity Verifier version 2.05.
//
c33fa1af1eba82eb07182106e1a1b060 reto.part2.rar

C:\Reto_DragonJAR>fciv.exe Reto.part3.rar
//
// File Checksum Integrity Verifier version 2.05.
//
08ff1b6a0e8cbd1df1724b40b20228e2 reto.part3.rar

C:\Reto_DragonJAR>fciv.exe Reto.part4.rar
//
// File Checksum Integrity Verifier version 2.05.
//
6f0d583a6560d49004b9fd52065cdbc2 reto.part4.rar

C:\Reto_DragonJAR>fciv.exe Reto.part5.rar
//
// File Checksum Integrity Verifier version 2.05.
//
4fd27f4415be756b0c47bd04c54d586c reto.part5.rar

Si realizamos la descarga de la instantánea completa sería:

C:\Reto_DragonJAR\Reto\Reto>fciv.exe Reto_Forense.rar
//
// File Checksum Integrity Verifier version 2.05.
//
fb5a51c9273b9fe7f0139b8f663c9a1e reto_forense.rar

Luego de descomprimir la instantánea procedemos a restaurarla con el software VMWare WorkStation.

Para ello basta con abrir el archivo Reto Forense.vmx

Luego, desde el menú VM / Snapshot restauramos la instantánea INICIO.

Se recomienda realizarlo de esta manera pues así simularemos completamente el momento en el que llegamos a la escena del hecho y nos obliga a aprender a recolectar todos los datos posibles del sistema.

Recibiremos un mensaje de advertencia sobre la restauración del Snapshot y la pérdida de datos del estado actual… Nos interesa restauralo para ubicarnos en el momento en que fuimos requeridos como analistas forenses.

Posiblemente recibamos un mensaje de advertencia sobre el tipo de procesador que utilizamos frente al utilizado por el desarrollador del reto… Le decimos a VMWare que intente restaurarla de todos modos.

Con estos simples pasos tendremos implementado completamente nuestro entorno objetivo de Análisis.Y veremos el mensaje de bienvenida y descripción de objetivos y reglas del reto.

En el próximo post procederemos con las técnicas de recolección de datos…