DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

miércoles, 26 de mayo de 2010

Recolección de evidencias (Parte I)

Hola lectores,

Muchos sois los que llevais pidiendo información de que métodos son los empleados para la recolección de evidencias. 

Voy a tratar de poner en dos post más o menos los pasos que sigo para  que de alguna forma sea valido ante el juez, el primer post trata de la parte física y el segundo de un pequeño cuestionario que es interesante cuando no se obtiene toda la información o es parcial.


Aquí os dejo mis reglas de oro que hasta ahora son admitidas por los juzgados

EQUIPOS

  • Realizar una sesión fotográfica de la sala antes de comenzar la tarea, la entrada y distintas salidas (si las hubiera) como por ejemplo ventanas. Las fotos deben de tener sobreimpresa digitalmente la fecha y hora.
  • Fotografíe el ordenador de frente con los cables y por detrás, así como dispositivos conectados tal y como se encuentran. Haga más de una foto si es preciso
  • No utilice el ordenador ni intente buscar pruebas.
  • Si el equipo está "apagado", no "encender".
  • Si el equipo está "encendido" y se muestran los mensajes en el monitor, realizar una fotografía de la pantalla.
  • Si el equipo está "encendido" y la pantalla está en blanco, mueva el ratón o la barra de espacio (esto mostrará la imagen activa en la pantalla). Realice a continuación la fotografía.
  • Desconecte la fuente de alimentación del router.
  • Desconecte el cable de alimentación de la parte posterior del equipo (No hacer un apagado ordenado)
  • Realice un diagrama si es una red y empiece a crear las etiquetas (ver mi etiquetadora profesional) de los dispositivos conectados.
  • Desconecte todos los demás cables y los dispositivos del equipo.
  • Tenga preparada bolsas etiquetadas o en su defectos paquetes para el transporte de los dispositivos
  • Haga lo mismo con los dispositivos extraibles (pendrives)
  •  Mantenga todos los medios de comunicación, incluido el equipo, lejos de los imanes, radiotransmisores y otros elementos potencialmente dañinos.
  • Recopile manuales de instrucciones, documentación y posible notas que hubiera en el lugar (es recomendable proceder a su etiquetado).
  • Documentar todos los pasos implicados en la adquisición del ordenador y sus componentes.
Mi etiquetadora:


DISPOSITIVOS MOVILES

  • Si el dispositivo está apagado "no" encender ".
  • Con una PDA o teléfonos móviles, si el dispositivo está encendido, NO LO APAGUE. Si se apaga el dispositivo podría habilitar el password de inicio, por lo tanto impediría el acceso a las pruebas.
  • Fotografíe el dispositivo y la pantalla (si está disponible).
  • Etiquetar y recoger todos los cables (incluyendo la fuente de alimentación)
  • Intentar que el dispositivo mantenga la batería en la medida de lo posible
  • Etiquete el almacenamiento adicional de los dispositivos (Sticks de memoria, compact flash, etc).
  • Documentar todos los pasos implicados en la adquisición del móvil y sus componentes.

martes, 25 de mayo de 2010

Detenidas 25 personas e imputadas otras 21 por difundir Pornografía Infantil a través de la red Ares.

Este Grupo de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil, en el marco de la operación “MERCADILLO”, desarrollada en varias comunidades autónomas, ha procedido a la detención de 25 personas e imputación de otras 21, por facilitar la distribución de archivos de contenido pedófilo a través de la red P2P ARES.


Durante la operación se han efectuado un total de 49 registros domiciliarios en los que se han intervenido numerosos dispositivos informáticos con contenido pedófilo.

Para llevar a cabo dicha búsqueda, los agentes se han valido de la nueva versión del buscador denominado “NAUTILUS” desarrollado por el Grupo de Delitos Telemáticos, cuyo objetivo es la detección del intercambio de material pedófilo a través de la red P2P ARES.

La selección de objetivos de entre todos los usuarios identificados por compartir alguno de los videos de pornografía infantil, se ha realizado siguiendo criterios jurisprudenciales que establecen un mínimo de ficheros pedófilos compartidos, para evitar conductas ocasionales o accidentales.

VISTO EN: La web de la Guardia Civil

miércoles, 5 de mayo de 2010

2 PARTE de: Te puede pasar a ti...(Forensics iPhone)

Hola lectores,

Vamos a continuar con la búsqueda del vídeo en el ordenador del menor,  dado que el móvil iPhone ha desaparecido y por lo tanto no se puede analizar.


Los  iPhone, disponen de una cámara compatible con los formatos de vídeo  estándar  y que graba unos 30 fotogramas por segundo en estéreo en los formatos de archivo M4a, M4v, MP4 y MOV. También cuando se graba un vídeo se almacena por defecto en una unidad flash (de 8, 16 o 32 GB). Como es de esperar en alguna sincronización entre el iphone e iTunes se habrá  copiado las fotos y vídeos al disco duro del ordenador.

Lo primero y lo más sencillo es buscar ficheros  con extensión M4a, M4v, MP4 y MOV. Tras un buen rato de búsqueda ha encontrado unos 30 ficheros con extensión MOV (En resumen os diré que ninguno de ellos pertenecía al vídeo que buscamos) por lo tanto nos tenemos que aplicar y estudiar más a fondo.


¿QUE HAY QUE  SABER?

Para la búsqueda de imágenes y después de documentarme en la web de Apple, veo que los formatos de imágenes se componen (entre otros) de una serie de ficheros con la siguiente extensión:

Ficheros ITHMB: Contiene la galería (carrete) de imágenes
Ficheros BTH:   Son archivos de datos BATHY Recorder.
Ficheros THM: Es utilizado por muchas aplicaciones diferentes para almacenar miniaturas.
Ficheros THL Es utilizado para las imágenes de los iconos
Ficheros THP: Son ficheros de vídeo muy utilizados en la Gamecube de Nintendo

Por lo tanto voy a la búsqueda de estos ficheros con el consiguiente resultado:


Solo dos ventanas me ofrecen resultado, la superior derecha con los resultados de ficheros HTM y la inferior derecha con un temporal del fichero ihtmb. ¡¡Vamos a ello!!

Tras un tiempo descarto los ficheros HTM , nada que ver con lo que busco, pero sin embargo el fichero ithmb me va a dar mucho juego

¡¡VEAMOS!!

Como decíamos estos ficheros contienen la galería (carrete) de imágenes, tras abrirlo con el editor hexadecimal sale en exceso mucha basura y por lo tanto no veo nada importante.

Googleando me encuentro una utilidad  'iThmbConv.exe' que extrae el contenido de estos ficheros sacando las miniaturas, quizás esta utilidad me ayude:



Y que es lo que ven mis ojosssssss; Eh Voilà!! Una miniatura. Esta me está dando en el nombre del archivo un dato muy revelador





Ya tengo una evidencia (que no la prueba). El fichero se llama IMG_0221.HTM, eso significa que el vídeo está asociado a ese fichero, por lo tanto sé que el vídeo tendrá  en su nombre final del fichero el número 0221 y la extensión .MOV (*0221.MOV)  por lo tanto si existe el fichero HTM, es posible que existiera en algún momento el vídeo, por lo tanto ¿Y si a este chico le dio por borrar el fichero?

Voy a proceder a intentar recuperar el fichero borrado, para ello me baso en mi  kit de herramientas y que mejor...que mi famoso 'Recuva'. Tras una hora más o menos, consigo ver el resultado





 ¡¡ Aquí esta!!. Una vez recuperado procedemos a ver si se visualiza.




Perfecto se visualiza. Ya tenemos la prueba.

Es hora de recopilar información y hacer el pertinente informe. Nos vamos a otro caso.

Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...