DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

martes, 19 de enero de 2010

Sesiones restauradas en navegadores (I)

Hola lectores.

En muchas ocasiones se puede restaurar una sesión que hayamos iniciado desde un navegador con objeto de acceder a las últimas páginas que se han navegado.

Esta opción es muy util desde el punto de vista del análsis forense ya que podemos tener la ultima vista que el usuario utilizo con su navegador, entre ellas las ventanas, cookies, tamaños, posiciones, historico y como no la actividad.

RESTAURANDO LA SESION DE FIREFOX

Viendo el wiki de Mozilla, describe exactamente:

"Despues de un reinicio forzado el espacio de trabajo que se recupera es:"

  • Ventanas y etiquetas
  • Posición, ancho y alto
  • Area de scroll
  • Historico
  • Cookies
  • Texto escrito en formularios
  • Descargas

En todo momento en Firefox, existe un fichero donde se va almacenando toda la información del navegador. Este fichero se encuentra en "C:\Users\Pedro\AppData\Roaming\Mozilla\Firefox\Profiles\xxxxxxxx.default" donde xxxxx es el número de sesión y el fichero en cuestión es: 'sessionstore.js'

Si lo abrimos con el bloc de notas nos encontramos con muchisima información



Para poder aclaranos con todo esto, vamos hacer una cosa.

Seleccionamos todo y lo copiamos al portapapeles. A continuación nos vamos a esta URL (Es un editor on-line de JSON):

http://braincast.nl/samples/jsoneditor/

Y pegamos su contenido en el cuadro de texto en blanco. Pulsamos el botón de construir y tenemos a nuestra disposición un arbol con toda la estructura.




Navegando por el arbol nos podemos encontrar con información muy valiosa., pero este procedimiento de búsqueda puede ser tedioso por lo que vamos a emplear otra técnica.

  1. Cierro firefox si está abierto y renombro el fichero ssessionstore.js a sessionBAK.bak
  2. Inicio Firefox y la aplicación de session manager reconoce que hay un apagado (crash) incorrecto y me pregunta si quiero restaurarlo, a lo que evidentemente digo que si. De esta forma obtengo una visión identica de lo que estaba haciendo el usuario.


RESTAURANDO LA SESION DE EXPLORER 8


Muy similar a la anterior, y muy significativa las rutas de almacenamiento.


Windows XP


c:\documents and settings\Username\Local Settings\Aplicattion Data\Microsoft\Internet Explorer\Recovery\Last active


Vista y Windows 7


c:\users\Username\AppData\Local\Microsoft\Internet Explorer\Recovery\Last active


También veremos que hay una carpeta que se llama 'active' de la cual va guardando los ficheros de almacenamiento. Cuando se cierra el navegador mueve de 'active' a 'Last Active'.


Los ficheros de almacenamiento tienen la siguiente nomenclatura:


"{GUID}.dat" y "RecoveryStore.{GUID}.dat"




Estos ficheros están almacenados en formato binario, para visualizarlos empleamos un editor hexadecimal o con la utilidad Structured Storage Viewer con la que podemos ver la información como la que muestra la pantalla siguiente.









Otra forma correcta de hacerlo es copiar estos ficheros en una máquina virtual e iniciar el internet explorer, el cual nos devolvera la sesión restaurada.


También de una forma muy sencilla podemos poner en la URL del navegador la siguiente sintaxis:


about:tabs


La cual nos mostrará la siguiente pantalla





En la siguiente entrega veremos como se hace con Opera y Safari

viernes, 15 de enero de 2010

Tropa de Élite


Disclaimer: Atención! este post no es técnico es solo algo que quiero agradecer, quizás no te interese lo más mínimo. Avisado quedas….

Hola lectores,

Hace mucho tiempo atrás en distintos post de este blog y en otros también dedicados a la seguridad informática hemos hablado de la cantidad de personas en España y Latinoamérica que con sus conocimientos ayudan a la comunidad.


Estas personas con sus trabajos profesionales, pruebas de concepto, 'papers', charlas ,cursos y conferencias son las que con su tesón, esfuerzo  y conocimiento mantienen día a día el listón muy alto, pero en este nutrido grupo de personas quiero hacer incapié en un grupo muy especial y poco reconocido ya que les pagan por proteger cristales y no por romperlos como hacemos muchos de los que nos dedicamos a esto.


Este grupo, es abnegado, silencioso y eficaz. Apenas se dan a conocer en el mundo de la seguridad y solo salen a la luz con casos realmente espectaculares. Estamos hablando de la tropa de élite, del Grupo de Delitos Telemáticos de la Guardia Civil.


Este grupo fue creado para investigar, dentro de la Unidad Central Operativa de la Guardia Civil, todos aquellos delitos que se cometen a través de Internet.

También su presencia, es cada vez mayor, en seminarios y conferencias internacionales, lo que le ha permitido crear con una red de contactos policiales a nivel internacional, esencial en la resolución de determinadas investigaciones.


Muchos de vosotros que leéis este blog  (me incluyo) habréis colaborado directamente e indirectamente con ellos y habréis visto la pasta de la que están hechos. Es un equipo con ganas de formarse, viven directamente los problemas y se desviven por todos los casos que intervienen. En cierta forma difieren poco de nosotros ya que también se dedican a la investigación y como no a la seguridad informática


En alguna conferencia en la que los he acompañado, han expresado su preocupación por el panorama de la seguridad, especialmente por casos como la pornografía infantil, acoso y como no el phising.


Por último quisiera destacar la gran labor que hace el  Grupo de Delitos Telemáticos de la Guardia Civil en cuanto a temas de Análisis Forense  informático sobre todo en temas de terrorismo, fraude y pornografía infantil y es que en España también tenemos personas que dominan el análisis forense (e incluso dan cursos de esta materia).


Valga este post para dedicarles mi máxima admiración y respeto.

jueves, 14 de enero de 2010

Nos vamos de ponentes!!! a la Rooted CON!!!



Hola lectores,


El próximo 18 al 20 de Marzo estaremos el 'fistro' de 'Eduardo Abril' (De Hacking avanzado) y yo dando una charla conjunta sobre análisis forense y otras cositas en el Congreso de Seguridad Informática Rooted CON!!.

Espero veros a muchos o a todos en esos días por ahí.

Os dejo el Link donde disponeis de la información y los ponentes que vamos a ir.

Ponentes

También desde aquí quiero agradecer a los que me habeis votado en la lista como hacker mas famoso.

Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...