DFIR - HUNTING

.

KILL CHAIN, DIAMOND, RESILIENCE, DETECT...

Normas, métodos, buenas prácticas.

SONDAS, AMENAZAS, INCIDENTES, ANALISIS

Productos, configuraciones y análisis.

CYBERWARFARE, GOBIERNOS, APT AVANZADO

Los mejores casos en Conexión Inversa.

CIBERGUERRA, MALWARE

Te contamos como se diseñan y como se aplican.

ATAQUES EN RED, INTRUSIONES, MALWARE Y APTs

Todo lo necesario para minimizar el impacto.

martes, 13 de abril de 2010

Te puede pasar a ti...(Forensics Iphone) PARTE I

Hola lectores,

Silvia y Mirian son unas adolescentes de 13 y 14 años respectivamente. A estas edades las hormonas se disparán y todo es color brillante y rosa. También como es habitual los fines de semana quedan en casa de Miriam para realizar una fiesta y tomar 'copas' en el jardín (como dicen los mas jovenes botellon privado). Allí se juntan con un grupo de chicos de su instituto y conforme pasan las horas y la ingesta de alcohol todo sube de tono. Que si un besito, que si te toco un poquito, etc.

El caso es que la cosa se desmadra y Silvia desaparece con dos chicos por el jardín. Pasado un rato y todo de buen rollo, se intercambian los números del móvil y se van a casa y aquí no ha pasado nada.

El caso resumiendo es el siguiente, Silvia fué grabada (¿sin saberlo?) desde un teléfono móvil en actitudes podríamos decir poco decorosas. En el instituto todo el mundo habla de que existe un un link de acceso a una descarga del vídeo desde Rapidshare (desde luego sin contraseña y a disposición de todo el mundo).

A estas estas edades todo se sabe y empieza a correr el rumor por el Instituto donde Silvia y Mirian estudian. Los profesores alertados por el problema deciden hablar con la chica y con sus padres. El caso se denuncia en la comisaría más próxima. Los padres acusan a los dos chicos de abusar de la chica (en el juicio quedo patente que fué consentido) y quieren que se requise todas las pruebas posibles que incriminen a los chicos. Curiosamente el móvil (un iphone, ¡¡con 14 años y ya tienen iphone!!) ha desaparecido.
Esto cabrea a los abogados de los padres y alegra al buffete de abogados de su defendido, dado que no existiendo la prueba, no hay evidencia y por lo tanto es muy difícil mantener la acusación, como siempre en estos casos siempre prevalece la presunción de inocencia del acusado.

El Juez, decide aplazar el juicio a petición de los abogados de los padres para que se haga un análisis de los equipos y soportes informáticos que los chicos tengan en sus casas.
En el caso de que existiera el iphone disponemos de medios muy potentes en productos como cellebrite, Oxygen o Paraben, pero extremadamente caros para el común de los mortales. Por otro lado existen diversas técnicas que aunque mas rudimentarias nos aportan algo más de enseñanaza para un análisis forense.

Tras el previo análisis de uno de los ordenadores de los chicos, nos fijamos que dispone de iTunes, cosa muy importante dado que podremos obtener mucha información en el ordenador siempre que este hubiera sincronizado o hubiera realizado una copia de seguridad con el iphone.


En este caso vamos a ver como se ha resuelto.

El funcionamiento de sincronización de iTunes se basa en un controlador especifico en Windows y Mac que permite la comunicación segura entre ambos dispositivos, cuando se sincronizan o se hace una copia de seguridad, Windows almacena estos datos en un formato especifico de ficheros(si disponemos de la última versión del firmware) llamados mddata y mddinfo

Entre las cosas que sincroniza o se hacen copias de seguridad están:


  • Marcadores, cookies, historial y páginas abiertas actualmente del navegador
  • Marcadores, búsquedas recientes y la ubicación actual de mapas en Mapas
  • Ajustes, preferencias y datos de las aplicaciones
  • La Agenda y los favoritos de la Agenda
  • Cuentas de Calendario
  • Fondos de pantalla
  • Notas
  • Historial de llamadas
  • Cuentas de Mail
  • Favoritos de YouTube
  • Mensajes SMS
  • Correcciones sugeridas guardadas (se guardan automáticamente cuando las rechazas)
  • Carrete (fotos y capturas de pantalla tomadas con el iPhone)
  • Identificador del buzón de voz visual (no se trata de la contraseña del buzón de voz visual, pero se utiliza para validar la conexión. Sólo se restaurará a un teléfono que tenga el mismo número en la tarjeta SIM).
  • Clips web
  • Ajustes de red (puntos de acceso Wi-Fi guardados, ajustes de VPN, preferencias de red)
  • Dispositivos Bluetooth enlazados (sólo se pueden restaurar al mismo teléfono que realizó la copia de seguridad)
  • Llavero (incluye las contraseñas de las cuentas de correo electrónico, las contraseñas Wi-Fi y las que introduces en sitios web y algunas otras aplicaciones. El llavero sólo puede restaurarse a partir de una copia de seguridad al mismo iPhone o iPod touch. Si estás restaurando a un dispositivo nuevo, tendrás que volver a introducir esas contraseñas de nuevo)
  • Configuraciones/perfiles gestionados
  • Lista de fuentes de sincronización externas (MobileMe, Exchange ActiveSync)
  • Configuraciones de cuentas Microsoft Exchange
  • Entrenamientos y ajustes de Nike+iPod guardados
  • Datos de las aplicaciones de la tienda App Store (excepto la aplicación propiamente dicha y sus carpetas tmp y Caches)
  • Vídeos en el carrete
  • Preferencias de aplicaciones que permitan el uso de los servicios de ubicación
  • Caché/base de datos de aplicaciones web sin conexión
  • Notas de voz
  • Autorrelleno para páginas web
  • Servidores de confianza con certificados que no se puedan verificar
  • Sitios web con autorización para obtener la ubicación del dispositivo
  • Compras in-app (en aplicación)
Estas copias se guardan dentro de la carpeta del usuario, el directorio sería:
  • Mac: ~/Librería/Application Support/MobileSync/Backup/
  • Windows XP: \Documents and Settings\(nombredeusuario)\Application Data\Apple Computer\MobileSync\Backup\
  • Vista / Win 7: C:\Users\(nombredeusuario)\AppData\Roaming\Apple Computer\MobileSync\Backup\
En el caso que nos trata 'el chico' tiene en su ordenador Windows Vista y en el contenido del directorio nos encontramos la siguiente carpeta "0387fecb24b358ec337ab2ad3323fb8e0bbc27ca".


Cuando el dispositivo se conecta por primera vez a iTunes y nunca estaba conectado anteriormente, iTunes generará un identificador alfanumérico 40 caracteres para el dispositivo.  Este identificador, también conocido como el UDID (Unique Device Identifier), es también el nombre de la carpeta para este dispositivo dentro de la carpeta de copia de seguridad.

En el caso en concreto tenia más de una y tuve que ordenarlas por fecha para distinguirlas,también es conveniente realizar una copia de esta carpeta en el escritorio u otro dispositivo, para trabajar desde ella y no correr el riesgo de perderla. (es recomendable hacer un hash del contenido del directorio). Los ficheros que contiene pueden ser del siguiente formato:


TIPOS DE FICHEROS


plist
mdbackup
mddata
mdinfo 


Archivos plist



Los archivos plist son archivos informativos donde se escribe el contenido en XML.


Hay 3 plist principales archivos generados como parte del proceso de copia de seguridad - Info.plist, Status.plist y Manifest.plist.

El archivo plist más importante es el archivo Info.plist ya que contiene información básica sobre el dispositivo, incluido el, nombre de dispositivo asignado por el usuario número de serie y número de teléfono. El info.plist también indicará la última fecha y la hora cuando el dispositivo fue copiado en el proceso de copia de seguridad.


 archivo plist

El archivo Status.plist indica el estado del proceso de sincronización anterior o copia de seguridad. Si la sincronización o el proceso de copia de seguridad se completó correctamente, entonces el contenido indicaría que el backup se ha realizado correctamente.

El archivo Manifest.plist
es un archivo binario plist real de los archivos de la copia de seguridad junto con la firma digital. Generalmente, este archivo no es de importancia forense.


Archivos mdbackup


Los archivos mdbackup también contiene datos importantes siendo el propio nombre de archivo es un valor hexadecimal alfanuméricos. En las versiones de firmware más recientes para el iPhone, los archivos. mdbackup se sustituye por la mddata.y mdinfo . A diferencia del mdbackup que todo el archivo contiene los metadatos en la nueva versión de firmware va a crear dos archivos - uno con la extensión mddata y el otro con la extensión mdinfo. El. mdinfo y mddata actuan como un igual y, por tanto, tienen el mismo nombre de archivo, pero las extensiones de archivo diferentes.

Archivos MDINFO y MDDATA

El mdinfo contendrá la información de metadatos sobre el archivo,como por ejemplo, la libreta de direcciones, SMS, historial de llamadas, etc.  El mddata contendrá el contenido real de ese archivo. También hay que tener en cuenta que estos ficheros se pueden cifrar desde el propio programa de Itunes, (este no es el caso) y si así fuera se complicaria el análisis forense


¡¡EMPEZAMOS!!


Como hemos comentado anteriormente disponemos de una carpeta llamada '0387fecb24b358ec337ab2ad3323fb8e0bbc27ca'  que contiene los ficheros a buscar. En la investigación me voy a centrar en los SMS's por ver si ha mandado algún mensaje a otro chico, indicando la posibilidad de que se descarge el vídeo y también voy a ver si contiene el vídeo en cuestión en el ordenador.

Algunos ficheros 'mddata' en sus metadatos tienen una estructura basada en SQLite. Para buscar que ficheros son los del SMS's y llamadas, voy a recurrir a la utilidad 'grep' (para windows) y voy a buscar un patron que suelen estar en la estructura de ficheros.

Patrones de búsqueda:

sms.db: SMS
call_history.db: Historico de llamadas
notes.db: Agenda y notas

En la siguiente pantalla se ha realizado en tres ordenes para el entendimiento del lector (se podría hacer en una línea)





Como podemos observar devuelve tres ficheros con extensión .mdinfo, como ya hemos dicho anteriormente a cada fichero .mdinfo le corresponde su fichero de igual nombre pero con extensión .mddata . Vamos a comprobar si realmente tiene un formato SQLite, para ello lo abrimos con un editor Hexadecimal y este es el resultado:


Se aprecia que es SQLite 3 y además se ve algún fragmento de texto de un SMS. Para que sea más sencillo su uso los vamos a tratar con SQLite Administrator para ver la información que contienen.

Este es el resultado del primer fichero 3d0d....:

  Los datos se han truncado por motivos confidenciales, pero se ven tres columnas relativas al número de móvil que se envía, la fecha y el texto.

En la siguiente pantalla y tras una búsqueda nos da un mensaje revelador. Tenemos la evidencia relativa de que 'algo' se ha subido a internet....


Según se trata es filestube y no rapidshare (o son ambos), eso significa que el vídeo en cuestión sigue en circulación. Vamos a comprobar si somos capaces de encontrarlo en internet en base a una búsqueda de este patron en los ficheros .mddata, para ello empleamos la siguiente sintaxis:

grep -l "

Tras una búsqueda en múltiples ficheros damos con el resultado. Nota: se han trucado algunos datos



Si accedemos a la web vemos a la chica tal y como vino al mundo...




En el siguiente post veremos si el vídeo esta en el equipo y que medios utilizamos para verificarlo.

jueves, 8 de abril de 2010

YJ

En la pasada Rooted lo conocí de primera mano, YJ  es una persona increíble, un hacker de los de antes, un hacker blanco (o quízas algo gris, con un pasado 'under' que siempre es interesante) que escribe en un blog muy importante y que no voy a decir aquí por su dificultad en la traducción 'seguridadpordefecto' u algo así, ;-) (los maños lo decimos de otra forma 'u te securizas u a tomar pol culo'...)

Cosas que pasan...esta es mi historia con el...

Yago..(joder..la jodí di su nombre) es un maño emigrado a Madrid, una persona de esas con principios, cosas que ya son difíciles de ver en las personas...cuando lo conocí no nos cantamos jotas, pero es de esas personas que en las fiestas del pilar comparten litronas sin saber quien eres y eso marca la diferencia.

Su calidad técnica es incuestionable y en 'la noche me confunde en Madrid' lo demostró, compartimos hackeos memorables, técnicas de intrusión y algun exploit tipo 0 Day como 'brute force girls'...(si este post lo lee su novia, que este tranquila a YJ le falta el shellcode, y se paso todal noche /dev/null)

Nos hizo de experto (muy experto) pero eso sí con caballerosidad , como muy buen maño, sin ansia viva, y con conocimiento del medio. Vivimos momentos buenos y proyectos en los que está inmerso muy, muy chulos e interesantes.

Volviendo al experto, al hacker blanco...YJ es el autor de muchas de las tools que tengo en mi caja de herramientas, entre ellas , PATRIOT, UNHIDE (anda que no me ha venido bien esta tool)..y un huevo más..que espero siga desarrollando.

También tuve el honor de conocer a los demás integrantes de ese blog famoso, (aunque a Alejandro Ramos ya lo conocía de otras guerras ;-) )


En ese blog tan famoso lo componen el propio YJ, Alejandro Ramos, (Tío, siento no poder ayudarte en el reto, otra vez será, pero cuento contigo para unos proyectos de PUT.MDR.), José A. Guasch, (un crack en esto de la seguridad, hace tiempo, mucho tiempo que el tío se lo curra muy bien), Laura García, (Un encanto de señorita, que sabe un huevo y lo tiene muy claro ¡¡ una mujer en seguridad!! o diossss, milagro), Lorenzo Martinez, (Autentico gurú de la seguridad perimetral y networking, y ademas lo confirmo de verdad, otro de los maestros).

Ya se que este post no es técnico pero habla de ellos, que gracias a sus noticias interesantes y sin ánimo de lucro ayudan a muchas personas  a iniciarse y continuar en el mundo de la seguridad.

HOSPITAL (Parte 1 - Ingeniería social)

 


DISCLAIMER:

Hola esta serie de entradas que veréis en las próximos días han sido aceptados para su difusión por parte del Hospital que nos contrato para esta auditoria.

Como veréis han sido eliminados nombres y datos que consideramos confidenciales, de todas formas agradeceremos que si nos colamos en algo nos lo hagáis saber.

La utilidad de este post y los siguientes creo que viene dado porque hemos realizado algo que es muy poco común en las auditorias entre ellas Ingeniería social y otros métodos poco comunes, eso si, todo ello con objeto de que aprendamos todos, yo también incluido.

***************

EMPEZAMOS

**************

Hola lectores,

Tal y como comente en el post anterior vamos a mostrar en diferentes entradas del blog la revisión del estado del arte de la seguridad de un Hospital .

Todo nace hace aproximadamente a mediados de Enero cuando el Consejo de Administración de este hospital (entenderéis que no de nombres) se da cuenta de una fuga importante de datos de pacientes y robo de material informático.

Tras una somera revisión por parte de los informáticos del centro se concluye que la desaparición consiste en diversos discos duros (pendrives), cintas de backup y dos portátiles. Ni que decir tiene que prácticamente se llevaron la información de la empresa.

Tras hablar con los responsables técnicos y el presidente del Consejo de Administración, se nos da vía libre para realizar una revisión que yo la clasifico como 'brutal' por el alcance que tiene dado que entre las revisiones típicas de seguridad, en esta ocasión vamos a emplear técnicas de ingenieria social.

Nuestro objetivo en esta primera parte de la auditoria consistía en tres elementos básicos:

1.- Obtener el máximo de información, de forma telefónica, suplantando la identidad de un conocido doctor del centro, esto incluye obtener perfiles, y contraseñas

2.- Obtención de accesos reservados solo para empleados, es decir acceso a diversas partes del portal de empleado (web)

3.- El paso más importante y divertido de la revisión, hacernos pasar por médicos del centro y acceder a zonas reservadas, entre ellas el CPD. Evidentemente queríamos comprobar los elementos de seguridad física del centro.

Para ello lo más sencillo y tras disponer de la autorización del consejo (en contrato y por escrito) nos disponemos a comenzar buscando en Google. En este ejemplo (que no es el caso que estamos tratando) proporciona tanta información a un supuesto atacante, que básicamente tiene todo el mapa de red. Cuidado con lo que se publica por internet

Ejemplo de google:

http://www.networkworld.es/La-sanidad-camina-con-Wi-Fi:-Hospital-de-La-Morale/seccion-/articulo-177043

 Casi el 100% tiene publicado en su web la lista de médicos especialistas en la propia web corporativa de la empresa. Nosotros la obtenemos de otra web con objeto de no dejar rastro de IP's.


Nuestro objetivo es disponer de personalidades importantes dentro del hospital, para ello y no complicarnos la vida seleccionamos un conocido psicólogo del centro, (al cual ya pedimos perdones y excusas cuando finalizamos el trabajo.)

He aquí que me hago pasar por el excelentísimo Doctor Juan Aguirre (nombre falso en este post) ( por cierto Eduardo será el doctor en persona quien se persone en el centro, pero eso en la siguiente entrada)

Lo primero es llamar desde una cabina de teléfono (no vamos a dejar rastro de centralitas ni números personales ni nada de nada), también pensamos hacerlo desde un locutorio de esos que tantos existen.

NOTA: Tenemos la conversación grabada

Vamos a llamar al 'call center'  902 34 XX XX XX...

.- (operadora) Hola buenas tardes le atiende María, ¿en que le puedo atender?

.- (Yo) Humm. Hola buenas tardes soy el doctor Aguirre, responsable del área de psicología del centro.

.- (operadora) Ah, esto, hola Sr. Aguirre, ¿que desea?

.- (yo) Mira estoy en un congreso en aquí en Madrid en el  San Antonio Breast Cancer Symposium, necesito recuperar un fichero del portal web y no recuerdo la contraseña.

http://www.congresos-medicos.com/congresos/conclusiones-del-32nd-san-antonio-breast-cancer-symposium-4380

.- (operadora) Ya ¿y no lo tiene anotado? (empiezo a alucinar, ¿anotado?),

.- (Yo)  estooo ¿debería?, lo siento pero no. ¡¡ Señorita es muy urgente empiezo la conferencia en 35 minutos!!

.- (operadora) Es que no le puedo dar esta información por teléfono, lo siento

.- (Yo) (un poco borde lo se) ¡¡ Oiga, no se quien es usted pero necesito la contraseña YA!!, el éxito del centro depende de los datos que de y si usted no me lo proporciona, tendré que hablar con su responsable, por favor pongámonos al habla con el ahora mismo, ya!!

.- (operadora), Escuche señor, es imposible, no le puedo dar esos datos.

.- (yo) (mas borde), Mire ¿como dijo que se llama? ¿María?, me caguen la hostia si no me da ahora mismo esa contraseña, le hago culpable si no puedo tener esos datos ahora mismo, mire mi curriculum y mis datos dentro de portal, si quiere le digo mi DNI (ahí fue arriesgado, pero dudo que esos datos estén en el portal), si quiere le digo mi número de colegiado (ahí si que me pase).

.- (operadora) (muy compungida...pobre), Espere que pongo el manos libres y le paso con la responsable del servicio...(unos 40 segundos de espera)...

.- (responsable) Hola Doctor Aguirre, perdone por la espera, mi nombre es Lucia ¿donde dice que esta?

.- (yo) Señorita, estoy desesperado estoy en en el  San Antonio Breast Cancer Symposium, compruébelo en mi agenda personal. (Aquí se acabo todo ,pensé)

.- (responsable) Lo siento, perdone no tengo acceso a su agenda, pero lamento todo y no se preocupe tome nota (¿que tome nota?) . La contraseña de su acceso a la red (vpn) es 'aguirre5656' y el acceso al portal es '5656aguirre'. De todos modos le informo que la conversación ha sido grabada por nuestros sistemas informáticos y que a su vuelta le será verificado por el sistema. (por cierto contraseña muy rebuscada)

.- (yo) (sin entender nada de lo que ha dicho)..uhmm gracias, señorita ha sido muy amable, da gusto el servicio prestado.

.- (responsable) Gracias buenas tardes.

Llegados a este paso solo nos queda configurar el acceso a la VPN (cosa muy sencilla dado que en su página web pública (craso error)  explica como se realiza para todos los médicos interinos, y médicos asociados)

Una vez configurado el acceso por SSL con Open VPN, esto es lo que tenemos...

Pero esto lo vereis en el blog de eduardo

lunes, 5 de abril de 2010

¡¡Semifinalistas!!




Hola lectores,

Independientemente de que en los próximos días saldrá publicado la entrada de la mega auditoría del Hospital, quería comunicaros que mi amigo "Juanito" (alias "silverhack", del famoso blog de el diario de juanito ) y yo mismo, hemos participado en un reto forense en el que hemos quedado semifinalistas y como dice juanito, no está mal para haberle dedicado un par de tardes.

Este reto está enmarcado en el "Network Forensics Puzzle Contest" de la prestigiosa firma de SANS y mas concretamente en el apartado "Computer Forensic Investigations and Incident Response Blog"

Los resultados técnicos y el 'making off' de las pruebas las tendréis en el propio blog de silverhack, el cual se ha comprometido a poner varias entradas sobre este tema.



Análisis Forense en profundidad 2.0 - Nuevo Curso -

Buenas lectores, De nuevo y de la mano de @securizame llega una nueva entrega del curso "Análisis Forense en profundidad 2.0" ...