¿Café para todos?

Hola lectores,

En este mundillo existen muchas herramientas de seguridad que permiten 'empaquetarse' en un pendrive y utilizarse como si de una navaja suiza se tratase.



Se diría que es el 'todo-en-uno' o la caja de herramientas del investigador, de esta forma el analista tan solo tendría que 'enchufar' su 'pendrive' y empezar a ejecutar comandos para obtener resultados.

Muchos de nosotros como buenos informáticos empezamos a automatizar los comandos (ver post) y crear distribuciones basadas en estas herramientas. También salieron iniciativas comerciales como e-fense (los de Helix 3), e incluso Microsoft creo un 'set' de herramientas (coffe) que posteriormente entrego de forma gratuita a gobiernos, fuerzas de seguridad gubernamentales y en el caso de España, a policía nacional y Guardia Civil.

El caso es que para revisar un equipo con información volátil, se precisa disponer de nuestro conjunto preferido de utilidades.

Hoy quiero compartir con vosotros algunas de ellas y mis comentarios al respecto.

De COFFE se ha dicho de todo, desde que 'Microsoft crea un pendrive que rompe las contraseñas' hasta que con esta utilidad se acaba la ciberdelincuencia (sin comentarios).

COFFE es un dispositivo USB que dispone de más de 150 comandos que facilitan la obtención de pruebas volátiles en una máquina sospechosa. Permite, rastrear la actividad reciente en Internet y acceder a los datos almacenados en el ordenador, todo ello puede realizarse in situ.

En esa línea quiero comentar dos utilidades 'free' (seguro que hay muchas más) que se enmarcan dentro de lo que es una obtención de información de forma automatizada con objeto de analizar un equipo presumiblemente comprometido.

la primera de ellas es RAPIER.

RAPIER es un framework Open Source realizado en VBScript que se apoya en utilidades externas para la obtención de información. Dispone de entorno gráfico y de programas compilados para que sea portable.

Las pruebas realizadas han sido muy satisfactorias en cuanto a comparación con Coffe y no deja nada que envidiar.

Entre las cosas que me gustan, esta su modularidad, es decir podemos cargar y ejecutar módulos más allá de la obtención de pruebas. Por ejemplo:

• ADS. Escanea en busca de NTFS Alternate Data Streams
• ddPhySMem. Realiza un DUMP de memoria
• DumpProcs. Realiza un DUMP de un proceso determinado
• HiddenFiles. Lista los ficheros ocultos y los ordena por fechas de acceso
• AVScan. Permite escanear en línea de comandos ficheros con Malware
• FileCapture. Una funcionalidad que permite buscar ficheros basados en patrones
• L3Sniffer. Sniffer de capa 3 compatible con tcpdump o Ethereal

La otra herramienta es MIR-ROR

Como la anterior es un conjunto de scripts basada en línea de comandos que llama a herramientas específicas de Windows Sysinternals, así como alguna otra herramienta (exactamente del Kit de recursos de Windows 2003) .

También se puede modificar o añadir fácilmente con cualquier otra herramienta que nos sintamos cómodos. Por ejemplo he incluido algunas utilidades de la web de NIRSOFT para revelar contraseñas o ver información con USBview y WirelessNetView

Particularmente he de decir que la utilización de estas herramientas son muy sencillas y muy automatizables e inclusive en algún caso muy necesarias, pero en contra 'hace mucho ruido', es decir modifican y alteran muchos aspectos del sistema operativo. Si necesitamos utilizar integridad en un equipo, no empleemos estas utilidades.

Por otro lado, los que utilizan coffe, comentan que está bien pero que 'cojea' a la hora de realizar la interpretación del análisis. Verdad como un templo.

Este tipo de utilidades, así como Coffe, Rapier y Mir-ror, generan un informe, pero es cuestión del investigador crear un 'timeline' y documentar el caso y las incidencias, volviendo incluso a repetir la prueba de forma manual.

Estas herramientas son un escalón más en el análisis forense y deberían de complementarse con otras del tipo Volatility, FTK, X-Ways, First Response, EnCase, etc..

Obteniendo la contraseña de la BIOS

Hola lectores,

Tengo una curiosidad que contaros.

Normalmente suelo poner contraseña a la bios en mi portátil como medida adicional de seguridad. No es que sea muy efectiva, pero es una zancadilla más en caso de que accedan al portátil estando apagado.

Hace unos días se me estropeo la placa de mi flamante lenovo X200 y tuve que quitar el disco duro y ponerlo en otro portátil que un compañero me presto. Cual fue mi mayúscula sorpresa que al iniciarlo en este nuevo portátil me pidió la contraseña (GALAXY), por su puesto que esta no es la que utilizo habitualmente.

De ello, deduje que la contraseña estaba en realidad almacenada en disco y que por algún procedimiento la solicitaba.

Esto me puso en alerta y decidí estudiar el tema. Buscando por internet, me llamo la atención un 'paper' que se presento en la anterior 'defcon' sobre las vulnerabilidades en la BIOS.

En el se explica con todo lujo de detalles como se puede obtener las contraseñas de la BIOS, también de aplicaciones de encriptamiento (PGP) y de gestores de arranque (GRUB).

Más tarde veo que el figura de Andreas Schuster escribió un articulo sobre el tema. Particularmente me llamo tanto la atención que no me ha quedado más remedio que reproducir lo que su artículo dice, pero con una diferencia, he realizado la prueba con muchos más modelos de ordenadores con el objeto de disponer una visión mucho más global

La cosa es así:

BIOS:

La BIOS puede contener tres grupos:

• Servicios a periféricos (video, audio)
  
• Servicios de estado (como la memoria y el estado de los discos)
  
• Servicios adicionales (permiten activar diversas configuraciones y reiniciar el sistema)

La BIOS proporciona varios subservicios dentro de cada interrupción, por ejemplo, la 16, de video, incluye 19 subservicios, cada uno de los cuales tiene una funcionalidad específica.

La tabla de vectores de interrupción del PC se puede consultar en la web de BIOSCENTRAL, y especialmente haremos mención sin entrar en grandes explicaciones en la interrupción INT 09H e INT 16H, las dos direcciones tienen desplazamientos dentro del segmento en 41AH, 41CH y 41EH

• 41AH, Es la dirección del inicio actual del búfer
• 41CH, Es la dirección final del búfer
• 41EH, Es en si, la dirección del búfer, retiene los carácteres de teclado
  

En estas me voy a centrar.

OBTENIENDO CONTRASEÑAS DE LA BIOS

Para reproducirlo hice lo siguiente:

• Puse una contraseña en BIOS a mi portátil lenovo X200 (PASS: GALAXY)
• Una vez iniciado Windows volque a disco el contenido de la memoria. Lo hice con la utilidad Win32dd y con el siguiente comando:

c:\prueba\>win32dd.exe -t 1 memoria.dmp

El parámetro '-t 1' es para que copie los bloques de memoria física.

• Una vez creado el fichero, lo edité con un editor hexadecimal y busque la tabla de vectores de interrupción (IDT). Estos vectores són una tabla de 1024 bytes en la memoria baja, que contiene un máximo de 256 punteros a los programas que atienden las interrupciones ISR's ("Interrupt service routine")
• Busque la dirección 41EH que corresponde al buffer de teclado y este es el resultado:

¡¡Aquí esta la contraseña!!

Este procedimiento lo realice en los siguientes modelos que si funcionaban:

• IBM BladeCenter HS12
• IBM Lenovo ThinkCentre
• Acer Timeline 5810T
• Dell XPS 630
• Dell Inspiron
• HP Elite 9600
• Compaq Mini 110c

CONCLUSIONES:

Es más que evidente que la contraseña se almacena en disco. Con este paso se podría recuperar la contraseña arrancando con otro sistema operativo y realizar un copiado de disco bit a bit, para posteriormente obtenerla.

Si el disco estuviera cifrado, la cosa se complica muchísimo hasta el punto de ser casi imposible de recuperar. Por otro lado me queda la siguiente duda, ¿que ocurre si la contraseña fuera biometrica?. ¿ se podría recuperar utilizando las tecnicas de este post?.¿estará cifrada?

¿ Alguien se anima?

Esta pasando...

Hola lectores,

He decidido por lo menos una vez al mes escribir un post en el que recopilo las diversas lecturas y artículos interesantes que se encuentran por internet, todos ellos desde el punto de vista del análisis forense informático y la seguridad.

Empezamos por agradecer la vuelta (¿se fue alguna vez?) a la escena del blog de 'juanito' , nos tenía abandonados y ahora vuelve con su post sobre ADS y Google Hacking, también agradezco el esfuerzo y por ello destaco el pedazo de artículo que ha escrito neófito y que me vendrá muy bien para el futuro. Se nota que estos dos saben de lo que hablan.

Los últimos posts del Maligno y de Eduardo, también me gustaron bastante y quisiera destacar lo instructivo y practico de Thor con su artículo sobre como soluciono un reto para la Defcon 17

En cuanto al panorama de la seguridad me pareció muy interesante el trabajo que realizaron los chicos de Security by Default con su tema de fraude con firma digital. La verdad es que sus noticias son siempre muy interesantes y este tema en particular muy elaborado.¡¡ Muy buen trabajo!!

También me pareció curiosa la lectura del blog de SHOPOS en la que cuentan como se oculta todo un ejecutable en una rama del registro de Windows (¿Son capaces los malos de hacer esto?).
El ejecutable en cuestión se almacena en la clave HKLM\SOFTWARE\Licenses con un nombre generado aleatoriamente.

Mientras tanto Lance Muellers nos habla en su blog de como validar las fechas de creación de ficheros versus fechas de instalación, lectura muy interesante y didáctica. Por otro lado me entero que la revista de descarga gratuita on-line (IN)SECURE magazine ha publicado su ultimo numero y en el aparece Didier Stevens hablando de PDF's maliciosos.

No menos interesante es la noticia de Moyix en la que nos indica que ha salido una nueva versión de VOLREG e incluida en los plugins de Volatility. ¡¡Esto hay que probarlo!!.

En cuanto a discusiones se refiere, destaco a la gente de Forensicfocus, y su foro del cual se sacan algunas muy buenas conclusiones y alguna bronca.

Si de estudiar y aprender nos referimos, deciros que la gente del CERT ha sacado unos estupendos podcast sobre temas de seguridad (en perfecto ingles). Para aprender más sobre el apasionante mundo de los logs, no os perdáis el siguiente link.

También David Barroso y Alfredo Andres de S21SEC han publicado un interesante articulo y el informe anual de fraude en internet, y si no os parece lo suficientemente atractivo podéis leer, aunque es un poco antiguo el post de Sergio Hernando que nos habla de los ataques internos.

Y ya por ultimo en lo que llevo de mes, he investigado con mucho interés el proyecto OCFA, que es nada más y nada menos que un Framework para el análisis forense.

Bueno hasta aquí, lo que llevamos leido. Proximamente seguire recopliando más noticias de interes para compartir con ustedes.

Detectando ficheros con Truecrypt

Hola lectores,

Uno de los objetivos que nos encontramos en una análisis forense es la búsqueda de datos relevantes que puedan influir en la obtención de unas conclusiones perfectas. Por ejemplo si se trata de búsqueda de ficheros de pornografía infantil, es tan importante la búsqueda de ficheros con imágenes y vídeos (prueba), como de los sitios web y accesos que se han realizado.(posible evidencia)

Por otro lado, el malo, el cibercriminal o pederasta en la red, intentara por todos los medios poner medidas anti-forensics, como por ejemplo el borrado del historial de navegación, borrado de log's de acceso o desinstalación de programas, todo ello es cuestionable y evidentemente dado a la investigación.

Es evidente que estas personas cada vez están más informadas y empiezan a utilizar la tecnología de forma mas profesionalizada, con el objeto de no ser encontrados. Tiempos atras Bruce Schneier, realizó el siguiente articulo estremecedor.

Independientemente, una de las caracteristicas que hacen complicado el análisis forense son la utilización de algotimos criptográficos con objeto de cifrar contenido relevante. Una de las peores cosas que nos podemos encontrar en un análisis son las siguientes:

• Particiones cifradas
• Discos y dispositivos 'pendrives' cifrados
• Ficheros cifrados
• Ficheros con contraseñas
  

Si nos encontramos en esta tesitura, la cuestión se hace muy difícil, dado que las técnicas de ocultación se están haciendo cada vez más extensibles y sencillas de utilizar.

Cuando has buscado sin éxito y cuando te has cansado de ver que las evidencias 'flojean' o no son lo suficientemente concluyentes, es hora de pensar, que a lo mejor los ficheros están eliminados permanentemente o simplemente están cifrados. Si nos vamos a más, el malo con unas pocas de instrucciones podrá utilizar técnicas de steganografia, por lo que lo complica mucho más de cara al investigador.

¿Como se detecta un contendor con TrueCrypt?

Lo peor de todo radica en su detección, ¿como lo detectamos?, esta pregunta, es harta compleja aunque no del todo imposible, tan difícil será la detección, como romper el cifrado o contraseña de estos ficheros.

Veamos algún caso con TRUECRYPT:

Hasta ahora me he visto imposibilitado de detectar ficheros cifrados con truecrypt, por el motivo anteriormente descrito, la imposibilidad de saber que ficheros son.

Hace algún tiempo sabía que los ficheros creados con truecrypt se basan en múltiplos de 512 bytes, utilizando en el contenido del fichero datos aleatorios. Con estos patrones se podrían buscar ficheros de estas características, aunque el resultado sería con muchos falsos positivos.

En la prueba de concepto he creado una partición cifrada en un pendrive con truecrypt y cuatro ficheros, tres de ellos con truecrypt (dos con formato 'hidden' y uno normal) y uno desde linux, utilizando datos aleatorios. Los nombres y formatos son los siguientes:

Con Truecrypt:

Partición cifrada --> No hidden

metallica.mp3 --> Hidden
metallica_europe.mp3 --> Hidden
acdc.mp3 --> No hidden

Sin Truecrypt, con Linux y este comando:

cat/dev/urandom>acdc_europe.mp3

acdc_europe.mp3 --> Datos aleatorios

Nota: Para su creación me refiero al manual de uso, o al articulo realizado por los amigos de Security By Default, dado que toda su explicación excede de este artículo.

Para la detección he utilizado un editor hexadecimal y dos herramientas, una comercial (File investigator File) y otra de descarga gratuita (TChunt), al parecer y según sus autores detectan este tipo de contenedores basados en Truecrypt.

Para la detección de la partición USB-PENDRIVE, ha resultado muy sencilla, hay una cadena de identificación en el primer sector del disco duro que contiene estas palabras TrueCrypt boot loader. La imagen lo dice todo:



Posteriormente ejecutamos FIF, y como vemos este es el resultado:



















Encuentra con detalle (propietarios, metadatos, timestamp) los ficheros creados con Truecrypt y como falso positivo el creado en Linux, al cual determina que es también de truecrypt.

Si a continuación pasamos el programa de libre descarga, vemos que este es el resultado:













¡¡ Detecta todos los ficheros, incluido el creado desde Linux como contenedores de Truecrypt !!, ademas esta utilidad no da detalles, simplemente deja a decisión del analista eliminar los falsos positivos.

CONCLUSIONES:

Como vemos ambas soluciones encuentran ficheros con Truecrypt, aunque deja mucho de desear como solución perfecta, dado que el número de falsos positivos podría ser muy grande. No obstante es lo que hay y como tal nos puede ayudar a determinar si en un equipo se encuentran ficheros con contenedores basados en Truecrypt.

Una vez encontrados estos ficheros, habría que romper el cifrado, pero amigos esto es otro cantar...

Mi caja de herramientas (Forensics Memory Tools)

Hola lectores,

Como tengo la RAM volátil, he decidido recabar herramientas con objeto de recordar algunas de las más comunes que suelo utilizar para el análisis y volcado de memoria RAM.


Algunas de ellas se han escrito en este blog, otras en cambio y debido a su coste comercial, tan solo se han nombrado o se ha realizado algún pequeño ejemplo.

La mayoría de ellos están pensados para sistemas operativos basados en Windows, incluidos Vista y Windows Server

Volatility (free) - Magnifica herramienta, ha sacado mucha más información inclusive de temas tan peliagudos como la criptografía. Para mi otra de las Joyas de la corona.

Mantech Memory DD o MDD (free) - No hay mucho para decir sobre este producto, es otro de los pesos pesados en volcados de memoria

Win32dd (free) - El que más utilizo con diferencia, sencillo, rápido, multiplataforma y con posibilidad de utilizar el debuger de Microsoft. Una autentica joya

winen.exe (comercial pero incluido en HELIX 2.0) - Vuelca la RAM en formato EnCase (E01), capaz de comprimir el fichero resultante y totalmente operativo en su uso con otras herramientas (EnCase, FTK). Por supuesto permite mantener la integridad del fichero a inspeccionar.

fastdump (free) - Creado por HBGARY También una de las buenas, lastima que no esta muy actualizado.

PTFinders (free), de Andreas Schuster, curiosa, y de gran potencial, interesantisima bajo el prisma de documentar procesos y análisis.

Mandiant Memoryze (free) - Uno de los grandes en esto del análisis de memoria, casi diría que es de los primeros en crear utilidades para respuesta ante incidentes. Fue una de las primeras herramientas con las que más a gusto me he encontrado. La empresa que gestiona Memoryze es Mandiant y desde ella se ha liberado múltiples productos (free) para el análisis forense

EnCase (comercial). El padre de todas las herramientas. Sencillo, útil, programable, con cientos de plugins, funcional 100%, es la mejor herramienta actualmente en el mercado, no solo por el análisis de memoria si no por la cantidad de expresiones de búsqueda de información que posee. Es la más reconocida en el mercado y bastante dificil de adquirir debido a su elevado precio

FTK (comercial), con cariño, esta es una de las herramientas que más utilizo en mi porfolio, podría decir que es el hermano pequeño de EnCase, ligero, funcional y cumple con notable exactitud en el análisis forense.

Process dumper y memory parser (frees), curiosas, sencillas y utilisimas, me han sacado la información cuando más lo necesitaba.

En otra ocasión recopilare sobre herramientas de análisis del registro de Windows.

Mapas de memoria

Hola lectores,

Hace tiempo en este post hable de como parsear la memoria y poder obtener datos de ella, en ese post finalizaba indicando que es posible tracear la memoria y obtener un mapa-dibujo detallado para seguimiento de esta.

Hoy quiero compartir otra de las utilidades que nos puede venir estupendo para poder 'dibujar' esos procesos de una forma cómoda.

PTFINDER

Las PTFinder son un conjunto de utilidades en perl desarrolladas por Andreas Schuster y que como dije anteriormente permite obtener los procesos de memoria y convertirlos o 'dibujarlos' a un fichero con formato JPG o GIF

Esta herramienta permite obtener y dibujar:

• PID del proceso.
• Nombre del ejecutable.
• Offset dentro del fichero.
• Fecha y hora de fin de ejecución del proceso
  

Antes de explicar su funcionamiento deberemos de disponer las siguientes herramientas:

Primero deberemos de disponer un volcado de memoria en formato dd, dmp o vmram (vmware). En mi caso dispongo del fichero '2K3FURootkit.dmp' y que pódeis descargar desde aquí para vuestro disfrute.

Este fichero contiene la imagen de la memoria RAM de un Windows 2003 con el rootkit FU corriendo y creando procesos en la memoria.

Segundo, deberemos de tener instalado Graphviz.

Graphviz es una aplicación que es capaz de representar información estructural como diagramas y gráficos de resumen redes.

Tercero, deberemos de disponer de las herramientas PTFinder disponibles desde aquí y un interprete en PERL como el de ActiveState para Windows

¿Como funciona?

El proceso es muy sencillo, como primer ejemplo vamos a ver como obtener los procesos de memoria, para ello pondremos el siguiente comando:

c:\Perl\bin\perl c:\forensics\ptfinder_w2003.pl --nothreads c:\forensics\2K3FURootkit.DMP

El cual nos mostrará la siguiente pantalla:


Procesos que había iniciados en el sistema operativo

En segundo paso vamos a 'pintar' estos procesos con el siguiente comando:

c:\forensics\ptfinder_w2003.plptfinder_w2003.pl --nothreads --dotfile Mifichero.dot 2K3FURootkit.DMP

(mifichero.dot es creado por ptfinder con el parámetro --dotfile. Este fichero .DOT contiene los parámetros de imagen, entre ellos la posición, altura, textos y dimensiones de las imágenes)

En tercer paso vamos a cargar el fichero 'Mifichero.dot' en la aplicación Graphwiz para convertirlo en una imagen con extensión JPG.



Una vez ejecutado este es el resultado:




Pantalla ampliada

Como se puede apreciar en la gráfica se hace un seguimiento de la ejecución de los procesos.

Conclusiones.

las PTFinder son un buen conjunto de herramientas que si bien dejan el análisis y la investigación a decisión del analista, permiten ayudar de una forma gráfica a ver los vínculos entre procesos y aplicaciones e inclusive permite de una forma sencilla analizar intrusiones, exploits y malware.

Referencias:

Paper
Presentación
Neoforensics

El paper y la presentación son publicados por Andreas Schuster

¡¡OLE !! tus metadatos...

En alguna de mis charlas muestro una curiosa herramienta que viene a ser algo parecido a ofuscar u ocultar información, podríamos decir que es una herramienta 'antiforensics' y que consiste en lo siguiente:

MergeStreams

Esta utilidad está disponible desde NTkernel.com e implementa un aspecto interesante de como se tratan los objetos OLE en documentos Microsoft Office, la idea es 'mezclar' o combinar una hoja de cálculo en un documento Word.

El uso es muy sencillo, dispone de una GUI que permite seleccionar el documento word y la hoja excel y a partir de estos datos en el propio documento word mezcla la hoja de cálculo.



El resultado es el mismo documento word.

Una vez meclado, comprobamos que:

• El tamaño en disco del documento Word no ha variado y sigue siendo el mismo
• Si abrimos el documento, vemos que el contenido es idéntico al original (no aparece nada de hoja de cálculo)
  
• La cadena HASH si que ha cambiado, por lo que sabemos que ha habido modificaciones

A continuación vamos a ver la funcionalidad de MergeStreams:

1.- Eliminamos la hoja de cálculo que hemos utilizado para 'mezclar' (este paso no es necesario)


2.- Seleccionamos el documento 'DocumentoWord.doc' y lo renombramos a XLS 'DocumentoWord.xls'


3.- Abrimos el documento y vemos que se trata de una hoja de cálculo.















Si volvemos a renombrar a .DOC, podremos comprobar que sigue siendo un documento Word.

Esta utilidad demuestra un aspecto importante en el ámbito de la ofuscación o de fuga de información, dado que de esta forma te puedes llevar un documento u hoja de cálculo importante sin que nadie lo advierta.

¿Como lo detectamos?

La siguiente cuestión es como podemos saber de estos metadatos, para ello vamos a utilizar diversas utilidades entre ellas la del maligno en su web de FOCA Online, la de LibExtractor y una utilidad en local llamada TrID que permite la identificación de ficheros.

Estos son los resultados:



Vagamente TrID identifica que hay un componente MULTISTREAM (29%) embebido dentro del documento Word, pero no es capaz de mostrar de que tipo es, las demas herramientas no identifican el objeto OLE.

Para poder identificar este tipo de objetos suelo utilizar dos herramientas en local, una es 'oledmp.pl' de Harlan Carvey realizada en Perl y que permite ver los metadatos de objetos OLE. La otra quizas más sencilla y orientada al mundo Windows es OLEDeconstructor de SandersonsForensics

Aquí tenemos un resultado final de como identifica los objetos con OLEDeconstructor de nuestro fichero de ejemplo



Conclusiones:

Parece ser que el mundo de los documentos se ha construido a base de metadatos y lo mejor de todo es que no sabemos la información que se almacena o puede ser guardada de forma intencionada o no por un usuario (o automáticamente por la aplicación que lo genera. )
Herramientas como FOCA, Metagoolfied o libextractor, ayudan y permiten ver ese tipo de información, pero aun queda largo camino.

En un caso intencionado de 'antiforensics' (y pongo de ejemplo MergeStreams en este post) dudo mucho que la tecnología actual (antivirus, IDS's) detecte este tipo de fugas de información, salvo que sea por un avezado analista que tras una sospecha se dedique a analizar este tipo de ficheros.

Quizas para el 'malo' lo sencillo sea cifrar el fichero o utilizar esteganografía y de esta forma dificultar o imposibilitar el trabajo del analista

No obstante aquí queda esta información para el disfrute de todos y con lo visto hoy me planteo la siguiente pregunta que dejare para el pensamiento de los lectores:

¿Si hubiera incluido un virus de macro en la hoja de cálculo y la hubiera mezclado con el documento, lo detectarían los antivirus?

Eso es todo lectores ;-)