Data carvers en retos forenses

En la comunidad DragonJAR hemos realizado varios retos forenses, hemos tenido mucha participación y han gustado mucho. Los participantes que han entregado sus soluciones han seguido distintas vías de investigación para obtener los resultados finales. Está claro que, hay cosas comunes como hacer el MD5, la copia de la imagen etc… Pero una de las cosas que nos pueden ir muy bien y que, en casi ninguna solución se había hecho es pasar un data carver. Esto nos servirá para tener todos los datos que se puedan extraer realizando esta técnica antes de empezar el caso. He cogido un reto forense al azar, y el escogido a sido el primer reto forense que se hizo aquí en la Comunidad DragonJAR. Descomprimimos el archivo RAR y tendremos los componentes de una máquina virtual, en concreto una imagen vmware. darkmac:Reto Forence marc$ ls -lh total 8414856 drwxr-xr-x@ 4 marc staff 544B 4 ago 21:18 ./ drwxr-xr-x@ 3 marc staff 136B 4 ago 19:52 ../ -rw-r--r--@ 1 marc staff 640K 19 dic 2009 Reto Forence-000001.vmdk -rw-r--r--@ 1 marc staff 512M 19 dic 2009 Reto Forence-Snapshot1.vmem -rw-r--r--@ 1 marc staff 131M 19 dic 2009 Reto Forence-Snapshot1.vmsn -rw-r--r--@ 1 marc staff 8,5K 19 dic 2009 Reto Forence.nvram -rw-r--r--@ 1 marc staff 2,8G 19 dic 2009 Reto Forence.vmdk -rw-r--r--@ 1 marc staff 512M 15 dic 2009 Reto Forence.vmem -rw-r--r--@ 1 marc staff 586B 19 dic 2009 Reto Forence.vmsd -rw-r--r--@ 1 marc staff 131M 19 dic 2009 Reto Forence.vmss -rw-r--r--@ 1 marc staff 2,5K 19 dic 2009 Reto Forence.vmx -rw-r--r--@ 1 marc staff 1,6K 15 dic 2009 Reto Forence.vmxf -rw-r--r--@ 1 marc staff 747K 19 dic 2009 vmware-0.log -rw-r--r--@ 1 marc staff 95K 19 dic 2009 vmware.log Lo primero que vamos ha hacer es lanzar bulk sobre el fichero .vmem que corresponde a la memoria RAM. darkmac:Reto Forence marc$ bulk_extractor -o memoria Reto\ Forence-Snapshot1.vmem bulk_extractor version: 1.4.0-beta5 Hostname: darkmac.local Input file: Reto Forence-Snapshot1.vmem Output directory: memoria Disk Size: 536870912 Threads: 4 19:54:52 Offset 67MB (12.50%) Done in 0:02:12 at 19:57:04 19:55:14 Offset 150MB (28.12%) Done in 0:01:44 at 19:56:58 19:55:37 Offset 234MB (43.75%) Done in 0:01:21 at 19:56:58 19:55:57 Offset 318MB (59.38%) Done in 0:00:57 at 19:56:54 19:56:35 Offset 402MB (75.00%) Done in 0:00:40 at 19:57:15 19:56:56 Offset 486MB (90.62%) Done in 0:00:14 at 19:57:10 All data are read; waiting for threads to finish... Time elapsed waiting for 4 threads to finish: (timeout in 60 min .) Time elapsed waiting for 4 threads to finish: 6 sec (timeout in 59 min 54 sec.) Thread 0: Processing 503316480 Thread 1: Processing 520093696 Thread 2: Processing 469762048 Thread 3: Processing 486539264 Time elapsed waiting for 4 threads to...

Leer Más

Reto Forense Digital Sudamericano – Resultados

Acaban de salir los resultados del I Reto Forense Digital Sudamericano, arrojando como ganadores al Colombiano Daniel Correa (creador de sinfocol.org) y el Peruano Henry Sánchez, miembros del equipo Null Life, los dejo con los informes de los 3 primeros puestos en este Reto Forense Suramericano. Primer Puesto : Henry Sánchez – Daniel Correa – Perú / Colombia – Informe Ejecutivo – Informe Técnico Segundo Puesto : Raúl A. Iriberri – Argentina – Informe Ejecutivo – Informe Técnico Tercer Puesto : Gabriel Lazo Canazas – Roberto Contreras Diestra – Carlos Luis Vidal – Michael Ocrospoma Heraud – Perú Informe Ejecutivo – Informe Técnico Felicitamos a los ganadores por el buen trabajo realizado, seguramente estos informes servirán de guía a muchas personas que quieran entrar al mundo del análisis forense digital!!!La ISSA (Information Systems Security Association), ha publicado su primer reto forense digital sudamericano, con el que se pretende poner a prueba las habilidades de los analistas forenses en Sur América y fomentar aun mas esta área de la seguridad informática en nuestro idioma. El funcionamiento es igual que el de nuestro retos forenses, a los analistas se les proporcionarán las imágenes de un sistema comprometido y deberán analizarlas para descubrir qué pasó en estos sistemas, luego generar los informes correspondientes, en este reto en particular se fomenta el trabajo en equipo, por lo que la participación puede ser en grupos de 3 o 4 personas máximo, o si prefieres puedes presentarlo individual. El escenario de este reto forense es el siguiente: Un usuario con un dudoso nivel de conciencia de seguridad, se ha percatado que el computador que le han sido asignado en la empresa donde trabaja, está más lento que de costumbre e inclusive aparecen y desaparecen mensajes, sin que él sepa qué o quién los está enviando, por lo que sospecha de algún ingreso no autorizado o virus del que desconoce el alcance. Según el usuario, hasta el momento no ha tenido problemas de virus informáticos, él recibió un correo electrónico de un Busca Talentos, promocionando una oportunidad laboral, el usuario comenta que sólo quería descargar la información y llenar los datos de su hoja de vida para aprovechar la oportunidad laboral que se le había presentado. Ahora es necesario determinar si existió un ingreso no autorizado, cómo ocurrió, el alcance del daño al sistema, que información contenía en él y si el intruso pudo recuperar la información de forma completa o parcial Las reglas del reto forense Para el análisis del reto forense puede usarse cualquier herramienta o técnica siempre y cuando los integrantes del jurado puedan interpretar los resultados y duplicar o verificar su exactitud...

Leer Más

Analiza un iPad y GANATELO!!!

Este año en la ekoparty, tendré el gusto de realizar varias actividades para los asistentes, una charla, un taller y un reto sobre análisis forense de dispositivos iOS, gracias a los organizadores de la eko, podré hacer un reto forense que quería hace algún tiempo, donde se planearía el análisis a algún dispositivo “poco convencional” como un XBox, Wii, PSP, etc.. con el titulo “Analiza un XX y Gánatelo”, donde XX seria el dispositivo a analizar y a su vez el premio. Hoy les presento el reto “Analiza un iPad y Ganatelo”, el nuevo reto forense que se realizará durante la ekoparty y que pretende poner a prueba los conocimientos forenses de los analistas, a la hora de examinar un dispositivo con sistema operativo iOS de Apple. ESCENARIO PLANTEADO Diego Armando Quintero, un estudiante de Ingeniería de Sistemas de la Universidad de Manizales, Colombia, lleva 3 días desaparecido, sus familiares desconocen su paradero y temen lo peor ya que el grado para obtener el titulo como ingeniero de sistemas se realizó hace 2 días y siguen sin tener noticias de él. Julian Quintero, mientras buscaba el paradero de su hermano, recibió una llamada de un amigo, en la que le avisaba que había visto el iPad que su hermano Diego se había ganado en un concurso universitario, en una casa de empeño, el cual pudo identificar fácilmente ya que tenia un sticker de la comunidad DragonJAR y un trozo de velcro en su parte posterior. Este iPad es la única pista que tiene la familia Quintero, para saber lo sucedido con Diego Armando, y el resultado de su análisis es de vital importancia para resolver este caso. OBJETIVO DEL RETO El objetivo de este reto, es realizar el análisis forense al iPad encontrado en la casa de empeño; Para ello se entrega una imagen del sistema iOS, la cual debe ser analizada  y resolver los siguientes puntos. Determinar si Diego Armando Quintero se suicido, lo secuestraron, lo asesinaron, lo robaron o si su desaparición es voluntaria. Si fue un suicidio, identificar las causas que hicieron que Diego Armando, se suicidara. Si fue un homicidio, determinar el autor y el motivo por el cual se cometió el asesinato. Dar una ubicación aproximada del cuerpo de Diego Armando, si se suicido o fue asesinado. Si fue un robo determinar donde se realizó y quienes lo cometieron. Si su desaparición fue voluntaria, determinar los motivos de esta y la razón por la que no asistió a su grado. Determinar como llego el iPad a la casa de empeño. Al tratarse de un reto diseñado para ser resuelto en un máximo de 3 días (duración de la EKO...

Leer Más

Siguenos!

O Puedes Subscribete

ANTES DE

SALIRTE ...

NO TE

ARREPENTIRÁS

!Gracias¡

NO OLVIDES NUESTRAS REDES SOCIALES