La Comunidad DragonJAR » Analisis

Análisis Forense en Facebook

DragoN — Tue, 19 Jul 2011 17:40:49 +0000

La popularidad de Facebook ha crecido exponencialmente en los ultimos años, pero con el aumento de su popularidad, tambien se ha incrementado los casos de delitos sobre esta plataforma, Suplantacion de identidad, Extorcion, Difamacion, Pedofilia, Ciber Acoso, son solo algunos de los delitos mas comunes realizados por Facebook.

Analizar lo sucedido en esta red social muchas veces es clave para poder resolver los casos en los que por medio de Facebook se ha cometido algun delito; En el siguiente paper creado por el grupo investigadores GruValkyrie-X, nos cuentan detalladamente como realizar un analisis forense a Facebook (las charlas, comentarios en el muro, eventos, grupos, etc…) asi como su aplicacion para dispositivos moviles, ya que cada accion en esta red social deja huellas que pueden ser utilizadas para descubrir que se realizó sobre ella.

Sin mas preambulos les dejo de forma online este exelente paper.

Tambien puedes descargarlo en PDF gracias al mirror de la Comunidad DragonJAR.

Más Información:
Facebook Forensics Paper Published

También puede interesarte...

Información para Reto Forense Campus party 2011

DragoN — Tue, 28 Jun 2011 17:55:41 +0000

Les recuerdo el correo donde deben realizar la inscripcion SOLO PARA CAMPUSEROS COLOMBIANOS 2011 (luego abriré para el publico en general), del 2do Reto Forense Campus Party Colombia (y 4to comunidad DragonJAR) es seguridadyredes(arroba)campus-party.com.co, en ese correo deben enviar los nombres, correos y las cedulas de los participantes (maximo 3) de cada equipo.

Tambien les dejo algunas metodologias Basicas para realizar un analisis forense:

Ademas de los retos forenses que ya hemos realizado en la comunidad:

Primer Reto Forense de La Comunidad DragonJAR

Primera versión de nuestro reto forense, totalmente online y con gran cantidad de participantes, un puno de partida para muchas personas que querían empezar con el tema forense dentro de nuestra comunidad, logrando motivar a muchos a estudiar esta rama de la seguridad informática.

Segundo Reto Forense de La Comunidad DragonJAR

Reto exclusivo en primera instancia para los asistentes a la Campus Party Colombia 2010 y evento principal de la nueva zona de “Seguridad”, después publicado para resolver de forma online.

Aprovecho para anunciar que desde ya estamos confirmados para realizar el reto forense de La Campus Party Colombia 2011…. prepárate

Tercer Reto Forense de La Comunidad DragonJAR

Reto desarrollado en el transcurso de la EKO Party 2010, donde fuimos un poco mas allá y creamos toda una escena del crimen para que los analistas (quienes tenían solo día y medio para resolver el reto), pusieran a prueba sus habilidades en un entorno mucho mas realista, esto llamo mucho la atención de los asistentes y participantes quienes quedaron muy satisfechos con este reto.

También puede interesarte...

CAINE – Distribución Live CD para Análisis Forense

DragoN — Wed, 01 Jun 2011 17:27:45 +0000

CAINE (Computer Aided INvestigative Environment), es una distribución Live CD para realizar análisis forense informático, de la que hemos hablado en varios ocasiones en nuestra comunidad, creada por Giancarlo Giustini es una de las mejores opciones que tenemos a la mano cuando deseamos realizar un análisis forense de algún equipo informático.

CAINE se diferencia de las demás distribuciones de su tipo (Forensic Boot CD, Helix, Deft, etc..) por su facilidad de uso y que proporcionar una interfaz gráfica homogénea que guía a los investigadores digitales durante la adquisición y el análisis de las pruebas electrónicas, y ofrece un proceso semi-automático durante la documentación y generación de informes.

Giancarlo me ha enviado un mail para notificarme de la nueva versión de esta excelente distribución y aprovecho para agradecerle por dejarme aportar mi granito de arena en el CAINE, realizando la traducción de los reportes en español.

CAINE también cuenta con un subproyecto llamado NBCAINE y mantenido por Nanni Bassetti, que permite utilizar esta excelente distribución desde una memoria USB, con la finalidad de ser convertir un netbook en una completa herramienta de análisis forense o poder guardar los cambios realizados en el sistema.

Para instalar NBCAINE en tu memoria usb basta con escribir desde una consola en GNU Linux lo siguiente

dd if=nbcaine.dd of=/dev/sdX

Donde nbcaine.dd es el nombre del archivo que descarguemos y la X es el numero de tu memoria usb.

En la nueva version 2.0 de CAINE podemos encontrar cambios en el kernel utilizado (se actualizo a la versión 2.6.32-24) se agregaron los siguientes programas:

Air 2.0.0
MountManager
Disk Utility
Storage Device Manager
SSdeep
ByteInvestigator
DMIdecode
HDSentinel
WVSummary
Read_open_Xml
Fiwalk
Bulk Extractor
Log2Timeline
Midnight Commander
SQLJuicer
CDFS 2.6.27
Nautilus Scripts
Fake Casper patch
Manual updated

Y se actualizaron o arreglaron estas aplicaciones

md5deep
foremost
lanzadores
manual
README.txt
Photorec y Testdisk and XSteg en el menú de Forense

Por el lado de Windows (CAINE También funciona en Microsoft Windows) se actualizó y mejoró Wintaylor

Descargar la ultima versión de CAINE

Mas Información:
Pagina Oficial de CAINE
CAINE, LiveCD GNU/Linux para Informática Forense
Nueva Versión del CAINE, LiveCD para Informática Forense

También puede interesarte...

Ganadores del Reto Forense Campus Party Colombia 2010

DragoN — Wed, 07 Jul 2010 07:17:24 +0000

Este año tuve el placer de participar como ponente en la Campus Party Colombia 2010, inaugurando la nueva área de Seguridad y Redes que hacia mucha falta en el evento de tecnología mas grande de nuestro país, mi compañero Jhon Jairo Hernandez (Dinosaurio) y yo real realizamos el Segundo Reto Forense de La Comunidad DragonJAR, el cual tuvo muy buena acogida por parte de los campuseros y una participación mas que deseada.

Me gustó mucho realizar este reto forense durante la Campus Party Colombia 2010, por que aunque no es el primero que realizo, en esta ocasión pude realizar un seguimiento día a día del reto y tener una interacción mas directa con los participantes, ver sus progresos, aconsejarles, orientarles y escuchar sus teorías sobre lo sucedido en el caso de “monica galindo”, cosa que no se pudo hacer en el primer reto forense de la comunidad dragonjar, ya que este se realizo totalmente online.

Muchas personas participarón en el reto forense (mas de 130 inscritos oficiales), aunque la gran mayoría no contaban con conocimiento previo en la materia, aun así se animaron a participar en el reto planteado y me alegró mucho ver sus nombres entre los pocos informes enviados, habían otros a los que se les veía mucho interés y compromiso, preguntaban constantemente pero por diferentes razones no entregaron los informes, recuerdo en especial un grupo costeño, que tenia claro que había sucedido con monica y su denuncia, conocían el culpable, los medios usados para cometer el delito, pero se dejaron intimidar por la presencia de un participante con muchos conocimientos en el área. Espero que los resultados del reto les demostraran que realmente cualquiera tenia la posibilidad de ganar, solo tenían que realizar un buen informe y sustentar su trabajo en el.

El reto forense tenia una calificación máxima de 100 puntos, distribuidos de la siguiente forma:

30 Puntos – Validez legal
30 Puntos – Procedimental y Documental
30 Puntos – Evidencia y Correlación con el Delito
10 Puntos – Extras (para las personas que realizaron algo mas de lo que nosotros solicitábamos)

Teniendo claro el sistema de calificación empleado, les dejo los resultados del Reto Forense realizado por La Comundiad DragonJAR en la Campus Party Colombia 2010:

Les recomiendo descargar el archivo XLS donde podrán encontrar los comentarios realizados a cada uno de los participantes

Una foto de los felices ganadores, Duvan Gallego y Raúl Chavarría con sus nuevos Netbooks Toshiba:

Pronto subiremos las imágenes de este reto forense, para que las personas que no pudieron asistir a la Campus Party Colombia, también tengan la posibilidad de realizarlo.

También puede interesarte...

VirusTotal Uploader

4v4t4r — Wed, 16 Dec 2009 00:50:19 +0000

VirusTotal Uploader es un servicio que te permite enviar muestras de malware a los analizadores de VirusTotal por medio del menú contextual de Windows.

Para quienes no conocen las bondades de VirusTotal les cuento que es un servicio desarrollado por Hispasec Sistemas de análisis de archivos sospechosos en línea, el cual los analiza en busca de virus, gusanos y malware en general. El servicio es gratuito y utiliza más de 30 motores Antivirus, entre los cuales se destacan:

Avira (mi preferido)
ESET NOD32
Kaspersky
Panda, entre otros.

Para más información sobre VirusTotal visita la página oficial sobre sus servicios.

Volviendo al objetivo de este post que es la utilidad VirusTotal Uploader, personalmente no lo conocía y me enteré de la existencia de éste por medio de otra página que anunciaba la versión número 2 de esta utilidad (evidencia de lo poco que leemos en detalle algunas páginas/servicios y solo usamos el botón más grande XD).

El modo de uso es bastante simple, sólo basta entonces que descarguemos el instalador del Uploader y procedamos a su instalación.

Ahora tendremos una nueva opción disponible en nuestro menú contextual:

Proceso de carga:

Finalmente y de manera automática nos abrirá el reporte de resultados del análisis:

Además de esto podemos utilizar desde los enlaces directos creados en la instalación, la opción de Upload de los procesos en ejecución del sistema. Esto con la finalidad de analizar procesos sospechosos en una máquina de laboratorio o producción.

Como vemos la utilidad es bastante sencilla de utilizar y muy efectiva para agilizar los procesos de Análisis de Malware.

También puede interesarte...

Recogiendo Evidencias para Análisis Forense en Windows

DragoN — Tue, 24 Nov 2009 23:16:25 +0000

Despues de escribir sobre la Instalación, Configuración y Uso del Microsoft Cofees nuestro amigo Seifreed nos regala otro articulo relacionado con el análisis forense en entornos windows, en esta ocasión recogeremos evidencias para un posterior análisis de estas.

Indice

Introducción
Obteniendo datos volátiles
Obteniendo datos no volátiles
Clonando el disco
Referencias

1.- Introducción

Tradicionalmente los forenses vienen dividiendo los datos en 2 tipos:

Datos volátiles.
Datos no volátiles.

Los datos volátiles son aquellos que al apagar la maquina a analizar se pierden. Esto no es del todo exacto, pues tal y como debatimos aqui es posible recuperar datos almacenados en RAM _tras apagar_ el equipo.

Los datos no volatiles por el contrario son aquellos que permanecen en el disco duro tras apagar la maquina.

Tipicamente, un forense adquiriria una imagen del disco mediante herramientas tipo dd o cualquiera de sus evoluciones (podemos ver mas del Análisis de memoria RAM. Recogida de evidencias en este post). Nunca con herramientas tipo Ghost, pues perderiamos la información a mas bajo nivel como en que clusters o sectores estaba almacenada la informacion, espacio particionado y libre (unallocated), espacio slack o espacio sin particionar.

Y como una imagen vale mas que mil palabras, como dice el refran, a continuacion muestro una imagen donde se ve mas claro lo que son estos conceptos:

Sobre el espacio slack me gustaría hacer un inciso, enlazando un vídeo algo viejo pero interesante titulado Look for deleted data on the slack space of a disk.

También comentar la existencia de la genial utilidad slacker, sobre la que hablamos, quizas muy por encima para lo que se merece, en un hilo llamado Anti-Forensics.

Así que los que queráis iniciaros en el uso de dicha herramienta, podéis consultar un paper bautizado con el atrayente titulo de catch me, if you can… presentado en la Blackhat 2005 por James Foster y el crack Vinnie Liu, que no se si a dia de hoy sigue implicado en el Proyecto Metasploit.

Y por ultimo, para los que querais profundizar sobre sistemas de archivos a bajo nivel, os recomiendo el _excelente_ libro File System Forensic Analysis, de Brian Carrier; ademas de los talleres de Vic_Thor sobre FATxx y NTFS.

“Cualquier contacto, deja un trazo”
Locard’s Exchange Principle

Continuar el post en Recogiendo datos para Análisis Forense de sistemas Windows >>

También puede interesarte...

Instalación, Configuración y Uso del Microsoft Cofee

DragoN — Sat, 21 Nov 2009 04:28:06 +0000

Hace poco nos enterábamos que Microsoft Cofee (Computer Online Forensic Evidence Extractor), la suite forense que Microsoft le regala a las entidades policiales desde Junio del año 2008, se había filtrado en Internet, en La Comunidad DragonJAR nuestro amigo Seifreed ha conseguido una copia de Microsoft Cofee y nos muestra como es la instalación, configuración y uso del Microsoft Cofee.

Pero… ¿Que es y de que está formado Microsoft Cofee?

Es una “unidad de almacenamiento USB”, que fue distribuido en silencio a un puñado de organismos policiales, El dispositivo contiene 150 comandos que puede disminuir drásticamente el tiempo necesario para reunir pruebas digitales, que es cada vez más importante en la delincuencia en el mundo real, así como los delitos informáticos. Puede desencriptar contraseñas y analizar la actividad de Internet de una computadora, así como los datos almacenados en el ordenador.

Una vez descargada la herramienta, vamos a crear la unidad USB.

Creando Unidad USB

Ejecutamos Cofee.exe y nos saldrá una GUI para hacer de manera gráfica nuestra unidad USB de Cofee

Ya tenemos nuestra unidad USB comprobemos…

Como veis aquí tenemos nuestra unidad USB Cofee.
Ahora vamos a utilizar Cofee

Utilizando Cofee

En nuestra unidad USB tendremos un archivo llamado runner.exe.
Lo ejecutamos…

Ahora podemos ver que nos ha creado una serie de carpetas y ha ejecutado una serie de tests.

En cada una de esas carpetas hay información obtenida de nuestro equipo.

Información extraída

Después de los test que se han realizado, podemos entrar en cada una de las carpetas y ver la información extraída por el Cofee:

En este archivo por ejemplo podemos ver que ha extraído de nuestro equipo la informacion nuestros servicios en ejecución.

Microsoft Cofee ha creado diferentes archivos con informacion detallada de la maquina donde sea ejecutado, con la finalidad de facilitar el análisis de esta informacion mas adelante.

Aunque Microsoft Cofee no ofrece muchas novedades comparados con otras herramientas (por ejemplo el live cd para análisis forence CAINE) y solo funciona en entornos Microsoft Windows, no deja de ser una buena herramienta para tener dentro de nuestro arsenal.

¿Has utilizado Microsoft Cofee?, que opinas de el… cuéntalo en los comentarios.

También puede interesarte...

Curso gratuito de Análisis Forense Basico

DragoN — Tue, 15 Sep 2009 18:53:50 +0000

Aqui encontraras un curso basico de analisis forense informatico con el que podras iniciarte en esta rama de la seguridad informática, esta divido en 4 partes cada una de ellas detalladas en un lenguaje simple, poco tecnico y muy comodo para su lectura.

Ingresa al Curso Gratuito e Análisis Forense Informático

También puede interesarte...

Metodología Básica de Análisis Forense – Parte 4 de 4

D7n0s4ur70 — Mon, 14 Sep 2009 18:41:48 +0000

Continuamos con la cuarte y ultima parte del articulo sobre la metodología básica para realizar un análisis forense, si no has leído la 3ra parte parte, puedes verla aquí.

PREPARACIÓN DEL INFORME

Es la fase final y la mas delicada e importante la cual sera el documento que sustentara una prueba en un proceso legal, básicamente tener en cuenta estos dos pasos:

Organización de la Información:

Retomemos toda la documentación generada en las fases de la metodología e igual cualquier información anexa como notas, antecedentes o informe policial.
Identifiquemos lo mas importante y pertinente de la investigación
Realizar conclusiones (tenga en cuenta los hechos) y crear una lista de las pruebas para presentar en el informe.

Escribir el Informe Final:

Debe ser claro, conciso y escrito en un lenguaje entendible para gente común (no tan técnico).

Debe contener como mínimo:

Propósito del Informe. Explicar claramente el objetivo del informe, el público objetivo, y por qué se preparó el informe.
Autor del informe. Todos los autores y co-autores del informe, incluyendo sus posiciones, las responsabilidades durante la investigación, y datos de contacto.
Resumen de Incidentes. Introducir el incidente y explicar su impacto. El resumen deberá estar escrito de manera que una persona no técnica, como un juez o jurado sería capaz de entender lo que ocurrió y cómo ocurrió.
Pruebas. Proporcionar una descripción de las pruebas de que fue adquirido durante la investigación. Cuando el estado de la evidencia que describen la forma en que fue adquirida, cuándo y quién lo adquirió.
Detalles ·. Proporcionar una descripción detallada de lo que la evidencia se analizó y los métodos de análisis que se utilizaron. Explicar los resultados del análisis. Lista de los procedimientos que se siguieron durante la investigación y de las técnicas de análisis que se utilizaron. Incluir una prueba de sus resultados, tales como los informes de servicios públicos y las entradas de registro. Justificar cada conclusión que se extrae del análisis. Sello documentos de apoyo, el número de cada página, y se refieren a ellos por el nombre de la etiqueta cuando se examinan en el análisis. Por ejemplo, “registro de Firewall de servidor, documento de apoyo D.” Además, proporcionan información sobre aquellos individuos que realizaron o participaron en la investigación. Si procede, proporcione una lista de testigos.

Conclusión. Resumir los resultados de la investigación. La conclusión debe ser específico de los resultados de la investigación. Citar pruebas concretas para demostrar la conclusión, pero no dan excesivos detalles acerca de cómo se obtuvieron las pruebas (tal información debe estar en la sección “Detalles”). Incluir una justificación para su conclusión, junto con las pruebas y la documentación. La conclusión debe ser lo más clara y sin ambigüedades como sea posible. En muchos casos, se declaró cerca del comienzo del informe, porque representa la información procesable.

Los documentos justificativos. Incluya cualquier información de antecedentes a que se refiere en todo el informe, tales como diagramas de red, los documentos que describen los procedimientos de investigación de equipos usados, y un panorama general de las tecnologías que intervienen en la investigación. Es importante que los documentos justificativos proporcionar información suficiente para que el lector del informe para comprender el incidente tan completamente como sea posible. Como se mencionó anteriormente, la etiqueta de cada documento de apoyo con las letras y el número de cada página del documento. Proporcionar una lista completa de los documentos justificativos.

Si es probable que el informe será presentado a un público variado, considerar la creación de un glosario de términos utilizados en el informe. Un glosario es especialmente valiosa si el organismo de aplicación de la ley no está bien informado sobre cuestiones técnicas o cuando un juez o jurado debe revisar los documentos.

También puede interesarte...

Metodología Básica de Análisis Forense – Parte 3 de 4

D7n0s4ur70 — Sun, 13 Sep 2009 18:31:28 +0000

Continuamos con la tercera parte del articulo sobre la metodología básica para realizar un análisis forense, si no has leído la 2da parte parte, puedes verla aquí.

ANALISIS DE DATOS:

Seguiremos los tres pasos de la anterior figura:

Análisis de Datos de la Red:

Para nuestra investigación nos centraremos en identificar los dispositivos de comunicación y de defensa perimetral (Servidores Web, Firewall, IDS’s, IPS’s, Proxys, Filtros de Contenido,Analizadores de Red, Servidores de Logs,etc) que están en la Red, con la finalidad de recuperar los logs que se han tomado como parte de la gestión de red.

Análisis de los Datos del Host:

Generalmente se logra con la información obtenida de los sistemas vivos, de la lectura de las Aplicaciones y los Sistemas Operativos. Para nuestro caso, debemos de limitarnos a tratar de recuperar estos archivos de la evidencia en procesos de Data Carving o Recuperación de Datos, y definir criterios adecuados de búsqueda, debido a que lo mas probable es que encontremos una gran cantidad de información que nos puede complicar o facilitar el análisis de datos, dependiendo de nuestros objetivos de búsqueda Posteriormente definiremos a que archivos le realizaremos la búsqueda

Análisis de los Medios de Almacenamiento:

Igual que el punto anterior debemos definir criterios de búsqueda con objetivos claros, debido a la gran cantidad de información disponible, que nos puede desviar la atención o sencillamente complicar el proceso de análisis de la información Tengamos en cuenta las siguientes buenas practicas:

No olvidemos, que se debe utilizar la copia del segundo original, a su vez el segundo original preservarlo manteniendo un buen uso de la cadena de custodia.
Determinar si los archivos no tienen algún tipo de cifrado (varias claves del registro no lo pueden determinar).
Preferiblemente descomprimir los archivos con sistemas de compresión
Crear una estructura de Directorios y Archivos recuperados.
Identificar y recuperar los archivos objetivo (determinados por algunos criterios, ejemplo aquellos que han sido afectados por el incidente). Y se puede comparar su hash (archivos del sistema operativo y aplicaciones) con los hash de archivos que nos facilita la http://www.nsrl.nist.gov/,

O sitios como:

http://www.fileformat.info/resolución/web/filespecs/index.htm

http://www.wotsit.org/

http://www.processlibrary.com/

Analizar archivos de Booteo y configuración del sistema, el registro del sistema
Información de Login / Logout del sistema, nombres de usuario e información del AD (Directorio Activo)
Software instalado, actualizaciones y parches.
Buscar archivos con NTFS ADS (Alterna Data Stream)

10. Estudio de las Metadata (en especial identificar las marcas de tiempo, creación, actualización, acceso, modificación,etc).

11. La evidencia debe ser cargada de solo lectura, para evitar daños o alteraciones sobre las copias del segundo original.