DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

jueves, 30 de abril de 2009

Análisis forense - MOTOROLA (II)

Hola lectores,

Vamos a seguir con lo hablado en el anterior post.

Continuando con el análisis al móvil motorola vamos a proceder a realizar el siguiente paso

Obtención del PIN del SIM

Antes de nada quiero explicar como funciona la estructura de módulos de un motorola.

Los motorolas tienen unas zonas llamadas 'SEEM' que no son más que archivos hexadecimales que controlan las funciones básicas del teléfono.

A partir de su edición con programas con soporte hexadecimal o de edición de seems o únicamente dedicados a esta finalidad (P2KCommander) podemos activar, desactivar o modificar funciones (a menudo ocultas) del teléfono.

Estas funciones normalmente se encuentran en la flex (CG2) Como se explico en el anterior post

Estas son algunos ejemplos de las seems que se encuentran normalmente en un Motorola:

"0000","SEEM_PHASING_VERSION"
"0001","SEEM_PA_PHASING_CONFIGURATION"
"0002","SEEM_DB_SHORTCUT"
"0003","SEEM_DFLT_CARD_SLOT_CONFIGURATION"
"0004","SEEM_IMEI"
"0005","SEEM_IMEISV"
"0006","SEEM_PA_CALIBRATION"
"0007","SEEM_PA_POWER_CUTS"
"0008","SEEM_PA_CALIBRATION_BAND_2"
"0009","SEEM_PA_CALIBRATION_BAND_3"
"000A","SEEM_AGC_MINIMUM_PWR_LEVEL"
"000B","SEEM_AGC_TABLE"
"000C","SEEM_AGC_TABLE_BAND_2"
"000D","SEEM_AGC_TABLE_BAND_3"
"000E","SEEM_AGC_EGSM_TABLE"
"000F","SEEM_AFC_ADJUST"
"0010","SEEM_AFC_ADJUST_BAND_2"
"0011","SEEM_FACTORY_SERIAL_NUMBER"
"0012","SEEM_FACTORY_INFO"
"0013","SEEM_FACTORY_MAXIMUM_POWER_CLASS"
"0014","SEEM_FACTORY_MAXIMUM_POWER_CLASS_BAND_ 2"
"0015","SEEM_FACTORY_MAXIMUM_POWER_CLASS_BAND_ 3"
"0016","SEEM_FACTORY_TRACKING_INFO"
"0017","SEEM_FACTORY_SUBSIDY_FLAG"
"0018","SEEM_CLASSMARK"

****** CONTENIDO TRUNCADO, DADO QUE ES MUY LARGO ********************


Entre ellos el más interesante es el "0074","PHONE_UNLOCK_CODE" ya que contiene el código de desbloqueo que permite acceder al teléfono móvil.

Para extraer el PIN vamos a emplear una utilidad llamada 'P2KCommander' que permite acceder a diversos bloques de memoria y sistema de ficheros, una vez localizada la zona '0074' se procede a volcarla en un fichero sobre el disco duro de Windows y posteriormente se ejecuta el comando 'strings' el cual revelara en texto el PIN a buscar.

En el siguiente vídeo vemos como se realiza la anterior descripción.



Para el siguiente post veremos como obtener datos de la agenda, SMS's y llamadas.

martes, 28 de abril de 2009

Análisis forense a dispositivos móviles - MOTOROLA (I)

Hola lectores,

Hoy vamos a ver como realizar un análisis forense a un dispositivo móvil.

Este POST se compondrá a su vez de diferentes artículos de análisis forense a los siguientes dispositivos:

  • Forensics a Motorola ( Tres partes. Hoy la primera)
  • Forensics a una tarjeta SIM
  • Forensics a un Windows mobile
  • Forensics a un PALM
El realizar este post es porque apenas hay documentación al respecto y creo interesante para la comunidad aprender sobre estos temas.

Ademas, el otro día salio una noticia en un diario Español que decia que la Guardia Civil de Ceuta está investigando el empleo de teléfonos móviles para el desembarco de inmigrantes en las costas de la ciudad procedentes de Marruecos, tras haber localizado dos teléfonos en una patera en la que viajaban ilegalmente siete inmigrantes, según informaron fuentes policiales.

La investigación trata de determinar la posible conexión entre los tripulantes de la patera y las personas que presuntamente aguardaban su llegada en la orilla.

Los funcionarios del instituto armado han comprobado que desde los teléfonos móviles de la patera se hicieron varias llamadas, presumiblemente para conocer la presencia de agentes en las inmediaciones de la costa.

Hasta aquí la noticia.

Como se puede apreciar, el uso de móviles se empieza a convertir en una 'comodity'. En la vida de las personas, es más fácil dejarte la cartera o las llaves, que el móvil, yo añadiría que realmente casi todos disponemos de uno (y casi de dos) dado que ademas de ser de gran utilidad (realmente es un ordenador muy potente y de reducido tamaño).

Por otro lado, la gran versatibilidad en las comunicaciones, agendas, organizadores, aplicaciones hacen de el un punto vulnerable para la fuga de información y aquí es donde entra el contenido de este post.

Introducción a los dispositivos moviles.

En el mercado yo diría que dominan diversos dispostivos que practicamente llevan los siguientes sistemas operativos:

Symbian es un sistema operativo que fue producto de la alianza de varias empresas de telefonía móvil. El objetivo de Symbian fue crear un sistema operativo para terminales móviles que pudiera competir con el de Palm o el Windows Mobile de Microsoft.

Palm OS es un sistema operativo hecho por PalmSource para PDAs

Windows Mobile es un sistema operativo basados en la API Win32 de Microsoft. Los dispositivos que llevan Windows Mobile son Pocket PC, Smartphones y Media Center. Ha sido diseñado para ser similar a las versiones de escritorio de windows e integrables con las redes y servidores Windows 2003 y 2008

Aunque hay más, quizas sean estos los más usuales.

Desde estas líneas quiero que veamos como obtener algo más que unas simple llamadas de un terminal mó vil.

Lo primero es seguir las buenas prácticas de un analista forense:
  1. Preservar -Documentar
  2. Adquirir-Investigar
  3. Informar

PRESERVAR.

A diferencia de las copias bit a bit que se realizan sobre los discos duros, los móviles sufren constantemente cambios en su sistema de datos y ficheros, y realizar una copia integra se presenta como una opción prácticamente imposible de realizar desde el punto de vista de la preservación de la información. Aparte de esto generalmente viene protegido por mecanismos propios del fabricante.

Aquí las soluciones que se presentan en el mercado son muy caras económicamente, pero con muy buena aceptación en el ámbito forense. Herramientas de este estilo las tenemos en la empresa CeLLEBRITE con su KIT UFED.








kit. UFED orientado para fuerzas del estado e investigadores

NOTA: Si no disponemos de $ y Euros para comprar estos elementos, entonces este es tu post!!

ANALISIS FORENSE A UN MOTOROLA (I)

Tengo en mis manos un MOTOROLA RZOR y lo que me interesa obtener de este móvil es lo siguiente:

  • Mensajes
  • Agendas
  • LLamadas entrantes y salientes
  • Contraseñas, Pin
  • Sitios web visitados
  • Correos
  • Chats




Para el análisis del MOTOROLA vamos a utilizar diversas herramientas, pero quizas la mejor para poder preservar, es la ya famosa FLASH & BACKUP, que como su nombre indica permite realizar copias de las zonas de memoria que dispone y como no del dispositivo entero.

Los pasos serían los siguientes tal y como se muestran en la pantalla












Las regiones (zonas de memoria) que se ven en la pantalla anterior se componen de:

  • CG1 – Contiene el sistema operativo. No es relevante para una investigación. Puede servir para restaurar el telefono
  • CG2 – Contiene aplicaciones y datos. Importante para la investigación
  • CG3 – Contiene la firma digital del firmware. Esta parte procesa el audio en tiempo real.
  • CG4 – Contiene el pack de idiomas y fuentes
  • CG15 – Contiene imagenes e iconos (indicador de bateria, señal, etc)
  • CG18 – Firma digital del telefono

En este ejemplo, lo ideal es seleccionar solo el CG2.

ANALIZANDO LA MEMORIA

En este paso no hace falta haber introducido el PIN en el móvil. Tan solo encenderlo

Como explicarlo con pantallas es complejo, he decidido poner el siguiente video y que realiza las siguientes acciones:

  • Primero se realiza la copia.
  • Flash & Backup genera un fichero con el contenio de CG2
  • Una vez obtenido se utiliza el comando strings y se vuelca el texto a otro fichero CG2.txt
  • Una vez extraido se procede a revisar el contenido buscando palabras, mensajes, contraseñas, y sitios web.



Nota: Como tiene poca calidad el video, y si alguien esta interesado me mandais un correo que os indico como descargarlo en maxima calidad.

Como habréis visto en el vídeo aparecen palabras y sitios web aparentemente relacionado con pornografía, ademas de obtener información importante sobre contraseñas y PINs.

El siguiente POST obtendremos las llamadas entrantes, salientes y agendas.

miércoles, 8 de abril de 2009

Lectura sobre Análisis Forense y Seguridad

Hola lectores,

Por fin empiezan para muchos las vacaciones de semana santa y como sabréis estas son fechas que uno dispone de algo mas de tiempo libre y se puede dedicar a descansar y hacer otras cosas.

Yo además de seguir con el ejemplo del descanso (¡¡ NO PIENSO PARAR EN VACACIONES !!) me he propuesto que vosotros los que estéis algo mas desocupados podáis tener algo de lectura sobre el análisis forense.

Empezamos con El FIRST. First es una organización reconocida y líder mundial en respuesta a incidentes, desde su página web se ha liberado diversas guías orientadas a la seguridad y que tenéis disponible desde aquí.

Os recomiendo especialmente las guías de securización y bastionado de Windows 2003 e IIS y algunos de los ejemplos que se muestran.

Otro es que podáis comprar libros sobre esta interesante materia. Los que recomiendo y dispongo actualmente son:

Set de libros que incluyen:

  • File System Forensics
  • Real Digital Forensics (¡¡Muy bueno!!)
  • Forensics Discovery

Precios aprox: aquí








Uno de los mejores libros que podemos disponer, desde el se hace una revisión en profundidad sobre Windows, e incluye:

DVD con:

Utilidades
Ejercicios por capitulos

Precio Aprox aquí.

¡¡ RECOMENDADO !!





Otro de los clasicos, a diferencia del anterior este incluye respuesta ante incidentes, tema que hablaremos en diferentes post.

Precios aquí











Otro de los buenos, buenos.

Hace gran enfasis en las intrusiones y los rootkits a nivel de kernell. Es un gran libro.

Incorpora un DVD con:

Ejemplos
Ejercicios
Utilidades

Precios aquí



Y como donde caben cuatro caben cinco, aqui tenemos otro orientado como su titulo indica a MAC OS X, ipod e iPhone

Me sorprendio y aprendi un montón con este libro.

El DVD contiene:

Ejemplos
Ejercicios
Utilidades

Precio aquí



Bueno, hay más pero con esto más que de sobra para una lectura entretenida con análisis forense.

Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...