Incident Response, Security and Forensics"

.

lunes, 17 de noviembre de 2008

Forense en correo electrónicos - Outlook Express

Voy a hablar de un tema quizas más complicado de lo normal, como es el análisis forense en correos electrónicos.

La búsqueda, parametrización y reconstrucción de correos es fundamental ante casos como denuncias, insultos, amenazas, etc. en el que el medio utilizado es el correo electrónico.(por ejemplo esto ha sido clave para la detención del jefe del aparato militar de ETA, 'txeroki')

Pocas herramientas son capaces de reconocer los formatos mas usuales que se utilizan en clientes y servidores de correo electrónico. Quizas la suite comercial más completa es FTK. Mientras que enl mundo Open, son muy pocas las que existen y dan cobertura.

En la siguiente lista vemos las suites comerciales y/o Open Source y los formatos que soportan

Comerciales

FTK: Outlook (PST), Outlook Expres (DBX), AOL, Netscape,Yahoo, Eudora, Hotmail, MSN

Paraben's E-mail: Microsoft Exchange, Lotus Notes (NSF)

Open Source

Eindeutig: Outlook Express

libPST:Outlook

Como vemos casi no hay soporte para servidores de correo como Exchange o Lotus Notes, dos de los más utilizados en las empresas como servidores de correo. Por lo tanto en un análisis de correo es muy importante analizar los clientes, ya que como diria 'Grissom' del CSI: 'todo contacto deja rastro'.


Quiero destacar que si se utiliza un webmail, las técnicas son distintas, poniendo foco en los servidores de correo.

FORENSICO DE OUTLOOK EXPRESS

Outlook y outlook express son unos de los clientes más utilizados en las empresas y particulares dado que viene con el sistema operativo (a excepción de Outlook que viene con el office)

El 'outlook express' se compone de una serie de ficheros con extensión DBX.

¿En que consiste el formato DBX?

Por cada carpeta de mensajes y cada newsgroup en Outlook Express, corresponde un archivo con extensión dbx. Este archivo contiene los mensajes e información adicional para acceder rápidamente a estos.

El nombre de este archivo normalmente coincide con el nombre de la carpeta de mensajes o newsgroup.

Por ejemplo, Inbox.dbx o 'bandeja de Entrada.dbx'corresponde a su carpeta de correo entrante.

Por cada cuenta, todos los archivos dbx son almacenados en un directorio llamado store root directory, que puede ser definido seleccionando el comando:

    Tools | Options | Maintenance | Store folder

También existen otros archivos dbx predeterminados en el store root directory pero no contienen una carpeta dentro del Outlook.

Folders.dbx

almacena una estructura de árbol de las carpetas y otra información.

Offline.dbx

contiene los datos de acceso interactivo a cuentas IMAP y Hotmail si es que estan disponibles para Ud.

Pop3uidl.dbx:

almacena información de los mensajes que residen en un servidor POP3.

Normalmente estos elementos DBX, suele estar en la siguiente ruta 'c:\Documents and Settings\usuario\Local Settings\Aplicattion Data\Identitites\{identificador largo que suele ser alfanúmerico}\Microsoft\Outlook Express\'

La utilidad 'Eindeutig' reconoce este tipo de formatos y permite desde extraer su contenido a exportarlo a hoja de calculo. Una de las ventajas que incorpora es que además de ver la cabecera (DBX ID) y el cuerpo del mensaje, también muestra los adjuntos si estos existen.(prácticamente obtendriamos todo el contenido de los correos).

Esta utilidad 'recupera' los correos electrónicos aunque el usuario los haya eliminado (siempre que exista el fichero DBX)

En la siguiente pantalla se puede observar el fichero '000000.txt'





Si editamos el fichero con cualquier visor y nos fijamos en el apartado 'attachment' vemos que contiene un adjunto, el cual no vemos en formato humano (esta en codificado en base 64) pero si que podemos identificar como una hoja de cálculo, dado que nos indica el tipo de fichero (xls).







La siguiente cuestión es como obtenemos el contenido del adjunto, dado que puede contener información relevante.

Para ello podemos utilizar la herramienta 'munpack' disponible desde aquí y por la cual extraemos el fichero asociado en Base64.(También existen multitud de páginas web que hacen esta función)







Una vez extraido y como podemos ver a continuación ,este es el resultado de la hoja de cálculo:








Mas adelante en otro 'post', analizaremos el rastro por los servidores.

4 comentarios:

Lo que me extraña Pedro es que no usaran ningún tipo de cifrado a la hora de enviar correos, usando PGP ¿no habría forma de analizar los correos, no?

Si hubieran utilizado PGP te aseguro que el CNI se hubiera quedado 'a dos velas'. De todas formas me imagino que el tipo este de ETA tiene alguna cuenta del tipo Hotmail o Gmail y estos (de momento) no soportan cifrado de clave publica/privada

Hola, me parece muy interesante tu blog. Estoy en 4 ciclo de ing. de sistemas y me estoy interesando en la informatica forense. Me gustaria pedirte si pudieras hablar sobre informatica forense en correos electronicos "Basados en Web", como hotmail. Ya sea para recuperar correos desde la misma pc (del internet explorer), ect. Saludos desde Peru!

He escuchado sobre un programa. El ha sido en un sitio con los softwares - reparar archivos outlook express. El programa ha terminado mis problemas muy con facilidad y de balde. Todavia sobre este programa mis amigos han estado contento de este utilidad. Ellos han dicho que con ayuda del instrumento ha economizado el tiempo.