Incident Response, Security and Forensics"

.

domingo, 4 de octubre de 2009

Análisis forenses a dispositivos ANDROID (Parte II)

Hola lectores,

Vamos a continuar con el anterior post.

Una vez que tenemos todos los ficheros vamos a verificar la huella proporcionada por nandroid, ya que nos ha creado un archivo 'nandroid.md5' con las huellas de cada fichero.



Como hemos apreciado en la pantalla anterior, esta todo correcto.

La lista de ficheros que proporciona el backup anterior es:

  • boot.img:
    Contiene datos relativos al inicio del sistema operativo. Nada relevante para nuestra revisión
  • cache.img:
    Contiene los datos volátiles que estaban en memoria en el momento de volcarlos a disco. Importante su análisis.
  • data.img:
    Contiene todos los datos relativos al móvil, agendas, tareas, llamadas. Muy importante
  • misc.img:
    Contiene datos relativos a las aplicaciones instaladas. Importante también.
  • recovery.img:
    Contiene los datos del proceso que utiliza recovery. Irrelevante
  • system.img:
    Contiene los datos relativos a configuración del sistema. Importante.

Es el momento de empezar a trabajar estos ficheros

¡¡EMPEZAMOS!!

Los ficheros que vamos a tratar como interesantes por su contenido son: data.img y cache.img.

Vamos a convertirlos en un formato que podamos revisar, como siempre vamos a utilizar el comando 'strings' y en con expresiones regulares. Veamos algunos ejemplos.

Buscamos parámetros de sitios visitados:
strings data.img | grep -oE "((mailto\:|(news|(ht|f)tp(s?))\://){1}\S+)"



Sitios donde se ha realizado inicios de sesión
strings data.img | grep -n10 "login">login.html

Buscamos correos electrónicos
strings data.img | egrep "[a-z A-Z_\-\.]+@[a-z A-Z\-\.]+\.[a-z A-Z\-\.]+"



Números de teléfono
strings data.img | grep -oE "\b[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]\b"
o strings data.img | grep -oE "([0-9]{9})"

Imágenes JPG
strings data.img | grep -oE "(.*\.jpe?g|.*\.JPE?G)"



Paquetes de programas instalados
strings data.img | grep -oE "(.*\.ptk?g|.*\.PTK?G)"

Ficheros MP3
strings data.img | grep -oE "(.*\.ptk?g|.*\.PTK?G)"

Dominios visitados
strings data.img | grep -oE "^[a-zA-Z0-9\-\.]+\.(es|com|org|net|mil|edu|COM|ORG|NET|MIL|EDU)$"



Búsqueda de tarjetas de crédito
strings data.img | grep -oE "^((4\d{3})|(5[1-5]\d{2})|(6011))-?\d{4}-?\d{4}-?\d{4}|3[4,7]\d{13}$"

Comandos SQL
strings data.img | grep -oE "(NOT)?(\s*\(*)\s*(\w+)\s*(=LIKE|IN)\s*(\(([^\)]*)\)|'([^']*)'|(-?\d*\.?\d+))(\s*\)*\s*)(AND|OR)?"

Si abrimos directamente el fichero 'data.img' nos encontramos con información muy valiosa como la siguiente:

Direcciones MAC

cache.wifi 00:22:2d:0a:ae:d0 00:1a:2b:3d:50:8f

Estado de la configuración

NETWORK_UP
NETWORK_UPNetworkInfo: type: MOBILE, state: CONNECTED/CONNECTED, reason: gprsAttached, extra: movistar.es, failover: false, isAvailable: true CHECKIN_SUCCESS PHONE_GPRS_CONNECTED HTTP_STATUS:Android-YouTube/0.8 (dream PLAT-1.0_gms-141395):200 PHONE_GSM_REGISTERED

Datos del operador

ro.serialno=HT947NG01989
ro.baseband=2.22.16.19
ro.carrier=TELEF-Spain

Parámetros del móvil




Datos de la red WIFI



Vídeos visualizados



Como nota interesante decir que también se puede analizar utilizando PTK o bien FTK Imager con objeto de obtener la misma información.

2 comentarios:

Hola,

Sobre la partición misc comentas lo siguiente:

misc.img:
Contiene datos relativos a las aplicaciones instaladas. Importante también

Podrías comentar qué tipo de datos has encontrado en ella? Mi HTC Hero ha tenido poco uso y la partición misc en concreto tiene muy poca cosa. Básicamente algunas cadenas como modelo del teléfono, versión del firmware instalada y poco más.

Sería interesante saber qué tipo de datos has encontrado ahí dentro en un teléfono con más uso :)

Por cierto, por si interesa (a riesgo de que se tache de SPAM :$), aquí andan mis posts sobre Android:

http://tuxed.serveblog.net/tag/android

@TuXeD:

En breves pondre más información sobre estos ficheros. Estamos recopilando bastante información. En cuanto a SPAM, na de na , es información pero que muy valiosa. Es más te ruego que proporciones todo lo que puedas. Gracias!!