análisis forense en servicios de almacenamiento remoto
Post on 14-Feb-2017
242 Views
Preview:
TRANSCRIPT
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48
C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96
info@isecauditors.com www.isecauditors.com
Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 | Fax: +57 (1) 638 68 88
Análisis Forense en Servicios de Almacenamiento Remoto
@localhost # whoami Alexandre Rodríguez Domoslawsky CHFI, CEI-forensic, CEH, GPEN, GCIH, OSWP, CISA, CISM e-mail: arodriguez@isecauditors.com
Analista de seguridad
Hacking ético
Análisis forense
Incidentes de seguridad
Análisis Forense en Servicios de Almacenamiento Remoto
Objetivos de la presentación • Analizar las principales tecnologías de almacenamiento remoto
– ¿Que información se almacena localmente? • Credenciales • Ficheros de configuración • Arquitectura del servicio (servidores tiempo, back-end, front –end) • Cifrado, ofuscado, texto plano • Cuando se desinstala el servicio, ¿que información sigue residiendo localmente?
– ¿Qué sucede en la transferencia y sincronización de archivos? • Conexiones cifradas • ¿Cómo se sincronizan los archivos? • Credenciales
Análisis Forense en Servicios de Almacenamiento Remoto
Índice 1. Introducción 2. Dropbox
• Ficheros • RAM • Servicio online
3. Google Drive • Ficheros • RAM • Servicio online
4. Conclusiones
Análisis Forense en Servicios de Almacenamiento Remoto
Almacenamiento – Necesidad • Cada vez requerimos mas espacio
Análisis Forense en Servicios de Almacenamiento Remoto
Almacenamiento – Necesidad • Estamos mas interconectados
Análisis Forense en Servicios de Almacenamiento Remoto
Almacenamiento – Servicios • A mayor demanda, mayor oferta
https://www.preceden.com/timelines/47418-evolution-of-cloud-storage
Análisis Forense en Servicios de Almacenamiento Remoto
Cloud – Problemas de seguridad • Vulnerabilidades Software
– Confidencialidad – Disponibilidad – Integridad
Análisis Forense en Servicios de Almacenamiento Remoto
Cloud – Problemas de seguridad • Empleo por parte de los usuarios
– Privacidad – Fugas de información
Análisis Forense en Servicios de Almacenamiento Remoto
Cloud – Problemas de seguridad • Nuevos desafíos
– Distribución de Malware – RAT – Ofuscación
Análisis Forense en Servicios de Almacenamiento Remoto
Cloud – Desafíos para el análisis forense • Tecnología que ves
– Código fuertemente ofuscado (¡privacidad ! .. ¿privacidad?) • Aspectos legales del reversing
– Cifrado de las comunicaciones • Como se sincroniza
– Sólo parte de la solución • Data Carving • Diferentes modos de acceso
Análisis Forense en Servicios de Almacenamiento Remoto
Cloud – Desafíos para el análisis forense • .. Y que no ves
– “There’s no cloud, is someone else’s computer”
Análisis Forense en Servicios de Almacenamiento Remoto
Índice 1. Introducción 2. Dropbox
• Ficheros • RAM • Servicio online
3. Google Drive • Ficheros • RAM • Servicio online
4. Conclusiones
Análisis Forense en Servicios de Almacenamiento Remoto
Análisis Servicios de Almacenamiento - Entorno • Entorno
– Windows 7 32 bits – Firefox – Virtual Box – DropBox Windows – Google Drive Windows
• Cuentas de correo – evidenciaelectronica2015@Gmail.com – evidenciaelectronica2015@Hotmail.com – Usuario del sistema con contraseña
Análisis Forense en Servicios de Almacenamiento Remoto
Análisis Forense – Metodología 1. Backup del registro original de Windows 2. Backup del sistema de ficheros original 3. Instalación del servicio remoto 4. Monitorización del sistema de ficheros durante la instalación
o Archivos temporales o Logs
5. Identificación de las modificaciones del registro de Windows o Nuevos valores en claves existentes (NTUser) o Nuevas claves
6. Identificación de las modificaciones del sistema de ficheros o Archivos de configuración locales
7. Ejecución del servicio o Data carving o Comunicaciones o RAM
Análisis Forense en Servicios de Almacenamiento Remoto
Análisis Forense – Herramientas Registro
RegShot, Registry Explorer, Reg App, Regedit
Sistema de ficheros Autopsy, FTK, Disk Monitor, Disk utiliy, SQL lite Browser Manager
Cifrado Dropbox Magnetic Forensics, OpenSSL
Comunicaciones Wireshark, netstat
RAM IDA PRO, Process Hacker, Microsoft symbols, strings, IRE py
Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – ¿Qué es? • Todo empezó en 2008
• Muy popular, 400 millones
• Multiplataforma y diferentes accesos
• Cuentas free (2GB-16gB) y profesionales (1TB-5TB)
• Delta Encoding (ahorro de ancho de banda)
• Transferencia segura (SSL y AES-256)
• PRISM
Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Instalación • La instalación se realiza bajo el profile del usuario y
carpeta de programas – C:\users\aroddom\Dropbox – C:\Program Files\Dropbox
• C:\Users\aroddom\AppData\Local\Dropbox – Carpeta de configuración del servicio
• C:\Users\aroddom\AppData\Roaming\Dropbox – Proceso de instalación y transferencia de ficheros
Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Proceso de instalación • C:\Users\aroddom\AppData\Roaming\Dropbox\installer\l
– 562e408d : archivo cifrado
• C:\ProgramData\Dropbox\Update\Log – Cifrado, mismo que .dbx
Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Proceso de instalación • Archivos Prefetch
– C:\Windows\Prefetch\Dropbox.exe-B2C17CD4.pf
– C:\Windows\Prefetch\Dropbox.exe-F5354AA9.pf – C:\Windows\Prefetch\Dropboxclient_3.10.8..exe-DD1118F8.pf – C:\Windows\Prefetch\Dropboxcrashhandler.exe-62E2DC11.pf – C:\Windows\Prefetch\Dropboxinstaller.exe-7CFC3536.pf – C:\Windows\Prefetch\Dropboxupdate.exe-3D36B2FC.pf – C:\Windows\Prefetch\Dropboxupdate.exe-661A090C.pf – C:\Windows\Prefetch\Dropboxupdateondemand.exe-D912AE5B.pf
Actualización Aspecto visual Imágenes de librerías en uso
Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Proceso de instalación • Claves de Registro
– 884 nuevos valores y 391 nuevas claves – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Dropbox – HKLM\SOFTWARE\Dropbox\ – HKLM\SOFTWARE\DropboxUpdate\Update\ClientState\ – HKLM\SOFTWARE\Microsoft\CurrentVersion\Explorer\ShellIconOverlayIdentifier
s\DropBoxExt[1 .. 8]
Ruta de instalación Fecha de instalación Versión del software Fecha de última actualización y sincronización
Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Configuración local • C:\Users\aroddom\AppData\Local\Dropbox
– Host y Host.dbx, Carpeta local ofuscada en base64 • QzpcVXNlcnNcYXJvZGRvbVxEcm9wYm94 • C:User\aroddom\Dropbox
– Cifrados, Instance_db\ || Instance1\ • instance.dbx • deleted.dbx • Filecache.dbx • Sigstore.dbx
Análisis Forense en Servicios de Almacenamiento Remoto
Ficheros locales Hora local de modificación, borrado y creación Ficheros borrados
Dropbox – Servicio Online • Archivos borrados
– Guardados por un máximo de 30 días (wipe local) – Archivos locales, son equivalentes a cualquier otro fichero
Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Conexiones de red • Conexiones cifradas
– Servidores archivo configuración • C:\Users\aroddom\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
– Todas las conexiones SSL • 80, 443
Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Servicio Online • Conexiones establecidas
– Navegadores y hora – Sistema operativo y nombre de equipo
Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Análisis de RAM • Análisis del volcado RAM de memoria del proceso
– Strings de búsqueda • Authenticate • Mail
Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Análisis de RAM • Análisis del volcado RAM de memoria del proceso
– Strings de búsqueda • Value / secure / expires
Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Análisis de RAM • Análisis del volcado RAM de memoria del proceso
– Strings de búsqueda • pwd / user • .dbx • Updated /deleted
Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Análisis de RAM • Es posible obtener
– Dirección de correo – Servidores NTP – Listado de ficheros creados / borrados – Direcciones de red locales – Rutas de carpetas locales
Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Servicio Online • Análisis del volcado RAM de memoria del proceso
– Strings de búsqueda • password / pwd • mail • .dbx
Usuario
Análisis Forense en Servicios de Almacenamiento Remoto
Dropbox – Desinstalación • Información que permanece
– Ntuser\Dropbox (valores borrados) – Archivos prefetch – Ficheros locales sincronizados (carve) – LNK files – Navegador (cache e historia) – Pagefile.sys & Hiberfile.sys
Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive - ¿Qué es? • 2012
• 500 millones de usuarios, @gmail.com
• Cuentas free (15gB) y profesionales (hasta 30TB)
• Microsoft y Apple
• SSL, pero no por defecto
Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Instalación • La instalación se realiza en la carpeta de programas
– C:\Program Files\Google\Drive – C:\Users\aroddom\Google Drive
• C:\Users\aroddom\AppData\Local\Google\Drive – Carpeta de configuración del servicio
Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Proceso de Instalación • Archivos Prefetch
– C:\Windows\Prefetch\GoogleDrive_sync_1.25.523.2491.C456FGHexe.pf – C:\Windows\Prefetch\GoogleUpdate.exe-12AG5F28.pf
Actualización Aspecto visual Imágenes de librerías en uso
Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Proceso de Instalación • Claves de Registro
– 896 nuevos valores y 577 nuevas claves – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData – HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Google\Drive – HKLM\SOFTWARE\Google\Drive – NTUSER\SOFTWARE\Classes\GoogleDrive\ – NTUSER\SOFTWARE\Google\Drive
Ruta de instalación Fecha de instalación Versión del software Fecha de última actualización y sincronización
Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Configuración Local • C:\Users\aroddom\AppData\Local\Google\Drive
– Sync_config.db, SQLITE3
Versión del cliente instalado Email Path
Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Configuración Local • C:\Users\aroddom\AppData\Local\Google\Drive
– Snapshot.db, SQLITE3 – cloud_entry & Local_entry
Ficheros (Timestamp, size, url)
Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Configuración Local • Después de borrar ficheros
– Snapshot.db, SQLITE3 – cloud_entry & local_entry
Si la posición de la tabla aun no ha sido escrita de nuevo, la información persiste
Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Configuración Local • Archivos temporales
– C:\Users\aroddom\AppData\Google\Drive\TempData\HttpCache Email de usuario
• 6cc-RunAsync-_OnLogin-3-hkegge
Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Configuración Local • Registro de actividad – sync_log.log
– Ficheros sincronizados o Strings : Create / delete / modify
Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Conexiones de red • Conexiones cifradas (información sensible) y no
cifradas – Servidores archivo configuración
• C:\Users\aroddom\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content
– Puertos en uso • 443, 522 ( alive y time stamp)
Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Servicio Online • Archivos borrados
– Fichero, pre-visualización y timestamp
Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Servicio Online • Time line
– Dispositivo – Usuario – Timestamp de los archivos – Cuenta compartida
Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Análisis de RAM • Cliente googledrive_sync
– Strings de búsqueda • User / password / mail • Path • Direcciones de red
Paths locales
Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Análisis de RAM • Servicio online
– Strings de búsqueda • Value / secure / expires • Mail / user / password
Usuario
Análisis Forense en Servicios de Almacenamiento Remoto
Google Drive – Desinstalación • Información que permanece
– Ntuser\Google\Drive (valores borrados) – Archivos prefetch – Ficheros de configuración borrados (carve) – Ficheros locales permanecen
• Sync_log, ..
– LNK files – Navegador (cache e historia) – Pagefile.sys & Hiberfile.sys
Análisis Forense en Servicios de Almacenamiento Remoto
Conclusiones • Información que permanece en los sistemas locales
• Aproximación local similar a cualquier análisis forense
tradicional – Importa la memoria volátil – Reversing y de-ofuscación
• Nivel de seguridad incrementado desde las versiones iniciales
Análisis Forense en Servicios de Almacenamiento Remoto
Siguientes pasos • Sincronización entre múltiples dispositivos en red local
LAN-sync (Dropbox).
• Investigación acerca de dispositivos móviles y sistemas de ficheros menos empleados
• Arquitectura de la nube
Análisis Forense en Servicios de Almacenamiento Remoto
Referencias Cloud Storage Forensics, 2013, Mattia Epiffani
Dark Clouds on the Horizon, 2011, Martin Mulazzani et al.
https://www.magnetforensics.com/free-tool-dropbox-decryptor/
Cloud Storage Forensics, 2011, Darren Quick et al
The Challenges in Cloud Computing Forensics, 2010, George Grispos et al
http://jviensforensicblog.blogspot.com.es/2013/02/dropbox-forensics.html
Looking inside the (Drop) box Dhiru Kholia et al
Análisis Forense en Servicios de Almacenamiento Remoto
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48
C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96
info@isecauditors.com www.isecauditors.com
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48
C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96
info@isecauditors.com www.isecauditors.com
Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 | Fax: +57 (1) 638 68 88
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48
C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96
info@isecauditors.com www.isecauditors.com
Su Seguridad es Nuestro Éxito
C. Santander, 101. Edif. A. 2º E-08030 Barcelona (Spain) Tel.: +34 93 305 13 18 Fax: +34 93 278 22 48
C. Arequipa, 1 E-28043 Madrid (Spain) Tel.: +34 91 763 40 47 Fax: +34 91 382 03 96
info@isecauditors.com www.isecauditors.com
Calle 90 # 12-28, Cundinamarca - Bogotá (Colombia) Tel: +57 (1) 638 68 88 | Fax: +57 (1) 638 68 88
top related