juancrui © 2014. 1981. memoria: 1680 bytes = 1.6 kb

ANTIFORENSICS Y LA

ALQUIMIA DE LOS BITS

juancrui © 2014

http://about.me/juancrui

1981. Memoria: 1680 bytes = 1.6 Kb

Nuevos alquimistas

Fe

Au

Bits

Au

Técnicas antiforensics

El objetivo es ponérselo difícil al perito y generar dudas en la investigación

• Información está pero no se ve• Sobresaturación• Borrado seguro o sobrescritura

con información falsa

Supuestos de un caso

• Se localiza la técnica antiforensics y la información

• Solo se localiza la técnica• No se localiza la técnica no acceso a

la información

Técnicas Antiforensics

Ocultación

Modificación

Eliminación

Creación

Modificación

• Aplicaciones como Decaf Vs COFEE• Manipulación de logs y/o metadatos• Cifrado• Splitting Files + Encryption• Esteganografía

Crear error en base a como se investiga

Creación

• MAFIA• Sobresaturación de información• Colisión MD5• Ofuscación

Generar “info” distorsionar la escena

Eliminación

• Wipeado (varias pasadas)• Destrucción física

Si no está, no se encuentra!

Ocultación

• Slacks• Alternate Data Stream• Bad Blocks (Inode 1)• Unallocated spaces• Particiones eliminadas u ocultas

Tools no detectan la “info” no recuperación

Otras

No cac

he

thumbn

ails

VPN’sDesactivar Puntos

restauración

Bit Shifting

Active kill disk

Desacti

var

hibernación

Cambia

r

atrib

utos

MAC

Fake information

TOR

Packers

truecrypt

Protectme

eePROM BIOS

Firmware

Rootkits

FirmwareNVIDIA: nvflash

ADSFlujos alternativos de datos

NTFS permite guardar flujos alternativos junto al principal con solo especificar un nombre interno

Fichero[:flujo[:tipo]]

ADSNotas

• Flujo principal es :$DATA• Tantos ADS como memoria disponible• Política es que el usuario no use ADS ==>

“<“ y “>”• “:” ==> confusión ==> solución rutas

absolutas• Hash no varía por ADS’s• Al comprimir perdemos ADS’s salvo rar• MIME y Base64 ignora ADS

ADSNotas

• Transferencias FTP, HTTP ignora los ADS• Copia de NTFS a NTFS, redes Samba

ADS

En fichero En carpeta En Partición

En imagen de disco

En fichero borrado

ADSUtiles

• Lads : http://www.heysoft.de/en/software/lads.php• Streams: http://technet.microsoft.com/en-us/sysinternals/bb897440• Copy_ads: http://www.dmares.com/maresware/html/copy_ads.htm• ADS Spy: http://www.bleepingcomputer.com/download/ads-spy/• AlternateSreteamView:

http://www.nirsoft.net/utils/alternate_data_streams.html• DIR /R

RETO• USB NTFS sin contenido aparente

Análisis más en profundidad se detectan 2 ADS en particiones

• G::$BadClus de tipo rar

• G::$ de 100Mb

$BadClus contiene en su interior:

• Si se extrae directamente se pierden los posibles ADS que contuviera

• Extraer con “rar x $BadClus .”

Y contiene un ADS: “?”

ADS “$ “El símbolo detrás del $ es necesario para poder extraerlo

Con streams visualizamos $á, pero …

El símbolo detrás del $ es necesario para poder extraerlo

Ya lo tendríamos extraído ahora hay que determinar los tipos de ficheros que son

file2

File2 no tiene signatura conocida si probamos con tchunt por si fuera un contenedor cifrado tipo truecrypt nos da positivo … pero ¿y la clave?

Signatures:

Documento

Al abrirlo con MSWord:

Se observa una frase firmada y una imagen de una tabla periódica compatible con el nombre del documento

A buscar la clave (o las claves)

Parametrizamos fondo y texto con el mismo color

NTUuODQ1

Clave 1

La imagen de la tabla periódica ¿puede tener esteanografía?

NTguOTMz

Clave 2

Las propiedades del “doc” en su registro Asunto encontramos algo similar

NTguNjkz

Clave 3

Las propiedades avanzadas del “doc” en su registro “Referencia” encontramos otra posible clave

NjMuNTQ2

Clave 4

Analicemos el tipo del fichero:

http://mark0.net/onlinetrid.aspx

Estamos ante un fichero “docx” y no un “doc”. El docx no deja de ser un empaquetado

Si desempaquetamos el docx:

Podemos observar cosas curiosas:

•2 imágenes •3 temas

NjUuMzgw

Clave 5

Visualizando la imagen

../word/media/image2.png:

NjkuNzIz

Clave 6

Y los metadatos IPTC de la

imagen ../word/media image2.png:

NzIuNjMw

Clave 7

Y las propiedades en el registro comentario

de la imagen ../word/media/image1.png :

NzQuOTIx

Clave 8

Lo mismo con los temas: El tema

../word/theme/theme2.xml es un fichero de ¡texto!

El tema ../word/theme/theme3.xml es un fichero “cbz”

con tres imágenes y un fichero oculto sin nombre

NzguOTcx

Clave 9

El fichero oculto de ../word/theme/theme3.xml

es un fichero “de texto”

También “tabla periodica.doc” tiene ADS

Con algunos programas de tratamiento de ADS nos sale el símbolo “?” pero este no nos funciona

Otros programas ni nos muestran el nombre

El de Nirsoft © si que nos muestra: ☺= [ALT]+1

NzkuOTAx

Clave 10

Visualizamos el contenido

¿Y qué tenemos hasta ahora? ¿Paramos?

Probando en el contenedor Truecrypt nos da negativo

NTUuODQ1

NTguOTMz

NTguNjkz

NjMuNTQ2

NjUuMzgw

NjkuNzIz

NzIuNjMw

NzQuOTIx

NzguOTcx

NzkuOTAx¿Falta alguna

más?

¿Hay que operar con ellas?

¿Ofuscación?

¿Alguna relación?

Si decodificamos de Base64 a ASCII

Obtenemos:

NTUuODQ1 55.845

NTguOTMz 58.933

NTguNjkz 58.693

NjMuNTQ2 63.546

NjUuMzgw 65.380

NjkuNzIz 69.723

NzIuNjMw 72.630

NzQuOTIx 74.921

NzguOTcx 78.971

NzkuOTAx 79.901

Debemos ponernos en el cerebro del autor

Los números son muy semejantes a los pesos atómicos de la tabla periódica del documento

Y si los ordenamos por orden numérico veremos la relación y el siguiente de la tabla:

El siguiente es el “KRYPTON”

y en base64: ODMuNzk4

Si desciframos el contenedor Truecrypt obtendremos el secreto:

Una bonita reliquia de un manual de Alquimia

http://about.me/juancrui

¿Alguna pregunta?