juancrui © 2014. 1981. memoria: 1680 bytes = 1.6 kb
TRANSCRIPT
ANTIFORENSICS Y LA
ALQUIMIA DE LOS BITS
juancrui © 2014
http://about.me/juancrui
1981. Memoria: 1680 bytes = 1.6 Kb
Nuevos alquimistas
Fe
Au
Bits
Au
Técnicas antiforensics
El objetivo es ponérselo difícil al perito y generar dudas en la investigación
• Información está pero no se ve• Sobresaturación• Borrado seguro o sobrescritura
con información falsa
Supuestos de un caso
• Se localiza la técnica antiforensics y la información
• Solo se localiza la técnica• No se localiza la técnica no acceso a
la información
Técnicas Antiforensics
Ocultación
Modificación
Eliminación
Creación
Modificación
• Aplicaciones como Decaf Vs COFEE• Manipulación de logs y/o metadatos• Cifrado• Splitting Files + Encryption• Esteganografía
Crear error en base a como se investiga
Creación
• MAFIA• Sobresaturación de información• Colisión MD5• Ofuscación
Generar “info” distorsionar la escena
Eliminación
• Wipeado (varias pasadas)• Destrucción física
Si no está, no se encuentra!
Ocultación
• Slacks• Alternate Data Stream• Bad Blocks (Inode 1)• Unallocated spaces• Particiones eliminadas u ocultas
Tools no detectan la “info” no recuperación
Otras
No cac
he
thumbn
ails
VPN’sDesactivar Puntos
restauración
Bit Shifting
Active kill disk
Desacti
var
hibernación
Cambia
r
atrib
utos
MAC
Fake information
TOR
Packers
truecrypt
Protectme
eePROM BIOS
Firmware
Rootkits
FirmwareNVIDIA: nvflash
ADSFlujos alternativos de datos
NTFS permite guardar flujos alternativos junto al principal con solo especificar un nombre interno
Fichero[:flujo[:tipo]]
ADSNotas
• Flujo principal es :$DATA• Tantos ADS como memoria disponible• Política es que el usuario no use ADS ==>
“<“ y “>”• “:” ==> confusión ==> solución rutas
absolutas• Hash no varía por ADS’s• Al comprimir perdemos ADS’s salvo rar• MIME y Base64 ignora ADS
ADSNotas
• Transferencias FTP, HTTP ignora los ADS• Copia de NTFS a NTFS, redes Samba
ADS
En fichero En carpeta En Partición
En imagen de disco
En fichero borrado
ADSUtiles
• Lads : http://www.heysoft.de/en/software/lads.php• Streams: http://technet.microsoft.com/en-us/sysinternals/bb897440• Copy_ads: http://www.dmares.com/maresware/html/copy_ads.htm• ADS Spy: http://www.bleepingcomputer.com/download/ads-spy/• AlternateSreteamView:
http://www.nirsoft.net/utils/alternate_data_streams.html• DIR /R
RETO• USB NTFS sin contenido aparente
Análisis más en profundidad se detectan 2 ADS en particiones
• G::$BadClus de tipo rar
• G::$ de 100Mb
$BadClus contiene en su interior:
• Si se extrae directamente se pierden los posibles ADS que contuviera
• Extraer con “rar x $BadClus .”
Y contiene un ADS: “?”
ADS “$ “El símbolo detrás del $ es necesario para poder extraerlo
Con streams visualizamos $á, pero …
El símbolo detrás del $ es necesario para poder extraerlo
Ya lo tendríamos extraído ahora hay que determinar los tipos de ficheros que son
file2
File2 no tiene signatura conocida si probamos con tchunt por si fuera un contenedor cifrado tipo truecrypt nos da positivo … pero ¿y la clave?
Signatures:
Documento
Al abrirlo con MSWord:
Se observa una frase firmada y una imagen de una tabla periódica compatible con el nombre del documento
A buscar la clave (o las claves)
Parametrizamos fondo y texto con el mismo color
NTUuODQ1
Clave 1
La imagen de la tabla periódica ¿puede tener esteanografía?
NTguOTMz
Clave 2
Las propiedades del “doc” en su registro Asunto encontramos algo similar
NTguNjkz
Clave 3
Las propiedades avanzadas del “doc” en su registro “Referencia” encontramos otra posible clave
NjMuNTQ2
Clave 4
Analicemos el tipo del fichero:
http://mark0.net/onlinetrid.aspx
Estamos ante un fichero “docx” y no un “doc”. El docx no deja de ser un empaquetado
Si desempaquetamos el docx:
Podemos observar cosas curiosas:
•2 imágenes •3 temas
NjUuMzgw
Clave 5
Visualizando la imagen
../word/media/image2.png:
NjkuNzIz
Clave 6
Y los metadatos IPTC de la
imagen ../word/media image2.png:
NzIuNjMw
Clave 7
Y las propiedades en el registro comentario
de la imagen ../word/media/image1.png :
NzQuOTIx
Clave 8
Lo mismo con los temas: El tema
../word/theme/theme2.xml es un fichero de ¡texto!
El tema ../word/theme/theme3.xml es un fichero “cbz”
con tres imágenes y un fichero oculto sin nombre
NzguOTcx
Clave 9
El fichero oculto de ../word/theme/theme3.xml
es un fichero “de texto”
También “tabla periodica.doc” tiene ADS
Con algunos programas de tratamiento de ADS nos sale el símbolo “?” pero este no nos funciona
Otros programas ni nos muestran el nombre
El de Nirsoft © si que nos muestra: ☺= [ALT]+1
NzkuOTAx
Clave 10
Visualizamos el contenido
¿Y qué tenemos hasta ahora? ¿Paramos?
Probando en el contenedor Truecrypt nos da negativo
NTUuODQ1
NTguOTMz
NTguNjkz
NjMuNTQ2
NjUuMzgw
NjkuNzIz
NzIuNjMw
NzQuOTIx
NzguOTcx
NzkuOTAx¿Falta alguna
más?
¿Hay que operar con ellas?
¿Ofuscación?
¿Alguna relación?
Si decodificamos de Base64 a ASCII
Obtenemos:
NTUuODQ1 55.845
NTguOTMz 58.933
NTguNjkz 58.693
NjMuNTQ2 63.546
NjUuMzgw 65.380
NjkuNzIz 69.723
NzIuNjMw 72.630
NzQuOTIx 74.921
NzguOTcx 78.971
NzkuOTAx 79.901
Debemos ponernos en el cerebro del autor
Los números son muy semejantes a los pesos atómicos de la tabla periódica del documento
Y si los ordenamos por orden numérico veremos la relación y el siguiente de la tabla:
El siguiente es el “KRYPTON”
y en base64: ODMuNzk4
Si desciframos el contenedor Truecrypt obtendremos el secreto:
Una bonita reliquia de un manual de Alquimia
http://about.me/juancrui
¿Alguna pregunta?